Sicherheitsanforderungen am Geldautomaten
Transcrição
Sicherheitsanforderungen am Geldautomaten
DAS INFORMATIONSBLATT FÜR UNSERE KUNDEN 19. Ausgabe 15. November 2007 Sehr geehrte Leserin, sehr geehrter Leser, immer neue und immer mehr Vorschriften und Regeln sind zu beachten, um die Sicherheit am Geldautomaten zu verbessern und den Konsumenten vor der missbräuchlichen Verwendung seiner Daten zu schützen. In unserem einleitenden Beitrag zu diesem Thema erhalten Sie einen Überblick über die einzelnen Vorschriften und deren aktuellen Status. Darüber hinaus erfahren Sie in diesem SBS aktuell, was die neueste Version des XFS Standards an Verbesserungen bietet und wie die SBS Produkte im SB-Bereich durch unsere KIXVision vorangetrieben werden. Wir informieren Sie aber auch über neue Produkte und neue Erfahrungen, die wir in diesem Jahr machen durften. Ein wichtiges Ereignis in 2007 war für die SBS auch der Launch der Version 1.00 unserer multivendor Schalter/Kasse Plattform KIXBranch, die sich bei einem unserer Kunden bereits im Echteinsatz befindet. Wir freuen uns auf das kommende Jahr, weil wir bereits heuer viele neue Kontakte im deutschsprachigen und im internationalen Raum knüpfen konnten und festgestellt haben, dass sich die grundlegenden Aufgabenstellungen moderner multivendor SB-Lösungen auch in entfernten Regionen nur geringfügig von jenen unterscheiden, die wir zum Großteil bei unseren Kunden bereits gelöst haben. Stellvertretend für das gesamte SBS Team bedanke ich mich für Ihr Interesse und freue mich auf die weitere Zusammenarbeit. Wolfgang Braunwieser Salzburger Banken Software INHALT: Sicherheitsanforderungen am Geldautomaten Seite 1 Neue Version des XFS Standards Seite 3 Neue Geldautomaten-Vereinbarung in Deutschland Seite 3 KIXVision – die Zukunft der Selbstbedienung Seite 5 KIXIntelligence - das Richtige tun Seite 6 Erfolgreicher Lasttest des agreeSB Operators 3.1 bei Fiducia Seite 7 Erweiterungen in der Bankomat Anwendung BXP 2.0 Seite 7 Die Bankfiliale der Zukunft Seite 8 Der europäische Zahlungsverkehr im Umbuch Seite 9 Conquest Seite 10 Nachrichten Seite 11 Sicherheitsanforderungen am Geldautomaten Neben dem allgemeinen Bedarf an einem hohen Sicherheitsniveau ist auch die Berücksichtigung der verpflichtenden Vorgaben sowohl von Seiten des Gesetzgebers als auch der Geschäftspartner ein wichtiger Punkt bei der Entwicklung und dem Betrieb von Geldautomaten. SBS bietet ihren Kunden daher nicht nur eine möglichst breite Auswahl an entsprechenden Sicherheitsprodukten an, sondern steht auch bei der Entwicklung von maßgeschneiderten Lösungen zur Erfüllung der individuellen Sicherheitsanforderungen mit Erfahrung und Kompetenz zur Seite. Aus diesem Grund haben wir ein Whitepaper zum Thema „Security Anforderungen am Geldautomaten“ erarbeitet, das unsere Kunden bei der © Salzburger Banken Software Seite: 1 15. November 2007 SBS 19. Ausgabe Evaluierung der für sie relevanten Vorgaben in Bezug auf die Sicherheit von Geldautomaten unterstützen soll und dazu die folgenden Themen behandelt: Die durch die europäische Datenschutzrichtlinie erforderliche Neufassung bzw. Änderung trat bereits mit 1. Jänner 2000 (DSG 2000) bzw. 23. Mai 2001 (BDSG) in Kraft. • • • Aufsicht für Zahlungssysteme Innerhalb der EU ist das Europäische System der Zentralbanken (ESZB) u.a. für das reibungslose Funktionieren der Zahlungssysteme verantwortlich. Da diese Aufgabe aber an die nationalen Zentralbanken delegiert wurde, sind die daraus resultierenden Zuständigkeiten der entsprechenden Aufsichtsorgane in den verschiedenen Mitgliedsstaaten unterschiedlich geregelt. Das Whitepaper behandelt daher die für einen Geldautomaten relevanten Abschnitte aus den derzeit gültigen Fassungen der jeweiligen nationalen Rechtsgrundlagen, wie dem Nationalbankgesetz für Österreich oder dem Bundesbankgesetz und dem Kreditwesengesetz für Deutschland. Die entsprechenden Änderungen traten bereits mit 1. April 2002 (NBG) bzw. 30. April 2002 (BBankG) und 1. Mai 2002 (KWG) in Kraft. Datenschutzgesetze Der Datenschutz ist in der heutigen Zeit ein sehr wichtiges Thema bei der Verarbeitung von personenbezogenen Daten. Durch die Verabschiedung der europäischen Datenschutzrichtlinie (RL 95/46/EG) sind die Mitgliedsstaaten der EU verpflichtet, die darin definierten Vorgaben in ihrem nationalen Recht zu verankern. Da die jeweiligen Gesetzgeber diese Mindestanforderungen aber unterschiedlich umgesetzt und auch erweitert haben, beschreibt das Whitepaper die für einen Geldautomaten relevanten Abschnitte aus den derzeit gültigen Fassungen des Datenschutzgesetzes 2000 für Österreich und des Bundesdatenschutzgesetzes für Deutschland. © Salzburger Banken Software PCI Data Security Standard Die Payment Card Industry (PCI) ist eine Interessenvertretung, gegründet von den weltweit führenden Kreditkartenorganisationen, deren Ziel u.a. die Erhöhung der Sicherheit beim Speichern, Verarbeiten und Weiterleiten von Kreditkartendaten ist. Zu diesem Zweck wurden durch die Verabschiedung des Data Security Standards (DSS) konkrete Anforderungen an Systeme und Unternehmen gestellt, die an der Verarbeitung von Kreditkartendaten beteiligt sind. In unserem Whitepaper werden diese Sicherheitsanforderungen näher beschrieben und daraus resultierende Maßnahmen für Geldautomaten vorgeschlagen. Die Umsetzungsfrist ist abhängig von der Einstufung des Unternehmens durch das jeweilige Kreditkarteninstitut, für Service Provider ist die Einhaltung jedoch grundsätzlich bereits seit 30. Juni 2005 verpflichtend. • EMVCo Spezifikationen Aufgrund der Zunahme des grenzüberschreitenden Zahlungsverkehrs sind die von MasterCard und VISA herausgegebenen Spezifikationen der maßgebliche Standard zur Abwicklung sowohl von internationalen als auch nationalen Transaktionen. Im Whitepaper werden daher sowohl die aus den „Integrated Circuit Card Specifications (ICCS)“ als auch die aus den „Common Payment Application (CPA) Specifications“ resultierenden Sicherheitsanforderungen behandelt. Eine Umsetzung dieser Vorgaben ist nur bei einer Zertifizierung nach EMV verpflichtend. Allerdings gilt seit 1. Jänner 2005 der sog. „Shift of Liability“, gemäß dem der Betreiber eines nicht EMVfähigen Systems die Verantwortung für einen damit verbundenen Betrugsfall übernehmen muss. Sollte auch Ihr Unternehmen an diesen wichtigen Themen interessiert sein, so können wir Ihnen das entsprechende Whitepaper gerne zusenden. Nähere Informationen finden Sie auf unserer Homepage unter http://www.sbs.co.at oder Sie senden uns eine Email mit dem Betreff „Security Whitepaper“ an [email protected]. Seite: 2 15. November 2007 SBS 19. Ausgabe Neue Version des XFS Standards • • Die eXtensions for Financial Services (XFS) sind ein Industrie-Standard, welcher ein einheitliches API für die Ansteuerung von Banken-spezifischer Hardware im Selbstbedienungs- und im Schalter-/KasseBereich definiert. Spätestens seit der Veröffentlichung der Version 3.00 des Standards im November 2000 hat er sich als De-facto-Norm für den Betrieb von SB-Hardware etabliert. Verantwortlich für den Standard, seine Pflege und Weiterentwicklung ist die Arbeitsgruppe „CEN/ISSS XFS Workshop“, eine Organisationseinheit des Europäischen Komitees für Normung (CEN, http://www.cen.eu/). In der Arbeitsgruppe sind die wichtigsten Hardware- und Software-Hersteller im Banken-Peripherie Umfeld als Mitglieder vertreten. Seit 1998 ist die SBS als Mitglied in der Arbeitsgruppe vertreten. Ende November 2007 ist die Verabschiedung der nächsten Version des XFS Standards geplant: XFS 3.10 – sieben Jahre nach der Verabschiedung der Version 3.00. Zwar wurden die drängendsten Erweiterungswünsche der Kunden durch die Veröffentlichung von drei „minor“ Versionen (zuletzt wurde 3.03 im Jänner 2005 veröffentlicht) in den Standard integriert, aber erst mit 3.10 ist eine grundlegende Überarbeitung und Aktualisierung erfolgt. Grober Überblick über die wichtigsten Neuerungen in XFS 3.10 im Vergleich zu 3.03 • • Alle Anmerkungen/Klarstellungen und auch die Erweiterungen aus 3.01, 3.02 und 3.03 wurden nun sauber in den Standard integriert Manipulations- bzw. Betrugsversuche an der Hardware können der Applikation nun konkret als solche signalisiert werden • • • • • Verbesserungen im Fehler- und Statushandling, die verbesserte Informationsmöglichkeiten bringen Verbesserungen in der Benutzerführung, vor allem in der Synchronisation der Benutzerführung der Applikation und der Hardware Interaktionen Drucker-Formular-Definitionen können zur Laufzeit erstellt und in das System eingebracht werden Unterstützung für Memory-Cards und neue Formate, wie z.B. Karten mit dem Magnetstreifen auf der Vorderseite der Karte Verbesserte Unterstützung von RecyclingSystemen Unterstützung neuer Hardware-Merkmale (z.B. LCDs) Drei neue Deviceklassen: Barcode-Scanner (BCR), Karten-Dispenser (CRD) und Item Processing Module (IPM) Auswirkungen auf bestehende Applikationen Durch das Versionsverhandlungs-Schema von XFS ist es möglich, Applikationen, die für XFS 3.03 geschrieben wurden, auch auf XFS Plattformen einzusetzen, die in der Zukunft auch XFS 3.10 unterstützen. Trotz dieses Mechanismus wurde in Version 3.10 großer Wert auf die Abwärtskompatibilität gelegt, um die Migration von Applikationen zu erleichtern. Inwiefern dieses Ziel in der Praxis auch tatsächlich erreicht wird, wird sich erst zeigen, wenn die Hersteller der XFS Plattformen die ersten Versionen mit Unterstützung für 3.10 auf ihrer Hardware anbieten und Tests durchgeführt werden können. Zukunft des Standards Der XFS Standard wird auch in Zukunft von der Arbeitsgruppe weiterentwickelt werden. Das nächste Treffen der Arbeitsgruppe im März 2008 wird auf Einladung der SBS in Salzburg durchgeführt. Neue Geldautomaten-Vereinbarung in Deutschland Mit Mai 2007 gibt es nun für Deutschland eine neue Version des „Regelwerks für das Deutsche Geldautomaten-System (Vereinbarungen, Richtlinien und Anlagen zu den Verträgen über das Deutsche Geldautomaten-System)“, das die technischen Spezifikationen für das Geldautomaten-System der deutschen Kreditwirtschaft definiert und mit 1. Juli 2007 in Kraft getreten ist. © Salzburger Banken Software Dieses Regelwerk enthält Vorgaben, die bei der Durchführung von Bargeldauszahlungen mittels chipbasierten EMV-Transaktionen an Geldautomaten in Deutschland einzuhalten sind (EMV ist ein internationaler Standard, der die Kommunikation zwischen EMV fähigen Chipkarten und ChipkartenTerminals definiert, siehe www.emvco.com.). Seite: 3 15. November 2007 SBS Im Wesentlichen handelt es sich hierbei um technische Spezifikationen für den Geldautomaten selbst, für die Kommunikation zwischen Geldautomat und Kundenkarte, und für die Nachrichten zwischen Geldautomat und Autorisierungssystem. Die ältere Version der GA-Vereinbarung stammt vom September 2003, wobei als Zwischenversionen noch eine Errata vom 15.10.2004 und eine zweite Errata vom 12.5.2006 veröffentlicht wurden. Diese Versionen waren bisher die Grundlage für die in Deutschland erforderliche ZKA-Zulassung eines Geldautomaten mit chipbasierter Barauszahlung (ZKA = Zentraler Kreditausschuss – www.zka.de). Übersicht über die neuen Anforderungen Im Unterschied zu den beiden Errata enthält die aktuelle Version der GA-Vereinbarung nun wesentliche Unterschiede zu den Vorversionen. Dies war einerseits aufgrund der Europäisierung des deutschen Geldautomatensystems notwendig, andererseits wurden damit vorhandene Fehler und Unklarheiten in den alten Versionen beseitigt und Ergänzungen hinzugefügt: • Es müssen weitere Chip-Applikationen (V PAY, JCB, American Express, EAPS) vom Geldautomaten unterstützt werden. • Es müssen zwei zusätzliche EMV-Datenobjekte vom Geldautomaten unterstützt werden (Name und Ort des Kreditinstituts, Terminaldaten für das Risikomanagement der Karte). • Es gibt folgende zusätzliche Konfigurationsparameter: Präfix-Tabelle, Vorrang-Applikationen, Angabe der unterstützten Funktionen pro Applikation. • Am Geldautomaten sollen zusätzlich zu den bisherigen EMV-Auszahlungs-Applikationen jetzt auch nicht-EMV-Anwendungen (z.B. Geldkarte) gemeinsam in einer Konfiguration verwaltet und im Transaktionsablauf berücksichtigt werden. • Die aktuelle GA-Vereinbarung basiert in jenem Teil, der die Kommunikation zwischen Chipkarte und Geldautomat beschreibt, nicht mehr auf dem Standard EMV 4.0 (Dezember 2000) sondern auf EMV 4.1 (Mai 2004). • Die Anzeigetexte am Geldautomaten müssen jetzt mindestens in Deutsch und Englisch vorhanden sein (früher war Deutsch alleine auch ausreichend). Bei den zu versendenden/empfangenen ISONachrichten zwischen Geldautomat und Autorisierungssystem hat sich hingegen nur sehr wenig geändert. Neue Detailanforderungen für Konfiguration und nicht-EMV-Anwendungen Die vorhin angeführten Änderungen und Erweiterungen bezüglich der Konfiguration und zusätzlichen Einbindung von nicht-EMV-Anwendungen beinhalten im Detail folgendes: © Salzburger Banken Software 19. Ausgabe • • • • • Präfix-Tabelle: Diese Tabelle wird zur Identifikation von nationalen (=deutschen) Karten benötigt: anhand der PAN (Primary Account Number = erste Kontonummer) der Spur 2 des Magnetstreifens einer Karte wird festgestellt, ob dies eine nationale Karte ist oder nicht. Bisher galt für Deutschland, dass eine PAN beginnend mit „672“ eine nationale Karte anzeigt. In Zukunft sind jetzt aber auch andere PANs für eine nationale Karte erlaubt, z.B. solche die mit „4821“, „4822“ etc. beginnen. Hierfür muss eine konfigurierbare Tabelle vorgesehen werden, in der die Präfixe aller nationalen PANs angegeben werden können. Vorrang-Applikationen: Für jede Chipapplikation müssen jetzt zusätzlich Vorrang-Anwendungen am Geldautomaten definiert werden können. Stellt der Geldautomat fest, dass zu einer am Chip befindlichen Applikation ebenso eine der zugehörigen Vorrang-Applikationen am Chip existiert, so wird die ursprüngliche Applikation für den weiteren Transaktionsablauf nicht mehr berücksichtigt. Angabe der unterstützten Funktionen pro Applikation: Für jede chipbasierte Applikation sind die unterstützten Funktionen zu definieren, z.B. „Auszahlung“, „Geldkarte“, PIN-Management Funktionen. Weiters ist anzugeben, ob die jeweilige Applikation EMV-basiert ist oder nicht. Gemeinsame Konfiguration von EMV- und nicht-EMV-Anwendungen: Dies bedeutet insbesondere, dass nun für nichtEMV-Anwendungen zusätzliche Parameter (wie z.B. die Zulässigkeit von Magnet- und/oder Chiptransaktionen für eine bestimmte Applikation) konfiguriert und berücksichtigt werden müssen. Berücksichtigung von nicht-EMV-Anwendungen im Transaktionsablauf: Im Rahmen der Technologieauswahl (=Entscheidung, ob die Transaktion chip- oder magnetbasiert durchgeführt wird) und der Applikationsauswahl müssen nun auch nichtEMV-Applikationen beachtet werden. Hierbei wird in der aktuellen GA-Vereinbarung davon ausgegangen, dass die Funktionsauswahl erst nach dem Einstecken der Karte und der Auswertung der Karten- bzw. Chipdaten erfolgt, sodass zum Zeitpunkt der Funktionsauswahl nur diejenigen Applikationen berücksichtigt werden, die für die am Geldautomaten zulässigen Funktionen verfügbar sind. Anforderungen an die Online-Nachrichten Dieser Punkt wurde in der aktuellen GA-Vereinbarung folgendermaßen ergänzt: Die in der GA-Vereinbarung spezifizierten Vorgaben für die zu verwendenden ISO8583-Nachrichten Seite: 4 15. November 2007 SBS zwischen Geldautomat und Autorisierungssystem sind nur für den NOV (=Nationaler Online Verbund) bindend. Diese Nachrichten können (aber müssen nicht) in dieser Form auch auf der Strecke zwischen Geldautomat und Hintergrundsystem verwendet werden. Bei Abweichungen von den spezifizierten ISO8583Nachrichten muss nur berücksichtigt werden, dass nach wie vor die gemäß GA-Vereinbarung notwendigen Informationen zwischen Geldautomat und Hintergrundsystem übertragen werden – unabhängig vom verwendeten Format. Für die Abnahme des Geldautomaten bei einer der zuständigen Zertifizierungsstellen (z.B. VÖB oder Cetecom) wird aber voraussichtlich wieder die exakte Einhaltung des ISO8583-Formates gemäß GAVereinbarung als Referenzschnittstelle zu berücksichtigen sein. 19. Ausgabe Zusammenfassung Die größten Aufwände in der Anpassung bestehender Geldautomaten-Auszahlungslösungen an die neue GA-Vereinbarung sind bei der Implementierung der Präfix-Tabelle, der Vorrang-Regelung und der zusätzlichen Einbindung von nicht-EMVApplikationen zu erwarten. Diese Adaptierungen erfordern sowohl Änderungen in der Konfiguration, als auch Eingriffe in den Abläufen von Transaktionsbeginn bis zur endgültigen Auswahl einer Chip-Anwendung. Die von der GA-Vereinbarung vorgegebenen Abläufe zwischen Chipkarte und Geldautomat basieren zwar auf dem internationalen EMV-Standard, sie werden aber durch zahlreiche Deutschland-spezifische Ausnahmen und Sonderregelungen aufgeweicht. Unter Umständen kann dies zusätzlich zur ohnehin neu erforderlichen ZKA-Zertifizierung der entsprechend angepassten Auszahlungsapplikation auch eine Neuzertifizierung des EMV-Teiles („EMVKernel“) der Auszahlungsapplikation bedeuten. KIXVision – die Zukunft der Selbstbedienung Die Produktstrategie der SBS im Bereich Selbstbedienung basiert auf einer klar definierten Vision: Die Trennung von Transaktionsverarbeitung und SB-Geräte-Management ist die Voraussetzung für eine optimale Nutzung des SB-Kanals. Transaktionsverarbeitung SB-Gerät Transaktionsverarbeitung ist die primäre Aufgabe von SB-Geräten. So viele Transaktionen wie technisch möglich sollen durchgeführt werden, um die erwarteten Einnahmen aus Transaktionsgebühren zu realisieren. Nur die hohe Auslastung der SBGeräte und damit verbunden die beachtliche Zahl an Kundenkontakten am SB-Gerät machen den © Salzburger Banken Software SB-Kanal auch für Themen wie CRM und One-toOne Marketing interessant. Nur ein SB-Gerät, das immer verfügbar und daher für den Kunden immer nutzbar ist, erhöht die Kundenzufriedenheit. Mit der Umsetzung der Single European Payment Area (SEPA) wird ein Markt für Services im Bereich SB-GeräteTransaktionsverarbeitung Management entstehen. SB-GeräteBetreiber werden die Möglichkeit haben, unter verschiedenen, miteinander im Wettbewerb stehenden Transaktionsverarbeitern zu wählen. Dieser Umstand wirkt sich aller Voraussicht nach auch auf die Preise für die Transaktionsverarbeitung aus. Von dieser Entwicklung kann nur mit einer SB-Architektur profitiert werden, die einen einfachen Wechsel von einem Transaktionsverarbeiter zu einem alternativen Anbieter ermöglicht. Sind Transaktionsverarbeitung und SB-Geräte-Management nicht sauber voneinander getrennt, ergibt sich aus dem Wechsel des Transaktionsverarbeiters kein positiver Businesscase. Nachfolgend fassen wir die wichtigsten Anforderungen der KIXVision an eine SB-Architektur zusammen: Seite: 5 15. November 2007 SBS • • • • Die Transaktionsverarbeitung wird als austauschbares Service implementiert, um von einer ansteigenden Anzahl konkurrierender Serviceprovider für Routing und Transaktionsverarbeitung profitieren zu können (SEPA). Transaktionen werden in Form atomarer, auf jeder Art SB-Gerät nutzbarer Services implementiert. Bereits verfügbare Transaktionen können auf jedem SB-Gerät genutzt werden, sofern die notwendigen Hardwarekomponenten verfügbar sind. Die Architektur unterstützt eine einfache Verteilung neuer Transaktionen. Funktionen des SB-Gerätemanagement werden als Services implementiert (z.B. Systems Management, Konfiguration, elektronisches Journal, Softwareverteilung, Schlüsselmanagement). J2EE wird als Standardarchitektur für ein service-orientiertes SB-Gerätemanagement verwendet. Hardwaresteuerung und fachliche Logik sind ebenso strikt getrennt, wie Ablaufsteuerung und Benutzerinterface. Dadurch wird es z.B. möglich, das Look&Feel der Anwendung schnell und einfach an unterschiedliche Styleguides verschiedener Banken anzupassen. 19. Ausgabe • • • • • Die Architektur wird auf Basis von Standardprodukten (z.B. Application Server) und offener Standards erstellt. Web-Technologien (z.B. TCP/IP, SSL, HTTP, J2EE, XML, SOAP) werden, wo sinnvoll möglich, genutzt. Dabei wird die SB-Architektur vom Mainframe entkoppelt. Durch die Verwendung einer herstellerneutralen dezentralen Anwendung können die Vorteile einer Mehr-Hersteller-Hardwarestrategie genutzt werden. Anwendungen können über Konfiguration und “Customizing” an die Anforderungen verschiedener Kunden angepasst werden. Individualisierte Standardanwendungen ersetzen proprietäre Eigenentwicklungen. Transaktionssicherheit basiert auf Chip-Technologie. EMV wird als Standard durch das SEPA card framework festgelegt. Die Entwicklung von Anwendungen erfolgt in Java, um eine einfache Migration auf alternative Betriebssysteme zu ermöglichen, sollte das in Zukunft wieder einmal notwendig sein. KIXIntelligence - das Richtige tun Kauf, Standortwahl oder die Frage des idealen Servicevertrages: SBS macht Ihnen ab 2008 das Management der strategischen Entscheidungen im SB-Bereich leichter, sicherer und profitabler. Im ersten Quartal werden wir Ihnen mit KIXIntelligence ein weiteres Produkt für das SB-Geräte-Management anbieten können: Liegt beim KIXOperator der Schwerpunkt auf der Bewältigung der alltäglichen Herausforderungen eines SB-Netzwerkes, so bietet KIXIntelligence Unerstützung bei den langfristigen Entscheidungen. SBS Geschäftsführer Wolfgang Braunwieser: „Wir haben die Antwort auf die drängendsten Fragen, © Salzburger Banken Software wenn unsere Kunden die richtigen Entscheidungen im SB-Bereich treffen müssen: ‚Ist mein SBNetzwerk ausreichend verfügbar? Werden Service Level Agreements eingehalten? Welche Gerätemodelle sind am stabilsten? In welchen Bereichen gibt es die größten Service- und Wartungsaufwände?’ KIXIntelligence liefert dafür die Entscheidungsgrundlagen.“ Seite: 6 15. November 2007 SBS 19. Ausgabe Erfolgreicher Lasttest des agreeSB Operators 3.1 bei FIDUCIA Um eine komplette Qualitätssicherung des agreeSB Operators zu gewährleisten, wird in Zusammenarbeit mit SBS neben den funktionalen Teststufen auch ein Lasttest bei der FIDUCIA IT AG durchgeführt. Diese Lasttests haben das Ziel, das Verhalten des agreeSB Operators unter simulierter Last zu testen. Dazu werden zwei so genannte Lasttest-Szenarien verwendet: Einerseits das Benchmarkszenario, bei welchem eine prinzipiell angenommene Höchstlast verwendet wird, und andererseits das Betriebsszenario, das mit gemessenen Werten aus der aktuellen Produktion arbeitet. Ein Szenario besteht aus einem abgestimmten Mix aus Lasttest-Treibern, die dann mit einem Lastgenerator als virtueller Benutzer (VU) gestartet werden können. Das Benchmarkszenario arbeitet dabei mit bis zu 1000 VUs, beim Betriebsszenario hingegen werden bis zu 6000 VUs gestartet. Zur Überwachung und Analyse der Lastests wurden die Traces der MiddleWare (WebSphere Server), Traces auf der Host-Datenbank und der LasttestReport bei jedem Test ausgewertet. Transaktionsverlauf bei steigender Anzahl virtueller User Gesamt Transaktion pro Stunde 1000000 900000 Anzahl Transaktionen 800000 700000 600000 Gesamt 3.1 500000 400000 300000 200000 100000 0 100 500 750 1000 Anzahl Virtuelle Benutzer Anzahl Transaktionen pro Sekunde bei 1000 virtuellen User Weiters wurden die Ergebnisse jedes Tages in ein Logbuch eingetragen, um für weitere Auswertungen zur Verfügung zu stehen. Dadurch konnten abschließend die Ergebnisse statistisch ausgewertet werden. Zusätzlich wurde die Performance der SQL Statements am DB2 Host mitgemessen. Dadurch konnte man die Verbesserungen im neuen agreeSB Operator 3.1 Datenmodell verifizieren. Auch Frau Susanne Fiedler (Projektleitung AEW4SB bei der FIDUCIA IT AG) freut sich über die Lasttest- Ergebnisse: „Das Feedback auf die Lasttests, was die Professionalität der Durchführung und der Ergebnisse betrifft, war sehr positiv. Hier ist das AEW4SB Lasttest Team von anderen Beteiligten sehr gelobt worden. Auch andere Abteilungen interessieren sich für die bei FIDUCIA IT AG in dieser Form einzigartige Durchführung der Lasttests.“ Alles in allem waren die abschließenden Ergebnisse sehr zufriedenstellend und bestätigen die Lasttest Strategie der FIDUCIA IT AG. Erweiterungen in der Bankomat Anwendung BXP 2.0 Seit Mitte September 2007 wird die österreichische Bankomatlandschaft mit der Version 2.0 der BXPAnwendung versorgt. Die geänderten Bereiche sind dabei hauptsächlich der Zielgruppe Bankomatbetreuer gewidmet. Vor allem die Funktionen zum Management der Geldkassetten wurden verfeinert und um eine Funktion „Kassetten Service“ erweitert. Auch auf das Thema Sicherheit wurde in der Version 2.0 das Augenmerk gerichtet. Alle externen Datenträger werden auf Viren überprüft, bevor diese auf dem Bankomaten verwendet werden dürfen. © Salzburger Banken Software Dafür kommt das SBS Produkt KIXProtect zum Einsatz (Details siehe Artikel „Mit KIXprotect gegen Computerviren am Geldautomaten“ SBS aktuell Ausgabe 18). Aber es gibt in BXP Version 2.0 auch Neuerungen für den Kunden: • Die Debit- und Kreditkarten der chinesischen Bank China UnionPay (CUP-Karten) gewinnen weltweit an Bedeutung. Mit der Version 2.0 werden diese Karten auch am österreichischen Bankomaten unterstützt. Seite: 7 15. November 2007 SBS 19. Ausgabe • BOB-Kunden genießen nun auch die Möglichkeit ihre Wertkarten-Handys am Bankomaten komfortabel aufzuladen. • Sollten Kunden auf die Entnahme ihrer Geldscheine vergessen, werden diese durch ein Außer-Betrieb-gehen des Bankomaten zusätzlich darauf aufmerksam gemacht. Sobald die Geldscheine entnommen werden wechselt der Bankomat wieder in den In-Betrieb-Zustand. Diese Vorteile der neuen Version können nach der flächendeckenden Verteilung bis Anfang Dezember 2007 auf allen österreichischen Bankomaten genutzt werden. Die Bankfiliale der Zukunft Die spannende Frage, die sich Teilnehmer aus vielen Sektoren der Banken und Finanzinstitute in Österreich sowie einige internationale Teilnehmer im Vorfeld des 1. Oktobers 2007 stellten, war wohl: „Wie wird die Bankfiliale der Zukunft aussehen und wie die Zukunft der Bankfiliale?“ Zur Beantwortung lud das Institute for International Research am 1. und 2. Oktober 2007 zu einer Veranstaltung mit dem Titel „Die Bankfiliale der Zukunft“ ein. Aus den Vorträgen ging klar hervor, dass der Vertriebsweg Bankfiliale weiterhin sehr wichtig bleibt. In seinem Vortrag zitierte Martin Engstler vom Fraunhofer Institut eine Studie von Steria Mummert Consulting, wo im Filialvertrieb mit 60 % © Salzburger Banken Software die höchste Wertschöpfung erwartet wird, ganz deutlich vor dem Mobilen Vertrieb, dem Internet Banking und der Kundenselbstbedienung. Nach wie vor spielt der Faktor Mensch in der Beratung und im Vertrieb die entscheidende Rolle. Auf den ersten Blick müssten wir uns als Lösungsanbieter für SB-Lösungen fragen, ob wir mit SB im richtigen Vertriebskanal unterwegs sind, denn offensichtlich scheint dieser Vertriebskanal in der Wertschöpfung nicht sehr wichtig zu sein. Bereits auf den zweiten Blick wird schon eines klar: betrachtet man die Vielzahl an Produkten, die eine Bank ihren Kunden verkaufen kann, und kombiniert man das mit der Vielfalt an Regelungen, Vorschriften und anderen Rahmenbedingungen, die es im heutigen Geschäft in Österreich und Deutschland mit dem Konsumenten zu beachten und zu erfüllen gilt, dann findet sich sehr bald eine Grenze. Eine Grenze, bis zu der es wirtschaftlich sinnvoll ist, Abläufe zu automatisieren und dem Kunden selbst in die Verantwortung zu übergeben, und eine Grenze ab der das nicht mehr wirtschaftlich und damit auch nicht mehr sinnvoll ist, weil zu viele Abläufe und Rahmenbedingungen abgebildet werden müssen, damit der Geschäftsvorfall auch aus konsumentenrechtlicher Sicht korrekt abgewickelt werden kann und weil die breite Masse an Kunden diese spezialisierten Geschäftsvorfälle sowieso nicht ohne Bankberater machen will. Und auf den dritten Blick konnten wir erkennen: auch unsere Kunden, die Banken, unterscheiden, welche Dienstleistungen sie wie und wo anbieten. Der Kunde, der einen Hypothekarkredit zur Finanzierung seines Eigenheimes sucht, wird hierzu seine „Bank“ im klassischen Sinn aufsuchen und wohl eher nicht den Abschluss in einer im shop-look ausgestatteten offenen Filiale einer Bank in einem Einkaufszentrum tätigen. Der Private Banking Kunde sucht seinen Berater für Wertpapier- und Anlagegeschäfte auf, mit dem Ziel sein Vermögen bestmöglich zu verwalten und nicht, um seine Überweisungen durchzuführen Seite: 8 15. November 2007 SBS oder seine Kontoauszüge abzuholen. Der Geschäftskunde stellt sich vermutlich nur im Ausnahmefall am Schalter an, um seine Bankgeschäfte abzuwickeln. All diese Beispiele haben eines gemeinsam: spezialisierte Einrichtungen stehen für einen definierten Umfang an Geschäftsvorfällen und für definierte Kundenkreise zur Verfügung, mit dem Ziel, diese optimal abzuwickeln und optimal zu bedienen. Genauso sehen wir auch die Chancen der SB-Automation in der Bankfiliale der Zukunft. Eine Bank hat heute - neben dem Internetbanking - mit einer gut ausgestatteten SB Zone die Möglichkeit, ihren Kunden einen 7x24 Stunden Service für ausgewählte Finanzdienstleistungen anzubieten. Und zwar für jene ausgewählten Finanzdienstleistungen, wo es aus Sicht des Bankkunden wünschenswert ist, dass er diese rund um die Uhr konsumieren kann. Bargeldbehebung, Bareinzahlung inkl. Münzein- 19. Ausgabe zahlung, Erstellung von Kontoauszügen. Durchführung von Überweisungen, Aufladen der elektronischen Geldbörse (Quick in Österreich, Geldkarte in Deutschland), Handywertkarten laden. Fremdwährungsbehebung, Geldwechsel. Für den Bankkunden ist es sehr wertvoll, wenn er exakt in dem Augenblick, in dem er Bargeld benötigt, dieses „ums Eck“ beheben kann. Für den Bankkunden kann es auch sehr wertvoll sein, wenn er um 03:00 in der Nacht seine Tageslosung an einem sicheren Ort einzahlen kann und sofort die Bestätigung der Buchung auf sein Girokonto erhält. Die Bank hat in beiden Fällen etwas sehr Wertvolles erhalten: einen zufriedenen Kunden, der genau dann seine laufenden Bankgeschäfte abwickeln kann, wann er es will. Wenn dann der Kunde zu einem Besuch in die Bankfiliale kommt - und er wird kommen, weil er mit seiner Bank zufrieden ist -, dann kann er in entspannter Atmosphäre weitere Bankgeschäfte mit seinem Berater abwickeln. Der europäische Zahlungsverkehr im Umbruch Unter diesem Motto fand am 18.10.2007 in Wien die jährliche Konferenz der Austrian Smartcard Association (ASA) statt. Zahlreiche Teilnehmer, wurden über die aktuellsten Entwicklungen im Kartenbereich und im österreichischen Zahlungsverkehr informiert. SEPA Ein Teil der Konferenz war dadurch auch dem Thema Single European Payment Area (SEPA) gewidmet. Günter Gall, verantwortlich für den Bereich Transaction Services in der Raiffeisen Zentralbank in Wien, ist einer der österreichischen Vertreter im European Payment Council und verfügt damit über ein sehr umfassendes und aktuelles Wissen zum Thema SEPA. Alle 27 EU Länder, aber auch Liechtenstein, Norwegen, Island und die Schweiz sind Mitglieder der SEPA. Die Vision ist es, allen Bürgern, Firmen und anderen wirtschaftlichen Teilnehmern dieser Länder, die Zahlungen in Euro innerhalb oder außerhalb der Grenzen durchführen, dies zu gleichen Konditionen und einheitlichen Rahmenbedingungen mit den gleichen Verpflichtungen und Rechten und in den gleichen Standards und Infrastrukturen zu ermöglichen. Regelwerke der europäischen Finanzindustrie im SEPA Umfeld sind: © Salzburger Banken Software • • • • die einheitliche Überweisung (SEPA Credit Transfer) die einheitliche dringende Überweisung (PRIEURO) die einheitliche Lastschrift (SEPA Direct Debit) ein einheitlicher Rahmen für europäische Zahlkarten, also Debit Karten (SEPA Card Framework for charge cards) Zahlreiche Banken im SEPA Umfeld haben sich dazu verpflichtet, bereits ab 28.1.2008 SEPA konforme Überweisungen durchzuführen. Bis 2010 soll eine kritische Masse an Zahlungsverkehrstransaktionen in Europa mit dem neuen einheitlichen Datenformat auf XML Basis erfolgen, wobei nicht eindeutig festgelegt ist, wie groß diese kritische Masse zu sein hat. Wenn dieser Punkt erreicht ist, kann es danach sehr schnell gehen, denn ab 2012 gilt die verkürzte Überweisungsdauer (D+1) innerhalb der Teilnehmerländer und auch zwischen den Teilnehmerländern. Damit werden Überweisungen von einem Konto in Europa in alle anderen Teilnehmerländer so kostengünstig und schnell durchgeführt wie im Inland. Theoretisch können Banken sogar vom europäischen Zahlungsverkehr ausgeschlossen werden, wenn sie gegen die SEPA Regeln verstoßen. Seite: 9 15. November 2007 SBS 19. Ausgabe Der Bedarf an Auslandskonten wird durch die Einführung von SEPA, so erwartet man, zurückgehen. Viele Unternehmen, aber auch Privatpersonen verfügen heute über ein Konto im Ausland, um von dort zu den landesüblichen Bedingungen Überweisungen durchführen zu können. Das wirkt sich in der aktuellen Zahlungsverkehrsstatistik mit einem sehr niedrigen Auslandszahlungsverkehrsanteil von nur 2 % aus. Nach der Umsetzung der SEPA Forderungen rechnet man mit einem rasanten Zuwachs im Auslandszahlungsverkehr, wobei man sich im Klaren darüber sein muss, dass es sich dann bei den "domestic payments" um Zahlungen im gesamten SEPA Raum handelt. Die Umsetzung dieser Forderung der EZB an die europäischen Banken verursacht zwar auf der einen Seite erhebliche Aufwände, auf der anderen Seite stärkt die Vereinheitlichung den europäischen Zahlungsverkehr und ermöglicht es kleineren Teilnehmern von den Skaleneffekten großer Zahlungsverkehrsabwickler zu profitieren, indem sie diese Aufgaben outsourcen. Die Suche nach kostengünstigen Processingstrukturen und die Differenzierung durch neue Produkte auf der Basis eines standardisierten Zahlungsverkehrs werden für die Banken zu den großen Herausforderungen der nächsten Jahre zählen. Karten Dass es sich bei SEPA vorwiegend um ein Thema für die Finanzindustrie handelt, bestätigt eine Umfrage, die MasterCard in einigen europäischen Ländern durchgeführt hat. Auf die Frage, ob der Befragte schon einmal von SEPA oder der Single European Payment Area gehört hat, antworteten 87 % der befragten Endkunden und 82 % der befragten Händler mit einem klaren Nein. MasterCard hat hier Initiativen gestartet, um dem Handel die Vorteile von SEPA deutlich zu machen. Mit Maestro ist MasterCard im europäischen Debitkartenmarkt gut positioniert. Aber auch VISA hat, um speziell die europäischen Bedürfnisse besser abdecken zu können, das neue Debitkartenprodukt V-Pay geschaffen. Dieses Produkt wird zwar stark von europäischen Banken und Interessensvertretungen gesteuert, hat aber den Nachteil, dass es außerhalb Europas über keine Akzeptanzstellen verfügt und damit auch nicht auf außereuropäischen Geldautomaten einsetzbar ist. Auf der ASA 2007 stellte Peter Neubauer, Geschäftsführer der PayLife Bank, die Hintergründe für die Überführung der Europay Austria in die PayLife Bank vor. Man wird in Zukunft das „BezahlLeben“ der Kunden mit gestalten und sieht in der Markenneutralität einen wesentlichen Wettbewerbsfaktor für die neue Generation des bargeldlosen Zahlens. Die PayLife Bank stellt sich als der Partner für alle Karten vor und bietet neben der Akzeptanz der MasterCard Produkte nun auch Verträge für VISA, V-Pay, JCB und in Kürze auch für die chinesische UnionPay an. Man erwartet, dass die Reisefreudigkeit der chinesischen Bevölkerung in den nächsten Jahren rasant zunehmen wird und ist mit der Akzeptanz der UnionPay Karten darauf optimal vorbereitet. Darüber hinaus wurden auf der Konferenz die neuen Prepaid MasterCards und Prepaid Maestrocards der PayLife Bank und deren Einsatzbereiche vorgestellt. MasterCard rechnet laut einer Studie von 2006 bis zum Jahr 2010 mit einem Anstieg des Anteils der Prepaid Karten im gesamten europäischen Kartenmarkt auf 7 %. Individuelles Kartendesign für jeden Karteninhaber stand im Mittelpunkt einer Produktpräsentation von Austria Card. Damit will man auf den Trend nach mehr Individualität bei Lifestyle-Produkten reagieren. Einzelkunden, Unternehmen oder Interessensgemeinschaften können sich das Layout ihrer Kreditkarte bis auf wenige Einschränkungen selbst gestalten und produzieren lassen. Egal ob es sich um das Foto vom letzten Urlaub oder um das erste Gemälde der kleinen Tochter handelt. Alles kann als Hintergrundbild auf der Kreditkarte dienen. Austria Card demonstriert, wie der Kunde selbst über eine Web-Applikation die passenden Einstellungen vornehmen kann. In einer Vorschau kann der Kunde dann auch gleich überprüfen, wie ihm das Layout seiner neuen Karte gefällt. Allerdings sind Motive mit zweifelhaften Inhalten nicht zugelassen und der Kartenausgeber trägt die Verantwortung für eine abschließende Prüfung und Freigabe des gewählten Kartenmotivs. Es handelt sich bei der individuellen Kreditkarte natürlich nicht um eine typische Innovation im Bankenbereich, aber aus dem Blickwinkel eines zunehmenden Bedürfnisses nach Differenzierung könnte hier ein neuer Trend entstehen. Einige weitere Vorträge rundeten den Konferenztag ab. Die ASA Konferenz hat sich somit auch 2007 wieder als Treffpunkt und Vermittler neuer Erkenntnisse im Kartenbereich bestätigt. Die CONQUEST 2007 (Conference on Quality Engineering in Software Technology) fand vom 26. bis 28. September in Potsdam statt. Schwerpunkt war dieses Mal „Business Process Engineering“ mit weiteren Themen aus: Testautomation, Qualitätssicherung für Embedded Systeme, Qualität von Web Services sowie von Sourcecode und Software-Modellen, Metriken, selbstkorrigierende komplexe Software Systeme, neue Perspektiven der Qualitätssicherung, © Salzburger Banken Software Seite: 10 15. November 2007 SBS Erfahrungsberichte aus der Praxis und Zertifizierungen. Insgesamt wurden 36 Fachvorträge angeboten. In den von uns ausgewählten Vorträgen wurden unter anderem folgende Themen behandelt: • Methoden zur Auswahl und Priorisierung von Testfällen in Kombination mit Classification Trees • Generierung von Testfällen aus Message Sequence Charts oder durch Simulation von Use Cases 19. Ausgabe • • • • Effiziente Traceability zwischen Requirements, Testfällen und Sourcecode Aufbau einer umfassenden Testinfrastruktur bzw. Testumgebung an einem praktischem Beispiel Verifizierung von Model-based Development Tools und Code Generatoren und hierbei aufgetretene Fehler Metriken für die Qualitätssicherung von Spezifikationen Nachrichten Neue Mitarbeiter bei SBS Unser Team in Salzburg wurde verstärkt durch: Norbert Martinek (Produktentwicklung KIXXtensions) Stefan Hinterkörner (Produktentwicklung KIXOperator) SBS Newsletter Nachdem unser SBS aktuell nur in großen und unregelmäßigen Abständen erscheint, bieten wir auf unserer Homepage einen kostenlosen elektronischen Newsletter an, mit dem Sie automatisch auf aktuelle Informationen hingewiesen werden. Wir freuen uns auf Ihre Anmeldung unter http://www.sbs.co.at. Herausgeber: SBS Software Ges.m.b.H. Weiserhofstraße 18, A 5020 Salzburg Telefon: +43 (0) 662 / 87 10 33 Telefax: +43 (0) 662 / 87 10 33 – 9 F.d.I.v.: Wolfgang Braunwieser Erscheinungsort: Salzburg Firmenbuchnummer: FN 53919, registriert beim Landesgericht Salzburg, DVR: 0563307 zertifiziert nach ISO 9001 © Salzburger Banken Software Seite: 11 15. November 2007 SBS - 19. Ausgabe Antwortfax Salzburger Banken Software - Fax: +43 (0) 662 / 87 10 33 - 9 Sie erreichen mich unter: Name: Firma: Tel.: Adresse: Fax: PLZ / Ort: E-Mail: Sie wünschen Informationen zu: KIXOperator – die Softwarelösung zur Überwachung und Administration von SB-Geräten KIXXtensions – die herstellerneutrale SB-Plattform KIXCustomer – die erweiterbare Standardapplikation für alle SBGeschäftsvorfälle KIXBranch – Einbindung der Peripheriegeräte im Schalter/Kasse Bereich Senden Sie uns Ihre Wünsche per Fax unter o.a. Nummer oder per E-Mail an [email protected]! SBS aktuell gefällt auch meiner Kollegin / meinem Kollegen. Bitte senden Sie künftig ein kostenloses Exemplar auch an: Name: ___________________________________________________________ Firma:___________________________________________________________ Adresse: _________________________________________________________ Tel.: _____________________________________________________________ Fax: _____________________________________________________________ E-Mail: __________________________________________________________ Ich bin an SBS aktuell nicht interessiert. Bitte streichen Sie mich von Ihrer Verteilerliste. © Salzburger Banken Software Seite: 12 15. November 2007