Hier finden Sie Antworten zu Ihren Fragen rund um das Thema XS2A!
Die Star Finanz-Software Entwicklung und Vertriebs GmbH ist eine hundertprozentige Tochter der Finanz Informatik. Der Sparkassen Innovation Hub ist ein Unternehmensbereich der Star Finanz und eine gemeinschaftliche Initiative der Finanz Informatik, des DSGV, des DSV sowie den teilnehmenden Sparkassen. Er ist auch Ansprechpartner für FinTechs und InsureTechs für über die PSD2 hinausgehende Kooperationen mit der Sparkassen-Finanzgruppe.
Die Finanz Informatik mit Sitz in Frankfurt am Main ist der zentrale IT-Dienstleister der Sparkassen-Finanzgruppe. Die Finanz Informatik bietet kompletten IT-Service – von Anwendungsentwicklung über Infrastruktur- und Rechenzentrumsbetrieb bis hin zu Beratung, Schulung und Support.
XS2A bedeutet „access to account“ und meint die regulierte Zugriffsmöglichkeit auf Zahlungskonten bei Banken und Sparkassen in der europäischen Union nach der Payment Services Directive 2 (PSD2). Die XS2A-Schnittstelle folgt dabei der Berlin Group Spezifikation und ist über RESTful Services (Representational State Transfer) umgesetzt.
Die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) reguliert im Kontext der XS2A-Schnittstelle nach ZAG (Zahlungsdiensteaufsichtsgesetz) die in Deutschland ansässigen TPP (Third Party Provider) in den wesentlichen Rollen eines Kontoinformationsdienstleisters (KID) und Zahlungsauslösedienstleisters (ZAD) und klassifiziert diese auch entsprechend.
Die Sandbox (Sandkasten) ist ein Test- bzw. Integrationssystem für TPP (Third Party Provider), um sich mit Hilfe der bereitgestellten Testdaten bestmöglich auf das Verhalten der produktiven XS2A-Schnittstelle vorzubereiten.
Ja, sofern Sie sich nicht im PSD2-Kontext bewegen, d.h. als Kontoinformationsdienst oder Zahlungsauslösedienst auf Zahlungskonten zugreifen.
Ein sogenannter Third Party Provider ist im Sinne der PSD2 ein Dritter, der für einen Kunden in dessen Auftrag mit dessen Zahlungskonten agiert.
Die URL für die produktive XS2A Schnittstelle lautet https://xs2a.f-i-apim.de:8443/fixs2aop-env/xs2a-api/, die Pfad- und Paramatererweiterungen sind mit denen des Sandbox-Systems identisch.
Ja, die Fallback-Schnittstelle ist das Internet Banking der Sparkassen. Damit Sie sich rechtskonform verhalten, sind hier ebenfalls Ihre QWAC-Zertifikate zu verwenden und es ist darauf zu achten, dass bei jedem Aufruf die ursprüngliche Basisdomäne und der korrekte Port 8445 verwendet werden.
Es sind die entsprechenden XS2A-Schnittstellen des jeweiligen Instituts zu nutzen
Alle deutschen Sparkassen, sowie alle Landesbanken und die Weberbank.
Es können Zahlungskonten, also Privat- und Geschäftsgirokonten, genutzt werden. Jedoch nur die Konten, die der Kunde für sie als TPP freigegeben hat.
Der Kunde kann einem TPP den Abruf seiner Kontenliste, mit den zugehörigen Salden und Umsätzen ermöglichen.
In der abgerufenen Kontenliste, werden je Konto die IBAN, die Kontowährung und die institutsspezifische Produktbezeichnung des Kontos bereitgestellt. Auch beim Einzelabruf werden die identischen Daten geliefert.
Es wird der gebuchte Saldo inkl. Währung und Datum sowie die available Balance bereitgestellt. Weitere Saldoarten werden nicht bereit gestellt.
Umsatzdaten werden im Format XML CAMT 052.001.02 inkl. Vormerkungen bereitgestellt. Eine Lieferung in MT940 oder JSON wird nicht unterstützt.
Der maximale Abfragezeitraum in die Vergangenheit entspricht dem des Online-Bankings der Kunden. Der erste Umsatzabruf eines Drittdienstes nach Erteilung der Zustimmung durch den Endkunden kann Umsätze liefern, die älter sind als 180 Tage. Alle weiteren Umsatzabfragen sind lediglich für maximal 180 Tage in die Vergangenheit möglich. Sofern der Drittdienst nachträglich auf ältere Umsätze zugreifen möchte, muss eine neue Zustimmung mit dem Kunden eingeholt werden, die den erstmaligen Abruf erneut erlaubt.
Ja, eine Einschränkung des abgefragten Zeitraums auf Datumsgrenzen ist möglich. Zusätzlich kann der Drittdienst von der Funktion eines Delta-Abrufes Gebrauch machen.
Es können Einzel-, Sammel-, Echtzeit- und Terminüberweisungen eingereicht werde, sowie Daueraufträge und Auslandsüberweisungen.
Nein, über das Sandbox-System werden nur statische Testdaten bereitgestellt und relevante Fehlersituationen emuliert. Echte Konten sind nur über die produktive XS2A-Schnittstelle nutzbar.
Nein, um die produktive XS2A-Schnittstelle nutzen zu können ist eine Registrierung oder Erlaubnis notwendig, in Deutschland ist dafür die BaFin zuständig, in anderen europäischen Ländern ist die entsprechende nationale Instanz zu nutzen. Mit dieser Registrierung / Erlaubnis kann bei einem Trust Center das entsprechende Zertifikat für die produktiven XS2A-Schnittstellen der Banken und Sparkassen beantragt werden.
Durch einen Consent gibt der Kunde einem TPP seine Zustimmung auf seine Daten zuzugreifen oder für ihn Aufträge bei seiner Sparkasse oder Bank zu erteilen. Der Endkunde hat in seinem Online Banking die Möglichkeit die Zugriffsrechte zu verwalten.
Grundsätzlich ist die Erteilung eines Consents TAN-pflichtig, ausgeschlossen ist die Kontoliste ohne Details.
Die maximale Gültigkeit einer Zustimmung beträgt 180 Tage. Anschließend muss eine neue Zustimmung vereinbart werden.
Zustimmungen können für einen Einmalabruf vereinbart werden. Alternativ kann eine Zustimmung für einen wiederholten Zugriff („Abo-Zustimmung“) erteilt werden, bei dem der Drittdienst, bis zum Ablauf der Gültigkeit und bis zur vereinbarten Zahl von Zugriffen pro Tag, unbedient zugreifen darf. Der Drittdienst muss die Information, ob es sich um einen bedienten Abruf oder einen unbedienten Abruf handelt, korrekt übertragen.
Zu einem Drittdienst kann immer nur eine gültige Zustimmung für einen wiederholten Zugriff (”Abo-Zustimmung“) vorhanden sein. Wird eine neue Zustimmung vereinbart, wird die bestehende Zustimmung überschrieben.
Zahlungsauslösungen, die über die XS2A-Schnittstelle initiiert werden, unterliegen ebenfalls dem Online-Banking-Tageslimit. Ist für den Kunden ein Limit im Internet-Banking (Internet Filiale) wird dieses Limit genutzt.
Ein TPP kann lediglich Aufträge abrufen oder stornieren, die von ihm als TPP für den Kunden ausgelöst wurden. Der Kunde hat im Internet-Banking und FinTS auch weiterhin die Möglichkeit diese Aufträge zu ändern oder zu löschen. Der TPP hat bei einer solchen Löschung keine Möglichkeit mehr zu diesem Auftrag einen Status abzurufen oder ihn zu stornieren. Das direkte Kundensystem (Internet-Banking oder FinTS-Produkt) ist also führend.
Gemäß „NextGenPSD2“-Spezifikation der Berlin Group hat ein Drittdienst die Möglichkeit ein spezielles Kennzeichen bei Einreichung zu übergeben, um die Dispositionseinstellung des Kreditinstitutes zu übersteuern. Hierüber kann der Drittdienst festlegen, dass ein Auftrag bei fehlender Kontodeckung auch dann sofort abgewiesen wird, wenn ansonsten die „weiche Disposition“ gezogen hätte. Er erzwingt darüber die „harte Disposition“ für diesen Auftrag.
Nachfolgend sind alle Auftragsarten, die entsprechenden FinTS-Bezeichnungen und die unterstützten Format aufgeführt:
| Funktion | Bezeichnung nach FinTS | Format |
|---|---|---|
| Einzelüberweisung | HKCCS | PAIN, JSON |
| Terminierte Einzelüberweisung | HKCSE | PAIN, JSON |
| Echtzeitüberweisung | HKIPZ | PAIN, JSON |
| Eilüberweisung | HKCSU | PAIN, JSON |
| Auslandsübereisung | HKAUB | JSON |
| Sammelüberweisung | HKCCM | PAIN, JSON |
| Terminierte Sammelüberweisung | HKCME | PAIN, JSON |
| Dauerauftragsanlage | HKCDE | PAIN + JSON, nur JSON |
Jede einzelne Zahlungsauslösung erfordert eine Authentifizierung und Autorisierung durch den Endkunden. Ob Zahlungen hierbei TAN-pflichtig sind, wird gemäß der SCA-Ausnahmen (Strong Customer Authentification) auf Instituts- und Benutzerebene geprüft.
Sowohl ein Test- als auch ein echtes Zertifikat – sofern eine Registrierung oder Erlaubnis der BaFin vorliegt – erhält man bei einem der Trust Center in Europa und in Deutschland, z.B. bei der Bundesdruckerei.
Nein, hierfür sind die entsprechenden XS2A-Schnittstellen der jeweiligen ausländischen Sparkassen zu nutzen und bei diesen zu erfragen.
Hierfür kann es folgende Gründe geben:
Jeder, der nach ZAG (Zahlungsdiensteaufsichtsgesetz) als TPP (Third Party Provider) in der Rolle eines Kontoinformationsdienstes (KID) oder Zahlungsauslösedienstes (ZAD) agiert. Informieren Sie sich hierzu bitte direkt bei der BaFin oder Ihrer nationalen Aufsicht.
Der Drittdienst leitet den Browser des Endkunden nach Auftragseinreichung innerhalb der Anwendung ins Online-Banking, damit der Endkunde dort seine Zugangsdaten eingeben kann. Hierfür ist für das Sandbox System die Hinterlegung Ihres Zertifikates in Ihrem Browser notwendig. Die weitere Auftragsverarbeitung erfolgt innerhalb des Online-Banking. Nach Auftragsabschluss wird der Browser zurück in die Anwendung des Drittdienstes geführt. Eine Beschreibung befindet sich im Care-Package.
Um auf die OAuth Login UI oder die Consent UI zuzugreifen, müssen Sie Ihr Client Zertifikat in Ihren Browser importieren.
Als TPP können Sie auf das Internet Banking der Sparkassen zugreifen. Damit Sie sich rechtskonform verhalten, sind hier ebenfalls Ihre QWAC-Zertifikate zu verwenden und es ist darauf zu achten, dass bei jedem Aufruf die ursprüngliche Basisdomäne und der korrekte Port 8445 verwendet werden.
Die PSU-ID in der Finanz Informatik kann Umlaute enthalten.
Sie haben folgende Umsetzungsmöglichkeiten:
Sie senden den HTTP-Header PSU-ID, konform zur HTTP-Spezifikation, mit einem ISO-8859-1 Encoding.
Alternativ kann der Header in ISO-8859-1 Encoding Form zuvor mit Base64 kodiert und mit einer entsprechenden Kennzeichnung =?ISO-8859-1?B??= versehen gesendet werden.
Andere Formate wie z.B. UTF-8 werden nicht unterstützt und führen in der Folge zu folgender Fehlermeldung: PSU_CREDENTIALS_INVALID.
