Instant Customer Notifications mit „Push-EBICS”
Die PSD2 ist in aller Munde und in diesem Zusammenhang die Bereitstellung von APIs durch Banken. Unbestritten bieten diese APIs viele Vorteile und es können damit Geschäftsprozesse wesentlich vereinfacht werden.
mehr Informationen zu ennoxx.bankingDabei wird jedoch übersehen, dass diese APIs immer aktiv durch den Kunden angesprochen werden müssen. Für die Übermittlung von Daten ist das perfekt. Nur beim Empfang von Daten muss das Unternehmen ebenfalls aktiv bei der Bank anfragen, ob Daten vorhanden sind („Pull-Verfahren“). Da der Kunde in einigen Fällen – beispielsweise bei einer Credit Notification durch Eingang einer Instant Payment – gar nicht weiß, dass Daten vorhanden sind, ist es sinnvoll insbesondere Unternehmenskunden beim Eintritt eines solchen Ereignisses pro-aktiv zu informieren und diese Daten aktiv durch die Bank initiiert übermitteln zu können.
Sobald jedoch Nutzdaten an Unternehmenskunden übermitteln werden sollen, stellt sich unabhängig von der Art der API (auf Seite des Unternehmenskunden) die Frage nach Sicherheitsmerkmalen wie Transportverschlüsselung, Nutzdatenverschlüsselung und Authentifikation des Senders.
Was liegt also näher, als auch für diese Art der Kommunikation das EBICS-Protokoll zu verwenden. Auch das EBICS-Protokoll ist ja im weiteren Sinne eine API, wenn auch nicht so „leichtgewichtig“ wie eine RESTful-API, da hier die Sicherheit und das Schlüsselmanagement eine erhebliche Rolle einnehmen.
In einer etablierten, initialisierten EBICS-Verbindung zwischen Unternehmen und Bank sind bereits alle notwendigen Schlüssel vorhanden, ausgetauscht und verifiziert. Diese werden einfach in der Rolle getauscht, um auch die Kommunikation in die Richtung Bank zu Unternehmen zu ermöglichen. Einzig und allein ändert sich die initiierende Partei: Wo bisher der Unternehmenskunde Daten anfordern musste, können diese zukünftig aktiv von der Bank geliefert werden.
Die Aktivierung von Push-EBICS erfolgt einfach durch das Übermitteln eines signierten EBICS-Auftrages, in dem das Unternehmen der Bank mitteilt, unter welcher URL das Unternehmen für die Entgegennahme von EBICS-Nachrichten erreichbar ist und welche Auftragsarten aktiv von der Bank zu liefern sind. Eine Deaktivierung einzelner oder aller Auftragsarten ist selbstverständlich auch möglich.
"Push-EBICS makes instant payments real instant and enables 24/7 cash management“
Zusammenfassung
- Aktive Information von Unternehmenskunden bei Eintritt eines Ereignisses auf Bankseite
- Erweiterung des EBICS Protokolls um Unternehmenskunden erreichbar zu machen und diesen aktiv Informationen zu übermitteln („push instead pull“)
- Die aktive Erreichbarkeit ermöglicht Unternehmenskunden auf Nachrichten der Banken zu reagieren („trigger“) und dadurch Banking-Prozesse zu streamlinen und automatisieren
- Nutzung des akzeptierten, etablierten, vertrauten und sicheren EBICS-Protokoll auch in diesem „Rückkanal“ von der Bank zum Unternehmen
- Minimale Änderungen auf Bank- und Kundenseite notwendig
- Durch die Nutzung der bereits eingerichteten, initialisierten Verbindung und der vorhandenen Schlüssel ist keine weitere Initialisierung der Bank notwendig und es entfällt eine Erweiterung des Schlüsselmanagement und der damit zusammenhängenden Prozesse
- Schnellere Verarbeitung, da nicht nur über das Vorhandensein von Daten informiert wird, sondern Nutzdaten direkt übertragen werden („1-step-to-process“)
- Neben der Information über Eingang von Instant Payment, kann dieses Verfahren auch für jegliche andere Abholauftragsart verwendet werden wie Vormerkposten, Kontoinformationen, PSRs, etc.