Standpunt DNB ten aanzien van 'overlay betaaldiensten'.
15 oktober 2009

De Nederlandsche Bank (DNB) volgt de ontwikkelingen in het betalingsverkeer en heeft vastgesteld dat nieuwe internetbetaaldiensten worden geïntroduceerd die een doorbreking vormen van de beveiliging van bestaande internetbankierentoepassingen.

Het betreft niet de betaaldiensten waarbij een bankcliënt rechtstreeks toegang krijgt tot zijn bank, maar zogenoemde 'overlay betaaldiensten' waarbij een andere partij dan alleen de bankcliënt de beschikking krijgt over geheime gegevens. Deze gegevens, die gebruikt moeten worden voor internetbankieren, zijn uitsluitend in het bezit van de bankcliënt en het is van groot belang dat de cliënt deze gegevens geheim houdt en niet aan derden verstrekt.

DNB heeft ernstige bezwaren ten aanzien van 'overlay betaaldiensten'.

Toelichting op: http://www.dnb.nl/binaries/Toelichting_tcm46-223391.pdf

Bron: DNB.nl

_________________
Geld is een goede dienaar, maar een slechte meester.

Weet iemand voorbeelden van waar dit gebeurt?

Ik denk dat maar weinig mensen je dat kunnen vertellen.
Voorlopig zou ik maar scherp opletten dat tijdens een betaling, een beveiligde httpS-verbinding rechtstreeks met je eigen bank tot stand komt.
Of een betaalrekening gebruiken die TAN- of (bankpas)calculator gegenereerde codes behoeven.
Kortweg, éénmalig te gebruiken betaalcodes.

Wil iemand de volledige tekst van de toelichting plaatsen?
Copy/paste werkt niet met mijn gratis versie reader.

_________________
Geld is een goede dienaar, maar een slechte meester.

Zoals door Paul gevraagd de volledige tekst.

Toelichting
Wanneer een consument aankopen bij een webwinkel wil afrekenen kan hij veelal kiezen uit een aantal betaalinstrumenten. Indien hij kiest voor een betaling vanaf zijn bankrekening, wordt de consument doorgeleid naar de internetbankierentoepassing van zijn bank en wordt een directe beveiligde “ end-to-end ” verbinding tussen de PC van de consument en zijn bank gerealiseerd. Als de verbinding echter verloopt via een tussenliggende betaaldienst wordt de veilige “ end-to-end ” verbinding doorbroken. Omdat de tussenliggende dienst vanuit de consument gezien voor de betaaldienst van zijn bank komt, is sprake van een overlay betaaldienst. Het is voor de consument niet altijd duidelijk dat hij kiest voor een overlay betaaldienst.

Een overlay betaaldienst simuleert als tussenliggende partij richting de bankcliënt de toegang tot de bank en richting de bank de handelingen van de cliënt. Op de website van de bank moeten persoonlijke gegevens worden ingevuld, gegevens die de cliënt ten behoeve van een veilig internetbankieren geheim moet houden. De bankcliënt verstrekt deze gegevens nu aan de overlay betaaldienst die deze gegevens weer invult op de website van de bank. Het bedrag van de transactie wordt rechtstreeks overgeschreven van de rekening van de klant naar de rekening van de webwinkelier, waardoor de overlay betaaldienst een betaalgarantie kan afgeven aan de webwinkelier. Een dergelijke betaaldienst kan worden gerealiseerd zonder samenwerking met de banken. De overlay betaaldienst verricht de handelingen namens de bankcliënt bij zijn bank en vraagt daartoe de benodigde geheime gegevens aan de bankcliënt. De aanbieder van de overlay betaaldienst beschikt hierdoor over deze geheime gegevens. Afhankelijk van de bancaire toepassing kan de aanbieder deze gegevens gebruiken om -op een ander moment- toegang te verkrijgen tot de internetbankieren- toepassing van de cliënt bij zijn bank zonder medeweten van deze cliënt. Of daarbij ook transacties kunnen worden verricht, hangt af van de opzet van de toepassing bij de bank. Wanneer daartoe éénmalige transactiecodes zijn vereist, is veelal medewerking van de cliënt nodig omdat daarbij de bankpas, PIN-code en calculator of TAN-code of -lijst nodig zijn.

De banken kunnen niet eenvoudig bepalen of de cliënt zelf dan wel een overlay betaaldienst toegang heeft tot de internetbankierentoepassing en de transacties uitvoert. Daarnaast kunnen fraudeurs ook gebruik maken van dezelfde methodiek. De banken hechten dan ook grote waarde aan de veiligheid van het internetkanaal tussen de internetbankierentoepassing op de webservers bij de bank en de webbrowser op de pc van de cliënt, waarbij een door versleuteling beveiligd “ end-to-end ” kanaal over Internet wordt gebruikt. Daarnaast mag de cliënt zaken als wachtwoorden, bankpassen, PIN-codes, TAN-codes en -lijsten niet aan derden verstrekken. Alleen als aan deze voorwaarden wordt voldaan kunnen banken de veiligheid van internetbankieren in voldoende mate waarborgen.

Het veiligheidsaspect voor de internetbankierentoepassingen vormt het belangrijkste risico van overlay betaaldiensten. De opzet van dergelijke diensten maakt het voor bankcliënten lastiger onderscheid te maken tussen bonafide en malafide diensten en maakt het onderscheid onduidelijk tussen diensten waarbij geheime gegevens aan derden worden verstrekt, dan wel rechtstreeks aan de eigen bank. De opzet ondermijnt ook de maatregelen van banken om het internetbankieren veilig te houden.

DNB staat in beginsel positief tegenover nieuwe internetbetaaldiensten, omdat daarmee de efficiency van het betalingsverkeer kan worden bevorderd. Nieuwe betaalinstrumenten dienen echter wel veilig te zijn en de veiligheid van bestaande betaaldiensten niet te ondermijnen. Bij de hier bedoelde overlay betaaldiensten wordt de veiligheid van de bestaande internetbankierentoepassingen ondermijnd. Voor DNB weegt dit veiligheidsaspect zwaar.

Bron: DNB.nl

De DNB houdt het bij een simpele constatering waar niemand iets mee opschiet. Wat gaat de DNB hieraan doen of anderen adviseren hier iets aan te doen??

_________________
There is enough for everyone's need but not enough for everyone's greed- Ghandi

Begrijp ik nu goed uit de toelichting, dat het Ideal-betalen ook via het Overlay systeem kan verlopen, maar dat je dat dan niet in de gaten hebt?

Die conclusie trek ik ook, als dit klopt is dat een slechte zaak.
Het is eigenlijk al zover, dat er niets en niemand meer te vertrouwen is.

Gisteravond heb ik een betaling via iDeal gedaan en, vanwege deze thread, nog maar eens extra goed opgelet hoe dit nou verloopt.

Op het moment dat het tijd werd om te betalen kwam er op de website van de winkel een mededeling dat de betaling zou gaan verlopen via Ogono o.i.d. Aha, een overlay betaaldienst. Vervolgens kwam ik op "secure.ogono.nl" waar ik kon kiezen via welke bank ik mijn iDeal betaling wilde laten verlopen. Daarna kwam ik op het iDeal-deel van de site van mijn bank terecht, waar ik dan de mijn userid en password kon gaan intikken, en de betaling verder afhandelen. Lijkt me allemaal in orde.

Als ik de discussie goed begrijp zouden we dus altijd goed moeten opletten dat er niet om userid´s en passwords wordt gevraagd op het moment dat je nog met de overlay dienst verbonden bent (secure.ogono.nl in het voorbeeld). Ik ben bij mijn weten in de praktijk nog niet tegengekomen, en ben benieuwd of er mensen zijn die dit wel al meegemaakt hebben.

Ik kocht iets in de webshop van de ANWB met ideal en Rabobank en heb even opgelet wat er gebeurde. Bij naam begunstigde stond: "Creditwork inzake ANWB webshop inzake Creditwork inz. ANWB" Dus heb ik kennelijk betaald via de overlay-dienst met de naam: Creditwork. Verder stond er: "De begunstigde wordt over onderstaande betaling geinformeerd". Beetje schimmig, toch.

Ik denk niet dat dat via overlay ging. Het gaat erom of er een site tussen jou en je bank zit.
Zolang je een beveiligde rechtstreekse verbinding hebt met je bank gaat het volgens mij niet via een overlay systeem.
De beveiligde verbinding kun je herkennen aan de https verbinding. In de adresbalk kun je zien dat je op de site van je bank zit.
De naam van de bank staat dan in een gekleurde balk voor het adres in je browser (bij gebruik van firefox in ieder geval)

Als ik ernaast zit hoor ik dat graag.

_________________
beleggen is gemakkelijk: je moet kopen van pessimisten en verkopen aan optimisten.

Deze kwestie komt de laatste dagen steeds meer in het nieuws,
lees o.a. 'Ernstige zorgen' over onveilige iDeal-kloon. http://webwereld.nl/nieuws/64284/-ernst ... ource=sub2

_________________
Geld is een goede dienaar, maar een slechte meester.

Het gaat dus (volgens dit artikel) duidelijk om een andere dan iDeal betaalwijze.

Dat vond ik in veel internet/krant berichtgeving niet duidelijk naar voren komen, en ook staat me dan tegen dat er paniek wordt gezaaid maar er vervolgens aan de consument niet wordt uitgelegd hoe dit te voorkomen is of te zien is of/wat/hoe etc.

Ik wil lezen waar ik op moet letten en waar ik voor moet oppassen. Niet dat ik alleen maar bang en bibberend in een hoekje moet gaan zitten en hopen dat het noodlot mij niet treft.

Opvallend: bij DIRECTebanking.nl staat wel "Je hebt een bankrekening in: Nederland" maar als je vervolgens wilt controleren welke banken ze ondersteunen dan staat Nederland er in het keuzelijstje niet (meer?) bij.

maar iDeal zit toch ook tussen de webwinkel en de bank in? wat is het verschil... het is gewoon een concurrerend bedrijf dat net zo'n oplossing aanbiedt als iDeal ook doet, of begrijp ik het verkeerd?

Volgens mij juist niet, het gaat om een soortgelijke betaalvorm als ik dat grafiekje zo zie, iDeal werkt net zoals in de grafiekje van Direct-ebanking... althans daar lijkt 't wel verdacht veel op?