bunq Together

SOFORT.de Zahlungen

Flo1979

Hallo zusammen!

Offenbar gab es eine Änderung bei der Nutzung von Dienstleistern wie sofort.de aufgrund neuer Bedingungen für Banken.
Ich muss einzelne Anfragen nun „verbinden“, explizit mit bestimmten Konten etc.

Gibt es denn irgendwo Infos darüber hier? Es wird ja auf Together verwiesen. Aber dort ist nicht wirklich etwas hinterlegt, bzw. zu finden.

Jakob-Y

FloLoL79🌈 Gibt es denn irgendwo Infos darüber hier?

Mir ist kein Info-Topic o. Ä. dazu bekannt. Aber du hast Recht, der Vorgang läuft jetzt anders ab. Klarna verbindet sich als PSD2-Dienstleister per OAuth-API von bunq mit dem Konto deiner Wahl und bereitet die Zahlung vor, du musst sie dann noch mal in der App annehmen. Klarna nutzt also dieselben Schnittstellen, die auch jeder andere Zahlungsdienstleister nutzen kann, und hat nun keine exklusive Integration mehr mit bunq.

Damit ist nun auch leicht nachzuvollziehen, wie sehr der Zugriff auf dein Konto durch Klarna beschränkt ist, siehe die API-Dokumentation für PISPs. Sie können also deinen Namen und IBAN(s) auslesen und die Zahlung vorbereiten, sonst nichts. Dein Kontostand, deine Transaktionen oder weitergehende persönliche Daten über dich bleiben außen vor.

Diese Änderung würde ich insgesamt als recht erfreulich ansehen. Nun sollten auch diese Probleme definitiv der Vergangenheit angehören: https://together.bunq.com/d/24145

Flo1979

Jakob Merci :)

Klingt wirklich sehr gut.
Was mir allerdings fehlt, habe ich so noch nicht gefunden, eine Übersicht in der App, welche Verbindungen es schon so gibt.
Wenn ich es richtig verstehe, spielt das zwar insofern keine, da der Händler vor der Buchung ohnehin eine Anfrage starten muss, aber ich wüsste eigentlich schon gerne, welche Verbindungen es an der API schon so gibt. ;)
Oder habe ich das übersehen?

Jakob-Y

FloLoL79🌈 eine Übersicht in der App, welche Verbindungen es schon so gibt.

Die findet sich unter Profil > Einstellungen > Sicherheit und Einstellungen > Meine App-Verbindungen (ganz unten). Du solltest dort einen Eintrag "SOFORT GmbH" wiederfinden. Du kannst dort dir anzeigen lassen, auf welche Konten der Zugriff besteht (wobei "Zugriff" natürlich im Falle von Sofort hier nur im Rahmen der Möglichkeiten als PISP bezeichnet, also keinen Zugriff auf Transaktionsdaten oder Kontostand). Außerdem lässt sich dort die Verbindung auch wieder entfernen.

da der Händler vor der Buchung ohnehin eine Anfrage starten muss

Das ist so richtig. Das gilt sogar für alle Verbindungen über die OAuth-API, egal ob die Verbindung zu einem PISP, AISP, etc. hergestellt wurde. Da muss man sich also relativ wenig Sorgen machen. Wirklich gefährlich kann es nur werden, wenn man seinen API-Schlüssel einfach so rausgeben würde. Das ist dann aber nicht mehr OAuth und geht nicht so einfach per QR-Code-Scan, kann also nicht mal "aus Versehen" passieren.

Interessant wäre an der Stelle, ob Sofort für jede einzelne Zahlung eine neue OAuth-Verbindung aufbaut oder die bereits bestehende Verbindung erneut nutzen kann. Macht nicht wirklich einen Unterschied für irgendwas, aber die Liste an Verbindungen wäre dann weniger übersichtlich... :P

Flo1979

Jakob Danke noch mal ;)
So tief hatte ich noch gar nicht gesucht.^^

Sprich; Das alte Verfahren via QR Code scan entsprach der weitergabe eines API Schlüssels in Verbindung mit Summe X, die gebucht werden sollte/durfte?

Ich denke, es wird für jede Zahlung eine einzelne Verbindung aufgebaut. Zumindest bei Sofort.de
Da ich jetzt bei 2 Vorgängen, unterschiedliche Händler, jeweils separat eine neue Verbindung gebraucht habe.

Jakob-Y

FloLoL79🌈 Das alte Verfahren via QR Code scan entsprach der weitergabe eines API Schlüssels in Verbindung mit Summe X, die gebucht werden sollte/durfte?

Das alte Verfahren lief über eine spezielle Integration von bunq mit Sofort, nicht über die öffentliche API. War mit aller Wahrscheinlichkeit also auch sehr robust und abgesichert, nur nicht öffentlich dokumentiert wie die Schnittstelle, die jetzt genutzt wird. Rechte vergleichbar mit dem Zugang per API-Schlüssel kann und konnte man Gott sei Dank nicht so einfach per QR-Code vergeben.

es wird für jede Zahlung eine einzelne Verbindung aufgebaut

Gut zu wissen. Mal sehen wie das langfristig aussieht. Theoretisch hätte Sofort auch die Möglichkeit, die Verbindungen nachher wieder zu entfernen. Vielleicht geschieht das ja nach einiger Zeit, ansonsten müsste man es selbst machen, falls es einen stört.

Flo1979

Jakob Hm… gemäß PSD2 müssen Zugänge etc. ja eh alle, ich weiß nicht wie oft, Monate zurückgesetzt werden?
Wie dem auch sei, klingt nun auf jeden Fall richtiger.

Jakob-Y

FloLoL79🌈 oft, Monate zurückgesetzt werden?

Nach max. 3 Monaten muss die Verbindung "aufgefrischt" werden, damit der Zahlungsdienstleister weiterhin die Verbindung nutzen kann, die Verbindung an sich erlischt aber meines Wissens nach nicht. Schauen wer mal.