Modernway of Payment: Tpp+ der CRIF AG
WeAreGroup GmbH implementiert gemeinsam mit CRIF eine multifunktionale Plattform zur Anbindung von 220 deutschen Banken an das yes®-Ökosystem für CRIF.
Can
Referenz
•
17.07.2022
Sich selbst mit dem eigenen Bankkonto einfach im Internet ausweisen, Verträge abschließen, einloggen, bezahlen und vieles mehr – das ist mit dem yes®-Ökosystem möglich. Was lange Zeit nur Kunden der Volksbanken und Sparkassen zur Verfügung stand, ist mit dem von CRIF und uns programmierten Third-Party-Provider Plus (TPP+) für alle Banken möglich. Im März 2020 fiel der Startschuss für dieses außergewöhnliche Projekt zur Erweiterung des Ökosystems, im Juli 2021 ist die multifunktionale Plattform zur Anbindung von 220 deutschen Bankinstituten unter der Federführung von CRIF live gegangen. Mit der Implementierung des TPP+ für das yes®-Ökosystem ermöglichen wir allen Finanzinstituten, die bisher noch nicht aktiv teilgenommen hatten, die vollumfängliche Anbindung an alle Dienste des Ökosystems. Neben der Abwicklung von Zahlungen umfassen diese Dienste auch die elektronische Signatur, den digitalen Identitätsnachweis sowie Kontoinformationsdienste. Die Federführung für den TPP+ trägt CRIF im Sinne der zweiten Zahlungsdienste-Richtlinie (PSD2) und unter Beachtung der DSGVO. Hier soll die Geschichte hinter unserer Umsetzung dieses außergewöhnlichen Projekts näher beleuchtet werden.
Herausforderungen des Projekts
Der Entwicklung des TPP+ und Implementierung für das yes®-Ökosystem lagen auf verschiedenen Ebenen anspruchsvolle Herausforderungen zu Grunde: Zum einen forderte die enorme technische Komplexität ein hohes Maß an spezifischer Expertise, um die verschiedenen Identifikations- und Authentifikationsprozesse umzusetzen und zusammenzuführen. Zum anderen benötigte das Vorhaben ein fundiertes Fachwissen im deutschen Markt, insbesondere zur DSGVO, PSD2, zu den deutschen Bankinstituten und deren Sicherheitsaspekten sowie Cloud Anwendungen. Da für diese Anforderungen intern kein ausreichend qualifiziertes und eingeübtes Team gestellt werden konnte, musste die Realisierung außerhalb der bestehenden Unternehmensstruktur des Auftraggebers erfolgen, um schnell und agil Erfolge zu erzielen. Da dieses Projekt viele Fallstricke und Risiken bereithielt, sollte der Auftrag an ein Expertenteam erteilt werden, dass diese Erfahrungen und Qualitäten stellen kann.
Anforderungen an den Entwicklungspartner
Zusätzlich zu der genannten Fachexpertise rund um das Zielprodukt ergaben sich für die Zusammenarbeit hinsichtlich des externen Entwicklungspartners noch weitere wichtige Faktoren. Da durch die Komplexität ein enormer Kommunikationsbedarf abzusehen war, sollte der Partner im gleichen Sprachraum und in der gleichen Zeitzone tätig sein. Ebenso sollte der Partner die Anwendung im Tech-Stack des Auftraggebers entwickeln und auf den späteren Betrieb vorbereiten. Es wurde also ein Partner in Deutschland gesucht (Onshore-Auftrag), der das Software-Team selbst steuert und eine hohe Produktaffinität und Betriebserfahrung besitzt.
Wie wir als Entwicklungspartner überzeugt haben
Wir konnten den Auftraggeber über die Erfüllung der Anforderungen hinaus mit verschiedenen betriebseigenen Vorteilen überzeugen. Die Kombination aus außerordentlichem Prozessverständnis und flexibler Betriebsstruktur ermöglicht es uns, gegenüber unseren Auftraggebern ein hohes Maß an Transparenz zu gewährleisten und uns auch im weiteren Verlauf eines Projekts auf den Auftraggeber einzulassen. Ebenso überzeugt unser eingespieltes Softwareteam neben seiner hohen technischen Expertise und seinen erprobten Entwicklungsprozessen mit einer umfangreichen Dokumentation der Leistungen und Entwicklungsschritte, sowohl auf Englisch als auch auf Deutsch. Da das gesamte Software-Team fest bei uns angestellt ist, können wir uns Kundenprojekten mit Entwicklungsbedarf schnell annehmen, zusätzlich entfallen Sprachschwierigkeiten und Zeitverschiebungen, wodurch eine effizientere und effektivere Koordination und Kommunikation wahlweise auf Englisch oder Deutsch stattfinden kann. Durch ein präzises Projektmanagement nach agiler Scrum-Methodik, werden alle Beteiligten effektiv und eng in den Prozess eingebunden: Ein:e persönlich zuständige:r Ansprechpartner:in unterstützt unseren Auftraggeber bei organisatorischen Aufgaben und bildet die Schnittstelle zu den Entwicklern, die in zweiwöchigen Sprints fokussiert arbeiten. Durch den zusätzlichen Zugriff auf Projektmanagement-Tools ergeben sich insgesamt bessere Kontroll- und Einflussmöglichkeiten als im Off- oder Nearshoring - darüberhinaus gewährleisten wir stets den Schutz der Daten und des geistiges Eigentums des Auftraggebers, sowie seinen Zugang zum Quellcode. All diese Vorteile für dieses riskante Projekt finden sich in einer optimalen Kostenstruktur wieder: Durch die Beauftragung nach agilem Festpreis können wir Kosten vorab präzise abschätzen und unsere Kunden zahlen schließlich genau das, was sie brauchen und möchten.
Unser Ansatz - unsere Umsetzung - unsere Lösung
Im März 2020, noch vor Beginn der Umsetzung, erfolgte ein kurzer Pitch des Projektes seitens CRIF und FinTecSystems, in welchem unter anderem der erste grobe Rahmen abgesteckt wurde. Auf Basis dieser Informationen konnten wir ein Fachteam aufstellen, welches den Pre-Sale-Prozess begleitete und später den Kern des Entwicklungsteams bildete.
Zum Start der Zusammenarbeit mit FinTecSystems wurde ein klassischer Anforderungs-Workshop in den Räumen des Auftraggebers mit den von uns identifizierten Experten abgehalten. Ziel war es, das Projekt und seine Herausforderungen kennenzulernen. Daraus resultierend wurde der Vertragsgegenstand auf einer groben Ebene beschrieben. Dazu gehörten die wesentlichen Projektziele, Themen, Softwareanforderungen und Meilensteine. Anschließend wurde ein für das Projekt repräsentativer Meilenstein ausgewählt und bis zur Ebene von User Stories spezifiziert. Bei einem geeigneten Meilenstein entsteht so eine ausreichende Anzahl an User Stories unterschiedlicher Art und mit unterschiedlichem Funktionsumfang, die als Referenz-User Stories gelten dürfen - so war es auch hier der Fall.
Im nächsten Workshop bestimmten wir gemeinsam mit dem Auftraggeber anhand der Referenz-User-Stories, der anderen Epics und mit Hilfe von groben Zeitschätzungen den Aufwand für das gesamte Projekt. Ebenso wurden Annahmen bezüglich des Implementierungsrisikos und Business-Values geschätzt. Daraus ergab sich ein indikativer Festpreisrahmen, der noch nicht vertraglich bindend war und erst am Ende des nächsten Schritts fixiert wurde.
Im vierten Schritt wurde die Checkpoint-Phase festgelegt. Diese gilt üblicherweise als Testphase für die Zusammenarbeit, da wir dort bereits mit der Umsetzung beginnen und erste empirische Erkenntnisse gewinnen. Aus unserer Erfahrung empfehlen wir eine Länge zwischen zwei und fünf Sprints à zwei Wochen, die auch hier Anwendung fanden.
Zum Ende der Checkpoint-Phase überprüften wir gemeinsam mit dem Auftraggeber die anfangs gemachten Annahmen. Auf Basis dieser Ergebnisse entschied der Auftraggeber, das Gesamtprojekt in dieser Zusammenarbeit umsetzen zu wollen. Ebenfalls wurde dann der zunächst indikative Festpreisrahmen vertraglich bindend festgelegt. In dieser Phase wurde ebenso die Verteilung der Risiken vereinbart, welche festlegt, in welchem Umfang entstandene Kosten bei Überschreitung des Maximalpreisrahmens an den Auftraggeber verrechnet werden. Darüber hinaus wurden die Rollen benannt und besetzt, die für die Steuerung des Projektes verantwortlich sind. Hierzu gehörten auf Auftraggeberseite der Projektleiter / Product Owner und auf unserer Seite der Projektmanager / Product Owner. Zudem wurde aus der Management-Ebene der Geschäftspartner ein Lenkungskreis als letzte Entscheidungsinstanz gebildet. Abschließend wurde in dieser Phase der Kern des Projektteams um weitere Fachexperten, die mit der Umsetzung betraut wurden, aufgestockt.
Im Anschluss konnten wir über die folgenden Monate die festgelegten Meilensteine umsetzen:
Technischer Grundaufbau (Projektaufsatz, Serverinfrastruktur etc.)
Nicht verifizierte Identität
Verifizierte Identität
Qualifizierte elektronische Signatur
Go-Live (05. Juli 2021)
Zahlungsauslöse
Kontoinformationsdienst
Resultate/Ergebnisse:
Wir bewältigten dieses komplexe Projekt durch unsere professionelle und engagierte Arbeitsweise sehr erfolgreich: Nicht nur entwickelten wir die Software mit den gewünschten Funktionen und anspruchsvollen Herausforderungen im geplanten Zeitplan, die meisten Meilensteine wurden sogar vor dem Zeitplan erreicht. Auch die Zusammenarbeit mit den vielen externen Partnern konnten wir wie gewünscht meistern, während wir auch den Auftraggeber stetig in den Entwicklungsprozess einbezogen haben. Unsere Entwicklung wurde ebenfalls den hohen rechtlichen Anforderungen gerecht, sodass die Software erfolgreich in den Betrieb genommen wurde und seitdem den Kunden der 220 deutschen Bankinstituten die digitale Identifikation und Authentifizierung erleichtert.
„Die Kombination der unterschiedlichen Anforderungen und Leistungen der Dienstanbieter mit der yes® Spezifikation war nicht immer ganz einfach, letztlich haben wir für alle externen Dienste eine kundenfreundliche Integration ermöglicht“, sagte Lead-Entwickler Antoine Corre zur Inbetriebnahme des TPP+. „Wir freuen uns sehr, nun zu sehen, dass die Arbeit der vergangenen anderthalb Jahre für alle verfügbar ist und Kund:innen von 220 deutschen Bankinstituten die Vorteile von yes® nutzen können,“ sagt unser Geschäftsführer Toni Barthel zum Launch im vergangenen Jahr. „Mit der TPP+ Implementierung für CRIF ist es uns gelungen, alle noch nicht aktiv teilnehmenden Banken anzubinden.“
"Neben initialen Identifikationsdiensten dürfen sich unsere Kunden schon jetzt auf spannende neue Services im Bereich Kreditrisikomanagement, Betrugsabwehr und Payment innerhalb des yes® Ökosystems freuen,“ gab CRIF Geschäftsführer Dr. Frank Schlein damals einen Ausblick in die Zukunft.
Kurz darauf wurden wir aufgrund unserer überzeugenden Arbeit während des gesamten Entwicklungsprozesses mit der Weiterentwicklung und dem Betrieb als Folgeauftrag betraut.
Wir freuen uns, Teil dieses außergewöhnlichen und innovativen Projekts zu sein und sind froh, unsere Qualitäten und Kompetenzen in diesem Themengebiet unter Beweis stellen zu können.
Über die WeAreGroup GmbH
Die WeAreGroup treibt die digitale Transformation führender Unternehmen und innovativer StartUps voran. Dazu bietet sie fundierte Beratung und Softwareentwicklung rund um zukunftsweisende Technologien: Dazu zählen das Cloud Engineering im Umfeld von Financial Services, die Entwicklung von Künstlicher Intelligenz zur Unterstützung von Entscheidungen, innovativen Internet of Things-Lösungen für die Industrie 4.0 sowie die Realisierung von Blockchain-Technologien zur nahtlosen Verfolgung von Vorgängen. Mit umfassender Technologiekompetenz, starken Partnerschaften und skalierbaren IT-Lösungen steigert die WeAreGroup die Produktivität in der Softwareentwicklung. Kunden erhalten mit der WeAreGroup schneller und mit geringerem Risiko Zugang zu neuen IT-Anwendungen und innovativen Geschäftsmodellen.
Über das yes®-Ökosystem
Eine Identitätsbestätigung ist für Kunden einer Bank mit yes® so einfach wie eine Überweisung: Nutzer:innen beauftragen den direkten Datentransfer aus den Systemen der Bank an den anfragenden Partner. Die Daten werden nirgendwo sonst gespeichert oder ausgewertet. Der Identitätsdienst yes® ist eine einfache, schnelle und medienbruchfreie Alternative zu etablierten Identifizierungslösungen und erfüllt die Schriftform. Zu den aktivierten rund 35 Mio. Kund:innen der mehr als 1.000 angeschlossenen Partnerinstitute (Volksbanken Raiffeisenbanken sowie Sparkassen) wird yes® über CRIF für alle Online-Banking Nutzer:innen angeboten. Partner partizipieren von modularen Vertragsmodellen, einfachen Abrechnungsprozessen und transparenten Haftungsbedingungen. Das Angebot wurde unter Berücksichtigung der PSD2- und eIDAS-Vorschriften entwickelt und bietet die Möglichkeit einer europaweit gültigen digitalen Identität, die höchste Standards in Bezug auf Sicherheit und Datenschutz garantiert.
Über CRIF
CRIF ist eine Wirtschaftsauskunftei-Gruppe mit Hauptsitz in Bologna, Italien. In Deutschland zählt sie zu den führenden Informationsdienstleistern für Firmen und Privatpersonen und kann auf über 130 Jahre Markterfahrung verweisen. Das Unternehmen bietet passgenaue Lösungen für die Identifikation, Bonitätsprüfung und Betrugsprävention, für Kreditrisiko- und Adressmanagement sowie zur Digitalisierung und Advanced Analytics für Unternehmen und Finanzinstitute.