Jedną z rzeczy, które są pewne w czasie są zmiany. Oto jedna z nich.
Co
Europejski Urząd Nadzoru Bankowego wydał dyrektywę w sprawie usług płatniczych 2. Jest to dostosowanie prawa do obecnego poziomu zagrożeń związanych z bezpieczeństwem dla klientów w całej Europie. Z dniem 13 stycznia 2018 r. Zastępuje dyrektywę 2007/64/EC. Dotyczy to wszystkich obywateli Europejskiego Obszaru Gospodarczego.
Kiedy
Dyrektywa w sprawie usług płatniczych 2 będzie egzekwowana od 14 września 2019 r. Nowe naciski na bezpieczeństwo klientów stają się obowiązkowe w tym dniu. Istnieją proaktywne organizacje, które przygotowują się do przestrzegania dyrektywy przed upływem terminu.
Dlaczego
Z naszej perspektywy PSD2 ma dwa cele. Otwarcie branży finansowej na szerszą interakcję, poprzez otworzenie interfejsów API. Drugi, ważniejszy dla nas to bezpieczeństwo klientów i ich transakcji. W celu minimalizacji liczby oszustw wymagane będzie wprowadzenie tak zwanego silnego uwierzytelniania klienta z angielskiego Strong Customer Authentication (SCA).
Silne uwierzytelnianie (SCA)
Silne uwierzytelnianie klienta (SCA) to nowy termin odnoszący się do uwierzytelniania płatności. Oznacza to, że istnieją nowe zasady dla wszystkich instytucji finansowych, które przetwarzają płatności. Poniżej przedstawiamy trzy klasyczne elementy uwierzytelniania.
Coś co wiesz
Coś co wiesz
- Hasła
- PINy
- Zdania
- Kolory
- Obrazy lub ikony
Coś co posiadasz
Coś co posiadasz
- Sprzętowe tokeny
- Sprzętowe karty inteligentne
- Karty zdrapki
- Książki kodowe
Coś czym jesteś
Cechy biometryczne, takie jak:
- Odciski palców
- Wzór tęczówki
- Rozkład żył
- Twarz
- Zachowanie
Wiadomości SMS były królem
Najczęściej stosowaną metodą uwierzytelniania płatności w Europie jest kod SMS. Zgodnie z PSD2, używanie wiadomości tekstowych nie spełnia wymagań Artykułu 5 punkt 2 standardu PSD2. Wiadomości tekstowe nie zapewniają integralności ani poufności informacji, które zostały do niej wysłane. Istnieje wiele ataków na SMS, takich jak SS7 lub OpenBTS, które mają wpływ na ocenę bezpieczeństwa tego rozwiązania.
Jakie są inne opcje?
Sprzętowe karty inteligentne
src: https://en.wikipedia.org/wiki/File:OpenPGP_card_2.0.jpgSprzętowe karty inteligentne
- Bezpieczne,
- Kosztowne,
- Często gubione,
- Zarządzanie nimi jest kosztowne w organizacji,
- Słabe doświadczenia użytkowania
Tokeny sprzętowe
src: https://www.flickr.com/photos/bassplayerdoc/6245647402Tokeny sprzętowe
- Kosztowne,
- Często gubione,
- Zarządzanie nimi jest kosztowne w organizacji,
- Słabe doświadczenia użytkowania.
Tokeny w aplikacjach
src: https://freeotp.github.io/Tokeny w aplikacjach
- Słabe doświadczenia użytkowania. Wymaga odblokowania telefonu, uruchomienia aplikacji i przepisania kodu.
- Wymaga dodatkowych aplikacji.
- Często ochrona sekretu jest słaba.
Nowy król jest z nami
Biometria behawioralna jest uważana za zgodną z wymogami SCA. Parafrazując słowa pochodzące z strony internetowej EBA: dostawcy rozwiązań opartych na biometrii behawioralnej przedstawiają, iż rozpoznawalność jest na poziomie od 96 do 99% co jest wyśmienitym wynikiem i uzasadnia wykorzystanie biometrii behawioralnej jako drugiego składnika uwierzytelniania klienta w celu dostarczenia silnego uwierzytelniania klienta. Ze temu, iż charakterystyka zachowania nie jest zależna od urządzenia zapewnione jest, iż użytkownik systemów finansowych jest zawsze chroniony niezależnie od środowiska.
Jako Digital Fingerprints cieszymy się będąc zgodni z wymaganiami i dostarczając silne uwierzytelnianie w sposób niewidoczny.
Twoja interakcja z komputerem
Po przetworzeniu dostarczania wyniku, który odzwierciedla pewność, że to ty używasz poświadczeń.
