Czym jest Strong Customer Authentication i dyrektywa PSD2?

Jedną z rzeczy, które są pewne w czasie są zmiany. Oto jedna z nich.

Co

Europejski Urząd Nadzoru Bankowego wydał dyrektywę w sprawie usług płatniczych 2. Jest to dostosowanie prawa do obecnego poziomu zagrożeń związanych z bezpieczeństwem dla klientów w całej Europie. Z dniem 13 stycznia 2018 r. Zastępuje dyrektywę 2007/64/EC. Dotyczy to wszystkich obywateli Europejskiego Obszaru Gospodarczego.

Kiedy

Dyrektywa w sprawie usług płatniczych 2 będzie egzekwowana od 14 września 2019 r. Nowe naciski na bezpieczeństwo klientów stają się obowiązkowe w tym dniu. Istnieją proaktywne organizacje, które przygotowują się do przestrzegania dyrektywy przed upływem terminu.

Dlaczego

Z naszej perspektywy PSD2 ma dwa cele. Otwarcie branży finansowej na szerszą interakcję, poprzez otworzenie interfejsów API. Drugi, ważniejszy dla nas to bezpieczeństwo klientów i ich transakcji. W celu minimalizacji liczby oszustw wymagane będzie wprowadzenie tak zwanego silnego uwierzytelniania klienta z angielskiego Strong Customer Authentication (SCA).

Silne uwierzytelnianie (SCA)

Silne uwierzytelnianie klienta (SCA) to nowy termin odnoszący się do uwierzytelniania płatności. Oznacza to, że istnieją nowe zasady dla wszystkich instytucji finansowych, które przetwarzają płatności. Poniżej przedstawiamy trzy klasyczne elementy uwierzytelniania.

Coś co wiesz

Coś co wiesz

  • Hasła
  • PINy
  • Zdania
  • Kolory
  • Obrazy lub ikony

Coś co posiadasz

Coś co posiadasz

  • Sprzętowe tokeny
  • Sprzętowe karty inteligentne
  • Karty zdrapki
  • Książki kodowe

Coś czym jesteś

Cechy biometryczne, takie jak:

  • Odciski palców
  • Wzór tęczówki
  • Rozkład żył
  • Twarz
  • Zachowanie

Wiadomości SMS były królem

Najczęściej stosowaną metodą uwierzytelniania płatności  w Europie jest kod SMS. Zgodnie z PSD2, używanie wiadomości tekstowych nie spełnia wymagań Artykułu 5 punkt 2 standardu PSD2. Wiadomości tekstowe nie zapewniają integralności ani poufności informacji, które zostały do niej wysłane. Istnieje wiele ataków na SMS, takich jak SS7 lub OpenBTS, które mają wpływ na ocenę bezpieczeństwa tego rozwiązania.

Jakie są inne opcje?

Sprzętowe karty inteligentne

src: https://en.wikipedia.org/wiki/File:OpenPGP_card_2.0.jpg

Sprzętowe karty inteligentne

  • Bezpieczne,
  • Kosztowne,
  • Często gubione,
  • Zarządzanie nimi jest kosztowne w organizacji,
  • Słabe doświadczenia użytkowania

Tokeny sprzętowe

src: https://www.flickr.com/photos/bassplayerdoc/6245647402

Tokeny sprzętowe

  • Kosztowne,
  • Często gubione,
  • Zarządzanie nimi jest kosztowne w organizacji,
  • Słabe doświadczenia użytkowania.

Tokeny w aplikacjach

src: https://freeotp.github.io/

Tokeny w aplikacjach

  • Słabe doświadczenia użytkowania. Wymaga odblokowania telefonu, uruchomienia aplikacji i przepisania kodu.
  • Wymaga dodatkowych aplikacji.
  • Często ochrona sekretu jest słaba.

Nowy król jest z nami

Biometria behawioralna jest uważana za zgodną z wymogami SCA. Parafrazując słowa pochodzące z strony internetowej EBA: dostawcy rozwiązań opartych na biometrii behawioralnej przedstawiają, iż rozpoznawalność jest na poziomie od 96 do 99% co jest wyśmienitym wynikiem i uzasadnia wykorzystanie biometrii behawioralnej jako drugiego składnika uwierzytelniania klienta w celu dostarczenia silnego uwierzytelniania klienta. Ze temu, iż charakterystyka zachowania nie jest zależna od urządzenia zapewnione jest, iż użytkownik systemów finansowych jest zawsze chroniony niezależnie od środowiska.

Jako Digital Fingerprints cieszymy się będąc zgodni z wymaganiami i dostarczając silne uwierzytelnianie w sposób niewidoczny.

Twoja interakcja z komputerem

Po przetworzeniu dostarczania wyniku, który odzwierciedla pewność, że to ty używasz poświadczeń.

 

Źródła:

Kategorie Wiedza

Dołącz do dyskusji

avatar
  Subscribe  
Powiadom o