Zgodnie z regulacjami SCA, będącej częścią PSD2, w płatnościach internetowych wymaga się tzw. silnego uwierzytelniania użytkownika, aby potwierdzić jego tożsamość. Umożliwia to zastosowanie technologii 3D-Secure, którą zna każda osoba korzystająca z możliwości realizacji zakupów online. Czym jest 3D-Secure, jak działa i w jaki sposób łączy się z weryfikacją behawioralną?
Temat technologii 3D-Secure warto zacząć od przybliżenia kwestii regulacji SCA, ponieważ jest ona bezpośrednią przyczyną konieczności stosowania dodatkowych środków weryfikacyjnych. Strong Customer Authentication (SCA) to część regulacji PSD2, która wymaga silnego uwierzytelnienia, aby potwierdzić tożsamość użytkowników w przypadku, gdy konsumenci dokonują płatności. W tym celu implementuje się rozwiązania MFA, które weryfikują przynajmniej 2 z 3 czynników:
SCA dotyczy nie tylko płatności internetowych, ale również i bezpośrednich. Z tego względu jesteśmy proszeni o podanie kodu PIN przy dokonywaniu płatności zbliżeniowych, jeśli kwota zakupów jest większa od ustalonego aktualnie limitu.
W przypadku płatności internetowych klienci mogą zostać poproszeni o zweryfikowanie swojej tożsamości za pomocą dwóch czynników podczas procesu realizacji transakcji. Warto podkreślić, że jest to wymóg, a nie opcjonalne rozwiązanie, i jego celem jest zwiększenie bezpieczeństwa użytkowników oraz zminimalizowanie ryzyka prania pieniędzy czy dokonywania aktów oszustwa przy użyciu płatności online.
Tak jak wspomnieliśmy, większość rozwiązań weryfikuje tylko dwa z trzech czynników, np. hasło i skan odcisku palca czy też hasło i token SMS.
Technologię 3D-Secure muszą stosować wszystkie sklepy na terenie Europy. Jest to bezpłatne, dodatkowe zabezpieczenie płatności kartami w sklepach internetowych, oferowane przez każdy bank, a jego wyłączenie jest niemożliwe (w przeciwieństwie do np. logowania dwuskładnikowego).
Korzystając z bankowości mobilnej, większość z nich oferuje integrację systemu płatności z aplikacją mobilną. W takim przypadku do przejścia przez proces weryfikacyjny wystarczy zalogowanie się i potwierdzenie transakcji właśnie we wspomnianej aplikacji. Choć jest to rozwiązanie wygodne, to jednak nie chroni ono użytkownika w momencie kradzieży telefonu. Przestępca, łamiąc dostęp do urządzenia, odblokuje także możliwość uwierzytelniania transakcji z użyciem aplikacji mobilnej banku.
W płatnościach z użyciem komputerów systemy oferują najczęściej możliwość albo wykorzystania aplikacji mobilnych w celu uwierzytelnienia, albo kodów SMS. To drugie rozwiązanie także jest narażone na podobny problem z użyciem telefonu przez osoby trzecie, który opisaliśmy w poprzednim akapicie.
3D-Secure można podzielić na dwa rodzaje:
Mimo nowych metod autoryzacji sklepy nadal mogą prosić użytkownika o potwierdzenie płatności kodem SMS (w ramach 3D-Secure 1). O tym, z jakiego rodzaju 3D-Secure (1 czy 2) korzysta klient w czasie płatności decyduje sam sklep, a nie bank.
Wspomnieliśmy o tym, że silne uwierzytelnianie za pomocą aplikacji mobilnych czy kodów SMS nie jest rozwiązaniem idealnym, choć oczywiście znacząco zwiększa bezpieczeństwo użytkowników. W przypadku kradzieży telefonu jest to jednak sposób, który przestępca może z łatwością wykorzystać przeciwko swojej ofierze.
Z tego względu pracujemy cały czas na udoskonalaniem weryfikacji behawioralnej, która idealnie wkomponowuje się w ideę 3D-Secure oraz regulacji PSD2. Za nami już pierwsze testy, które pokazują, że nasze rozwiązanie może być przełomowe w obszarze silnego uwierzytelniania. Dzięki ciągłej weryfikacji użytkownika złamanie zabezpieczeń przez cyberprzestępców i wykonanie przez nich transakcji jest niemal niemożliwe, a w dodatku cała praca systemu uwierzytelniania weryfikacji behawioralnej odbywa się w tle, bez ingerencji w User Experience. Jeśli chcesz dowiedzieć się więcej o zastosowaniu weryfikacji behawioralnej jako czynnika MFA, przeczytaj nasz artykuł.
Digital Fingerprints S.A. ul. Gliwicka 2, 40-079 Katowice. KRS: 0000543443, Sąd Rejonowy Katowice-Wschód, VIII Wydział Gospodarczy, Kapitał zakładowy: 4 528 828,76 zł – opłacony w całości, NIP: 525-260-93-29
Biuro Informacji Kredytowej S.A., ul. Zygmunta Modzelewskiego 77a, 02-679 Warszawa. Numer KRS: 0000110015, Sąd Rejonowy m.st. Warszawy, XIII Wydział Gospodarczy, kapitał zakładowy 15.550.000 zł opłacony w całości, NIP: 951-177-86-33, REGON: 012845863.
Biuro Informacji Gospodarczej InfoMonitor S.A., ul. Zygmunta Modzelewskiego 77a, 02-679 Warszawa. Numer KRS: 0000201192, Sąd Rejonowy m.st. Warszawy, XIII Wydział Gospodarczy, kapitał zakładowy 7.105.000 zł opłacony w całości, NIP: 526-274-43-07, REGON: 015625240.