الفصل الأخير: المصادقة القوية للعملاء (SCA) لـ PSD2
نشرت: 2018-09-05هذا هو الجزء الثالث من سلسلة من ثلاثة أجزاء من المنشورات التي توضح بالتفصيل مصادقة العميل القوية PSD2 الخاصة بالاتحاد الأوروبي (SCA)
لقد وصلنا إلى الدفعة الثالثة والأخيرة من هذه السلسلة. في الدفعة الأولى ، قدمنا توجيه الهيئة المصرفية الأوروبية للاتحاد الأوروبي (أو EBA) المسمى PSD2 (باختصار توجيه خدمات الدفع الثاني) وحددنا بعض المبادئ التوجيهية لمصادقة العملاء القوية (أو SCA). استكشفت الدفعة الثانية قيود ولوائح هيئة الأوراق المالية والسلع التي يجب على المنفذين النظر فيها بما في ذلك رموز المصادقة والربط الديناميكي للمعاملات واستقلالية القناة.
بالنسبة لهذا المنشور ، سنحدد خيارات تنفيذ SCA التي يجب أن تفي بالمتطلبات الموضحة في PSD2 RTS (المعيار الفني التنظيمي) ، بالإضافة إلى بعض الأماكن الجيدة للبحث عن مزيد من المعلومات.
قبل أن ننظر إلى بعض خيارات التنفيذ الخاصة بـ SCA ، يجب أن نشير أيضًا إلى أن هناك بعض الاستثناءات من المصادقة القوية والربط الديناميكي .
في الأسئلة الشائعة حول البيان الصحفي PSD2 ، لاحظوا: "[الإعفاءات] لتجنب تعطيل الطرق التي يعمل بها المستهلكون والتجار ومقدمو خدمات الدفع اليوم. هذا أيضًا لأنه قد تكون هناك آليات مصادقة بديلة آمنة ومأمونة بنفس القدر. ومع ذلك ، "يجب على مقدمي خدمات الدفع الذين يرغبون في الإعفاء من SCA أولاً تطبيق آليات لمراقبة المعاملات لتقييم ما إذا كانت مخاطر الاحتيال منخفضة." ترد الإعفاءات المحددة في الفصل الثالث من PSD2 RTS.
مجالان حيث يتم طلب مصادقة العميل القوية في PSD2
- الوصول إلى الحساب - هذا هو الوصول إلى حسابات الدفع من خلال أي جهاز: سطح المكتب أو الكمبيوتر المحمول أو الجهاز اللوحي أو الهاتف المحمول.
- المدفوعات - هذه هي المصادقة الفعلية للدفع ، بما في ذلك الارتباط الديناميكي لمعلومات الدفع بطريقة المصادقة.
في عالم اليوم متعدد الأجهزة والقنوات المتعددة ، هناك مجموعة متنوعة من طرق تطبيقات الخدمات المصرفية / الدفع لإنجاز المصادقة ، بدءًا من 2FA البسيطة المستندة إلى الرسائل القصيرة إلى العامل العالمي الثاني الأكثر تطورًا (والآمن) (U2F) من Fido تحالف مع كل شيء بينهما.
لدينا عادة أربعة تكوينات رئيسية اليوم:
- جهازان - أحدهما يقوم بتشغيل التطبيق المصرفي / التاجر ؛ آخر توفير المصادقة. قد يشمل ذلك الرموز المميزة للأجهزة بالإضافة إلى أجهزة U2F كأجهزة مصادقة ، ولكنه سيشمل أيضًا جهازًا محمولاً وجهاز كمبيوتر محمولاً مع جهاز كمبيوتر محمول يقوم بتشغيل التطبيق المصرفي / التاجر والجهاز المحمول الذي يوفر المصادقة (حتى المصادقة خارج النطاق)
- تطبيقان ، جهاز واحد - على جهاز واحد ، عادةً هاتف محمول ، سيكون لدينا تطبيق مصرفي / تاجر وتطبيق مصادقة. يمكن أن يشتمل تطبيق المصادقة على حل برموز إلكترونية مثل Google Authenticator أو تطبيق مصادقة مصمم خصيصًا يتكامل مع الخدمات المصرفية / التاجر لنقل ، على سبيل المثال ، معلومات الشراء المرتبطة ديناميكيًا إلى تطبيق المصادقة.
- تطبيق واحد وجهاز واحد - من الأمثلة على ذلك تطبيق الخدمات المصرفية عبر الهاتف المحمول الذي يوفر أيضًا إمكانية المصادقة داخل هذا التطبيق.
- المصادقة خارج النطاق - أو المصادقة خارج النطاق - وهذا يشمل الرسائل القصيرة المرسلة إلى رقم الهاتف المحمول ، المؤمنة بواسطة بطاقة SIM. في هذه الحالة ، سيكون الجهاز المحمول ، الذي يتم الوصول إليه من خلال قناة خارج النطاق مثل الرسائل القصيرة (أو حتى RCS ، عندما يكون مدعومًا) هو العامل الثاني (الحيازة).
بالنظر إلى كل هذه الخيارات ، ما هي أفضل الخيارات والأساليب لدعم PSD2 SCA وتكون متوافقة؟
يعد خيار "خارج النطاق" (OOB) أسهل الطرق وأكثرها شهرة للمستهلكين. إنه متوافق تمامًا مع قواعد الوصول إلى الحساب ويجب أن يكون خيارًا للمدفوعات طالما تم تضمين معلومات الدفع في الرسائل القصيرة. كما أنه يفي بمتطلبات استقلالية القناة.
بالطبع ، في هذه الأيام ، هناك بعض المشكلات الأمنية مع الرسائل القصيرة ؛ ومع ذلك ، فإن الكثير منها مبالغ فيه إلى حد ما في الصحافة (مثل تبديل بطاقة SIM ، واعتراض الرسائل النصية القصيرة). ومع ذلك ، هناك طرق أفضل وأكثر أمانًا. إذا كنت تستخدم SMS كقناة OOB لـ 2FA ، ففكر في إضافة عامل معرفة إضافي لتأمين الحساب أو الدفع بشكل أكبر. سيوفر ذلك أمانًا إضافيًا ضد بعض سيناريوهات تبديل SIM أو اعتراض الرسائل القصيرة ، في حالة حدوثها.
تتمثل إحدى مشكلات خيار المصادقة متعدد الأجهزة (جهازان) باستخدام أجهزة متنوعة للمصادقة على المدفوعات في صعوبة دمج الارتباط الديناميكي لمعلومات الدفع / التاجر بجهاز المصادقة هذا. في حين أن العديد من هذه الأجهزة آمنة تمامًا مثل أجهزة U2F ، فمن الصعب دمج الارتباط الديناميكي لمعلومات الشراء / الدفع.
تتمثل إحدى الطرق التي قد تكون مفيدة في استخدام حل مصادقة لا يزال ينشئ رمز PIN معياريًا في السحابة ، ولكنه يستخدم معلومات مشفرة يتم إرسالها إلى تطبيق مصادقة متخصص. يمكن أن يتضمن التطبيق المصرفي / التاجر أيضًا معلومات الدفع جنبًا إلى جنب مع الرمز الذي سيتم إرساله إلى تطبيق المصادقة.
سيقدم تطبيق المصادقة المعلومات إلى المستخدم ثم يرد بـ "قبول" أو "رفض". يمكن أن يكون تطبيق المصادقة جزءًا من إستراتيجية الجهازين بالإضافة إلى إستراتيجية التطبيقين (جهاز واحد). لن يعتمد التطبيق على أرقام الهواتف (على سبيل المثال OOB) ، وبالتالي يكون مقاومًا لمبادلة بطاقة SIM أو اختطاف الجهاز. بالإضافة إلى ذلك ، يجب أن يكون الجهاز في حيازة صاحب الحساب مع المعلومات القائمة على المعرفة لصاحب الحساب.
لحسن الحظ ، هناك العديد من الخيارات المتاحة لمقدمي خدمات الدفع في الاتحاد الأوروبي ، والذين سيحتاجون إلى تنفيذ PSD2 SCA في الأشهر المقبلة. سيكون لكل منها حالات استخدام محددة يجب فحصها عن كثب لتحديد ما إذا كان ينبغي تطبيق موارد SCA. هنا بعض النصائح:
- افحص كل حالة استخدام
- فهم ما إذا كان يمكن تطبيق استثناءات SCA
- التحديد هو حالة الاستخدام المتعلقة بالوصول إلى الحساب أو المدفوعات
- بالنسبة للدفعات ، حدد كيف ستقدم معلومات الدفع والتاجر إلى المستخدم (الارتباط الديناميكي)
- للوصول إلى الحساب ، نقترح دائمًا تطبيق المصادقة ذات العاملين على عمليات تسجيل الدخول - إنها أكثر أمانًا
بالنسبة لمعظم أسواق الاتحاد الأوروبي ، نتوقع أن تكون الطريقة الأكثر شيوعًا للتسوق والمدفوعات عبر الإنترنت من خلال جهاز محمول. لذلك ، يعني ذلك أنه سيتم استخدام الجهاز كجهاز أساسي للتسوق / المدفوعات وكذلك للمصادقة. لا تتوقع دائمًا أن يستخدم المستخدمون أجهزة الكمبيوتر المكتبية أو المحمولة. سيزداد استخدام الأجهزة المحمولة (بما في ذلك الأجهزة اللوحية) كأجهزة أساسية فقط.
PSD2 SCA عبارة عن مجموعة معقدة من اللوائح ، ولكن مع بعض الحس السليم والفهم حول تحديات وخيارات المصادقة الحالية ، يمكن تنفيذها وفقًا لهذه اللوائح بالإضافة إلى حماية جميع الأطراف المعنية. في الأشهر الأخيرة ، كانت هناك بعض الانتقادات لبعض متطلبات SCA وبعض القيود التي تفرضها. في الواقع ، قد تكون هناك لوائح متابعة (PSD3؟) في الأشهر والسنوات القادمة.
لا تخف من المضي قدمًا وتنفيذ SCA إذا كنت مشتركًا في المدفوعات عبر الإنترنت. لا تنتظر حتى اللحظة الأخيرة. خذ الوقت الكافي لقراءة المتطلبات ودراستها ثم اتخاذ القرارات. هناك العديد من الخيارات ونأمل أن تكون هذه السلسلة المكونة من 3 أجزاء مفيدة في إرشادك خلال الخيارات والعناصر المختلفة لـ PSD2 SCA.