Capítulo final: Strong Customer Authentication (SCA) para PSD2
Publicado: 2018-09-05Esta es la tercera de una serie de publicaciones de tres partes que detallan la autenticación fuerte de cliente (SCA) PSD2 de la UE.
Hemos llegado a la tercera y última entrega de esta serie. En la primera entrega, presentamos la directiva de la Autoridad Bancaria Europea (o EBA) de la Unión Europea llamada PSD2 (abreviatura de La Segunda Directiva de Servicios de Pago) y describimos algunos de los principios rectores de la autenticación sólida de clientes (o SCA). La segunda entrega exploró las limitaciones y regulaciones de SCA que los implementadores deben considerar, incluidos los códigos de autenticación, la vinculación dinámica de las transacciones y la independencia del canal.
Para esta publicación, describiremos las opciones de implementación de SCA que deben cumplir con los requisitos descritos en PSD2 RTS (Norma técnica reglamentaria), así como algunos buenos lugares para buscar más información.
Antes de analizar algunas opciones de implementación para SCA, también debemos señalar que existen algunas excepciones a la autenticación sólida y la vinculación dinámica .
En las preguntas frecuentes del comunicado de prensa de PSD2, señalan: “[las exenciones son] para evitar interrumpir la forma en que operan los consumidores, comerciantes y proveedores de servicios de pago en la actualidad. También se debe a que puede haber mecanismos de autenticación alternativos que sean igualmente seguros. Sin embargo, “los proveedores de servicios de pago que deseen estar exentos de SCA primero deben aplicar mecanismos para monitorear transacciones para evaluar si el riesgo de fraude es bajo”. Las exenciones específicas se describen en el Capítulo III de PSD2 RTS.
Dos áreas en las que se requiere la Autenticación fuerte de clientes en PSD2
- Acceso a la cuenta : este es el acceso a las cuentas de pago a través de cualquier dispositivo: computadora de escritorio, computadora portátil, tableta o teléfono móvil.
- Pagos : esta es la autenticación real de un pago, incluida la vinculación dinámica de la información de pago con el método de autenticación.
En el mundo actual de múltiples dispositivos y múltiples canales, existe una variedad de métodos de aplicaciones bancarias/de pago para lograr la autenticación, desde el simple 2FA basado en SMS hasta el más sofisticado (y seguro) Universal 2 nd Factor (U2F) de Fido. Alianza junto con todo lo demás.
Por lo general, tenemos cuatro configuraciones principales en la actualidad:
- Dos dispositivos : uno que ejecuta la aplicación bancaria/comerciante; otro que proporciona la autenticación. Esto incluiría tokens de hardware, así como dispositivos U2F como dispositivos de autenticación, pero también incluiría un dispositivo móvil y una computadora portátil con la computadora portátil ejecutando la aplicación bancaria/comerciante y el dispositivo móvil brindando autenticación (incluso autenticación fuera de banda)
- Dos aplicaciones, un dispositivo : en un solo dispositivo, generalmente un teléfono móvil, tendríamos la aplicación bancaria/comerciante y una aplicación de autenticación. La aplicación de autenticación podría incluir una solución de token de software como Google Authenticator o una aplicación de autenticación especialmente diseñada que se integraría con el banco/comerciante para transferir, por ejemplo, información de compra vinculada dinámicamente a la aplicación de autenticación.
- Una aplicación, un dispositivo : un ejemplo sería una aplicación de banca móvil que también proporcionara la capacidad de autenticación dentro de esa aplicación.
- Fuera de banda , o Autenticación OOB , esto incluye el envío de SMS al número de teléfono móvil, protegido por una tarjeta SIM. En este caso, el dispositivo móvil, al que se llega a través de un canal fuera de banda como SMS (o incluso RCS, cuando lo admita) será el 2º factor (posesión).
Dadas todas estas opciones, ¿cuáles serían las mejores opciones y métodos para admitir PSD2 SCA y cumplir con las normas?
La opción fuera de banda (OOB) es el método más fácil y conocido para los consumidores. Cumple totalmente con las reglas de Acceso a la cuenta y debería ser una opción para Pagos siempre que la información de pago esté incluida en el SMS. También cumple con el requisito de independencia del canal.
Por supuesto, en estos días existen algunos problemas de seguridad con los SMS; sin embargo, muchos de ellos son algo exagerados en la prensa (por ejemplo, intercambio de SIM, interceptaciones de SMS). Dicho esto, existen métodos mejores y más seguros. Si usa SMS como un canal OOB para 2FA, considere agregar un factor de conocimiento adicional para asegurar aún más la cuenta o el pago. Eso proporcionará seguridad adicional contra ciertos escenarios de intercambio de SIM o interceptación de SMS, en caso de que ocurran.
Uno de los problemas con la opción de autenticación de múltiples dispositivos (2 dispositivos) que utiliza varios dispositivos de hardware para la autenticación de pagos es que es difícil incorporar la vinculación dinámica de la información de pago/comerciante a ese dispositivo de autenticación. Si bien muchos de estos son bastante seguros, como los dispositivos U2F, es difícil incorporar enlaces dinámicos de la información de compra/pago.
Un método que sería útil sería usar una solución de autenticación que todavía crea un código PIN estandarizado en la nube, pero usa información encriptada enviada a una aplicación de autenticación especializada. La aplicación bancaria/comerciante también podría incluir la información de pago junto con el código que se enviaría a la aplicación de autenticación.
La aplicación de autenticación presentaría la información al usuario y luego respondería con un "Aceptar" o "Denegar". La aplicación de autenticación podría ser parte de una estrategia de dos dispositivos, así como de una estrategia de dos aplicaciones (un dispositivo). La aplicación no dependería de los números de teléfono (por ejemplo, OOB) y, por lo tanto, sería resistente al intercambio de SIM o al secuestro de dispositivos. Además, el dispositivo tendría que estar en posesión física del titular de la cuenta junto con la información basada en el conocimiento del titular de la cuenta.
Afortunadamente, hay muchas opciones disponibles para los proveedores de pagos de la UE, que deberán implementar PSD2 SCA en los próximos meses. Cada uno tendrá casos de uso específicos que deben examinarse de cerca para determinar si se deben aplicar los recursos de SCA. Aquí hay algunos consejos:
- Examinar cada caso de uso
- Comprender si se pueden aplicar las exenciones de SCA
- Determinar si el caso de uso está relacionado con el acceso a la cuenta o los pagos.
- Para pagos, determine cómo presentará la información de pago y el comerciante al usuario (enlace dinámico)
- Para el acceso a la cuenta, sugerimos aplicar siempre la autenticación de dos factores a los inicios de sesión; simplemente es más seguro.
Para la mayoría de los mercados de la UE, esperamos que el método más frecuente para las compras y los pagos en línea sea a través de un dispositivo móvil. Por lo tanto, eso implica que el dispositivo se utilizará tanto como dispositivo principal para compras/pagos como para autenticación. No siempre espere que los usuarios usen computadoras de escritorio o portátiles. El uso de dispositivos móviles (incluidas las tabletas) solo aumentará como dispositivos principales.
PSD2 SCA es un conjunto complejo de regulaciones, pero con algo de sentido común y comprensión sobre los desafíos y opciones de autenticación de hoy en día, se puede implementar para cumplir con estas regulaciones y proteger a todas las partes involucradas. En los últimos meses, ha habido algunas críticas a algunos de los requisitos de SCA y algunas de las limitaciones que imponen. De hecho, puede haber regulaciones de seguimiento (¿PSD3?) en los próximos meses y años.
No tenga miedo de seguir adelante e implementar SCA si está involucrado en pagos en línea. No espere hasta el último minuto. Tómese el tiempo para leer los requisitos, estudiarlos y luego tomar decisiones. Hay muchas opciones disponibles y esperamos que esta serie de 3 partes haya sido útil para guiarlo a través de las diversas opciones y elementos de PSD2 SCA.