Bab terakhir: Otentikasi Pelanggan yang Kuat (SCA) untuk PSD2
Diterbitkan: 2018-09-05Ini adalah postingan ketiga dari tiga bagian yang merinci Otentikasi Pelanggan Kuat (SCA) PSD2 Uni Eropa
Kami telah mencapai angsuran ketiga dan terakhir dari seri ini. Dalam angsuran pertama, kami memperkenalkan arahan Otoritas Perbankan Eropa (atau EBA) Uni Eropa yang disebut PSD2 (singkatan dari The Second Payment Services Directive) dan menguraikan beberapa prinsip panduan dari Strong Customer Authentication (atau SCA). Angsuran kedua mengeksplorasi batasan dan peraturan SCA yang harus dipertimbangkan oleh pelaksana termasuk kode otentikasi, penautan dinamis transaksi, dan independensi saluran.
Untuk posting ini, kami akan menguraikan opsi penerapan SCA yang harus memenuhi persyaratan yang diuraikan dalam PSD2 RTS (Standar Teknis Peraturan), serta beberapa tempat yang baik untuk mencari informasi lebih lanjut.
Sebelum kita melihat beberapa opsi implementasi untuk SCA, kita juga harus menunjukkan bahwa ada beberapa pengecualian dari autentikasi yang kuat dan penautan dinamis .
Dalam FAQ Siaran Pers PSD2, mereka mencatat: “[pengecualian adalah] untuk menghindari mengganggu cara konsumen, pedagang, dan penyedia layanan pembayaran beroperasi saat ini. Ini juga karena mungkin ada mekanisme otentikasi alternatif yang sama-sama aman dan terjamin. Namun, “penyedia layanan pembayaran yang ingin dibebaskan dari SCA harus terlebih dahulu menerapkan mekanisme pemantauan transaksi untuk menilai apakah risiko penipuan rendah.” Pengecualian khusus diuraikan dalam Bab III RTS PSD2.
Dua area di mana Otentikasi Pelanggan Kuat diperlukan di PSD2
- Akses Akun – ini adalah akses ke akun pembayaran melalui perangkat apa pun: desktop, laptop, tablet, atau ponsel.
- Pembayaran – ini adalah otentikasi pembayaran yang sebenarnya, termasuk penautan dinamis informasi pembayaran dengan metode otentikasi.
Di dunia multi-perangkat, multi-saluran saat ini, ada berbagai metode aplikasi perbankan / pembayaran untuk menyelesaikan otentikasi, dari 2FA berbasis SMS sederhana hingga yang lebih canggih (dan aman) Universal 2 nd Factor (U2F) dari Fido Aliansi bersama dengan segala sesuatu di antaranya.
Kami biasanya memiliki empat konfigurasi utama hari ini:
- Dua perangkat – satu menjalankan aplikasi perbankan/pedagang; lain yang menyediakan otentikasi. Ini akan mencakup token perangkat keras serta perangkat U2F sebagai perangkat otentikasi, tetapi juga akan mencakup perangkat seluler dan laptop dengan laptop yang menjalankan aplikasi perbankan/pedagang dan perangkat seluler yang menyediakan otentikasi (bahkan otentikasi Out-of-band)
- Dua aplikasi, satu perangkat – pada satu perangkat, biasanya ponsel, kami akan memiliki aplikasi perbankan/pedagang dan aplikasi otentikasi. Aplikasi autentikasi dapat menyertakan solusi soft-token seperti Google Authenticator atau aplikasi autentikasi yang dibuat khusus yang akan berintegrasi dengan perbankan/pedagang untuk mentransfer, misalnya, informasi pembelian yang ditautkan secara dinamis ke aplikasi autentikator.
- Satu aplikasi, satu perangkat – contohnya adalah aplikasi mobile banking yang juga menyediakan kemampuan otentikasi dalam aplikasi itu.
- Out-of-Band – atau OOB Authentication – termasuk SMS yang dikirim ke nomor ponsel, diamankan dengan kartu SIM. Dalam hal ini, perangkat seluler, yang dicapai melalui saluran out-of-band seperti SMS (atau bahkan RCS, jika didukung) akan menjadi faktor kedua (kepemilikan).
Dengan semua opsi ini, apa opsi dan metode terbaik untuk mendukung PSD2 SCA dan mematuhinya?
Opsi Out-of-Band (OOB) adalah metode termudah dan paling dikenal konsumen. Ini sepenuhnya sesuai dengan aturan untuk Akses Akun dan harus menjadi opsi untuk Pembayaran selama informasi pembayaran disertakan dalam SMS. Ini juga memenuhi persyaratan independensi saluran.
Tentu saja, akhir-akhir ini, ada beberapa masalah keamanan dengan SMS; namun, banyak yang agak berlebihan di media (misalnya SIM-swap, intersepsi SMS). Yang mengatakan, ada metode yang lebih baik dan lebih aman. Jika menggunakan SMS sebagai saluran OOB untuk 2FA, pertimbangkan untuk menambahkan faktor pengetahuan tambahan untuk lebih mengamankan akun atau pembayaran. Itu akan memberikan keamanan tambahan terhadap skenario pertukaran SIM atau intersepsi SMS tertentu, jika itu terjadi.
Salah satu masalah dengan opsi otentikasi multi-perangkat (2-perangkat) menggunakan berbagai perangkat keras untuk otentikasi pembayaran adalah sulitnya untuk menggabungkan tautan dinamis informasi pembayaran / pedagang kembali ke perangkat otentikasi tersebut. Meskipun banyak di antaranya yang cukup aman seperti perangkat U2F, sulit untuk menggabungkan tautan dinamis dari informasi pembelian/pembayaran.
Salah satu metode yang akan berguna adalah menggunakan solusi Otentikasi yang masih membuat kode PIN standar di cloud, tetapi menggunakan informasi terenkripsi yang dikirim ke aplikasi Otentikasi khusus. Aplikasi perbankan/pedagang juga dapat menyertakan informasi pembayaran beserta kode yang akan dikirim ke aplikasi autentikasi.
Aplikasi otentikasi akan menyajikan informasi kepada pengguna dan kemudian membalas dengan "Terima" atau "Tolak." Aplikasi autentikasi dapat menjadi bagian dari strategi dua perangkat serta strategi dua aplikasi (satu perangkat). Aplikasi tidak akan bergantung pada nomor telepon (misalnya OOB), dan oleh karena itu tahan terhadap pertukaran SIM atau pembajakan perangkat. Selain itu, perangkat harus secara fisik dimiliki oleh pemegang akun bersama dengan informasi berbasis pengetahuan dari pemegang akun.
Untungnya, ada banyak opsi yang tersedia untuk penyedia pembayaran UE, yang perlu menerapkan PSD2 SCA dalam beberapa bulan mendatang. Masing-masing akan memiliki kasus penggunaan khusus yang harus diperiksa dengan cermat untuk menentukan apakah sumber daya SCA harus diterapkan. Berikut adalah beberapa tips:
- Periksa setiap kasus penggunaan
- Pahami apakah pengecualian SCA dapat diterapkan
- Tentukan kasus penggunaan yang terkait dengan akses akun atau pembayaran
- Untuk pembayaran, tentukan bagaimana Anda akan menyajikan informasi pembayaran dan pedagang kepada pengguna (tautan dinamis)
- Untuk akses akun, kami sarankan untuk selalu menerapkan autentikasi dua faktor untuk login – hanya saja lebih aman
Untuk sebagian besar pasar UE, kami berharap metode yang paling umum untuk belanja online dan pembayaran adalah melalui perangkat seluler. Oleh karena itu, itu berarti perangkat tersebut akan digunakan baik sebagai perangkat utama untuk belanja/pembayaran maupun untuk otentikasi. Jangan selalu berharap bahwa pengguna akan menggunakan desktop atau laptop. Penggunaan perangkat seluler (termasuk tablet) hanya akan meningkat sebagai perangkat utama.
PSD2 SCA adalah seperangkat peraturan yang kompleks, tetapi dengan beberapa akal sehat dan pemahaman tentang tantangan dan opsi otentikasi saat ini, itu dapat diterapkan untuk memenuhi peraturan ini serta melindungi semua pihak yang terlibat. Dalam beberapa bulan terakhir, ada beberapa kritik terhadap beberapa persyaratan SCA dan beberapa batasan yang mereka terapkan. Bahkan, mungkin akan ada peraturan lanjutan (PSD3?) dalam beberapa bulan dan tahun mendatang.
Jangan takut untuk melanjutkan dan menerapkan SCA jika Anda terlibat dalam pembayaran online. Jangan menunggu sampai menit terakhir. Luangkan waktu untuk membaca persyaratan, mempelajarinya, dan kemudian membuat keputusan. Ada banyak pilihan di luar sana dan kami berharap seri 3 bagian ini telah membantu memandu Anda melalui berbagai opsi dan elemen PSD2 SCA.