最終章:PSD2の強力な顧客認証(SCA)
公開: 2018-09-05これは、EUのPSD2強力な顧客認証(SCA)を詳述する3部構成の一連の投稿の3番目です。
このシリーズの第3回で最後の記事に到達しました。 最初の記事では、PSD2(Second Payment Services Directiveの略)と呼ばれる欧州連合の欧州銀行監督局(またはEBA)指令を紹介し、強力な顧客認証(またはSCA)の指針となる原則のいくつかを概説しました。 2回目の記事では、認証コード、トランザクションの動的リンク、チャネルの独立性など、実装者が考慮しなければならないSCAの制限と規制について説明しました。
この投稿では、PSD2 RTS(Regulatory Technical Standard)で概説されている要件を満たす必要があるSCA実装オプションの概要と、詳細情報を探すのに適した場所について説明します。
SCAのいくつかの実装オプションを検討する前に、強力な認証と動的リンクからのいくつかの例外があることも指摘する必要があります。
PSD2プレスリリースFAQで、彼らは次のように述べています。 また、同様に安全で安全な代替の認証メカニズムが存在する可能性があるためです。 ただし、「SCAの免除を希望する決済サービスプロバイダーは、最初にトランザクションを監視するメカニズムを適用して、不正のリスクが低いかどうかを評価する必要があります。」 具体的な免除については、PSD2RTSの第III章に概説されています。
PSD2で強力な顧客認証が求められる2つの分野
- アカウントアクセス–これは、デスクトップ、ラップトップ、タブレット、または携帯電話など、あらゆるデバイスを介した支払いアカウントへのアクセスです。
- 支払い–これは、支払い情報と認証方法の動的リンクを含む、支払いの実際の認証です。
今日のマルチデバイス、マルチチャネルの世界では、認証を実現するための銀行/決済アプリケーションのさまざまな方法があります。単純なSMSベースの2FAから、Fidoのより洗練された(そして安全な)ユニバーサル2要素(U2F)までです。間にあるすべてのものとの同盟。
現在、通常、4つの主要な構成があります。
- 2つのデバイス–1つは銀行/マーチャントアプリケーションを実行しています。 別の認証を提供します。 これには、認証デバイスとしてハードウェアトークンとU2Fデバイスが含まれますが、モバイルデバイスとラップトップが含まれ、ラップトップはバンキング/マーチャントアプリケーションを実行し、モバイルデバイスは認証(帯域外認証も含む)を提供します
- 2つのアプリ、1つのデバイス– 1つのデバイス(通常は携帯電話)には、銀行/マーチャントアプリと認証アプリがあります。 認証アプリには、Google Authenticatorなどのソフトトークンソリューションや、銀行/販売者と統合して動的にリンクされた購入情報を認証アプリに転送する専用の認証アプリを含めることができます。
- 1つのアプリ、1つのデバイス–例として、そのアプリ内で認証機能も提供するモバイルバンキングアプリがあります。
- 帯域外(またはOOB認証)には、SIMカードで保護された携帯電話番号に送信されるSMSが含まれます。 この場合、SMS(またはサポートされている場合はRCS)などの帯域外チャネルを介して到達するモバイルデバイスが2番目の要素(所有)になります。
これらすべてのオプションを考えると、PSD2 SCAをサポートし、準拠するための最良のオプションと方法は何でしょうか。
帯域外オプション(OOB)は、消費者にとって最も簡単で最もよく知られている方法です。 アカウントアクセスのルールに完全に準拠しており、支払い情報がSMSに含まれている限り、支払いのオプションである必要があります。 また、チャネルの独立性の要件も満たしています。
もちろん、最近では、SMSにいくつかのセキュリティ問題があります。 ただし、これらの多くはマスコミでやや誇張されています(SIMスワップ、SMSインターセプトなど)。 そうは言っても、より良い、より安全な方法があります。 SMSを2FAのOOBチャネルとして使用する場合は、アカウントまたは支払いをさらに保護するために、知識要素を追加することを検討してください。 これにより、特定のSIMスワップまたはSMSインターセプトのシナリオが発生した場合に、それらに対するセキュリティが強化されます。
支払いの認証にさまざまなハードウェアデバイスを使用するマルチデバイス(2デバイス)認証オプションの問題の1つは、支払い/マーチャント情報の動的リンクをその認証デバイスに組み込むことが難しいことです。 これらの多くはU2Fデバイスのように非常に安全ですが、購入/支払い情報の動的リンクを組み込むことは困難です。
便利な方法の1つは、クラウドで標準化されたPINコードを作成するが、専用の認証アプリに送信される暗号化された情報を使用する認証ソリューションを使用することです。 銀行/マーチャントアプリには、認証アプリに送信されるコードとともに支払い情報を含めることもできます。
認証アプリはユーザーに情報を提示し、「承認」または「拒否」で応答します。 認証アプリは、2デバイス戦略と2アプリ(1デバイス)戦略の一部である可能性があります。 アプリは電話番号(OOBなど)に依存しないため、SIMスワップやデバイスの乗っ取りに耐性があります。 さらに、デバイスは、アカウント所有者の知識ベースの情報とともに、アカウント所有者の物理的な所有物である必要があります。
幸いなことに、EUの決済プロバイダーは、今後数か月以内にPSD2SCAを実装する必要がある多くのオプションを利用できます。 それぞれに特定のユースケースがあり、SCAリソースを適用する必要があるかどうかを判断するために綿密に調査する必要があります。 ここにいくつかのヒントがあります:
- 各ユースケースを調べます
- SCA免除が適用される可能性があるかどうかを理解する
- アカウントへのアクセスまたは支払いに関連するユースケースを決定する
- 支払いについては、支払い情報とマーチャントをユーザーに提示する方法を決定します(動的リンク)
- アカウントへのアクセスについては、ログインに常に2要素認証を適用することをお勧めします-それはより安全です
ほとんどのEU市場では、オンラインショッピングと支払いの最も一般的な方法は、モバイルデバイスを使用することになると予想されます。 したがって、これは、デバイスがショッピング/支払いと認証の両方のプライマリデバイスとして使用されることを意味します。 ユーザーがデスクトップまたはラップトップを使用することを常に期待するわけではありません。 モバイルデバイスの使用量(タブレットを含む)は、プライマリデバイスとしてのみ増加します。
PSD2 SCAは複雑な一連の規制ですが、今日の認証の課題とオプションに関する常識と理解があれば、これらの規制に準拠して実装でき、関係するすべての関係者を保護できます。 ここ数ヶ月、SCAの要件のいくつかとそれらが課す制限のいくつかについていくつかの批判がありました。 実際、今後数か月および数年のうちにフォローアップ規制(PSD3?)が存在する可能性があります。
オンライン決済に携わっている場合は、恐れずにSCAを実装してください。 ぎりぎりまで待たないでください。 時間をかけて要件を読み、調査してから、決定を下してください。 そこには多くのオプションがあり、この3部構成のシリーズがPSD2SCAのさまざまなオプションと要素をガイドするのに役立つことを願っています。