Capitolul final: Strong Customer Authentication (SCA) pentru PSD2
Publicat: 2018-09-05Aceasta este a treia dintr-o serie de trei părți de postări care detaliază Autentificarea puternică a clienților (SCA) PSD2 din UE
Am ajuns la a treia și ultima parte a acestei serii. În prima tranșă, am introdus directiva Autorității Bancare Europene (sau EBA) a Uniunii Europene numită PSD2 (prescurtarea de la a doua directivă a serviciilor de plată) și am subliniat câteva dintre principiile directoare ale Autentificării puternice a clienților (sau SCA). A doua tranșă a explorat limitările și reglementările SCA pe care implementatorii trebuie să le ia în considerare, inclusiv codurile de autentificare, legătura dinamică a tranzacțiilor și independența canalului.
Pentru această postare, vom schița opțiunile de implementare a SCA care ar trebui să satisfacă cerințele prezentate în PSD2 RTS (Standard tehnic de reglementare), precum și câteva locuri bune pentru a căuta mai multe informații.
Înainte de a ne uita la unele opțiuni de implementare pentru SCA, ar trebui să subliniem, de asemenea, că există câteva excepții de la autentificarea puternică și legătura dinamică .
În Comunicatul de presă PSD2, ei notează: „[Exceptările sunt] pentru a evita perturbarea modului în care își desfășoară activitatea consumatorii, comercianții și furnizorii de servicii de plată în prezent. De asemenea, este posibil să existe mecanisme alternative de autentificare care sunt la fel de sigure și securizate. Cu toate acestea, „furnizorii de servicii de plată care doresc să fie scutiți de SCA trebuie să aplice mai întâi mecanisme de monitorizare a tranzacțiilor pentru a evalua dacă riscul de fraudă este scăzut”. Scutirile specifice sunt prezentate în Capitolul III din RTS PSD2.
Două domenii în care este necesară autentificarea puternică a clienților în PSD2
- Acces la cont – acesta este accesul la conturile de plată prin orice dispozitiv: desktop, laptop, tabletă sau telefon mobil.
- Plăți – aceasta este autentificarea efectivă a unei plăți, inclusiv legătura dinamică a informațiilor de plată cu metoda de autentificare.
În lumea de astăzi cu mai multe dispozitive și mai multe canale, există o varietate de metode de aplicații bancare / de plată pentru a realiza autentificare, de la simplu 2FA bazat pe SMS la cel mai sofisticat (și mai sigur) factor al 2 -lea Universal (U2F) de la Fido. Alianță împreună cu tot ce se află între ele.
De obicei avem patru configurații majore astăzi:
- Două dispozitive – unul care rulează aplicația bancară/comerciant; altul care asigură autentificarea. Aceasta ar include jetoane hardware, precum și dispozitive U2F ca dispozitive de autentificare, dar ar include și un dispozitiv mobil și un laptop cu laptopul care rulează aplicația bancară/comerciant și dispozitivul mobil care oferă autentificare (chiar și autentificare în afara bandă)
- Două aplicații, un dispozitiv – pe un singur dispozitiv, de obicei un telefon mobil, am avea aplicația bancară/comerciant și o aplicație de autentificare. Aplicația de autentificare ar putea include o soluție soft-token, cum ar fi Google Authenticator sau o aplicație de autentificare special creată care s-ar integra cu banca/comerciant pentru a transfera, de exemplu, informații de achiziție legate dinamic la aplicația de autentificare.
- O aplicație, un dispozitiv – un exemplu ar fi o aplicație bancară mobilă care a furnizat și capacitatea de autentificare în cadrul acelei aplicații.
- Autentificare Out-of-Band – sau OOB – aceasta include SMS-urile trimise către numărul de telefon mobil, securizate de o cartelă SIM. În acest caz, dispozitivul mobil, la care se ajunge printr-un canal out-of-band, cum ar fi SMS-ul (sau chiar RCS, atunci când este suportat) va fi al 2-lea factor (posedare).
Având în vedere toate aceste opțiuni, care ar fi cele mai bune opțiuni și metode pentru a sprijini PSD2 SCA și a fi conform?
Opțiunea Out-of-Band (OOB) este cea mai ușoară și mai cunoscută metodă pentru consumatori. Este pe deplin în conformitate cu regulile de acces la cont și ar trebui să fie o opțiune pentru plăți, atâta timp cât informațiile de plată sunt incluse în SMS. Îndeplinește, de asemenea, cerința de independență a canalului.
Desigur, în aceste zile, există unele probleme de securitate cu SMS-urile; cu toate acestea, multe dintre acestea sunt oarecum exagerate în presă (de exemplu, schimbul de SIM, interceptările prin SMS). Acestea fiind spuse, există metode mai bune, mai sigure. Dacă utilizați SMS ca canal OOB pentru 2FA, luați în considerare adăugarea unui factor de cunoștințe suplimentar pentru a securiza în continuare contul sau plata. Acest lucru va oferi securitate suplimentară împotriva anumitor scenarii de schimb SIM sau de interceptare SMS, dacă acestea apar.
Una dintre problemele cu opțiunea de autentificare cu mai multe dispozitive (2 dispozitive) care utilizează diverse dispozitive hardware pentru autentificare pentru plăți este că este dificil să se încorporeze legătura dinamică a informațiilor de plată/comerciant înapoi la acel dispozitiv de autentificare. În timp ce multe dintre acestea sunt destul de sigure, cum ar fi dispozitivele U2F, este dificil să se încorporeze o legătură dinamică a informațiilor de cumpărare/plată.
O metodă care ar fi utilă ar fi utilizarea unei soluții de autentificare care creează în continuare un cod PIN standardizat în cloud, dar utilizează informații criptate trimise către o aplicație de autentificare specializată. Aplicația bancară/comerciant ar putea include, de asemenea, informațiile de plată împreună cu codul care ar fi trimis aplicației de autentificare.
Aplicația de autentificare ar prezenta informațiile utilizatorului și apoi va răspunde cu „Accept” sau „Refuză”. Aplicația de autentificare ar putea face parte dintr-o strategie pentru două dispozitive, precum și dintr-o strategie pentru două aplicații (un dispozitiv). Aplicația nu ar depinde de numerele de telefon (de exemplu, OOB) și, prin urmare, va fi rezistentă la schimbarea SIM sau deturnarea dispozitivului. În plus, dispozitivul ar trebui să fie în posesia fizică a titularului contului, împreună cu informații bazate pe cunoștințe ale titularului contului.
Din fericire, există multe opțiuni disponibile furnizorilor de plăți din UE, care vor trebui să implementeze PSD2 SCA în următoarele luni. Fiecare va avea cazuri de utilizare specifice care ar trebui examinate îndeaproape pentru a determina dacă resursele SCA ar trebui aplicate. Iată câteva sfaturi:
- Examinați fiecare caz de utilizare
- Înțelegeți dacă pot fi aplicate scutiri SCA
- Determinați este cazul de utilizare legat de accesul la cont sau de plăți
- Pentru plăți, stabiliți cum veți prezenta informațiile de plată și comerciantul utilizatorului (legare dinamică)
- Pentru acces la cont, vă sugerăm să aplicați întotdeauna autentificarea cu doi factori pentru autentificare - este doar mai sigur
Pentru majoritatea piețelor din UE, ne așteptăm ca metoda cea mai răspândită de cumpărături și plăți online să fie prin intermediul unui dispozitiv mobil. Prin urmare, aceasta înseamnă că dispozitivul va fi folosit atât ca dispozitiv principal pentru cumpărături/plăți, cât și pentru autentificare. Nu vă așteptați întotdeauna că utilizatorii vor folosi desktop-uri sau laptop-uri. Utilizarea dispozitivelor mobile (inclusiv tabletele) va crește doar ca dispozitive principale.
PSD2 SCA este un set complex de reglementări, dar cu un oarecare simț și înțelegere cu privire la provocările și opțiunile de autentificare de astăzi, poate fi implementat în conformitate cu aceste reglementări, precum și pentru a proteja toate părțile implicate. În ultimele luni, au existat unele critici la adresa unor cerințe ale SCA și a unor limitări pe care acestea le impun. De fapt, în următoarele luni și ani pot exista reglementări de urmărire (PSD3?).
Nu vă fie teamă să mergeți mai departe și să implementați SCA dacă sunteți implicat în plăți online. Nu așteptați până în ultimul moment. Fă-ți timp pentru a citi cerințele, a le studia și apoi a lua decizii. Există multe opțiuni și sperăm că această serie din 3 părți a fost utilă pentru a vă ghida prin diferitele opțiuni și elemente ale PSD2 SCA.