บทสุดท้าย: Strong Customer Authentication (SCA) สำหรับ PSD2

เผยแพร่แล้ว: 2018-09-05

นี่เป็นชุดที่สามของโพสต์สามส่วนที่มีรายละเอียดเกี่ยวกับการรับรองความถูกต้องของลูกค้าแบบเข้มงวด PSD2 ของสหภาพยุโรป (SCA)

เรามาถึงงวดที่สามและเป็นงวดสุดท้ายของซีรีส์นี้แล้ว ในงวดแรก เราได้แนะนำคำสั่ง European Banking Authority (หรือ EBA) ของสหภาพยุโรปที่เรียกว่า PSD2 (ย่อมาจาก The Second Payment Services Directive) และสรุปหลักเกณฑ์บางประการของการตรวจสอบสิทธิ์ลูกค้าที่เข้มงวด (หรือ SCA) งวดที่สองสำรวจข้อจำกัดและข้อบังคับของ SCA ที่ผู้ดำเนินการต้องพิจารณา ซึ่งรวมถึงรหัสการตรวจสอบความถูกต้อง การเชื่อมโยงธุรกรรมแบบไดนามิก และความเป็นอิสระของช่องทาง

สำหรับโพสต์นี้ เราจะร่างตัวเลือกการใช้งาน SCA ที่ควรเป็นไปตามข้อกำหนดที่ระบุไว้ใน PSD2 RTS (Regulatory Technical Standard) รวมถึงตำแหน่งที่ดีในการค้นหาข้อมูลเพิ่มเติม

ก่อนที่เราจะดูตัวเลือกการใช้งานบางอย่างสำหรับ SCA เราควรชี้ให้เห็นว่ามี ข้อยกเว้นบางประการจากการพิสูจน์ตัวตนที่รัดกุมและการเชื่อมโยงแบบไดนามิก

ในคำถามที่พบบ่อยเกี่ยวกับข่าวประชาสัมพันธ์ PSD2 พวกเขาระบุว่า: “[ข้อยกเว้นคือ] เพื่อหลีกเลี่ยงการรบกวนวิธีที่ผู้บริโภค ร้านค้า และผู้ให้บริการชำระเงินดำเนินการในปัจจุบัน อาจเป็นเพราะว่าอาจมีกลไกการตรวจสอบสิทธิ์ทางเลือกอื่นที่ปลอดภัยเท่าเทียมกัน อย่างไรก็ตาม “ผู้ให้บริการชำระเงินที่ต้องการได้รับการยกเว้นจาก SCA ต้องใช้กลไกในการติดตามธุรกรรมก่อนเพื่อประเมินว่าความเสี่ยงจากการฉ้อโกงมีน้อย” ข้อยกเว้นเฉพาะระบุไว้ในบทที่ 3 ของ PSD2 RTS

สองส่วนที่มีการเรียกการรับรองความถูกต้องของลูกค้าอย่างเข้มงวดใน PSD2

  • การเข้าถึงบัญชี – นี่คือการเข้าถึงบัญชีการชำระเงินผ่านอุปกรณ์ใดก็ได้: เดสก์ท็อป แล็ปท็อป แท็บเล็ต หรือโทรศัพท์มือถือ
  • การชำระเงิน – นี่คือการตรวจสอบความถูกต้องของการชำระเงิน รวมถึงการลิงก์แบบไดนามิกของข้อมูลการชำระเงินด้วยวิธีการรับรองความถูกต้อง

ในโลกที่มีอุปกรณ์หลายเครื่องและหลายช่องทางในปัจจุบัน มีหลายวิธีในแอปพลิเคชันการธนาคาร/การชำระเงินเพื่อรับรองความถูกต้อง ตั้งแต่ 2FA ที่ใช้ SMS ธรรมดาไปจนถึง Universal 2 nd Factor (U2F) ที่ซับซ้อน (และปลอดภัย) จาก Fido พันธมิตรพร้อมกับทุกสิ่งในระหว่าง

โดยทั่วไปแล้ว เรามีการกำหนดค่าหลักสี่แบบในปัจจุบัน:

  • อุปกรณ์สองเครื่อง – เครื่องหนึ่งใช้งานแอปพลิเคชันธนาคาร/ร้านค้า อื่นให้การรับรองความถูกต้อง ซึ่งจะรวมถึงโทเค็นของฮาร์ดแวร์และอุปกรณ์ U2F เป็นอุปกรณ์ตรวจสอบความถูกต้อง แต่จะรวมถึงอุปกรณ์พกพาและแล็ปท็อปที่มีแล็ปท็อปที่ใช้งานแอปพลิเคชันธนาคาร/ร้านค้า และอุปกรณ์มือถือที่ให้การรับรองความถูกต้อง (แม้กระทั่งการตรวจสอบสิทธิ์แบบนอกวง)
  • สองแอป หนึ่งอุปกรณ์ – ในอุปกรณ์เครื่องเดียว โดยทั่วไปคือโทรศัพท์มือถือ เราจะมีแอปธนาคาร/ผู้ขาย และแอปตรวจสอบสิทธิ์ แอปตรวจสอบสิทธิ์อาจรวมถึงโซลูชันซอฟต์โทเค็น เช่น Google Authenticator หรือแอปตรวจสอบสิทธิ์ที่สร้างขึ้นแบบพิเศษ ซึ่งจะรวมเข้ากับธนาคาร/ผู้ขายเพื่อโอน เช่น ข้อมูลการซื้อที่เชื่อมโยงแบบไดนามิกไปยังแอปตรวจสอบความถูกต้อง
  • หนึ่งแอพ หนึ่งอุปกรณ์ – ตัวอย่างจะเป็นแอพธนาคารบนมือถือที่ให้ความสามารถในการรับรองความถูกต้องภายในแอพนั้นด้วย
  • Out-of-Band – หรือ OOB Authentication – รวมถึง SMS ที่ส่งไปยังหมายเลขโทรศัพท์มือถือที่รักษาความปลอดภัยด้วยซิมการ์ด ในกรณีนี้ อุปกรณ์มือถือที่เข้าถึงผ่านช่องทางนอกแบนด์เช่น SMS (หรือแม้แต่ RCS เมื่อรองรับ) จะเป็นปัจจัยที่ 2 (การครอบครอง)

จากตัวเลือกทั้งหมดเหล่านี้ อะไรคือตัวเลือกและวิธีการที่ดีที่สุดในการสนับสนุน PSD2 SCA และเป็นไปตามข้อกำหนด

ตัวเลือก Out-of-Band (OOB) เป็นวิธีที่ง่ายและเป็นที่รู้จักมากที่สุดสำหรับผู้บริโภค เป็นไปตามกฎสำหรับการเข้าถึงบัญชีโดยสมบูรณ์ และควรเป็นตัวเลือกสำหรับการชำระเงินตราบใดที่ข้อมูลการชำระเงินรวมอยู่ใน SMS นอกจากนี้ยังเป็นไปตามข้อกำหนดของช่องอิสระ

แน่นอนว่าทุกวันนี้ SMS มีปัญหาด้านความปลอดภัย อย่างไรก็ตาม สิ่งเหล่านี้ค่อนข้างจะเยอะเกินไปในการกด (เช่น SIM-swap, SMS interceptions) ที่กล่าวว่ามีวิธีที่ดีกว่าและปลอดภัยกว่า หากใช้ SMS เป็นช่องทาง OOB สำหรับ 2FA ให้พิจารณาเพิ่มปัจจัยความรู้เพิ่มเติมเพื่อความปลอดภัยของบัญชีหรือการชำระเงิน ซึ่งจะให้ความปลอดภัยเพิ่มเติมกับสถานการณ์การสลับ SIM หรือการสกัดกั้นทาง SMS บางอย่าง หากเกิดขึ้น

ปัญหาอย่างหนึ่งของตัวเลือกการตรวจสอบสิทธิ์แบบหลายอุปกรณ์ (2 อุปกรณ์) โดยใช้อุปกรณ์ฮาร์ดแวร์ต่างๆ สำหรับการตรวจสอบความถูกต้องสำหรับการชำระเงินคือ เป็นการยากที่จะรวมการเชื่อมโยงแบบไดนามิกของข้อมูลการชำระเงิน/ผู้ขายกลับไปยังอุปกรณ์ตรวจสอบสิทธิ์นั้น แม้ว่าอุปกรณ์เหล่านี้จะค่อนข้างปลอดภัย เช่น อุปกรณ์ U2F แต่ก็เป็นการยากที่จะรวมการเชื่อมโยงแบบไดนามิกของข้อมูลการซื้อ/การชำระเงิน

วิธีหนึ่งที่จะเป็นประโยชน์คือการใช้โซลูชันการตรวจสอบสิทธิ์ที่ยังคงสร้างรหัส PIN ที่เป็นมาตรฐานในระบบคลาวด์ แต่ใช้ข้อมูลที่เข้ารหัสซึ่งส่งไปยังแอปการตรวจสอบสิทธิ์เฉพาะ แอปธนาคาร/ร้านค้าอาจรวมข้อมูลการชำระเงินพร้อมกับรหัสที่จะส่งไปยังแอปตรวจสอบสิทธิ์

แอปตรวจสอบความถูกต้องจะแสดงข้อมูลให้ผู้ใช้ทราบแล้วตอบกลับด้วยคำว่า "ยอมรับ" หรือ "ปฏิเสธ" แอปตรวจสอบสิทธิ์อาจเป็นส่วนหนึ่งของกลยุทธ์สองอุปกรณ์และกลยุทธ์สองแอป (อุปกรณ์เดียว) แอปจะไม่ขึ้นอยู่กับหมายเลขโทรศัพท์ (เช่น OOB) ดังนั้นจึงทนทานต่อการสลับซิมหรือการจี้อุปกรณ์ นอกจากนี้ อุปกรณ์จะต้องอยู่ในความครอบครองของเจ้าของบัญชีพร้อมกับข้อมูลตามความรู้ของเจ้าของบัญชี

โชคดีที่มีตัวเลือกมากมายสำหรับผู้ให้บริการชำระเงินในสหภาพยุโรป ซึ่งจะต้องใช้ PSD2 SCA ในอีกไม่กี่เดือนข้างหน้า แต่ละรายการจะมีกรณีการใช้งานเฉพาะที่ควรตรวจสอบอย่างใกล้ชิดเพื่อพิจารณาว่าควรใช้ทรัพยากร SCA หรือไม่ นี่คือเคล็ดลับบางประการ:

  • ตรวจสอบแต่ละกรณีการใช้งาน
  • ทำความเข้าใจว่าอาจมีการยกเว้น SCA หรือไม่
  • กำหนดเป็นกรณีการใช้งานที่เกี่ยวข้องกับการเข้าถึงบัญชีหรือการชำระเงิน
  • สำหรับการชำระเงิน ให้กำหนดว่าคุณจะนำเสนอข้อมูลการชำระเงินและผู้ขายต่อผู้ใช้อย่างไร (การเชื่อมโยงแบบไดนามิก)
  • สำหรับการเข้าถึงบัญชี เราขอแนะนำ ให้ ใช้การพิสูจน์ตัวตนแบบสองปัจจัยในการเข้าสู่ระบบเสมอ – มีความปลอดภัยมากกว่า

สำหรับตลาดสหภาพยุโรปส่วนใหญ่ เราคาดว่าวิธีการช็อปปิ้งและการชำระเงินออนไลน์ที่แพร่หลายที่สุดคือผ่านอุปกรณ์เคลื่อนที่ ซึ่งหมายความว่าอุปกรณ์จะถูกใช้เป็นทั้งอุปกรณ์หลักสำหรับการซื้อของ/ชำระเงินและสำหรับการตรวจสอบสิทธิ์ อย่าคาดหวังเสมอว่าผู้ใช้จะใช้เดสก์ท็อปหรือแล็ปท็อป การใช้อุปกรณ์มือถือ (รวมถึงแท็บเล็ต) จะเพิ่มขึ้นเป็นอุปกรณ์หลักเท่านั้น

PSD2 SCA เป็นชุดข้อบังคับที่ซับซ้อน แต่ด้วยสามัญสำนึกและความเข้าใจบางประการเกี่ยวกับความท้าทายและตัวเลือกในการรับรองความถูกต้องในปัจจุบัน จึงสามารถนำมาใช้ให้สอดคล้องกับระเบียบข้อบังคับเหล่านี้ได้ เช่นเดียวกับการปกป้องทุกฝ่ายที่เกี่ยวข้อง ในช่วงไม่กี่เดือนที่ผ่านมา มีการวิพากษ์วิจารณ์ข้อกำหนดบางประการของ SCA และข้อจำกัดบางประการที่พวกเขากำหนด อันที่จริง อาจมีข้อบังคับติดตามผล (PSD3?) ในอีกไม่กี่เดือนและหลายปีต่อจากนี้

อย่ากลัวที่จะดำเนินการ SCA ต่อไป หากคุณเกี่ยวข้องกับการชำระเงินออนไลน์ อย่ารอจนนาทีสุดท้าย ใช้เวลาในการอ่านข้อกำหนด ศึกษาข้อกำหนด แล้วตัดสินใจ มีตัวเลือกมากมายและเราหวังว่าชุดข้อมูล 3 ส่วนนี้จะเป็นประโยชน์ในการแนะนำตัวเลือกและองค์ประกอบต่างๆ ของ PSD2 SCA

โควิด-19 กำลังเปลี่ยนแปลงธุรกิจ เรียนรู้ผลกระทบต่ออีคอมเมิร์ซ กลยุทธ์ทางธุรกิจ และการเปลี่ยนแปลงทางดิจิทัล ที่ นี่