Son bölüm: PSD2 için Güçlü Müşteri Kimlik Doğrulaması (SCA)
Yayınlanan: 2018-09-05Bu, AB'nin PSD2 Güçlü Müşteri Kimlik Doğrulaması'nı (SCA) detaylandıran üç bölümden oluşan bir gönderi dizisinin üçüncüsü.
Bu serinin üçüncü ve son bölümüne ulaştık. İlk bölümde, Avrupa Birliği'nin Avrupa Bankacılık Otoritesi (veya EBA) direktifini PSD2 (İkinci Ödeme Hizmetleri Direktifi'nin kısaltması) olarak tanıttık ve Güçlü Müşteri Kimlik Doğrulamasının (veya SCA) yol gösterici ilkelerinden bazılarını özetledik. İkinci bölüm, doğrulama kodları, işlemlerin dinamik olarak bağlanması ve kanal bağımsızlığı dahil olmak üzere uygulayıcıların dikkate alması gereken SCA sınırlamalarını ve düzenlemelerini araştırdı.
Bu gönderi için, PSD2 RTS'de (Düzenleyici Teknik Standart) ana hatlarıyla belirtilen gereksinimleri karşılaması gereken SCA uygulama seçeneklerini ve daha fazla bilgi aramak için bazı iyi yerleri ana hatlarıyla belirteceğiz.
SCA için bazı uygulama seçeneklerine bakmadan önce, güçlü kimlik doğrulama ve dinamik bağlantıdan bazı istisnalar olduğunu da belirtmeliyiz.
PSD2 Basın Bülteni SSS'sinde şunu belirtiyorlar: "[muafiyetler] tüketicilerin, tüccarların ve ödeme hizmeti sağlayıcılarının bugün çalışma biçimlerini bozmamak içindir. Bunun nedeni, aynı derecede güvenli ve emniyetli olan alternatif kimlik doğrulama mekanizmalarının bulunabilmesidir. Bununla birlikte, "SCA'dan muaf tutulmak isteyen ödeme hizmeti sağlayıcıları, dolandırıcılık riskinin düşük olup olmadığını değerlendirmek için öncelikle işlemleri izlemeye yönelik mekanizmalar uygulamalıdır." Özel muafiyetler, PSD2 RTS'nin III. Bölümünde özetlenmiştir.
PSD2'de Güçlü Müşteri Kimlik Doğrulamasının gerekli olduğu iki alan
- Hesap Erişimi – bu, herhangi bir cihaz üzerinden ödeme hesaplarına erişimdir: masaüstü, dizüstü bilgisayar, tablet veya cep telefonu.
- Ödemeler – bu, ödeme bilgilerinin kimlik doğrulama yöntemiyle dinamik olarak bağlanması da dahil olmak üzere, bir ödemenin gerçek kimlik doğrulamasıdır.
Günümüzün çok cihazlı, çok kanallı dünyasında, kimlik doğrulamayı gerçekleştirmek için basit SMS tabanlı 2FA'dan Fido'dan daha karmaşık (ve güvenli) Evrensel 2. Faktör'e (U2F) kadar çeşitli bankacılık / ödeme uygulamaları yöntemleri vardır. Aralarındaki her şeyle birlikte ittifak.
Bugün genellikle dört ana konfigürasyonumuz var:
- İki cihaz – biri bankacılık/tüccar uygulamasını çalıştırıyor; başka bir kimlik doğrulama sağlar. Bu, kimlik doğrulama cihazları olarak U2F cihazlarının yanı sıra donanım belirteçlerini de içerecektir, ancak aynı zamanda bir mobil cihazı ve bankacılık/tüccar uygulamasını çalıştıran dizüstü bilgisayarı ve kimlik doğrulama sağlayan mobil cihazı (hatta bant dışı kimlik doğrulama) içerecektir.
- İki uygulama, bir cihaz – tek bir cihazda, tipik olarak bir cep telefonunda, bankacılık/tüccar uygulamasına ve bir kimlik doğrulama uygulamasına sahip olurduk. Kimlik doğrulama uygulaması, Google Authenticator gibi bir yazılım belirteci çözümünü veya örneğin dinamik olarak bağlantılı satın alma bilgilerini kimlik doğrulayıcı uygulamasına aktarmak için bankacılık/tüccar ile entegre olacak özel olarak oluşturulmuş bir kimlik doğrulama uygulamasını içerebilir.
- Bir uygulama, bir cihaz - bir örnek, o uygulama içinde kimlik doğrulama yeteneği de sağlayan bir mobil bankacılık uygulaması olabilir.
- Bant Dışı – veya OOB Kimlik Doğrulaması – buna, bir SIM kartla korunan cep telefonu numarasına gönderilen SMS dahildir. Bu durumda SMS (hatta desteklendiğinde RCS) gibi bant dışı bir kanaldan ulaşılan mobil cihaz 2. faktör (sahiplik) olacaktır.
Tüm bu seçenekler göz önüne alındığında, PSD2 SCA'yı desteklemek ve uyumlu olmak için en iyi seçenekler ve yöntemler neler olabilir?
Bant Dışı seçeneği (OOB), tüketiciler için en kolay ve en iyi bilinen yöntemdir. Hesap Erişimi kurallarına tamamen uygundur ve ödeme bilgileri SMS'de yer aldığı sürece Ödemeler için bir seçenek olmalıdır. Ayrıca kanal bağımsızlığı gereksinimini de karşılar.
Elbette bu günlerde SMS ile ilgili bazı güvenlik sorunları var; bununla birlikte, bunların çoğu basında biraz abartılıyor (örn. SIM takası, SMS müdahaleleri). Bununla birlikte, daha iyi, daha güvenli yöntemler var. 2FA için OOB kanalı olarak SMS kullanıyorsanız, hesabı veya ödemeyi daha da güvenli hale getirmek için ek bir bilgi faktörü eklemeyi düşünün. Bu, belirli SIM takası veya SMS müdahalesi senaryolarının gerçekleşmesi durumunda bunlara karşı ek güvenlik sağlayacaktır.
Ödemeler için kimlik doğrulama için çeşitli donanım cihazları kullanan çok cihazlı (2 cihazlı) kimlik doğrulama seçeneğiyle ilgili sorunlardan biri, ödeme/tüccar bilgilerinin dinamik bağlantısını bu kimlik doğrulama cihazına geri dahil etmenin zor olmasıdır. Bunların çoğu, U2F cihazları gibi oldukça güvenli olsa da, satın alma/ödeme bilgilerinin dinamik olarak bağlanmasını sağlamak zordur.
Yararlı olabilecek bir yöntem, bulutta hala standart bir PIN kodu oluşturan, ancak özel bir Kimlik Doğrulama uygulamasına gönderilen şifreli bilgileri kullanan bir Kimlik Doğrulama çözümü kullanmak olabilir. Bankacılık/tüccar uygulaması, kimlik doğrulama uygulamasına gönderilecek kodla birlikte ödeme bilgilerini de içerebilir.
Kimlik doğrulama uygulaması, bilgileri kullanıcıya sunar ve ardından "Kabul Et" veya "Reddet" ile yanıt verir. Kimlik doğrulama uygulaması, iki cihaz stratejisinin yanı sıra iki uygulama (tek cihaz) stratejisinin bir parçası olabilir. Uygulama, telefon numaralarına (örn. OOB) bağlı olmayacak ve bu nedenle SIM değiştirmeye veya cihaz kaçırmaya karşı dirençli olacaktır. Ek olarak, cihaz, hesap sahibinin bilgi temelli bilgileriyle birlikte hesap sahibinin fiziksel mülkiyetinde olmalıdır.
Neyse ki, önümüzdeki aylarda PSD2 SCA'yı uygulaması gerekecek olan AB ödeme sağlayıcıları için birçok seçenek mevcut. Her birinin, SCA kaynaklarının uygulanıp uygulanmayacağını belirlemek için yakından incelenmesi gereken belirli kullanım durumları olacaktır. İşte birkaç ipucu:
- Her bir kullanım durumunu inceleyin
- SCA muafiyetlerinin uygulanıp uygulanamayacağını anlayın
- Hesap erişimi veya ödemelerle ilgili kullanım durumunu belirleyin
- Ödemeler için ödeme bilgilerini ve satıcıyı kullanıcıya nasıl sunacağınızı belirleyin (dinamik bağlantı)
- Hesap erişimi için, oturum açma işlemlerine her zaman iki faktörlü kimlik doğrulama uygulamanızı öneririz - bu sadece daha güvenlidir
Çoğu AB pazarında, çevrimiçi alışveriş ve ödemeler için en yaygın yöntemin bir mobil cihaz aracılığıyla olmasını bekliyoruz. Bu nedenle, bu, cihazın hem alışveriş/ödemeler için hem de kimlik doğrulama için birincil cihaz olarak kullanılacağı anlamına gelir. Kullanıcıların her zaman masaüstü veya dizüstü bilgisayar kullanmasını beklemeyin. Mobil cihaz kullanımı (tabletler dahil) yalnızca birincil cihaz olarak artacaktır.
PSD2 SCA, karmaşık bir düzenlemeler dizisidir, ancak günümüzün kimlik doğrulama zorlukları ve seçenekleri hakkında biraz sağduyu ve anlayışla, bu düzenlemelere uygun olarak uygulanabilir ve ilgili tüm tarafları korur. Son aylarda, SCA'nın bazı gereksinimlerine ve getirdikleri bazı sınırlamalara yönelik bazı eleştiriler olmuştur. Aslında, önümüzdeki aylarda ve yıllarda takip düzenlemeleri (PSD3?) olabilir.
Çevrimiçi ödemelere dahilseniz, devam etmekten ve SCA'yı uygulamaktan korkmayın. Son dakikaya kadar beklemeyin. Gereksinimleri okumak, incelemek ve ardından kararlar almak için zaman ayırın. Dışarıda pek çok seçenek var ve umarız bu 3 bölümlük seri, PSD2 SCA'nın çeşitli seçenekleri ve öğeleri konusunda size yol göstermede yardımcı olmuştur.