Silne uwierzytelnianie klienta - Strong customer authentication

Silne uwierzytelnianie klienta ( SCA ) jest wymogiem zaktualizowanej dyrektywy UE w sprawie usług płatniczych (PSD2) dotyczącej dostawców usług płatniczych w Europejskim Obszarze Gospodarczym . Wymóg zapewnia, że ​​płatności elektroniczne są realizowane z uwierzytelnianiem wieloskładnikowym , w celu zwiększenia bezpieczeństwa płatności elektronicznych. Fizyczne transakcje kartowe już powszechnie mają coś, co można nazwać silnym uwierzytelnianiem klienta w UE ( chip i PIN ), ale generalnie nie było to prawdą w przypadku transakcji internetowych w UE przed wdrożeniem tego wymogu, a wiele zbliżeniowych płatności kartami nie użyj drugiego czynnika uwierzytelniania.

Wymóg SCA wszedł w życie 14 września 2019 r. Jednak za zgodą Europejskiego Urzędu Nadzoru Bankowego kilka krajów EOG ogłosiło, że ich wdrożenie zostanie tymczasowo opóźnione lub rozłożone na etapy, a ostateczny termin wyznaczono na 31 grudnia 2020 r.

Wymaganie

Artykuł 97 ust. 1 dyrektywy wymaga, aby dostawcy usług płatniczych stosowali silne uwierzytelnianie klienta, gdy płatnik:

a) uzyskuje dostęp do swojego rachunku płatniczego online;
b) inicjuje elektroniczną transakcję płatniczą;
(c) wykonuje jakiekolwiek działania za pośrednictwem kanału zdalnego, które mogą sugerować ryzyko oszustwa płatniczego lub innych nadużyć.

Artykuł 4 ust. 30 definiuje samo „silne uwierzytelnianie klienta” (jako uwierzytelnianie wieloskładnikowe):

uwierzytelnianie oparte na wykorzystaniu dwóch lub więcej elementów sklasyfikowanych jako wiedza (coś, co tylko użytkownik wie), posiadanie (coś, co tylko użytkownik posiada) i dziedziczność (coś, co użytkownik jest), które są niezależne, w tym, że naruszenie jednego nie narażać wiarygodność innych i jest zaprojektowany w taki sposób, aby chronić poufność danych uwierzytelniających

Realizacja

Europejski Urząd Nadzoru Bankowego opublikował opinię na temat tego, co zbliża mogą stanowić różne „elementy” SCA.

3-D Secure 2.0 może (ale nie zawsze) spełniać wymagania SCA. 3-D Secure ma implementacje Mastercard (Mastercard Identity Check) i Visa, które są reklamowane jako umożliwiające zgodność z SCA.

Sprzedawcy handlu elektronicznego muszą aktualizować przepływy płatności w swoich witrynach i aplikacjach, aby obsługiwać uwierzytelnianie. Jeśli uwierzytelnianie nie jest obsługiwane, wiele płatności zostanie odrzuconych po pełnym wdrożeniu SCA.

Historia

W dniu 31 stycznia 2013 r. Europejski Bank Centralny (EBC) wydał zalecenia dotyczące bezpieczeństwa płatności internetowych, wymagające silnego uwierzytelnienia klienta. Wymogi EBC są neutralne pod względem technologicznym, aby wspierać innowacyjność i konkurencję. W procesie publicznego składania wniosków do EBC zidentyfikowano trzy rozwiązania silnego uwierzytelniania klientów, z których dwa opierają się na uwierzytelnianiu opartym na zaufaniu , a drugie to nowy wariant 3-D Secure, który zawiera hasła jednorazowe .

Następnie Komisja Europejska przygotowała projekty zaktualizowanej dyrektywy w sprawie usług płatniczych uwzględniającej ten wymóg, która stała się PSD2. Silne uwierzytelnianie klienta PSD2 jest wymogiem prawnym dla płatności elektronicznych i kart kredytowych od 14 września 2019 r.

Krytyka

W 2016 r. Visa skrytykowała propozycję wprowadzenia obowiązkowego silnego uwierzytelniania klientów, twierdząc, że może to utrudnić płatności internetowe, a tym samym zaszkodzić sprzedaży w sklepach internetowych.

W 2019 roku wiodąca grupa reprezentacji konsumenckiej What? podał wiele przykładów wykluczenia cyfrowego stworzonego przez wąską interpretację opartą na obowiązkowym korzystaniu z telefonów komórkowych i podał wiele przykładów osób, które zostałyby wykluczone przez tę interpretację SCA. Osoby, które mogą zostać wykluczone, to m.in.:

  • Nie posiadanie telefonu komórkowego (z własnego wyboru lub z innego powodu).
  • Brak dostępu do telefonu komórkowego (zgubiony lub uszkodzony i jeszcze nie wymieniony).
  • Brak sygnału telefonicznego w miejscu zamieszkania – Walia i Szkocja mają wiele odległych obszarów wiejskich.
  • Brak sygnału telefonicznego w innym miejscu w czasie, gdy muszą się uwierzytelnić: na przykład podczas podróży, pobytu w innym miejscu lub na wakacjach.
  • Osoby starsze w domach opieki, które mogą nie mieć dostępu do internetu ani telefonu komórkowego.
  • Ktoś, kto może nie być w stanie korzystać z telefonu komórkowego.
  • Osoby, które mogą mieć telefon, ale nie chcą udostępniać swojego numeru nikomu z wyjątkiem przyjaciół i rodziny (często jedyne podejście, które chroni przed połączeniami spamowymi i danymi dostającymi się w niepowołane ręce).

A jednak brytyjskie banki przestawiają się na wąską interpretację #2FA wyłącznie na telefony komórkowe: „Aby korzystać z karty online, musisz teraz mieć zarejestrowany u nas numer telefonu komórkowego w Wielkiej Brytanii”.

W 2020 r. niezależny raport przeprowadzony przez firmę doradczą CMSPI wykazał, że potencjalne zakłócenia spowodowane silnym uwierzytelnianiem klientów (z wyłączeniem Wielkiej Brytanii) mogą wynieść 108 mld euro w 2021 r.

Poza Europą

Reserve Bank of India powierzyła to „dodatkowy czynnik uwierzytelniania” dla transakcji kartami-nie-obecne.

Propozycja, aby 3-D Secure była obowiązkowa w Australii, została zablokowana przez Australijską Komisję ds. Konkurencji i Konsumentów (ACCC) po sprzeciwach.

Zobacz też

Bibliografia

  1. ^ a b „Dyrektywa usług płatniczych (PSD2): Regulacyjne standardy techniczne (RTS) umożliwiające konsumentom korzystanie z bezpieczniejszych i bardziej innowacyjnych płatności elektronicznych” . Komisja Europejska . 2017-11-27 . Źródło 2019-04-17 .
  2. ^ „EBA zapewnia uczestnikom rynku jasność wdrażania standardów technicznych dotyczących silnego uwierzytelniania klientów oraz wspólnej i bezpiecznej komunikacji w ramach PSD2” . Europejski Urząd Nadzoru Bankowego . 2018-06-13 . Źródło 2019-04-17 .
  3. ^ a b c „EBA publikuje opinię na temat elementów silnego uwierzytelniania klienta w ramach PSD2” . Europejski Urząd Nadzoru Bankowego . 21 czerwca 2019 r. Zarchiwizowane z oryginału w dniu 2019-12-30 . Źródło 2019-09-07 .
  4. ^ „FCA uzgadnia plan stopniowego wdrożenia Silnego Uwierzytelniania Klienta” . Urząd ds . Postępowania Finansowego . 2019-08-13 . Źródło 2019-09-07 .
  5. ^ „Data egzekwowania silnego uwierzytelniania klienta (SCA)” . Pasek . 6 września 2019 . Źródło 2019-09-07 .
  6. ^ B "Dyrektywa 2015/2366 / UE" . 25 listopada 2015 r. w sprawie usług płatniczych na rynku wewnętrznym, zmiany dyrektyw 2002/65/WE, 2009/110/WE i 2013/36/UE oraz rozporządzenia (UE) nr 1093/2010 oraz uchylenia dyrektywy 2007/64/WE
  7. ^ „Silne uwierzytelnianie klienta i PSD2: Jak dostosować się do nowych przepisów w Europie” (PDF) . Karta Master . 2018-08-17 . Źródło 2019-04-17 .
  8. ^ „Przygotowanie do PSD2 SCA” (PDF) . Wiza . Listopad 2018 . Źródło 2019-04-17 .
  9. ^ a b "Projektowanie przepływów płatności dla SCA" . Pasek . 15 lipca 2019 r . Źródło 2019-09-07 .
  10. ^ „EBC: EBC publikuje ostateczne zalecenia dotyczące bezpieczeństwa płatności internetowych i rozpoczyna konsultacje publiczne na temat usług dostępu do rachunku płatniczego” . Ecb.pl . Pobrano 17.07.2014 .
  11. ^ „EBC: konsultacje społeczne” . Ecb.europa.eu. 2013-01-31 . Pobrano 17.07.2014 .
  12. ^ https://newsroom.mastercard.com/eu/files/2018/02/Security-Matters-Authentication-under-PSD2-and-SCA-Mastercard-White-Paper.pdf
  13. ^ Leyden, Josh (27.11.2016). „Visa krzyczy z powodu silniejszych żądań uwierzytelniania ze strony Euro-regulatora” . Rejestr . Źródło 2019-04-17 .
  14. ^ „Nowe kontrole bezpieczeństwa online wykluczają osoby bez telefonów komórkowych lub przyzwoitego sygnału” . Który? . Źródło 24 czerwca 2021 .
  15. ^ "Aktualizuj swój numer telefonu komórkowego, aby robić bezpieczniejsze zakupy online" . Bank Spółdzielczy . Źródło 24 czerwca 2021 .
  16. ^ „News SCA dla PSD2 może kosztować handlowców ponad 100 mld euro w 2021 roku” . Płatnicy . Źródło 24 września 2020 .
  17. ^ „Środki bezpieczeństwa i ograniczania ryzyka dla elektronicznych transakcji płatniczych” . Bank Rezerw Indii . Zarchiwizowane od oryginału 04.03.2013.
  18. ^ „ACCC publikuje projekt ustalenia przeciwko obowiązkowemu użyciu 3D [sic] Secure dla płatności online” . 23 maja 2016r . Źródło 2019-09-07 .