O co właściwie cały ten szum? Silne uwierzytelnianie w praktyce

W kontekście PSD2 dużo mówi się o tzw. silnym uwierzytelnianiu (SCA). Czym w praktyce jest ta forma potwierdzania tożsamości użytkownika usługi płatniczej i jakie wymagania stawiają prawodawca oraz regulator przed dostawcami tych usług?

Bezpieczeństwo płatności przede wszystkim

Jednym z głównych założeń pakietu PSD2 jest zapewnienie, aby usługi płatnicze oferowane przy użyciu mediów elektronicznych, w tym głównie przez Internet, były wykonywane w sposób maksymalnie bezpieczny i przy użyciu takich rozwiązań technologicznych, które zminimalizują ryzyko nadużyć, a w praktyce oszustw (fraudów).

Postęp technologiczny, w tym wykorzystywanie nowych technologii w bankowości i finansach to z jednej strony szansa, a z drugiej ogromne zagrożenie. Dlatego tak istotne jest wprowadzenie mechanizmów, które w odpowiedni sposób wykrywają nieautoryzowane lub nielegalne transakcje. Obejmują one liczne rozwiązania w zakresie bezpieczeństwa, a ich podstawę stanowi właściwa analiza transakcji płatniczych.

Co z tym silnym uwierzytelnianiem?

Zanim przejdziemy do definicji, warto spojrzeć na sytuacje kiedy w ogóle powstaje obowiązek silnego uwierzytelniania. Przepisy krajowe, jak i unijne są skonstruowane w identyczny sposób i wymagają od dostawcy usług płatniczych stosowania SCA w przypadku, gdy płatnik (co do zasady posiadacz rachunku):

  1. uzyskuje dostęp do swojego rachunku przez Internet, np. poprzez aplikację mobilną;
  2. inicjuje elektroniczną transakcję płatniczą, np. poprzez popularne serwisy typu PayU, lub
  3. przeprowadza za pomocą kanału zdalnego jakąś czynność, która może być związana z ryzykiem oszustwa lub innych nadużyć w obszarze usług płatniczych, np..

W takiej sytuacji obowiązek stosowania SCA nie jest jednak bezwzględny, gdyż przewidziano kilka wyłączeń. Po pierwsze, jeżeli nawet użytkownik usługi płatniczej korzysta z dostępu on-line, ale w trakcie korzystania z usługi nie dochodzi ujawnienia szczególnie chronionych danych dotyczących płatności i zachodzi jedna lub dwie z poniższych sytuacji, to dostawca usługi płatniczej nie ma obowiązku stosowania silnego uwierzytelnienia. Te sytuacje to:

  1. uzyskanie dostępu do salda rachunku lub rachunków płatniczych oraz
  2. uzyskanie dostępu do transakcji płatniczych przeprowadzonych w ciągu ostatnich 90 dni.

Te wyłączenia nie mają jednak zastosowania jeżeli użytkownik loguje się na konto w trybie on-line po raz pierwszy lub minęło 90 dni od ostatniego logowania (dostęp do ww. informacji) lub zastosowania silnego uwierzytelnienia.

Regulacyjne standardy techniczne (RTS) w zakresie SCA wprowadzają też inne wyłączenia, m.in. w odniesieniu do płatności zbliżeniowych czy transakcji niskokwotowych. Jest ich znacznie więcej, ale w tym artykule nie będziemy ich analizować. Zainteresowanych odsyłam do Rozdziału III ww. RTS.

No właśnie. Jak wygląd silne uwierzytelnianie?

Omówmy to na przykładzie aplikacji mobilnej dowolnego Banku oferującego swoje usługi przez internet.

Klient posiada smartfon z którego zamierza logować się do bankowości mobilnej. Aby to zrobić klient musi zainstalować dedykowaną aplikację banku na swoim telefonie (coś co ma). Co istotne każdorazowa zmiana “infrastruktury telefonu”, jak np. płyty głównej, powinna skutkować dezaktywacją aplikacji i niemożnością zalogowania się. Po zainstalowaniu aplikacji i przejściu procesu weryfikacji, która może wymagać kontaktu telefonicznego z bankiem, klient – w celu zalogowania się na konto – proszony o podanie hasła (coś co wie) lub przyłożenie odcisku palca (coś czym jest). Wpisanie prawidłowego hasła lub rozpoznanie przez algorytm banku odcisku palca jako pasującego do przypisanego loginu, powoduje uwierzytelnienie użytkownika i uzyskanie przez niego dostępu do konta.

Po wykonaniu ww. czynności dochodzi do wygenerowania kodu uwierzytelniającego, który umożliwia dostęp do rachunku i klient może wykonać inne czynności, jak np. zainicjować transakcję płatniczą (w takim przypadku pojawia się jeszcze kwestia tzw. dynamicznego połączenia – o tym w kolejnym artykule).

Tak właśnie, w praktyce, wygląda silne uwierzytelnianie. W teorii wygląda to tak, że SCA to uwierzytelnianie zapewniające ochronę poufności danych w oparciu o zastosowanie co najmniej dwóch elementów należących do kategorii: a) wiedza o czymś, o czym wie wyłącznie użytkownik; b) posiadanie czegoś, co posiada wyłącznie użytkownik; c) cechy charakterystyczne użytkownika – będących integralną częścią tego uwierzytelniania oraz niezależnych w taki sposób, że naruszenie jednego z tych elementów nie osłabia wiarygodności pozostałych.

Czyli innymi słowo to mechanizm zapewniający, że osoba logującą się na konto w trybie online lub przeprowadzająca inne czynność związaną z dostępem do rachunku, to właśnie ta osoba. Towarzyszą temu odpowiednie rozwiązania informatyczne i compliance, jak np. związane z monitorowanie transakcji czy poufnością i integralnością danych uwierzytelniających. To jednak temat na odrębny artykuł.

 

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *