Weryfikacja tożsamości w PSD 2 – dyrektywa wprowadza nowe standardy uwierzytelniania

PSD2 – dyrektywa, która ma zagwarantować bezpieczeństwo

Ochrona transakcji online wymaga wyjątkowo skutecznych środków, żeby uniemożliwić niepowołanym osobom dostęp do rachunku. Właśnie dlatego nowe przepisy wprowadzają metody silnego uwierzytelniania użytkownika, czyli SCA (Strong Customer Authentication). To jeden z najważniejszych punktów zawartych w rozporządzeniu PSD 2. Dyrektywa ta wymaga od podmiotów stosowania minimum dwóch z trzech metod zabezpieczeń, które powinny bazować na:

  • czymś, co tylko użytkownik zna, np. hasło do konta albo PIN,
  • czymś, co tylko użytkownik posiada, np. kartę płatniczą,
  • czymś, czym jest użytkownik – ta kategoria obejmuje cechy, które są unikalne i dotyczą wyłącznie właściciela konta. Ich weryfikacja wykorzystuje biometrię, czyli np. skan siatkówki albo odcisku palca.

Co ważne, każdy z wymienionych elementów musi być niezależny od pozostałych. Tylko dzięki temu, będzie można zapewnić całkowite bezpieczeństwo i poufność danych.

Problem z weryfikacją przez SMS

Potwierdzanie płatności przez SMS to popularny sposob na sprawdzanie tożsamości użytkownika. Kody wysyłane w takiej wiadomości teoretycznie mogłyby stanowić metodę weryfikacji akceptowaną przez PSD 2. Dyrektywa wymaga, żeby był do tego wykorzystywany element posiadany przez właściciela konta, a telefon spełnia ten warunek. Niestety, RTS czyli dokument opisujący wymogi, które muszą spełniać banki po wprowadzeniu PSD 2, na to nie pozwala. Treści wiadomości wysyłanych przez telefon nie podlegają żadnej ochronie, chociaż znajdują się w nich szczegółowe informacje o transakcji.  Gdyby doszło do ich modyfikacji, mogłoby to narazić właściciela rachunku na duże straty. Z tego względu, SMS trzeba będzie zastąpić skuteczniejszą technika uwierzytelniania.

Kiedy trzeba stosować metody weryfikacji zawarte w dyrektywie PSD 2?

Zgodnie z wymogami PSD 2, każdy podmiot, umożliwiający przeprowadzanie transakcji oraz dostęp do konta, musi stosować metody silnego uwierzytelniania. Jest ono niezbędne zwłaszcza wtedy, gdy użytkownik próbuje:

  • zalogować się na swoje konto w internetowym systemie płatniczym,
  • rozpocząć transakcję płatniczą online
  • przeprowadzać jakiekolwiek działania, z którymi wiąże się niebezpieczeństwo nadużyć.

Warto zwrócić uwagę również na wyjątki od stosowania SCA, jakie przewiduje PSD 2. Dyrektywa pozwala z nich zrezygnować m.in. wtedy, gdy transakcja jest inicjowana w siedzibie dostawcy usług płatniczych albo kiedy użytkownik płaci za parking bądź taksówkę. Silne uwierzytelnianie nie musi też mieć miejsca, gdy dotyczy transakcji określonych wcześniej jako okresowe, które są przeprowadzanie regularnie. SCA będzie konieczne tylko podczas pierwszej transakcji z serii.

W RTS można znaleźć szczegółowe informacje na temat tego, kiedy nie trzeba stosować metod silnego uwierzytelniania. Najważniejsze postanowienia zawarte w tym dokumencie są opisane na stronie https://apilogic.pro/dyrektywa-unijna-psd2-bank-4-0-czy-to-koniec-bezposredniego-kontaktu-z-klientem/ . Stamtąd można się też dowiedzieć, jakie inne nowości wiążą się w wprowadzeniem dyrektywy PSD 2. Warto się z nimi zapoznać, by móc przygotować się do zmian.