Authentification client forte (SCA) pour PSD2

Troisième partie de la série en trois parties « Authentification forte du client PSA2 (SCA) dans l'UE ».

Dans le premier versement de cette série, nous avons présenté le système de l'Union européenne. La directive PSA2 de l’Autorité bancaire européenne (ABE) (deuxième directive sur les services de paiement) et a exposé certains des principes directeurs de l’authentification forte du client. La deuxième tranche a exploré les limitations et réglementations de SCA que les développeurs doivent prendre en compte, notamment les codes d'authentification, la liaison dynamique des transactions et l'indépendance des canaux.

Dans cet article, nous décrirons les options de mise en œuvre de SCA qui devraient satisfaire les exigences décrites dans la norme technique de réglementation PSD2 RTS [ ]ainsi que de bons endroits pour obtenir plus d'informations.

Avant d'examiner les options de mise en œuvre de SCA, il convient également de souligner Il existe quelques exceptions à une authentification forte et à une liaison dynamique .

Le PSD2 Communiqué de presse FAQ note, «[exemptions are] note pour éviter de perturber le mode de fonctionnement actuel des consommateurs, des marchands et des fournisseurs de services de paiement . C'est aussi parce qu'il peut exister d'autres mécanismes d'authentification sûrs et sécurisés. Toutefois, les prestataires de services de paiement qui souhaitent être exemptés de SCA doivent d'abord appliquer des mécanismes de contrôle des transactions afin de déterminer si le risque de fraude est faible. "Les exemptions spécifiques sont décrites au chapitre III du PSD2 RTS . 19659006] Deux domaines dans lesquels l'authentification client forte est requise dans PSD2

• Accès au compte – accès aux comptes de paiement depuis n'importe quel appareil: ordinateur de bureau, ordinateur portable, tablette ou téléphone portable.

• Paiements – Il s'agit de l'authentification réelle d'un paiement, y compris la liaison dynamique des informations de paiement avec la méthode d'authentification.

Dans le monde multi-appareils et multi-canaux actuel, il existe une grande variété de méthodes d'applications bancaires / de paiement pour réaliser l'authentification. , du simple 2FA basé sur SMS au facteur plus sophistiqué (et sécurisé) Universal 2 ^e (U2F) de Fido Alliance, entre autres.

Nous avons actuellement quatre configurations principales:

• Deux appareils – l’un fonctionnant avec l’application bancaire / marchand; un autre fournissant l'authentification. Cela inclurait les jetons matériels ainsi que les périphériques U2F en tant que périphériques d'authentification, mais comprendrait également un périphérique mobile et un ordinateur portable, l'ordinateur portable exécutant l'application bancaire / marchand et le périphérique mobile fournissant une authentification (même l'authentification hors bande) [19659008] Deux applications, un périphérique – sur un seul périphérique, généralement un téléphone mobile, nous aurions une application bancaire / marchand et une application d'authentification. L'application d'authentification peut inclure une solution de type jeton logiciel telle que Google Authenticator ou une application d'authentification spécialisée conçue pour s'intégrer au service bancaire / marchand afin de transférer, par exemple, des informations d'achat liées dynamiquement à l'application d'authentification.

• un périphérique – un exemple serait une application de banque mobile offrant également la fonction d'authentification au sein de cette application

• Hors bande – ou Authentification OOB – ceci inclut l'envoi de SMS vers un numéro de téléphone portable, sécurisé par une carte SIM. Dans ce cas, le périphérique mobile, accessible via un canal hors bande tel que SMS (ou même RCS, lorsqu'il est pris en charge), sera le deuxième facteur (possession).

Compte tenu de toutes ces options, quelle serait Les meilleures options et méthodes pour prendre en charge PSD2 SCA et être conforme?

L'option hors bande est la méthode la plus simple et la plus connue du consommateur. Il est entièrement conforme aux règles d'accès au compte et devrait être une option pour les paiements tant que les informations de paiement sont incluses dans le SMS. Il répond également à l'exigence d'indépendance de canal.

Bien sûr, de nos jours, les SMS posent des problèmes de sécurité; cependant, beaucoup d’entre eux sont quelque peu exagérés dans la presse (par exemple, échange de cartes SIM, interceptions de SMS). Cela dit, il existe de meilleures méthodes, plus sûres. Si vous utilisez SMS comme canal OOB pour 2FA, envisagez d'ajouter un facteur de connaissance supplémentaire pour sécuriser davantage le compte ou le paiement. Cela offrirait une sécurité supplémentaire contre certains scénarios d’échange de cartes SIM ou d’interception de SMS, le cas échéant.

L’un des problèmes de l’option d’authentification à plusieurs appareils (à deux appareils) utilisant divers appareils matériels pour l’authentification des paiements est Il est difficile d’intégrer le lien dynamique des informations de paiement / marchand vers ce dispositif d’authentification. Beaucoup d'entre eux sont assez sécurisés, comme les périphériques U2F, mais il est difficile d'intégrer une liaison dynamique entre les informations d'achat et de paiement.

Une méthode consisterait à utiliser une solution d'authentification qui crée un code PIN normalisé dans le cloud mais utilise des méthodes cryptées. informations envoyées à une application d'authentification spécialisée. L'application bancaire / marchand pourrait également inclure les informations de paiement ainsi que le code, qui seraient envoyés à l'application d'authentification

. L'application d'authentification présenterait les informations à l'utilisateur, puis répondrait par «Accepter» ou «Refuser». «L'application d'authentification pourrait faire partie d'une stratégie à deux périphériques ainsi que d'une stratégie à deux applications (un périphérique). L’application ne dépend pas des numéros de téléphone (par exemple, OOB) et résiste donc à l’échange de cartes SIM ou au détournement d’appareils. En outre, le titulaire devrait être physiquement en possession du titulaire du compte, ainsi que des informations basées sur les connaissances de ce dernier.

Heureusement, les fournisseurs de paiement de l'UE ont de nombreuses options à leur disposition, qui devront implémenter PSA2 SCA dans le système. mois à venir. Chacun aura des cas d'utilisation spécifiques qui devront être examinés de près pour déterminer si les ressources SCA doivent être utilisées. Voici quelques conseils:

• Déterminez si les exceptions SCA peuvent être appliquées

• Déterminez si le cas d'utilisation est lié à l'accès au compte ou aux paiements

• Pour les paiements, déterminez comment vous allez présenter les informations de paiement et le commerçant à l'utilisateur. (lien dynamique)

• Pour l'accès aux comptes, nous suggérons toujours d'appliquer l'authentification à deux facteurs aux connexions: c'est tout simplement plus sécurisé

Pour la plupart des marchés de l'UE, nous nous attendons à la méthode la plus répandue pour les achats en ligne. les paiements se feraient via un appareil mobile. Par conséquent, cela implique que le périphérique sera utilisé à la fois comme périphérique principal pour les achats / paiements ainsi que pour l'authentification. Ne vous attendez pas toujours à ce que les utilisateurs utilisent des ordinateurs de bureau ou des ordinateurs portables. L'utilisation des appareils mobiles (y compris les tablettes) ne fera qu'augmenter en tant qu'appareils principaux.

Le PSD2 SCA est un ensemble complexe de réglementations, mais avec un peu de bon sens et de compréhension des défis et des options de l'authentification actuels, il peut être mis en œuvre de manière à répondre à ces réglementations. protéger toutes les parties impliquées. Au cours des derniers mois, certaines des exigences de la SCA et des limitations qu’elles imposent ont été critiquées. En fait, il pourrait y avoir une réglementation de suivi (PSD3?) Dans les mois et les années à venir.

N’ayez pas peur de poursuivre et de mettre en œuvre SCA si vous êtes impliqué dans les paiements en ligne. N'attendez pas la dernière minute. Prenez le temps de lire les exigences, de les étudier, puis de prendre des décisions. Il existe de nombreuses options et nous espérons que cette série en 3 parties vous a été utile pour vous guider dans les différentes options et éléments de PSD2 SCA.

Découvrez comment vous pouvez offrir des engagements mobiles intelligents et interconnectés pour vos opérations de banque de détail.

Cet article a initialement été publié sur L'avenir de l'engagement et du commerce des clients.

<! – – Commentaires ->