Fermer

juillet 26, 2018

Authentification forte de client pour PSD2 dans l'UE


Ceci est le premier d'une série de trois articles détaillant l'authentification forte du client PSD2 de l'UE

La deuxième directive sur les services de paiement (PSD2) de l'Autorité bancaire européenne (EBA) a été publiée à la fin Au 13 janvier 2018, tous les États membres étaient tenus de mettre en œuvre les règlements. Cette directive a des implications pour tous les commerçants bancaires, de paiement, fintech et en ligne dans toute l'UE.

PSD2 a trois objectifs principaux:

  • Ouvrir de nouvelles opportunités de marché pour divers acteurs tels que les marchands en ligne, tout en nivelant le terrain de jeu pour toutes les parties prenantes
  • Fournir la transparence aux consommateurs et le choix des consommateurs
  • Introduire de nouvelles pratiques de sécurité plus robustes pour les paiements en ligne

Parmi celles-ci, celle sur laquelle nous nous concentrerons est le dernier – de nouvelles pratiques de sécurité plus robustes pour les paiements en ligne. L'EBA note: «Grâce à PSD2, les consommateurs seront mieux protégés lorsqu'ils effectuent des paiements ou des transactions électroniques (par exemple, en utilisant leurs services bancaires en ligne ou en achetant en ligne). La norme technique de réglementation (RTS) fait de l'authentification forte du client la base pour accéder à son compte de paiement, ainsi que pour effectuer des paiements en ligne. »Alors que la plupart des réglementations PSD2 sont en vigueur 2019 pour rendre SCA opérationnel.

Le principe directeur de SCA est de garantir que les clients (par exemple les consommateurs) sont protégés par un niveau de sécurité accru lorsqu'ils utilisent des paiements électroniques:

  • Lorsqu'un client (particulier ou professionnel) accède à compte de paiement en ligne
  • Lors d'un paiement électronique (en ligne et mobile)
  • Lors de l'exécution d'actions via un canal distant présentant un risque de fraude

SCA comporte un certain nombre d'exceptions à ces règles:

  • Pour les paiements à distance inférieurs à 30 €, sauf lorsque:
    1. Une valeur cumulative de 100 € est atteinte, ou
    2. Cinq paiements jusqu'à 30 € ont été effectués (c'est-à-dire tous les cinq paiements inférieurs à 30 €)
  • Pour les paiements par carte sans contact jusqu'à 50 €, sauf lorsque:
    1. Une valeur cumulative de 150 € est atteinte, ou
    2. Cinq paiements sans contact jusqu'à 50 € ont été effectués (c'est-à-dire, tous les cinq paiements sans contact de moins de 50 €)
  • Aux terminaux de paiement sans surveillance pour les tarifs de transport et les frais de stationnement (comme pour un métro, etc.)
  • Transactions en ligne vers un bénéficiaire identifié (de confiance, de nom); il peut s'agir de virements sur cartes
  • Paiements d'entreprise si des procédures de paiement et des protocoles spécifiques sont utilisés. Cela peut nécessiter une vérification de la part d'une autorité nationale pour s'assurer que tous les niveaux de sécurité sont satisfaits.
  • Lorsqu'un compte de paiement en ligne est consulté, sauf:
    1. La première fois que le compte est consulté
    2. Tous les 90 jours par la suite
  • Lorsque les taux de fraude du prestataire de services de paiement (PSP) sont inférieurs aux taux de fraude de référence prédéfinis décrits dans l'annexe de la PSD2 RTS.

Ces différentes exceptions ne sont pas strictement obligatoires, mais l'exécutant généralement le commerçant, coordonné avec le processeur de service de paiement – doit peser nécessitant des activités SCA contre la commodité du consommateur. SCA demande essentiellement, au minimum, l'authentification à deux facteurs (2FA).

L'authentification à deux facteurs signifie que les utilisateurs devront prouver leur identité par deux éléments distincts de trois:

  • Quelque chose qu'ils connaissent (p. code ou mot de passe)
  • Quelque chose qu'ils possèdent (par exemple, un appareil mobile, une carte)
  • Quelque chose qu'ils sont (biométrie, comme les empreintes digitales, un balayage du visage)

Heureusement, il existe une grande variété de Des solutions 2FA déjà en place qui peuvent être appliquées pour se conformer à SCA et qui sont largement acceptées par les consommateurs, telles que les jetons (codes) envoyés par SMS ou d'autres canaux. Un autre fait chanceux est que l'ABE ne précise pas comment SCA (ou 2FA sous SCA) peut être mis en œuvre.

Le cabinet d'avocats international Taylor Wessing dans Forte authentification des clients sous PSD2 ]note que «l'ABE a convenu avec la majorité des répondants au document de consultation que, pour assurer la neutralité technologique et permettre le développement de moyens de paiement conviviaux, accessibles et innovants, elle ne devrait pas définir les éléments d'authentification plus loin. "

Dans la partie 2 de cette série, nous approfondirons les limitations et les réglementations spécifiques que les implémenteurs SCA doivent prendre en compte: détails sur les codes d'authentification, liaison dynamique des transactions et indépendance de canal.

[19459003Voulez-voussuivresurTwitter?Vouspouvezmetrouver ici .

Pour en savoir plus sur les implications de ces règlements, voir Les défis bancaires s'ajoutent: PSD2 signifie de nouvelles règles de partage des données .

Cet article a été publié à l'origine L'avenir de l'engagement des clients et du commerce.

<! – Commentaires ->

Le meilleur outil 2023 pour ta croissance Instagram !



Source link