Software-Authentifizierung: Moderne Apps und Technologien sind ein Plus für die Kundenbindung, sagt die Bank of Cyprus

Jeannine Mulliner, 16. April 2019
Bank of Cyprus app

Dies ist die Geschichte, wie die Bank of Cyprus die PSD2-SCA-Anforderungen erfüllte und das Kundenerlebnis durch integrierte verbesserte mobile Authentifizierung und PSD2-konforme dynamische Verknüpfung (AKA-Transaktionssignierung oder Transaktionsautorisierung). Dieser Blog ist eine Zusammenfassung der vollständige Fallstudie . In der Fallstudie finden Sie weitere Details und Erkenntnisse der Bank sowie Workflow-Diagramme und Video-Demos.  

Die Bank von Zypern verteilt seit Jahren Digipass®-Hardware-Token an ihre Kunden. Da Kunden jedoch auf mobile Transaktionen umsteigen, hat die Bank kürzlich eine Softwareauthentifizierung und transaktionsspezifische OTP-Einmalkennwörter gemäß der überarbeiteten Richtlinie über Zahlungsdienste (PSD2) implementiert.

Wegen ihrer Hardware-Authentifikatoren Die Bank von Zypern war bereits konform mit der Zwei-Faktor-Authentifizierung (2FA) Voraussetzung für die Kontoanmeldung. Der Bank fehlte jedoch die Fähigkeit zur Softwareauthentifizierung. Mit ca 50% aller digitalen Bankgeschäfte werden über mobile Geräte abgewickelt Dies war zu einem dringenden Bedürfnis geworden. Die Bank musste einen einfacheren und bequemeren Authentifizierungsmechanismus finden, bei dem Kunden ihre Hardwaregeräte nicht mehr mit sich herumtragen mussten.

Bank of Cyprus: Die Herausforderung

Die Herausforderung für die Bank bestand nicht darin, die Hardwaregeräte durch Softwareauthentifizierung zu ersetzen. Die eigentliche Frage war wie man eine der wichtigsten Anforderungen in PSD2 erfüllt: dynamische Verknüpfung . Die Anforderung, eine dynamische Verknüpfung (auch als Transaktionssignierung oder Transaktionsautorisierung bezeichnet) durchzuführen, um eine Finanztransaktion zu authentifizieren, ist eine der am meisten diskutierten Anforderungen der PSD2 Regulatory Technical Standards (RTS) für eine starke Kundenauthentifizierung (SCA) und eine gemeinsame und sichere Kommunikation ( CSC). Da das RTS technologieneutral ist, schreibt es keine spezifische Methode zur Implementierung der dynamischen Verknüpfung vor. Das RTS legt jedoch fest, dass im Fall einer Zahlungstransaktion der Authentifizierungscode dynamisch mit dem Betrag und dem Zahlungsempfänger verknüpft werden muss. Dies bedeutet, dass sich dieser Code ändern muss, wenn entweder der Betrag oder der Zahlungsempfänger während der Transaktion geändert wird. Darüber hinaus müssen Zahlungsinformationen über einen sicheren Kanal ausgetauscht und dem Benutzer klar angezeigt werden.

Das Team wusste, dass es sich PSD2 nicht nur unter Compliance-Gesichtspunkten nähern musste, sondern auch die Benutzererfahrung optimieren musste. Die Bank wollte ein Szenario vermeiden, in dem Mobile-First-Kunden zwischen der App der Bank of Cyprus und einer separaten Authentifizierungs-App wechseln müssten.

„Von dem Tag an, an dem wir die Funktionsspezifikationen in Zusammenarbeit mit der IT-Abteilung der Bank und den Anweisungen unserer Abteilung für Informationssicherheit sowie anderer Abteilungen der Bank niedergeschrieben haben, bestand die Hauptanforderung darin, dass der Software-Authentifikator vollständig in die Bank von integriert ist Mobile App für Zypern “, sagt Toula Efthymiadou. Im Geschäftsbereich Digital Service Channels der Bank leitet Toula die Abteilung Business Solutions der Digital Service Channels. Sie verwaltet die Geschäftsentwicklung für die Kanäle Online-Banking, Mobile App und ATM und ist auch für die Kundenauthentifizierungstechnologie verantwortlich.

„Ein nahtloses Kundenerlebnis war der Schlüssel“, erklärt sie. "Es war entscheidend, dass die PSD2-Konformität den Kunden nicht belastet."

FALLSTUDIE

Fallstudie der Bank von Zypern

Erfahren Sie, wie die Bank of Cyprus die Software-Authentifizierung und transaktionsspezifische Einmal-Passcodes (OTP) implementiert hat, um die PSD2-Anforderungen zu erfüllen.

Jetzt herunterladen

Bank of Cyprus: Die Lösung

Nach mehreren Konsultationen zum PSD2 RTS und Demonstrationen, die bestätigten, dass die Lösungen von OneSpan den Anforderungen entsprachen, entschied sich die Bank von Zypern für die Softwareauthentifizierung von OneSpan sowie für die Mitteilungen Option und Cronto® visuelle Transaktionssignierung - alle über die SDKs in die integriert OneSpan Mobile Security Suite .

Für die Kontoanmeldung und die dynamische Verknüpfung hat die Bank beschlossen, eine Software-Authentifizierung einzuführen, die direkt in die Mobile-Banking-App der Bank of Cyprus integriert ist. Für Kunden, die die Mobile-Banking-App nicht verwenden, aber dennoch Online-Zahlungen tätigen, bietet die Bank die Möglichkeit, den OTP-Einmalkennwort-Authentifizierungscode per SMS (online) zu erhalten oder einen Cronto-Code (offline) zu scannen.

OneSpan Cronto

Die Cronto-Technologie verwendet ein farbiges Kryptogramm, das die verschlüsselten Transaktionsdaten darstellt. Wenn der Benutzer eine Transaktion initiieren möchte, hat er:

  1. Geben Sie die Zahlungsdaten in die Online-Banking-Anwendung im Browser ein. Der Bankenserver generiert dann das farbige Kryptogramm aus den Zahlungsdaten und zeigt es im Browser an.
  2. Scannen Sie das Kryptogramm mit der Kamera des Mobilgeräts. Das Gerät entschlüsselt das Kryptogramm, entschlüsselt die Zahlungsdaten und zeigt sie dem Benutzer als Klartext an.
  3. Authentifizieren Sie sich bei ihrem Gerät und berechnen Sie den Authentifizierungscode über die Zahlungsdaten mithilfe eines auf dem Gerät gespeicherten kryptografischen Schlüssels. (Hinweis: Im Gegensatz zu anderen Lösungen kann ein Cronto-Kryptogramm nur von einem autorisierten Benutzergerät gelesen werden. Der Code kann nicht von jedem Gerät gelesen werden.)

Dieser Ansatz erfüllt alle Anforderungen an die dynamische Verknüpfung, die in den PSD2 Regulatory Technical Standards aufgeführt sind.

Lebe in 3 Monaten im Piloten

Die Bank hat die Integration in ihre Mobile-Banking-App ausgelagert und ihr IT-Team hat alles andere erledigt.

„Wir haben eine lange Implementierung erwartet, da wir auf der Geschäftsseite ein Dokument mit funktionalen Spezifikationen von 100 Seiten zusammengestellt haben. Es wurde sehr detailliert und Schritt für Schritt genau erklärt, was der Kunde in jedem Szenario erleben soll “, sagt Toula.

Das IT-Team priorisierte dieses Projekt als hoch und begann intensiv daran zu arbeiten. Infolgedessen wurde das Projekt in drei Monaten (Oktober 2016 - Januar 2017) in Betrieb genommen. „Drei Monate vom Beginn der Implementierung bis zur Inbetriebnahme. Wir waren erstaunt, so schnell live gehen zu können. “

Authentifizierung einer Zahlung über die mobile App der Bank

Kundenakzeptanz bei 30-40% bis heute

„Die Nutzung der integrierten Authentifizierung liegt derzeit bei 30 - 40%. Die Leute, die es gekauft haben, möchten nicht wieder ein Hardwaregerät verwenden. Sobald sie die Softwareauthentifizierung ausprobieren, sind sie sehr komfortabel. Es ist nahtlos und sehr einfach zu bedienen. “

Während die Bank empfiehlt, dass Kunden ihre Hardware-Token durch Softwareauthentifizierung ersetzen, werden viele Transaktionen weiterhin über das OTP von Hardwareauthentifizierern signiert (dh dynamisch verknüpft). „Die Nutzung mobiler Apps holt auf, aber die ersten Kunden, die die Softwaremethode verwenden, sind technisch versierte Kunden“, sagt Toula. „Vom Kundenfeedback über das Call Center bevorzugen Privatpersonen die integrierte Software-Authentifizierung. Insgesamt wird im Hinblick auf die höchste Akzeptanz die Softwareauthentifizierung am meisten bevorzugt, gefolgt vom Cronto-Code. “

Als zusätzlichen Vorteil Kunden empfinden die Bank von Zypern als modern weil die Bank Technologien wie Touch ID und FaceID ermöglicht. „Es sind Dinge wie Touch ID oder FaceID auf dem Gerät, die die Bank of Cyprus als Marktführer stärken. Die Softwareauthentifizierung hat diese Wahrnehmung ebenfalls verbessert. Als wir es einführten, erhielten wir positive Kommentare von Kunden. Neue, moderne Anwendungen und Technologien sind ein Plus für die Kundenbindung. “

Jeannine schreibt seit 20 Jahren über Technologie und wie man sie einsetzt, um alltägliche Herausforderungen zu lösen. In ihrer Rolle als Content Director bei OneSpan leitet Jeannine ein Team von Autoren und Inhaltsentwicklern, das sich darauf konzentriert, Finanzinstituten und anderen