Wie Raiffeisen Italien die PSD2-Konformität mit mobiler Authenzifizierung und Abschirmung mobiler Apps erreichte

Jeannine Mulliner, 22. Oktober 2018

Raiffeisen Italien ist die Dachorganisation für 40 Unternehmen der Raiffeisen Bank in der italienischen Provinz Südtirol. Raiffeisen Information System CIO Alexander Kiesswetter überwacht die IT-Services für diese Mitgliedsbanken Modernisierung des Authentifizierungssystems von Raiffeisen Italien zur Einhaltung der überarbeiteten Richtlinie über Zahlungsdienste (PSD2). Im Rahmen dieser Initiative führte Raiffeisen Italien eine eigenständige mobile App ein, die Benutzer authentifiziert und schützt. Sie wurde mit der OneSpan Mobile Security Suite erstellt und mit der Marke Raiffesien gekennzeichnet.

Während die PSD2-Konformität der Haupttreiber war, war es für Raiffeisen Italien aufgrund der raschen Einführung von Digital- und Mobile-Banking wichtig, sowohl hohe Sicherheit als auch eine einfachere Benutzererfahrung zu bieten. Einfach ausgedrückt, Kunden möchten nicht mehr bei jeder kleinen Transaktion ihre Bankkarte und ihren Hardware-Token herausziehen, sondern sich lieber über ihr Mobilgerät authentifizieren.

„Mobile-first ist ein wichtiger Bestandteil unserer Strategie zur digitalen Transformation. Zum ersten Mal haben wir eine Lösung, die es uns ermöglicht, Dienste vollständig auf das Smartphone zu verlagern, ohne andere Hardware-Tools für die Authentifizierung zu verwenden. Jetzt können wir nicht nur die PIN für die Authentifizierung verwenden, sondern auch die Gesichts- und Berührungs-ID “, sagt Alexander Kiesswetter.

PSD2-Konformitätsanforderungen

Alexander Kiesswetter stand als CIO vor zwei Herausforderungen: PSD2-Konformität und ein altes Authentifizierungssystem, dessen Verwendung für Kunden schwierig war.

Die Einhaltung von PSD2 hat für Finanzinstitute in ganz Europa höchste Priorität. FIs müssen die Anforderungen für eine starke Kundenauthentifizierung und Transaktionsrisikoanalyse erfüllen. Darüber hinaus musste Raiffeisen Italien zwei weitere PSD2-Anforderungen erfüllen:

  • Dynamische Verknüpfung: Für Remote-Zahlungstransaktionen erfordert PSD2, dass FIs eine Authentifizierung anwenden, die die Transaktion dynamisch mit einem bestimmten Betrag und Zahlungsempfänger verknüpft. Während des gesamten Authentifizierungsprozesses muss die Vertraulichkeit, Integrität und Authentizität von Zahlungsinformationen geschützt und der Benutzer über den Betrag und den Zahlungsempfänger informiert werden.
  • Replikationsschutz: Wenn eine Bank eine mobile App als Teil ihres Authentifizierungsflusses verwendet, muss sie Maßnahmen ergreifen, um das Risiko zu verringern, dass ein Angreifer die App zurückentwickelt, um das zum Generieren eines Authentifizierungscodes verwendete Token-Geheimnis aufzudecken und möglicherweise zu reproduzieren. Daher müssen FIs das Besitzelement (in diesem Fall die App) vor dem Klonen schützen.

Darüber hinaus wollte die Bank den Kunden eine einfachere Authentifizierung ermöglichen. Das Problem war, dass sie sich im konventionellen Tauziehen zwischen Sicherheit und Benutzerfreundlichkeit befanden - wobei die Sicherheit auf Kosten des Kundenerlebnisses gewann. Obwohl ihr altes Authentifizierungssystem sehr sicher war, beklagten sich die Kunden, dass es belastend sei.

„Bis wir OneSpan einsetzten, konzentrierte sich unsere Aufmerksamkeit auf die Sicherheit. Deshalb haben wir separate Hardware-Token mit Bankkarten verwendet, weil wir nicht davon überzeugt waren, dass eine Alternative uns genügend Sicherheit bietet “, sagt Kiesswetter.

Bewertung und Auswahl

Für Raiffeisen Italien die Auswahl der besten Technologien über das richtige Netzwerk von IT-Sicherheitspartnern , ist der Kern ihres Erfolgs. Ein Inhouse-Build war nie eine Option, daher beauftragte der CIO zwei Teams mit der Bewertung von Lösungen:

  • Zur Authentifizierung traf eine Gruppe von IT-Technikern die Softwareauswahl.
  • Für die Sicherheit mobiler Apps gehörten dem Evaluierungsteam der CISO, ein IT-Architekt, sowie Vertreter der Teams für Risiko und Compliance, Softwareentwicklung und Kundensupport an.

„Während des Auswahlprozesses haben wir mehrere Unternehmen bewertet. Der große Unterschied zwischen OneSpan und anderen Anbietern bestand darin, dass die Lösungen von OneSpan ein hohes Maß an Sicherheit und Compliance mit einem hohen Maß an Benutzerfreundlichkeit verbinden. “

PSD2-konforme Betrugsüberwachung mit OneSpan Risk Analytics
WEISSES PAPIER

PSD2-konforme Betrugsüberwachung mit OneSpan Risk Analytics

Neue PSD2-Anforderungen erfordern, dass Finanzdienstleistungsunternehmen die Transaktionsüberwachung durchführen. In diesem Whitepaper erfahren Sie, welche spezifischen Anforderungen und wie OneSpan Risk Analytics Sie bei der Einhaltung der Richtlinien unterstützen kann.

Jetzt herunterladen

Eine doppelte Lösung

Raiffeisen Italien nutzte die API-Bibliothek der OneSpan Mobile Security Suite und fügte Transaktionssignaturen hinzu, um die Online-Transaktionen der Kunden vor Betrug zu schützen. Sie haben auch integriert Abschirmung der mobilen App um ihre mobile Authentifizierungs-App zu schützen.

„Wir haben die innovativen Lösungen von OneSpan ausgewählt, weil sie ein hohes Maß an Sicherheit und Benutzerfreundlichkeit bieten. Traditionell ist es sehr schwierig, Sicherheit und Benutzerfreundlichkeit zu kombinieren - bis jetzt war es immer ein Kompromiss. Wir wollten innovativ sein und die Kundenerfahrung vereinfachen. Mit diesem Projekt haben wir das geschafft “, sagt Kiesswetter.

Mit der OneSpan-Lösung konnte die Bank die PSD2-Anforderungen erfüllen für:

  • Dynamische Verknüpfung :: Die Bank hat Cronto implementiert ® Technologie, die ein grafisches Kryptogramm aus farbigen Punkten verwendet, um Transaktionsdetails zu verschlüsseln. Cronto wird von Banken in ganz Europa und auf der ganzen Welt verwendet und erfüllt die Anforderungen für die PSD2-Authentifizierung und die dynamische Verknüpfung, um Finanztransaktionen mit minimalen Auswirkungen auf die Benutzererfahrung zu sichern.

    Sehen Sie sich ein Beispiel an Erfahrung mit der Unterzeichnung von Transaktionen >>
     
  • Replikationsschutz: Im Rahmen seiner Mobile-First-Strategie hat Raiffeisen Italien eine Mobile-Banking-Anwendung eingeführt, mit der Benutzer authentifiziert und gesichert werden. Die Bank übernahm eine Führungsrolle als First-to-Market in Italien, um ihre App mit zu schützen Sicherheit für mobile Apps - Speziell mobile App-Abschirmung mit Laufzeitschutz. Diese Technologie schützt eine mobile App vor verschiedenen Arten von Laufzeitbedrohungen. Es schafft eine sichere Ausführungsumgebung für mobile Apps, sodass diese auch auf nicht vertrauenswürdigen Mobilgeräten ausgeführt werden können.

    Beobachten Sie a Mobile App Shielding Video >>

Die Vorteile

Raiffeisen Itay hat positives Kundenfeedback erhalten und eine hohe Akzeptanz der neue Authentifizierungs-App .

„Kunden sehen Raiffeisen erneut als innovative Bank“, sagt der CIO. „Das Feedback, das ich erhalten habe, ist, dass die Kunden mit der neuen Funktionalität sehr zufrieden sind. Wir haben auch einen Marketingstart für die neue Authentifizierungs-App durchgeführt. Als wir es auf den Markt brachten, gab es viel Nachfrage und hohe Aktivierung, alles positive Signale vom Markt, dass sie es sehr gut akzeptierten. “

„Mein Rat an andere Banken ist, ihre digitale Transformation an vorderster Front am Kontaktpunkt mit dem Kunden zu beginnen. Hier ist die Innovation am wichtigsten. “

Dieser Blog ist ein Auszug aus der vollständigen PSD2-Fallstudie von Raiffeisen Italien mit dem Titel Raiffeisen Italien implementiert mobile Authentifizierung und Mobile App Shielding für PSD2-Konformität und Benutzerfreundlichkeit .

Jeannine schreibt seit 20 Jahren über Technologie und wie man sie einsetzt, um alltägliche Herausforderungen zu lösen. In ihrer Rolle als Content Director bei OneSpan leitet Jeannine ein Team von Autoren und Inhaltsentwicklern, das sich darauf konzentriert, Finanzinstituten und anderen