PSD2 Frage & Antwort Forum

Durchsuchen Sie mehr als 40 Fragen zu Themen wie Authentifizierung, dynamische Verknüpfung der Sicherheit mobiler Apps und mehr

Was sind die Strafen, wenn PSPs bis November 2018 nicht den neuen RTS-Bestimmungen entsprechen?

PSD2 ist eine europäische Richtlinie, die alle EU-Mitgliedstaaten verabschieden müssen. Zahlungsdienstleister müssen die PSD2-Anforderungen erfüllen, um als Zahlungsdienstleister mit dem Recht zur Erbringung von Dienstleistungen in der EU gesetzlich anerkannt zu werden.

Wird die EBA einen Bewertungsleitfaden für RTS zu SCA und CSC veröffentlichen, der dem 2014 veröffentlichten EZB-Leitfaden ähnelt?

Wir haben keine Informationen, die bestätigen oder leugnen, dass die EBA einen ähnlichen Bewertungsleitfaden herausgeben würde.

Ist SMS mit PSD2 kompatibel?

Eines der Ziele der EBA in ihrem RTS war es, technologieneutral zu bleiben, um so viel Raum wie möglich für Innovationen zu schaffen. Die Herausforderung bestand darin, bei der Festlegung der Anforderungen nicht sehr genau zu sein. Letztendlich wird keine spezifische Technologie von RTS verboten, jedoch werden einige der bestehenden Praktiken nicht mehr vollständig den SCA-Anforderungen entsprechen. Wir können sagen, dass SMS als Besitzelement angesehen werden kann, da sie normalerweise nur vom beabsichtigten Empfänger der SMS-Nachricht gelesen werden kann. Theoretisch erfüllt SMS also die Anforderung für das Besitzelement und kann daher als Baustein einer Transaktionssignaturlösung verwendet werden.

Um die Anforderungen für die dynamische Verknüpfung zu erfüllen, muss die SMS-Nachricht neben dem Authentifizierungscode auch die Zahlungsinformationen, dh den Geldbetrag und Informationen zum Zahlungsempfänger, enthalten. Die Dynamic Linking-Anforderungen weisen auch darauf hin, dass die Vertraulichkeit und Integrität der Zahlungsinformationen geschützt werden muss. Dies könnte bedeuten, dass die Zahlungsinformationen verschlüsselt werden müssen. Das Entschlüsseln des Inhalts einer SMS-Nachricht würde jedoch eine App auf der SIM-Karte des Mobiltelefons oder auf dem Telefon selbst erfordern, was nicht praktikabel ist.

Letztendlich bedeutet die Verwendung von SMS ein hohes Maß an Sicherheit für das Gerät des Benutzers, Schutz vor Betrug beim Austausch von SIM-Karten, Schutz vor möglichem Abfangen von SMS und Missbrauch. In der heutigen Realität sind dies sehr schwierige Herausforderungen. Verschiedene zuständige Behörden haben derzeit unterschiedliche Meinungen zur Verwendung von SMS. Einige Behörden raten von der Verwendung von SMS ab, während andere dies zulassen. Wir überwachen diese Meinungen und werden diese FAQ aktualisieren, wenn eine klare Entscheidung vorliegt.

Können Handy und Token als zwei Kanäle gezählt werden und PSD2-kompatibel sein?

Laut PSD2 muss der Authentifizierungsmechanismus aus zwei von drei möglichen Authentifizierungselementen aufgebaut sein, dh etwas, das nur der Benutzer hat, etwas, das nur der Benutzer weiß, und etwas, das nur der Benutzer ist.

Wann würden Sie den Authentifizierungscode verwenden? Betrachten Sie es als zweiten Faktor?

Der Authentifizierungscode muss immer zur Authentifizierung eines Benutzers verwendet werden. Der Authentifizierungscode muss durch einen Authentifizierungsmechanismus generiert werden, der aus zwei von drei möglichen Authentifizierungselementen aufgebaut ist, dh etwas, das nur der Benutzer hat, etwas, das nur der Benutzer weiß, und etwas, das nur der Benutzer ist.

Reicht das sichere 3D-Protokoll für Karten für SCA aus oder ist es obligatorisch?

3D Secure ist in der Tat ein Protokoll, mit dem PSPs eine Lösung erstellen können, die den SCA-Anforderungen für kartenbasierte Zahlungen entspricht.

Welche Kategorie der drei SCA-Elemente können Sie OTP über SMS zuweisen? Ist das Wissen oder Besitz?

Der Benutzer empfängt die SMS-Nachricht normalerweise auf einem persönlichen Telefon, dies wäre also ein Besitzelement.

Könnten Sie den Umfang von PSD2 klären? Handelt es sich nur um Internetzahlungen (browserbasiert online)? Wenn nicht, was noch?

PSD2 umfasst browserbasierte und mobile Zahlungen.

Können Sie uns mehr darüber erzählen, wie Sie eine Verhaltensanalyse implementieren? Ist es eine Erweiterung des DP4APPS SDK?

Die Verhaltensauthentifizierung von OneSpan ist eine Erweiterung der OneSpan Mobile Security Suite. Die Verhaltensauthentifizierung ermöglicht es nicht nur, die Identität des Benutzers genau und nahtlos zu beweisen, sondern auch bestimmte Verhaltensweisen zu erkennen, beispielsweise Bot-Angriffe. Weitere Informationen sind verfügbar Hier.

Kunden der OneSpan Mobile Security Suite können ihre vorhandene Implementierung nutzen, indem sie nur neue erforderliche Komponenten der Lösung hinzufügen. Um die beste Kombination aus Sicherheit und Benutzerfreundlichkeit zu erzielen, ist es heute wichtig, alle drei Elemente zu kombinieren: 

  1. Sicherheit mobiler Anwendungen mit Datenerfassung für Clientgeräte 
  2. Multifaktor- und biometrisches Authentifizierungsframework und sicherer Kanal für sichere Kommunikation 
  3. Software zur Betrugs- und Risikoanalyse zur Analyse von Benutzereingaben, Geräten, Verhalten und zur Anwendung von Entscheidungen in Echtzeit über mehrere Kanäle hinweg Die OneSpan-Lösungssuite deckt alle diese Bereiche ab. 

 

Weitere Infos zu PSD2-Konformität .

Gibt es eine Anleitung, ob die Validierung bei Verwendung von Biometrie auf der Server- oder Client-Seite erfolgen soll?

Die Regulatory Technical Standards (RTS) für eine starke Kundenauthentifizierung legen nicht fest, ob die biometrische Überprüfung auf Client- oder Serverseite erfolgen muss. Beide Optionen sind also zulässig.

Hat OneSpan von der EZB formelle Zusicherungen bezüglich der Konformität ihrer Token mit PSD2 RTS erhalten?

Derzeit gibt es kein formelles Zertifizierungsprogramm für bestimmte Produkte unter PSD2. Daher ist es OneSpan nicht möglich, eine formelle Zusicherung zu erhalten. OneSpan bespricht jedoch die Einhaltung seiner Produkte auf informelle Weise mit den zuständigen Behörden, um sicherzustellen, dass wir das RTS richtig interpretieren und sicherstellen, dass unsere Produkte den Anforderungen entsprechen.

Beabsichtigen Sie, jedes Token-Modell zu kennzeichnen (z DP310) mit einer PSD2-Konformitätsanzeige?

OneSpan plant dies derzeit nicht. Darüber hinaus gibt es unter PSD2 kein offizielles Zertifizierungsprogramm für starke Authentifizierungslösungen.

Sind OneSpan Pin-Pad-Authentifizierungshardwaregeräte kompatibel?

Die dynamischen Verknüpfungsanforderungen im RTS besagen, dass der Authentifizierungscode über bestimmte Transaktionsinformationen berechnet werden muss, einschließlich des Geldbetrags und der Informationen über den Zahlungsempfänger (z. B. die Bankkontonummer des Zahlungsempfängers).

Zusätzlich muss der Zahler über diese Transaktionsinformationen informiert werden. Schließlich muss die Vertraulichkeit, Integrität und Authentizität der Transaktionsinformationen jederzeit geschützt werden. Basierend auf diesen Anforderungen können wir Folgendes über die Verwendung von PIN-Pad-Authentifizierungshardwaregeräten sagen:

  • Dieses Gerät bietet ein sehr hohes Sicherheitsniveau für Besitz und Wissenselemente 
  • Dieses Gerät bietet dem Endbenutzer die Möglichkeit, Betrags- und Zahlungsempfängerdetails einzugeben und diese in die Generierung eines eindeutigen Authentifizierungscodes einzubeziehen 
  • Dem Benutzer sind Aktionen mit einem solchen Gerät bekannt. Daher entspricht der Hardware-Digipass mit PIN-Pad, wenn er im Transaktionsdaten-Signaturmodus verwendet wird, den Anforderungen für dynamische Verknüpfungen.

Ist dynamisches Verknüpfen dasselbe wie Transaktionssignieren?

Ja ist es. Der Begriff "dynamische Verknüpfung" wird von PSD2 und dem RTS auf SCA verwendet.

Bedeutet dies, dass OneSpan die dynamische Verknüpfung bereitstellt und nicht eine separate Entität wie die PSP?

Es liegt in der Verantwortung der PSP, eine starke Authentifizierung ihrer Benutzer durchzuführen. OneSpan kann PSPs mit Produkten und Diensten versorgen, um eine starke Authentifizierung durchzuführen.

Das RTS erfordert eine Kanaltrennung zwischen der App, die das OTP verwendet, und der OTP-Übertragung. Wie sehen Sie die 1AA-Konformität?

Der endgültige Entwurf des RTS erfordert keine Kanalsegregation mehr. Wie in den Kommentaren im endgültigen Entwurf des RTS angegeben, wurde diese Sprache aus dem Entwurf des RTS entfernt, da sie verwirrend war.

Wie erfüllen Sie die Anforderung in Artikel 2 Absatz 2 Buchstabe A, wenn ein Kunde mehrere Zahlungen zusammen an verschiedene Zahlungsempfänger leistet?

Bei Massenzahlungen muss der Authentifizierungscode auf der Grundlage des Gesamtbetrags aller Zahlungen zusammen und auf der Grundlage der Kontonummern aller Begünstigten berechnet werden.

Verfügt OneSpan über Lösungen zur Generierung dynamischer Verknüpfungen in Fällen, in denen Kunden nicht bereit sind, Smartphones zu verwenden?

Heute bietet OneSpan Authentifizierungslösungen für mehr als 2.000 Banken weltweit mit verschiedenen Anwendungsfällen, Geschäftsanforderungen, Benutzergruppen und behördlichen Anforderungen. Dies ist möglich, da OneSpan eine sehr große Auswahl an Lösungen bietet, die alle möglichen Anforderungen abdecken. Zum Beispiel bietet OneSpan sehr einfach zu verwendende PSD2-kompatible Geräte mit großen Bildschirmen, Schaltflächen und sogar Sprachbefehlen für ältere Benutzer: Digipass 301

Optional kann im SWYS-Bereich eines der High-End-Geräte mit einer robusten Gummitastatur verwendet werden: Digipass 770

Dieses Gerät benötigt keine gründlichen Benutzereingaben, sondern nur die Zustimmung des Kunden und eine kurze PIN-Eingabe. Die von OneSpan-Kunden durchgeführten Benutzerakzeptanzstudien zeigen eine sehr hohe Akzeptanzrate und einen wesentlichen Rückgang der Helpdesk-Anrufe von Benutzern beim Wechsel zu dieser Technologie.

Müssen wir für die SMS-Authentifizierung mithilfe eines 3DS-Prozesses noch Zahlungsdetails angeben, wenn ein ACS das OTP generiert und an die registrierte Handynummer verteilt?

Unsere Interpretation der dynamischen Verknüpfungsanforderungen im endgültigen Entwurf des RTS lautet in der Tat, dass die Zahlungsinformationen zur Zahlungsauthentifizierung in der SMS-Nachricht enthalten sein müssen.

Wir haben einen Hardware-Digipass 275 mit 5 Nummern, der als Herausforderungsantwort für die dynamische Verknüpfung verwendet werden kann. Ist dies für dynamische Verknüpfungen kompatibel?

Dies entspricht höchstwahrscheinlich dem endgültigen Entwurf des RTS.

Ist der OneSpan Go 6 Digipass in Bezug auf die Anforderung der dynamischen Verknüpfung für hochwertige Zahlungen mit RTS kompatibel?

Im Allgemeinen generieren die Go-Token keine Authentifizierungscodes über Zahlungsinformationen (z. B. den Geldbetrag). Aus diesem Grund kann es nicht für Dynamic Linking verwendet werden, das immer für Zahlungen über 500 Euro erforderlich ist.

Wie bieten hardwarebasierte Lösungen wie OTP-Token eine dynamische Verknüpfung mit einzelnen Transaktionen?

Im Allgemeinen können Benutzer Zahlungsinformationen wie den Geldbetrag und die Kontonummer des Empfängers in Hardware-Token eingeben. Dies kann über die Tastatur des Tokens, über ein USB-Kabel oder durch Scannen eines visuellen Codes erfolgen. Das Hardware-Token kann dann anhand der Zahlungsinformationen einen Authentifizierungscode gemäß den Anforderungen für die dynamische Verknüpfung berechnen.

Muss das Netzteil die Zahlungsdetails (Betrag und Konto) auf dem Token sehen? Was Sie sehen, ist was Sie unterschreiben?

"Siehe, was Sie unterschreiben" auf Hardware-Token kann verwendet werden, um die Anforderungen für die dynamische Verknüpfung zu erfüllen. Dies ist jedoch nicht die einzige Option. Das Anzeigen der Daten in einer mobilen App ist wahrscheinlich ebenfalls akzeptabel.

Könnten Sie genauer auf mehrere Transaktionssignierungs- / Autorisierungsmöglichkeiten eingehen? Ermöglicht die dynamische Verknüpfung mehrere Transaktionen / Begünstigte?

Der endgültige Entwurf des RTS besagt, dass bei Massenzahlungen der Authentifizierungscode über den Gesamtbetrag der Zahlungen sowie über die Begünstigten der verschiedenen Zahlungen berechnet werden muss.

Ist eine dynamische Verknüpfung für Zahlungen unter 30 Euro bei der Implementierung einer Transaktionsüberwachungslösung noch erforderlich?

Nein, für Zahlungen unter 30 EUR ist keine dynamische Verknüpfung erforderlich, solange der kumulierte Betrag oder die Anzahl früherer elektronischer Fernzahlungstransaktionen, die vom Zahler seit der letzten Anwendung einer starken Kundenauthentifizierung initiiert wurden, 100 EUR bzw. 5 EUR nicht überschreitet aufeinanderfolgende einzelne elektronische Fernzahlungstransaktionen.

Wenn Ausnahmen verwendet werden, ist es richtig, dass SCA insgesamt übersprungen werden kann und nicht nur dynamische Verknüpfungen?

Das ist auch unser Verständnis.

Wie ist OneSpans Meinung zum RTS für Corporate Banking?

Das RTS on SCA bietet Mindestsicherheitsanforderungen für die Authentifizierung von Benutzern. Im Falle des Firmenkundengeschäfts führen Benutzer normalerweise Zahlungen mit relativ hohen Beträgen durch. Wir erwarten daher, dass Banken ihre Firmenbankanwendungen mit Authentifizierungsmechanismen schützen, die stärker sind als vom RTS on SCA gefordert.

Was sind die Anforderungen, wenn der Kunde bereits eine Liste der bei SA zertifizierten Begünstigten hat, aber eine Geldüberweisung mit einem anderen Wert vornehmen muss?

Wie in Artikel 13 des endgültigen RTS-Entwurfs angegeben, ist SCA für Zahlungen an vertrauenswürdige Begünstigte nicht erforderlich. Die genauen Bedingungen entnehmen Sie bitte dem Artikel.

Das RTS ermöglicht die Einzelfaktorauthentifizierung erst nach dem ersten Versuch. 2FA sollte dann alle 9 Tage angewendet werden. Dies unterscheidet sich von dem, was Sie in der Vergangenheit empfohlen haben. Bitte erkläre?

Artikel 10 des endgültigen RTS-Entwurfs besagt, dass Zahlungsdienstleister nicht von der Anwendung einer starken Kundenauthentifizierung auf Zahler befreit sind, die sich nach ihrem Kontostand erkundigen oder ihre Zahlungshistorie der letzten 90 Tage einsehen möchten, wenn eine der folgenden Bedingungen erfüllt ist ::

  • Der Benutzer des Zahlungsdienstes greift zum ersten Mal online auf seinen Kontostand oder seine Zahlungshistorie ab den ersten 90 Tagen von Absatz 1 zu
     
  • Das letzte Mal, dass der Benutzer des Zahlungsdienstes in den letzten 90 Tagen von Absatz 1 online auf seine Zahlungshistorie zugegriffen hat und vor mehr als 90 Tagen eine starke Kundenauthentifizierung angewendet wurde.

Können Zahlungen auf die Whitelist gesetzt werden? Wenn wir das Ziel für die Whitelist validieren und dann Zahlungen ohne DL an dieses Ziel zulassen, sollte dies ausreichen?

Artikel 13 des endgültigen RTS-Entwurfs ermöglicht es dem Zahlungsdienstleister, keine starke Kundenauthentifizierung durchzuführen, wenn der Zahler einen Zahlungsvorgang einleitet, bei dem der Zahlungsempfänger in eine Liste der zuvor erstellten vertrauenswürdigen Begünstigten aufgenommen wird. Siehe Artikel 13 für Einzelheiten.

Muss OneSpan Mobile App Shielding bei jedem Versions-Upgrade mit der Mobile Banking App neu verpackt werden?

Diese Frage besteht aus zwei Teilen:

  • Jedes Mal, wenn die PSP ihre mobile App für den App-Markt freigibt, muss eine App-Abschirmung angewendet werden, damit die App geschützt wird. Die gute Nachricht ist, dass das Umschließen der App-Abschirmung einige Sekunden dauert und somit die App-Release-Zyklen der PSP nicht beeinflusst.
     
  • Da die OneSpan Mobile App Shielding-Lösung regelmäßig aktualisiert wird, um sich gegen sich entwickelnde mobile Bedrohungen zu schützen, wird empfohlen, dass PSPs ihre Apps mit der neuesten Version schützen, um ein Höchstmaß an Schutz zu gewährleisten.

Deckt die App-Abschirmung den Klonschutz ab?

OneSpan Mobile Security Suite bietet eine Gerätebindungsfunktion, die Klonschutz für mobile Apps bietet.

Benötigen Sie eine mobile App-Abschirmung, wenn Sie eine SMS-Lösung verwenden? SIM App?

Das mobile Gerät, auf dem die SMS eintrifft, enthält möglicherweise auch eine Authentifizierungs-App (im Szenario 1aa oder 2aa), in die die SMS eingegeben werden muss. Diese App müsste durch die Abschirmung der mobilen App geschützt werden.

Gibt es zusätzliche Sicherheitsbedenken bei der Implementierung von APP2APP gegenüber Push?

Unserer Meinung nach sind dies zwei gleichermaßen sichere Ansätze, die letztendlich auf derselben zugrunde liegenden Technologie des sicheren Kommunikationskanals beruhen. Wir sehen sie bei verschiedenen Nutzungsmodellen als optimal an. Viele Banken implementieren die Authentifizierungsanwendung, die in der folgenden Konfiguration funktioniert: 

Wenn die Transaktion innerhalb der Mobile-Banking-App initiiert wird, wird die App2App-Kommunikationsverbindung zur Authentifizierungs-App hergestellt, die auf demselben Gerät installiert ist. Dies bietet die Möglichkeit, automatisch zwischen zwei Apps zu wechseln, was die Benutzererfahrung verbessert. 

Wenn die Transaktion im Webbrowser von einem anderen Gerät (PC oder Tablet) aus gestartet wird, wird die PUSH-Benachrichtigung an die auf dem mobilen Gerät des Benutzers installierte Authentifizierungs-App gesendet. Alternativ kann bei nahezu gleicher Benutzererfahrung der optische Scan- und Zeichenprozess verwendet werden. 

Weitere Informationen zu Cronto-Lösungen finden Sie hier: Cronto-Zeichen

Bei App2App mit sicherem Kommunikationskanal erfolgt der Datenaustausch zwischen den Apps über das Backend in einem verschlüsselten Format.

Ist die universelle Windows-Plattform (UWP) und Windows-Tablets eine praktikable Lösungsplattform für SCA in einem 2AA-1AA-Setup? Unterscheidet sich das Sandboxing zwischen iOS und Android?

Die Sandbox-Techniken der Universal Windows Platform (UWP) ähneln denen von Android und iOS. UWP hat viele der Konzepte von Android und iOS übernommen. Windows 10 Mobile erlaubt nur das Ausführen von UWP-Apps, daher sind die Sandbox-Mechanismen hier von vergleichbarer Stärke wie Android und iOS. Standard Windows 10 ermöglicht das Ausführen von UWP- und regulären Windows-Anwendungen, sodass das Sandboxing weniger stark ist als bei Android oder iOS.

Welcher der vorgestellten Anwendungsfälle wird am wahrscheinlichsten verwendet, wenn die Transaktion von TPP APP initiiert wird?

Wenn der Benutzer eine TPP-App verwendet, sehen wir höchstwahrscheinlich einen der folgenden drei Anwendungsfälle: 

  • PUSH-Benachrichtigung der Bank an die vom Finanzinstitut bereitgestellte Authentifizierungs-App. Dies erfordert keine spezifische Integration zwischen den Parteien.
     
  • App2App-Kommunikation zwischen einer TPP-App und einer vom Finanzinstitut bereitgestellten Authentifizierungs-App. Dies erfordert eine minimale Integration des Authentifizierungsdienstes zwischen TPP und dem Finanzinstitut. 
     
  • Eingebettetes mobiles Sicherheitsframework in die TPP-App. Dies bedeutet, dass TPP sich nicht auf die Implementierung der Authentifizierung durch das Finanzinstitut verlässt, sondern eine eigene bereitstellt. 

Bei allen drei Optionen müssen TPPs und Finanzinstitute Dateneingaben von den Geräten des Benutzers erfassen und eine gründliche Analyse über mehrere Anwendungen, Kanäle und Endpunkte hinweg durchführen, um eine vollständige Risikobewertung zu erhalten. Die beste Option ist die Implementierung einer dedizierten Risikosoftware wie OneSpan Risk Analytics, die Folgendes bietet: 

  • Echtzeiterkennung von hochentwickeltem Betrug 
     
  • Verarbeitung großer Datenmengenmengen zur Erkennung von abnormalem Benutzerverhalten, verdächtigen Transaktionen und atypischer Navigation in der Zahlungsanwendung 
     
  • Genaue Risikobewertung und Bedrohungsminderung für alle gängigen Mobilgeräte (z. B. Mobiltelefone und Tablets) 
     
  • Für Endbenutzer unsichtbare Vorgänge, die Betrug mindern und gleichzeitig die bestmögliche Benutzererfahrung bieten
     

Müssen bei Verwendung der Zwei-App-Authentifizierung beide mobilen Apps das Sandbox-Betriebssystem und die Abschirmung für mobile Apps verwenden?

Sandboxing wird vom Betriebssystem angewendet (z Android oder iOS) des Mobilgeräts zu jeder App, die auf dem Gerät ausgeführt wird. Die Abschirmung der mobilen App sollte auf die Authentifizierungs-App angewendet werden.

Ist das Digipass SDK verfügbar / kompatibel mit Nativescript?

Ja, das ist der Fall.

Können Sie die sichere Kommunikation der OneSpan Mobile Security Suite näher erläutern? Womit wird es gesichert? Was ist auf dem Server erforderlich?

Die Secure Communications-Funktionalität der OneSpan Mobile Security Suite bietet die Möglichkeit, einen sicheren Kommunikationskanal zwischen der App und dem Server zu erstellen und so die Vertraulichkeit, Integrität und Authentizität aller Zahlungsinformationen zu schützen. Die OneSpan Mobile Security Suite enthält sowohl clientseitige als auch serverseitige SDKs zum Einrichten des sicheren Kanals. Auf diese Weise können PSPs auf einfache Weise einen sicheren Kanal einrichten, ohne die Komplexität des sicheren Kanals selbst verwalten zu müssen.

Gibt es eine Empfehlung für einen HMAC-Algorithmus, wenn die Hardware-ID, der Fingerabdruck und der Pin für eine Anwendung kombiniert werden müssen?

Wir empfehlen die Verwendung von Standard-HMAC-Algorithmen wie HMAC-SHA256 oder HMAC-SHA3.

Müssen beide Apps durch die Abschirmung mobiler Apps geschützt werden, um in einer 2AA-Situation konform zu sein? Oder nur die Authentifizierungs-App?

Die Authentifizierungs-App muss durch eine mobile App-Abschirmung geschützt werden. Die Banking-App ist möglicherweise geschützt, im endgültigen Entwurf des RTS jedoch nicht erforderlich.

Wie sehen Sie die Verwendung von Verhaltensparametern als Authentifizierungsfaktoren?

Ja, wir sehen dies als mögliches Inhärenzelement. Die Kommentare der EBA zum endgültigen Entwurf des RTS zeigen auch, dass dies möglich ist.

Hat OneSpan eine Lösung, um den "Inhärenz" -Faktor (Biometrie) als Authentifizierungselement zu verwenden?

Ja, OneSpan Mobile Security Suite unterstützt die biometrische Authentifizierung basierend auf Fingerabdrücken, Gesichts-Scan und dem Verhalten des Benutzers.

Können Sie TRA für Massenzahlungen besprechen?

Bei Massenzahlungen muss der Authentifizierungscode für SCA auf der Grundlage des Gesamtbetrags aller Zahlungen zusammen und auf der Grundlage der Kontonummern aller Begünstigten berechnet werden. Es gibt keine spezifischen Bestimmungen zu TRA für Massenzahlungen.

Kann eine Präventionslösung von OneSpan alle Arten von Transaktionen erfassen, einschließlich E-Banking, Karte, Pos, Mobile Banking, Brieftaschen usw.?

Ja, OneSpan Risk Analytics kann verwendet werden, um Transaktionen für verschiedene Arten von Zahlungskanälen zu analysieren.

Ist die OneSpan-Lösung eine Cloud-basierte Lösung? Und wenn ja, privat oder öffentlich?

OneSpan Risk Analytics ist sowohl vor Ort als auch in der Cloud verfügbar. Die Cloud-Version wird von OneSpan gehostet.

Entspricht OneSpan Risk Analytics den RTS-Anforderungen?

Ja, OneSpan Risk Analytics kann eine Transaktionsrisikoanalyse gemäß den Anforderungen des endgültigen RTS-Entwurfs durchführen.

Benötigen alle PSPs TRA, auch wenn sie SCA für alle Transaktionen verwenden möchten? Wenn ja, was ist der Grund für diese Anforderung?

In der Tat müssen PSPs immer TRA verwenden, auch wenn sie SCA verwenden. TRA bietet neben SCA eine zweite Sicherheitsebene. TRA ist nützlich, um sich vor Social-Engineering-Angriffen zu schützen, bei denen ein Gegner versucht, den echten Benutzer davon zu überzeugen, eine Zahlung mit SCA zu bestätigen, wenn die Zahlung tatsächlich betrügerisch ist.

Definieren die Richtlinien oder Richtlinien bestimmte Mandate für 2AA- und 1AA-Lösungen für den Fall, dass das physische Medium verloren geht oder gestohlen wird?

Der endgültige Entwurf des RTS besagt, dass das Authentifizierungsverfahren im Allgemeinen Transaktionsüberwachungsmechanismen umfassen sollte, um Versuche zu erkennen, die personalisierten Sicherheitsanmeldeinformationen eines Zahlungsdienstbenutzers zu verwenden, die verloren gegangen, gestohlen oder missbraucht wurden. Dies gilt für alle Authentifizierungslösungen, nicht nur für Lösungen der Kategorien 2aa oder 1aa.

Kontakt

Haben Sie weitere Fragen zu PSD2? Erhalten Sie schnell die Informationen, die Sie benötigen.