Comment Raiffeisen Italie atteint psD2 conformité avec l'authentification mobile - Mobile App Shielding

Jeannine Mulliner, octobre 22, 2018

Raiffeisen Italie est l'organisation faîtière de 40 entités de la banque Raiffeisen dans la province italienne du Tyrol du Sud. En supervisant les services informatiques de ces banques membres, le Directeur informatique du système d'information Raiffeisen, Alexander Kiesswetter, a modernisé le système d'authentification de Raiffeisen Italie pour se conformer à la directive révisée sur les services de paiement (PSD2). Dans le cadre de cette initiative, Raiffeisen Italy a lancé une application mobile autonome qui authentifise et sécurise les utilisateurs, construite à l'aide de la suite de sécurité mobile OneSpan et étiquetée en blanc avec la marque Raiffesien.

Alors que la conformité PSD2 a été le principal moteur, l'adoption rapide de la banque numérique et mobile a rendu important pour Raiffeisen Italie d'offrir à la fois une sécurité forte et une expérience utilisateur plus facile. Autrement dit, les clients ne veulent plus retirer leur carte bancaire et leur jeton matériel pour chaque petite transaction, préférant s'authentifier via leur appareil mobile.

« Le mobile d'abord est un élément important de notre stratégie de transformation numérique. Pour la première fois, nous bénéficions d'une solution qui nous permet de migrer nos services entièrement sur smartphone, avec une authentification qui ne nécessite pas d'outils supplémentaires. Maintenant, nous pouvons utiliser non seulement le NIP pour l'authentification, mais aussi Face ID et Touch ID », explique Alexander Kiesswetter.

PsD2 Conformité Requise

En tant que DSI, Alexander Kiesswetter a dû faire face à deux défis : la conformité PSD2 et un système d'authentification hérité que les clients ont trouvé difficile à utiliser.

La conformité PSD2 est une priorité clé pour les institutions financières (IMF) à travers l'Europe. Les IMF doivent se conformer aux exigences relatives à l'authentification et à l'analyse des risques liés aux transactions. En outre, Raiffeisen Italie a dû répondre à deux autres exigences PSD2:

  • Liaison dynamique : Pour les transactions de paiement à distance, PSD2 exige que les FAI appliquent l'authentification qui relie dynamiquement la transaction à un montant spécifique et au payeur. Tout au long du processus d'authentification, la confidentialité, l'intégrité et l'authenticité des informations de paiement doivent être protégées, et l'utilisateur doit être informé du montant et du bénéficiaire.
  • Protection de la réplication : Si une banque choisit d'utiliser une application mobile dans le cadre de ses flux d'authentification, elle doit prendre des mesures pour atténuer le risque qu'un attaquant inverse l'ingénierie de l'application pour découvrir et potentiellement reproduire le secret de jeton utilisé pour générer un code d'authentification. Par conséquent, les I doivent protéger l'élément de possession (dans ce cas, l'application) contre le clonage.

En outre, la banque voulait offrir une expérience d'authentification plus facile pour les clients. Le problème, c'est qu'ils se sont retrouvés dans le bras de fer conventionnel entre la sécurité et la facilité d'utilisation, la sécurité gagnant au détriment de l'expérience client. Alors que leur système d'authentification hérité était très sûr, les clients se sont plaints qu'il était lourd.

« Jusqu'à ce que nous commencions à utiliser OneSpan, notre attention était concentrée sur la sécurité. C'est pourquoi nous avons utilisé des jetons matériels séparés avec des cartes bancaires, parce que nous n'étions pas convaincus qu'une alternative nous donnerait suffisamment de sécurité », explique Kiesswetter.

Évaluation et sélection

Pour Raiffeisen Italie, le choix des technologies les plus performantes par le biais du bon réseau departenaires de sécurité informatique est au cœur de leur succès. Une construction interne n'a jamais été une option, de sorte que le CIO a chargé deux équipes d'évaluer les solutions:

  • Pour l'authentification, un groupe de techniciens informatiques a fait la sélection logicielle.
  • Pour la sécurité des applications mobiles, l'équipe d'évaluation comprenait le CISO, un architecte informatique, et des représentants des équipes de gestion des risques et de la conformité, du développement de logiciels et du soutien à la clientèle.

« Au cours du processus de sélection, nous avons évalué plusieurs entreprises. La grande différence que nous avons constatée entre OneSpan et d'autres fournisseurs a été que les solutions oneSpan combinent un niveau élevé de sécurité et de conformité avec un niveau élevé d'utilisabilité.

Enabling PSD2-Compliant Fraud Monitoring with OneSpan Risk Analytics
LIVRE BLANC

Enabling PSD2-Compliant Fraud Monitoring with OneSpan Risk Analytics

Les nouvelles exigences de la DSP2 exigent que les organismes de services financiers effectuent une surveillance des transactions. Découvrez les exigences spécifiques et comment OneSpan Risk Analytics peut vous conformer dans ce livre blanc.

Télécharger

Une double solution

En utilisant la bibliothèque d'API OneSpan Mobile Security Suite, Raiffeisen Italy a ajouté la signature de transactions pour sécuriser les transactions en ligne des clients contre la fraude. Ils ont également intégré le blindage des applications mobiles pour protéger leur application d'authentification mobile.

« Nous avons sélectionné les solutions innovantes de OneSpan parce qu'elles offrent un haut niveau de sécurité et un haut niveau d'utilisabilité. Traditionnellement, il est très difficile de combiner sécurité et convivialité - jusqu'à présent, il a toujours été un compromis. Nous voulions innover et simplifier l'expérience client. Avec ce projet, nous avons pu le faire », explique M. Kiesswetter.

La solution OneSpan a permis à la banque de se conformer aux exigences psD2 pour :

  • Dynamic Linking: La banque a mis en œuvre la technologie Cronto®, qui utilise un cryptogramme graphique fait de points colorés pour chiffrer les détails des transactions. Utilisé par les banques à travers l'Europe et dans le monde entier, Cronto répond à l'authentification PSD2 et aux exigences dynamiques de liaison pour sécuriser les transactions financières avec un impact minimal sur l'expérience utilisateur.

    Voir l'expérience de signature d'un échantillon de transactions .
     
  • Protection de la réplication : Dans le cadre de sa stratégie mobile d'abord, Raiffeisen Italie a lancé une application bancaire mobile qui authentifie et sécurise les utilisateurs. La banque a joué un rôle de premier plan en tant que premier marché en Italie pour protéger son application avec la sécurité des applications mobiles - en particulier le blindage des applications mobiles avec protection de temps d'exécution. Cette technologie protège une application mobile contre plusieurs types de menaces de durée d'exécution. Il crée un environnement d'exécution sécurisé pour les applications mobiles, leur permettant d'être exécutées même sur des appareils mobiles peu fiables.

    Regarder une vidéo de blindage d'applications mobiles .

Les avantages

Raiffeisen Itay a reçu des commentaires positifs des clients et a connu une forte adoption de la nouvelle application d'authentification.

« Les clients perçoivent Raiffeisen une fois de plus comme une banque innovante », déclare le CIO. « Les commentaires qui m'ont atteint, c'est que les clients sont très satisfaits de la nouvelle fonctionnalité. Nous avons également lancé un lancement marketing pour la nouvelle application d'authentification. Lorsque nous l'avons lancé, il y avait beaucoup de demande et une forte activation, tous les signaux positifs du marché qu'ils l'ont très bien accepté.

« Mon conseil à d'autres banques est de commencer leur transformation numérique en première ligne, au point de contact avec le client. C'est là que l'innovation est la plus importante.

Ce blog est extrait de l'étude de cas complet Raiffeisen Italie PSD2 intitulé Raiffeisen Italie Met en œuvre l'authentification mobile - Mobile App Shielding pour psD2 Conformité et facilité d'utilisation.

Depuis 20 ans, Jeannine écrit sur la technologie et la façon de l'appliquer pour résoudre les défis quotidiens. Dans son rôle de directrice du contenu chez OneSpan, Jeannine dirige une équipe d'écrivains et de développeurs de contenu qui aide les institutions financières et d'autres organisations à