Essai gratuit

FICHE TECHNIQUE | CONFORMITÉ PSD2

CONFORMITÉ PSD2

概要

PSD2準拠要件
  • 二要素認証
  • トランザクション監視メカニズム およびトランザクションリスク分 析
  • 認証要素の分離
  • ダイナミックリンク
  • 複製防止

オンライン決済と銀行業界の景色を一変させるPSD2

PSD2 は、短期的には、決済詐欺の被害者となり得る消費者をより強固に保護し、EU 市民が これまで以上に安心して電子商取引やネットバンキング等のオンライン取引を行えるように します。また、PSD2 により、決済詐欺の賠償義務が移動します。今日、一般に、小売店が 損害を負担しますが、PSD2 の下では、主に金融機関等の決済サービスプロバイダーが負担 します。

中期的には、PSD2 は決済手段の刷新を促します。新たに対象となる決済サービスプロバイ ダーは、消費者や企業の銀行口座へのアクセス権を利用して、新規の決済手段を構築するこ とができます。最終的に、PSD2 は電子決済のセキュリティ要件を強化し、強力なマルチファ クタ認証を要求します。

PSD2 に準拠するための強力な認証には何が必要か

PSD2 の要点の一つとして、電子決済サービスのユーザーに対し、強力な認証を行う必要が ある、ということが挙げられます。コンプライアンスを実現するには、具体的な基準を満た すことが必要です。弊社は、PSD2 規制の要点を以下の五つに絞っています。

  • 二要素認証
  • トランザクション監視メカニズムおよびトランザクションリスク分析 - 認証要素の分離
  • ダイナミックリンク
  • 複製防止

二要素認証

認証は、所有要素(トークン等、ユーザーだけが所有するもの)、知識要素(パスワード等、ユー ザーだけが知っているもの)、生体要素(指紋や顔のスキャン等)のうち、二つ以上の要素の 組み合わせによるものであることが必要です。また、認証要因は互いに分離していなければ なりません。

トランザクション監視メカニズムおよびトランザクションリスク分析

PSD2 においては、決済詐欺を予防、検出、撃退するトランザクション監視メカニズムの使 用が義務づけられています。トランザクションリスク分析は、決済額、既知の不正シナリオ、 決済時のセッションにおけるマルウェア感染の兆候等の要素に基づいて行う必要がありま す。この規制においては、低リスクの決済については、強力な顧客認証が免除される可能性 があると予測されています。

PSD2 COMPLIANCE

ただし、これには、トランザクションリスク分析に、決済パターン、支払人および受取人の所在、決済に使用される装置に関する情報等 の追加要素が含まれるべきである、という意味が含まれています。

複製防止

PSD2 においては、アプリ内で専用のモバイルアプリクローニング対 策を施すことが義務づけられています。とりわけ携帯電話は、対策 がなければ、クローニングに対して非常に脆弱です。このような対 策には、デバイスのセキュアエレメントに格納された暗号鍵を用い てアプリが使用するデータを暗号化する、パスワードまたは PIN を 使用してアプリが使用するデータを暗号化し、OTP(ワンタイムパ スワード)を生成する等の方法があります。

決済トランザクションにおいては、認証コードを金額と受取人に動 的にリンクすることが必要です。そうすることにより、トランザク ション中に金額や受取人が変更された場合、それに伴ってコードが 変更されます。さらに、決済情報はセキュアなチャネルを介して交 換し、ユーザーに明示することが必要です。

認証要素の分離

携帯電話やタブレット等の多目的デバイスの認証メカニズムを使用 する場合、決済サービスプロバイダーは、デバイスが侵害された場 合のリスクを軽減するため、追加のセキュリティ手段を講じること が必要です。そのようなセキュリティ手段として、他から切り離さ れたセキュアな実行環境を使用する、ソフトウェアやデバイスが変 更されていないことを保証する、といった方法が挙げられます。決 済サービスプロバイダーは、モバイルアプリやモバイルデバイスの 改ざんを検出、予防、阻止すべく、セキュリティ管理を行う必要が あります。モバイルアプリ用の RASP 技術は、そのようなセキュリ ティ制御を可能にします。モバイルアプリの機密性と完全性を保護 し、また、デバイスがルートされているかどうか、アプリがデバッ ガやエミュレータ内で実行されているかどうか等を検知することが できます。

PSD2 準拠のための OneSpan ソリューションスイート

OneSpan の多要素認証ソリューション:次世代の行動認証やコン テキスト認証等、強力かつカスタマイズ可能で導入が容易な認証オ プションを通じて、速やかにコンプライアンスを実現します。

  • OneSpan のセキュアチャネル技術:あらゆる決済トランザクショ ンにおいて、機密性、完全性、真正性を確保します。
  • OneSpan の Mobile Security Suite および App Shielding:モバイ ルアプリに対する悪意ある攻撃を軽減し、それらに関連した不正行 為の標的となる可能性を減らします。
  • OneSpan のセキュアプロビジョニングツール:認証プラット フォームにおける不正使用のリスクを大幅に軽減します。
  • OneSpan の不正防止ソリューション:リアルタイムの検出と精確 なリスクスコアリングにより、厳格な規制に準拠し、トランザクショ ン監視およびリスク分析の要件を満たします。