Autenticazione come servizio (AaaS)

Cos'è l'autenticazione come servizio (AaaS)?

L'autenticazione come servizio fornisce capacità di autenticazione nel cloud in modo che le istituzioni finanziarie possano verificare in modo sicuro i loro clienti utilizzando l'autenticazione a più fattori (MFA). Le istituzioni finanziarie si stanno spostando verso il cloud computing, contando meno sulla necessità di mantenere, aggiornare e sostituire le loro attrezzature e tecnologie di autenticazione on-premises. Oggi, l'evoluzione digitale in corso è stata accelerata dalla pandemia COVID-19 e i clienti ora si aspettano più esperienze digitali con la loro banca. L'autenticazione come servizio permette alle istituzioni finanziarie di eliminare i costi di riparazione e sostituzione dell'infrastruttura di rete e di mitigare le frodi. Possono anche scalare in su o in giù per soddisfare la domanda dei clienti. L'autenticazione come servizio rafforza e razionalizza l'autenticazione attraverso applicazioni e canali, supporta un mix di metodi di autenticazione hardware e software e può essere aggiornato per supportare soluzioni di autenticazione più complete come l'autenticazione adattiva o l'autenticazione basata sul rischio.

Autenticazione come servizio: metodi di autenticazione a più fattori

L'autenticazione come servizio utilizza l'autenticazione a più fattori (MFA) per la sicurezza del login, dove due o più fattori di autenticazione sono combinati per la verifica dell'identità. Questo potrebbe essere:

  • Qualcosa che conosci, come un codice di accesso monouso (OTP) o la risposta a una domanda segreta
  • Qualcosa che hai, come il tuo dispositivo mobile
  • Qualcosa che sei, come un'impronta digitale o una scansione facciale

Per ottenere l'autenticazione a più fattori, almeno due diverse tecnologie di almeno due diversi gruppi tecnologici devono essere utilizzate nel processo di autenticazione. Di conseguenza, l'uso di un PIN abbinato a una password non sarebbe considerato MFA, mentre l'uso di un PIN con il riconoscimento facciale come secondo fattore lo sarebbe. È anche accettabile usare più di due forme di autenticazione. Tuttavia, la maggior parte delle persone desidera sempre di più un'autenticazione senza attrito (la possibilità di essere verificata senza la necessità di eseguire eccessivi passaggi di sicurezza).

L'autenticazione come servizio supporta anche le ultime tecnologie come gli standard aperti come FIDO, la biometria (compreso il riconoscimento del viso e la scansione delle impronte digitali), l'autenticazione fuori banda, come Cronto, i codici QR-like e l'hardware di prossima generazione.

Webcast banner

Future-Proof Authentication with a Modern Cloud-Based Platform

Experts discuss how the ability to leverage a modern security platform is central not only to supporting cloud-first strategies, but for driving down fraud, boosting the user experience and reducing total operating costs in the process. 

View the Webinar

Vantaggi dell'uso dell'autenticazione come servizio

Nell'ultimo decennio, c'è stata una crescente adozione di implementazioni cloud e hybrid cloud per i servizi e le applicazioni IT. La pandemia COVID-19 ha accelerato la trasformazione digitale e le iniziative di modernizzazione delle banche. La pandemia ha anche accelerato il comportamento digitale dei clienti. Le persone ora si aspettano più interazioni digitali con le loro istituzioni finanziarie e si aspettano che siano senza soluzione di continuità. Queste iniziative sono difficili da sostenere con infrastrutture on-premises, specialmente durante la pandemia. Questo è un motivo che contribuisce all'interesse per le soluzioni basate sul cloud.

Un rapporto di Aite Group, The Rise of Digital-First Banking, esamina come i consumatori diventeranno digital-first indipendentemente dalla generazione e se le istituzioni finanziarie sono pronte o meno, ora che la pandemia di coronavirus ha cambiato il modo in cui i consumatori interagiscono in ogni area della loro vita. "La crisi del COVID-19 sta spingendo la traiettoria di adozione e utilizzo del digitale a tutto vapore", afferma Tiffani Montez, analista senior di Aite Group. "Il digital-first banking è la nuova norma, e ora più che mai, è importante per gli IF costruire una nuova esperienza digitale e ottimizzare i processi digitali esistenti per ridurre l'attrito"

Ecco i vantaggi dell'autenticazione come servizio:

  • Non c'è bisogno di alloggiare attrezzature on-premises: con l'autenticazione come servizio, gli istituti finanziari possono ridurre le spese operative per i dipartimenti IT.
  • Niente personale IT extra: l'attrezzatura IT richiede manutenzione e sostituzione. Con l'autenticazione come servizio, un terzo fornitore di servizi è tipicamente responsabile della manutenzione dell'attrezzatura su cui un'applicazione è ospitata. Per esempio, il personale altamente qualificato, come gli ingegneri dell'infrastruttura, può essere riassegnato ad altri progetti IT invece di spendere il proprio tempo in lavori di manutenzione. Poiché l'autenticazione come servizio è senza password, elimina la reimpostazione della password per i team IT impegnati.
  • Abbassa i costi di gestione, aumenta l'efficienza operativa: l'autenticazione come servizio permette alle istituzioni finanziarie di ridurre i costi di sostituzione in corso delle attrezzature del server, dell'infrastruttura di rete, della manutenzione della rete, dell'hosting e delle procedure di sicurezza. Questo si traduce in costi operativi che sono più bassi rispetto alle implementazioni on-premises e più coerenti, aumentando l'efficienza operativa mentre fornisce un accesso sicuro.
  • Capacità di scalare: l'autenticazione come servizio fornisce alle banche la capacità di scalare in alto o in basso come necessario per soddisfare la domanda corrente. Questo rende la determinazione dei prezzi meno complicata e meno costosa per acquistare più capacità di servizi cloud che non per distribuire nuove apparecchiature server in sede.
  • Implementazione facile e veloce: l'autenticazione come servizio può essere implementata in poche settimane senza la necessità di acquistare, fornire e implementare alcuna infrastruttura IT. Al contrario, le implementazioni on-premises possono richiedere mesi o anche un anno, a seconda del budget e di altri fattori.
  • Opzioni di autenticazione flessibili: l'autenticazione come servizio supporta tecnologie ibride di autenticazione software e hardware, monitoraggio continuo, profilazione del dispositivo e del canale multiutente. Può essere aggiornato senza soluzione di continuità a soluzioni più complete, come l'autenticazione basata sul rischio che utilizza l'apprendimento automatico e un motore di rischio per aiutare a ridurre le frodi.

Tre casi di studio di organizzazioni che utilizzano l'autenticazione come servizio

Caso di studio #1: la banca giapponese passa all'autenticazione basata sul cloud

La sfida: Questa banca giapponese ha rilasciato la sua applicazione di mobile banking nel novembre 2019. Inizialmente, la funzionalità dell'app era limitata e permetteva solo agli utenti di controllare il loro saldo. Inoltre, il processo di autenticazione legacy utilizzato nel canale online non ha fornito un'esperienza mobile soddisfacente. I clienti ricevono una password monouso (OTP) via e-mail e inseriscono la password nel portale web. Questa esperienza non si è tradotta bene su mobile. La banca ha deciso di implementare l'autenticazione basata sul cloud e la firma dei dati delle transazioni per consentire in modo sicuro i trasferimenti di denaro attraverso l'app. La tempistica per questo progetto era molto stretta perché la banca doveva rilasciare la versione aggiornata dell'app tre mesi dopo l'inizio del progetto. In genere, l'integrazione di una nuova soluzione di autenticazione in un'app esistente e l'implementazione di un server di autenticazione on-premises per supportarla potrebbe richiedere più di un anno per essere completata. Invece, la banca ha deciso di passare a un server di autenticazione ospitato nel cloud.

Il risultato: ora i clienti possono autenticarsi ricevendo il loro OTP in-app, o usare la biometria delle impronte digitali. Il risultato è un'esperienza cliente affidabile, sicura e conveniente, mentre si espandono le funzionalità dell'app di mobile banking.

Caso di studio #2: FinTech fornisce l'autenticazione cloud a tutte le banche norvegesi

La sfida: In questo caso d'uso, un'organizzazione fintech norvegese offre alle banche norvegesi una soluzione di autenticazione sicura e conveniente per l'identificazione e la firma elettronica. Per autenticarsi, gli utenti dovevano utilizzare autenticatori hardware, che fornivano la sicurezza necessaria per l'utente finale. Tuttavia, il feedback dei clienti ha mostrato il desiderio di una soluzione di autenticazione software che permettesse loro di utilizzare i loro dispositivi mobili. L'organizzazione ha deciso di lanciare una nuova applicazione mobile per autenticare gli utenti per migliorare l'esperienza del cliente e per implementare la biometria. L'organizzazione è parzialmente di proprietà di tutte le banche in Norvegia e tutte fanno uso di questo servizio. Di conseguenza, l'organizzazione non poteva considerare una soluzione di autenticazione on-premises perché questo avrebbe richiesto ad ogni banca norvegese di implementare un nuovo server di autenticazione on-premises.

Il risultato: utilizzando l'autenticazione basata sul cloud, le banche potrebbero facilmente adottare l'app di autenticazione per l'autenticazione degli utenti. Con l'applicazione distribuita, gli utenti hanno ottenuto l'accesso all'autenticazione a più fattori (MFA) con la biometria delle impronte digitali e le notifiche push. La nuova esperienza ha dimostrato di essere significativamente più conveniente per i clienti e coloro che hanno scaricato l'app di autenticazione hanno potuto tranquillamente ritirare i loro autenticatori hardware.

Caso di studio #3: l'organizzazione sanitaria introduce l'autenticazione cloud per ridurre i costi

La sfida: Questa società di sviluppo di software sanitario ha recentemente modernizzato la sua strategia di sicurezza passando all'autenticazione come servizio. L'azienda vende una soluzione Electronic Prescription of Controlled Substances (EPCS) che aiuta i medici e gli operatori sanitari a collegare i loro pazienti con i farmaci regolamentati di cui hanno bisogno. A causa dei dati sensibili coinvolti, sia le preoccupazioni di privacy delle informazioni mediche che il potenziale di abuso dei farmaci, l'autenticazione e l'identità dell'utente sono componenti estremamente importanti della soluzione.

Il risultato: L'azienda è migrata da un'implementazione on-premises a un fornitore di servizi di autenticazione basato sul cloud per evitare i costi associati all'acquisto, al supporto e alla manutenzione dei server per abilitare l'autenticazione. L'azienda voleva anche integrare un processo di autenticazione nel loro prodotto esistente con una soluzione che rende facile l'implementazione, la valutazione e la verifica della conformità con tutte le normative.

 

Come l'autenticazione come servizio aiuta a mitigare le frodi

Le istituzioni finanziarie possono aiutare a proteggere i loro clienti dalle minacce di frode con l'MFA basata sul cloud su un'infrastruttura di sicurezza provata e affidabile. Finora nel 2020, ci sono state importanti violazioni di dati a Twitter, Zoom e Marriott, che ha subito la loro seconda violazione in altrettanti anni[JM2] . Con così tante persone che usano ancora le stesse password statiche come unico mezzo di autenticazione su più account, qualsiasi violazione dei dati di password e indirizzi e-mail può avere gravi conseguenze per i consumatori.

Come risultato della pandemia COVID-19, i criminali informatici hanno aumentato i loro sforzi con il numero di siti web di phishing in aumento del 350% dall'inizio dell'anno, e £16.6 million (20,8 milioni di dollari USA) persi in perdite di frodi negli acquisti dall'inizio del blocco. Il phishing rimane il preferito

metodo per gli attaccanti quando si tratta di rubare credenziali, secondo il 2020 Data Breach Investigations Report di Verizon. Inoltre, con più di 15 miliardi di credenziali che circolano sul Dark Web, i criminali informatici hanno tutto il necessario per commettere attacchi di acquisizione di account e altre forme di frode.

L'evoluzione digitale in corso ha anche portato all'ascesa del mobile, all'espansione dei canali digitali e all'aumento del numero di applicazioni e prodotti. Questo ha spesso portato ad un approccio siloed alla sicurezza dell'autenticazione, mettendo il peso sul personale IT per gestire diverse soluzioni. L'autenticazione come servizio fornisce una sicurezza centralizzata e assicura che le banche possano mantenere i clienti protetti contro gli attacchi di frode, in particolare l'ingegneria sociale e gli attacchi di phishing.

Gaining the Upper Hand on Fraud with Modern SaaS Authentication

Gaining the Upper Hand on Fraud with Modern SaaS Authentication

Learn how cloud authentication is a key stepping stone to modernizing security.

Read the Blog

Come l'autenticazione come servizio migliora l'esperienza del cliente

Considerando il minaccioso panorama delle minacce, l'autenticazione come servizio (AaaS) aiuta le banche a mantenere la sicurezza per l'autenticazione degli utenti, aumentando la fiducia dei loro clienti del digital banking. I clienti possono essere autenticati con opzioni di autenticazione mobile user-friendly, come la biometria e la notifica push in-app per un'esperienza utente senza attrito. Man mano che i clienti adottano un comportamento sempre più digitale, ottengono un'autenticazione sicura tramite il cloud.

Come soddisfa la conformità normativa

L'autenticazione come servizio è progettata per soddisfare i requisiti di Strong Customer Authentication (SCA) della PSD2 per pagamenti online sicuri. Lo fa attraverso l'autenticazione a più fattori, il collegamento dinamico (per contrastare gli attacchi Man-in-the-Middle), la sicurezza mobile e la tecnologia biometrica. I requisiti SCA aiutano a limitare le frodi e a migliorare la sicurezza dei pagamenti online perché i clienti devono essere autenticati da due elementi su tre nell'autenticazione:

  • Qualcosa che il cliente conosce (per esempio, PIN, password, domanda di sicurezza)
  • Qualcosa che il cliente ha (per esempio, un dispositivo)
  • Qualcosa che il cliente è (per esempio, dati biometrici come le impronte digitali o il riconoscimento facciale)

Il collegamento dinamico aiuta anche le istituzioni finanziarie a raggiungere la conformità perché al momento della transazione, il valore della transazione e l'identità del destinatario devono essere visualizzati e ci devono essere almeno due elementi di possesso utilizzati. Questi elementi di possesso devono collegare dinamicamente la transazione a un importo e a un beneficiario specificati dal pagatore, quando iniziano e verificano la transazione.

Importanza strategica

L'autenticazione come servizio utilizza l'autenticazione multi-fattore basata sul cloud per fornire sicurezza, stretta conformità normativa e un'esperienza cliente senza soluzione di continuità che aiuta a guidare la crescita. L'autenticazione come servizio è un modo moderno di approcciare l'identità e la gestione degli accessi che sfrutta le risorse di cloud computing e fornisce anche una migliore esperienza utente e gestione degli utenti. Offre efficienze immediate per le banche con una soluzione che può essere rapidamente implementata. L'autenticazione come servizio supporta anche l'implementazione rapida poiché la maggior parte dei fornitori AaaS hanno plugin e API (servizi RESTful, ecc.) per consentire una facile integrazione nelle applicazioni aziendali.

AaaS aggiunge ulteriori livelli di sicurezza non solo fornendo una forte autenticazione, ma anche politiche di controllo degli accessi. La riservatezza nel cloud si ottiene applicando diversi algoritmi insieme a procedure di crittografia e decrittografia, hashing, firme digitali, certificati e gestione dello scambio di chiavi. L'MFA basata sul cloud supporta anche il comportamento sempre più digitale dei clienti. Spostandosi dall'infrastruttura on-premises a un fornitore di servizi nel cloud, le istituzioni finanziarie e altre organizzazioni gettano le basi per la personalizzazione e per soluzioni di autenticazione più complete, come l'autenticazione basata sul rischio o l'autenticazione adattiva.

Contattaci

Contatta uno dei nostri esperti di sicurezza per saperne di più su come le nostre soluzioni possono aiutarti con le tue esigenze di sicurezza digitale