PSD2(欧州決済サービス指令第2版):EBAの意見がStrong Customer Authentication(確実な本人認証)の施行までの時間に猶予をもたらす

Frederik Mennes, 2019年7月10日

2019年6月21日、欧州銀行庁( EBA )公開意見改正された決済サービス指令(SCA)に基づく強力な顧客認証(SCA) PSD2 )。EBAの意見により、所轄官庁(CA)は、特定の決済サービスプロバイダー(PSP)に対して、2019年9月14日以降の追加の時間を例外的にSCA要件に準拠させることができます。また、PSD2のSCA要件への一般的な認証方法の準拠についても説明します。

この記事では、EBAの意見の明確化について説明し、追加の明確化が必要ないくつかの領域を取り上げます。

拡張の範囲

意見書により、所轄官庁(CA)は、2019年9月14日を超えて、SCA要件に準拠するために特定の決済サービスプロバイダー(PSP)に追加の時間を例外的に付与することができます。より具体的には、意見は、 CAはPSPと関連する利害関係者(コンシューマーとマーチャントを含む)と協力して、発行者がこの意見で説明されているようなSCAに準拠した認証アプローチに移行し、アクワイアラーがマーチャントをSCAをサポートするソリューション。

したがって、意見は、遵守するためにより多くの時間を獲得する可能性について議論する際に、発行者、取得者、および商人に大きく言及します。この用語は通常、eコマースのカード決済のコンテキストで使用されます。9月の締め切りを遅らせるためのほとんどの要求はeコマース企業から来たため、これはおそらく事実です。

これは、所轄官庁がeコマースのカード決済のコンテキストでのみ追加の時間を許可するのか、オンラインバンキングやモバイルバンキングなどの強力な認証を必要とする他のアプリケーションのコンテキストでは許可しないのかという疑問を提起します。EBAにこれを明確にするように要請しました。

OneSpan Risk Analyticsを利用してPSD2に準拠した不正監視を実現
白書

OneSpan Risk Analyticsを利用してPSD2に準拠した不正監視を実現

新しいPSD2要件により、金融サービス組織はトランザクション監視を実行する必要があります。このホワイトペーパーでは、特定の要件と、OneSpan Risk Analyticsがコンプライアンスを維持する方法を学びます。

今すぐダウンロード

延長のタイミング

上記のように、意見によりCAは「 限られた追加時間 」をPSPに送信し、SCA要件に準拠させます。ただし、意見には期限がありません。その結果、異なるPSPはSCA要件に準拠するための異なるタイムラインを持っている可能性があり、これは複数のPSPが関係する支払いに影響を与える可能性があります。たとえば、2019年9月14日の時点で準拠しているカード発行会社と約6か月の延長を受けたアクワイアラーとの間でカード決済が実行される場合、アクワイアラーはSCAなしで支払いのリクエストを発行会社に送信する可能性があります。ただし、SCAが必要なため、発行者は支払いを拒否します。その結果、発行者と取得者の両方が正しく行動しても、支払いが拒否される可能性があります。これにより、CAが調整された方法で拡張機能を付与する必要性が明らかに高まります。

SCAとオープンバンキングのタイムラインの調整

これまで、オープンバンキングAPIとSCAの導入は密接に関係しており、同じタイムラインに従いました。期限は両方とも2019年9月14日です。EBAの意見では、SCA要件を実装するための追加の時間を許可していますが、PSD2のもう1つの柱であるオープンバンキングAPIを実装するための追加の時間を許可していません。その結果、銀行は、SCAなしでサードパーティプロバイダー(TPP)にオープンバンキングAPIを提供できます。

これには多くの影響があります。

  • セキュリティへの影響: 銀行がSCAで銀行口座を保護しておらず、組み込みモデルによる認証をサポートしている場合、TPPは銀行口座の保護に使用される弱い資格情報を取得します。たとえば、銀行口座がユーザー名と静的パスワードで保護されている場合、TPPはこれらの資格情報を取得できます。その結果、TPPはこれらの銀行口座にログオンし、おそらく口座保有者が気付かないうちに支払いを実行する可能性があります。
  • ユーザーエクスペリエンスへの影響: TPP(より具体的には、アカウント情報サービスプロバイダーまたはAISP)を介して銀行口座にアクセスするユーザーは、Bank-BではなくBank-Aに対してSCAを実行する必要がある場合があります。結果として、AISPのアプリケーション内のユーザーエクスペリエンスは銀行によって異なり、混乱を招く可能性があります。これは、支払い開始サービスプロバイダー(PISP)として機能するTPPにも適用されます。
ウェブキャスト

ウェビナー:PSD2の強力な顧客認証期限延長-EBAの意見の明確化

SCA拡張の範囲とタイムライン、およびどの認証ソリューションが準拠しているかについて、PSD2 SCAエキスパートのFrederik Mennesから学びます。

視聴する

 認証要素のコンプライアンス

PSD2の強力な顧客認証と共通で安全な通信に関する規制技術基準(RTS)は、SCAを「 独立している知識(ユーザーだけが知っているもの)、所有(ユーザーのみが所有しているもの)、および継承(ユーザーが持っているもの)として分類された2つ以上の要素の使用に基づく認証[…] 」。意見には、どの認証要素が強力であると見なすことができるか、およびそれらがどのカテゴリに分類されるかについての説明が含まれています(つまり、知識、所有、または継承)。

以下は、意見からのいくつかの注目に値する明確化です:

  • 所有要素としてのSMS: 意見では、SMSは有効な所有要素と見なすことができることを明確にしています。より具体的には、SMSを受信するモバイルデバイスのSIMカードは、有効な所有要素です。これは、SMSを介して配信されるワンタイムパスワード(OTP)を使用して、2番目の要素(パスワードやPINなど)と組み合わせると、強力な認証メカニズムを構築できることを意味します。ただし、意見では、SMSを動的リンクに使用できるかどうかは明確にされていません。実際、RTSの第5条の動的リンク要件では、支払い情報(銀行口座番号や金額など)の機密性と完全性を認証プロセス中に保護する必要があると規定しています。SMSのコンテンツは通常保護されていないため、 SMSは動的リンクの要件を満たしていません 。EBAはこれについてさらに明確にする必要があります。
  • 所有要素としてのモバイルアプリ: 意見は、RTSの第7条を強化します。これは、モバイルアプリが実行されるデバイスにモバイルアプリをリンクするデバイスバインディングメカニズムで保護されている場合、モバイルアプリが有効な所有要素であることを意味します。デバイスバインディングメカニズムで保護されていないモバイルアプリは、有効な所有要素とは見なされません。
  • 所有要素としてのOTPリスト: 金融機関は、オンラインバンキングアプリケーションのエンドユーザーを認証するために、印刷されたマトリックスカードまたはOTPリスト(「TANリスト」とも呼ばれる)を使用することがあります。意見は、これらの印刷されたカードまたはリストは、簡単にコピーできるため(たとえば、モバイルデバイスを使用してカードの写真を撮ることによって)、有効な所持要素を構成しないことを明確にします。

意見で取り上げられていないトピックがいくつかありますが、さらに明確にするとメリットがあります。これらのトピックに関する質問を EBAのQ&Aツール

  • ダイナミックリンクでの部分的または完全なIBANの使用: 動的リンクの要件では、認証コードは受益者の識別子に対して計算する必要があると規定されています。受益者の識別にIBANが使用されているとします。次に、IBAN全体で認証コードを計算する必要がありますか、それともその一部を使用するだけで十分ですか?同様に、公演支払者に対するIBANの一部のみですか?実際の銀行では、完全なIBANを入力または表示するのが不便であるため、複数の理由でIBANの一部のみを使用することがよくあります。
  • 支払い情報のハッシュの使用: それでもダイナミックリンクのコンテキストでは、支払い情報(金額、受取人ID)自体に対して認証コードを計算する必要があるのか、それとも支払い情報のハッシュに対して認証コードを計算するだけで十分であるのかという質問がよく出されます。認証コードがハッシュ値に基づいて計算され、支払者がどの支払い情報が使用されているかがわからない場合、支払者は実際にコミットしているトランザクションを理解できない可能性があります。に対するソーシャルエンジニアリング攻撃認証システムしばしばこれを利用します。

EBAがこれらのトピックに関する追加の説明を提供することを期待しています。

PSD2のSCA要件のより詳細な分析が利用可能です私のブログで

この記事は、2019年7月2日に最初に公開され、Frederik Mennesの個人のLinkedInページとWordpressブログに最初に掲載されました。

フレデリクはOneSpanのセキュリティコンピテンスセンターを率い、OneSpanの製品とインフラストラクチャのセキュリティ面を担当しています。彼は、クラウドおよびモバイルアプリケーション用の認証、ID管理、規制、およびセキュリティテクノロジーに関する深い知識を持っています。