OneSpan Blog

PSD2:最終的なRTS要件はどのように影響しますか?[更新]

サイバーセキュリティと強力な認証
Brian Royer, 2017年12月21日

2017年11月27日、欧州委員会は最終版を発表しました規制技術基準(RTS) PSD2に基づく強力な顧客認証(SCA)とCommon and Secure Communication(CSC)について。最終的なPSD2 RTS要件のリリースにより、あらゆる規模の銀行がコンプライアンス戦略を開発し、電子リモート決済トランザクションのための効果的なセキュリティソリューションを実装するための行動を起こすことができるようになりました。

PSD2と呼ばれる改訂された決済サービス指令は、オンラインバンキングとオンライン決済のセキュリティ要件を調和させ、EUに共通の規制フレームワークを提供します。最終的なRTSのセキュリティ要件は、PSD2の2つの主要な目的によって推進されます。支払いのセキュリティを強化して消費者を詐欺から保護し、小売り決済市場における競争と革新を強化します。

12月5日、PSD2のエキスパートでありシニアであるフレデリックメンネス。OneSpanの市場とセキュリティ戦略のマネージャーは、次の題名のウェビナーを発表しました。 PSD2:待望の最終RTSの準備はできていますか?


PSD2の第97条は、オンライン決済アカウントにアクセスするとき、電子決済トランザクションを開始するとき、または決済詐欺のリスクを示唆する可能性のあるリモートチャネルを通じてアクションを実行するときに、決済サービスプロバイダーにユーザーの認証を要求します。これらの要件を満たす認証ソリューションのカテゴリについては、ウェビナーをご覧ください。

彼はこのウェビナーで4つの主要なトピックをカバーしており、現在オンデマンドで利用できます。

強力な顧客認証のための最終的なRTSキー要件への変更の詳細な議論を含む:

  • 共通で安全な通信 。TPPへの専用インターフェイスを提供する銀行(サードパーティプロバイダーなど)は、専用インターフェイスが特定のパフォーマンスと可用性の基準を満たしている場合、TPPへのフォールバックインターフェイスを提供する必要はありません。
  • 強力な顧客認証(SCA) 。法人ユーザーによる支払いは、National Competent Authority(NCA)によってSCA要件から免除される場合があります。そして
  • 監査 。決済サービスプロバイダー(PSP)のセキュリティ対策の監査は、ITのセキュリティと決済に関する専門知識を持つ監査人が実施する必要があり、PSP内またはPSPからは運用上独立しています。
PSD2:待望の最終RTSの準備はできていますか?
ウェブセミナー

PSD2:待望の最終RTSの準備はできていますか?

この無料のOneSpanウェビナーを視聴して、銀行と決済サービスプロバイダーが顧客を認証する方法に対する最終RTSの大きな影響を理解してください。

視聴する

認証ソリューションこれらの要件を満たす 、次のカテゴリのデバイスを含む:

  • 2デバイス認証。 所有要素は、QRコードをスキャンしてモバイルバンキングアプリを実行する信頼できるディスプレイまたはモバイルデバイス(携帯電話、タブレットなど)を提供するハードウェアトークンと一致する認証またはバンキングデバイスです。
  • 2アプリ認証と1アプリ認証。 所有要素はモバイルデバイスであり、暗号化キーを保存して、セキュアチャネルで認証コードを生成し、オーバーレイソフトウェアを検出してオーバーレイを検出します。そして
  • 帯域外。 所有要素は、ユーザーが認証コードを受け取る携帯電話です。継承要素の知識は、バンキングデバイス(2デバイス認証の場合)またはモバイルデバイス(2アプリ認証または1アプリ認証の場合)に入力されます。

モバイルセキュリティ要件に準拠する信頼できるモバイルデバイスを作成する方法 、モバイルアプリケーションを複製から保護する方法、およびアプリケーションシールドを使用してアプリの安全な実行環境を作成する方法の検討を含むラスプ技術。アプリを複製から保護するメカニズムの例は次のとおりです。

  • デバイス固有のデータを含む認証コードの計算に;
  • アプリが使用するデータの暗号化デバイスのセキュアエレメント内に保存されている暗号化キーを使用する。そして
  • パスワードまたはPINの使用アプリがOTPを生成するために使用するデータを暗号化する

詐欺を減らす方法リスク分析詐欺的な支払いを防止、検出、ブロックする

  • トランザクションリスク分析は必須です 、強力な顧客認証が使用されている場合でも。
  • 取引リスク評価メカニズム支払い額、既知の詐欺シナリオ、支払いセッションでのマルウェア感染の兆候などの要素に基づいている必要があります。
  • 取引リスク分析 SCAを実行する必要性から対象を免除するために使用できます。ただし、この免除にはいくつかの対応する条件が適用されます。

EUで営業しているすべての銀行は、小売りおよび法人を含め、コンプライアンスの対象となります。RTS(認証要件を含む)は、2019年8月または9月に適用されます。

お待ちください:PSD2のコンプライアンス戦略を今すぐ構築

RTSはテクノロジーとビジネスモデルに中立であることを認識することが重要です。RTSは合法的なテキストであり、技術的または規範的ではないため、任意の数の機関が任意の方法で解釈できます。法的および財政的に非常に多くのことから、本当の問題は、コンプライアンスのための最も効果的な戦略を構築する方法になります。

銀行のサービスおよび配信チャネルを管理する事業主のラインナップ、これらのチャネルでのセキュリティの実装を担当するITリーダー、または社内の法務専門家ウェビナーを見る標準を解釈し、最終的なPSD2 RTS要件に準拠する方法に関する専門家の洞察について。

API バンキング 電子決済 PSD2(欧州決済サービス指令第2版)  
Brian Royer
Brian Royer

ブライアンロイヤーはOneSpanのシニアマーケティングライターです。2015年にOneSpanに入社し、コピーライティングおよびセキュリティソリューションマーケティングで20年の経験があります。 

このページの一番上へ