強力な顧客認証：適応的な方法とツールを検討する理由

Frederik Mennes, 2018年11月13日

改訂された決済サービス指令（PSD2）への準拠は、現在、ヨーロッパおよびそれ以降の金融機関（FI）の主要な優先事項です。特に、金融機関は、強力な顧客認証とトランザクションリスク分析に関連する要件に準拠する必要があります。これらの要件は、Strong Customer Authentication（SCA）およびCommon and Secure Communication（CSC）の規制技術標準（RTS）で概説されています。金融機関は遅くとも2019年9月14日までにこれらを遵守する必要があります。主要な要件の一部は6か月前に有効になります。

このブログでは、RTSの主要な認証要件の概要と、それらを適切に遵守する方法について説明します。

PSD2：強力な顧客認証とトランザクションリスク分析

PSD2でのRTSの最も重要な認証要件は次のとおりです。

二要素認証 ：支払いサービスプロバイダーとして機能するFIは、3つの可能な認証要素のうち2つを使用する認証メカニズムに基づいてユーザーを認証する必要があります。
さらに、認証要素は互いに独立している必要があります。認証メカニズムは、1回だけ有効な認証コードを生成する必要があります（実際には、限られた時間だけ有効です）。
- 所有（つまり、ユーザーだけが持っているもの）
- 知識（つまり、ユーザーだけが知っているもの）
- 継承（つまり、ユーザーだけが持つもの）

動的リンク ：動的リンクは、一般にトランザクションデータ署名またはトランザクション認証とも呼ばれます。起草した議員 PSD2 は、動的リンク要件を導入して、中間者攻撃に対抗します。この場合、悪意のあるアクターは、支払い者がトランザクションを認証した後でトランザクションの詳細を変更します。動的リンクの要件には3つの部分があります。まず、特定のトランザクションデータ（少なくとも金額と受益者を識別する情報）に対して認証コードを計算することにより、支払いトランザクションが認証されるように支払者に要求し、認証コードがトランザクションにリンクされるようにします。次に、トランザクションデータの機密性と整合性は、認証プロセス全体を通じて保護（つまり、暗号化）する必要があります。3番目に、オンラインバンキングユーザーは、認証するトランザクションデータに注意する必要があります。