PSD2 Q&Aフォーラム

認証、動的リンクモバイルアプリのセキュリティなどのトピックについて40以上の質問を検索

PSPが2018年11月までに新しいRTS規制に準拠しない場合、どのようなペナルティがありますか?

PSD2は、すべてのEU加盟国が採用する必要のあるヨーロッパの指令です。支払いサービスプロバイダーは、EUでサービスを提供する権利を持つ支払いサービスプロバイダーとして法的に認められるために、PSD2要件に準拠する必要があります。

EBAは、2014年に発行されたECBガイドと同様に、SCAおよびCSCに関するRTSの評価ガイドを発行しますか?

EBAが同様の評価ガイドを発行することを確認または否定する情報はありません。

SMSはPSD2に準拠していますか?

RTSにおけるEBAの目標の1つは、技術に中立を保ち、イノベーションのために可能な限り多くの余地を提供することです。要件を指定する際に非常に規範的ではないことが課題でした。最終的に、RTSによって禁止されている特定のテクノロジーはありませんが、既存のプラクティスの一部は、SCA要件に完全に準拠しなくなります。SMSは所有要素と見なすことができると言えます。通常、SMSはSMSメッセージの意図された受信者だけが読み取ることができるためです。したがって、理論的には、SMSは所持要素の要件を満たしているため、トランザクション署名ソリューションのビルディングブロックとして使用できます。

ダイナミックリンクの要件を満たすために、SMSメッセージには、認証コードのほかに、支払い情報、つまり金額と受取人に関する情報を含める必要があります。ダイナミックリンクの要件は、支払い情報の機密性と完全性を保護する必要があることも示しています。これは、支払い情報を暗号化する必要があることを意味します。ただし、SMSメッセージのコンテンツを復号化するには、携帯電話のSIMカードまたは電話自体にアプリが必要になるため、実用的ではありません。

結局のところ、SMSの使用は、ユーザーのデバイスに高レベルのセキュリティ、SIM交換詐欺に対する保護、起こり得るSMSの傍受および誤用に対する保護を意味します。今日の現実では、これらは非常に困難な課題です。SMSの使用については、現在、所管官庁によって意見が異なります。一部の当局はSMSの使用を推奨していませんが、他の当局は許可しています。私たちはこれらの意見を監視し、明確な決定がある場合はこのFAQを更新します。

モバイルとトークンは2つのチャネルとしてカウントされ、PSD2に準拠できますか?

PSD2によると、認証メカニズムは3つの可能な認証要素の2つから構成する必要があります。つまり、ユーザーだけが持つもの、ユーザーだけが知っているもの、ユーザーだけが持つものです。

いつ認証コードを使用しますか?それを第二の要素と考えていますか?

ユーザーの認証には、常に認証コードを使用する必要があります。認証コードは、3つの可能な認証要素のうち2つから構成される認証メカニズムによって生成される必要があります。つまり、ユーザーだけが持つもの、ユーザーだけが知っているもの、ユーザーだけが持つものです。

カードの3DセキュアプロトコルはSCAに十分ですか、それとも必須ですか?

3Dセキュアは実際、PSPがカードベースの支払いに関するSCA要件に準拠するソリューションを構築するために使用できるプロトコルです。

SCAの3つの要素のどのカテゴリをOTP over SMSに与えることができますか?この知識または所有物ですか?

ユーザーは通常、携帯電話でSMSメッセージを受信するため、これは所有要素になります。

PSD2の範囲を明確にしていただけますか?インターネット決済(ブラウザベースのオンライン)のみですか?そうでない場合、他に何がありますか?

PSD2は、ブラウザベースおよびモバイル決済をカバーしています。

行動分析の実装方法について詳しく教えてください。DP4APPS SDKの拡張ですか?

OneSpanの動作認証はOneSpan Mobile Security Suiteの拡張機能です。行動認証では、ユーザーの身元を正確かつシームレスに証明できるだけでなく、ボット攻撃などの特定の行動を特定することもできます。詳細情報が利用可能ですここに。

OneSpan Mobile Security Suiteのお客様は、ソリューションの新しい必要なコンポーネントを追加するだけで、既存の実装を活用できます。セキュリティと使いやすさの最良の組み合わせを実現するには、今日、3つの要素すべてを組み合わせることが重要です。 

  1. クライアントデバイスのデータ収集によるモバイルアプリケーションのセキュリティ 
  2. 安全な通信のための多要素および生体認証フレームワークと安全なチャネル 
  3. ユーザー入力、デバイス、行動を分析し、複数のチャネルにわたってリアルタイムで意思決定を適用するための詐欺およびリスク分析ソフトウェアOneSpanのソリューションスイートは、これらすべての領域をカバーしています。 

 

詳細 PSD2コンプライアンス

バイオメトリクスを使用する際の検証をサーバー側で行うかクライアント側で行うかについてのガイダンスはありますか?

強力な顧客認証に関する規制技術基準(RTS)では、生体認証をクライアント側で行うかサーバー側で行うかを指定していません。したがって、両方のオプションが許可されます。

OneSpanは、トークンのPSD2 RTSへの準拠に関してECBから正式な保証を受けていますか?

現時点では、PSD2に基づく特定の製品の正式な認定プログラムはありません。そのため、OneSpanが正式な保証を取得することはできません。ただし、OneSpanは、RTSを正しく解釈し、製品が準拠していることを確認するために、権限のある当局と非公式な方法で製品の準拠について話し合っています。

各トークンモデルにラベルを付けるつもりですか(例: DP310)は、PSD2に準拠していますか?

OneSpanは現在これを行う予定はありません。さらに、PSD2に基づく強力な認証ソリューションの正式な認定プログラムはありません。

OneSpanピンパッド認証ハードウェアデバイスは準拠していますか?

RTSの動的リンクの要件では、金額や受取人に関する情報(受取人の銀行口座番号など)を含む特定のトランザクション情報に対して認証コードを計算する必要があると規定されています。

さらに、支払人はこの取引情報を知る必要があります。最後に、トランザクション情報の機密性、完全性、信頼性を常に保護する必要があります。これらの要件に基づいて、PINパッド認証ハードウェアデバイスの使用について次のことが言えます。

  • このデバイスは、非常に高い所有権と知識要素のセキュリティレベルを提供します 
  • このデバイスは、エンドユーザーが金額と受取人の詳細を入力し、それらを一意の認証コードの生成に含める方法を提供します 
  • ユーザーはそのようなデバイスでのアクションを認識しています。したがって、ハードウェアDigipass with PIN-padをトランザクションデータ署名モードで使用すると、動的リンク要件に準拠します。

動的リンクはトランザクション署名と同じですか?

はい、そうです。「動的リンク」という用語は、PSD2およびSCA上のRTSで使用されます。

これは、PSPなどの別のエンティティではなく、OneSpanが動的リンクを提供することを意味しますか?

ユーザーの強力な認証を実行するのはPSPの責任です。OneSpanは、強力な認証を実行するための製品とサービスをPSPに提供できます。

RTSでは、OTPを使用するアプリとOTP伝送の間のチャネル分離が必要です。1AAコンプライアンスをどのように見ていますか?

最終ドラフトRTSでは、チャネル分離は不要になりました。最終的なRTS草案のコメントに示されているように、この言語は混乱を招くため、RTS草案から削除されました。

顧客が複数の支払い先を異なる支払い先に行う場合、第2条(2)A)の要件にどのように準拠しますか?

一括支払いの場合、認証コードは、すべての支払いの合計金額とすべての受取人の口座番号に基づいて計算する必要があります。

OneSpanには、顧客がスマートフォンを使用したくない場合に動的リンクを生成するソリューションがありますか?

今日、OneSpanは、さまざまなユースケース、ビジネスニーズ、ユーザーグループ、規制要件など、認証ソリューションを世界中の2,000以上の銀行に提供しています。OneSpanは、考えられるすべてのニーズに対応できる非常に幅広いソリューションを提供しているため、これが可能です。たとえば、OneSpanは、大きな画面、ボタン、さらには音声コマンドを備えた、PSD2準拠の非常にシンプルなデバイスを高齢者ユーザーに提供します。 Digipass 301

オプションで、SWYSスペースで人気のあるオプションは、堅牢なラバーキーボードを備えたハイエンドデバイスの1つを使用することです。 Digipass 770

このデバイスは、完全なユーザー入力を必要とせず、顧客の承認と短いPIN入力のみが必要です。OneSpanの顧客が行ったユーザー受け入れ調査では、採用率が非常に高く、このテクノロジーに切り替えたときのユーザーからのヘルプデスクへの問い合わせが大幅に減少したことが示されています。

3DSプロセスを使用したSMS認証の場合、ACSがOTPを生成して登録済みの携帯電話番号に配布するときに、支払いの詳細を含める必要がありますか?

最終的なRTSドラフトの動的リンク要件に関する私たちの解釈は、実際には、支払い認証のために支払い情報をSMSメッセージに含める必要があるということです。

ダイナミックリンクのチャレンジレスポンスとして使用できる5つの番号のハードウェアDigipass 275があります。これは動的リンクに準拠していますか?

これはおそらく最終ドラフトRTSに準拠しています。

OneSpan Go 6 Digipassは、高額支払いの動的リンク要件に関してRTSに準拠していますか?

一般的に、Go-tokenは支払い情報(金額など)に対して認証コードを生成しません。このため、500ユーロを超える支払いには常に必要なダイナミックリンクには使用できません。

OTPトークンなどのハードウェアベースのソリューションは、単一のトランザクションとの動的リンクをどのように提供しますか?

一般に、ユーザーは金額や受取人の口座番号などの支払い情報をハードウェアトークンに入力できます。これは、トークンのキーパッド、USBケーブル、またはビジュアルコードをスキャンすることで発生します。ハードウェアトークンは、支払い情報を使用して、動的リンクの要件に従って認証コードを計算できます。

PSUはトークンの支払いの詳細(金額と口座)を確認する必要がありますか?あなたが見るものはあなたが署名したものですか?

ハードウェアトークンの「署名を確認」を使用して、動的リンクの要件に準拠できますが、これが唯一のオプションではありません。モバイルアプリでデータを表示することも許容される可能性が高いです。

複数のトランザクションの署名/承認の可能性について具体的に教えていただけますか?ダイナミックリンクは複数のトランザクション/受益者を許可しますか?

RTSの最終草案には、一括支払いの場合、認証コードは、支払いの合計金額と、さまざまな支払いの受取人に関する情報について計算する必要があると記載されています。

トランザクションモニタリングソリューションを実装する場合、30ユーロ未満の支払いにはダイナミックリンクが必要ですか?

いいえ、強力な顧客認証の最後の適用以降に支払者によって開始された以前のリモート電子決済トランザクションの累計または数がそれぞれ100ユーロまたは5ユーロを超えない限り、30ユーロ未満の支払いにはダイナミックリンクは必要ありません。連続する個別のリモート電子決済トランザクション。

免除を使用する場合、動的リンクだけでなく、SCA全体をスキップできることは正しいですか?

それも私たちの理解です。

コーポレートバンキングのRTSに対するOneSpanの意見は何ですか?

SCAのRTSは、ユーザーを認証するための最小限のセキュリティ要件を提供します。コーポレートバンキングの場合、ユーザーは通常、比較的高額の支払いを実行します。したがって、銀行は、SCA上のRTSで必要とされるよりも強力な認証メカニズムを使用して、コーポレートバンキングアプリケーションを保護することを期待しています。

SAで認定された受益者のリストを既に持っているが、別の値で送金する必要がある場合の要件は何ですか?

最終的なRTS草案の第13条に示されているように、SCAは信頼できる受益者への支払いには必要ありません。正確な条件については、記事自体を参照してください。

RTSは、最初の試行後にのみ単一要素認証を許可します。その後、2FAは9日ごとに使用する必要があります。これは、以前に推奨したものとは異なります。説明してください?

RTSの最終草案の第10条には、以下の条件のいずれかが満たされている場合、支払いサービスプロバイダーは、残高について照会したい、または過去90日間の支払い履歴を調べたい支払者に対する強力な顧客認証の適用が免除されないことが記載されています:

  • 支払いサービスのユーザーが、第1パラグラフの最初の90日間から初めて口座残高または支払い履歴にオンラインでアクセスしている
     
  • 支払いサービスユーザーが最後にパラグラフ1の過去90日間の支払い履歴に最後にアクセスし、強力な顧客認証が90日以上前に適用されたとき。

支払いをホワイトリストに登録できますか?ホワイトリストの宛先を検証し、DLなしでその宛先への支払いを許可する場合、それで十分でしょうか?

最終草案RTSの第13条では、支払者が以前に作成された信頼できる受益者のリストに含まれる支払トランザクションを開始した場合、支払サービスプロバイダーは強力な顧客認証を実行できません。詳細については、第13条を参照してください。

OneSpan Mobile App Shieldingは、バージョンのアップグレードがあるたびにモバイルバンキングアプリとともに再パッケージ化する必要がありますか?

この質問には2つの部分があります。

  • PSPがモバイルアプリをアプリマーケットにリリースしようとするたびに、アプリを保護するためにアプリのシールドを適用する必要があります。アプリシールドのラッピングには数秒かかるため、PSPのアプリリリースサイクルには影響しません。
     
  • OneSpan Mobile App Shieldingソリューションは、進化するモバイル脅威を防御するために定期的に更新されるため、PSPが可能な限り最高レベルの保護を確保するために、最新のリリースでアプリをシールドすることもお勧めします。

アプリのシールドはクローン保護をカバーしますか?

OneSpan Mobile Security Suiteは、モバイルアプリのクローン保護を提供するデバイスバインディング機能を提供します。

SMSソリューションを使用するときにモバイルアプリのシールドが必要ですか?SIMアプリ?

SMSが到着するモバイルデバイスには、SMSを入力する必要がある認証アプリ(1aaまたは2aaシナリオの場合)も含まれている場合があります。このアプリは、モバイルアプリのシールドを使用して保護する必要があります。

APP2APPの実装とプッシュのセキュリティに関するその他の懸念事項はありますか?

私たちの意見では、これらは2つの同等に安全なアプローチであり、最終的には安全な通信チャネルという同じ基盤となるテクノロジーに依存しています。さまざまな使用モデルで最適であることがわかります。銀行の多くは、次の構成で機能する認証アプリケーションを実装します。 

モバイルバンキングアプリ内でトランザクションが開始されると、同じデバイスにインストールされている認証アプリへのApp2App通信リンクが確立されます。これにより、2つのアプリを自動的に切り替える機能が提供され、ユーザーエクスペリエンスが向上します。 

別のデバイス(PCまたはタブレット)からWebブラウザーでトランザクションが開始されると、PUSH通知がユーザーのモバイルデバイスにインストールされている認証アプリに送信されます。あるいは、ほぼ同じユーザーエクスペリエンスで、光学スキャンと署名プロセスを使用できます。 

Crontoソリューションの詳細については、以下をご覧ください。 Cronto Sign

安全な通信チャネルを備えたApp2Appの場合、アプリ間のデータ交換は、暗号化された形式でバックエンドを介して行われます。

ユニバーサルWindowsプラットフォーム(UWP)とWindowsタブレットは、2AA 1AAセットアップのSCAの実行可能なソリューションプラットフォームですか?サンドボックス化はiOSとAndroidで異なりますか?

ユニバーサルWindowsプラットフォーム(UWP)のサンドボックス化手法は、AndroidおよびiOSに似ています。UWPは、AndroidおよびiOSの概念の多くを採用しています。Windows 10 MobileはUWPアプリの実行のみを許可するため、サンドボックスメカニズムはAndroidやiOSと同等の強さを備えています。標準のWindows 10では、UWPと通常のWindowsアプリケーションの両方を実行できるため、サンドボックス化はAndroidまたはiOSよりも強力ではありません。

トランザクションがTPP APPから開始された場合、提示された使用例のうち、使用される可能性が最も高いのはどれですか。

ユーザーがTPPアプリを使用している場合、おそらく次の3つのユースケースのいずれかが表示されます。 

  • 銀行から金融機関が提供する認証アプリへのPUSH通知。これは、当事者間の特定の統合を必要としません。
     
  • 金融機関によって提供されるTPPアプリと認証アプリ間のApp2App通信。これには、TPPと金融機関の間の認証サービスの最小限の統合が必要です。 
     
  • TPPアプリへのモバイルセキュリティフレームワークの埋め込み。これは、TPPが金融機関の認証の実装に依存せず、独自の認証を提供することを意味します。 

3つのオプションすべてで、TPPと金融機関は、ユーザーのデバイスからデータ入力を収集し、完全なリスク評価のために複数のアプリケーション、チャネル、およびエンドポイントにわたって徹底的な分析を実行する必要があります。最善のオプションは、OneSpan Risk Analyticsなどの専用のリスクソフトウェアを実装することです。 

  • 高度な詐欺のリアルタイム検出 
     
  • 大量のデータポイントを処理して、ユーザーの異常な動作、不審なトランザクション、およびペイメントアプリケーションでの異常なナビゲーションを検出する 
     
  • すべての一般的なモバイルデバイス(携帯電話やタブレットなど)にわたる正確なリスクスコアリングと脅威の軽減 
     
  • エンドユーザーには見えない操作で、詐欺を軽減しながら、可能な限り最高のユーザーエクスペリエンスを提供
     

2アプリ認証を使用する場合、両方のモバイルアプリでサンドボックスOSとモバイルアプリシールドを使用する必要がありますか?

サンドボックスはOSによって適用されます(例: モバイルデバイスのAndroidまたはiOS)から、デバイスで実行されているすべてのアプリへ。認証アプリにモバイルアプリのシールドを適用する必要があります。

digipass SDKは利用可能/ nativescriptと互換性がありますか?

はい、そうです。

OneSpan Mobile Security Suiteが提供する安全な通信について詳しく教えてください。それを保護するために何が使用されていますか?サーバーには何が必要ですか?

OneSpan Mobile Security Suiteの安全な通信機能は、アプリとサーバー間に安全な通信チャネルを作成する機能を提供し、すべての支払い情報の機密性、完全性、信頼性を保護します。OneSpan Mobile Security Suiteには、安全なチャネルを確立するためのクライアント側とサーバー側の両方のSDKが付属しています。このようにして、PSPは、セキュリティで保護されたチャネル自体の複雑さを管理する必要なく、セキュリティで保護されたチャネルを簡単にセットアップできます。

アプリケーションでハードウェア識別子、フィンガープリント、ピンを組み合わせる必要がある場合、HMACアルゴリズムの推奨事項はありますか?

HMAC-SHA256やHMAC-SHA3などの標準HMACアルゴリズムを使用することをお勧めします。

2AA状況に準拠するには、両方のアプリをモバイルアプリシールドで保護する必要がありますか?それとも認証アプリだけですか?

認証アプリは、モバイルアプリのシールドで保護する必要があります。バンキングアプリは保護されている可能性がありますが、最終的なRTSドラフトでは必須ではありません。

認証要素としての行動パラメータの使用法をどのように見ていますか?

はい、これを可能な継承要素と見なします。EBAからRTSの最終草案へのコメントも、これが可能であることを示しています。

OneSpanには、認証要素として「固有の」要素(生体認証)を使用するソリューションがありますか?

はい。OneSpanMobile Security Suiteは、指紋、顔スキャン、およびユーザーの行動に基づく生体認証をサポートしています。

一括払いのTRAについて話し合うことはできますか?

一括支払いの場合、SCAの認証コードは、すべての支払いの合計金額とすべての受取人の口座番号に基づいて計算する必要があります。一括払いのTRAに関する特定の規定はありません。

OneSpanによる防止ソリューションは、電子バンキング、カード、POS、モバイルバンキング、ウォレットなど、あらゆるタイプのトランザクションを収集できますか?

はい、OneSpan Risk Analyticsを使用して、さまざまな種類の支払いチャネルのトランザクションを分析できます。

OneSpanソリューションはクラウドベースのソリューションですか?そして、もしそうなら、私的か公的か?

OneSpan Risk Analyticsは、オンプレミスおよびクラウドで利用できます。クラウドバージョンはOneSpanによってホストされています。

OneSpan Risk AnalyticsはRTS要件に準拠していますか?

はい。OneSpanRisk Analyticsは、最終ドラフトRTSの要件に従ってトランザクションリスク分析を実行できます。

すべてのトランザクションにSCAを使用する予定であっても、すべてのPSPにTRAが必要ですか?もしそうなら、この要件の背後にある根拠は何ですか?

実際、PSPはSCAを使用する場合でも、常にTRAを使用する必要があります。TRAは、SCAの次にセキュリティの第2層を提供します。TRAはソーシャルエンジニアリング攻撃から保護するのに役立ちます。これにより、攻撃者は実際のユーザーがSCAを使用して支払いを確認するように説得しようとします。

指令またはガイドラインは、物理媒体が紛失または盗難にあった場合の2AAおよび1AAソリューションの特定の義務を定義していますか?

RTSの最終草案では、認証手順には、一般に、紛失、盗難、または横領された支払いサービスユーザーの個人用セキュリティ資格情報を使用する試みを検出するトランザクション監視メカニズムを含める必要があると述べています。これは、2aaまたは1aaカテゴリの認証ソリューションだけでなく、すべての認証ソリューションに適用されます。

お問い合わせ

PSD2について他に質問がありますか?必要な情報をすばやく入手します。