Forum pytań & odpowiedzi PSD2

Przeszukuj ponad 40 pytań na tematy takie jak uwierzytelnianie, bezpieczeństwo aplikacji mobilnych z łączeniem dynamicznym i nie tylko

Jakie są kary, jeśli do listopada 2018 r. dostawca usług płatniczych nie zastosuje się do nowych regulacyjnych standardów technicznych RTS?

PSD2 to europejska dyrektywa, którą muszą przyjąć wszystkie państwa członkowskie UE. Dostawcy usług płatniczych muszą spełniać wymogi PSD2, aby zostać prawnie uznanymi za dostawców usług płatniczych posiadających prawo do świadczenia usług w UE.

Czy Europejski Urząd Nadzoru Bankowego opublikuje przewodnik po ocenie regulacyjnych standardów technicznych dotyczący silnego uwierzytelniania klienta i CSC podobny do przewodnika Europejskiego Urzędu Nadzoru Bankowego opublikowanego w 2014 r.?

Nie mamy informacji, które potwierdzałyby lub zaprzeczały, że EUNB wydałby podobny przewodnik po ocenie.

Czy SMS jest zgodny z PSD2?

Jednym z celów EUNB w jego regulacyjnych standardach technicznych było zachowanie neutralności technologicznej, aby zapewnić jak najwięcej miejsca dla innowacji. Wyzwaniem było to, aby określane wymagania nie były zbyt ograniczające. Ostatecznie żadna konkretna technologia nie jest zakazana przez regulacyjne standardy techniczne, jednak niektóre z istniejących praktyk nie będą już w pełni zgodne z wymogami SCA. Można powiedzieć, że SMS może być postrzegany jako element posiadania, ponieważ zazwyczaj może być odczytany tylko przez docelowego odbiorcę wiadomości SMS. Tak więc teoretycznie SMS spełnia wymóg elementu posiadania, a zatem może być wykorzystywany jako element konstrukcyjny rozwiązania do podpisywania transakcji.

Aby spełnić wymagania Połączenia Dynamicznego, wiadomość SMS musi zawierać, oprócz kodu uwierzytelniającego, informacje o płatności, tj. kwotę pieniędzy oraz informacje o odbiorcy. Wymogi dotyczące Połączenia Dynamicznego wskazują również, że poufność i integralność informacji o płatnościach musi być chroniona Może to oznaczać, że informacje dotyczące płatności muszą być szyfrowane. Jednak odszyfrowanie treści wiadomości SMS wymagałoby aplikacji na karcie SIM telefonu komórkowego lub na samym telefonie, co nie jest praktyczne.

Ostatecznie korzystanie z wiadomości SMS oznacza wysoki poziom bezpieczeństwa urządzenia użytkownika, ochronę przed oszustwami związanymi z zamianą karty SIM, ochronę przed ewentualnym przechwyceniem i niewłaściwym wykorzystaniem wiadomości SMS. W rzeczywistości są to dziś bardzo trudne wyzwania. Różne właściwe organy mają obecnie odmienne opinie na temat korzystania z SMS-ów. Niektóre władze zniechęcają do korzystania z SMS-ów, podczas gdy inne na to pozwalają. Monitorujemy te opinie i będziemy uaktualniać to FAQ, gdy pojawi się jednoznaczna decyzja.

Czy dostęp mobilny i token mogą być liczone jako dwa kanały i być zgodne z PSD2?

Zgodnie z PSD2, mechanizm uwierzytelniania musi być skonstruowany z dwóch z trzech możliwych elementów uwierzytelniania, tj. czegoś, co posiada tylko użytkownik, czegoś, co tylko użytkownik wie, i czegoś, czym tylko użytkownik jest.

Kiedy użyliby Państwo kodu uwierzytelniającego? Czy uważają to Państwo za drugi czynnik?

Kod uwierzytelniający musi być zawsze używany do uwierzytelnienia użytkownika. Kod uwierzytelniający musi być wygenerowany przez mechanizm uwierzytelniający, który jest skonstruowany z dwóch z trzech możliwych elementów uwierzytelniających, tj. czegoś, co posiada tylko użytkownik, czegoś, co tylko użytkownik wie, i czegoś, czym tylko użytkownik jest.

Czy bezpieczny protokół 3D dla kart jest wystarczający dla SCA, czy też jest on obowiązkowy?

3D Secure jest tak naprawdę protokołem, który może być używany przez dostawców usług płatniczych do budowy rozwiązania spełniającego wymagania SCA dla transakcji płatniczych realizowanych w oparciu o kartę.

Jaką kategorię 3 elementów SCA można przekazać do hasła jednorazowego (OTP) przez SMS? Czy to wiedza czy posiadanie? Czy to wiedza czy posiadanie?

Użytkownik otrzymuje wiadomość SMS zasadniczo na prywatny telefon, więc byłby to element posiadania.

Czy można prosić o sprecyzowanie zakresu PSD2? Czy są to tylko płatności internetowe (oparte na przeglądarce internetowej)? Jeśli nie, to co jeszcze?

PSD2 obejmuje płatności za pomocą przeglądarki i telefonu komórkowego.

Czy mogą Państwo powiedzieć nam więcej o tym, jak wdrażają Państwo analizę zachowań? Czy jest to rozszerzenie DP4APPS SDK?

Uwierzytelnianie behawioralne OneSpan jest rozszerzeniem pakietu OneSpan Mobile Security Suite. Uwierzytelnianie behawioralne pozwala nie tylko na dokładnie i płynne udowodnienie tożsamości użytkownika, a także dostrzec konkretne zachowania, np. ataki botów.  

Klienci OneSpan Mobile Security Suite mogą wykorzystać dotychczasowe wdrożenie, dodając jedynie nowe, niezbędne komponenty rozwiązania. Aby osiągnąć najlepsze połączenie bezpieczeństwa i przyjazności dla użytkownika, ważne jest dziś połączenie wszystkich trzech elementów:

  1. Bezpieczeństwa aplikacji mobilnych z gromadzeniem danych z urządzeń klienckich
  2. Struktura uwierzytelniania wieloczynnikowego i biometrycznego oraz bezpieczny kanał do bezpiecznej komunikacji
  3. Oszustwa i oprogramowanie do analizy ryzyka służące do analizy danych wejściowych od użytkowników, urządzeń, zachowań i podejmowania decyzji w czasie rzeczywistym w wielu kanałach.

 

 

Czy istnieją jakieś wytyczne dotyczące tego, czy walidacja przy użyciu danych biometrycznych powinna odbywać się po stronie serwera, czy po stronie klienta?

Regulacyjne normy techniczne (RTS) dotyczące silnego uwierzytelniania klienta nie określają, czy weryfikacja biometryczna musi być przeprowadzana po stronie klienta czy po stronie serwera. Obie opcje są więc dozwolone.

Czy Vasco otrzymało od Europejskiego Banku Centralnego formalne zapewnienia dotyczące zgodności ich tokenów z regulacyjnymi normami technicznymi PSD2?

Dodatkowo nie istnieje żaden formalny program certyfikacji dla rozwiązań silnego uwierzytelniania w ramach PSD2. W związku z tym firma OneSpan nie może uzyskać formalnej gwarancji. Jednakże, OneSpan & omawia zgodność swoich produktów w sposób nieformalny z właściwymi organami, aby upewnić się, że interpretujemy prawidłowo regulacyjne normy techniczne i że nasze produkty są zgodne z wymogami.

Czy każdy model tokena (np. DP310) ma być oznaczony znakiem zgodności z PSD2?

OneSpan obecnie nie planuje tego robić. Dodatkowo nie istnieje żaden formalny program certyfikacji dla rozwiązań silnego uwierzytelniania w ramach PSD2.

Czy urządzenia Vasco do uwierzytelniania za pomocą pin-padów są zgodne ze sprzętem?

Wymogi dotyczące dynamicznego łączenia w regulacyjnych normach technicznych stanowią, że kod uwierzytelniający musi być obliczany na podstawie określonych informacji o transakcji, w tym kwoty pieniężnej i informacji o odbiorcy (np. numeru rachunku bankowego odbiorcy).

Dodatkowo, płatnik musi zostać poinformowany o tych informacjach dotyczących transakcji. Ostatecznie, poufność, integralność i autentyczność informacji dotyczących transakcji musi być stale chroniona. W oparciu o te wymagania, możemy powiedzieć następujące o używaniu urządzeń do uwierzytelniania za pomocą PIN-padów:

  • To urządzenie zapewnia bardzo wysoki poziom bezpieczeństwa elementów posiadania i wiedzy level.
  • To urządzenie umożliwia użytkownikowi końcowemu wprowadzenie danych dotyczących kwoty i odbiorcy płatności oraz włączenie ich do generowania unikalnego kodu uwierzytelniającego.
  • Użytkownik jest świadomy działań podejmowanych przy użyciu takiego urządzenia. Dlatego też sprzętowy klucz cyfrowy Digipass z PIN-padem, jeśli jest używany w trybie podpisywania danych transakcyjnych, jest zgodny z wymogami dynamicznego łączenia.

Czy połączenie dynamiczne jest takie samo jak podpisywanie transakcji?

Tak, jest. Termin jest używany przez PSD2 i regulacyjne normy techniczne na SCA.

Czy to oznacza, że Vasco dostarcza połączenie dynamiczne? Nie jest to inny podmiot, taki jak dostawca usług płatniczych?

Do obowiązków dostawcy usług płatniczych należy przeprowadzenie silnego uwierzytelnienia swoich użytkowników. OneSpan może dostarczyć produkty i usługi dostawcy usług płatniczych do przeprowadzenia silnego uwierzytelnienia.

Regulacyjne normy techniczne wymagają rozdzielenia kanałów na aplikację, która będzie korzystać z hasła jednorazowego i transmisji hasła jednorazowego. Jak widzisz zgodność z 1AA?

Ostateczny projekt regulacyjnych normy technicznych nie wymaga już segregacji kanałów. Jak wskazano w uwagach zawartych w ostatecznym projekcie regulacyjnych normy technicznych, język ten został usunięty z projektu regulacyjnych normy technicznych, ponieważ był on mylący.

W jaki sposób spełniają Państwo wymóg określony w art. 2 ust. 2 lit. A), gdy klient dokonuje kilku płatności na rzecz różnych odbiorców?

W przypadku płatności zbiorczych kod uwierzytelniający musi być obliczony na podstawie łącznej kwoty wszystkich płatności łącznie i na podstawie numerów rachunków wszystkich beneficjentów.

Czy Vasco posiada rozwiązania do generowania połączeń dynamicznych w przypadkach, gdy klienci nie chcą używać smartfonów?

Obecnie OneSpan dostarcza rozwiązania uwierzytelniające do ponad 2000 banków na całym świecie, z różnymi przypadkami użycia, potrzebami biznesowymi, grupami użytkowników i wymogami regulacyjnymi. Jest to możliwe, ponieważ OneSpan oferuje bardzo szeroką gamę rozwiązań, które mogą zaspokoić wszystkie możliwe potrzeby.  

Wymaga dokładnego wprowadzania danych przez użytkownika, a jedynie zatwierdzenia przez klienta i wprowadzenia krótkiego kodu PIN. Badania akceptacji użytkowników przeprowadzone przez klientów OneSpan wykazują bardzo wysoki wskaźnik akceptacji i istotny spadek zgłoszeń do działu pomocy od użytkowników przechodzących na tę technologię.

W przypadku uwierzytelniania opartego na wiadomości SMS, w przypadku gdy wykorzystywany jest proces 3DS, gdy ACS generuje OTP i rozsyła do zarejestrowanego numeru telefonu komórkowego posiadacza karty, czy nadal musimy podawać szczegóły płatności

Nasza interpretacja wymogów dotyczących połączenia dynamicznego w ostatecznym projekcie RTS jest rzeczywiście taka, że informacje o płatności muszą być zawarte w wiadomości SMS w celu uwierzytelnienia płatności.

Dysponujemy sprzętowym kluczem cyfrowym Digipass 275 z 5 numerami, który może być wykorzystany jako odpowiedź na wyzwania związane z połączeniem dynamicznym. Czy jest to zgodne z połączeniem dynamicznym?

Jest to najprawdopodobniej zgodne z ostatecznym projektem regulacyjnych standardów technicznych.

Czy OneSpan go 6 Digipass jest zgodny z regulacyjnymi standardami technicznymi w odniesieniu do wymogu dynamicznego łączenia w przypadku płatności o dużej wartości?

Ogólnie rzecz biorąc, Go-tokeny nie generują kodów uwierzytelniających nad informacjami o płatności (takimi jak kwota pieniędzy). Z tego powodu nie mogą być one stosowane do połączenia dynamicznego, które jest zawsze wymagane dla płatności powyżej 500 euro.

W jaki sposób rozwiązania sprzętowe, takie jak tokeny hasła jednorazowego, zapewniają połączenie dynamiczne z pojedynczymi transakcjami?

Ogólnie rzecz biorąc, użytkownicy mogą wprowadzać do tokena informacje o płatności, takie jak kwota pieniędzy i numer konta beneficjenta. Może się to odbywać za pomocą klawiatury tokena, kabla USB lub poprzez skanowanie kodu wizualnego. Token może następnie wykorzystać informacje o płatności do obliczenia kodu uwierzytelniającego zgodnie z wymogami połączenia dynamicznego.

Czy użytkownik usług płatniczych musi widzieć szczegóły płatności (kwota i konto) na tokenie? To, co widzisz, jest tym, co podpisujesz?

Zobacz, co podpisujesz na tokenach może być użyte do spełnienia wymogu połączenia dynamicznego, ale nie jest to jedyna opcja. Wyświetlanie danych w aplikacji mobilnej jest również bardzo prawdopodobne do zaakceptowania.

Czy mogą Państwo sprecyzować kwestię możliwości podpisywania/autoryzacji wielu transakcji? Czy połączenie dynamiczne pozwala na wiele transakcji / beneficjentów?

Końcowy projekt regulacyjnych standardów technicznych stanowi, że w przypadku płatności masowych kod uwierzytelniający musi być obliczony na podstawie całkowitej kwoty płatności, jak również informacji o beneficjentach poszczególnych płatności.

Czy połączenie dynamiczne jest nadal konieczne w przypadku płatności poniżej 30 euro w przypadku wdrożenia rozwiązania monitorowania transakcji?

Nie, połączenie dynamiczne nie jest wymagane w przypadku płatności poniżej 30 EUR, o ile skumulowana kwota lub liczba poprzednich elektronicznych transakcji płatniczych na odległość zainicjowanych przez płatnika od ostatniego zastosowania silnego uwierzytelnienia klienta nie przekracza, odpowiednio, 100 EUR lub pięciu kolejnych pojedynczych elektronicznych transakcji płatniczych na odległość.

Czy w przypadku zastosowania wyjątków, prawdą jest, że SCA w sumie może być pominięte, a nie tylko połączenie dynamiczne?

Tak jest według naszego zrozumienia.

Jaka jest opinia Vasco na temat regulacyjnych standardów technicznych dla bankowości korporacyjnej?

RTS w kwestii SCA zapewnia minimalne wymogi bezpieczeństwa dla uwierzytelniania użytkowników. W przypadku bankowości korporacyjnej, użytkownicy zazwyczaj dokonują płatności stosunkowo wysokich kwot. Dlatego oczekujemy, że banki będą chronić swoje aplikacje bankowości korporacyjnej za pomocą mechanizmów uwierzytelniania silniejszych niż wymagane przez regulacyjne standardy techniczne w sprawie SCA.

Jakie są wymagania, jeśli klient ma już listę beneficjentów certyfikowanych przez SA, ale musi dokonać przelewu o innej wartości?

Jak wskazano w art. 13 ostatecznego projektu regulacyjnych standardów technicznych, silne uwierzytelnianie klientów (SCA) nie jest wymagane w przypadku płatności na rzecz zaufanych beneficjentów. Szczegółowe warunki można znaleźć w samym artykule.

Regulacyjne standardy techniczne umożliwiają uwierzytelnianie jednoczynnikowe dopiero po pierwszej próbie. 2FA powinno być stosowane co 9 dni. Jest to coś innego niż to, co było zalecane przeszłości. Mogliby Państwo wyjaśnić?

Artykuł 10 ostatecznej wersji projektu regulacyjnych standardów technicznych stanowi, że dostawcy usług płatniczych nie są zwolnieni ze stosowania silnego uwierzytelniania klienta wobec płatników, którzy chcą uzyskać informacje o swoim saldzie lub zapoznać się z historią płatności z ostatnich 90 dni, jeżeli spełniony jest jeden z poniższych warunków:

  •  
  • Użytkownik usług płatniczych uzyskuje dostęp online do swojej historii płatności z ostatnich 90 dni ust. 1, a silne uwierzytelnienie klienta zostało zastosowane ponad 90 dni temu.

Czy płatności mogą być pobierane z białej listy? Czy jeśli zatwierdzimy miejsce przeznaczenia dla białej listy, a następnie zezwolimy na płatności bez połączenia dynamicznego do tego miejsca, to czy powinno to być wystarczające?

Artykuł 13 ostatecznego projektu regulacyjnych standardów technicznych zezwala dostawcy usług płatniczych na niewykonywanie silnego uwierzytelnienia klienta, jeżeli zleceniodawca inicjuje transakcję płatniczą, w której odbiorca znajduje się na utworzonej wcześniej liście zaufanych beneficjentów. Szczegółowe informacje znajdują się w art. 13.

Czy OneSpan Mobile App Shielding musi być przepakowywany z aplikacją bankowości mobilnej za każdym razem, gdy dokonywana jest aktualizacja wersji?

Są dwie części tego pytania:

  • Za każdym razem, gdy dostawca usług płatniczych ma zamiar wprowadzić swoją aplikację mobilną na rynek aplikacji, aby aplikacja była chroniona należy zastosować ekranowanie aplikacji. Dobrą wiadomością jest to, że ekranowanie aplikacji trwa kilka sekund, a więc nie wpływa na cykle uwalniania aplikacji dostawcy usług płatniczych.
     
  • Ponieważ rozwiązanie OneSpan Mobile App Shielding jest regularnie aktualizowane w celu ochrony przed rozwijającymi się zagrożeniami mobilnymi, zaleca się również, aby dostawca usług płatniczych chronił swoje aplikacje najnowszą wersją, aby zapewnić najwyższy możliwy poziom ochrony.

Czy osłona app obejmuje ochronę przed klonowaniem?

Pakiet OneSpan Mobile Security Suite udostępnia funkcję łączenia urządzeń, która oferuje ochronę przed klonowaniem aplikacji mobilnych.

Potrzebujesz ekranowania aplikacji mobilnych podczas korzystania z rozwiązania SMS? Aplikacja SIM?

Urządzenie przenośne, do którego dociera wiadomość SMS, może również zawierać aplikację do uwierzytelniania (w scenariuszu 1aa lub 2aa), w której należy wprowadzić wiadomość SMS. Ta aplikacja musiałaby być chroniona za pomocą ekranowania aplikacji mobilnych.

Czy są jakieś dodatkowe obawy dotyczące bezpieczeństwa przy wdrażaniu APP2APP vs. push?

Naszym zdaniem są to dwa równie bezpieczne podejścia, które ostatecznie opierają się na tej samej podstawowej technologii bezpiecznego kanału komunikacyjnego. Widzimy, że są one optymalne przy różnych modelach użytkowania. Wiele banków wprowadzi aplikację uwierzytelniającą, która będzie działać w następującej konfiguracji:

Gdy transakcja zostanie zainicjowana wewnątrz aplikacji bankowości mobilnej, zostanie utworzone łącze komunikacyjne App2App w kierunku aplikacji uwierzytelniającej zainstalowanej na tym samym urządzeniu. Ewentualnie można skorzystać z procesu podpisywania przy pomocy skanera optycznego, który daje niemal identyczne doświadczenie użytkownika.

Gdy transakcja zostanie zainicjowana w przeglądarce internetowej z innego urządzenia (komputera lub tabletu), powiadomienie PUSH zostanie wysłane do aplikacji uwierzytelniającej zainstalowanej na urządzeniu mobilnym użytkownika. Alternatywnie, z prawie takim samym doświadczeniem użytkownika, można zastosować optyczny proces skanowania i podpisywania.

 

For App2App z bezpiecznym kanałem komunikacyjnym, wymiana danych pomiędzy aplikacjami odbywa się poprzez backend w szyfrowanym formacie.

Czy widzą Państwo platformę uniwersalną systemu Windows (UWP) i tablety z Windows jako realną platformę rozwiązań dla silnego uwierzytelniania klienta w konfiguracji 2AA lub 1AA? Czy piaskownicowanie różni się od ios/android?

Techniki piaskownicowania Uniwersalnej Platformy Windows (UWP) są podobne do Android i iOS. UWP przyjęła wiele koncepcji z Androida i iOS. Windows 10 Mobile pozwala na uruchamianie tylko aplikacji UWP, więc mechanizmy piaskownicowania są porównywalne z Android i iOS tutaj. Standardowy Windows 10 pozwala na uruchamianie zarówno aplikacji UWP jak i zwykłych aplikacji Windows, więc piaskownicowanie jest mniej wydajne niż w Android czy iOS.

Który z przedstawionych przypadków użycia wydaje się najbardziej prawdopodobny do zastosowania w przypadku transakcji zainicjowanej z TPP APP?

Kiedy użytkownik korzysta z aplikacji TPP, najprawdopodobniej widzimy jeden z trzech następujących przypadków użycia:

  • Powiadomienie PUSH z banku do aplikacji uwierzytelniającej dostarczonej przez instytucję finansową. Nie wymaga to szczególnego połączenia pomiędzy stronami.
     
  • App2App – komunikacja między aplikacją TPP a aplikacją uwierzytelniającą dostarczoną przez instytucję finansową. Wymaga to minimalnej integracji usługi uwierzytelniania między TPP a instytucją finansową. 
     
  • Wbudowane mobilne ramy bezpieczeństwa w aplikację TPP. Oznacza to, że TPP nie będzie polegać na wdrożeniu uwierzytelniania przez instytucję finansową, lecz zapewni swoje własne.

We wszystkich trzech wariantach TPP i instytucje finansowe będą musiały gromadzić dane wejściowe z urządzeń użytkownika i przeprowadzać dogłębną analizę wielu aplikacji, kanałów i punktów końcowych w celu dokonania pełnej oceny ryzyka. Najlepszą opcją jest wdrożenie dedykowanego oprogramowania do analizy ryzyka, takiego jak OneSpan Risk Analytics, które zapewnia:

  •  
  •  
  •  
  •  

Czy w przypadku uwierzytelniania dwuaplikacyjnego, obie aplikacje mobilne muszą korzystać z systemu operacyjnego piaskownicowania i ekranowania aplikacji mobilnych?

Piaskownicowanie jest stosowane przez system operacyjny (np. Android lub iOS) urządzenia mobilnego do każdej aplikacji uruchomionej na urządzeniu. Ekranowanie aplikacji mobilnych powinno być zastosowane do aplikacji uwierzytelniającej.

Czy digipass SDK jest dostępny/zgodny z nativescriptem?

Tak, muszą.

Czy mogliby Państwo omówić bezpieczną komunikację oferowaną przez Digipass dla aplikacji? Co jest używane do jego zabezpieczenia? Co jest wymagane na serwerze?

Funkcjonalność Secure Communications pakietu OneSpan Mobile Security Suite zapewnia możliwość stworzenia bezpiecznego kanału komunikacji pomiędzy aplikacją a serwerem, chroniąc poufność, integralność i autentyczność wszystkich informacji dotyczących płatności. Pakiet OneSpan Mobile Security Suite jest dostarczany wraz z zestawami SDK po stronie klienta i serwera w celu ustanowienia bezpiecznego kanału. W ten sposób dostawcy usług płatniczych mogą łatwo skonfigurować bezpieczny kanał bez konieczności samodzielnego zarządzania jego złożonością.

Jeśli identyfikator sprzętowy, odcisk palca i pin muszą być połączone dla danej aplikacji, to czy istnieje zalecenie dla algorytmu HMAC?

Zalecamy stosowanie standardowych algorytmów HMAC, takich jak HMAC-SHA256 lub HMAC-SHA3.

Czy aby zachować zgodność w sytuacji 2AA, obie aplikacje muszą być chronione przez RASP? A może tylko aplikacja uwierzytelniająca?

Aplikacja uwierzytelniająca musi być chroniona za pomocą ekranowania aplikacji mobilnej. Aplikacja bankowa może być chroniona, ale nie jest to wymagane w ostatecznym projekcie regulacyjnych standardów technicznych.

Jak postrzegacie Państwo wykorzystanie parametrów behawioralnych jako czynników uwierzytelniających?

Tak, widzimy to jako możliwy nieodłączny element. Uwagi Europejskiego Organu Nadzoru Bankowego do ostatecznego projektu regulacyjnych standardów technicznych również wskazują, że jest to możliwe.

Czy OneSpan posiada rozwiązanie umożliwiające wykorzystanie czynnika (dane biometryczne) jako elementu uwierzytelniania?

Tak, OneSpan Mobile Security Suite obsługuje uwierzytelnianie biometryczne w oparciu o odciski palców, skanowanie twarzy i zachowanie użytkownika.

Czy można prosić Państwa o omówienie TRA dla płatności masowych?

W przypadku płatności zbiorczych kod uwierzytelniający dla silnego uwierzytelniania klienta musi być obliczony na podstawie łącznej kwoty wszystkich płatności łącznie i na podstawie numerów rachunków wszystkich beneficjentów. Nie istnieją żadne szczególne przepisy dotyczące TRA w odniesieniu do płatności masowych.

Czy rozwiązanie prewencyjne OneSpan może zebrać wszystkie rodzaje transakcji, w tym: bankowość elektroniczną, karty, punkty sprzedaży, bankowość mobilną, portfele itp?

Tak, OneSpan Risk Analytics może być używany do analizy transakcji dla różnych rodzajów kanałów płatności.

Czy rozwiązanie OneSpan jest rozwiązaniem opartym na chmurze? A jeśli tak, to prywatnie czy publicznie?

OneSpan Risk Analytics jest dostępny zarówno lokalnie, jak i w chmurze. Wersja chmurowa jest obsługiwana przez OneSpan.

Czy OneSpan Risk Analytics jest zgodny z wymogami regulacyjnych standardów technicznych?

Tak, OneSpan Risk Analytics może przeprowadzić analizę ryzyka transakcyjnego zgodnie z wymogami zawartymi w ostatecznej wersji projektu regulacyjnych standardów technicznych.

Czy wszyscy dostawcy usług płatniczych wymagają TRA, nawet jeśli planują wykorzystywać silne uwierzytelnianie klienta do wszystkich transakcji? eśli tak, to jakie jest uzasadnienie tego wymogu?

W istocie, dostawcy usług płatniczych zawsze muszą korzystać z TRA, nawet jeśli korzystają z silnego uwierzytelniania klienta. TRA zapewnia drugą warstwę bezpieczeństwa obok silnego uwierzytelniania klienta. TRA jest przydatna do ochrony przed atakami elementów socjotechnik, w których przeciwnik próbuje przekonać rzeczywistego użytkownika do potwierdzenia płatności za pomocą silnego uwierzytelniania klienta, gdy płatność jest rzeczywiście oszustwem.

Czy dyrektywy lub wytyczne określają pewne uprawnienia dla rozwiązań 2AA i 1AA w przypadku utraty lub kradzieży nośnika fizycznego?

W ostatecznym projekcie regulacyjnych standardów technicznych stwierdza się, że procedura uwierzytelniania powinna zasadniczo obejmować mechanizmy monitorowania transakcji w celu wykrycia prób wykorzystania spersonalizowanych poświadczeń bezpieczeństwa użytkownika usług płatniczych, które zostały utracone, skradzione lub przywłaszczone. Dotyczy to wszystkich rozwiązań w zakresie uwierzytelniania, nie tylko tych z kategorii 2aa lub 1aa.

Skontaktuj się z nami

Czy masz inne pytania dotyczące PSD2? Zdobądź potrzebne informacje, szybko.