Autenticação de software: aplicativos modernos e tecnologia são um extra para a fidelidade do cliente, diz o Banco de Chipre

Jeannine Mulliner, 16 de Abril de 2019
Bank of Cyprus app

Esta é a história de como o Banco de Chipre atendeu aos requisitos de SCA da PSD2 e melhorou a experiência de cliente com autenticação em dispositivos móveis integrada e vinculação dinâmica conforme a PSD2 (em outras palavras, validação de transação ou autorização de transação). Este blog é um resumo do estudo de caso completo. Leia o estudo de caso para ver detalhes e insights do banco, bem como diagramas de fluxo de trabalho e vídeos demonstrativos.  

O Banco de Chipre distribuiu tokens de hardware Digipass® para seus clientes por anos. No entanto, à medida que os clientes passam a usar transações móveis, o banco implementou a autenticação de software e a senha de uso único (OTP) específica de transações, em conformidade com a Diretiva de Serviços de Pagamento (PSD2) revisada.

Em função de seus autenticadores de hardware, o Banco de Chipre já estava conforme com o requisito de autenticação de dois fatores (2FA) para acesso às contas. O banco, porém, ainda não tinha a capacidade de autenticação de software. Com cerca de 50% de todas as transações de serviços bancários acontecendo por meio de dispositivos móveis, isso se tornou uma necessidade imediata. O banco teve de encontrar um mecanismo de autenticação mais fácil e mais prático, onde os clientes não precisassem mais carregar seus dispositivos de hardware por aí com eles.

Banco de Chipre: o desafio

O desafio para o banco não foi substituir os dispositivos de hardware por autenticação de software. A dúvida, de fato, era como estar conforme a um dos requisitos chave da PSD2: a vinculação dinâmica. O requisito de realizar vinculação dinâmica (também conhecida como validação de transação ou autorização de transação) para autenticar uma transação financeira é um dos requisitos mais discutidos das Normas técnicas regulamentares (RTS) da PSD2 sobre Autenticação Forte de Cliente (SCA) e Comunicação Comum e Segura (CSC). Como a RTS independe da tecnologia, ela não descreve um método específico para a implementação de vinculação dinâmica. Porém, a RTS especifica que, no caso de uma transação de pagamento, o código de autenticação deve ser vinculado dinamicamente ao valor e ao beneficiário, o que significa que esse código deve mudar se o valor ou o beneficiário mudar durante a transação. Além disso, as informações de pagamento precisam ser trocadas por meio de um canal seguro e mostradas ao usuário claramente.

A equipe sabia que precisava tratar da PSD2 não apenas do ponto de vista da conformidade — eles também precisavam otimizar a experiência de usuário. O banco queria evitar um cenário onde clientes que privilegiavam o uso do dispositivo móvel tivessem que alternar entre o aplicativo do Banco de Chipre e um aplicativo autenticador separado.

“Desde o dia em que redigimos as especificações funcionais com a cooperação do departamento de TI do banco e a orientação de nosso Departamento de Segurança da Informação, bem como de outros departamentos do banco, o requisito mais importante era de que o autenticador de software fosse totalmente integrado com o aplicativo móvel do Banco de Chipre”, diz Toula Efthymiadou. Na divisão dos Canais de Serviço Digital do banco, Toula lidera o Departamento de Soluções Empresariais dos Canais de Serviço Digital. Ela gerencia o desenvolvimento de empresas para os canais de serviços bancários online, aplicativo móvel e caixa eletrônico, além de ser responsável pela tecnologia de autenticação de clientes.

“Oferecer uma experiência de cliente perfeita foi a chave”, ela explica. “Foi fundamental que a conformidade com a PSD2 não impusesse um peso para o cliente”.

ESTUDO DE CASO

Estudo de caso do Bank of Cyprus

Aprenda como o Banco de Chipre implementou autenticação de software e códigos de acesso únicos específicos de transação (OTP) para cumprir com o PSD2.

Baixar Agora

Banco de Chipre: a solução

Após diversas consultas sobre as RTS da PSD2 e demonstrações que confirmaram que as soluções da OneSpan estavam em conformidade com os requisitos da norma, o Banco de Chipre escolheu a autenticação por software da OneSpan, bem como a opção de notificações push e validação de transação visual Cronto® – todas integradas pelos SDKs na OneSpan Mobile Security Suite.

Para acesso às contas e vinculação dinâmica, o banco decidiu apresentar a autenticação de software diretamente no aplicativo móvel de serviços bancários do Banco de Chipre. Para clientes que não usavam o aplicativo móvel de serviços bancários, mas que ainda faziam pagamentos online, o banco ofereceu a capacidade de receber o código de autenticação por senha de uso único (OTP) por SMS (online) ou escanear um código do Cronto (offline).

Cronto, da OneSpan

A tecnologia Cronto usa um criptograma colorido que representa os dados da transação criptografados. Quando o usuário quer iniciar uma transação, ele:

  1. Insere os dados do pagamento no aplicativo de serviços bancários online no navegador. O servidor de serviços bancários, então, gera um criptograma colorido dos dados de pagamento e os exibe no navegador.
  2. Escaneia o criptograma usando a câmera de seu dispositivo móvel. O dispositivo decodifica o criptograma, descriptografa os dados do pagamento e os exibe para o usuário como texto simples.
  3. É feita a autenticação de seu dispositivo e ele calcula o código de autenticação relativo aos dados de pagamento usando uma chave criptográfica armazenada no dispositivo. (Nota: diferente de outras soluções, um criptograma Cronto só pode ser lido por um dispositivo autorizado de um usuário autorizado. O código não pode ser lido por qualquer outro dispositivo.)

Essa abordagem atende a todos os requisitos de vinculação dinâmica descritos nas Normas Técnicas Regulamentares PSD2.

Disponível em projeto piloto em 3 meses

O banco terceirizou a integração com seu aplicativo móvel de serviços bancários e a equipe de TI do banco lidou com todo o resto.

“Antecipávamos uma integração demorada, pois, do lado empresarial, compusemos um documento de especificações funcionais de 100 páginas. Ele era muito detalhado e explicava passo a passo exatamente o que queríamos quando o cliente tivesse a experiência com cada cenário”, diz Toula.

A equipe de TI priorizou esse projeto como alto e começou a trabalhar nele intensamente. Como resultado, o projeto foi ao ar (como um piloto) em três meses (de outubro de 2016 a janeiro de 2017). “Três meses do início da implementação até ser lançado. Ficamos impressionados com a rapidez”.

como autenticar um pagamento feito pelo aplicativo móvel dos bancos

Adesão do cliente de 30 a 40% até o momento

“O uso da autenticação integrada é de 30 a 40% até agora. As pessoas que o compraram não querem voltar a usar um dispositivo de hardware. Assim que experimentam a autenticação por software, elas se sentem muito confortáveis. Ele é perfeito e muito fácil de usar”.

Embora o banco recomende que os clientes substituam seus tokens de hardware pela autenticação por software, muitas transações ainda são validadas (ou seja, vinculadas dinamicamente) por meio da OTP de autenticadores de hardware. “O uso do aplicativo móvel está ficando mais comum, mas os primeiros clientes a usar o método de software são o segmento que conhece tecnologias”, diz Toula. “O feedback do cliente por meio do centro de atendimento de chamadas mostra que indivíduos privados preferem a experiência de autenticação por software integrada. Em geral, em termos de maior adesão, a autenticação por software é a preferida, seguida pelo código do Cronto”.

Como benefício adicional, os clientes percebem que o Banco de Chipre é moderno, pois está permitindo e habilitando tecnologias como o Touch ID e o FaceID. “São coisas como ter o Touch ID ou o FaceID no dispositivo que reforçam que o Banco de Chipre é um líder de mercado. A autenticação por software também aumenta essa percepção. Quando a apresentamos, recebemos comentários positivos dos clientes. Ter aplicativos modernos e tecnologia são um extra para a fidelidade do cliente”.

Há 20 anos, Jeannine escreve sobre tecnologia e como aplicá-la para resolver os desafios do dia a dia. Como diretora de conteúdo da OneSpan, Jeannine lidera uma equipe de redatores e desenvolvedores de conteúdo focados em ajudar instituições financeiras e outras organizações a obter valor com