PSD2: como realizar a vinculação dinâmica com praticidade e conformidade

Frederik Mennes, 29 de Março de 2018
PSD2: How to Perform Dynamic Linking in a Compliant, Convenient Way

Um dos requisitos mais discutidos das Normas Técnicas Regulamentares (RTS, na sigla em inglês) sobre a Autenticação Forte de Cliente (SCA, na sigla em inglês) e Comunicação Comum e Segura (CSC, na sigla em inglês), segundo a PSD2, é a chamada “vinculação dinâmica” para autenticar uma transação financeira.

O requisito de vinculação dinâmica possui três partes. Primeiro, é preciso que um pagador autentique uma transação financeira pelo cálculo de um código de autenticação de acordo com determinados dados da transação (pelo menos, o valor e algumas informações que identifiquem o beneficiário), de modo que o código de autenticação seja vinculado a esses dados. Em segundo lugar, a confidencialidade e integridade dos dados da transação precisam ser protegidas durante todo o processo de autenticação. Em terceiro lugar, o usuário do internet banking sempre deve estar ciente dos dados da transação que ele autentica. Esse requisito é frequentemente chamado de “o que você é o que você assina” (WYSIWYS, na sigla em inglês). Isso significa que simplesmente mostrar um hash dos dados de transação ou um identificador da sessão não é suficiente.

 

Os legisladores europeus que desenvolveram a PSD2 introduziram o requisito de vinculação dinâmica para combater ataques man-in-the-middle, no qual um criminoso altera os detalhes de uma transação após o pagador a ter autenticado. Tal ataque pode modificar uma transferência legítima de 100 euros para um amigo em uma transferência indesejada de 1.000 euros para um impostor, sem o pagador legítimo notar. O requisito WYSIWYS busca evitar ataques de engenharia social, nos quais um pagador é convencido a autenticar dados que ele não entende e que, mais tarde, são descobertos como sendo uma transação fraudulenta. Assim, a PSD2 dá um passo além do que as Diretrizes Finais da EBA no quesito Segurança de Pagamentos pela Internet, que atualmente vigora na maioria dos estados membros da UE e não requer a vinculação dinâmica.

Para bancos, a conformidade com esses requisitos da PSD2 traz inúmeras questões. Como um banco pode implementar a vinculação dinâmica no aplicativo de internet banking ou para dispositivos móveis com praticidade para o cliente? Será que o SMS pode ser usado para implementar a vinculação dinâmica? E as transações em lote?

Vamos destrinchar esses tópicos.

Vinculação dinâmica prática

Imagine uma situação em que um usuário inicia uma transação financeira usando um aplicativo de internet banking em um navegador para computador, um token de hardware exclusivo ou um aplicativo bancário para dispositivos móveis para autenticar a transação.

Um jeito prático de implementar a vinculação dinâmica é o uso de códigos QR coloridos ou códigos Cronto. Quando o usuário quer iniciar uma transação, ele:

  1. Digita os dados da transação no aplicativo de internet banking no navegador. Com base nos dados dessa transação, o servidor bancário gera um código colorido, representando os dados criptografados da transação e os exibe no navegador.
     
  2. Digitaliza o código colorido usando a câmera do token de hardware ou do dispositivo móvel. O dispositivo decodifica o código colorido, descriptografa os dados da transação e mostra os dados da transação em texto simples na tela para o cliente.
     
  3. Autentica para o dispositivo dele (por exemplo, a chave no PIN do dispositivo), e ele calcula o código de autenticação segundo os dados da transação, usando uma chave criptográfica armazenada no dispositivo.

Etapas no método CRONTO

Essa abordagem atende a todos os requisitos de vinculação dinâmica descritos acima e, além disso, não exige que o usuário digite os dados da transação no dispositivo.

Como alternativa, apenas para dispositivos móveis, é possível transferir os dados da transação do servidor bancário para o aplicativo do banco para dispositivos móveis usando uma mensagem de notificação push criptografada. Veja como funciona:

  • O usuário recebe uma mensagem de notificação push no celular.
  • Ao aceitá-la, o aplicativo do banco para dispositivos móveis abre e mostra os dados da transação para o usuário.
  • O usuário autentica usando a impressão digital ou o reconhecimento facial, por exemplo.
  • O dispositivo calcula o código de autenticação pelos dados da transação.
  • O aplicativo do banco para dispositivos móveis envia o código de autenticação de volta para o cliente pela Internet.

Essa abordagem também atende aos requisitos de vinculação dinâmica e não exige que o usuário digite os dados no dispositivo móvel.

Transações em lote

O requisito de vinculação dinâmica também vale para transações em lote ou pagamentos em massa, em que várias transações para beneficiários diferentes são combinadas. Mais especificamente, as RTS finais estabelecem que, para transações em lote, o código de autenticação deve ser específico para o valor total em dinheiro de todas as transações combinadas e para os diversos beneficiários.

Se o número de beneficiários for grande, é inviável mostrar todos eles para o usuário validar. Assim, as seguintes abordagens podem ser usadas para equilibrar a segurança e a praticidade para o usuário:

  1. Mostre ao usuário os beneficiários correspondentes às transações de maior risco.
     
  2. Mostre ao usuário beneficiários selecionados aleatoriamente.
     
  3. Não mostre ao usuário beneficiários na lista de permissões.

De qualquer forma, é recomendado incluir uma hash de todas as transações no cálculo do código de autenticação para proteger a integridade de todas as transações.

PSD2: quais soluções fortes de autenticação e transação cumprem?
WHITE PAPER

PSD2: quais soluções fortes de autenticação e transação cumprem?

Descubra os requisitos mais importantes do RTS final e quais soluções de autenticação têm mais probabilidade de atender aos requisitos.

Baixar Agora

Vinculação dinâmica usando SMS?

Também há o fato de que a vinculação dinâmica pode ser implementada com SMS. Nesse caso, o usuário recebe uma mensagem de SMS com os dados da transação e o código de autenticação calculado de acordo com os dados da transação.

Dado o requisito para proteger a confidencialidade e integridade dos dados da transação, isso significaria que os dados da transação na mensagem SMS precisariam ser criptografados. Não é claro como a mensagem poderia ser criptografada no dispositivo móvel sem usar um aplicativo específico. Precisar de um aplicativo para dispositivos móveis para processar mensagens SMS enfraquece um dos principais benefícios do SMS.

Outras informações

Em suma, os bancos não devem abordar a PSD2 apenas do ponto de vista de conformidade. É importante considerar como otimizar a experiência de usuário por meio de procedimentos de vinculação dinâmica e autenticação práticos e eficazes. Para mais informações, baixe: PSD2: quais soluções eficazes de monitoramento de transações e autenticações são conformes?

 

Frederik lidera o Security Competence Center da OneSpan, onde é responsável pelos aspectos de segurança dos produtos e infraestrutura da OneSpan. Ele possui um conhecimento profundo de autenticação, gerenciamento de identidades, tecnologias regulatórias e de segurança para aplicativos móveis e em