Вторая Директива о платежных услугах (PSD2) ввела набор юридических требований для надежной аутентификации клиентов (SCA) для поставщиков платежных сервисов и решений для цифрового банкинга. Конечной целью было защитить клиентов от мошенничества и ввести дополнительный уровень безопасности для онлайн-транзакций. В действительности это означает, что надежная аутентификация клиентов SCA должна всегда, когда клиент подключается к своему интернет-банкингу, перечисляет деньги или делает любые другие действия, которые могут быть предметом мошенничества.
Когда SCA вступает в силу?
Первоначальный срок для внедрения SCA в Европейской экономической зоне (EEA) был сентябрь 2019 года. Тем не менее, незадолго до срока регулятор Великобритании (FCA) объявил, что введение SCA откладывается и будет осуществляться поэтапно. Срок реализации для внедрения решения отложился на 18 месяцев и должен был закончиться в марте 2021 года. Дополнительно, принимая во внимание ситуацию из-за Covid-19, регулятор дал отсрочку еще на шесть месяцев, назначив новый срок – 14 сентября 2021 года. До конца этого срока FCA не будет принимать никаких мер для проверки компаний на соответствие требованиям SCA.
Точно так же срок для внедрения SCA для всей Европы был продлен и должен вступить в силу 31 декабря 2020 года. Пока еще не известно планирует ли Европейское банковское управление (EBA) менять сроки из-за ситуации, связанной с Covid-19.
Типы мобильных приложений для надежной аутентификации клиентов (SCA)
1. Банковское приложение
В цифровом банкинге мобильное приложение является одним из наиболее распространенных решений для аутентификации и авторизации клиентов. Обычно используются сгенерированные коды или пароли для авторизации, но в некоторых случаях этот код можно заменить биометрическими данными, такими как отпечатки пальцев или лицо.
Такое решение настраивается локально. Поставщик решения подключает авторизованного пользователя к конкретному устройству, чтобы избежать клонирования или повторного использования криптографических ключей. Устройство может иметь зарегистрированный номер мобильного телефона с возможностью получать SMS. Однако мы должны учитывать, что SMS – не самый безопасный способ аутентификации, потому что мошенники могут перехватить SMS или подделать SIM-карту.
Регистрация устройства означает, что цифровые банки не только повышают безопасность, но и отвечают требованиям по использованию нескольких факторов SCA. Например, push-уведомления используются для информирования клиента о запросе авторизации или аутентификации.
Что касается защиты, то могут использоваться различные методы для безопасности программного обеспечения, например, для реализации мер безопасности можно использовать доверенную среду выполнения (TEE).
Одно приложение, объединяющее SCA и онлайн-банкинг
Такое приложение цифрового банкинга объединяет функциональность онлайн-банкинга и идентификации с помощью программного обеспечения SDK, поставляемого сторонними поставщиками.
Ключевые особенности:
• Простое и интуитивно понятное приложение для повседневных финансовых операций;
• Широко используется;
• Поддержка широкого спектра технологий безопасности (например, одноразовый пароль, биометрия, смарт-карты и т. д.);
• Доступна только на смартфонах.
Отдельное приложение для аутентификации
Многие цифровые банки используют white-label приложения для аутентификации как отдельное приложение. Функциональность банковского приложения включает в себя обзор банковского счета, перевод средств и т.д. Приложение может быть защищено паролем или отпечатками пальцев. Тем временем приложение для аутентификации проверяет такие данные, как сумма транзакции и получатель, и генерирует номер аутентификации для каждой транзакции.
Ключевые особенности:
• Два простых в использовании приложения;
• Широко используется в цифровом банкинге;
• Безопасное решение с двумя отдельными каналами для аутентификации;
• Поддержка различных технологий безопасности (например, одноразовый пароль, биометрия, смарт-карты);
• Доступны только на смартфонах.
Например, Macrobank OTP / MAC Generator – приложение, генерирующее одноразовые пароли. В отличие от обычных аппаратных токенов, таких как digipass, сгенерированный пароль для платежной подписи учитывает данные платежа, что обеспечивает дополнительный контроль безопасности платежа. Решение не зависит от мобильного оператора, не требует SIM-карты и сотовой связи, не требует доступа к Wi-Fi-сети.
2. Банковское приложение, развернутое в TEE
Доверенная среда выполнения (TEE) необходима центральным процессорам устройства для защиты операционной системы, которая используется для запуска приложения и защиты конфиденциальных данных. В этом случае безопасная операционная система и обычная операционная система работают одновременно. Многие действия в приложении выполняются через основную операционную систему. Приложение использует TEE, чтобы гарантировать, что конфиденциальная информация хранится и обрабатывается в безопасных и физически изолированных условиях.
Ключевые особенности:
• Простое в использовании приложение для конечных пользователей;
• TEE отделяет аппаратную среду от остальной части устройства, что гарантирует высокий уровень защиты;
• Учетные данные безопасности обрабатываются в TEE и защищены с помощью оборудования;
• Не все устройства поддерживают TEE.
3. Решение Mobile Identity
Mobile Connect, глобальный открытый стандарт, поддерживаемый GSMA, обеспечивает общие функции входа в систему для онлайн-банкинга по всему миру. В настоящее время 24 компании являются поставщиками и соответствуют требованиям Mobile Connect. На практике Mobile Connect предоставляет стандартный для отрасли API, основанный на Open ID Connect.
Mobile Identity как вторичная аутентификация
Mobile Identity может действовать как средство аутентификации для второго фактора. Цифровые банки обычно предоставляют первичный фактор (например, идентификатор пользователя, пароль или приложение), а решение Mobile Identity предоставляет второй фактор. В таком случае безопасная среда выполнения (SEE) зависит от безопасности SIM-карты или устройства-смартфона.
Есть отдельный канал для аутентификации мобильного оператора и аутентификации первичного банка. Mobile Identity разработан таким образом, что он может использовать различные типы аутентификаторов, включая SIM-карту с приложением (приложение SIM-карты), приложение для смартфона (автономное или универсальное приложение) или аутентификацию в мобильной сети.
Ключевые особенности:
• Совместимость с разными типами смартфонов;
• Быстрая и простая онлайн-аутентификация с использованием ID пароля;
• Необходимо партнерство с операторами мобильной связи;
• Аутентификация в мобильной сети использует мобильную сеть для обмена подписями. Никакие зашифрованные сообщения, учетные данные или другие детали, такие как PIN-код и OTP, не передаются по воздуху.
• Разделение ответственности и безопасности между банком и оператором мобильной связи;
• Возможность отключить функцию Mobile Identity и заблокировать второй фактор в случае утери или кражи устройства.
Mobile Identity как двухфакторная аутентификация
В случае SIM апплета. Аутентификатор находится в SIM-карте. Оператор мобильной связи доставляет пользователю невидимое SMS-сообщение, и пользователь вводит PIN-код Mobile Connect. На следующем этапе сравнение PIN-кода выполняется локально. В случае аутентификатора приложения для смартфона. Аутентификатор приложения для смартфона подключен к мобильной сети и оператор мобильной сети может проверить целостность привязанной SIM-карты, устройства и пользователя. SDK Mobile Connect не начнет работать, пока целостность не будет подтверждена.
Ключевые особенности:
• Совместимость с разными типами смартфонов;
• Полноценное банковское приложение со встроенным SDK – дополнительное приложение не требуется;
• Банковские услуги и аутентификация разделены между двумя разными каналами;
• Высокий уровень безопасности с помощью апплетов SIM-карты – защищенная среда для PIN-кода Mobile Connect хранится на SIM-карте;
• Необходимо партнерство с операторами мобильной связи;
• Возможность отключить функцию в случае утери или кражи устройства;
• Обмен данными по воздуху не осуществляется.
Вывод
В этой статье мы описали типы мобильных приложений для надежной аутентификации клиентов (SCA). Технологии быстро развиваются, на рынке появляются новые приложения и каждое новое приложение предлагает более высокий уровень безопасности и удобства для пользователей. При выборе нового приложения для SCA оценивайте несколько факторов, такие как безопасность, простоту интеграции, а также пользовательский опыт.
Будьте готовы к SCA с Advapay
Решение Advapay позволит цифровым банкам быть готовыми к началу срока реализации SCA. В дополнение к Digital Core Banking платформе, Advapay предлагает Canopus OTP / MAC Generator – безопасное приложение двухфакторной аутентификации, которое позволяет проводить аутентификацию клиента и подписывать платежи. Чтобы узнать больше, свяжитесь с нами.
Macrobank – платформа цифрового банкинга, которая позволяет финтех-компаниям запускать свои цифровые банки. Macrobank обеспечивает все необходимые функции для цифровых банков, бэк-офис для контроля и управления операциями, веб и мобильные аппликации для конечных пользователей по модели white-label, а также готовые интеграции с различными сервисами. Доступно как SaaS решение, так и покупка лицензии на программное обеспечение.
Помимо платформы Цифрового банкинга, услуги Advapay включают в себя профессиональный финтех консалтинг, помощь в лицензировании платежных систем или эмитентов электронных денег.