Silne Uwierzytelnianie (SCA - Strong customer authentication) w teorii
Zgodnie z treścią dokumentu DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2015/2366z dnia 25 listopada 2015 r.w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę2007/64/WE artykuł 4 i 97
(pełna treść dokumentu na stronie https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32015L2366&from=EN)
Czym jest uwierzytelnianie?
Uwierzytelnianie oznacza procedurę umożliwiającą dostawcy usług płatniczych weryfikację tożsamości użytkownika usług płatniczych lub ważności stosowania konkretnego instrumentu płatniczego, łącznie ze stosowaniem indywidualnych danych uwierzytelniających tego użytkownika
Czym jest silne uwierzytelnianie?
Silne uwierzytelnianie klienta oznacza uwierzytelnianie w oparciu o zastosowanie co najmniej dwóch elementów należących do kategorii: wiedza (coś, co wie wyłącznie użytkownik), posiadanie (coś, co posiada wyłącznie użytkownik) i cechy klienta (coś, czym jest użytkownik), niezależnych w tym sensie, że naruszenie jednego z nich nie osłabia wiarygodności pozostałych, które to uwierzytelnianie jest zaprojektowane w sposób zapewniający ochronę poufności danych uwierzytelniających.
Kiedy należy stosować silne uwierzytelnianie?
1. Państwa członkowskie zapewniają, by dostawca usług płatniczych stosował silne uwierzytelnianie klienta, w przypadku gdy płatnik:
a) uzyskuje dostęp do swojego rachunku płatniczego w trybie online;
b) inicjuje elektroniczną transakcję płatniczą;
c) przeprowadza czynność za pomocą kanału zdalnego, która może wiązać się z ryzykiem oszustwa płatniczego lub innych nadużyć.
2. W odniesieniu do inicjowania elektronicznych transakcji płatniczych, o którym mowa w ust. 1 lit. b), państwa członkowskie zapewniają, by – w przypadku elektronicznych zdalnych transakcji płatniczych – dostawcy usług płatniczych stosowali silne uwierzytelnianie klienta obejmujące elementy, które dynamicznie łączą transakcję z określoną kwotą i określonym odbiorcą.
3. W odniesieniu do ust. 1 państwa członkowskie zapewniają, by dostawcy usług płatniczych wprowadzili adekwatne środki bezpieczeństwa w celu ochrony poufności i integralności indywidualnych danych uwierzytelniających użytkowników usług płatniczych.
4. Ust. 2 i 3 mają również zastosowanie, w przypadku gdy płatności są inicjowane za pośrednictwem dostawcy świadczącego usługę inicjowania płatności. Ust. 1 i 3 mają również zastosowanie, w przypadku gdy występuje sięo podanie informacji za pośrednictwem dostawcy świadczącego usługę dostępu do informacji o rachunku.
5. Państwa członkowskie zapewniają, by dostawca usług płatniczych prowadzący rachunek zezwalał dostawcy świadczącemu usługę inicjowania płatności i dostawcy świadczącemu usługę dostępu do informacji o rachunku na poleganie na procedurach uwierzytelniania zapewnianych przez dostawcę usług płatniczych prowadzącego rachunek użytkownikowi usług płatniczych zgodnie z ust. 1 i 3, a w przypadku gdy zaangażowany jest dostawca świadczący usługę inicjowania płatności – zgodnie z ust. 1, 2 i 3.
Silne uwierzytelnianie w Banku Spółdzielczym w Leśnicy w praktyce
Aby zapewnić bezpieczeństwo zgodne z najnowszymi standardami oraz wymogami unijnymi, podczas uwierzytelniania należy zastosować w praktyce przynajmniej dwa z trzech elementów:
1.Coś co wiem - np. hasło logowania, które zna tylko użytkownik
2.Coś co posiadam - np. telefon komórkowy, na który przychodzą wiadomości SMS z kodami do autoryzacji lub urządzenie mobline, na którym jest zainstalowany program (token) wyświetlający kody do autoryzacji
3.Coś czym jestem - indywidualne cechy użytkownika np. biometria w tym odcisk palca lub skan siatkówki
W Banku Spółdzielczym w Leśnicy od momentu wejścia w życie nowych przepisów tj. od dnia 14 września 2019 r. silne uwierzytelnianie będzie obowiązkowe dla każdego klienta i będzie realizowane za pomocą hasła logowania w połączeniu z jednym z dodatkowych elementów: kodów SMS lub Tokena Mobilnego (instalowanego na urządzeniu mobilnym z systemem iOS lub Android).
Dlaczego tradycyjne tokeny RSA, karty czipowe zostają wycofane?
Oprócz silnego uwierzytelniania nowa dyrektywa unijna wprowadza między innymi wymóg co do sposobu w jaki przebiega autoryzacja. Aby jeszcze bardziej zwiększyć bezpieczeństwo podczas korzystania z bankowości internetowej, użytkownik np. podczas wykonywania przelewu musi zostać poinformowany osobnym kanałem między innymi o kwocie oraz rachunku odbiorcy. W praktyce oznacza to, że dane przelewu, które wyświetlane są na ekranie komputera muszą dotrzeć do użytkownika także w inny sposób np. w treści wiadomości SMS lub wyświetlić się w programie Token Mobilny na urządzeniu mobilnym, czego nie dało się zrealizować za pomocą tokenów RSA oraz kart czipowych.
