Недавно обновленная Директива ЕС о платежных услугах содержит несколько требований, влияющих на безопасность, например более строгую аутентификацию для онлайн-платежей.
Пересмотренная Директива о платежных услугах (PSD2) вступила в силу в Европейском Союзе в прошлом году, добавив новые требования к финансовым учреждениям, поставщикам платежных услуг и торговцам, которые ведут бизнес на общем рынке. Но это также может повлиять на предприятия, расположенные за пределами ЕС, поэтому вот пять вопросов, на которые каждый директор по информационной безопасности должен иметь возможность ответить об этом законе.
1. Что такое PSD2?
PSD2 - это закон, регулирующий рынок платежных услуг в Европейской экономической зоне (ЕЭЗ: государства-члены ЕС плюс Исландия, Лихтенштейн и Норвегия). Он был принят Европейским парламентом в 2015 году и вступил в силу в сентябре 2019 года, хотя введение новых требований к безопасности транзакций было отложено.
Законодательство представляет собой пересмотр первоначальной Директивы о платежных услугах 2007 года, и его цели заключаются в сокращении мошенничества с онлайн-картами путем введения более строгих требований аутентификации транзакций, в регулировании индустрии FinTech и в повышении конкуренции на рынке платежей, вынуждая банки делиться данными счетов клиентов и усилить защиту потребителей за счет снижения их ответственности за несанкционированные платежи. Он также вынуждает государства-члены назначать национальные органы, которые будут рассматривать жалобы, связанные с платежными услугами.
2. Влияет ли PSD2 на вашу компанию?
PSD2 напрямую влияет на банки и другие финансовые учреждения, у которых есть счета клиентов, сторонних поставщиков платежных услуг, компании FinTech, которые предлагают услуги инициирования платежей или услуги агрегирования информации о счетах, и, в конечном итоге, на онлайн-торговцев.
В частности, продавцы должны гарантировать, что их банки или платежные системы поддерживают новые требования строгой аутентификации клиентов (SCA) для онлайн-транзакций. В противном случае они рискуют потерять продажи, поскольку эмитенты карт будут вынуждены отклонить несоответствующие транзакции или столкнуться с ответственностью.
Новые требования к аутентификации применяются к транзакциям, в которых и эмитент карты, и эквайер находятся в ЕЭЗ, но они также распространяются на так называемые «одноэтапные» транзакции, когда продавец не находится в ЕЭЗ, но средства обрабатываются. через эквайера в ЕЭЗ. В этих случаях часть транзакции, входящая в ЕЭЗ, будет подлежать SCA.
Например, если продавец из стран, не входящих в ЕЭЗ, использует поставщика платежных услуг (PSP) из ЕЭЗ для обработки транзакций от европейских клиентов, или если PSP использует клиринговый счет одной из своих организаций, находящихся в ЕС, то применяется SCA.
3. Каковы требования SCA?
PSD2 требует, чтобы транзакции без карты были авторизованы с помощью многофакторной аутентификации, что означает, что на практике потребители больше не смогут выполнять онлайн-транзакции, используя только информацию, напечатанную на их картах. Онлайн-платежи потребуют использования двух или более факторов: знания (то, что знает только пользователь), владения (что-то, что есть только у пользователя) и принадлежности (что-то, что пользователь).
Европейское банковское управление разъяснило, каковы приемлемые факторы знания, владения и принадлежности, и ожидается, что подавляющее большинство реализаций будет включать использование мобильных телефонов для авторизации транзакций по внешнему каналу. Например, каждый раз, когда выполняется транзакция с помощью онлайн-карты, приложение банка, установленное на телефоне пользователя, будет запрашивать у пользователя авторизацию транзакции, используя отпечаток пальца или другой приемлемый метод.
Также существуют исключения из SCA для транзакций на небольшую сумму, не превышающих 30 евро, повторяющихся транзакций для одного и того же получателя с той же суммой, которые типичны для услуг типа подписки, транзакций с получателями, которые были внесены клиентом в белый список, и транзакций. свыше 30 евро поставщикам платежных услуг, которые используют анализ рисков мошенничества и могут доказать достаточно низкий уровень мошенничества.
4. Действуют ли уже требования SCA?
Технически требования SCA вступили в силу 14 сентября, но Европейское банковское управление (EBA) разрешило национальным властям отложить исполнение и предоставить больше времени поставщикам платежных услуг, потому что не все из них были готовы. В октябре EBA сообщила, что крайний срок - 31 декабря 2020 года, когда все поставщики платежных услуг должны завершить внедрение SCA, включая внедрение и тестирование продавцами.
«В заключении рекомендуется, чтобы, при необходимости, НКА [национальные компетентные органы] сообщали поставщикам платежных услуг [поставщикам платежных услуг] в своей юрисдикции, что осуществляемая ими надзорная гибкость не означает задержку даты применения требований SCA в PSD2 и Технические стандарты EBA », - говорится в сообщении EBA. «Скорее, это означает, что NCA сосредоточатся на мониторинге планов миграции, а не на немедленных принудительных действиях в отношении PSP, которые не соответствуют требованиям SCA».
EBA отмечает, что продавцы предпочли бы 18-месячную отсрочку, которая совпала бы с запланированным развертыванием протокола связи 3-D Secure (3DS) v2.2, разработанного брендами карт. Эта версия протокола поддерживает исключения SCA и, таким образом, позволит поставщикам услуг мобильной связи и торговцам избежать оспаривания большего количества их транзакций со стороны эмитентов карт и, следовательно, снизить затруднения при оформлении заказа для клиентов. Однако в EBA отметили, что об исключениях сообщалось с февраля 2017 года, поэтому у отрасли было достаточно времени для подготовки.
5. Каковы требования к открытому банковскому делу?
Согласно PSD2, банки и учреждения, владеющие счетами, должны разрешать сторонним службам инициировать платежи и получать доступ к данным со счетов клиентов, если эти клиенты дают свое согласие. Это требование призвано разрушить монополию банков на информацию о счетах клиентов и обеспечить усиление конкуренции и инноваций в сфере FinTech.
Компании FinTech также смогут получать лицензии, действительные на всей территории ЕЭЗ и подпадающие под единые правила, вместо того, чтобы иметь дело с несколькими национальными юрисдикциями. Цель состоит в том, чтобы создать равные условия для существующих банковских учреждений и новых участников рынка.
Это также означает, что продавцы смогут предлагать покупателям больше вариантов оплаты, не связанных с использованием платежных карт. Например, клиент может выбрать оплату напрямую через поставщика услуг инициирования платежа (PISP), который он уже одобрил для доступа к своим счетам.
Большинство финансовых учреждений предпочитают внедрять новые требования к доступу к аккаунту через API, хотя общепринятого стандарта пока нет.
6. Повлияет ли PSD2 на рынки за пределами ЕЭЗ?
Эксперты считают, что даже если требования SCA не повлияют напрямую на другие рынки - за исключением продавцов из стран, не входящих в ЕЭЗ, которые также ведут бизнес в Европе, - бренды карт по-прежнему будут настаивать на глобальном развертывании 3DS версии 2 (3DS2 ), а банки в других юрисдикциях примут его из-за давления рынка и необходимости оставаться конкурентоспособными. Таким образом, вполне вероятно, что аналогичные уровни безопасности онлайн-транзакций будут широко доступны в других странах, даже если они не предусмотрены нормативными актами. Продавцы также могут захотеть иметь единый опыт для всех своих клиентов, независимо от того, где они находятся.
7. Какое наибольшее влияние PSD2 на безопасность?
PSD2 может положительно повлиять на безопасность онлайн-банкинга благодаря новым требованиям SCA, но он также может отрицательно повлиять на безопасность, если реализация API доступа к учетной записи не выполняется безопасно и единообразно.
История показала, что даже при широко используемых стандартах делегирования доступа, таких как OAuth и OpenID Connect, проблемы с реализацией являются обычным явлением, и они часто приводят к захвату учетной записи. Только в этом месяце исследователь безопасности был награжден 55 000 долларов за обнаружение и сообщение о недостатке в реализации OAuth в Facebook.
Предоставление доступа нескольким третьим лицам к учетной записи по своей сути увеличивает риск, поскольку количество точек входа, доступных злоумышленникам, также увеличивается. Атаки на API-интерфейсы привлекательны для хакеров, потому что они могут более легко автоматизировать атаки против них по сравнению с веб-формами входа. Сама цель API - упростить и автоматизировать обмен данными между приложениями. За последние два года компания Akamai, занимающаяся доставкой контента и безопасностью, отметила значительный рост атак на основе API, особенно на финансовую индустрию.
Что касается безопасности транзакций, ожидается, что PSD2 окажет большое влияние на сокращение мошенничества с отсутствием карты в Европе, но существует риск того, что мошенничество может перейти в другие юрисдикции с более низким уровнем безопасности транзакций. Вот почему эксперты надеются, что США и другие страны последуют их примеру в принятии требований, подобных 3DS2 и SCA, что должно быть гораздо более плавным процессом, чем внедрение карт с чипом и PIN-кодом.
«У SCA есть возможность сделать шаг вперед в эпоху безопасных цифровых технологий, поскольку они были отстающими на рынке - внедрение PIN-кодов вышло на рынок только в последние 2 года», - Джеймс Стикленд, генеральный директор компании Veridium по управлению идентификацией и аутентификацией, сообщает CSO. «Теперь, когда устройства в точках продаж включены, и системы онлайн-платежей могут принимать повышенную аутентификацию SCA, у США есть шанс обеспечить отличное взаимодействие с пользователем наряду с безопасными транзакциями. Внедрение биометрии широко рассматривается как способ выбор технологии для борьбы с постоянно растущим мошенничеством, с которым сталкиваются все продавцы и поставщики платежных услуг, при обеспечении беспрепятственного взаимодействия с пользователем».
Пересмотренная Директива о платежных услугах (PSD2) вступила в силу в Европейском Союзе в прошлом году, добавив новые требования к финансовым учреждениям, поставщикам платежных услуг и торговцам, которые ведут бизнес на общем рынке. Но это также может повлиять на предприятия, расположенные за пределами ЕС, поэтому вот пять вопросов, на которые каждый директор по информационной безопасности должен иметь возможность ответить об этом законе.
1. Что такое PSD2?
PSD2 - это закон, регулирующий рынок платежных услуг в Европейской экономической зоне (ЕЭЗ: государства-члены ЕС плюс Исландия, Лихтенштейн и Норвегия). Он был принят Европейским парламентом в 2015 году и вступил в силу в сентябре 2019 года, хотя введение новых требований к безопасности транзакций было отложено.
Законодательство представляет собой пересмотр первоначальной Директивы о платежных услугах 2007 года, и его цели заключаются в сокращении мошенничества с онлайн-картами путем введения более строгих требований аутентификации транзакций, в регулировании индустрии FinTech и в повышении конкуренции на рынке платежей, вынуждая банки делиться данными счетов клиентов и усилить защиту потребителей за счет снижения их ответственности за несанкционированные платежи. Он также вынуждает государства-члены назначать национальные органы, которые будут рассматривать жалобы, связанные с платежными услугами.
2. Влияет ли PSD2 на вашу компанию?
PSD2 напрямую влияет на банки и другие финансовые учреждения, у которых есть счета клиентов, сторонних поставщиков платежных услуг, компании FinTech, которые предлагают услуги инициирования платежей или услуги агрегирования информации о счетах, и, в конечном итоге, на онлайн-торговцев.
В частности, продавцы должны гарантировать, что их банки или платежные системы поддерживают новые требования строгой аутентификации клиентов (SCA) для онлайн-транзакций. В противном случае они рискуют потерять продажи, поскольку эмитенты карт будут вынуждены отклонить несоответствующие транзакции или столкнуться с ответственностью.
Новые требования к аутентификации применяются к транзакциям, в которых и эмитент карты, и эквайер находятся в ЕЭЗ, но они также распространяются на так называемые «одноэтапные» транзакции, когда продавец не находится в ЕЭЗ, но средства обрабатываются. через эквайера в ЕЭЗ. В этих случаях часть транзакции, входящая в ЕЭЗ, будет подлежать SCA.
Например, если продавец из стран, не входящих в ЕЭЗ, использует поставщика платежных услуг (PSP) из ЕЭЗ для обработки транзакций от европейских клиентов, или если PSP использует клиринговый счет одной из своих организаций, находящихся в ЕС, то применяется SCA.
3. Каковы требования SCA?
PSD2 требует, чтобы транзакции без карты были авторизованы с помощью многофакторной аутентификации, что означает, что на практике потребители больше не смогут выполнять онлайн-транзакции, используя только информацию, напечатанную на их картах. Онлайн-платежи потребуют использования двух или более факторов: знания (то, что знает только пользователь), владения (что-то, что есть только у пользователя) и принадлежности (что-то, что пользователь).
Европейское банковское управление разъяснило, каковы приемлемые факторы знания, владения и принадлежности, и ожидается, что подавляющее большинство реализаций будет включать использование мобильных телефонов для авторизации транзакций по внешнему каналу. Например, каждый раз, когда выполняется транзакция с помощью онлайн-карты, приложение банка, установленное на телефоне пользователя, будет запрашивать у пользователя авторизацию транзакции, используя отпечаток пальца или другой приемлемый метод.
Также существуют исключения из SCA для транзакций на небольшую сумму, не превышающих 30 евро, повторяющихся транзакций для одного и того же получателя с той же суммой, которые типичны для услуг типа подписки, транзакций с получателями, которые были внесены клиентом в белый список, и транзакций. свыше 30 евро поставщикам платежных услуг, которые используют анализ рисков мошенничества и могут доказать достаточно низкий уровень мошенничества.
4. Действуют ли уже требования SCA?
Технически требования SCA вступили в силу 14 сентября, но Европейское банковское управление (EBA) разрешило национальным властям отложить исполнение и предоставить больше времени поставщикам платежных услуг, потому что не все из них были готовы. В октябре EBA сообщила, что крайний срок - 31 декабря 2020 года, когда все поставщики платежных услуг должны завершить внедрение SCA, включая внедрение и тестирование продавцами.
«В заключении рекомендуется, чтобы, при необходимости, НКА [национальные компетентные органы] сообщали поставщикам платежных услуг [поставщикам платежных услуг] в своей юрисдикции, что осуществляемая ими надзорная гибкость не означает задержку даты применения требований SCA в PSD2 и Технические стандарты EBA », - говорится в сообщении EBA. «Скорее, это означает, что NCA сосредоточатся на мониторинге планов миграции, а не на немедленных принудительных действиях в отношении PSP, которые не соответствуют требованиям SCA».
EBA отмечает, что продавцы предпочли бы 18-месячную отсрочку, которая совпала бы с запланированным развертыванием протокола связи 3-D Secure (3DS) v2.2, разработанного брендами карт. Эта версия протокола поддерживает исключения SCA и, таким образом, позволит поставщикам услуг мобильной связи и торговцам избежать оспаривания большего количества их транзакций со стороны эмитентов карт и, следовательно, снизить затруднения при оформлении заказа для клиентов. Однако в EBA отметили, что об исключениях сообщалось с февраля 2017 года, поэтому у отрасли было достаточно времени для подготовки.
5. Каковы требования к открытому банковскому делу?
Согласно PSD2, банки и учреждения, владеющие счетами, должны разрешать сторонним службам инициировать платежи и получать доступ к данным со счетов клиентов, если эти клиенты дают свое согласие. Это требование призвано разрушить монополию банков на информацию о счетах клиентов и обеспечить усиление конкуренции и инноваций в сфере FinTech.
Компании FinTech также смогут получать лицензии, действительные на всей территории ЕЭЗ и подпадающие под единые правила, вместо того, чтобы иметь дело с несколькими национальными юрисдикциями. Цель состоит в том, чтобы создать равные условия для существующих банковских учреждений и новых участников рынка.
Это также означает, что продавцы смогут предлагать покупателям больше вариантов оплаты, не связанных с использованием платежных карт. Например, клиент может выбрать оплату напрямую через поставщика услуг инициирования платежа (PISP), который он уже одобрил для доступа к своим счетам.
Большинство финансовых учреждений предпочитают внедрять новые требования к доступу к аккаунту через API, хотя общепринятого стандарта пока нет.
6. Повлияет ли PSD2 на рынки за пределами ЕЭЗ?
Эксперты считают, что даже если требования SCA не повлияют напрямую на другие рынки - за исключением продавцов из стран, не входящих в ЕЭЗ, которые также ведут бизнес в Европе, - бренды карт по-прежнему будут настаивать на глобальном развертывании 3DS версии 2 (3DS2 ), а банки в других юрисдикциях примут его из-за давления рынка и необходимости оставаться конкурентоспособными. Таким образом, вполне вероятно, что аналогичные уровни безопасности онлайн-транзакций будут широко доступны в других странах, даже если они не предусмотрены нормативными актами. Продавцы также могут захотеть иметь единый опыт для всех своих клиентов, независимо от того, где они находятся.
7. Какое наибольшее влияние PSD2 на безопасность?
PSD2 может положительно повлиять на безопасность онлайн-банкинга благодаря новым требованиям SCA, но он также может отрицательно повлиять на безопасность, если реализация API доступа к учетной записи не выполняется безопасно и единообразно.
История показала, что даже при широко используемых стандартах делегирования доступа, таких как OAuth и OpenID Connect, проблемы с реализацией являются обычным явлением, и они часто приводят к захвату учетной записи. Только в этом месяце исследователь безопасности был награжден 55 000 долларов за обнаружение и сообщение о недостатке в реализации OAuth в Facebook.
Предоставление доступа нескольким третьим лицам к учетной записи по своей сути увеличивает риск, поскольку количество точек входа, доступных злоумышленникам, также увеличивается. Атаки на API-интерфейсы привлекательны для хакеров, потому что они могут более легко автоматизировать атаки против них по сравнению с веб-формами входа. Сама цель API - упростить и автоматизировать обмен данными между приложениями. За последние два года компания Akamai, занимающаяся доставкой контента и безопасностью, отметила значительный рост атак на основе API, особенно на финансовую индустрию.
Что касается безопасности транзакций, ожидается, что PSD2 окажет большое влияние на сокращение мошенничества с отсутствием карты в Европе, но существует риск того, что мошенничество может перейти в другие юрисдикции с более низким уровнем безопасности транзакций. Вот почему эксперты надеются, что США и другие страны последуют их примеру в принятии требований, подобных 3DS2 и SCA, что должно быть гораздо более плавным процессом, чем внедрение карт с чипом и PIN-кодом.
«У SCA есть возможность сделать шаг вперед в эпоху безопасных цифровых технологий, поскольку они были отстающими на рынке - внедрение PIN-кодов вышло на рынок только в последние 2 года», - Джеймс Стикленд, генеральный директор компании Veridium по управлению идентификацией и аутентификацией, сообщает CSO. «Теперь, когда устройства в точках продаж включены, и системы онлайн-платежей могут принимать повышенную аутентификацию SCA, у США есть шанс обеспечить отличное взаимодействие с пользователем наряду с безопасными транзакциями. Внедрение биометрии широко рассматривается как способ выбор технологии для борьбы с постоянно растущим мошенничеством, с которым сталкиваются все продавцы и поставщики платежных услуг, при обеспечении беспрепятственного взаимодействия с пользователем».
