Jump to content

Надежная аутентификация клиентов

Строгая аутентификация клиентов ( SCA ) является требованием Пересмотренной директивы ЕС о платежных услугах (PSD2) к поставщикам платежных услуг в Европейской экономической зоне . Требование гарантирует, что электронные платежи осуществляются с использованием многофакторной аутентификации , чтобы повысить безопасность электронных платежей. [1] Транзакции по физическим картам уже обычно имеют то, что можно было бы назвать строгой аутентификацией клиента в ЕС ( чип и PIN-код ), но это, как правило, не было верно для интернет-транзакций на территории ЕС до введения этого требования. [1] и многие платежи по бесконтактным картам не используют второй фактор аутентификации.

Требование SCA вступило в силу 14 сентября 2019 года. [2] Однако с одобрения Европейского управления банковского [3] несколько стран ЕЭЗ объявили, что их реализация будет временно отложена или поэтапна, [4] [5] с окончательным сроком, установленным на 31 декабря 2020 года. [6]

Требование

[ редактировать ]

Статья 97(1) директивы требует, чтобы поставщики платежных услуг использовали надежную аутентификацию клиентов, если плательщик: [7]

(a) получает доступ к своему платежному счету онлайн;
(b) инициирует транзакцию электронного платежа;
(c) осуществляет любые действия через удаленный канал, которые могут подразумевать риск мошенничества с платежами или других злоупотреблений.

Статья 4(30) определяет саму «строгую аутентификацию клиента» (как многофакторную аутентификацию): [7]

аутентификация, основанная на использовании двух или более элементов, классифицируемых как знание (что-то, что знает только пользователь), владение (что-то, чем обладает только пользователь) и неотъемлемость (то, чем является пользователь), которые независимы, в том смысле, что нарушение одного из них не ставит под угрозу надежность других и разработан таким образом, чтобы защитить конфиденциальность данных аутентификации.

Выполнение

[ редактировать ]

Европейское банковское управление опубликовало мнение о том, какие подходы могут составлять различные «элементы» SCA. [3]

3-D Secure 2.0 может (но не всегда [3] ) соответствуют требованиям SCA. 3-D Secure реализован Mastercard (Mastercard Identity Check) [8] и виза [9] которые позиционируются как обеспечивающие соответствие SCA.

Продавцы электронной коммерции должны обновить потоки платежей на своих веб-сайтах и ​​в приложениях для поддержки аутентификации. [10] Если аутентификация не поддерживается, многие платежи будут отклонены после полной реализации SCA. [10]

31 января 2013 года Европейский центральный банк (ЕЦБ) выпустил рекомендации по безопасности интернет-платежей, требующие строгой аутентификации клиентов. [11] Требования ЕЦБ технологически нейтральны и призваны способствовать инновациям и конкуренции. Общественное представление [12] Процесс ЕЦБ определил три решения для надежной аутентификации клиентов, два из которых основаны на надежной аутентификации , а другой представляет собой новый вариант 3-D Secure , который включает одноразовые пароли .

Впоследствии Европейская комиссия разработала предложения по обновленной Директиве о платежных услугах, включая это требование, которая стала PSD2. Строгая аутентификация клиентов PSD2 является юридическим требованием для электронных платежей и кредитных карт с 14 сентября 2019 года. [13]

В 2016 году Visa раскритиковала предложение сделать обязательную строгую аутентификацию клиентов на том основании, что это может затруднить онлайн-платежи и, таким образом, нанести ущерб продажам в интернет-магазинах. [14]

В 2019 году группа по представлению интересов потребителей Which? отметил, что многие британские банки внедряют SCA, требуя телефон, способный принимать текстовые сообщения или push-уведомления . По данным опроса, почти каждый пятый What? члены были обеспокоены тем, что они не смогут совершать платежи, если не будет альтернативы, либо из-за плохого приема, либо из-за отсутствия телефона. [15]

В 2020 году независимый отчет, проведенный консалтинговой фирмой CMSPI, показал, что потенциальный сбой, вызванный строгой аутентификацией клиентов (за исключением Великобритании), может составить 108 миллиардов евро в 2021 году. [16]

За пределами Европы

[ редактировать ]

Резервный банк Индии ввел «дополнительный фактор аутентификации» для транзакций без предъявления карты. [17]

Предложение сделать 3-D Secure обязательным в Австралии было заблокировано Австралийской комиссией по конкуренции и защите прав потребителей в 2016 году после возражений. [18]

См. также

[ редактировать ]
  1. ^ Jump up to: а б «Директива о платежных услугах (PSD2): Нормативные технические стандарты (RTS), позволяющие потребителям получать выгоду от более безопасных и инновационных электронных платежей» . Европейская комиссия . 27.11.2017 . Проверено 17 апреля 2019 г.
  2. ^ «EBA обеспечивает участникам рынка ясность в отношении реализации технических стандартов строгой аутентификации клиентов и общей и безопасной связи в рамках PSD2» . Европейское банковское управление . 13 июня 2018 г. Проверено 17 апреля 2019 г.
  3. ^ Jump up to: а б с «EBA публикует мнение об элементах строгой аутентификации клиентов в рамках PSD2» . Европейское банковское управление . 21 июня 2019 г. Архивировано из оригинала 30 декабря 2019 г. Проверено 7 сентября 2019 г.
  4. ^ «FCA согласовывает план поэтапного внедрения строгой аутентификации клиентов» . Управление финансового надзора . 13 августа 2019 г. Проверено 7 сентября 2019 г.
  5. ^ «Дата вступления в силу строгой аутентификации клиентов (SCA)» . Полоса . 6 сентября 2019 года . Проверено 7 сентября 2019 г.
  6. ^ «EBA публикует мнение о сроках и процессе завершения перехода к строгой аутентификации клиентов (SCA) для платежных транзакций на основе карт в электронной коммерции» . Европейское банковское управление . 16 октября 2019 г. Проверено 11 июля 2022 г.
  7. ^ Jump up to: а б Директива 2015/2366/EU от 25 ноября 2015 года Европейского парламента и Совета о платежных услугах на внутреннем рынке, вносящая поправки в Директивы 2002/65/EC, 2009/110/EC и 2013/36/EU и Регламент (ЕС) № 1093/2010 и отменяющая Директиву 2007/64/EC.
  8. ^ «Надежная аутентификация клиентов и PSD2: как адаптироваться к новым правилам в Европе» (PDF) . Мастеркард . 17 августа 2018 г. Проверено 17 апреля 2019 г.
  9. ^ «Подготовка к PSD2 SCA» (PDF) . Виза . Ноябрь 2018 года . Проверено 17 апреля 2019 г.
  10. ^ Jump up to: а б «Проектирование платежных потоков для SCA» . Полоса . 15 июля 2019 г. Проверено 7 сентября 2019 г.
  11. ^ «ЕЦБ: ЕЦБ публикует окончательные рекомендации по безопасности интернет-платежей и начинает общественные консультации по услугам доступа к платежным счетам» . Ecb.eu. 31 января 2013 года . Проверено 17 июля 2014 г.
  12. ^ «ЕЦБ: Общественные консультации» . Ecb.europa.eu. 31 января 2013 г. Проверено 17 июля 2014 г.
  13. ^ https://newsroom.mastercard.com/eu/files/2018/02/Security-Matters-Authentication-under-PSD2-and-SCA-Mastercard-White-Paper.pdf [ только URL-адрес PDF ]
  14. ^ Лейден, Джош (27 ноября 2016 г.). «Visa возмущается более строгими требованиями еврорегулятора по аутентификации» . Регистр . Проверено 17 апреля 2019 г.
  15. ^ «Новые онлайн-проверки безопасности исключают людей, у которых нет мобильных телефонов или нормального сигнала» . Который? . Проверено 24 июня 2021 г.
  16. ^ «Новости SCA для PSD2 могут стоить торговцам более 100 млрд евро в 2021 году» . Плательщики . Проверено 24 сентября 2020 г.
  17. ^ «Меры безопасности и снижения рисков для электронных платежных операций» . Резервный банк Индии . Архивировано из оригинала 4 марта 2013 г.
  18. ^ ACCC предлагает отказать APCA в разрешении на использование 3D-безопасности Австралийская комиссия по конкуренции и защите прав потребителей, 20 мая 2016 г.
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: c7f61838e1a7d942483c3d3932328f53__1706183220
URL1:https://arc.ask3.ru/arc/aa/c7/53/c7f61838e1a7d942483c3d3932328f53.html
Заголовок, (Title) документа по адресу, URL1:
Strong customer authentication - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)