icon

PSD2, dynamische Verknüpfung und FIDO-Authentifikatoren

PSD2, Dynamic Linking, FIDO Authenticators

 

Die neuesten Entwicklungen im Bereich der Finanztechnologie im Zusammenhang mit der europäischen Richtlinie PSD2 (Payment Services Directive) werden viele normale Menschen betreffen, die sich daran gewöhnt haben, täglich (oder sogar gelegentlich) Online-Banking zu nutzen. Dies liegt daran, dass die PSD2-Innovationen von einem starken Authentifizierungsmittel abhängig sind. Wenn Sie also eine neue Fintech-Anwendung ausprobieren möchten, müssen Sie bereit sein, dieses Mittel bereitzustellen.

Mit PSD2 können Sie Ihre Benutzererfahrung dramatisch verbessern, indem Sie nach und nach verschiedene Lösungen suchen und ausprobieren, die Ihren Bedürfnissen entsprechen. Allerdings haben verschiedene Fintech-Lösungen unterschiedliche Anforderungen an starke Authentifizierungsmethoden. Bedeutet das, dass Benutzer jedes Mal, wenn sie sich entscheiden, eine neue Anwendung zu verwenden, einen Schlüsselanhänger mit einem zusätzlichen Schlüsselanhänger versehen müssen?

Der FIDO (Fast IDentity Online)-Ansatz beseitigt die oben beschriebene Situation, indem er eine universelle standardisierte Lösung für starke Authentifizierung bietet. Ein Benutzer kann einen einzigen FIDO-konformen Authenticator für eine unbegrenzte Anzahl gewünschter Ressourcen verwenden. Dennoch muss ein Benutzer über einige Kenntnisse des Themas verfügen, um in der Lage zu sein, ein echtes FIDO-Gerät zu wählen.

Die RTS (Regulatory Technical Standards) zur SCA (Strong Customer Authentication) (Artikel 5 der Richtlinie (EU) 2018/389) auf Anforderung der PSD2 (Artikel 97 Absatz 2 der Richtlinie (EU) 2015/2366) beschreiben unter anderem die Möglichkeit der dynamischen Verknüpfung. Mit der dynamischen Verknüpfung stellen Zahlungsdienstleister folgende Anforderungen bereit:

  1. Der Zahler wird über den Betrag der Zahlungstransaktion und den Zahlungsempfänger informiert;
  2. Der generierte Authentifizierungscode ist spezifisch für den Betrag der Zahlungstransaktion und den vom Zahler vereinbarten Zahlungsempfänger, wenn er die Transaktion initiiert;
  3. Der vom Zahlungsdienstleister akzeptierte Authentifizierungscode entspricht dem ursprünglichen spezifischen Betrag der Zahlungstransaktion und der Identität des vom Zahler vereinbarten Zahlungsempfängers;
  4. Jede Änderung des Betrags oder des Zahlungsempfängers führt zur Ungültigkeit des generierten Authentifizierungscodes.

In der Praxis bedeutet dies, dass ein Benutzer die Transaktion genehmigen oder ablehnen sollte, aber er muss alle Informationen zur Transaktion sehen, einschließlich Betrag und Zahlungsempfänger, unmittelbar nachdem er den Antrag auf die Transaktion gestellt hat, aber vor der endgültigen Bestätigung. Darüber hinaus muss dies direkt auf ihrem Authenticator geschehen. Hinter den Kulissen ermöglicht dieser Ansatz die Anwendung einer Reihe von Verschlüsselungsschritten, um die Bedrohung der Veränderung oder Fälschung der Transaktion zu beseitigen.

Um den FIDO-Universalansatz in PSD2-Anwendungsfällen zu nutzen, muss ein FIDO-Authenticator eine Funktion namens Transaktionsbestätigung (WYSIWYS - What You See Is What You Sign) bereitstellen. Wenn ein FIDO-Authenticator die Funktion implementiert - egal ob es sich um einen Hardware-Token oder ein Mobiltelefon handelt -, gibt es eine Möglichkeit, die Transaktion mithilfe der Fähigkeiten des Authenticators zu sehen und zu bestätigen. Natürlich ist die bequemste Option, die Transaktionsinformationen auf einem Mobiltelefon anzuzeigen.

Alles, was Sie wissen müssen, ist, dass Sie für Ihre Fintech-Anwendungen einen FIDO-Authenticator erwerben möchten, der über eine WYSIWYS- oder Transaktionsbestätigungsfunktion verfügt. Nicht jedes Gerät bietet diese Funktion standardmäßig an.