icon

PSD2, dynamische Verknüpfung und FIDO-Authentifikatoren

PSD2, Dynamic Linking, FIDO Authenticators

 

Die jüngsten Veränderungen im Bereich der Finanztechnologie im Zusammenhang mit der EU-Verordnung PSD2 (Payment Services Directive) werden viele normale Menschen betreffen, die sich daran gewöhnt haben, Online-Banking täglich (oder sogar von Zeit zu Zeit) zu nutzen ). Das liegt daran, dass PSD2-Innovationen von einem Mittel zur starken Authentifizierung abhängig sind. Wenn Sie sich also entscheiden, eine neue Fintech-Anwendung auszuprobieren, müssen Sie bereit sein, diese Mittel bereitzustellen.

Mit PSD2 können Sie Ihre Benutzererfahrung erheblich verbessern, indem Sie nach verschiedenen Lösungen suchen und diese ausprobieren, die Ihren Anforderungen entsprechen. Unterschiedliche Fintech-Lösungen haben jedoch unterschiedliche Anforderungen an eine starke Authentifizierung. Bedeutet das, dass Benutzer jedes Mal, wenn sie sich entscheiden, eine neue Anwendung zu verwenden, gezwungen sind, einen Schlüsselanhänger zu ihrem Schlüsselbund hinzuzufügen?

Der FIDO-Ansatz (Fast IDentity Online) beseitigt die oben beschriebene Situation, indem er eine universelle standardisierte Lösung für eine starke Authentifizierung bereitstellt. Ein Benutzer kann einen einzigen FIDO-konformen Authentifikator für eine unbegrenzte Anzahl gewünschter Ressourcen verwenden. Dennoch muss ein Benutzer ein gewisses Bewusstsein für das Thema haben, um sich für ein echtes FIDO-Gerät entscheiden zu können.

RTS (Regulatory Technical Standards) on SCA (Strong Customer Authentication) (Artikel 5 der Richtlinie (EU) 2018/389) auf Anforderung von PSD2 (Artikel 97 Absatz 2 der Richtlinie (EU) 2015/2366) – neben anderen Authentifizierungsfunktionen – beschreibt dynamische Verknüpfung. Bei der dynamischen Verknüpfung stellen Zahlungsdienstleister die folgenden Anforderungen:  

  1. der Zahler wird über den Betrag der Zahlungstransaktion und den Zahlungsempfänger informiert;
  2. der generierte Authentifizierungscode ist spezifisch für den Betrag der Zahlungstransaktion und den Zahlungsempfänger, dem der Zahler bei der Einleitung der Transaktion zugestimmt hat;
  3. der vom Zahlungsdienstleister akzeptierte Authentifizierungscode entspricht dem ursprünglichen spezifischen Betrag des Zahlungsvorgangs und der vom Zahler vereinbarten Identität des Zahlungsempfängers;
  4. jede Änderung des Betrags oder des Zahlungsempfängers führt zur Ungültigkeit des generierten Authentifizierungscodes.

 

In der Praxis bedeutet dies, dass ein Benutzer in der Lage sein sollte, die Transaktion zu genehmigen oder abzulehnen, aber er muss alle Informationen über die Transaktion sehen – einschließlich des Betrags und des Zahlungsempfängers – gleich nachdem er zum ersten Mal die Anfrage gestellt hat der Transaktion, aber vor der endgültigen Bestätigung. Außerdem muss es direkt auf ihrem Authentifikator geschehen. Hinter den Kulissen ermöglicht dieser Ansatz die Anwendung einer Abfolge von Verschlüsselungsschritten, um die Gefahr einer Änderung oder Spoofing der Transaktion zu eliminieren.

Um den universellen FIDO-Ansatz in PSD2-Anwendungsfällen zu verwenden, muss ein FIDO-Authentifikator eine Funktion bereitstellen, die als Transaktionsbestätigung (WYSIWYS – What You See Is What You Sign) bekannt ist. Wenn ein FIDO-Authentifikator die Funktion implementiert – sei es ein Hardware-Token oder ein Mobiltelefon – dann gibt es eine Möglichkeit, die Transaktion mit den Fähigkeiten des Authentifikators anzuzeigen und zu bestätigen. Die bequemste Möglichkeit, die Transaktionsinformationen anzuzeigen, ist natürlich ein Mobiltelefon.

Alles, was Sie wissen müssen, ist, dass Sie, wenn Sie einen FIDO-Authentifikator für Ihre Fintech-Anwendungen kaufen, eine WYSIWYS- oder Transaktionsbestätigungsfunktion benötigen. Nicht jedes Gerät bietet diese Funktion standardmäßig.

Related Posts