icon

PSD2, enlace dinámico y autenticadores FIDO

PSD2, Dynamic Linking, FIDO Authenticators

 

Los últimos cambios en el área de la tecnología financiera asociada con la regulación de la Unión Europea PSD2 (Directiva de servicios de pago) afectará a muchas personas comunes que se han acostumbrado a usar la banca en línea a diario (o incluso de vez en cuando). ). Esto se debe a que las innovaciones de PSD2 dependen de un medio de autenticación sólida. Entonces, si decide probar una nueva aplicación fintech, debe estar listo para proporcionar ese medio.

Con PSD2, puede mejorar drásticamente su experiencia de usuario buscando y probando diferentes soluciones que satisfagan sus necesidades. Sin embargo, diferentes soluciones fintech tendrán diferentes requisitos para una autenticación fuerte. ¿Eso significa que los usuarios se verán obligados a agregar un llavero a su llavero cada vez que decidan comenzar a usar una nueva aplicación?

El enfoque FIDO (Fast IDentity Online) elimina la situación descrita anteriormente al proporcionar una solución estandarizada universal para una autenticación fuerte. Un usuario puede usar un único autenticador compatible con FIDO para una cantidad ilimitada de recursos deseados. Sin embargo, un usuario debe tener cierta conciencia del tema para poder elegir un verdadero dispositivo FIDO.

RTS (Normas Técnicas de Regulación) sobre SCA (Autenticación Fuerte del Cliente) (Artículo 5 de la Directiva (UE) 2018/389) a pedido de PSD2 (Artículo 97(2) de la Directiva (UE) 2015/2366) — entre otras capacidades de autenticación — describe vinculación dinámica. Con la vinculación dinámica, los proveedores de servicios de pago proporcionan los siguientes requisitos:  

  1. se informa al pagador del monto de la operación de pago y del beneficiario;
  2. el código de autenticación generado es específico para el monto de la transacción de pago y el beneficiario acordado por el pagador al iniciar la transacción;
  3. el código de autenticación aceptado por el proveedor de servicios de pago corresponde al monto específico original de la transacción de pago y a la identidad del beneficiario acordada por el pagador;
  4. cualquier cambio en la cantidad o el beneficiario da como resultado la invalidación del código de autenticación generado.

 

En la práctica, esto significa que un usuario debería poder aprobar o rechazar la transacción, pero necesita ver toda la información sobre la transacción, incluido el monto y el beneficiario, justo después de enviar la solicitud de la transacción, pero antes de la confirmación final. Además, debe ocurrir directamente en su autenticador. Detrás de escena, este enfoque permite la aplicación de una secuencia de pasos de encriptación para eliminar la amenaza de alterar o falsificar la transacción.

Para usar el enfoque universal de FIDO en los casos de uso de PSD2, un autenticador de FIDO debe proporcionar una función conocida como confirmación de transacción (WYSIWYS: lo que ve es lo que firma). Si un autenticador FIDO implementa la función, ya sea un token de hardware o un teléfono móvil, entonces hay una manera de ver y confirmar la transacción utilizando las capacidades del autenticador. Por supuesto, la opción más conveniente para ver la información de la transacción es un teléfono móvil.

Todo lo que necesita saber es que si va a comprar un autenticador FIDO para sus aplicaciones fintech, necesita una capacidad WYSIWYS o confirmación de transacciones. No todos los dispositivos ofrecen esta función de forma predeterminada.