icon

PSD2, liaison dynamique et authentificateurs FIDO

PSD2, Dynamic Linking, FIDO Authenticators

 

Les derniers changements dans le domaine de la technologie financière associés à la réglementation de l'Union européenne PSD2 (directive sur les services de paiement) affecteront de nombreuses personnes ordinaires qui se sont habituées à utiliser les services bancaires en ligne au quotidien (ou même de temps en temps ). En effet, les innovations PSD2 dépendent d'un moyen d'authentification forte. Donc, si vous décidez d'essayer une nouvelle application fintech, vous devez être prêt à fournir ce moyen.

Avec PSD2, vous pouvez améliorer considérablement votre expérience utilisateur en recherchant et en essayant différentes solutions qui répondent à vos besoins. Cependant, différentes solutions fintech auront des exigences différentes pour une authentification forte. Cela signifie-t-il que les utilisateurs seront obligés d'ajouter un porte-clés à leur trousseau chaque fois qu'ils décideront de commencer à utiliser une nouvelle application ?

L'approche FIDO (Fast IDentity Online) élimine la situation décrite ci-dessus en fournissant une solution standardisée universelle pour une authentification forte. Un utilisateur peut utiliser un seul authentificateur compatible FIDO pour un nombre illimité de ressources souhaitées. Néanmoins, un utilisateur doit avoir une certaine connaissance du sujet pour pouvoir choisir un véritable appareil FIDO.

RTS (Regulatory Technical Standards) on SCA (Strong Customer Authentication) (article 5 de la directive (UE) 2018/389) à la demande de PSD2 (article 97(2) de la directive (UE) 2015/2366) — parmi d'autres capacités d'authentification — décrit la liaison dynamique. Avec l'association dynamique, les fournisseurs de services de paiement répondent aux exigences suivantes : 

  1. le payeur est informé du montant de l'opération de paiement et du bénéficiaire ;
  2. le code d'authentification généré est spécifique au montant de l'opération de paiement et au bénéficiaire accepté par le payeur lors de l'initiation de l'opération ;
  3. le code d'authentification accepté par le prestataire de services de paiement correspond au montant spécifique d'origine de l'opération de paiement et à l'identité du bénéficiaire convenue par le payeur ;
  4. toute modification du montant ou du bénéficiaire entraîne l'invalidation du code d'authentification généré.

En pratique, cela signifie qu'un utilisateur devrait pouvoir approuver ou refuser la transaction, mais il doit voir toutes les informations sur la transaction, y compris le montant et le bénéficiaire, juste après avoir soumis la première demande de la transaction, mais avant la confirmation finale. De plus, cela doit se faire directement sur leur authentificateur. Dans les coulisses, cette approche permet l'application d'une séquence d'étapes de cryptage pour éliminer la menace d'altération ou d'usurpation de la transaction.

Pour utiliser l'approche universelle FIDO dans les cas d'utilisation PSD2, un authentificateur FIDO doit fournir une fonctionnalité connue sous le nom de confirmation de transaction (WYSIWYS - Ce que vous voyez est ce que vous signez). Si un authentificateur FIDO implémente la fonctionnalité, qu'il s'agisse d'un jeton matériel ou d'un téléphone mobile, il existe un moyen de voir et de confirmer la transaction à l'aide des capacités de l'authentificateur. Bien sûr, l'option la plus pratique pour afficher les informations de transaction est un téléphone mobile.

Tout ce que vous devez savoir, c'est que si vous envisagez d'acheter un authentificateur FIDO pour vos applications fintech, vous avez besoin d'une capacité WYSIWYS ou de confirmation de transaction. Tous les appareils ne proposent pas cette fonctionnalité par défaut.