PSD2, динамічне зв’язування та аутентифікатори FIDO

PSD2, Dynamic Linking, FIDO Authenticators

 

Останні зміни у сфері фінансових технологій, пов’язані з регламентом Європейського Союзу PSD2 (Директивою про платіжні послуги), торкнуться багатьох звичайних людей, які звикли користуватися онлайн-банкінгом щодня (або навіть час від часу). ). Це тому, що інновації PSD2 залежать від засобів надійної аутентифікації. Отже, якщо ви вирішите спробувати нову фінтех-додаток, ви повинні бути готові надати це засіб.

За допомогою PSD2 ви можете значно покращити користувацький досвід, шукаючи та пробуючи різні рішення, які задовольняють ваші потреби. Однак різні фінтех-рішення будуть мати різні вимоги до надійної аутентифікації. Чи означає це, що користувачі будуть змушені додавати брелок до свого брелока щоразу, коли вони вирішать почати використовувати нову програму?

Підхід FIDO (Fast IDentity Online) усуває описану вище ситуацію, надаючи універсальне стандартизоване рішення для надійної аутентифікації. Користувач може використовувати один FIDO-сумісний аутентифікатор для необмеженої кількості бажаних ресурсів. Тим не менш, користувач повинен мати певну обізнаність з предметом, щоб мати можливість вибрати справжній пристрій FIDO.

RTS (Регулятивні технічні стандарти) щодо SCA (Надійна аутентифікація клієнта) (стаття 5 Директиви (ЄС) 2018/389) на вимогу PSD2 (Стаття 97(2) Директиви (ЄС) 2015/2366) — серед інших можливостей аутентифікації — описує динамічне посилання. Завдяки динамічному зв’язуванню постачальники платіжних послуг дотримуються таких вимог:  

  1. платник повідомляється про суму платіжної операції та одержувача;
  2. генерований код аутентифікації залежить від суми платіжної операції та одержувача платежу, з якою погодився платник під час ініціації трансакції;
  3. код аутентифікації, прийнятий постачальником платіжних послуг, відповідає початковій конкретній сумі платіжної операції та ідентифікації одержувача, на яку погодився платник;
  4. будь-яка зміна суми або одержувача призведе до визнання недійсним згенерованого коду аутентифікації.

 

На практиці це означає, що користувач повинен мати можливість схвалити або відхилити трансакцію, але він повинен побачити всю інформацію про транзакцію, включаючи суму та одержувача платежу, відразу після першого подання запиту на транзакції, але до остаточного підтвердження. Більше того, це повинно відбуватися безпосередньо на їх аутентифікаторі. За лаштунками цей підхід дозволяє застосувати послідовність кроків шифрування, щоб усунути загрозу зміни або підробки транзакції.

Щоб використовувати універсальний підхід FIDO у випадках використання PSD2, аутентифікатор FIDO повинен надати функцію, відому як підтвердження транзакції (WYSIWYS – What You See Is What You Sign). Якщо аутентифікатор FIDO реалізує цю функцію — будь то апаратний токен або мобільний телефон — тоді є спосіб побачити та підтвердити транзакцію за допомогою можливостей аутентифікатора. Звичайно, найзручнішим варіантом перегляду інформації про транзакцію є мобільний телефон.

Все, що вам потрібно знати, це те, що якщо ви збираєтеся придбати аутентифікатор FIDO для своїх фінтех-додатків, вам потрібна можливість WYSIWYS або підтвердження транзакції. Не кожен пристрій забезпечує цю функцію за замовчуванням.