PSD2 – AliasLab garantisce la sicurezza nelle transazioni

pexels-photo

eidas_back

ITA – Direttiva 2015/2366 / UE

PSD2 è il successore, da lungo atteso, della prima direttiva sui servizi di pagamento del 2007. Questa ha lo scopo di armonizzare (come eIDAS ha fatto in ambito di firma e identificazione) il mercato dei pagamenti a livello europeo, un mercato che ad oggi è ancora molto frammentato e personale a livello di confini nazionali. PSD2 ha lo scopo di favorire l’adozione di servizi innovativi, facili da usare e basati su sistemi di autenticazione sicura – Strong Authentication.

EBA definisce la SCA, sulla base del concetto tradizionale di Strong Authentication, “Secure Customer Authentication” viene definita come “un’autenticazione basata sull’uso di due o più elementi categorizzati come conoscenza (qualcosa che solo l’utente conosce), il possesso (qualcosa solo l’utente possiede) e “inherence” (qualcosa che l’utente è), questi sono indipendenti, in quanto la –rottura- di uno non comprometta l’affidabilità degli altri ”

 

La  normativa deve essere applicata da parte dei fornitori di servizi di pagamento (PSP) quando “SCA quando il pagatore: (a) accede suo conto di pagamento on-line; (B) avvia una transazione di pagamento elettronico; [O] (c) svolge qualsiasi azione, attraverso un canale a distanza, che può implicare il rischio di frodi nei pagamenti o di altri abusi “e” la SCA potrebbe includere elementi che collegano l’autenticazione ad una somma e beneficiario specifici. La soluzione tecnologica che  collega I dati della Strong Authentication ai dati della transazione deve essere resistente alle manomissioni  “.

ita22

Per SecurCall Out-of-Band:

  1. Conoscenza (nome utente + password);
  2. possesso (il telefono – MSISDN che identifica il numero chiamante);
  3. e “inherence” (il riconoscimento vocale durante la chiamata Telefonica scaturita – “La mia voce è la mia identità”).

Durante la chiamata  telefonica SecureCall inoltre si soddisfa anche la richiesta di  collegare “la descrizione del processo e di una quantità e beneficiario specifico” ad un elemento unico nella richiesta di conferma pagmanto/operazione. Cioè avviene grazie ad un prompt vocale personlizzato e interno alla chiamata SecureCall.

Per SecurCall SmartOtp:

  1. Conoscenza (nome utente + password);
  2. possesso (lo smartphone- OTP è criptato e inviato al telefono che contiene la chiave di crittografia per decifrarlo);
  3. e “inherence” (l’impronta digitale -touchID- o il riconoscimento vocale “la mia voce è la mia identità”).

La descrizione della transazione ed il beneficiario sono incorporate nella Notifica Push/QrCode inviato al telefono cellular, che è l’unico dispositivo in grado di decodificarla

Per SecurCall SmartOtp: Conoscenza (nome utente + password); possesso (lo smartphone- OTP è criptato e inviato al telefono che contiene la chiave di crittografia per decifrarlo); e “inherence” (l’impronta digitale -touchID- o il riconoscimento vocale “la mia voce è la mia identità”).

La descrizione della transazione ed il beneficiario sono incorporate nella Notifica Push/QrCode inviato al telefono cellular, che è l’unico dispositivo in grado di decodificarla.

 

Un ulteriore livello di sicurezza può essere il FingerVein (Hitachi) Dispositivo di Strong Authentication che già implementato con la soluzione SecureCall AliasLab, può essere usato per securizzare in maniera ulteriore la richiesta di transazione.

 

La  normative deve essere applicata da parte dei fornitori di servizi di pagamento (PSP) quando “SCA quando il pagatore: (a) accede suo conto di pagamento on-line; (B) avvia una transazione di pagamento elettronico; [O] (c) svolge qualsiasi azione, attraverso un canale a distanza, che può implicare il rischio di frodi nei pagamenti o di altri abusi “e” SCA potrebbe includere elementi che collegano l’autenticazione di una quantità e beneficiario specifica. La soluzione tecnologica che consente i forti dati di autenticazione e dati delle transazioni da collegare dovrebbero essere resistenti alle manomissioni “.

L’Enrolment e la fornitura di strumenti di autenticazione e/o software di pagamento dovrebbe sottostatare ai seguenti requisiti.

 

  1. Environment Trusted – Le procedure relative all’enrolment devono essere eseguite in un ambiente sicuro e affidabile, tenendo conto degli eventuali rischi derivanti da dispositivi che non sono sotto il controllo della PSP.
  2. Consegna sicura di credenziali – procedure efficaci e sicuri dovrebbe essere a posto per la consegna delle credenziali di sicurezza personalizzate, Software fornito via Internet dovrebbe essere firmata digitalmente dal PSP per permettere al cliente di verificare la sua autenticità e che non è stato manomesso.
  3. Registrazione Specifica StandAlone – Per le transazioni con carta, il cliente deve avere la possibilità di registrarsi per la SCA indipendentemente da un acquisto specifico di Internet. Deve essere offerta una possibilità di attivazione durante lo shopping online, questo dovrebbe essere fatto tramite un reindirizzamento del cliente ad un ambiente sicuro e affidabile.

 

Ciò premesso, obbliga le aziende e gli enti finanziarei ad allargare le maglie del perimetro di dispensa, per quanto attiene l’obbligo di applicare meccanismi di autenticazione forte del cliente – SCA (Strong Authentication Customer), quando il pagatore:

  1. accede al proprio conto di pagamento on line;
  2. dispone un’operazione di pagamento elettronico;
  3. effettua qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi

Dopo l’eIDAS, un ulteriore passo verso una unificazione dei processi a livello Europeo.

 

Research Sources

 

(1) https://www.ecb.europa.eu/pub/pdf/other/recommendationssecurityinternetpaymetsoutcomeofpc nalversionafterpc201301en.pdf
(2) https://www.ecb.europa.eu/pub/pdf/other/recommendationssecurityinternetpaymentsoutcomeofpcfinalversionafterpc201301en.pdf
BCCHAIN

BlocKChain Add-on

I dati della transazione di autorizzazione o autenticazione possono essere inseriti in una BlockChain per garantirne l’immutabilità e l’impossibilità di manomissione.

Scytale