Wawasan Wallester: PSD2 dan Kepatuhan Otentikasi Pelanggan yang Kuat

Perangkat lunak apa pun harus menyertakan alat otentikasi untuk memastikan kredibilitas dan kegunaannya di antara audiens yang berbeda. Ini telah menjadi komponen penting dari arsitektur keselamatan dan keamanan, dan perannya tidak dapat diremehkan dalam industri FinTech. Dengan beberapa transaksi e-niaga terjadi setiap detik, pasar ini cenderung menghadapi lebih banyak ancaman pencucian uang dan penipuan. Dari perspektif ini, memilih layanan penerbitan kartu yang mematuhi standar autentikasi kelas atas dan keamanan siber lebih dari sekadar rekomendasi sederhana.

Di situlah peraturan PSD2 masuk. Nantikan untuk memahami arti sebenarnya dari istilah tersebut dan peran dampaknya terhadap lingkungan keuangan bisnis apa pun. Selanjutnya!

Teknik Kloning yang Ditingkatkan

Saat ini, otorisasi real-time dari kartu EMV hasil kloning tetap merupakan tugas yang tidak mungkin dilakukan. Ekstraksi kunci kriptografi penting untuk menghasilkan kriptogram pembayaran tetap sulit dipahami baik oleh pelaku jahat maupun peneliti yang rajin. Namun, sangat penting untuk menyadari bahwa ada metode alternatif untuk membuat replika kartu fungsional:

Salah satu metode yang digunakan oleh penjahat melibatkan penulisan nilai Setara Track2 ke strip magnetik. Dengan menduplikasi informasi yang ada pada strip magnetik kartu, yang dikenal sebagai Setara Track2, teknik ini berfungsi sebagai parameter untuk identifikasi kartu dalam sistem Hardware Security Module (HSM) dan subsistem khusus lainnya yang bertanggung jawab untuk pemrosesan kartu.

Akibatnya, individu jahat kadang-kadang menggunakan serangan ini dengan menyematkan Data Setara Track2 ke strip magnetik, memungkinkan mereka untuk melakukan transaksi penipuan baik sebagai transaksi strip magnetik biasa atau dengan menggunakan mode fallback teknis. Skimmer, perangkat yang dirancang khusus untuk mengekstrak data tersebut dari ATM, biasanya digunakan dalam kasus ini.

Untuk menduplikasi transaksi, pelaku dapat menggunakan serangan EMV Pre-play dan Re-play. Serangan Re-play berpusat pada mekanisme pengelakan yang dirancang untuk memastikan keunikan setiap transaksi dan kriptogram. Dengan mengeksploitasi kerentanan ini, penyerang dapat mengkloning transaksi untuk digunakan di masa mendatang tanpa memerlukan kepemilikan kartu asli. Dalam kasus di mana terminal yang disusupi menghasilkan bidang UN (Nomor Tak Terduga) yang sama, kriptogram yang diperoleh dari kartu dengan nilai UN yang dapat diprediksi dapat digunakan kembali dalam jumlah tak terbatas.

Bahkan pada hari-hari berikutnya, penyerang dapat mengirimkan informasi tentang kriptogram lama dengan permintaan otorisasi yang ditandai dengan tanggal hari sebelumnya. Skema Pre-play menjadi relevan ketika terminal yang dikompromikan menghasilkan UN yang dapat diprediksi, bukan yang identik. Dalam skenario seperti itu, penyerang, setelah akses fisik ke kartu, dapat mengkloning banyak transaksi untuk digunakan di masa mendatang. Namun, tidak seperti serangan awal, setiap transaksi hanya dapat digunakan sekali dalam skenario khusus ini.

Terkait: Kepatuhan PCI WooCommerce: Semua yang Perlu Anda Ketahui!

PSD2: Definisi, Pengaruh, dan Tujuan

Sejak Petunjuk Layanan Pembayaran pertama dirilis pada tahun 2007, pasar telah mengalami perubahan dan modifikasi yang drastis. Kemajuan teknologi dan booming pembayaran online juga menunjukkan sisi berlawanan dari mata uang. Model bisnis baru seringkali datang dengan kebijakan yang tidak diatur, sementara perkembangan ekonomi API berkontribusi pada tingkat penipuan yang terus meningkat di Eropa.

Singkatnya, PSD2 adalah serangkaian standar dan undang-undang yang harus diikuti oleh layanan pembayaran apa pun agar dapat bekerja di UE dan EEA. Kebijakan ini mengamankan transaksi berbasis internet dan memperkuat lingkungan ekonomi baik secara teori maupun praktik.

Berikut adalah beberapa fitur yang membedakan PSD2 dari norma keuangan lainnya:

• Itu membuat penerbitan kartu lebih transparan karena menjadi kewajiban bagi penyedia layanan yang patuh untuk mengungkapkan informasi keuangan mereka secara publik. Pada saat yang sama, inovasi ini membantu pemain baru menjadi kompetitif dan menawarkan solusi mereka pada pasangan yang mapan.
• PSD2 telah menetapkan lisensi untuk solusi penerbitan kartu. Di satu sisi, ini memungkinkan bisnis yang menawarkan layanan semacam itu di UE untuk membuktikan keandalan dan kredibilitasnya, meskipun memiliki pengalaman yang lebih sedikit. Di sisi lain, cara ini juga efisien untuk khalayak sasaran, membiarkan mereka memilih institusi penerbit dan pemrosesan kartu terbaik dengan mudah.
• PSD2 hadir seiring dengan autentikasi pelanggan yang kuat. Autentikasi dua faktor dan sarana serupa mencadangkan bagian utama pembayaran online dan berfungsi sebagai lapisan perlindungan tambahan untuk operasi keuangan semacam itu. Ada sedikit celah dalam arahan ini. Ketika salah satu pihak yang terlibat tidak berada di dalam EEA, mereka tidak boleh memenuhi persyaratan untuk menerapkan apa yang disebut SCA.

Pada tahun 2022, lebih dari lima ratus juta orang diharapkan melakukan pembelian online di Eropa. Tingkat ini kemungkinan akan meningkat lebih banyak lagi. Mencadangkan sejumlah besar transaksi dengan layanan yang sesuai dengan PSD2 pasti akan membawa manfaat jangka panjang.

Pedoman Layanan Pembayaran yang Direvisi (PSD2)

Setiap negara di seluruh dunia memiliki rekomendasinya sendiri mengenai batasan Tanpa CVM (Metode Verifikasi Pemegang Kartu), yang berlaku saat verifikasi pembayar tidak diperlukan. Ini umumnya dikenal sebagai skema Tap & Go. Misalnya, di dalam Wilayah Ekonomi Eropa, ada batas transaksi yang disarankan sebesar €50.

Sementara toko dan bank yang mengakuisisi memiliki kebebasan untuk menetapkan batasan mereka sendiri untuk terminal, mereka juga menanggung risiko terkait penipuan Tanpa CVM. Inilah sebabnya mengapa tidak semua bank atau pedagang dapat memilih untuk menetapkan batas yang lebih tinggi dari rata-rata, karena hal itu dapat menarik lebih banyak penipu.

Salah satu penipuan umum yang melibatkan kartu nirsentuh curian adalah memanfaatkan skema Tap & Go dengan melakukan banyak transaksi dalam batas Tanpa CVM. Sistem anti-penipuan jarang mengintervensi untuk memblokir transaksi semacam itu. Beberapa scammer yang berani bahkan menemukan kasir yang bersedia membagi tagihan besar menjadi beberapa transaksi yang lebih kecil, seperti masing-masing £30, secara efektif melewati batasan.

Memerangi kegiatan penipuan ini

Untuk memerangi aktivitas penipuan ini, Uni Eropa telah memperkenalkan serangkaian peraturan baru yang dikenal sebagai Petunjuk Layanan Pembayaran, versi 2 (PSD2). Peraturan ini mencakup persyaratan khusus mengenai frekuensi verifikasi pembayar. Mulai tahun 2020, bank penerbit wajib memberlakukan batasan jumlah transaksi di bawah ambang batas Tap & Go. Mereka harus melacak jumlah total yang dibelanjakan dan meminta PIN setelah setiap lima transaksi atau saat pemegang kartu mencapai jumlah yang setara dengan jumlah maksimum di lima transaksi Tap & Go, seperti 250 euro.

MasterCard dan Visa menyediakan dua alternatif untuk transaksi yang melebihi limit Tap & Go: Soft limit dan Hard limit. Sebagian besar negara mengikuti skema Batas lunak, yang memerlukan verifikasi pembayar tambahan, seperti tanda tangan atau PIN online, untuk pembayaran di atas batas yang ditetapkan. Namun, Inggris Raya beroperasi di bawah skema Hard Limits, yang mewajibkan penggunaan kartu berkemampuan chip untuk pembayaran yang melebihi batas 'Tap & Go'. Penting untuk dicatat bahwa skenario ini tidak berlaku untuk dompet seluler, karena mereka memiliki batasan terpisah.

Pakar keamanan telah melakukan tes untuk menilai keefektifan aturan ini dan mengeksplorasi cara-cara potensial yang dapat dilewati menggunakan kerentanan yang diketahui publik atau variasi yang baru ditemukan. Hasilnya mengungkapkan bahwa peretas yang memiliki kartu curian dan terminal khusus dapat melakukan pembayaran di toko biasa yang melebihi batas yang telah ditentukan sebelumnya dengan menyetel ulang batas ini menggunakan terminal mereka yang disusupi.

Bekerja dengan Platform Penerbit Kartu Profesional: Edisi Wallester

Jumlah dan ragam layanan yang mengikuti norma PSD2 terus meningkat, yang merupakan peluang sempurna bagi bisnis untuk menemukan kesesuaian strategis dan ekonomis terbaik untuk kebutuhan dan tujuan mereka. Dengan bekerja sama dengan Wallester, Anda memutuskan kartu kredit dan debit yang aman digunakan di UE untuk tujuan e-niaga. Dengan teknologi SCA canggih seperti 3D Secure, verifikasi biometrik, PIN, dan lainnya, Anda mengambil langkah proaktif untuk membangun lingkungan keuangan yang andal dan kredibel bagi calon pengguna layanan Anda.

Kuantitas dan keteraturan prosedur SCA ditentukan oleh beberapa faktor — mulai dari perilaku dan kebiasaan belanja audiens Anda hingga jenis pedagang seperti apa Anda.

Daftar batasan dan pemeriksaan tipikal mencakup hal-hal berikut:

• Sistem akan membatasi jumlah pembayaran nirsentuh yang tersedia dan mengharuskan pengguna akhir untuk memasukkan PIN saat batas tercapai.
• Layanan memverifikasi pembayaran jika melebihi jumlah maksimum uang untuk dibelanjakan per pembelian atau untuk belanja online secara keseluruhan.

Kriteria yang disebutkan di atas tergantung pada peraturan Anda sendiri juga. Wallester memungkinkan klien mengatur batasan kinerja khusus saat mengeluarkan jenis dan jumlah kartu yang diinginkan, kunjungi situs web mereka https://wallester.com.

Terkait: Otomasi Kepatuhan HIPAA dengan DevOps | Yang Perlu Anda Ketahui!

Bungkus

Sementara kartu bank nirsentuh menawarkan kenyamanan, mereka juga memiliki kerentanan yang dapat dimanfaatkan oleh penipu. Mode lama dan penggunaan strip magnetik menimbulkan risiko keamanan, memungkinkan penyerang untuk mengkloning kartu dan memanipulasi data transaksi. Terlepas dari risiko ini, bank terus mendukung metode pembayaran yang sudah ketinggalan zaman karena beberapa alasan, termasuk kompatibilitas, biaya terkait, adopsi pengguna, dan penerimaan internasional.

Selain itu, metode verifikasi pemegang kartu dapat dielakkan, dan skema Tap & Go rentan terhadap penyalahgunaan. Meskipun peraturan seperti PSD2 telah diperkenalkan untuk memerangi penipuan, batasan masih dapat dilewati dengan menggunakan terminal yang disusupi. Kemajuan berkelanjutan dalam keamanan pembayaran sangat penting untuk mengatasi tantangan ini secara efektif.

Jika Anda ingin memastikan kesehatan dan status perusahaan Anda dalam jangka panjang, ada baiknya menjaga kesesuaiannya dengan norma dan peraturan terbaru saat ini. Berkat solusi seperti Wallester, Anda tidak perlu khawatir tentang cara menerapkan standar PSD2 dan SCA — ini dilakukan untuk Anda secara default.