Wallester Insights: PSD2 と強力な顧客認証への準拠

公開: 2023-07-21

すべてのソフトウェアには、さまざまな利用者の間での信頼性と使いやすさを確保するための認証ツールが含まれている必要があります。 これは安全性とセキュリティのアーキテクチャの重要なコンポーネントとなっており、FinTech 業界におけるその役割を過小評価することはできません。 毎秒複数の電子商取引が行われているため、この市場はマネーロンダリングや詐欺の脅威にさらされる傾向があります。 この観点からすると、ハイエンドの認証とサイバーセキュリティ標準に準拠したカード発行サービスを選択することは、単なる推奨事項ではありません。

ここで PSD2 規制が登場します。この用語の本当の意味と、あらゆるビジネスの財務環境に対する PSD2 規制の影響の役割を理解するために、今後も注目してください。 続いて!

目次の表示
  • 強化されたクローン作成技術
  • PSD2: 定義、影響、および目標
  • 改訂された決済サービス指令 (PSD2)
  • プロフェッショナルカード発行プラットフォームとの連携: Wallester Edition
  • 急いでください

強化されたクローン作成技術

ショッピング-フィンテック-顧客-販売時点管理-pos-支払い-コマース

現在、複製された EMV カードのリアルタイム認証は依然として実現不可能な作業です。 支払い暗号文を生成するために不可欠な暗号キーを抽出することは、悪意のある行為者と勤勉な研究者の両方にとって依然として困難です。 ただし、機能するカードのレプリカを作成するには別の方法が存在することを認識することが重要です。

犯罪者が使用するそのような方法の 1 つは、Track2 に相当する値を磁気ストライプに書き込むことです。 この技術は、Track2 Equivalent として知られるカードの磁気ストライプ上に存在する情報を複製することにより、ハードウェア セキュリティ モジュール (HSM) システムおよびカード処理を担当するその他の専用サブシステム内でカードを識別するためのパラメータとして機能します。

そのため、悪意のある個人は、Track2 相当データを磁気ストライプに埋め込むことでこの攻撃を利用し、通常の磁気ストライプ トランザクションとして、または技術的なフォールバック モードを利用して不正なトランザクションを実行できるようにすることがあります。 このような場合には、ATM からそのようなデータを抽出するために特別に設計されたデバイスであるスキマーが一般的に使用されます。

トランザクションを複製するために、加害者は EMV プレプレイ攻撃とリプレイ攻撃を利用する可能性があります。 リプレイ攻撃は、各トランザクションと暗号文の一意性を保証するように設計されたメカニズムを回避することに重点を置いています。 この脆弱性を悪用すると、攻撃者は元のカードを所有する必要がなく、将来の使用に備えてトランザクションを「複製」できます。 侵害された端末が同じ UN (Unpredictable Number) フィールドを生成した場合、予測可能な UN 値を持つカードから取得された暗号文は無制限に再利用できます。

翌日であっても、攻撃者は、前日の日付がマークされた承認リクエストを使用して、古い暗号文に関する情報を送信する可能性があります。 プリプレイ方式は、侵害された端末が同一の UN ではなく予測可能な UN を生成する場合に関連します。 このようなシナリオでは、攻撃者がカードに物理的にアクセスすると、将来の使用に備えて複数のトランザクションのクローンが作成される可能性があります。 ただし、最初の攻撃とは異なり、この特定のシナリオでは各トランザクションは 1 回しか使用できません。

関連: WooCommerce PCI コンプライアンス: 知っておくべきことすべて!

PSD2: 定義、影響、および目標

財布-お金-クレジット-デビットカード-支払い-セキュリティ-安全性

2007 年に最初の決済サービス指令が発表されて以来、市場は劇的な変化と修正を受けてきました。 テクノロジーの進歩とオンライン決済のブームはコインの裏返しでもあります。 新しいビジネス モデルには規制のないポリシーが伴うことがよくありますが、API エコノミーの発展がヨーロッパにおける不正行為のレベルを一貫して増加させる一因となっています。

一言で言えば、PSD2 は、EU および EEA で実行できるようにするために、あらゆる決済サービスが従うべき一連の標準と法律です。 この政策はインターネットベースの取引を保護し、理論と実践の両面で経済環境を強化します。

PSD2 を他の金融標準と区別するいくつかの特徴を次に示します。
  • 準拠したサービスプロバイダーには財務情報を公開することが義務付けられるため、カード発行の透明性がさらに高まります。 同時に、このイノベーションは、新規プレーヤーが競争力を高め、確立された組織にソリューションを提供するのに役立ちます。
  • PSD2 は、カード発行ソリューションのライセンスを確立しました。 一方で、EU でそのようなサービスを提供する企業は、経験が浅いにもかかわらず、その信頼性と信頼性を証明することができます。 一方、この方法はターゲット層にとっても効率的であり、最適なカード発行および処理機関を簡単に選択できます。
  • PSD2 は強力な顧客認証と連携しています。 2 要素認証および同様の手段は、オンライン決済の大部分をバックアップし、そのような金融業務に対する追加の保護層として機能します。 このディレクティブには小さな抜け穴があります。 当事者のいずれかが EEA 内にいない場合、いわゆる SCA の実装要件を義務付けるべきではありません。

2022 年の時点で、ヨーロッパでは 5 億人以上の人がオンラインで購入すると予想されています。 この割合はさらに増加する可能性があります。 PSD2 準拠のサービスによってこのような膨大な数のトランザクションをバックアップすることは、長期的なメリットを確実にもたらします。

改訂された決済サービス指令 (PSD2)

Fintech-Google-Pay-Wallet-購入-購入-店舗-支払い

世界中の国には、CVM (カード所有者認証方法) なしの制限に関する独自の推奨事項があり、支払者の認証が必要ない場合に適用されます。 これは一般にタップ アンド ゴー スキームとして知られています。 たとえば、欧州経済領域内では、推奨される取引限度額は 50 ユーロです。

店舗やアクワイアリング銀行は端末に対して独自の制限を設定する自由がありますが、No CVM 詐欺に関連するリスクも負っています。 より多くの詐欺師を引き寄せる可能性があるため、すべての銀行や加盟店が平均よりも高い限度額を設定することを選択できないのはこのためです。

盗まれた非接触型カードを利用した蔓延している詐欺の 1 つは、CVM 制限なしの範囲内で複数のトランザクションを実行することで、Tap & Go スキームを利用するものです。 不正行為防止システムがそのような取引を阻止するために介入することはほとんどありません。 一部の大胆な詐欺師は、高額な請求書を複数の小さな取引 (1 回あたり 30 ポンドなど) に分割して、実質的に制限を回避しようとするレジ担当者さえ見つけました。

こうした不正行為と闘う

これらの不正行為に対抗するために、欧州連合は決済サービス指令バージョン 2 (PSD2) として知られる一連の新しい規制を導入しました。 これらの規制には、支払者確認の頻度に関する特定の要件が含まれています。 2020年から、発行銀行はタップ&ゴーの基準値を下回る取引数に制限を設けることが義務付けられる。 合計使用金額を追跡し、5 回の取引ごとに、またはカード所有者が 5 回の Tap & Go 取引の最大額 (250 ユーロなど) に達したときに、PIN の入力を求める必要があります。

MasterCard と Visa は、Tap & Go 制限を超える取引に対して、ソフト リミットとハード リミットという 2 つの代替手段を提供しています。 大多数の国はソフト制限スキームに従っており、設定された制限を超える支払いには署名やオンライン PIN などの追加の支払者の認証が必要です。 ただし、英国はハードリミット制度に基づいて運営されており、「タップ&ゴー」の制限を超える支払いにはチップ搭載カードの使用が義務付けられています。 モバイル ウォレットには別の制限が設定されているため、このシナリオはモバイル ウォレットには適用されないことに注意することが重要です。

セキュリティの専門家は、これらのルールの有効性を評価するテストを実施し、公に知られている脆弱性や新たに発見されたバリエーションを使用してルールを回避できる可能性のある方法を調査しました。 その結果、盗んだカードとカスタマイズされた端末を所有するハッカーは、侵害された端末を使用して制限をリセットすることで、通常の店舗で所定の制限を超える支払いを行うことができることが明らかになりました。

プロフェッショナルカード発行プラットフォームとの連携: Wallester Edition

Wallester-White-label-card-issuer-co-brand-payment-solution-スクリーンショット

PSD2 の基準に準拠するサービスの数と種類は増加し続けており、企業にとっては、ニーズと目的に最適な戦略的かつ経済的なものを見つける絶好の機会となっています。 Wallester と協力することで、EU 内で電子商取引目的に安全に使用できるクレジット カードとデビット カードを決定できます。 3D セキュア、生体認証認証、PIN などの高度な SCA テクノロジーを使用して、サービスの将来のユーザー向けに信頼性の高い金融環境を確立するための積極的な一歩を踏み出すことができます。

SCA 手順の量と規則性は、視聴者の買い物行動や習慣から販売者の種類に至るまで、いくつかの要因によって決まります。

一般的な制限とチェックのリストには次のものが含まれます。
  • システムは利用可能な非接触型決済の数を制限し、制限に達するとエンド ユーザーに PIN の入力を要求します。
  • このサービスは、支払いが 1 回の購入またはオンライン ショッピング全体で使用できる最大金額を超えているかどうかを検証します。

前述の基準は、独自の規制にも依存します。 Wallester では、クライアントが希望するタイプと枚数のカードを発行するときにカスタムのパフォーマンス制限を設定できます。Web サイト https://wallester.com にアクセスしてください。

関連: DevOps による HIPAA コンプライアンスの自動化 | 知っておくべきことすべて!

急いでください

結論

非接触型銀行カードは利便性を提供しますが、詐欺師によって悪用される可能性のある脆弱性もあります。 レガシー モードと磁気ストライプの利用によりセキュリティ リスクが生じ、攻撃者がカードを複製して取引データを操作できるようになります。 こうしたリスクにもかかわらず、銀行は互換性、関連コスト、ユーザーの採用、国際的な受け入れなどのいくつかの理由から、時代遅れの支払い方法をサポートし続けています。

さらに、カード所有者の認証方法は回避される可能性があり、Tap & Go スキームは悪用されやすいです。 不正行為に対抗するために PSD2 などの規制が導入されていますが、侵害された端末を使用すると制限を回避できる可能性があります。 これらの課題に効果的に対処するには、支払いセキュリティの継続的な進歩が不可欠です。

長期的に会社の健全性と地位を確保したい場合は、現時点で最新の規範や規制にどの程度準拠しているかに注意することをお勧めします。 Wallester のようなソリューションのおかげで、PSD2 および SCA 標準の実装方法について心配する必要はありません。これはデフォルトで自動的に行われます。