Wallester Insights: PSD2 및 강력한 고객 인증 규정 준수

게시 됨: 2023-07-21

모든 소프트웨어에는 인증 도구가 포함되어 있어야 다양한 대상 사이에서 신뢰성과 유용성을 보장할 수 있습니다. 그것은 안전 및 보안 아키텍처의 중요한 구성 요소가 되었으며 FinTech 산업에서 그 역할을 과소 평가하기가 어렵습니다. 매초 여러 건의 전자 상거래가 발생하는 이 시장은 더 많은 자금 세탁 및 사기 위협에 직면하기 쉽습니다. 이러한 관점에서 고급 인증 및 사이버 보안 표준을 준수하는 카드 발급 서비스를 선택하는 것은 단순한 권장 사항 이상입니다.

바로 여기에서 PSD2 규정이 적용됩니다. 이 용어의 진정한 의미와 모든 비즈니스의 재무 환경에 미치는 영향의 역할을 이해하기 위해 계속 지켜봐 주십시오. 앞으로!

목차 보기
  • 향상된 클로닝 기술
  • PSD2: 정의, 영향 및 목표
  • 개정된 결제 서비스 지침(PSD2)
  • 전문 카드 발급 플랫폼 작업: Wallester Edition
  • 마무리

향상된 클로닝 기술

shopping-fintech-customer-point-of-sale-pos-payment-commerce

현재 복제된 EMV 카드의 실시간 인증은 실행 불가능한 작업으로 남아 있습니다. 결제 암호 생성을 위한 필수 암호 키 추출은 악의적인 행위자와 부지런한 연구원 모두에게 어려운 일이었습니다. 그러나 기능적인 카드 복제본을 생성하기 위한 대체 방법이 있음을 인식하는 것이 중요합니다.

범죄자들이 사용하는 그러한 방법 중 하나는 자기 띠에 Track2 등가 값을 새기는 것입니다. Track2 Equivalent로 알려진 카드의 자기 띠에 있는 정보를 복제함으로써 이 기술은 하드웨어 보안 모듈(HSM) 시스템 및 카드 처리를 담당하는 기타 전용 하위 시스템 내에서 카드 식별을 위한 매개변수 역할을 합니다.

결과적으로 악의적인 개인은 때때로 자기 띠에 Track2 등가 데이터를 삽입하여 이 공격을 사용하여 일반적인 자기 띠 거래로 또는 기술적 폴백 모드를 활용하여 사기성 거래를 실행할 수 있습니다. ATM에서 이러한 데이터를 추출하도록 특별히 설계된 장치인 스키머는 이러한 경우에 일반적으로 사용됩니다.

거래를 복제하기 위해 가해자는 EMV 프리플레이 및 리플레이 공격을 사용할 수 있습니다. Re-play 공격은 각 트랜잭션 및 암호의 고유성을 보장하도록 설계된 우회 메커니즘에 중점을 둡니다. 이 취약점을 악용하여 공격자는 원래 카드를 소유하지 않고도 향후 사용을 위해 트랜잭션을 "복제"할 수 있습니다. 손상된 단말기가 동일한 UN(Unpredictable Number) 필드를 생성하는 경우 예측 가능한 UN 값을 가진 카드에서 얻은 암호를 횟수 제한 없이 재사용할 수 있습니다.

다음 날에도 공격자는 이전 날짜로 표시된 인증 요청으로 이전 암호에 대한 정보를 제출할 수 있습니다. Pre-play 체계는 손상된 터미널이 동일한 UN 대신 예측 가능한 UN을 생성할 때 적합해집니다. 이러한 시나리오에서 공격자는 카드에 물리적으로 액세스할 때 향후 사용을 위해 여러 트랜잭션을 복제할 수 있습니다. 그러나 초기 공격과 달리 이 특정 시나리오에서는 각 트랜잭션을 한 번만 사용할 수 있습니다.

관련: WooCommerce PCI 규정 준수: 알아야 할 모든 것!

PSD2: 정의, 영향 및 목표

지갑-돈-신용-직불-카드-결제-보안-안전

2007년에 최초의 결제 서비스 지침이 발표된 이후 시장은 급격한 변화와 수정을 겪었습니다. 기술의 발전과 온라인 결제의 붐도 동전의 이면을 보여준다. 새로운 비즈니스 모델은 종종 규제되지 않은 정책과 함께 제공되는 반면, API 경제의 발전은 유럽에서 지속적으로 증가하는 사기 수준에 기여합니다.

간단히 말해서 PSD2는 모든 지불 서비스가 EU 및 EEA에서 수행할 수 있도록 따라야 하는 표준 및 법률 모음입니다. 이 정책은 인터넷 기반 거래를 보호하고 이론과 실제 모두에서 경제 환경을 강화합니다.

다음은 PSD2를 다른 금융 표준과 구별하는 몇 가지 기능입니다.
  • 규정을 준수하는 서비스 제공업체가 재무 정보를 공개하는 것이 의무화되므로 카드 발급이 더욱 투명해집니다. 동시에 이 혁신은 신규 플레이어가 경쟁력을 갖추도록 지원하고 확고한 조직에 솔루션을 제공합니다.
  • PSD2는 카드 발급 솔루션에 대한 라이센스를 확립했습니다. 한편으로는 경험이 적음에도 불구하고 EU에서 그러한 서비스를 제공하는 기업이 신뢰성과 신뢰성을 입증할 수 있습니다. 한편, 이 방법은 대상 고객이 가장 적합한 카드 발급 및 처리 기관을 쉽게 선택할 수 있어 효율적입니다.
  • PSD2는 강력한 고객 인증과 함께 제공됩니다. 2단계 인증 및 이와 유사한 수단은 온라인 결제의 주요 부분을 백업하고 이러한 금융 운영을 위한 추가 보호 계층 역할을 합니다. 이 지시문에는 약간의 허점이 있습니다. 참여 당사자 중 하나가 EEA 내에 위치하지 않는 경우 소위 SCA를 구현하기 위한 요구 사항을 준수하지 않아야 합니다.

2022년 기준으로 5억 명 이상이 유럽에서 온라인 구매를 할 것으로 예상됩니다. 이 비율은 더욱 증가할 가능성이 있습니다. PSD2 호환 서비스로 엄청난 수의 트랜잭션을 백업하면 확실히 장기적인 이점을 얻을 수 있습니다.

개정된 결제 서비스 지침(PSD2)

Fintech-Google-Pay-Wallet-Buy-Purchase-Shop-Payment

전 세계 모든 국가에는 지불인 확인이 필요하지 않을 때 적용되는 No CVM(Cardholder Verification Method) 한도에 대한 자체 권장 사항이 있습니다. 이것은 일반적으로 Tap & Go 방식으로 알려져 있습니다. 예를 들어, 유럽 경제 지역 내에서 권장되는 거래 한도는 €50입니다.

상점과 인수 은행은 터미널에 대한 자체 제한을 자유롭게 설정할 수 있지만 No CVM 사기와 관련된 위험도 감수합니다. 그렇기 때문에 더 많은 사기꾼을 유인할 수 있으므로 모든 은행이나 상인이 평균보다 높은 한도를 설정하지 않을 수 있습니다.

도난당한 비접촉식 카드와 관련된 일반적인 사기 중 하나는 No CVM 한도 내에서 여러 거래를 수행하여 Tap & Go 체계를 이용하는 것입니다. 사기 방지 시스템은 이러한 거래를 차단하기 위해 개입하는 경우가 거의 없습니다. 일부 대담한 사기꾼은 출납원이 큰 지폐를 각각 £30와 같은 여러 개의 작은 거래로 나누어 효과적으로 제한을 우회하는 것을 발견했습니다.

이러한 사기 행위 방지

이러한 사기 행위를 방지하기 위해 유럽 연합은 결제 서비스 지침 버전 2(PSD2)로 알려진 일련의 새로운 규정을 도입했습니다. 이러한 규정에는 지불인 확인 빈도에 관한 특정 요구 사항이 포함됩니다. 2020년부터 발급 은행은 Tap & Go 임계값 미만의 거래 수에 제한을 두어야 합니다. 총 지출 금액을 추적하고 매 5번의 거래 후 또는 카드 소지자가 5번의 Tap & Go 거래에서 최대 금액(예: 250유로)에 도달할 때 PIN을 묻는 메시지를 표시해야 합니다.

MasterCard 및 Visa는 Tap & Go 한도를 초과하는 거래에 대해 Soft 한도 및 Hard 한도라는 두 가지 대안을 제공합니다. 대부분의 국가는 설정된 한도를 초과하는 결제에 대해 서명 또는 온라인 PIN과 같은 추가 지급인 확인이 필요한 소프트 한도 체계를 따릅니다. 그러나 영국은 'Tap & Go' 한도를 초과하는 지불에 대해 칩 지원 카드 사용을 의무화하는 Hard Limits 체계에 따라 운영됩니다. 이 시나리오는 별도의 제한이 있는 모바일 지갑에는 적용되지 않는다는 점에 유의해야 합니다.

보안 전문가들은 이러한 규칙의 효과를 평가하고 공개적으로 알려진 취약점이나 새로 발견된 변형을 사용하여 규칙을 우회할 수 있는 잠재적인 방법을 탐색하기 위해 테스트를 수행했습니다. 그 결과 훔친 카드와 맞춤형 단말기를 소유한 해커가 손상된 단말기를 사용하여 이러한 한도를 재설정함으로써 미리 정해진 한도를 초과하는 일반 상점에서 결제를 할 수 있는 것으로 나타났습니다.

전문 카드 발급 플랫폼 작업: Wallester Edition

Wallester-White-label-card-issuer-co-brand-payment-solution-screenshot

PSD2의 규범을 따르는 서비스의 수와 다양성은 계속해서 증가하고 있으며, 이는 기업이 자신의 필요와 목표에 가장 적합한 전략적 및 경제적 적합성을 찾을 수 있는 완벽한 기회입니다. Wallester와 협력하여 EU에서 전자 상거래 목적으로 사용하기에 안전한 신용 카드 및 직불 카드를 결정합니다. 3D Secure, 생체 인증, PIN 등과 같은 고급 SCA 기술을 통해 서비스의 잠재 사용자를 위해 신뢰할 수 있고 신뢰할 수 있는 금융 환경을 구축하는 사전 예방적 조치를 취합니다.

SCA 절차의 양과 규칙성은 잠재고객의 쇼핑 행동과 습관에서 판매자 유형에 이르기까지 여러 요인에 의해 결정됩니다.

일반적인 제한 사항 및 확인 목록에는 다음이 포함됩니다.
  • 시스템은 사용 가능한 비접촉 결제 수를 제한하고 한도에 도달하면 최종 사용자가 PIN을 입력하도록 요구합니다.
  • 이 서비스는 구매당 또는 전체 온라인 쇼핑에 지출할 수 있는 최대 금액을 초과하는 경우 결제를 확인합니다.

앞서 언급한 기준은 자체 규정에 따라 다릅니다. Wallester는 고객이 원하는 유형과 수의 카드를 발급할 때 맞춤형 성능 제한을 설정할 수 있도록 합니다. 해당 웹사이트 https://wallester.com을 방문하십시오.

관련 항목: DevOps를 사용한 HIPAA 규정 준수 자동화 | 알아야 할 모든 것!

마무리

결론

비접촉식 은행 카드는 편리함을 제공하지만 사기꾼이 악용할 수 있는 취약점도 있습니다. 레거시 모드와 마그네틱 선의 활용은 보안 위험을 초래하여 공격자가 카드를 복제하고 거래 데이터를 조작할 수 있게 합니다. 이러한 위험에도 불구하고 은행은 호환성, 관련 비용, 사용자 채택 및 국제적 수용을 비롯한 여러 가지 이유로 구식 지불 방법을 계속 지원합니다.

또한 카드 소지자 확인 방법을 우회할 수 있으며 Tap & Go 체계는 남용에 취약합니다. 사기를 방지하기 위해 PSD2와 같은 규정이 도입되었지만 여전히 손상된 터미널을 사용하여 제한을 우회할 수 있습니다. 결제 보안의 지속적인 발전은 이러한 문제를 효과적으로 해결하는 데 매우 중요합니다.

장기적으로 회사의 건강과 지위를 보장하려면 현재 최신 규범과 규정을 얼마나 준수하는지 관리하는 것이 좋습니다. Wallester와 같은 솔루션 덕분에 PSD2 및 SCA 표준을 구현하는 방법에 대해 걱정할 필요가 없습니다. 기본적으로 수행됩니다.