Wallester Insights: Zgodność z PSD2 i silnym uwierzytelnianiem klienta

Każde oprogramowanie musi zawierać narzędzia uwierzytelniające, aby zapewnić jego wiarygodność i użyteczność wśród różnych odbiorców. Stał się kluczowym elementem architektury bezpieczeństwa i ochrony, a jego roli w branży FinTech trudno nie docenić. Ponieważ co sekundę odbywa się kilka transakcji e-commerce, rynek ten jest narażony na więcej zagrożeń związanych z praniem pieniędzy i oszustwami. Z tej perspektywy wybór usługi wydawania kart, która spełnia wysokie standardy uwierzytelniania i cyberbezpieczeństwa, to coś więcej niż zwykła rekomendacja.

I tu właśnie wkraczają przepisy PSD2. Bądź na bieżąco, aby zrozumieć prawdziwe znaczenie tego terminu i rolę, jaką ma on wpływ na środowisko finansowe każdej firmy. Dalej!

Ulepszone techniki klonowania

Obecnie autoryzacja sklonowanych kart EMV w czasie rzeczywistym pozostaje zadaniem niewykonalnym. Wydobywanie kluczy kryptograficznych niezbędnych do generowania kryptogramów płatności pozostaje nieuchwytne zarówno dla złośliwych aktorów, jak i sumiennych badaczy. Kluczowe jest jednak uznanie, że istnieją alternatywne metody tworzenia funkcjonalnych replik kart:

Jedna z takich metod stosowanych przez przestępców polega na wpisaniu wartości Track2 Equivalent na pasku magnetycznym. Dzięki powielaniu informacji znajdujących się na pasku magnetycznym karty, znanym jako Track2 Equivalent, technika ta służy jako parametr do identyfikacji karty w systemach Hardware Security Module (HSM) i innych dedykowanych podsystemach odpowiedzialnych za przetwarzanie kart.

W związku z tym złośliwe osoby od czasu do czasu wykorzystują ten atak, umieszczając dane ekwiwalentne Track2 na pasku magnetycznym, umożliwiając im przeprowadzanie oszukańczych transakcji jako typowych transakcji z paskiem magnetycznym lub z wykorzystaniem technicznego trybu awaryjnego. W takich przypadkach powszechnie stosuje się skimmery, urządzenia specjalnie zaprojektowane do wydobywania takich danych z bankomatów.

Aby zduplikować transakcje, przestępcy mogą uciekać się do ataków EMV Pre-play i Re-play. Atak Re-play koncentruje się na omijaniu mechanizmów zaprojektowanych w celu zapewnienia unikalności każdej transakcji i kryptogramu. Wykorzystując tę ​​lukę, osoby atakujące mogą „klonować” transakcje do wykorzystania w przyszłości bez konieczności posiadania oryginalnej karty. W przypadkach, gdy zainfekowany terminal generuje to samo pole UN (nieprzewidywalna liczba), kryptogram uzyskany z karty z przewidywalną wartością UN może być ponownie wykorzystany nieograniczoną liczbę razy.

Nawet w kolejnych dniach atakujący mogą przesłać informacje o starym kryptogramie z żądaniem autoryzacji oznaczonym datą z poprzedniego dnia. Schemat gry wstępnej staje się istotny, gdy zagrożony terminal generuje przewidywalny numer ONZ zamiast identycznego. W takich scenariuszach osoba atakująca, mając fizyczny dostęp do karty, może sklonować wiele transakcji do wykorzystania w przyszłości. Jednak w przeciwieństwie do początkowego ataku, każda transakcja może być wykorzystana tylko raz w tym konkretnym scenariuszu.

Powiązane: Zgodność WooCommerce z PCI: wszystko, co musisz wiedzieć!

PSD2: definicja, wpływ i cele

Od czasu wydania pierwszej dyrektywy w sprawie usług płatniczych w 2007 r. rynek przeszedł drastyczne zmiany i modyfikacje. Postęp technologiczny i boom płatności internetowych pokazują też drugą stronę medalu. Nowe modele biznesowe często wiążą się z nieuregulowanymi zasadami, a rozwój ekonomii API przyczynia się do stale rosnącego poziomu oszustw w Europie.

W skrócie PSD2 to zestaw standardów i praw, których należy przestrzegać, aby każda usługa płatnicza mogła działać w UE i EOG. Polityka ta zabezpiecza transakcje internetowe i wzmacnia otoczenie gospodarcze zarówno w teorii, jak iw praktyce.

Oto kilka cech, które odróżniają PSD2 od innych norm finansowych:

• Sprawia, że ​​wydawanie kart jest bardziej przejrzyste, ponieważ usługodawcy spełniający wymogi stają się zobowiązani do publicznego ujawniania swoich informacji finansowych. Jednocześnie ta innowacja pomaga nowym graczom być konkurencyjnymi i oferować swoje rozwiązania w parach organizacji o ugruntowanej pozycji.
• PSD2 ustanowiło zasady licencjonowania rozwiązań w zakresie wydawania kart. Z jednej strony umożliwia firmom oferującym tego typu usługi w UE wykazanie się rzetelnością i wiarygodnością, mimo mniejszego doświadczenia. Z drugiej strony ta metoda jest również skuteczna dla docelowych odbiorców, pozwalając im łatwo wybrać najlepszą instytucję wydającą i przetwarzającą karty.
• PSD2 idzie w parze z silnym uwierzytelnianiem klienta. Uwierzytelnianie dwuskładnikowe i podobne środki stanowią kopię zapasową większości płatności online i służą jako dodatkowa warstwa ochrony dla takich operacji finansowych. W tej dyrektywie jest mała luka. Gdy jedna z zaangażowanych stron nie jest zlokalizowana na terenie EOG, nie powinno to obligować do wymogu wdrożenia tzw. SCA.

Oczekuje się, że od 2022 r. ponad pięćset milionów ludzi dokona zakupów online w Europie. Wskaźnik ten prawdopodobnie jeszcze wzrośnie. Wspieranie tak ogromnej liczby transakcji przez usługi zgodne z PSD2 z pewnością przyniesie długofalowe korzyści.

Zmieniona dyrektywa w sprawie usług płatniczych (PSD2)

Każdy kraj na świecie ma swoje własne zalecenia dotyczące limitów No CVM (metody weryfikacji posiadacza karty), które mają zastosowanie, gdy weryfikacja płatnika nie jest wymagana. Jest to powszechnie znane jako schemat Tap & Go. Na przykład w Europejskim Obszarze Gospodarczym zalecany limit transakcji wynosi 50 euro.

Podczas gdy sklepy i banki przejmujące mają swobodę ustalania własnych limitów dla terminali, przyjmują również związane z tym ryzyko oszustwa No CVM. Dlatego nie wszystkie banki lub akceptanci mogą zdecydować się na ustawienie limitów wyższych niż średnia, ponieważ może to przyciągnąć większą liczbę oszustów.

Jednym z powszechnych oszustw związanych z kradzionymi kartami zbliżeniowymi jest wykorzystywanie schematu Tap & Go poprzez przeprowadzanie wielu transakcji w ramach limitów No CVM. Systemy zwalczania oszustw rzadko interweniują w celu zablokowania takich transakcji. Niektórzy zuchwali oszuści znaleźli nawet kasjerów gotowych podzielić duży rachunek na kilka mniejszych transakcji, takich jak 30 funtów każda, skutecznie omijając ograniczenia.

Zwalczanie tych oszukańczych działań

Aby zwalczać te oszustwa, Unia Europejska wprowadziła zestaw nowych przepisów, znanych jako dyrektywa o usługach płatniczych, wersja 2 (PSD2). Regulacje te zawierają szczegółowe wymagania dotyczące częstotliwości weryfikacji płatnika. Od 2020 roku banki wydające karty mają obowiązek nałożyć limity na liczbę transakcji poniżej progu Tap & Go. Muszą śledzić całkowitą wydaną kwotę i prosić o kod PIN po każdych pięciu transakcjach lub gdy posiadacz karty osiągnie równowartość maksymalnej kwoty w pięciu transakcjach Tap & Go, na przykład 250 euro.

MasterCard i Visa zapewniają dwie alternatywy dla transakcji przekraczających limity Tap & Go: limity miękkie i limity twarde. Większość krajów stosuje schemat miękkich limitów, który wymaga dodatkowej weryfikacji płatnika, takiej jak podpis lub internetowy PIN, w przypadku płatności powyżej ustalonego limitu. Jednak Wielka Brytania działa w ramach programu Hard Limits, który nakazuje używanie karty z chipem do płatności przekraczających limity „Dotknij i idź”. Należy zauważyć, że ten scenariusz nie dotyczy portfeli mobilnych, ponieważ mają one osobne limity.

Eksperci ds. bezpieczeństwa przeprowadzili testy w celu oceny skuteczności tych reguł i zbadania potencjalnych sposobów ich obejścia przy użyciu publicznie znanych luk w zabezpieczeniach lub nowo odkrytych odmian. Wyniki ujawniły, że hakerzy posiadający skradzione karty i dostosowany terminal mogli dokonywać płatności w zwykłych sklepach, które przekraczają z góry określone limity, resetując te limity za pomocą zainfekowanego terminala.

Praca z profesjonalnymi platformami do wydawania kart: wersja Wallester

Liczba i różnorodność usług zgodnych z normami PSD2 stale rośnie, co jest doskonałą okazją dla firm do znalezienia najlepszego strategicznego i ekonomicznego dopasowania do ich potrzeb i celów. Współpracując z Wallester, decydujesz się na karty kredytowe i debetowe, których możesz bezpiecznie używać w UE do celów e-commerce. Dzięki zaawansowanym technologiom SCA, takim jak 3D Secure, weryfikacja biometryczna, kod PIN i inne, robisz proaktywny krok naprzód, tworząc niezawodne i wiarygodne środowisko finansowe dla potencjalnych użytkowników Twoich usług.

Ilość i regularność procedur SCA zależy od kilku czynników — od zachowań i nawyków zakupowych Twoich odbiorców po to, jakim jesteś sprzedawcą.

Lista typowych ograniczeń i kontroli obejmuje:

• System ograniczy dostępną liczbę płatności zbliżeniowych i po wyczerpaniu limitu będzie wymagał od użytkowników końcowych wpisania kodu PIN.
• Usługa weryfikuje płatności, jeśli przekraczają one maksymalną kwotę do wydania na zakup lub ogólnie na zakupy online.

Powyższe kryteria zależą również od własnych przepisów. Wallester umożliwia klientom konfigurowanie niestandardowych ograniczeń wydajności podczas wydawania żądanego typu i liczby kart, odwiedź ich stronę internetową https://wallester.com.

Powiązane: Automatyzacja zgodności z HIPAA za pomocą DevOps | Wszystko co musisz wiedzieć!

Zawiń to

Chociaż zbliżeniowe karty bankowe zapewniają wygodę, mają również luki w zabezpieczeniach, które mogą zostać wykorzystane przez oszustów. Starsze tryby i wykorzystanie pasków magnetycznych stwarzają zagrożenia dla bezpieczeństwa, umożliwiając atakującym klonowanie kart i manipulowanie danymi transakcji. Pomimo tych zagrożeń banki nadal wspierają przestarzałe metody płatności z kilku powodów, w tym kompatybilności, powiązanych kosztów, przyjęcia przez użytkowników i akceptacji międzynarodowej.

Ponadto metody weryfikacji posiadacza karty można obejść, a schemat Tap & Go jest podatny na nadużycia. Chociaż przepisy, takie jak PSD2, zostały wprowadzone w celu zwalczania oszustw, nadal można ominąć ograniczenia za pomocą zainfekowanych terminali. Ciągłe postępy w zakresie bezpieczeństwa płatności mają kluczowe znaczenie dla skutecznego stawienia czoła tym wyzwaniom.

Jeśli chcesz zapewnić swojej firmie dobrą kondycję i status w dłuższej perspektywie, lepiej już teraz zadbać o jej zgodność z najnowszymi normami i przepisami. Dzięki rozwiązaniom takim jak Wallester nie musisz martwić się o to, jak wdrożyć standardy PSD2 i SCA — domyślnie zrobi to za Ciebie.