Wallester Insights: PSD2 e forte conformidade com a autenticação do cliente

Publicados: 2023-07-21

Qualquer software deve incluir ferramentas de autenticação para garantir sua credibilidade e usabilidade entre diferentes públicos. Tornou-se um componente crucial da segurança e da arquitetura de segurança, e seu papel dificilmente pode ser subestimado na indústria FinTech. Com várias transações de e-commerce acontecendo a cada segundo, esse mercado está propenso a enfrentar mais ameaças de lavagem de dinheiro e fraude. Nesta perspetiva, escolher um serviço de emissão de cartões que cumpra os padrões de autenticação e cibersegurança de ponta é mais do que uma simples recomendação.

É aí que entram os regulamentos do PSD2. Fique atento para entender o verdadeiro significado do termo e o papel de seu impacto no ambiente financeiro de qualquer negócio. Em frente!

Índice mostra
  • Técnicas de Clonagem Aprimoradas
  • PSD2: Definição, Influência e Objetivos
  • A Diretiva de Serviços de Pagamento Revisada (PSD2)
  • Trabalhando com plataformas de emissão de cartões profissionais: Wallester Edition
  • Embrulhe isso

Técnicas de Clonagem Aprimoradas

compras-fintech-cliente-ponto-de-venda-pós-pagamento-comércio

Atualmente, a autorização em tempo real de cartões EMV clonados continua sendo uma tarefa inviável. A extração de chaves criptográficas essenciais para gerar criptogramas de pagamento permaneceu indescritível tanto para agentes mal-intencionados quanto para pesquisadores diligentes. No entanto, é crucial reconhecer que existem métodos alternativos para criar réplicas de cartões funcionais:

Um desses métodos empregados por criminosos envolve a inscrição do valor Track2 Equivalent na tarja magnética. Ao duplicar as informações presentes na tarja magnética de um cartão, conhecida como Track2 Equivalent, essa técnica serve de parâmetro para a identificação do cartão dentro dos sistemas Hardware Security Module (HSM) e outros subsistemas dedicados responsáveis ​​pelo processamento do cartão.

Consequentemente, indivíduos mal-intencionados ocasionalmente empregam esse ataque incorporando dados equivalentes ao Track2 em uma tarja magnética, permitindo que eles executem transações fraudulentas como transações típicas de tarja magnética ou utilizando o modo de fallback técnico. Skimmers, dispositivos projetados especificamente para extrair esses dados de caixas eletrônicos, são comumente usados ​​nesses casos.

Para duplicar transações, os perpetradores podem recorrer ao emprego dos ataques EMV Pre-play e Re-play. O ataque Re-play se concentra em contornar os mecanismos projetados para garantir a exclusividade de cada transação e criptograma. Ao explorar essa vulnerabilidade, os invasores podem “clonar” transações para uso futuro sem exigir a posse do cartão original. Nos casos em que um terminal comprometido gera o mesmo campo UN (Número Imprevisível), um criptograma obtido do cartão com um valor UN previsível pode ser reutilizado um número ilimitado de vezes.

Mesmo nos dias subsequentes, os invasores podem enviar informações sobre um criptograma antigo com a solicitação de autorização marcada com a data do dia anterior. O esquema Pre-play torna-se relevante quando um terminal comprometido gera uma ONU previsível em vez de idêntica. Nesses cenários, um invasor, mediante acesso físico ao cartão, pode clonar várias transações para uso futuro. No entanto, ao contrário do ataque inicial, cada transação só pode ser usada uma vez neste cenário específico.

Relacionado: WooCommerce PCI Compliance: Tudo o que você precisa saber!

PSD2: Definição, Influência e Objetivos

carteira-dinheiro-crédito-cartão de débito-pagamento-segurança-segurança

Desde que a primeira Diretiva de Serviços de Pagamento foi lançada em 2007, o mercado passou por mudanças e modificações drásticas. O avanço das tecnologias e o boom dos pagamentos online também mostram o lado oposto da moeda. Novos modelos de negócios geralmente vêm com políticas não regulamentadas, enquanto o desenvolvimento da economia de API contribui para o aumento consistente do nível de fraude na Europa.

Em poucas palavras, o PSD2 é um conjunto de normas e leis a serem seguidas por qualquer serviço de pagamento para poder funcionar na UE e no EEE. Essa política protege transações baseadas na Internet e fortalece o ambiente econômico tanto na teoria quanto na prática.

Aqui estão alguns recursos que distinguem a PSD2 de outras normas financeiras:
  • Isso torna a emissão de cartões mais transparente, uma vez que se torna obrigatório para os provedores de serviços em conformidade revelar publicamente suas informações financeiras. Ao mesmo tempo, essa inovação ajuda novos players a serem competitivos e oferecer suas soluções em parceria com organizações bem estabelecidas.
  • A PSD2 estabeleceu o licenciamento para soluções de emissão de cartões. Por um lado, permite às empresas que oferecem tais serviços na UE provar a sua fiabilidade e credibilidade, apesar de terem menos experiência. Por outro lado, esse método também é eficiente para o público-alvo, permitindo que ele escolha com facilidade a melhor instituição emissora e processadora de cartões.
  • O PSD2 vem de mãos dadas com uma forte autenticação do cliente. A autenticação de dois fatores e meios semelhantes respaldam a maior parte dos pagamentos online e servem como uma camada de proteção adicional para tais operações financeiras. Há uma pequena brecha nesta diretiva. Quando um dos contratados não estiver localizado dentro do EEE, não deverá obrigar-se à obrigatoriedade de implementação do chamado SCA.

A partir de 2022, esperava-se que mais de quinhentos milhões de pessoas fizessem compras online na Europa. Essa taxa tende a aumentar ainda mais. O backup de um número tão grande de transações por serviços compatíveis com PSD2 certamente trará benefícios de longo prazo.

A Diretiva de Serviços de Pagamento Revisada (PSD2)

Fintech-Google-Pay-Wallet-Buy-Purchase-Shop-Payment

Cada país do mundo tem suas próprias recomendações sobre os limites Sem CVM (Método de Verificação do Titular do Cartão), que se aplicam quando a verificação do pagador não é necessária. Isso é comumente conhecido como o esquema Tap & Go. Por exemplo, dentro do Espaço Econômico Europeu, há um limite de transação recomendado de € 50.

Embora as lojas e os bancos adquirentes tenham a liberdade de estabelecer seus próprios limites para os terminais, eles também assumem os riscos associados a nenhuma fraude da CVM. É por isso que nem todos os bancos ou estabelecimentos comerciais podem optar por estabelecer limites acima da média, pois isso poderia atrair um número maior de fraudadores.

Um golpe comum envolvendo cartões sem contato roubados é tirar proveito do esquema Tap & Go, realizando várias transações dentro dos limites Sem CVM. Os sistemas antifraude raramente intervêm para bloquear tais transações. Alguns golpistas audaciosos até encontraram caixas dispostos a dividir uma conta grande em várias transações menores, como £ 30 cada, contornando efetivamente as restrições.

Combater essas atividades fraudulentas

Para combater essas atividades fraudulentas, a União Europeia introduziu um conjunto de novos regulamentos conhecidos como Diretiva de Serviços de Pagamento, versão 2 (PSD2). Esses regulamentos incluem requisitos específicos sobre a frequência da verificação do pagador. A partir de 2020, os bancos emissores são obrigados a impor limites ao número de transações abaixo do limite Tap & Go. Eles devem rastrear o valor total gasto e solicitar um PIN a cada cinco transações ou quando o titular do cartão atingir o equivalente ao valor máximo em cinco transações Tap & Go, como 250 euros.

MasterCard e Visa fornecem duas alternativas para transações que excedem os limites Tap & Go: limites flexíveis e limites rígidos. A maioria dos países segue o esquema de limites flexíveis, que exige verificação adicional do pagador, como assinatura ou PIN online, para pagamentos acima do limite definido. No entanto, o Reino Unido opera sob o esquema Hard Limits, que exige o uso de um cartão habilitado para chip para pagamentos que excedam os limites 'Tap & Go'. É importante observar que esse cenário não se aplica a carteiras móveis, pois elas têm limites separados.

Especialistas em segurança realizaram testes para avaliar a eficácia dessas regras e explorar possíveis maneiras de contorná-las usando vulnerabilidades conhecidas publicamente ou variações recém-descobertas. Os resultados revelaram que os hackers que possuem cartões roubados e um terminal personalizado podem fazer pagamentos em lojas regulares que excedam os limites predeterminados, redefinindo esses limites usando o terminal comprometido.

Trabalhando com plataformas de emissão de cartões profissionais: Wallester Edition

Wallester-White-label-card-emissor-co-brand-solução de pagamento-captura de tela

O número e a variedade de serviços que seguem as normas do PSD2 não param de aumentar, o que é uma oportunidade perfeita para as empresas encontrarem o melhor ajuste estratégico e econômico para suas necessidades e objetivos. Ao cooperar com a Wallester, você decide sobre os cartões de crédito e débito que são seguros para uso na UE para fins de comércio eletrônico. Com tecnologias avançadas de SCA, como 3D Secure, verificação biométrica, PIN e outras, você dá um passo proativo para estabelecer um ambiente financeiro confiável e confiável para possíveis usuários de seus serviços.

A quantidade e a regularidade dos procedimentos SCA são determinadas por vários fatores — desde o comportamento e hábitos de compra do seu público até o tipo de comerciante que você é.

A lista de limitações e verificações típicas inclui o seguinte:
  • O sistema restringirá o número disponível de pagamentos sem contato e exigirá que os usuários finais digitem um PIN quando o limite for atingido.
  • O serviço verifica os pagamentos se excederem o valor máximo a ser gasto por compra ou para compras online em geral.

Os critérios acima mencionados também dependem de seus próprios regulamentos. O Wallester permite que os clientes configurem restrições de desempenho personalizadas ao emitir o tipo e o número de cartões desejados, visite o site https://wallester.com.

Relacionado: Automação de conformidade HIPAA com DevOps | Tudo que você precisa saber!

Embrulhe isso

conclusão

Embora os cartões bancários sem contato ofereçam conveniência, eles também possuem vulnerabilidades que podem ser exploradas por fraudadores. Os modos legados e a utilização de tarjas magnéticas apresentam riscos de segurança, permitindo que invasores clonem cartões e manipulem dados de transações. Apesar desses riscos, os bancos continuam a oferecer suporte a métodos de pagamento desatualizados por vários motivos, incluindo compatibilidade, custos associados, adoção pelo usuário e aceitação internacional.

Além disso, os métodos de verificação do titular do cartão podem ser contornados e o esquema Tap & Go é suscetível a abusos. Embora regulamentos como o PSD2 tenham sido introduzidos para combater a fraude, os limites ainda podem ser contornados usando terminais comprometidos. Avanços contínuos na segurança de pagamentos são cruciais para enfrentar esses desafios de maneira eficaz.

Se você deseja garantir a saúde e o status de sua empresa a longo prazo, é melhor cuidar de como ela está em conformidade com as normas e regulamentos mais recentes agora. Graças a soluções como Wallester, você não precisa se preocupar em como implementar os padrões PSD2 e SCA — isso é feito para você por padrão.