Wallester Insights: PSD2 și conformitatea puternică cu autentificarea clienților

Publicat: 2023-07-21

Orice software trebuie să includă instrumente de autentificare pentru a-și asigura credibilitatea și capacitatea de utilizare în rândul diferitelor audiențe. A devenit o componentă crucială a arhitecturii de siguranță și securitate, iar rolul său poate fi cu greu subestimat în industria FinTech. Cu mai multe tranzacții de comerț electronic care au loc în fiecare secundă, această piață este predispusă să se confrunte cu mai multe amenințări de spălare de bani și fraudă. Din această perspectivă, alegerea unui serviciu de emitere de carduri care respectă standardele de autentificare și securitate cibernetică de vârf este mai mult decât o simplă recomandare.

Aici intervin reglementările PSD2. Rămâneți la curent pentru a înțelege sensul real al termenului și rolul impactului acestuia asupra mediului financiar al oricărei afaceri. Mai departe!

Cuprins arată
  • Tehnici de clonare îmbunătățite
  • PSD2: Definiție, influență și obiective
  • Directiva revizuită privind serviciile de plată (PSD2)
  • Lucrul cu platformele profesionale de emitere a cardurilor: Wallester Edition
  • Încheiați-l

Tehnici de clonare îmbunătățite

cumpărături-fintech-client-punctul-de-vânzare-pos-plată-comerț

În prezent, autorizarea în timp real a cardurilor EMV clonate rămâne o sarcină imposibil de realizat. Extragerea cheilor criptografice esențiale pentru generarea criptogramelor de plată a rămas evazivă atât pentru actorii rău intenționați, cât și pentru cercetătorii diligenti. Cu toate acestea, este esențial să recunoaștem că există metode alternative pentru a crea replici funcționale de card:

O astfel de metodă folosită de criminali implică înscrierea valorii Track2 echivalent pe banda magnetică. Prin duplicarea informațiilor prezente pe banda magnetică a unui card, cunoscută sub numele de echivalentul Track2, această tehnică servește ca parametru pentru identificarea cardului în sistemele Hardware Security Module (HSM) și în alte subsisteme dedicate responsabile de procesarea cardului.

În consecință, persoanele rău intenționate folosesc ocazional acest atac prin încorporarea datelor echivalente Track2 pe o bandă magnetică, permițându-le să execute tranzacții frauduloase fie ca tranzacții tipice cu bandă magnetică, fie prin utilizarea modului de rezervă tehnic. Skimmer-urile, dispozitive special concepute pentru a extrage astfel de date de la ATM-uri, sunt utilizate în mod obișnuit în aceste cazuri.

Pentru a duplica tranzacțiile, autorii pot recurge la atacurile EMV Pre-play și Re-play. Atacul Re-play se concentrează pe mecanismele de eludare concepute pentru a asigura unicitatea fiecărei tranzacții și criptograme. Prin exploatarea acestei vulnerabilități, atacatorii pot „clona” tranzacții pentru utilizare ulterioară fără a necesita posesia cardului original. În cazurile în care un terminal compromis generează același câmp UN (Unpredictable Number), o criptogramă obținută de pe card cu o valoare UN previzibilă poate fi reutilizată de un număr nelimitat de ori.

Chiar și în zilele următoare, atacatorii pot trimite informații despre o criptogramă veche cu cererea de autorizare marcată cu data zilei precedente. Schema Pre-play devine relevantă atunci când un terminal compromis generează un ONU previzibil în loc de unul identic. În astfel de scenarii, un atacator, la accesul fizic la card, poate clona mai multe tranzacții pentru utilizare ulterioară. Cu toate acestea, spre deosebire de atacul inițial, fiecare tranzacție poate fi folosită o singură dată în acest scenariu particular.

Înrudit: Conformitatea WooCommerce PCI: tot ce trebuie să știți!

PSD2: Definiție, influență și obiective

portofel-bani-credit-card-debit-securitate-plata-siguranta

De când prima directivă privind serviciile de plată a fost lansată în 2007, piața a suferit schimbări și modificări drastice. Avansarea tehnologiilor și boom-ul plăților online arată și partea opusă a monedei. Noile modele de afaceri vin adesea cu politici nereglementate, în timp ce dezvoltarea economiei API contribuie la creșterea constantă a nivelului de fraudă în Europa.

Pe scurt, PSD2 este o suită de standarde și legi pentru orice serviciu de plată de urmat pentru a putea funcționa în UE și SEE. Această politică securizează tranzacțiile pe internet și întărește mediul economic atât în ​​teorie, cât și în practică.

Iată câteva caracteristici care disting PSD2 de alte norme financiare:
  • Face emiterea de carduri mai transparentă, deoarece devine obligatoriu pentru furnizorii de servicii care se conformează să-și dezvăluie informațiile financiare în mod public. În același timp, această inovație îi ajută pe noii jucători să fie competitivi și să-și ofere soluțiile pe pereche de organizații bine stabilite.
  • PSD2 a stabilit licențiere pentru soluțiile de emitere a cardurilor. Pe de o parte, permite întreprinderilor care oferă astfel de servicii în UE să-și demonstreze fiabilitatea și credibilitatea, în ciuda faptului că au mai puțină experiență. Pe de altă parte, această metodă este eficientă și pentru publicul țintă, permițându-le să aleagă cu ușurință cea mai bună instituție de emitere și procesare a cardurilor.
  • PSD2 vine mână în mână cu autentificarea puternică a clienților. Autentificarea cu doi factori și mijloace similare asigură o copie de rezervă a majorității plăților online și servesc ca un strat suplimentar de protecție pentru astfel de operațiuni financiare. Există o mică lacună în această directivă. Atunci când una dintre părțile angajate nu este situată în SEE, aceasta nu ar trebui să oblige la cerința de a implementa așa-numitul SCA.

Începând cu 2022, se aștepta ca peste cinci sute de milioane de oameni să facă achiziții online în Europa. Este posibil ca această rată să crească și mai mult. Salvarea unui număr atât de mare de tranzacții prin servicii conforme cu PSD2 va aduce cu siguranță beneficii pe termen lung.

Directiva revizuită privind serviciile de plată (PSD2)

Fintech-Google-Pay-Wallet-Buy-Purchase-Shop-Payment

Fiecare țară din întreaga lume are propriile recomandări cu privire la limitele fără CVM (Metoda de verificare a titularului de card), care se aplică atunci când nu este necesară verificarea plătitorului. Aceasta este cunoscută în mod obișnuit ca schema Tap & Go. De exemplu, în Spațiul Economic European, există o limită recomandată pentru tranzacții de 50 EUR.

În timp ce magazinele și băncile achizitoare au libertatea de a-și stabili propriile limite pentru terminale, ele își asumă și riscurile asociate de fraudă fără CVM. Acesta este motivul pentru care nu toate băncile sau comercianții pot alege să stabilească limite mai mari decât media, deoarece ar putea atrage un număr mai mare de fraudatori.

O înșelătorie răspândită care implică carduri fără contact furate este să profite de schema Tap & Go prin efectuarea de tranzacții multiple în limitele No CVM. Sistemele antifraudă intervin rar pentru a bloca astfel de tranzacții. Unii escroci îndrăzneți au găsit chiar și casierii dispuși să împartă o factură mare în mai multe tranzacții mai mici, cum ar fi 30 de lire sterline fiecare, ocolind efectiv restricțiile.

Combaterea acestor activități frauduloase

Pentru a combate aceste activități frauduloase, Uniunea Europeană a introdus un set de noi reglementări cunoscute sub numele de Directiva privind serviciile de plată, versiunea 2 (PSD2). Aceste reglementări includ cerințe specifice privind frecvența verificării plătitorului. Începând din 2020, băncile emitente sunt obligate să impună limite pentru numărul de tranzacții sub pragul Tap & Go. Ei trebuie să urmărească suma totală cheltuită și să solicite un PIN după fiecare cinci tranzacții sau atunci când deținătorul cardului atinge echivalentul sumei maxime pentru cinci tranzacții Tap & Go, cum ar fi 250 de euro.

MasterCard și Visa oferă două alternative pentru tranzacțiile care depășesc limitele Tap & Go: limite soft și limite hard. Majoritatea țărilor urmează schema Soft limits, care necesită o verificare suplimentară a plătitorului, cum ar fi o semnătură sau un PIN online, pentru plățile peste limita stabilită. Cu toate acestea, Regatul Unit operează în cadrul schemei Hard Limits, care impune utilizarea unui card cu cip pentru plățile care depășesc limitele „Tap & Go”. Este important de reținut că acest scenariu nu se aplică portofelelor mobile, deoarece acestea au limite separate.

Experții în securitate au efectuat teste pentru a evalua eficacitatea acestor reguli și pentru a explora modalități potențiale în care acestea pot fi ocolite folosind vulnerabilități cunoscute public sau variante nou descoperite. Rezultatele au arătat că hackerii care dețin carduri furate și un terminal personalizat ar putea efectua plăți în magazine obișnuite care depășesc limitele predeterminate prin resetarea acestor limite folosind terminalul lor compromis.

Lucrul cu platformele profesionale de emitere a cardurilor: Wallester Edition

Wallester-White-label-card-issuer-co-brand-payment-solution-screenshot

Numărul și varietatea serviciilor care urmează normele PSD2 continuă să crească, ceea ce reprezintă o oportunitate perfectă pentru companii de a găsi cea mai bună potrivire strategică și economică pentru nevoile și obiectivele lor. Prin cooperarea cu Wallester, decideți asupra cardurilor de credit și de debit care pot fi utilizate în siguranță în UE în scopuri de comerț electronic. Cu tehnologii SCA avansate precum 3D Secure, verificare biometrică, PIN și altele, faceți un pas proactiv înainte, stabilind un mediu financiar de încredere și credibil pentru potențialii utilizatori ai serviciilor dumneavoastră.

Cantitatea și regularitatea procedurilor SCA sunt determinate de mai mulți factori — de la comportamentul și obiceiurile de cumpărături ale publicului dvs. până la tipul de comerciant care sunteți.

Lista limitărilor și verificărilor tipice include următoarele:
  • Sistemul va restricționa numărul disponibil de plăți fără contact și va solicita utilizatorilor finali să introducă un PIN atunci când limita este atinsă.
  • Serviciul verifică plățile dacă depășesc suma maximă de bani de cheltuită per achiziție sau pentru cumpărături online în general.

Criteriile menționate mai sus depind și de propriile reglementări. Wallester permite clienților să stabilească restricții de performanță personalizate atunci când emit tipul și numărul dorit de carduri, vizitați site-ul lor https://wallester.com.

Înrudit: Automatizarea conformității HIPAA cu DevOps | Tot ce trebuie să știți!

Încheiați-l

concluzie

În timp ce cardurile bancare fără contact oferă confort, ele posedă și vulnerabilități care pot fi exploatate de fraudatori. Modurile vechi și utilizarea benzilor magnetice introduc riscuri de securitate, permițând atacatorilor să cloneze carduri și să manipuleze datele tranzacțiilor. În ciuda acestor riscuri, băncile continuă să accepte metode de plată învechite din mai multe motive, inclusiv compatibilitate, costuri asociate, adoptarea de către utilizatori și acceptarea internațională.

Mai mult, metodele de verificare a deținătorului de card pot fi ocolite, iar schema Tap & Go este susceptibilă de abuz. Deși au fost introduse reglementări precum PSD2 pentru a combate frauda, ​​limitele pot fi încă ocolite folosind terminale compromise. Progresele continue în domeniul securității plăților sunt esențiale pentru a aborda în mod eficient aceste provocări.

Dacă doriți să asigurați sănătatea și statutul companiei dvs. pe termen lung, este mai bine să aveți grijă de cât de conformă este acum cu cele mai recente norme și reglementări. Datorită soluțiilor precum Wallester, nu trebuie să vă faceți griji cu privire la modul de implementare a standardelor PSD2 și SCA - este făcut pentru dvs. în mod implicit.