Wallester Insights: PSD2 และการปฏิบัติตามการรับรองความถูกต้องของลูกค้าที่แข็งแกร่ง

เผยแพร่แล้ว: 2023-07-21

ซอฟต์แวร์ใด ๆ ต้องมีเครื่องมือตรวจสอบความถูกต้องเพื่อให้มั่นใจถึงความน่าเชื่อถือและการใช้งานในกลุ่มผู้ชมที่แตกต่างกัน มันได้กลายเป็นองค์ประกอบสำคัญของสถาปัตยกรรมด้านความปลอดภัยและความปลอดภัย และแทบจะไม่สามารถประเมินบทบาทของมันในอุตสาหกรรม FinTech ต่ำเกินไป ด้วยธุรกรรมอีคอมเมิร์ซหลายรายการที่เกิดขึ้นทุกวินาที ตลาดนี้มีแนวโน้มที่จะเผชิญกับภัยคุกคามจากการฟอกเงินและการฉ้อโกงมากขึ้น จากมุมมองนี้ การเลือกบริการออกบัตรที่สอดคล้องกับมาตรฐานการรับรองความถูกต้องระดับสูงและความปลอดภัยทางไซเบอร์เป็นมากกว่าคำแนะนำง่ายๆ

นั่นคือที่มาของกฎระเบียบ PSD2 คอยติดตามเพื่อทำความเข้าใจความหมายที่แท้จริงของคำและบทบาทของผลกระทบต่อสภาพแวดล้อมทางการเงินของธุรกิจใดๆ เป็นต้นไป!

แสดง สารบัญ
  • เทคนิคการโคลนขั้นสูง
  • PSD2: ความหมาย อิทธิพล และเป้าหมาย
  • คำสั่งบริการชำระเงินฉบับแก้ไข (PSD2)
  • การทำงานกับแพลตฟอร์มการออกบัตรระดับมืออาชีพ: Wallester Edition
  • ห่อมันขึ้น

เทคนิคการโคลนขั้นสูง

ช้อปปิ้งฟินเทคลูกค้า ณ จุดขาย pos-payment-commerce

ปัจจุบัน การอนุญาตแบบเรียลไทม์ของการ์ด EMV ที่โคลนยังคงเป็นงานที่เป็นไปไม่ได้ การสกัดคีย์การเข้ารหัสลับที่จำเป็นสำหรับการสร้างรหัสลับการชำระเงินยังคงเป็นเรื่องยากสำหรับทั้งผู้ประสงค์ร้ายและนักวิจัยที่ขยันขันแข็ง อย่างไรก็ตาม สิ่งสำคัญคือต้องตระหนักว่ามีวิธีการอื่นในการสร้างแบบจำลองการ์ดที่ใช้งานได้:

วิธีการหนึ่งที่อาชญากรใช้คือการจารึกค่าเทียบเท่า Track2 ลงบนแถบแม่เหล็ก ด้วยการทำซ้ำข้อมูลที่ปรากฏบนแถบแม่เหล็กของการ์ด ซึ่งเรียกว่า Track2 Equivalent เทคนิคนี้ทำหน้าที่เป็นพารามิเตอร์สำหรับการระบุการ์ดภายในระบบ Hardware Security Module (HSM) และระบบย่อยเฉพาะอื่นๆ ที่รับผิดชอบในการประมวลผลการ์ด

ดังนั้น ผู้ไม่ประสงค์ดีจึงใช้การโจมตีนี้เป็นครั้งคราวโดยการฝัง Track2 Equivalent Data ลงบนแถบแม่เหล็ก ทำให้พวกเขาสามารถทำธุรกรรมฉ้อฉลได้ ไม่ว่าจะเป็นธุรกรรมในแถบแม่เหล็กทั่วไปหรือโดยใช้โหมดสำรองทางเทคนิค Skimmers ซึ่งเป็นอุปกรณ์ที่ออกแบบมาโดยเฉพาะเพื่อดึงข้อมูลดังกล่าวจาก ATM มักใช้ในกรณีเหล่านี้

เพื่อทำธุรกรรมซ้ำ ผู้กระทำผิดอาจใช้การโจมตีแบบเล่นล่วงหน้าและเล่นซ้ำด้วย EMV การโจมตี Re-play มุ่งเน้นไปที่กลไกการหลีกเลี่ยงที่ออกแบบมาเพื่อให้แน่ใจว่าธุรกรรมและรหัสลับแต่ละรายการมีเอกลักษณ์เฉพาะตัว การใช้ประโยชน์จากช่องโหว่นี้ทำให้ผู้โจมตีสามารถ "โคลน" ธุรกรรมเพื่อใช้ในอนาคตโดยไม่ต้องใช้บัตรเดิม ในกรณีที่เทอร์มินัลถูกบุกรุกสร้างฟิลด์ UN (Unpredictable Number) เดียวกัน สามารถนำรหัสลับที่ได้รับจากการ์ดที่มีค่า UN ที่คาดเดาได้มาใช้ซ้ำได้ไม่จำกัดจำนวนครั้ง

แม้ในวันต่อมา ผู้โจมตีสามารถส่งข้อมูลเกี่ยวกับรหัสลับแบบเก่าพร้อมคำขออนุญาตที่ทำเครื่องหมายด้วยวันที่ของวันก่อนหน้า รูปแบบการเล่นล่วงหน้าจะมีความเกี่ยวข้องเมื่อเทอร์มินัลที่ถูกบุกรุกสร้าง UN ที่คาดเดาได้แทนที่จะเป็นเทอร์มินัลที่เหมือนกัน ในสถานการณ์ดังกล่าว ผู้โจมตีเมื่อเข้าถึงบัตรแล้ว สามารถโคลนธุรกรรมหลายรายการเพื่อใช้ในอนาคตได้ อย่างไรก็ตาม ไม่เหมือนการโจมตีครั้งแรก ธุรกรรมแต่ละรายการสามารถใช้ได้เพียงครั้งเดียวในสถานการณ์เฉพาะนี้

ที่เกี่ยวข้อง: การปฏิบัติตาม WooCommerce PCI: ทุกสิ่งที่คุณต้องรู้!

PSD2: ความหมาย อิทธิพล และเป้าหมาย

wallet-money-credit-debit-card-payment-security-safety

นับตั้งแต่คำสั่งบริการการชำระเงินฉบับแรกเปิดตัวในปี 2550 ตลาดได้ผ่านการเปลี่ยนแปลงและแก้ไขครั้งใหญ่ ความก้าวหน้าของเทคโนโลยีและการเติบโตของการชำระเงินออนไลน์ยังแสดงให้เห็นด้านตรงข้ามของเหรียญ รูปแบบธุรกิจใหม่มักมาพร้อมกับนโยบายที่ไม่มีการควบคุม ในขณะที่การพัฒนาระบบเศรษฐกิจ API มีส่วนทำให้ระดับการฉ้อโกงในยุโรปเพิ่มขึ้นอย่างต่อเนื่อง

โดยสังเขป PSD2 เป็นชุดมาตรฐานและกฎหมายสำหรับบริการชำระเงินใด ๆ ที่จะต้องปฏิบัติตามเพื่อให้สามารถใช้งานได้ในสหภาพยุโรปและเขตเศรษฐกิจยุโรป นโยบายนี้รับประกันการทำธุรกรรมทางอินเทอร์เน็ตและเสริมสร้างสภาพแวดล้อมทางเศรษฐกิจทั้งทางทฤษฎีและทางปฏิบัติ

ต่อไปนี้เป็นคุณลักษณะบางอย่างที่ทำให้ PSD2 แตกต่างจากบรรทัดฐานทางการเงินอื่นๆ:
  • ทำให้การออกบัตรมีความโปร่งใสมากขึ้นเนื่องจากผู้ให้บริการที่ปฏิบัติตามข้อกำหนดต้องเปิดเผยข้อมูลทางการเงินต่อสาธารณะ ในขณะเดียวกัน นวัตกรรมนี้ช่วยให้ผู้เล่นรายใหม่สามารถแข่งขันได้และนำเสนอโซลูชันของพวกเขาในองค์กรที่มั่นคง
  • PSD2 ได้กำหนดสิทธิการใช้งานสำหรับโซลูชั่นการออกบัตร ในแง่หนึ่ง จะช่วยให้ธุรกิจที่ให้บริการดังกล่าวในสหภาพยุโรปสามารถพิสูจน์ความน่าเชื่อถือและความน่าเชื่อถือได้ แม้จะมีประสบการณ์น้อยกว่าก็ตาม ในทางกลับกัน วิธีการนี้ยังมีประสิทธิภาพสำหรับกลุ่มเป้าหมาย ช่วยให้พวกเขาเลือกสถาบันผู้ออกบัตรและดำเนินการที่ดีที่สุดได้อย่างง่ายดาย
  • PSD2 มาพร้อมกับการรับรองความถูกต้องของลูกค้าที่แข็งแกร่ง การรับรองความถูกต้องด้วยสองปัจจัยและวิธีการที่คล้ายกันสำรองส่วนหลักของการชำระเงินออนไลน์และทำหน้าที่เป็นชั้นป้องกันเพิ่มเติมสำหรับการดำเนินการทางการเงินดังกล่าว มีช่องโหว่เล็กน้อยในคำสั่งนี้ เมื่อฝ่ายที่มีส่วนร่วมฝ่ายใดฝ่ายหนึ่งไม่ได้อยู่ใน EEA ก็ไม่จำเป็นต้องปฏิบัติตามข้อกำหนดที่เรียกว่า SCA

ในปี 2022 คาดว่าผู้คนมากกว่าห้าร้อยล้านคนจะทำการซื้อทางออนไลน์ในยุโรป อัตรานี้มีแนวโน้มที่จะเพิ่มมากขึ้น การสำรองข้อมูลธุรกรรมจำนวนมากโดยบริการที่สอดคล้องกับ PSD2 จะก่อให้เกิดประโยชน์ในระยะยาวอย่างแน่นอน

คำสั่งบริการชำระเงินฉบับแก้ไข (PSD2)

Fintech-Google-Pay-Wallet-ซื้อ-ซื้อ-ร้านค้า-ชำระเงิน

ทุกประเทศทั่วโลกมีคำแนะนำของตนเองเกี่ยวกับข้อจำกัดการไม่มี CVM (วิธีการตรวจสอบผู้ถือบัตร) ซึ่งจะนำไปใช้เมื่อไม่จำเป็นต้องมีการยืนยันผู้ชำระเงิน ซึ่งเรียกกันทั่วไปว่าแบบแผน Tap & Go ตัวอย่างเช่น ภายในเขตเศรษฐกิจยุโรป มีการจำกัดการทำธุรกรรมที่แนะนำไว้ที่ €50

ในขณะที่ร้านค้าและธนาคารผู้รับบัตรมีอิสระในการกำหนดขีดจำกัดของตัวเองสำหรับเทอร์มินัล พวกเขายังรับความเสี่ยงที่เกี่ยวข้องกับการไม่มีการฉ้อโกง CVM นี่เป็นเหตุผลว่าทำไมธนาคารหรือร้านค้าทุกแห่งอาจเลือกที่จะกำหนดวงเงินให้สูงกว่าค่าเฉลี่ย เนื่องจากอาจดึงดูดมิจฉาชีพจำนวนมากขึ้นได้

การหลอกลวงอย่างหนึ่งที่เกี่ยวข้องกับบัตรไร้สัมผัสที่ถูกขโมยกำลังใช้ประโยชน์จากโครงการ Tap & Go โดยทำธุรกรรมหลายรายการภายในขีดจำกัด No CVM ระบบป้องกันการฉ้อฉลไม่ค่อยเข้าแทรกแซงเพื่อปิดกั้นธุรกรรมดังกล่าว นักต้มตุ๋นที่หาญบางคนถึงกับพบว่าพนักงานเก็บเงินเต็มใจที่จะแบ่งบิลขนาดใหญ่ออกเป็นธุรกรรมย่อยๆ หลายรายการ เช่น ครั้งละ 30 ปอนด์ เพื่อข้ามข้อจำกัดได้อย่างมีประสิทธิภาพ

ต่อสู้กับกิจกรรมฉ้อฉลเหล่านี้

เพื่อต่อสู้กับกิจกรรมฉ้อฉลเหล่านี้ สหภาพยุโรปได้เปิดตัวกฎระเบียบใหม่ที่เรียกว่า Payment Services Directive เวอร์ชัน 2 (PSD2) ข้อบังคับเหล่านี้รวมถึงข้อกำหนดเฉพาะเกี่ยวกับความถี่ในการตรวจสอบผู้ชำระเงิน ตั้งแต่ปี 2020 ธนาคารผู้ออกบัตรจำเป็นต้องจำกัดจำนวนธุรกรรมที่ต่ำกว่าเกณฑ์ Tap & Go พวกเขาจะต้องติดตามจำนวนเงินทั้งหมดที่ใช้ไปและขอ PIN หลังจากทุกๆ ห้าธุรกรรม หรือเมื่อผู้ถือบัตรถึงจำนวนเงินสูงสุดที่เทียบเท่ากับธุรกรรม Tap & Go ห้ารายการ เช่น 250 ยูโร

MasterCard และ Visa ให้ทางเลือกสองทางสำหรับการทำธุรกรรมที่เกินขีดจำกัดของ Tap & Go: ขีดจำกัดแบบนุ่มนวลและขีดจำกัดแบบถาวร ประเทศส่วนใหญ่ปฏิบัติตามแผนวงเงินแบบนุ่มนวล ซึ่งต้องมีการยืนยันผู้ชำระเงินเพิ่มเติม เช่น ลายเซ็นหรือ PIN ออนไลน์ สำหรับการชำระเงินที่เกินขีดจำกัดที่ตั้งไว้ อย่างไรก็ตาม สหราชอาณาจักรดำเนินการภายใต้โครงการ Hard Limits ซึ่งกำหนดให้ใช้บัตรที่เปิดใช้งานชิปสำหรับการชำระเงินที่เกินขีดจำกัด 'Tap & Go' สิ่งสำคัญคือต้องทราบว่าสถานการณ์นี้ใช้ไม่ได้กับกระเป๋าเงินมือถือ เนื่องจากมีขีดจำกัดแยกต่างหาก

ผู้เชี่ยวชาญด้านความปลอดภัยได้ทำการทดสอบเพื่อประเมินประสิทธิภาพของกฎเหล่านี้ และสำรวจวิธีที่เป็นไปได้ในการข้ามผ่านช่องโหว่ที่เป็นที่รู้จักในที่สาธารณะหรือรูปแบบต่างๆ ที่ค้นพบใหม่ ผลการวิจัยพบว่าแฮ็กเกอร์ที่ครอบครองบัตรที่ถูกขโมยและเทอร์มินัลแบบกำหนดเองสามารถชำระเงินในร้านค้าทั่วไปที่เกินขีดจำกัดที่กำหนดไว้ล่วงหน้าได้โดยการรีเซ็ตขีดจำกัดเหล่านี้โดยใช้เทอร์มินัลที่ถูกบุกรุก

การทำงานกับแพลตฟอร์มการออกบัตรระดับมืออาชีพ: Wallester Edition

Wallester-White-label-ผู้ออกบัตร-แบรนด์ร่วม-การชำระเงิน-โซลูชัน-ภาพหน้าจอ

จำนวนและความหลากหลายของบริการที่เป็นไปตามบรรทัดฐานของ PSD2 เพิ่มขึ้นเรื่อย ๆ ซึ่งเป็นโอกาสที่ดีสำหรับธุรกิจในการค้นหาความเหมาะสมเชิงกลยุทธ์และเศรษฐกิจที่ดีที่สุดสำหรับความต้องการและวัตถุประสงค์ของพวกเขา ด้วยการร่วมมือกับ Wallester คุณจะตัดสินใจเลือกบัตรเครดิตและบัตรเดบิตที่ปลอดภัยสำหรับใช้ในสหภาพยุโรปเพื่อจุดประสงค์ด้านอีคอมเมิร์ซ ด้วยเทคโนโลยี SCA ขั้นสูง เช่น 3D Secure, การตรวจสอบด้วยไบโอเมตริก, PIN และอื่นๆ คุณจะได้ก้าวไปข้างหน้าเพื่อสร้างสภาพแวดล้อมทางการเงินที่น่าเชื่อถือและน่าเชื่อถือสำหรับผู้มีโอกาสเป็นผู้ใช้บริการของคุณ

ปริมาณและความสม่ำเสมอของขั้นตอน SCA นั้นพิจารณาจากปัจจัยหลายประการ ตั้งแต่พฤติกรรมและพฤติกรรมการซื้อของผู้ชมไปจนถึงประเภทของผู้ค้าที่คุณเป็น

รายการข้อจำกัดและการตรวจสอบโดยทั่วไปมีดังต่อไปนี้:
  • ระบบจะจำกัดจำนวนการชำระเงินแบบไร้สัมผัสที่มีอยู่ และกำหนดให้ผู้ใช้ต้องพิมพ์ PIN เมื่อถึงขีดจำกัด
  • บริการจะตรวจสอบการชำระเงินหากเกินจำนวนเงินสูงสุดสำหรับการใช้จ่ายต่อการซื้อหรือการช้อปปิ้งออนไลน์โดยรวม

เกณฑ์ดังกล่าวขึ้นอยู่กับข้อบังคับของคุณเองเช่นกัน Wallester ให้ลูกค้าตั้งค่าการจำกัดประสิทธิภาพที่กำหนดเองเมื่อออกบัตรประเภทและจำนวนที่ต้องการ เยี่ยมชมเว็บไซต์ของพวกเขา https://wallester.com

ที่เกี่ยวข้อง: HIPAA Compliance Automation with DevOps | สิ่งที่คุณต้องรู้!

ห่อมันขึ้น

บทสรุป

แม้ว่าบัตรธนาคารแบบไร้สัมผัสจะมอบความสะดวกสบาย แต่ก็มีช่องโหว่ที่มิจฉาชีพสามารถใช้ประโยชน์ได้ โหมดดั้งเดิมและการใช้แถบแม่เหล็กทำให้เกิดความเสี่ยงด้านความปลอดภัย ทำให้ผู้โจมตีสามารถโคลนการ์ดและจัดการข้อมูลธุรกรรมได้ แม้จะมีความเสี่ยงเหล่านี้ ธนาคารยังคงสนับสนุนวิธีการชำระเงินที่ล้าสมัยด้วยเหตุผลหลายประการ รวมถึงความเข้ากันได้ ค่าใช้จ่ายที่เกี่ยวข้อง การยอมรับของผู้ใช้ และการยอมรับในระดับสากล

นอกจากนี้ยังสามารถหลีกเลี่ยงวิธีการตรวจสอบผู้ถือบัตรได้ และโครงการ Tap & Go มีความเสี่ยงที่จะถูกละเมิด แม้ว่ากฎระเบียบต่างๆ เช่น PSD2 จะถูกนำมาใช้เพื่อต่อสู้กับการฉ้อโกง แต่ก็ยังสามารถข้ามขีดจำกัดได้โดยใช้เทอร์มินัลที่ถูกบุกรุก ความก้าวหน้าอย่างต่อเนื่องในการรักษาความปลอดภัยในการชำระเงินเป็นสิ่งสำคัญในการรับมือกับความท้าทายเหล่านี้อย่างมีประสิทธิภาพ

หากคุณต้องการรับรองสุขภาพและสถานะของบริษัทของคุณในระยะยาว จะเป็นการดีกว่าที่จะดูแลให้สอดคล้องกับบรรทัดฐานและข้อบังคับล่าสุดในขณะนี้ ด้วยโซลูชันอย่าง Wallester คุณไม่ต้องกังวลเกี่ยวกับวิธีการนำมาตรฐาน PSD2 และ SCA ไปใช้ — ระบบจะทำเพื่อคุณตามค่าเริ่มต้น