Wallester 见解:PSD2 和强大的客户身份验证合规性

已发表: 2023-07-21

任何软件都必须包含身份验证工具,以确保其在不同受众中的可信度和可用性。 它已成为安全保障架构的重要组成部分,其在金融科技行业中的作用不容小觑。 由于每秒都会发生几笔电子商务交易,该市场很容易面临更多的洗钱和欺诈威胁。 从这个角度来看,选择符合高端认证和网络安全标准的发卡服务不仅仅是一个简单的建议。

这就是 PSD2 法规的用武之地。请继续关注以了解该术语的真正含义及其对任何企业的财务环境的影响。 向前!

目录显示
  • 增强克隆技术
  • PSD2:定义、影响和目标
  • 修订后的支付服务指令 (PSD2)
  • 使用专业发卡平台:Wallester 版
  • 包起来

增强克隆技术

购物金融科技客户销售点 pos 支付商务

目前,克隆EMV卡的实时授权仍然是一项不可能完成的任务。 对于恶意行为者和勤奋的研究人员来说,提取用于生成支付密码的基本密码密钥仍然难以捉摸。 然而,重要的是要认识到存在创建功能性卡复制品的替代方法:

犯罪分子采用的一种此类方法是将 Track2 等效值刻在磁条上。 通过复制卡磁条上的信息(称为 Track2 等效技术),该技术可用作硬件安全模块 (HSM) 系统和其他负责卡处理的专用子系统内卡识别的参数。

因此,恶意个人偶尔会通过将 Track2 等效数据嵌入到磁条上来实施这种攻击,使他们能够像典型的磁条交易一样或利用技术后备模式执行欺诈交易。 撇取器是专门设计用于从 ATM 中提取此类数据的设备,通常在这些情况下使用。

为了复制交易,犯罪者可能会诉诸 EMV 预播放和重播放攻击。 重放攻击的重点是规避机制,旨在确保每笔交易和密码的唯一性。 通过利用此漏洞,攻击者可以“克隆”交易以供将来使用,而无需拥有原始卡。 如果受感染的终端生成相同的 UN(不可预测数字)字段,则从具有可预测 UN 值的卡获得的密码可以无限次地重复使用。

即使在接下来的几天里,攻击者也可以提交有关旧密码的信息,并在授权请求中标记前一天的日期。 当受感染的终端生成可预测的 UN 而不是相同的 UN 时,预播放方案就变得有意义。 在这种情况下,攻击者在物理访问卡时可以克隆多个交易以供将来使用。 然而,与最初的攻击不同的是,在这个特定场景中,每笔交易只能使用一次。

相关: WooCommerce PCI 合规性:您需要了解的一切!

PSD2:定义、影响和目标

钱包-资金-信用卡-借记卡-支付-安全-安全

自2007年第一个支付服务指令发布以来,市场发生了巨大的变化和修改。 技术的进步和在线支付的繁荣也展现了硬币的反面。 新的商业模式往往伴随着不受监管的政策,而 API 经济的发展导致欧洲欺诈水平不断上升。

简而言之,PSD2 是任何支付服务都必须遵循的一套标准和法律,才能在欧盟和欧洲经济区开展业务。 该政策确保了基于互联网的交易的安全,并在理论和实践上加强了经济环境。

以下是 PSD2 与其他财务规范的一些区别特征:
  • 它使发卡变得更加透明,因为合规服务提供商有义务公开披露其财务信息。 同时,这种创新可以帮助新参与者提高竞争力,并在成熟的组织中提供他们的解决方案。
  • PSD2 已建立发卡解决方案的许可。 一方面,它使在欧盟提供此类服务的企业能够证明其可靠性和可信度,尽管经验较少。 另一方面,这种方法对于目标受众来说也很高效,可以让他们轻松选择最佳的发卡和处理机构。
  • PSD2 与强大的客户身份验证齐头并进。 双因素身份验证和类似手段支持在线支付的主要部分,并作为此类金融操作的额外保护层。 该指令有一个小漏洞。 当参与方之一不在 EEA 内时,它不应该有义务实施所谓的 SCA。

截至 2022 年,预计将有超过 5 亿人在欧洲进行网上购物。 这个比率可能还会增加更多。 通过符合 PSD2 的服务来备份如此大量的交易肯定会带来长期利益。

修订后的支付服务指令 (PSD2)

金融科技-Google-Pay-钱包-购买-购买-商店-支付

全球每个国家/地区都有自己的有关无 CVM(持卡人验证方法)限制的建议,这些建议适用于不需要付款人验证的情况。 这通常称为 Tap & Go 方案。 例如,在欧洲经济区内,建议交易限额为 50 欧元。

虽然商店和收单银行可以自由地设置自己的终端限额,但他们也承担了 No CVM 欺诈的相关风险。 这就是为什么并非所有银行或商家都会选择将限额设置为高于平均水平,因为这可能会吸引更多的欺诈者。

涉及被盗非接触式卡的一种常见骗局是利用 Tap & Go 方案,在无 CVM 限制内进行多次交易。 反欺诈系统很少干预以阻止此类交易。 一些大胆的骗子甚至发现收银员愿意将大额账单分成几笔较小的交易,例如每笔 30 英镑,从而有效地绕过限制。

打击这些欺诈活动

为了打击这些欺诈活动,欧盟推出了一套新法规,称为支付服务指令第二版 (PSD2)。 这些法规包括有关付款人验证频率的具体要求。 从 2020 年开始,发卡银行必须对低于 Tap & Go 阈值的交易数量施加限制。 他们必须跟踪支出总额,并在每五笔交易后或当持卡人达到五笔 Tap & Go 交易的最大金额(例如 250 欧元)时提示输入 PIN。

MasterCard 和 Visa 为超出 Tap & Go 限制的交易提供两种选择:软限制和硬限制。 大多数国家/地区都遵循软限额方案,该方案要求对超出设定限额的付款进行额外的付款人验证,例如签名或在线 PIN。 然而,英国实行硬限额计划,该计划要求使用芯片卡进行超过“Tap & Go”限额的支付。 值得注意的是,这种情况不适用于移动钱包,因为它们有单独的限制。

安全专家进行了测试,以评估这些规则的有效性,并探索使用公开已知的漏洞或新发现的变体绕过这些规则的潜在方法。 结果显示,拥有被盗卡和定制终端的黑客可以通过使用受感染的终端重置这些限制,在超出预定限制的常规商店中进行支付。

使用专业发卡平台:Wallester 版

Wallester-白标发卡机构-联合品牌-支付解决方案-屏幕截图

遵循 PSD2 规范的服务数量和种类不断增加,这对于企业来说是一个绝佳的机会,可以找到最适合其需求和目标的战略和经济方案。 通过与 Wallester 合作,您可以选择可在欧盟安全用于电子商务目的的信用卡和借记卡。 借助 3D Secure、生物识别验证、PIN 等先进的 SCA 技术,您可以积极主动地为服务的潜在用户建立可靠且可信的财务环境。

SCA 程序的数量和规律性由多个因素决定 - 从受众的购物行为和习惯到您的商家类型。

典型限制和检查列表包括以下内容:
  • 系统将限制可用的非接触式支付数量,并要求最终用户在达到限制时输入 PIN 码。
  • 如果付款超过每次购买或在线购物的最高金额,该服务将验证付款。

上述标准也取决于您自己的规定。 Wallester 允许客户在发行所需类型和数量的卡时设置自定义性能限制,请访问他们的网站 https://wallester.com。

相关: HIPAA 合规性自动化与 DevOps | 所有你必须知道的!

包起来

结论

虽然非接触式银行卡提供了便利,但它们也存在可能被欺诈者利用的漏洞。 传统模式和磁条的使用会带来安全风险,使攻击者能够克隆卡并操纵交易数据。 尽管存在这些风险,银行仍出于多种原因继续支持过时的支付方式,包括兼容性、相关成本、用户采用和国际接受度。

此外,持卡人验证方法可能会被规避,并且 Tap & Go 方案很容易被滥用。 尽管 PSD2 等法规已被引入以打击欺诈,但仍然可以使用受感染的终端来绕过限制。 支付安全方面的持续进步对于有效应对这些挑战至关重要。

如果您想确保公司的长期健康和状态,最好现在就关注它是否符合最新的规范和法规。 借助 Wallester 等解决方案,您不必担心如何实施 PSD2 和 SCA 标准 — 默认情况下它已为您完成。