Wallester 見解:PSD2 和強大的客戶身份驗證合規性

已發表: 2023-07-21

任何軟件都必須包含身份驗證工具,以確保其在不同受眾中的可信度和可用性。 它已成為安全保障架構的重要組成部分,其在金融科技行業中的作用不容小覷。 由於每秒都會發生幾筆電子商務交易,該市場很容易面臨更多的洗錢和欺詐威脅。 從這個角度來看,選擇符合高端認證和網絡安全標準的發卡服務不僅僅是一個簡單的建議。

這就是 PSD2 法規的用武之地。請繼續關注以了解該術語的真正含義及其對任何企業的財務環境的影響。 向前!

目錄顯示
  • 增強克隆技術
  • PSD2:定義、影響和目標
  • 修訂後的支付服務指令 (PSD2)
  • 使用專業發卡平台:Wallester 版
  • 包起來

增強克隆技術

購物金融科技客戶銷售點 pos 支付商務

目前,克隆EMV卡的實時授權仍然是一項不可能完成的任務。 對於惡意行為者和勤奮的研究人員來說,提取用於生成支付密碼的基本密碼密鑰仍然難以捉摸。 然而,重要的是要認識到存在創建功能性卡複製品的替代方法:

犯罪分子採用的一種此類方法是將 Track2 等效值刻在磁條上。 通過複製卡磁條上的信息(稱為 Track2 等效技術),該技術可用作硬件安全模塊 (HSM) 系統和其他負責卡處理的專用子系統內卡識別的參數。

因此,惡意個人偶爾會通過將 Track2 等效數據嵌入到磁條上來實施這種攻擊,使他們能夠像典型的磁條交易一樣或利用技術後備模式執行欺詐交易。 撇取器是專門設計用於從 ATM 中提取此類數據的設備,通常在這些情況下使用。

為了複製交易,犯罪者可能會訴諸 EMV 預播放和重播放攻擊。 重放攻擊的重點是規避機制,旨在確保每筆交易和密碼的唯一性。 通過利用此漏洞,攻擊者可以“克隆”交易以供將來使用,而無需擁有原始卡。 如果受感染的終端生成相同的 UN(不可預測數字)字段,則從具有可預測 UN 值的卡獲得的密碼可以無限次地重複使用。

即使在接下來的幾天裡,攻擊者也可以提交有關舊密碼的信息,並在授權請求中標記前一天的日期。 當受感染的終端生成可預測的 UN 而不是相同的 UN 時,預播放方案就變得有意義。 在這種情況下,攻擊者在物理訪問卡時可以克隆多個交易以供將來使用。 然而,與最初的攻擊不同的是,在這個特定場景中,每筆交易只能使用一次。

相關: WooCommerce PCI 合規性:您需要了解的一切!

PSD2:定義、影響和目標

錢包-資金-信用卡-借記卡-支付-安全-安全

自2007年第一個支付服務指令發布以來,市場發生了巨大的變化和修改。 技術的進步和在線支付的繁榮也展現了硬幣的反面。 新的商業模式往往伴隨著不受監管的政策,而 API 經濟的發展導致歐洲欺詐水平不斷上升。

簡而言之,PSD2 是任何支付服務都必須遵循的一套標準和法律,才能在歐盟和歐洲經濟區開展業務。 該政策確保了基於互聯網的交易的安全,並在理論和實踐上加強了經濟環境。

以下是 PSD2 與其他財務規範的一些區別特徵:
  • 它使發卡變得更加透明,因為合規服務提供商有義務公開披露其財務信息。 同時,這種創新可以幫助新參與者提高競爭力,並在成熟的組織中提供他們的解決方案。
  • PSD2 已建立發卡解決方案的許可。 一方面,它使在歐盟提供此類服務的企業能夠證明其可靠性和可信度,儘管經驗較少。 另一方面,這種方法對於目標受眾來說也很高效,可以讓他們輕鬆選擇最佳的發卡和處理機構。
  • PSD2 與強大的客戶身份驗證齊頭並進。 雙因素身份驗證和類似手段支持在線支付的主要部分,並作為此類金融操作的額外保護層。 該指令有一個小漏洞。 當參與方之一不在 EEA 內時,它不應該有義務實施所謂的 SCA。

截至 2022 年,預計將有超過 5 億人在歐洲進行網上購物。 這個比率可能還會增加更多。 通過符合 PSD2 的服務來備份如此大量的交易肯定會帶來長期利益。

修訂後的支付服務指令 (PSD2)

金融科技-Google-Pay-錢包-購買-購買-商店-支付

全球每個國家/地區都有自己的有關無 CVM(持卡人驗證方法)限制的建議,這些建議適用於不需要付款人驗證的情況。 這通常稱為 Tap & Go 方案。 例如,在歐洲經濟區內,建議交易限額為 50 歐元。

雖然商店和收單銀行可以自由地設置自己的終端限額,但他們也承擔了 No CVM 欺詐的相關風險。 這就是為什麼並非所有銀行或商家都會選擇將限額設置為高於平均水平,因為這可能會吸引更多的欺詐者。

涉及被盜非接觸式卡的一種常見騙局是利用 Tap & Go 方案,在無 CVM 限制內進行多次交易。 反欺詐系統很少干預以阻止此類交易。 一些大膽的騙子甚至發現收銀員願意將大額賬單分成幾筆較小的交易,例如每筆 30 英鎊,從而有效地繞過限制。

打擊這些欺詐活動

為了打擊這些欺詐活動,歐盟推出了一套新法規,稱為支付服務指令第二版 (PSD2)。 這些法規包括有關付款人驗證頻率的具體要求。 從 2020 年開始,發卡銀行必須對低於 Tap & Go 閾值的交易數量施加限制。 他們必須跟踪支出總額,並在每五筆交易後或當持卡人達到五筆 Tap & Go 交易的最大金額(例如 250 歐元)時提示輸入 PIN。

MasterCard 和 Visa 為超出 Tap & Go 限制的交易提供兩種選擇:軟限制和硬限制。 大多數國家/地區都遵循軟限額方案,該方案要求對超出設定限額的付款進行額外的付款人驗證,例如簽名或在線 PIN。 然而,英國實行硬限額計劃,該計劃要求使用芯片卡進行超過“Tap & Go”限額的支付。 值得注意的是,這種情況不適用於移動錢包,因為它們有單獨的限制。

安全專家進行了測試來評估這些規則的有效性,並探索使用公開已知的漏洞或新發現的變體繞過這些規則的潛在方法。 結果顯示,擁有被盜卡和定制終端的黑客可以通過使用受感染的終端重置這些限制,在超出預定限制的常規商店中進行支付。

使用專業發卡平台:Wallester 版

Wallester-白標發卡機構-聯合品牌-支付解決方案-屏幕截圖

遵循 PSD2 規範的服務數量和種類不斷增加,這對於企業來說是一個絕佳的機會,可以找到最適合其需求和目標的戰略和經濟方案。 通過與 Wallester 合作,您可以選擇可在歐盟安全用於電子商務目的的信用卡和借記卡。 借助 3D Secure、生物識別驗證、PIN 等先進的 SCA 技術,您可以積極主動地為服務的潛在用戶建立可靠且可信的財務環境。

SCA 程序的數量和規律性由多個因素決定 - 從受眾的購物行為和習慣到您的商家類型。

典型限制和檢查列表包括以下內容:
  • 系統將限制可用的非接觸式支付數量,並要求最終用戶在達到限制時輸入 PIN 碼。
  • 如果付款超過每次購買或在線購物的最高金額,該服務將驗證付款。

上述標準也取決於您自己的規定。 Wallester 允許客戶在發行所需類型和數量的卡時設置自定義性能限制,請訪問他們的網站 https://wallester.com。

相關: HIPAA 合規性自動化與 DevOps | 所有你必須知道的!

包起來

結論

雖然非接觸式銀行卡提供了便利,但它們也存在可能被欺詐者利用的漏洞。 傳統模式和磁條的使用會帶來安全風險,使攻擊者能夠克隆卡並操縱交易數據。 儘管存在這些風險,銀行仍出於多種原因繼續支持過時的支付方式,包括兼容性、相關成本、用戶採用和國際接受度。

此外,持卡人驗證方法可能會被規避,並且 Tap & Go 方案很容易被濫用。 儘管 PSD2 等法規已被引入以打擊欺詐,但仍然可以使用受感染的終端來繞過限制。 支付安全方面的持續進步對於有效應對這些挑戰至關重要。

如果您想確保公司的長期健康和狀態,最好現在就關注它是否符合最新的規範和法規。 借助 Wallester 等解決方案,您不必擔心如何實施 PSD2 和 SCA 標準 — 默認情況下它已為您完成。