Autentificare puternică a clienților

Autentificarea puternică a clienților ( SCA ), adică autentificarea clientului printr-un sistem multifactorial, este o cerință pentru serviciile online care necesită un nivel ridicat de securitate.

Pentru bănci și PSP (furnizori de servicii de plată), utilizarea SCA este o cerință reglementată de a doua directivă privind sistemele de plăți PSD2 ^[1] și RTS ulterior ^[2] , și este necesară pentru ambele servicii de plată bancară (SCT sau transfer bancar) , SCTinst sau transfer bancar instant, plăți transfrontaliere țintă 2 și țintă 2 etc.) și pentru servicii de informații care necesită schimbul de date confidențiale, cum ar fi de exemplu. soldul contului, lista tranzacțiilor etc.

SCA este, de asemenea, utilizat în prezent pentru alte servicii decât serviciile de plată și de către furnizorii de servicii, alții decât băncile și PSP-urile, unde este necesar un nivel ridicat de încredere în identitatea contrapărții.

SCA prevede că pentru anumite tipuri de plăți, în anumite condiții, clientului i se cere să se autentifice cu 2 sau mai mulți factori de autentificare.

Cerințe

Autentificare

Odată cu intrarea în vigoare a acestei noi legislații, clientul va trebui să se autentifice mai profund, în special SCA va necesita verificarea a cel puțin două dintre aceste trei elemente pentru autentificare: ^[3]

cunoștințe: identificare printr-un cod mnemonic pe care doar clientul îl cunoaște, de ex. un cuvânt cheie mai degrabă decât un cod (PIN) sau o întrebare de securitate;
posesie: identificare prin ceva care se află în posesia clientului și pe care acesta din urmă îl poate utiliza, de obicei un card de debit sau de credit, un dispozitiv, cum ar fi un smartphone, mai degrabă decât o cheie inteligentă sau un token bancar;
inerență: identificare cu o caracteristică fizică a clientului, de ex. amprente sau trăsături faciale biometrice sau trăsături care sunt capabile să caracterizeze clientul identificându-l în mod unic.

Aceasta este o regulă strictă, dar va permite utilizatorului final o protecție mai mare împotriva posibilelor fraude financiare, în plus, această legislație este avantajoasă și pentru comercianții cu amănuntul prin comerțul electronic, care se vor putea bucura de o mai mare fiabilitate, oferind posibilitatea de a crește clienții care se vor dedica la cumpărături online cu predispoziție mai mare.

Tranzacții

Noua legislație prevede că unele tipuri de tranzacții pot fi exceptate de la procesul SCA pe două niveluri, în special: ^[2] ^[3]

Tranzacțiile care implică o sumă sub 30 de euro , care, dacă se repetă în timp și se adună pe o perioadă de 24 de ore, nu depășesc 100 de euro sau o serie de cinci tranzacții consecutive. Dacă aceste numere sunt atinse, se declanșează mecanismul de autentificare SCA.
Pentru tranzacțiile cu risc redus , adică acele tranzacții care sunt analizate de furnizorii de servicii de plată și când pragul procentual de fraudă al furnizorului de servicii de plată rămâne sub parametrii referitori la plățile cu cardul exclude adoptarea SCA.
Plăți recursive cu o valoare fixă . De exemplu, pentru abonamente la servicii, în aceste circumstanțe autentificarea puternică intră în acțiune numai pentru prima tranzacție, în timp ce nu este necesară pentru toate reînnoirile ulterioare care pot fi considerate operațiuni automate. În cazul unei modificări a valorii de către serviciu sau a modului în care este utilizat, va fi necesară din nou autentificare puternică pentru a finaliza plata.
În cazul plăților către vânzători identificați ca beneficiari credibili. În acest caz, este necesară autentificarea puternică la prima plată în plățile ulterioare, puteți efectua plăți fără SCA .

Notă

^ (RO) Colț de presă , pe Comisia Europeană - Comisia Europeană. Adus de 18 ianuarie 2021.
^ ^a ^b ( EN ) Standarde tehnice de reglementare privind autentificarea puternică a clienților și comunicarea securizată în conformitate cu PSD2 , privind Autoritatea bancară europeană , 12 aprilie 2019. Accesat la 18 ianuarie 2021 .
^ ^a ^b ( EN ) Regulamentul delegat (UE) 2018/389 al Comisiei din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2366 a Parlamentului European și a Consiliului în ceea ce privește standardele tehnice de reglementare pentru autentificarea puternică a clienților și o deschidere comună și sigură standarde de comunicare (Text cu relevanță pentru SEE.) , 32018R0389, 13 martie 2018. Accesat la 18 ianuarie 2021 .

linkuri externe

Portal de securitate IT : accesați intrările Wikipedia care se ocupă cu securitatea IT

[1] (RO) Colț de presă , pe Comisia Europeană - Comisia Europeană. Adus de 18 ianuarie 2021.

[:1-2] ( EN ) Standarde tehnice de reglementare privind autentificarea puternică a clienților și comunicarea securizată în conformitate cu PSD2 , privind Autoritatea bancară europeană , 12 aprilie 2019. Accesat la 18 ianuarie 2021 .

[:0-3] ( EN ) Regulamentul delegat (UE) 2018/389 al Comisiei din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2366 a Parlamentului European și a Consiliului în ceea ce privește standardele tehnice de reglementare pentru autentificarea puternică a clienților și o deschidere comună și sigură standarde de comunicare (Text cu relevanță pentru SEE.) , 32018R0389, 13 martie 2018. Accesat la 18 ianuarie 2021 .

[1]

[2]

[3]