Silne uwierzytelnienie SCA

Informacje na temat silnego uwierzytelnienia (SCA)

 

Silne Uwierzytelnienie (SCA – Strong customer authentication) w teorii

 

Zgodnie z treścią dokumentu DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2015/2366z dnia 25 listopada 2015 r.w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę2007/64/WE artykuł 4 i 97. Pełna treść dokumentu dostępna jest pod adresem: https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32015L2366&from=EN

Czym jest uwierzytelnienie?

uwierzytelnienie oznacza procedurę umożliwiającą dostawcy usług płatniczych weryfikację tożsamości użytkownika usług płatniczych lub ważności stosowania konkretnego instrumentu płatniczego, łącznie ze stosowaniem indywi­dualnych danych uwierzytelniających tego użytkownika.

Czym jest silne uwierzytelnienie?

Silne uwierzytelnienie klienta oznacza uwierzytelnienie w oparciu o zastosowanie co najmniej dwóch elementów należących do kategorii: wiedza (coś, co wie wyłącznie użytkownik), posiadanie (coś, co posiada wyłącznie użyt­kownik) i cechy klienta (coś, czym jest użytkownik), niezależnych w tym sensie, że naruszenie jednego z nich nie osłabia wiarygodności pozostałych, które to uwierzytelnienie jest zaprojektowane w sposób zapewniający ochronę poufności danych uwierzytelniających.

Kiedy należy stosować silne uwierzytelnienie?

1. Państwa członkowskie zapewniają, by dostawca usług płatniczych stosował silne uwierzytelnienie klienta, w przy­padku gdy płatnik:

a) uzyskuje dostęp do swojego rachunku płatniczego w trybie online;

b) inicjuje elektroniczną transakcję płatniczą;

c) przeprowadza czynność za pomocą kanału zdalnego, która może wiązać się z ryzykiem oszustwa płatniczego lub innych nadużyć.

2. W odniesieniu do inicjowania elektronicznych transakcji płatniczych, o którym mowa w ust. 1 lit. b), państwa członkowskie zapewniają, by – w przypadku elektronicznych zdalnych transakcji płatniczych – dostawcy usług płatni­czych stosowali silne uwierzytelnienie klienta obejmujące elementy, które dynamicznie łączą transakcję z określoną kwotą i określonym odbiorcą.

3. W odniesieniu do ust. 1 państwa członkowskie zapewniają, by dostawcy usług płatniczych wprowadzili adekwatne środki bezpieczeństwa w celu ochrony poufności i integralności indywidualnych danych uwierzytelniających użytkow­ników usług płatniczych.

4. Ust. 2 i 3 mają również zastosowanie, w przypadku gdy płatności są inicjowane za pośrednictwem dostawcy świadczącego usługę inicjowania płatności. Ust. 1 i 3 mają również zastosowanie, w przypadku gdy występuje sięo podanie informacji za pośrednictwem dostawcy świadczącego usługę dostępu do informacji o rachunku.

5. Państwa członkowskie zapewniają, by dostawca usług płatniczych prowadzący rachunek zezwalał dostawcy świad­czącemu usługę inicjowania płatności i dostawcy świadczącemu usługę dostępu do informacji o rachunku na poleganie na procedurach uwierzytelnienia zapewnianych przez dostawcę usług płatniczych prowadzącego rachunek użytkownikowi usług płatniczych zgodnie z ust. 1 i 3, a w przypadku gdy zaangażowany jest dostawca świadczący usługę inicjowania płatności – zgodnie z ust. 1, 2 i 3.

 

Silne uwierzytelnienie w Banku Spółdzielczym w Chojnowie w praktyce

 

Aby zapewnić bezpieczeństwo zgodne z najnowszymi standardami oraz wymogami unijnymi, podczas uwierzytelnienia należy zastosować w praktyce przynajmniej dwa z trzech elementów:

1. Coś co wiem – np. hasło logowania, które zna tylko użytkownik

2. Coś co posiadam – np. telefon komórkowy, na który przychodzą wiadomości SMS z kodami do autoryzacji lub urządzenie mobilne (smartfon, tablet), na którym jest zainstalowana jest aplikacja mobilna  autoryzująca transakcję, aplikacja nPodpis.

3. Coś czym jestem – indywidualne cechy użytkownika np. biometria w tym odcisk palca lub skan siatkówki

W Banku Spółdzielczym w Chojnowie od momentu wejścia w życie nowych przepisów tj. od dnia 14 września 2019 r. silne uwierzytelnienie będzie obowiązkowe dla każdego klienta i będzie realizowane za pomocą hasła logowania w połączeniu z jednym z dodatkowych elementów: kodów SMS, aplikacji mobilnej  (instalowanej na urządzeniu mobilnym z systemem Android i iOS) lub aplikacji nPodpis.

Dlaczego tradycyjne tokeny RSA zostają wycofane?

Oprócz silnego uwierzytelnienia nowa dyrektywa unijna wprowadza między innymi wymóg co do sposobu w jaki przebiega autoryzacja. Aby jeszcze bardziej zwiększyć bezpieczeństwo podczas korzystania z bankowości internetowej, użytkownik np. podczas wykonywania przelewu musi zostać poinformowany osobnym kanałem między innymi o kwocie oraz rachunku odbiorcy. W praktyce oznacza to, że dane przelewu, które wyświetlane są na ekranie komputera muszą dotrzeć do użytkownika także w inny sposób np. w treści wiadomości SMS lub wyświetlić się w aplikacji nPodpis, czego nie dało się zrealizować za pomocą tokenów RSA.

© 2009-2019 Bank Spółdzielczy w Chojnowie. Wszystkie prawa zastrzeżone.
Projekt i wykonanie: MELLO Studio