AuthoriPay Guide to Strong Customer Authentication and granting access to Third-Party Providers
Silne uwierzytelnianie klienta, dynamiczne łączenie i dostęp do zewnętrznych dostawców płatności
There are 2 significant requirements mandated under PSD2, both of which you may have heard of:
- Silne uwierzytelnianie klienta (SCA) i dynamiczne łączenie
- Dostęp do rachunków płatniczych przez zewnętrznych dostawców płatności (TPP)
Both have a significant impact on Payment Service Providers who offer payment accounts that are accessible online.
Silne uwierzytelnianie klienta (SCA) i dynamiczne łączenie
While Strong Customer Authentication is widely referenced, its practical application and regulatory requirements are often misunderstood. This section provides a clear overview of what SCA entails and when it must be applied.
Kiedy należy stosować silne uwierzytelnianie klienta i dynamiczne linkowanie?
Dostawcy usług płatniczych są zobowiązani do stosowania SCA i Dynamic Linking za każdym razem, gdy klient zdalnie uzyskuje dostęp do swojego konta płatniczego w celu wykonania jednej z poniższych czynności:
- Inicjuje instrukcję płatności elektronicznej
- Widoki Saldo i/lub Historia transakcji
- Podejmuje wszelkie działania, które mogą wiązać się z ryzykiem oszustwa płatniczego lub innych nadużyć.
Co to jest konto płatnicze?
W dyrektywie PSD2 rachunek płatniczy jest bardzo prosto zdefiniowany jako rachunek (niekoniecznie bankowy), który jest wykorzystywany do przetwarzania płatności. Z wyjątkiem usług bezpośredniego transferu gotówki (takich jak Western Union), większość dostawców usług płatniczych będzie oferować swoim klientom konto do przetwarzania płatności, a zatem będzie podlegać tej definicji.
Co oznacza zdalny dostęp?
W kontekście SCA zdalny dostęp oznacza dostęp za pośrednictwem elektronicznego kanału na odległość, takiego jak Internet (za pośrednictwem portalu internetowego) lub aplikacji mobilnej.
Dla jasności, instrukcje płatności przyjmowane przez e-mail lub telefon nie są jeszcze objęte zasadami SCA.
Co z płatnościami kartą?
Czym jest silne uwierzytelnianie klienta?
Wiedza
Coś, co klient wie
Posiadanie
Coś, co ma klient
Inherencja
Coś, czym jest klient
Jak może to wpłynąć na firmę
Dobrym tego przykładem są firmy, które oferują dostęp online przez Internet (na przykład za pośrednictwem portalu). Zazwyczaj klienci podają następujące dane uwierzytelniające:
-
Nazwa użytkownika, którą w większości przypadków jest adres e-mail; oraz
-
Unikalne hasło.
W tym przypadku mamy problem w odniesieniu do SCA, ponieważ w obecnej formie oba byłyby liczone jako coś, co klient wie (wiedza). W związku z tym używalibyśmy tylko 1 z wymaganych poświadczeń bezpieczeństwa, a nie 2.
Jednym ze sposobów zapewnienia zgodności z nowymi zasadami byłaby zmiana adresu e-mail z czegoś, co klient zna, na coś, co klient posiada (posiadanie). Aby to zadziałało, musisz udowodnić, że klient uzyskał dostęp do tego adresu e-mail. Można to zrobić za pomocą adresu e-mail w połączeniu z jednorazowym hasłem (OTP).
W tym scenariuszu klient musiałby wprowadzić swój adres e-mail i unikalne hasło. Dostawca usług płatniczych musiałby następnie wygenerować OTP na adres e-mail, który klient musiałby następnie podać.
To tylko jeden przykład tego, jak SCA może wpłynąć na firmę i istnieje wiele innych, które należałoby rozważyć indywidualnie.
Oprócz tego istnieje koncepcja dynamicznego łączenia, która powinna być stosowana za każdym razem, gdy inicjowana jest płatność elektroniczna.
Czym jest dynamiczne linkowanie?
Wymóg dynamicznego łączenia |
Co to oznacza w praktyce |
| Płatnik jest informowany o kwocie transakcji płatniczej i odbiorcy; |
Mówiąc najprościej, oznacza to, że podczas dokonywania płatności płatnikowi musi być pokazana kwota, którą wysyła, oraz nazwa beneficjenta. Na przykład, jeśli klient płaci Johnowi Smithowi 1000 euro, musi to być dla niego wyraźnie widoczne. Należy zauważyć, że zasady nie określają, w jaki sposób należy wyświetlić to klientowi, więc masz tutaj pewną elastyczność. |
| Wygenerowany kod uwierzytelniający jest specyficzny dla kwoty transakcji płatniczej i odbiorcy uzgodnionego przez płatnika podczas inicjowania transakcji; | Zasadniczo oznacza to, że podczas autoryzacji płatności należy wygenerować kod uwierzytelniający, który jest specyficzny dla tej transakcji i nie może być użyty do żadnej innej transakcji. Wygenerowany kod może mieć dowolną formę, o ile można go powiązać z konkretną płatnością. |
| Kod uwierzytelniający zaakceptowany przez dostawcę usług płatniczych odpowiada pierwotnej określonej kwocie transakcji płatniczej i tożsamości odbiorcy uzgodnionej przez płatnika; |
Mówiąc prościej, dostawca usług płatniczych może użyć tylko 1 kodu uwierzytelniającego na płatność. Biorąc pod uwagę liczbę systemów używanych przez firmę do przetwarzania pojedynczej płatności, może się zdarzyć, że każdy z tych systemów wygeneruje własny unikalny kod autoryzacyjny. Dostawca usług płatniczych musi wybrać tylko jeden, który będzie działał jako dynamicznie powiązany kod autoryzacyjny. |
| Każda zmiana kwoty / odbiorcy płatności powoduje unieważnienie wygenerowanego kodu uwierzytelniającego; | W przypadku zmiany kwoty transakcji lub odbiorcy płatności, kod uwierzytelniający musi zostać anulowany i wydany nowy, spełniający powyższe wymagania |
Dostęp do rachunków płatniczych przez zewnętrznych dostawców płatności
Payment Service Providers who offer payment accounts that are accessible online to payers have to allow regulated Third-Party Payment Providers (TPP’s) to access their customers account, using their SCA credentials.
Niewiele wiadomo na temat tego konkretnego rozporządzenia, a tutaj omówimy następujące kwestie:
- Co to jest zewnętrzny dostawca płatności?
- Kto musi zezwolić na dostęp do nich?
- Jakie są szczegółowe wymagania?
1. Co to jest zewnętrzny dostawca płatności (TPP)?
TPP to nowy rodzaj regulowanych usług płatniczych, który został oficjalnie wprowadzony przez PSD2 (choć w rzeczywistości istniały one na długo przed tym). TPP można podzielić na 2 rodzaje usług:
- Dostawcy usług informacji o kontach (AISP)
- Dostawcy usług inicjowania płatności (PISP)
Dostawcy usług informacji o kontach (AISP)
AISP będą wykorzystywać dane uwierzytelniające SCA klienta do logowania się na jego konto i zestawiania informacji o transakcjach i szczegółach salda. Może to być wykorzystywane z różnych powodów, takich jak analiza wydatków lub przegląd sytuacji finansowej.
Dostawcy usług inicjowania płatności (PISP)
PISP będą korzystać z danych uwierzytelniających SCA klienta, aby zalogować się na swoje konto i zlecić płatność bezpośrednio wyznaczonemu beneficjentowi klienta. PISP nigdy nie wejdą w posiadanie środków samodzielnie.
2. Kto musi zezwolić na dostęp do TPP?
Oficjalnie, jeśli kwalifikujesz się jako dostawca usług płatniczych z obsługą konta (ASPSP) i zezwalasz klientom na zdalny dostęp do ich konta płatniczego, musisz również zezwolić na dostęp do TPP.
Aby wyjaśnić, ASPSP to ktoś, kto zapewnia i utrzymuje konto płatnicze dla płatnika. Jeśli nie zezwalasz swojemu klientowi na dokonywanie płatności (na przykład agenci rozliczeniowi, których klienci otrzymują płatności, ale ich nie dokonują), zasada ta nie ma zastosowania.
3. Jakie są szczegółowe wymagania?
Firmy muszą nie tylko zezwolić na dostęp do TPP, ale także wdrożyć procedury w celu sprawdzenia, czy są one regulowane. Istnieją konkretne rzeczy, które dostawca usług płatniczych musi zrobić przed zezwoleniem na dostęp:
- Weryfikacja poświadczeń SCA i wydanie tokenu dostępu
- Sprawdź certyfikat eIDAS dostawcy TPP
- Sprawdź status regulacyjny dostawcy TPP
Firmy mogą to zrobić za pomocą dedykowanego systemu (wbudowanego lub zakupionego z półki) lub po prostu zezwalając dostawcy TPP na korzystanie z tego samego kanału, co klient. W przypadku, gdy firmy korzystają z dedykowanego systemu, muszą poinformować o tym regulatora i przekazać mu szczegółowe informacje na temat jego działania.
Jak wpływa to na krajobraz płatności.
Poniższe wykresy przedstawiają krajobraz płatności zarówno przed, jak i po wdrożeniu nowych zasad PSD2. Ilustrują one nie tylko to, jak duży wpływ będą miały nowe zasady, ale także ile pracy trzeba włożyć, aby zachować zgodność z przepisami.
Co muszą zrobić firmy?
W związku z nowymi przepisami firmy będą musiały przeanalizować oferowane przez siebie usługi, zdecydować, czy wchodzą one w ich zakres i jaki będzie ich wpływ, a następnie wdrożyć projekt, aby upewnić się, że są one zgodne z terminem.
Jest wiele do rozważenia i niewiele czasu na przygotowanie się. Aby uzyskać bardziej szczegółowe informacje i porady dotyczące Twojej firmy, skontaktuj się z nami już dziś.
Jeśli chcesz omówić dowolny aspekt swojej działalności i konsekwencje SCA, skorzystaj z godzinnej bezpłatnej konsultacji już dziś!
Skontaktuj się z nami
AuthoriPay Ltd, Milton Hall, Ely Road, Cambridge, CB24 6WZ.