Jön az erős ügyfél-hitelesítés

Szeptember 14-től a Módosított Pénzforgalmi Irányelv (PSD2) részeként bevezetésre kerül Magyarországon is az erős ügyfél-hitelesítés (SCA), ami a legnagyobb változást az elektronikus kereskedelemben hozza el. A kétfaktoros tranzakció-jóváhagyás a felhasználók számára érezhető változást jelent majd az eddig megszokott online fizetési folyamatokhoz képest.

Egri Szilvia
stratégiai elemző
FinTech Group Kft. és
Azonnali Fizetés
Szolgáltató Centrum

Hogyan változik a fizetési folyamat? Jelenleg a kártyás fizetési folyamat alapvetően két lépésből áll: a fizetés engedélyezéséből és a fizetési kártya (mögötti egyenleg) terheléséből. Ez a kétlépcsős folyamat egészül ki egy harmadik lépéssel, a hitelesítéssel, melynek célja a kártyával történő visszaélések megakadályozása, a tranzakció biztonságának növelése. Amikor az erős ügyfél-hitelesítés életbe lép, minden internetes bankkártyás fizetés esetén (is) kötelező lesz a 2-faktoros tranzakció-jóváhagyás. Ennek hiányában a fizetési tranzakciót a felhasználó bankja el fogja utasítani.

A PSD2 szabályoknak megfelelő ügyfél-hitelesítési faktorok, eljárások

Az Európai Bankhatóság (EBA) részletesen elemezte a jelenleg ismert hitelesítési eljárások jogszabályi megfelelését, és a 2019. június 21-én kiadott Véleményben az alábbiakat fogalmazta meg.

1. A felhasználó biológiai tulajdonságai

Az EBA álláspontja alapján a felhasználó fizikai valója mellett pszichológiai valójához tartozó biológiai tulajdonságai és viselkedési mintázatai is számításba vehetők. A jelenleg használt biológiai tulajdonság alapú faktorok közül megfelelő lehet pl. az ujjlenyomat vizsgálata, hangfelismerés, véna szkennelése, kéz- és arcelemzés, retina és írisz szkennelése, billentyűzet használati mintázata (pl. ütéserősség), pulzus vagy a felhasználót egyértelműen azonosító testmozgásmintázata, valamint a felhasználó eszközhasználata (pl. az eszköz dőlésszöge használat közben).

2. Birtoklás alapú faktorok

A birtoklás nemcsak fizikai, hanem virtuális eszközök (pl. egy alkalmazás letöltése) birtoklását is jelentheti. Az EBA által elfogadhatónak tartott birtoklás alapú faktorok:

• Az eszközön generált vagy fogadott, egyszer használatos jelszó (OTP) vagy aláírás.

• Leolvasható QR-kóddal igazolt kártya vagy eszköz.

• Mobilalkalmazások, webes böngészők, nyilvános vagy magánkulcsok átadásán (digitális aláírás) alapuló eljárások abban az esetben, amennyiben az alkalmazás és az eszköz között egyedi kapcsolat jön létre (pl. a készülék biztonsági tároló elemén – secure element – tárolt kulcsok révén).

• Dinamikus (a kártya felületén meg nem jelenített) biztonsági kóddal ellátott kártya.

Az EBA véleménye alapján a szabályozás birtoklás alapú hitelesítési faktorokkal szemben megfogalmazott követelményeit nem teljesítik pl. a kártya felületére nyomtatott, a kártya adatait tartalmazó jelenleg ismert megoldások.

3. Tudás alapú hitelesítési faktor

Az EBA értelmezésében a szabályozási követelményeket kielégíthetik: jelszó, PIN-kód, jelmondat, kérdésekre, feladványokra adott válasz, megtanult képernyőmozdulat, a kártya biztonsági kódja, amennyiben azt a kártyától elkülönítve juttatja el a szolgáltató a felhasználóhoz – mint ahogy pl. egy új kártya PIN-kódját.

A kártyára nyomtatott kártyaadatok, valamint a felhasználónév és az e-mail cím nem tekinthető tudásalapú hitelesítési faktornak. //