毫无疑问,你们中的许多人都听说过欧盟的欧洲银行管理局(EBA)指令,称为PSD2(支付服务指令的缩写)。这些指南最初于2015年底发布。到2018年1月,所有成员国都必须执行该条例。
PSD2的主要目的包括
为网商等各类参与者打开新的市场机会,同时为所有关键利益相关者提供公平的竞争环境提供消费者透明度和消费者选择为在线支付引入新的和更强大的安全实践
PSD2通常有一些指导原则;但是,更好的PSD2指南之一可以从MEF(移动生态系统论坛)下载。
强客户认证
PSD2法规的关键要素之一是强客户认证(SCA)的概念。欧洲银行业管理局指出:"多亏了PSD2,消费者在进行电子支付或交易(如使用网上银行或网上购物)时将得到更好的保护。监管技术标准(RTS)将强大的客户身份验证(SCA)作为访问个人支付账户以及在线支付的基础。"简言之,SCA至少要求双因素身份验证(2FA)。
双因素身份验证意味着用户必须通过两个独立的要素来"证明"自己的身份三:
他们知道的东西(PIN码或密码)他们拥有的东西(移动设备、卡片)它们是什么(指纹、面部扫描:例如生物特征)
欧洲银行业管理局指出,SCA在整个欧盟范围内普遍使用;然而,信用卡支付或银行直接转账等在线支付交易并不总是如此。SCA适用于比利时、荷兰和瑞典等欧盟国家);然而,根据欧盟委员会一份出色的新闻稿,在其他欧盟国家,SCA仅在自愿的基础上应用。
虽然欧盟成员国将在2018年1月之前实施PSD2,自欧洲银行业管理局监管技术标准(RTS)生效之日起18个月后(预计将于今年晚些时候生效),SCA将成为强制性标准。所以从本质上说,我们关注的是2019年中后期(2019年9月是一些文件引用的一个这样的日期)。这将使所有利益相关者有足够的时间将SCA和其他安全需求纳入其系统和工作流程。
2FA for SCA
鉴于SCA时间表,2018年是企业开始实施2FA解决方案的最佳时机,以应对所需的更高安全性。国际律师事务所Taylor Wessing在其论文《PSD2下的强大客户认证》(Strong customer authentication under PSD2)中指出,"欧洲银行业管理局同意咨询文件的大多数答复者的意见,即为了确保技术中立性,并允许开发方便用户、无障碍和创新的支付手段,它不应该进一步定义身份验证元素。"这意味着EBA没有指定2FA的实现方式。有多种方案,包括通过移动渠道(如短信或推送通知或更传统的电子邮件渠道)进行令牌传递,以及TOTP软令牌解决方案等。
所有这些都需要指出,与任何好的2FA实施方案一样,有一些限制和具体规定,需要仔细考虑。
认证码
RTS注意到,免费vps服务器,生成认证码符合以下条件:
此外,RTS规定,在该码存在的时间内,不应尝试超过5次失败的认证尝试付款方或用户通过在线支付账户验证后,最长不活动时间不得超过5分钟。
交易动态链接
RTS表示电子远程交易——基本上是通过互联网(无论是在笔记本电脑或笔记本电脑等台式机设备上)进行的支付移动设备)必须包含"将交易动态链接到特定金额和特定收款人"的元素。RTS将此视为SCA的附加形式。
对于此SCA要求,支付交易的金额以及在2FA交易时应向用户提供的收款人(或商户)。如果金额或收款人发生任何变化,手游返利,则应生成另一个验证代码(例如,"动态链接"该代码与新的收款人和/或付款金额)。一条包含所有必要信息的短信息可能看起来像右边的图片:10分钟的安全代码、商户(或收款人)的姓名和交易金额。
有趣的是,由第三方TOTP兼容应用程序(如Google Authenticator)生成的验证码与支付/商户信息完全分离,因此无法动态链接。
渠道独立
这一要求有点棘手。RTS规定,"支付服务提供商应采取安全措施,通过多用途设备使用强客户认证的任何要素或认证代码本身,"多用途设备可以是移动设备或平板电脑,甚至是笔记本电脑,
如果用户使用笔记本电脑并被要求付款,然后,该商户可以向用户的移动设备发送一条短信,其中包括收款人(例如商户)以及他们将要支付的金额,以及短信正文中的验证码。
在另一个示例中,如果用户使用移动设备与商户交互并发起支付,那么这种信道独立性并不特别禁止SMS或任何特定于移动的传送信道。在这里,这是一条细线。在许多情况下,用户拥有的唯一设备是多用途设备,如移动电话。但是,渠道独立性只是指——同一设备上的独立渠道——带有认证码的短信与用户与商家接触的移动应用程序或网络浏览器是不同的渠道(事实上,它是一个带外渠道,通过移动电话号码到达)。同样的渠道独立性也适用于使用移动应用程序生成符合TOTP的代码(如Google Authenticator),但如前所述,TOTP投诉代码无法动态链接交易。
相反,如果用户使用移动应用程序访问商户,然后推送通知到同一个应用程序(与验证码)将是不可能的,因为他们是同一个渠道。
