Silné ověření klienta (SCA), dotkne se i vás?
Publikováno: 11.09.2019
Od 14. září budou muset online platby probíhat v režimu tzv. silné autentizace klienta. Změny se týkají plateb kartou, online bankovními tlačítky a dalšími platebními metodami. Podrobnosti naleznete v článku.
Co je silné ověření klienta (SCA)
SCA by mělo snížit riziko vzniku podvodů v důsledku zneužitého hesla. SCA spočívá v kombinaci dvou ze tří bezpečnostních prvků, díky kterým dojde k ověření platby zadávané na internetu. Tomuto říkáme dvoufaktorové ověření (2FA).
Faktory dvou faktorového ověření:
- Znalost - něco, co uživatel zná, např. heslo, PIN, CVV kód ze zadní strany platební karty
- Vlastnictví - něco, co vlastní, např. telefon, chytré hodinky
- Jedinečnost - něco, čím uživatel je. Sem patří biometrické prvky, např. otisk prstu, sken duhovky, fotka obličeje, atd.
Proč SCA
Hlavním důvodem je používání chytrých telefonů při placení online. Tyto telefony umožňují spuštění aplikací k zaplacení a na ten samý telefon přijde autorizační SMSka. Tím dotyčný má neomezený přístup bez ohledu, jestli je oprávněný uživatel nebo ne. Tato forma zabezpečení nedává smysl. Nezapomínejme i na rozmach podvodných aplikací, které dokáží ukrást přihlašovací údaje do bankovních aplikací.
Bude stačit potvrzení platby SMSkou?
Určitě ne v takové míře, jak se používá dnes. Dle výkladu našeho zprostředkovatele GoPay: „V GoPay se držíme výkladu, že použití SMS jako faktoru vlastnictví (tedy zařízení, které uživatel vlastní) není v rozporu se silnou autentizací, pokud je platba zadávána na jiném zařízení než na mobilním telefonu, který tuto SMS přijímá. Zrovna tak nezpochybňujeme biometrické faktory, pokud jsou použity k ověření platby a nikoliv jenom k odemčení telefonu. Problém je, že na trhu stále existuje značné množství mobilních telefonů, které s biometrikou pracovat neumí, a pro takové případy bude nutné připravit jiné řešení pro ověření zadávaných plateb.“
Jak bude SCA vypadat v praxi?
Je pochopitelné, že zdlouhavé opisování čísel z SMS je z pohledu uživatele mnohem méně komfortní než použití některého faktoru z kategorie Jedinečnost (biologické prvky, jako otisk prstu nebo sken obličeje), zejména v případě, kdy během jednoho sezení může docházet k vícenásobnému provedení silné autentizace klienta. Je však nutné si uvědomit, že na trhu je stále značné procento mobilních telefonů, které ověření pomocí otisku prstu nebo skenu obličeje neumožňují.
Aby se vaši zákazníci neuheslovali, může váš poskytovatel platebních služeb (např. GoPay) uplatnit celou řadu výjimek z silné autentizace, např:
- silné ověření nebude probíhat u transakcí týkajících se menších částek, tj. jedna platba nepřevyšuje 30 EUR, počet plateb od posledního silného ověření nepřesáhl 5 a kumulovaná částka 100 EUR;
- úhrady mezi účty té samé osoby jsou prováděny v rámci jednoho peněžního ústavu;
- služba informování o účtu se dotazuje pouze na transakce provedené maximálně za posledních 90 dní;
- jedná se o opakované platby stejnému příjemci (e-shopu) a ve stejné částce;
- příjemce platby (e-shop) je uživatelem označený jako důvěryhodný příjemce;
- transakce je poskytovatelem platebních služeb (např. GoPay) považována za transakci s nízkou mírou rizika;
- platební transakce není iniciována plátcem (zákazník), ale příjemcem platby (e-shop).
Ověření platby přes chytrý telefon
Zákazník si na internetu vybere zboží, které bude chtít zaplatit kartou. Místo SMS kódu bude moct svou identitu ověřit např. pomocí biometrických prvků, jako je otisk prstu, sken obličeje, duhovky, apod. V případě, že mobilní telefon nepodporuje biometrické prvky, zákazník bude přesměrován do aplikace mobilního bankovnictví, kde platbu potvrdí zadáním hesla, PINu, nebo zodpovězením předem nadefinované bezpečnostní otázky.
Ověření platby bez použití chytrého telefonu nebo aplikace mobilního bankovnictví
Vyvstává tedy otázka, jak bude silné ověření probíhat u uživatelů, kteří buď nevlastní chytrý telefon, nebo nepoužívají službu mobilního bankovnictví.
Bohužel, v takovém případě bude ověření platby složitější (což jde proti původní myšlence celého projektu, který má za cíl ověření platby zjednodušit). Zůstane zachováno staré dobré přepisování SMS kódu, ale navíc bude muset uživatel zadat i speciální PIN, který se bude lišit od běžného PINu k fyzické platební kartě. Nejen, že si uživatel bude muset tento speciální PIN pamatovat (ten totiž v žádné SMS zprávě nedorazí), ale v případě, že v jedné fázi ověření udělá chybu, platba samozřejmě neprojde a objednávka tím pádem nebude dokončena.
Podrobnosti o SCA najdete na blogu našeho poskytovatele platební brány GoPay s.r.o.
Autor: David