2019.06.24.

Az Európai Bankhatóság véleménye az erős ügyfél-hitelesítésről, a megoldásokról és a szeptemberi határidőről

Az elektronikus kereskedők és a kártyakibocsátók 2 héttel ezelőtt megkongatták a vészharangot és írásban kérték az Európai Bankhatóságot, hogy tekintsen el a szeptember 14-ei, az erős ügyfél-hitelesítés és a távoli online fizetésekre vonatkozó külön követelmény bevezetésére vonatkozó határidőtől. Az EBA mérlegelte a piaci szereplők felkészültségét és ennek alapján a helyi pénzügyi hatóságokat felhatalmazta, hogy kivételkezelésben engedélyezzék az implementáció határidejének korlátozott idejű meghosszabbítását.

Szakértői becslések szerint 2019-ben a teljes európai e-kereskedelmi forgalom meghaladja a 620 milliárd eurót, melynek akár 30 %-át is elveszthetik az erős ügyfél-hitelesítés szeptember 14-ei bevezetése esetén – érvelnek az online áruházak és az elfogadó bankok.

A bankok körében ugyanis még napjainkban is bizonytalanság uralkodik, hogy mely technológiai megoldások felelnek meg „Az erős ügyfél-hitelesítés és a biztonságos kommunikációról szóló szabályozástechnikai szabvány” (RTS) előírásainak. Továbbá – különösen az e-kereskedelemben – az ügyfélbarát fizetési folyamatok kialakítására, a fogyasztók, vásárlók tájékoztatására, edukációjára is több időre van szüksége a szereplőknek.

Mindezt az Európai Bankhatóságnak szóló beadványban fogalmazta meg az Európai Bankszövetség és kérte a szeptember 14-ei határidő módosítását.

Kapcsolódó cikkek:

Így fizetünk 3 hónap múlva az interneten. Jön az erős ügyfél-hitelesítés, 2019.06.14.

Erős ügyfél-hitelesítés bevezetése 2019. szeptember 14-ig

A Módosított Pénzforgalmi Irányelv (PSD2) általános szabályként minden online elérhető bankszámláról indított elektronikus fizetési tranzakcióra előírta a 2-faktoros ügyfél-hitelesítés kötelező alkalmazását. A végrehajtás részletszabályait „Az erős ügyfél-hitelesítés és a biztonságos kommunikációról szóló szabályozástechnikai szabvány”-ban (RTS) rögzítette a szabályozó.

A távoli online fizetések esetén – tipikusan az e-kereskedelemben – a tranzakciók biztonságának növelése érdekében további követelményt (dynamic linking=dinamikus összekapcsolás) fogalmazott meg. A követelményeknek való megfelelésre 18 hónap felkészülési időt biztosított a szabályozás (2019. szeptember 14-ig).

Az EBA tekintettel arra, hogy az erős ügyfél-hitelesítés bevezetése nem pénzügyi szolgáltatók számára (pl. e-kereskedők) is komoly kihívást jelent, a 2019. június 21-én kiadott nyilvános Véleményében felhatalmazta a helyi hatóságokat, hogy:

a kibocsátók számára a jogszabálynak megfelelő erős ügyfél-hitelesítési megoldások bevezetésére,
az elfogadók számára az SCA-nak megfelelő megoldások kereskedőik körében történő integrációjára

szükség esetén több időt biztosítsanak.

A megfelelési határidő hosszabbításának feltételei

Az engedélyezés kivételkezelési eljárásban egyedi alapon történik és az engedély a hatóság által meghatározott, korlátozott időre szólhat. A Bankhatóság a tagállami felkészültség mélyebb ismeretében határozza meg – az év során – a kiadható leghosszabb halasztási időtartamot.

A hatóságnak meg kell ismernie a kibocsátók jelenleg alkalmazott két-faktoros ügyfél-hitelesítési megoldásait. Amennyiben még nincs bevezetett megoldásuk, be kell kérnie és mérlegelnie a tervezett ügyfél-hitelesítési megoldás implementációs ütemtervét és a vállalt teljesítési határidőket.

Meg kell ismernie az elfogadók – az erős ügyfél-hitelesítési megoldások bevezetésében a kereskedők támogatására kidolgozott – akciótervét, valamint a megoldás implementációs ütemtervét és a vállalt teljesítési határidőket.

A hatóság bekérheti a fizetési szolgáltatóktól az ügyfeleik, valamint az online vásárlók tájékoztatására kidolgozott kommunikációs terveket.

Az RTS-nek megfelelő ügyfél-hitelesítési faktorok, eljárások

Az RTS hatálybalépése óta számos tisztázó, illetve konkrét technológiai megoldás jogszabályi megfelelőségére vonatkozó kérdést nyújtottak be a bankok és más piaci szereplők a Bankhatósághoz. Az Európai Bankhatóság a kiadott Véleményben ezért – az RTS elfogadását követően 2018. júniusában publikált értelmező állásfoglalásánál részletesebben – elemzi a jelenleg ismert hitelesítési eljárások jogszabályi megfelelését.

Az erős ügyfélhitelesítés elemeit az alábbi 3 lehetséges faktorból választhatják ki a fizetési szolgáltatók. A kiválasztott faktor szabályozási megfelelését az alkalmazott hitelesítési eljárás biztonságossága, pontossága határozza meg.

1. A felhasználó biológiai tulajdonságai

Az EBA álláspontja alapján a felhasználó fizikai valója mellett pszichológiai valójához tartozó biológiai tulajdonságai és viselkedési mintázatai is számításba vehetők az ügyfél-hitelesítésnél.

A jelenleg ismert és használt biológiai tulajdonság alapú faktorok közül – az EBA Vélemény alapján – megfelelő lehet (nem teljes lista):

ujjlenyomat vizsgálata,
hangfelismerés,
véna szkennelése,
kéz és arc elemzés,
retina és írisz szkennelése,
billentyűzet használati mintázata (pl. ütés erősség),
pulzus vagy a felhasználót egyértelműen azonosító testmozgás mintázata, valamint
a felhasználó eszközhasználata (pl. az eszköz dőlésszöge használat közben).

2. Birtoklás alapú faktorok

A birtoklás nem csak fizikai, hanem virtuális eszközök (pl. egy alkalmazás letöltése) birtoklását is jelentheti. Egy eszköz akkor alkalmas a felhasználó hitelesítésre, ha megbízhatóan igazolható a birtoklás ténye pl. az adott eszközön dinamikus hitelesítő kulcs generálásával vagy fogadásával.

Az EBA által elfogadhatónak tartott birtoklás alapú faktorok:

Az eszközön generált vagy fogadott, egyszer használatos jelszó (OTP). vagy aláírás.
Leolvasható QR kóddal igazolt kártya vagy eszköz.
Mobil alkalmazások, webes böngészők, nyilvános vagy magán kulcsok átadásán (digitális aláírás) alapuló eljárások abban az esetben, amennyiben az alkalmazás és az eszköz között egyedi kapcsolat jön létre. (pl. a készülék biztonsági tároló elemén – secure element – tárolt kulcsok révén)
Dinamikus – a kártya felületén meg nem jelenített – biztonsági kóddal ellátott kártya.

Az EBA véleménye alapján a szabályozás birtoklás alapú hitelesítési faktorokkal szemben megfogalmazott követelményeit nem teljesítik pl. a kártya felületére nyomtatott, a kártya adatait tartalmazó jelenleg ismert megoldások.

3. Tudás alapú hitelesítési faktor

Az EBA értelmezésében a szabályozási követelményeket kielégíthetik:

jelszó,
PIN kód,
jelmondat,
kérdésekre, feladványokra adott válasz,
megtanult képernyőmozdulat,
a kártya biztonsági kódja, amennyiben azt a kártyától elkülönítve juttatja el a szolgáltató a felhasználóhoz – mint ahogy pl. egy új kártya PIN kódját.

A kártyára nyomtatott kártya adatok, valamint a felhasználónév és az email cím nem tekinthető tudásalapú hitelesítési faktornak.

A szabályozás (a PSD2 és az RTS) alapján a fenti három faktorból bármely kettőt kiválaszthatja a fizetési szolgáltató. A 2 faktort úgy kell kiválasztania, hogy azok egymástól függetlenek legyenek, azaz az egyik faktor megismerése esetén abból a másik ne legyen kikövetkeztethető. Továbbá a szolgáltató olyan eljárást köteles kialakítani, amely biztosítja, hogy az egyik faktor megsértése, feltörése nem eredményezheti a másik faktor kompromittálódását.

A hatályos szabályozás a távoli elektronikus fizetésekre – pl. a webshopok weboldalán történő online fizetéseknél – a 2 faktoros hitelesítésen túl az adott tranzakciót a felhasználóval dinamikusan összekapcsoló eljárás kialakítását írja elő. A gyakorlatban ilyen – egyre jobban terjedő megoldás a 3D Secure 2.0. Az EBA ennek kapcsán is állást foglalt.

Az e-kereskedelemben az EBA támogatja a 3D Secure 2.0 eljárást

A piacon jelenleg is használt 3D Secure 1.0 kommunikációs protokoll – a Bankhatóság Véleménye alapján – a PSD2 követelményeit nem elégíti ki teljes mértékben, pl. nem tudja kezelni az SCA alóli mentességeket. Az EBA ugyanakkor megfelelőnek tartja a 3D Secure 2.0 vagy afeletti protokollok használatát és bátorítja a szolgáltatókat annak implementálására.

A technológia előnyei:

A 3D Secure 2.0 bevezetésével a fizetési tranzakció biztonsága növelhető a vásárlói élmény javítása mellett.
A korábbi – 3D Secure 1.0 – eljáráshoz képest 85 %-kal gyorsabb tranzakciós idő.
A 3D Secure 2.0 eljárást bevezető kereskedőknél fraud esetén a kártyakibocsátó bank viseli a felelősséget és téríti meg a fogyasztónak okozott kárt.
Az alkalmazott kommunikációs csatornán a korábbinál akár 10x több információ is eljuthat kibocsátó bankhoz, amely ezeket az adatokat felhasználhatja többek között kockázatalapú szolgáltatások kidolgozására (pl. áruhitel).

A fizetési piac átalakulásáról, az új fizetési megoldások terjedéséről és az azokban rejlő lehetőségekről bővebb információkat az érdeklődők 2019.10.15-én a PayTechShow-n kaphatnak.

Címkék:

erős ügyfél-hitelesítés | PSD2 | SCA

Cookie	Description
__cf_bm	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
_fbp	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_ga	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga	Ezt a sütit a Google Analytics telepítette. A süti feladata, hogy a weboldalt elemző riport elkészítése érdekében számolja a látogatókat, a munkameneteket, a kampány adatokat és nyomon kövesse az oldal használatát. A süti névtelenül, anonim módon tárolja az információkat és az egyedi látogatók azonosításához véletlengenerált számokat használ.
_ga_Y7GEW04PM5	This cookie is installed by Google Analytics.
_gat	Ezeket a sütiket a Google Universal Analytics telepítette annak érdekében, hogy a nagyforgalmú oldalakon az adatlekérések arányát csökkentse.
_gat_gtag_UA_68605700_2	Set by Google to distinguish users.
_gid	Ezt a sütit a Google Analytics telepítette. A süti információkat tárol arról, hogy a felhasználók hogyan használják a weboldalt, valamint segíti a weboldal működését, teljesítményét elemző riport elkészítését. A gyűjtött adatok körébe tartozik a weboldal látogatóinak száma, a forrás oldal, ahonnan a weboldalra jutottak a felhasználók és a látogatott oldalak. Az adatgyűjtésre anonim módon kerül sor.
browser_id	This cookie is used for identifying the visitor browser on re-visit to the website.
burst_uid	No description
CONSENT	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
cookielawinfo-checkbox-advertisement	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-non-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Non-necessary" category .
cookielawinfo-checkbox-others	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
DEVICE_INFO	No description
test_cookie	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
vuid	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.
YSC	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_Y7GEW04PM5	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_68605700_2	1 minute	Set by Google to distinguish users.
browser_id	5 years	This cookie is used for identifying the visitor browser on re-visit to the website.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Duration	Description
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
burst_uid	1 month	No description
DEVICE_INFO	5 months 27 days	No description