Skip to main content

Silne Uwierzytelnianie (SCA - Strong customer authentication)

Informacje na temat silnego uwierzytelniania (SCA)
Silne Uwierzytelnianie (SCA - Strong customer authentication) w teorii

Zgodnie z treścią dokumentu DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2015/2366z dnia 25 listopada 2015 r.w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WE artykuł 4 i 97.

(pełna treść dokumentu na stronie https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32015L2366&from=EN)

Czym jest uwierzytelnianie?

Uwierzytelnianie oznacza procedurę umożliwiającą dostawcy usług płatniczych weryfikację tożsamości użytkownika usług płatniczych lub ważności stosowania konkretnego instrumentu płatniczego, łącznie ze stosowaniem indywidualnych danych uwierzytelniających tego użytkownika.

Czym jest silne uwierzytelnianie?

Silne uwierzytelnianie klienta oznacza uwierzytelnianie w oparciu o zastosowanie co najmniej dwóch elementów należących  do  kategorii:  wiedza (coś,  co  wie  wyłącznie  użytkownik), posiadanie  (coś,  co  posiada wyłącznie  użytkownik) i  cechy klienta  (coś, czym jest użytkownik), niezależnych w tym  sensie, że naruszenie jednego z nich nie osłabia  wiarygodności pozostałych, które to uwierzytelnianie jest zaprojektowane w sposób zapewniający ochronę poufności  danych  uwierzytelniających.

Kiedy należy stosować silne uwierzytelnianie?

1. Państwa członkowskie zapewniają, by dostawca usług płatniczych stosował silne uwierzytelnianie klienta, w przypadku gdy płatnik:

a) uzyskuje dostęp do swojego rachunku płatniczego w trybie online;

b) inicjuje elektroniczną transakcję płatniczą;

c) przeprowadza czynność za pomocą kanału zdalnego, która może wiązać się z ryzykiem oszustwa płatniczego lub innych nadużyć.

2. W odniesieniu do inicjowania elektronicznych transakcji płatniczych, o którym mowa w ust. 1 lit. b), państwa członkowskie zapewniają, by – w przypadku elektronicznych zdalnych transakcji płatniczych – dostawcy usług płatni­czych stosowali silne uwierzytelnianie klienta obejmujące elementy, które dynamicznie łączą transakcję z określoną kwotą i określonym odbiorcą.

3. W odniesieniu do ust. 1 państwa członkowskie zapewniają, by dostawcy usług płatniczych wprowadzili adekwatne środki bezpieczeństwa w celu ochrony poufności i integralności indywidualnych danych uwierzytelniających użytkow­ników usług płatniczych.

4. Ust. 2 i 3 mają również zastosowanie, w przypadku gdy płatności są inicjowane za pośrednictwem dostawcy świadczącego usługę inicjowania płatności. Ust. 1 i 3 mają również zastosowanie, w przypadku gdy występuje się o podanie informacji za pośrednictwem dostawcy świadczącego usługę dostępu do informacji o rachunku.

5. Państwa członkowskie zapewniają, by dostawca usług płatniczych prowadzący rachunek zezwalał dostawcy świadczącemu usługę inicjowania płatności i dostawcy świadczącemu usługę dostępu do informacji o rachunku na poleganie na procedurach uwierzytelniania zapewnianych przez dostawcę usług płatniczych prowadzącego rachunek użytkownikowi usług płatniczych zgodnie z ust. 1 i 3, a w przypadku gdy zaangażowany jest dostawca świadczący usługę inicjowania płatności – zgodnie z ust. 1, 2 i 3.

Silne uwierzytelnianie w Banku Spółdzielczym w Różanie w praktyce
Aby zapewnić bezpieczeństwo zgodne z najnowszymi standardami oraz wymogami unijnymi, podczas uwierzytelniania należy zastosować w praktyce przynajmniej dwa z trzech elementów:

1. Coś co wiem - np. hasło logowania, które zna tylko użytkownik;

2. Coś co posiadam - np. telefon komórkowy, na który przychodzą wiadomości SMS z kodami do autoryzacji lub urządzenie  mobilne, na którym jest zainstalowany program (token) wyświetlający kody do autoryzacji;

3. Coś czym jestem - indywidualne cechy użytkownika np. biometria w tym odcisk palca lub skan siatkówki.

W Banku Spółdzielczym w Różanie od momentu wejścia w życie nowych przepisów
tj. od dnia 14 września 2019 r. silne uwierzytelnianie będzie obowiązkowe dla każdego klienta i będzie realizowane za pomocą hasła logowania w połączeniu
z dodatkowym elementem w formie kodów SMS.

Dlaczego tradycyjne tokeny RSA, karty czipowe zostają wycofane?

Oprócz silnego uwierzytelniania nowa dyrektywa unijna wprowadza między innymi wymóg co do sposobu w jaki przebiega autoryzacja. Aby jeszcze bardziej zwiększyć bezpieczeństwo podczas korzystania z bankowości internetowej, użytkownik np. podczas wykonywania przelewu musi zostać poinformowany osobnym kanałem między innymi o kwocie oraz rachunku odbiorcy. W praktyce oznacza to, że dane przelewu, które wyświetlane są na ekranie komputera muszą dotrzeć do użytkownika także w inny sposób np. w treści wiadomości SMS czego nie dało się zrealizować za pomocą tokenów RSA oraz kart czipowych.