Cinq critères de sécurité indispensables pour atteindre la conformité PSD2
Comment les banques et les FI peuvent-elles rester conformes sans compromettre l'expérience client ?
Ce n'est un secret pour personne que les clients d'aujourd'hui exigent beaucoup plus de leurs banques. Par exemple, ils s'attendent maintenant à une expérience entièrement numérique et transparente sur tous les canaux par lesquels le client interagit avec la banque, que ce soit pour l'achat d'un article en ligne ou de prendre un prêt.
Dans le même temps, la réglementation accorde beaucoup plus d'importance que jamais à la sécurité, ce qui, combiné à la menace incessante de fraudes et de cyberattaques qui pèse sur les banques, signifie que la sécurité des clients ne peut être autre chose qu'une priorité absolue.
Cela est particulièrement vrai à la lumière de la directive sur les services de deuxième paiement (PSD2),qui présente des défis de sécurité supplémentaires que les institutions financières doivent prendre en considération. PSD2 s'appuie sur la législation précédente en augmentant les droits des clients dans des domaines tels que le traitement des plaintes et la conversion de devises, en améliorant la sécurité grâce à l'authentification des clients (SCA) et en permettant à des tiers d'accéder aux informations de compte.
Ainsi, compte tenu de ces nouvelles considérations, quelles mesures de sécurité les banques et les institutions financières devraient-elles mettre en place pour assurer le respect de la DSP2? Voici cinq des plus importants.
1. Authentification forte du client
Lorsqu'il s'agit de fournir une expérience bancaire sécurisée et conforme, l'authentification intelligente est essentielle. L'authentification intelligente évalue le niveau de risque d'une transaction en fonction de données disparates, telles que les détails de la transaction, le comportement du client et l'intégrité de l'appareil, afin de déterminer le niveau d'authentification requis.
Pour répondre aux exigences de l'ACS de la DSP2, l'authentification doit être fondée sur deux ou plusieurs des facteurs suivants : la connaissance (p. ex. mots de passe ou NIP), la possession (p. ex. jetons ou appareils mobiles) et l'inhérence (p. ex. la biométrie).
Les exemptions à SCA sont autorisées pour les transactions à faible risque, de sorte que l'authentification adaptative intelligente qui ajuste les étapes d'authentification en fonction d'une évaluation du niveau de risque peut entraîner une expérience utilisateur plus pratique. Il garantit que les clients ne sont pas limités à une méthode d'authentification gênante (par exemple, recevoir un SMS lorsqu'ils n'ont pas de signal mobile) et applique le bon niveau d'authentification pour chaque situation individuelle.
2. Surveillance des transactions
PSD2 exige l'utilisation de la surveillance des transactions pour dissuader les paiements frauduleux et prévenir les menaces telles que la prise de contrôle de compte, la fraude de nouveaux comptes et la fraude mobile. Les institutions financières doivent également être en mesure de démontrer l'efficacité de leurs systèmes de surveillance aux vérificateurs et aux organismes de réglementation.
Les données mobiles, d'application et de transaction sont analysées en temps réel pour détecter les types de fraude connus et émergents dans les canaux bancaires en ligne et mobiles, que ce soit par l'apprentissage automatique, des systèmes plus traditionnels fondés sur des règles ou une combinaison des deux. Cette analyse produit un score de risque de transaction, qui peut ensuite générer des flux de travail intelligents qui déclenchent une action immédiate basée sur des politiques et des règles de sécurité prédéfinies et/ou définies par le client.
En tenant compte d'un certain nombre de facteurs fondés sur le risque, y compris les scénarios de fraude connus, la détection des infections par les logiciels malveillants et le montant des transactions, l'analyse des risques de transaction permet aux banques d'atteindre la conformité, de mieux protéger leurs clients et de réduire leurs coûts opérationnels.
3. - la protection des copies
Ce qui est devenu clair, c'est que les cybercriminels investissent maintenant plus de temps et d'argent que jamais dans l'attaque du canal mobile. En tant que tel, lorsqu'un facteur d'authentification est la possession d'un appareil mobile, PSD2 exige l'utilisation de contre-mesures dans les applications pour empêcher la réplication du facteur d'authentification.
L'utilisation de la technologie de blindage d'applications mobiles protège les applications de l'intérieur et renforce leur résistance aux menaces telles que l'intrusion, la falsification, l'ingénierie inverse et les logiciels malveillants - ne niant le service que lorsque cela est absolument nécessaire.
Cela atténue le risque que les applications fonctionnent dans des environnements non fiables et potentiellement hostiles sans interrompre l'expérience utilisateur, ce qui est, bien sûr, un facteur crucial à mesure que les attentes des clients continuent d'augmenter.
4. - l'authentification dynamique
Cela a été l'une des exigences les plus discutées de PSD2. Pour les transactions de paiement, le payeur doit être au courant du montant et du destinataire de la transaction et le code d'authentification doit être dynamiquement lié à ces détails.
Il a été introduit pour contrer les attaques de l'homme dans le milieu, par lequel un adversaire modifie les détails d'une transaction après que le payeur l'a authentifiée. Une telle attaque pourrait entraîner un véritable transfert de 100 euros à un ami se transformant en un transfert voyou de 1000 euros à un imposteur, sans que le véritable payeur s'en aperçoive.
Bien que l'utilisation de liaisondynamique soulève des questions cruciales pour les banques et les institutions financières, telles que la façon dont il peut être mis en œuvre commodément pour les clients et si SMS peut être utilisé, il est un aspect fondamental de PSD2 et ne peut pas se permettre d'être négligé.
5. - des éléments d'authentification indépendants
Le nombre de chevaux de Troie bancaires ciblant les utilisateurs d'appareils mobiles a doublé en 2018, ce qui est l'une des raisons pour lesquelles les fournisseurs de paiement doivent adopter des mesures de sécurité proactives pour atténuer les risques résultant de la compromisse des appareils mobiles.
Les fournisseurs de paiement doivent s'assurer que la violation d'un facteur d'authentification ne compromet pas un autre facteur. Il s'agit en particulier d'une préoccupation pour les appareils mobiles, qui peuvent gérer de multiples facteurs d'authentification.
Par exemple, le blindage d'applications avec la protection de runtime peut atténuer le risque résultant des appareils mobiles compromis en sécurisant la façon dont il est déployé dans les magasins en ligne et en renforçant la façon dont la plate-forme interagit avec l'application.
En fin de compte, assurer la sécurité n'est pas une tâche facile dans le paysage des menaces d'aujourd'hui. Mais, en gardant ces cinq critères à l'esprit, les banques et les institutions financières peuvent se mettre dans la meilleure position possible pour protéger leurs clients et rester conformes à la réglementation PSD2.
Cet article, rédigé par Steven Murdoch, est paru pour la première fois le 23 septembre 2019 sur ITProPortal.