Europejski Bank Centralny opublikował zestaw zaleceń dotyczących bezpieczeństwa płatności online. Zabezpieczenia, z którymi spotykaliśmy się do tej pory w bankach, pojawią się także w serwisach płatności elektronicznych. Sam login i hasło to za mało, twierdzi EBC.
Oszustwa płatnicze są znacznie poważniejszym problemem w sieci niż poza nią. Wprowadzenie kart płatniczych z mikroprocesorem zmniejszyło skalę przestępczości w sklepach i bankomatach, ale nie zmieniło wiele w wirtualnym świecie.
Europejski Bank Centralny w 2011 roku powołał Forum Bezpieczeństwa w Płatnościach Detalicznych (SecuRe Pay), w którego obradach brały udział podmioty nadzorujące rynki finansowe w krajach UE. Forum wypracowało zestaw zaleceń, które do 1 lutego 2015 roku powinny zostać wdrożone jako obowiązujące prawo w krajach członkowskich. Zmiany dotkną wszystkich podmiotów, które umożliwiają dokonywanie płatności w sieci, w tym instytucji płatniczych i instytucji pieniądza elektronicznego.
Dwustopniowe zabezpieczenia
Najważniejsza propozycja EBC dotyczy tzw. dwupoziomowych zabezpieczeń, które mają stać się obowiązkowe wszędzie tam, gdzie w grę wchodzi zlecenie płatności przez internet lub dostęp do wrażliwych danych finansowych. Mianem wrażliwych danych określa się w tym przypadku wszystkie informacje, do których dostęp może umożliwić dokonanie oszustwa, a więc np. numery kart płatniczych.
Dostępu do usług płatniczych w sieci mają bronić co najmniej dwa z trzech możliwych typów zabezpieczeń opierających się na:
- czymś, co użytkownik wie (np. hasło, numer klienta, PIN),
- czymś, co użytkownik posiada (np. telefon komórkowy, token, karta mikroprocesorowa),
- czymś, czym użytkownik jest (np. odcisk palca, wzór tęczówki).
Wybrane procedury muszą być od siebie niezależne – złamanie jednego z nich nie może narażać drugiego. Co więcej, jeden z elementów musi być zmienny, czyli nie nadawać się do ponownego użycia w kolejnej transakcji (wymóg ten nie dotyczy zabezpieczeń biometrycznych).
PayPal z jednorazowymi hasłami
Oczekiwania EBC oznaczają, że w praktyce systemy płatności elektronicznych będą musiały sięgnąć po takie same rozwiązania jak banki. Przykładowo klient firmy PayPal będzie logował się na swoje konto tak, jak dziś, ale zlecenie płatności będzie potwierdzane jednorazowym hasłem SMS. Instytucje płatnicze poniosą zatem dodatkowe koszty związane z koniecznością rozbudowania systemów informatycznych i wzmocnienia poziomu bezpieczeństwa transakcji.
Dokument EBC zawiera w sumie 14 rekomendacji dotyczących m.in. konieczności tworzenia sformalizowanej polityki bezpieczeństwa, śledzenia i raportowania incydentów bezpieczeństwa oraz narzędzi kontroli i minimalizacji ryzyka. W propozycjach pojawia się także wymóg użycia certyfikatów SSL rozszerzonej walidacji (EV) przez serwisy internetowej przetwarzające płatności oraz wprowadzenia mechanizmów zabezpieczających przed wielokrotnymi próbami logowania i przechwyceniem sesji.
Instytucje płatnicze dzięki wprowadzeniu dyrektywy o usługach płatniczych (PSD) zyskały wiele możliwości dostępnych do tej pory tylko dla banków. Wraz z nowymi uprawnieniami idzie jednak także ściślejszy nadzór. Dla klientów oznacza to wyższe bezpieczeństwo internetowych transakcji, które, niezależnie od tego, kim jest usługodawca, będzie zbliżone do bankowych standardów.
Michał Kisiel, analityk Bankier.pl
