Bank Pekao SA wprowadził do oferty rozwiązania biometryczne dla klientów korporacyjnych. Użytkownicy internetowej platformy transakcyjnej PekaoBIZNES24 mogą na podstawie odcisków palców logować się do systemu i autoryzować zlecenia. O szczegółach nowej technologii opowiada w rozmowie z PRNews.pl Piotr Dusza, Dyrektor Biura e-Channels w Pekao SA.
Jesteście pierwszym bankiem w Polsce, który zdecydował się wprowadzić rozwiązania biometryczne do autoryzacji dostępu do bankowości internetowej dla klientów korporacyjnych. Proszę powiedzieć dlaczego biometria i na czym polega działanie systemu.
Nowoczesna bankowość transakcyjna w dużej mierze opiera się na innowacjach. Staramy się zawsze być o krok przed konkurencją i być postrzegani jako lider, który jako pierwszy dostarcza najlepsze: nowoczesne i bezpieczne rozwiązania.
Jak wskazują światowe doświadczenia z różnych branż metoda odcisku palca – najstarsza i najlepiej rozwinięta gałąź biometrii – dobrze sprawdza się w przypadku kontroli dostępu do aplikacji informatycznych, między innymi ze względu na dostępność czytników linii papilarnych, które wielu producentów wbudowuje już np. w laptopy, klawiatury, myszki.
My postawiliśmy na możliwość autoryzacji zleceń dokonywanych za pośrednictwem systemu bankowości internetowej dla korporacji PekaoBIZNES24 właśnie przy użyciu czytników odcisków palców. Zastosowanie tego rozwiązania jest zgodne z przypisami ustawy Prawo bankowe oraz ustawy o ochronie danych osobowych oraz spełnia wszelkie wymogi normalizacyjne.
Czy takie rozwiązania funkcjonują już w innych krajach? Czy są stosowane przez inne podmioty z grupy UniCredit?
Zabezpieczenia biometryczne z powodzeniem stosują już banki w Chinach, Japonii, USA, Meksyku i w Niemczech, wykorzystując tę technologię po stronie klienta głównie do uwierzytelniania transakcji w bankomatach i placówkach. W Polsce testowane są pierwsze bankomaty oparte o biometrykę naczyń krwionośnych palca. Z kolei w związku z wejściem do strefy Schengen biometryka odcisków palców znajduje zastosowanie w dokumentach tożsamości tj. paszporty i dowody osobiste.
Jednak użycie biometrii odcisków palca do autoryzacji użytkownika i transakcji w systemie bankowości internetowej dla korporacji wprowadziliśmy jako pierwsi na rynku europejskim i pionierzy w Grupie Unicredit.
Czy wzór odcisku palca trafia w jakiś sposób do banku i jest przetwarzany w bazach danych?
Między innymi innowacyjność naszej technologii polega na tym, że odcisk palca nie trafia do banku, mówiąc obrazowo nie opuszcza komputera użytkownika i nie krąży po sieci. Odciski palców zapisane są tylko i wyłącznie na karcie kryptograficznej, którą posiada użytkownik.
Podczas aktywacji karty, w procesie generowania klucza podpisu elektronicznego i kodu PIN, za pomocą czytnika linii papilarnych użytkownik rejestruje wzorcowe obrazy odcisków dwóch palców (na wypadek np. skaleczenia), które są przechowywane wyłącznie na karcie i nie trafiają do wewnętrznych systemów IT banku. Podczas późniejszego uwierzytelniania klienta- porównanie danych biometrycznych (rozpoznawanie charakterystycznych punktów odcisków palców) odbywa się w trybie match-on-card, co oznacza, że pobrany odcisk jest porównywany w czasie rzeczywistym z wzorcem zapisanym na karcie. Przechowywanie i weryfikacja cech biometrycznych w mikroprocesorze karty chroni prywatność tych wrażliwych danych osobowych, a sama kradzież karty nie jest groźna dla właściciela dzięki mechanizmom kryptograficznym, które uniemożliwiają odczyt wzorca z zewnątrz i nie podważa funkcjonowania systemu jako całości.
Czy klienci korporacyjni dostają takie urządzenia w standardzie, czy mogą pozostać przy „starych” metodach zabezpieczeń? Czy klient, który wybierze nową metodę autoryzacji, może korzystać równocześnie także ze starej?
Dla użytkowników PekaoBIZNES24 przygotowaliśmy nowe karty autoryzacyjne „Pekao BIOeSignature” oraz nowe zintegrowane czytniki danych biometrycznych i kart mikroprocesorowych.
Identyfikator biometryczny w postaci unikalnego odcisku palca uzupełnia dotychczasowe mechanizmy autentykacji, takie jak hasło, PIN oraz karta mikroprocesorowa, klucz, token. Ten dodatkowy element jako jedyny sprawdza tożsamość osoby wykonującej operacje i gwarantuje, że dostęp do systemu uzyskuje właściwy użytkownik, a nie inna osoba będąca w posiadaniu jego kodu PIN lub karty.
W ustawieniach systemu PekaoBIZNES24 klienci mogą dowolnie określić preferowaną metodę autentykacji: karta + odcisk palca lub karta + odcisk palca + PIN lub karta + PIN (jak dotychczas). Nowe karty autoryzacyjne „Pekao BIOeSignature” mogą być używane zarówno w nowych, jak i dotychczasowych czytnikach (wówczas bez bioidentyfikacji). Podobnie dotąd używane karty mikroprocesorowe będą rozpoznawane przez nowe czytniki (bez bioidentyfikacji).
Jakie z punktu widzenia klienta są koszty wydania i obsługi urządzenia?
Nowoczesna technologia, którą proponujemy klientom w tej chwili, jest droższa od używanej do tej pory. Jednak chcemy propagować rozwiązania biometryczne na rynku, dlatego w ofercie promocyjnej banku cena za czytnik linii papilarnych jest taka sama, jak za zwykły czytnik. Co więcej, obecnie wiele laptopów jest już wyposażonych w czytniki linii papilarnych, więc klient nie musi ponosić żadnych dodatkowych kosztów. Wydaje mi się, że ta technologia będzie tańsza, gdy stanie się bardziej popularna, do czego przyczynia się również nasze rozwiązanie.
Twierdzicie, że technologia biometryczna jest bezpieczniejsza, a czy z punktu widzenia klienta nowe rozwiązanie jest wygodniejsze?
Z pewnością klienci docenią, że nie muszą już zapamiętywać kolejnych trudnych haseł i kodów PIN. System rozpozna ich po odciskach palców. Podczas pierwszego logowania skaner sczytuje linie papilarne dwóch palców i zapisuje wzorzec w mikroprocesorze karty w taki sam sposób jak pin-kod. Dzieje się to bardzo szybko i intuicyjnie. Sam proces potwierdzania tożsamości użytkownika jest dokładny i równie szybki – trwa do kilkunastu sekund.
Jakie operacje mogą być zatwierdzane za pomocą nowej technologii?
Użytkownicy internetowej platformy transakcyjnej dla klientów korporacyjnych PekaoBIZNES24 mogą na podstawie odcisków palców logować się do systemu i autoryzować zlecenia.
Ile osób może korzystać z jednego urządzenia?
Z czytnika może korzystać dowolna liczna użytkowników, jednak każdy z nich używa do autoryzacji swojej własnej karty, na której ze względów bezpieczeństwa, jak już wspomniałem np. skaleczenie zapisane są dwa odciski palców.
Czy urządzenie do autoryzacji można wykorzystać na każdym komputerze, czy jest przypisane/zainstalowane na jednej maszynie?
Można używać czytników na każdym komputerze. Logując się do systemu na dowolnym komputerze klient wkłada kartę do czytnika wyposażonego w skaner biometryczny. Urządzenie jest wielkości myszki komputerowej, aby było jak najbardziej wygodne dla klienta. Co więcej sprzętu nie trzeba instalować jeśli laptop wyposażony jest w skaner oraz wejście na kartę.
Ilu klientów korzysta już obecnie z tej technologii? Jakie macie plany, szacunki związane z rozszerzeniem liczby klientów używających nowych metod autoryzacji.
Wydaliśmy 5 tys. kart BIOeSignature. Wszystkie nowo emitowane karty standardowo wyposażamy obecnie w nowy system.
Jak widzicie przyszłość zastosowań biometrii w bankach w naszym kraju? Za ile lat, w Waszej opinii, takie rozwiązania staną się standardem?
Myślę, że rynek będzie się rozwijał w kierunku takich lub podobnych rozwiązań. Nie będzie to proces, który będzie postępował bardzo szybko, ale wraz z popularyzacją tej technologii i zmniejszeniem kosztów jej wykorzystanie będzie coraz szersze. Widać, że klienci doceniają tą technologie, jest tez ona dobrze odbierana przez środowisko. V Kongres Gospodarki Elektronicznej, w konkursie Projekt Roku, wyróżnił biometryczną metodę logowania i autoryzacji w bankowości internetowej. Jestem więc przekonany, że rynek szybko dostrzeże największą zaletę tej technologii – bezbłędną autentykację, eliminującą niebezpieczeństwo cyberprzestępstw w systemach bankowości elektronicznej.
Źródło: PR News