Silne uwierzytelnianie w domach maklerskich
- Opublikowano
- 5 min czytania
Sam login i hasło już nie wystarczają; z tym dziś zgodzić się możemy chyba wszyscy. Rośnie świadomość zagrożeń i coraz powszechniej stosowanych dodatkowych elementów zabezpieczeń przy uwierzytelnianiu.
Czym jest silne uwierzytelnianie?
Silne uwierzytelnianie (SCA – ang. Strong Customer Authentication) to proces polegający na udowodnieniu zadeklarowanej tożsamości w oparciu o potwierdzenie co najmniej dwóch elementów z trzech kategorii: wiedzy, posiadania lub cechy.
- Kategoria wiedzy to test weryfikujący wiedzę o kimś lub o czymś, którą posiada wyłącznie użytkownik, np. PIN, hasło lub jakiś sekret.
- Test posiadania potwierdza wyłączne dysponowanie przez użytkownika jakimś przedmiotem – to np. aplikacja w smartfonie Comarch tPro Mobile czy karta procesorowa.
- Kategoria cechy jest testem potwierdzającym charakterystyczne indywidualne cechy, np. kod DNA, wzór linii papilarnych, tęczówki, a także wzorce zachowań.
Kto ma obowiązek wprowadzić silne uwierzytelnianie?
W procesie płatności najważniejsze jest bezpieczeństwo. Dlatego też, od dnia 14 września 2019 roku, wszystkie europejskie banki i instytucje płatnicze podlegają obowiązkowi silnego uwierzytelniania klienta, zgodnie z Dyrektywą Parlamentu Europejskiego i Rady (UE) 2015/2366, zwanej również PSD2 (ang. Payment Services Directive 2).
Dotyczy ona sytuacji gdy jako klienci uzyskujemy dostęp do swojego rachunku w trybie online, inicjujemy elektroniczną transakcję płatniczą lub przeprowadzamy za pomocą kanału zdalnego czynność, która może wiązać się z ryzykiem oszustwa lub nadużyć. W praktyce, silne uwierzytelnianie klienta w systemach bankowości elektronicznej zazwyczaj polega na dodaniu do procesu płatności nowych kroków, jak np. podanie kodu SMS, użycie generatora haseł, karty procesorowej, dedykowanego urządzenia elektronicznego lub aplikacji mobilnej Comarch tPro Mobile.
Z początkiem 2021 roku, dyrektywa rozszerzyła się o obszary handlu elektronicznego, obejmując wymogiem silnego uwierzytelniania klienta (SCA) wszystkie procesy płatności bezgotówkowych. Oprócz tego, jeszcze silniej zintegrowany został krok autoryzacji płatności z aplikacjami wystawców kart płatniczych i systemami operacyjnymi urządzeń mobilnych.
Czy warto?
Instytucje finansowe zdobywają nasze zaufanie poprzez gwarancję, że nasze pieniądze nie są zagrożone. Dzięki dyrektywie PSD2 w zakresie silnego uwierzytelniania klienta, znacznie podniósł się poziom bezpieczeństwa w procesach transakcyjnych bankowości internetowej i branży eCommerce.
Mimo działania na rynku finansowym, podmioty takie jak domy maklerskie, firmy faktoringowe, leasingowe, wealth management czy ubezpieczeniowe nie podlegają wymaganiom PSD2, bo nie są dostawcami usług płatniczych. Ich internetowe systemy transakcyjne niejednokrotnie nadal korzystają z najprostszych i najbardziej podatnych form logowania opartych o login i hasło.
Zbadawszy ryzyko, Komisja Nadzoru Finansowego (KNF) 20 września 2021 wydała rekomendację, aby od 2022 roku użytkownicy ze zdalnym dostępem do rachunków maklerskich stosowali mechanizmy silnego uwierzytelniania oraz silnej autoryzacji niektórych operacji związanych z rachunkiem maklerskim.
Niestety, dodatkowe elementy ochrony cybernetycznej nie są darmowe. A obok kosztów – rośnie też czas obsługi transakcji. Czas, w którym zlecenie maklerskie trafia na wysokozmienny rynek kontraktów terminowych, jest kluczowym elementem, na który zwracamy uwagę przy wyborze domu maklerskiego.
Konieczne jest więc wdrażanie zaleceń KNF o silnym uwierzytelnianiu dla domów maklerskich, jednocześnie rozumiejąc specyfikę rynków kapitałowych. W Comarch dysponujemy gotowymi rozwiązaniami dającymi możliwość spełnienia wymagań i doskonalenia ochrony cybernetycznej użytkownika końcowego, przy jednoczesnym minimalizowaniu czasu trwania tak zabezpieczonej transakcji.
Skuteczne rozwiązanie
W trosce o łatwość użytkowania, opracowaliśmy system Comarch Cyber Threat Protection, który w sposób transparentny pozwala podnieść poziom zaufania i bezpieczeństwa transakcji. Jego działanie polega m.in. na zbieraniu i analizowaniu artefaktów oraz ciągłej ocenie poziomu wiarygodności zalogowanego użytkownika.
System przejrzyście dokonuje oceny i podejmuje decyzje o ew. konieczności użycia dodatkowego uwierzytelnienia, jeśli wykryje niestandardowe podejrzane zachowania. Rozwiązanie to zapewnia kompleksową ochronę zarówno w kanale przeglądarkowym, jak i na urządzeniach mobilnych, nie wpływając na ergonomię korzystania z aplikacji biznesowej.
PSD2 formalnie wprowadza jako warunek konieczny użycie co najmniej dwóch elementów z trzech różnych kategorii mechanizmów uwierzytelnienia. Da się więc tak ubezpieczyć usługi maklerskie, żeby nie tylko spełniać wymagania silnego uwierzytelniania, ale także wykluczyć konieczność używania tradycyjnych haseł.
Czy hasła, czyli jeden z najsłabszych od dziesięcioleci punktów w łańcuchu bezpieczeństwa usług internetowych, wkrótce odejdą w zapomnienie? Nadchodzi czas, by z nich zrezygnować. Wkrótce zobaczymy, czy jako pierwsze na taki krok zdecydują się banki, czy inne podmioty działające na rynkach finansowych. Możliwe, że katalizatorem przemian będą właśnie obecne zalecenia KNF dla domów maklerskich i, podobnie jak to miało miejsce z internetową obsługą klienta, przedstawiciele rynków kapitałowych zrobią to dwa lata wcześniej niż banki.
Tomasz Kwiecień, Dyrektor Sprzedaży w Comarch
