Comarch Transaction Protection - tPro Mobile

tPro Mobile to platforma mobilna wpierająca silne uwierzytelnianie użytkownika i autoryzację transakcji zgodnie z wytycznymi dyrektywy PSD2.
Składa się zewnętrznej aplikacji oraz bibliotek programistycznych do integracji z istniejącymi produktami. Zastosowane mechanizmy bezpieczeństwa oparte na silnej kryptografii oraz mechanizmy wewnętrznej analizy zachowania aplikacji zapewniają wysoki stopień bezpieczeństwa przy jednoczesnej wygodzie użytkowania.
tPro Mobile wyposażono w narzędzia, które utrudniają przeprowadzenie ataku i przechwycenie istotnych danych przez osoby trzecie.
Pełna zgodność z protokołem OATH umożliwia wykorzystanie aplikacji jako drugiego wektora uwierzytelnienia do usług takich jak poczta czy portale społecznościowe.

Dowiedz się więcej o tPro Mobile

Uwierzytelnianie


Platforma zapewnia szeroki wachlarz mechanizmów uwierzytelniania: od tradycyjnego kodu PIN przez odcisk palca aż po rozpoznawanie twarzy. Dzięki pełnej zgodności z OATH, aplikacji tPro Mobile można używać jako dodatkowego składnika uwierzytelnienia 2FA do krytycznych zasobów takich jak poczta, panele administracyjne, media społecznościowe. Dzięki wersji w postaci bibliotek programistycznych możliwa jest także szybka integracja tPro Mobile z istniejącymi już na rynku produktami.

Autoryzacja

To co widzisz jest tym, co podpisujesz: tak najkrócej można określić zasadę, na której bazuje tPro Mobile. Mechanizmy detekcji zagrożeń w czasie rzeczywistym pozwalają na wykrycie potencjalnie groźnych czynników jak luki w konfiguracji i podejrzane aktywności. Mechanizm interaktywnego wprowadzania danych zabezpiecza przed podmianą kluczowych parametrów transakcji takich jak IBAN czy kwota przelewu. Informacja na temat aktywności w obrębie chronionych zasobów dostarczana jest do użytkownika przy pomocy notyfikacji PUSH (zamiast SMS). Architektura rozwiązania i procedura parowania zabezpieczają użytkownika przed sklonowaniem aplikacji i nieautoryzowanym dostępem osób trzecich. Tryb offline umożliwia generację kodu autoryzacyjnego dla transakcji nawet w przypadku kiedy urządzenie jest poza zasięgiem sieci. Dodatkowo, rozwiązanie tPro Mobile posiada szereg funkcji, które ukrywają informacje o rezultacie istotnych z punktu widzenia bezpieczeństwa operacji (takich jak wprowadzenie PIN-u).

Tryb proaktywny

W celu minimalizacji ryzyka oszustwa, tPro Mobile przewiduje różne warianty autoryzacji transakcji. Od standardowego – polegającego na wciśnięciu przycisku – po interaktywny, w którym użytkownik przed zatwierdzeniem transakcji proszony jest o ponowne wprowadzenie części krytycznych danych. Taki scenariusz pozwala na zaangażowanie użytkownika w proces autoryzacji przelewu, dzięki czemu już na etapie jego składania możliwe jest wykrycie potencjalnych nieprawidłowości. tPro Mobile daje także możliwość zatwierdzania transakcji w trybie offline przy pomocy dynamicznie generowanego kodu autoryzacyjnego. Nad bezpieczeństwem użytkownika, poza silną kryptografią, czuwa także szereg mechanizmów monitorowania działania aplikacji, których celem jest wykrywanie zagrożeń w czasie rzeczywistym.

Bezpieczeństwo

  • Uwierzytelnianie przy użyciu danych biometrycznych
  • Uwierzytelnianie przy użyciu faceID (iPhone X),
  • Uwierzytelnianie przy użyciu touchID,
  • Mechanizmy monitorowania wewnętrznego stanu aplikacji
  • Detekcja root
  • Detekcja jailbrake
  • Detekcja debugowania
  • Detekcja trybu symulatora
  • Dwuskładnikowy process parowania (QR + SMS)
  • Szyfrowana komunikacja z serwerem autoryzacyjnym
  • Kryptografia krzywych eliptycznych

Zgodność z OATH (Open Authentication Initiative)

tPro Mobile oferuje silne uwierzytelnianie klienta i autoryzację transakcji za pomocą algorytmów HOTP, TOTP i OCRA, które zostały przyjęte przez Open Authentication Initiative (OATH).

Cechy Comarch tPro Mobile

 L.p.

Nazwa funkcjonalności

Opis funkcjonalności

SDK

Aplikacja

 1.

Asystent głosowy

Informuje użytkownia o funkcjonanościach aplikacji w formie narracji głosowej 

X

V

2.

Detekcja zagrożeń

Monitorowania działania aplikacji w celu wykrycia podejrzanych aktywności w czasie rzeczywistym

V

V

3.

Ochrona kluczy przy pomocy silnej kryptografii 

W przypadku braku modułu sprzętowego TPM klucze użytkownika są zabezpieczone przy pomocy silnej kryptografii

V

V

4.

*Bezpieczny magazyn dla krytycznych danych

Krytyczne dane są przechowywane w bezpiecznym sprzętowym magazynie

V

V

5.

Identyfikacja urządzenia

Mechanizmy przeciwdziałające podszywaniu się pod urządzenie

V

V

6.

Powiązanie z urządzeniem

Użytkownik zostaje powiązany z urządzeniem na etapie parowania

V

V

7.

Kanał komunikacyjny ECC

Komunikacja z serwerem jest szyfrowana przy użycia asymetrycznego klucza ECC

V

V

8.

WYSIWYS

Podpisujesz to co widzisz - zabezpieczenie przed modyfikacją danych transakcji

X

V

9.

Biometryka twarzy

Uwierzytelnianie przy użyciu twarzy (iPhone X)

V

V

10.

Fingerprint authentication

Uwierzytelnianie przy uzyciu odcisku palca

V

V

11.

Wparcie dla kodów 2D

Wsparcie dla bezpiecznego procesu parowania opartego o kody QR

V

V

12.

Notyfikacje PUSH

Notyfikacje PUSH zamiast tradycyjnych kodów SMS

X

V

13.

Podpisywanie transakcji

Dane zawarte w tranasakcji są podpisywane przy użyciu silnej kryptografii (PKI)

V

V

14.

Online/Offline mode

Umożliwia podpis pod dyspozycją kiedy telefon jest poza zasięgiem sieci (OTP)

V

V

15.

Tryb pro-aktywny

Tryb proaktywny aktywuje uzytkownika w proces uzupełniania fragmentu numeru konta lub kwoty 

V

V

16.

PIN hint

Bezpieczny sposób informowania użytkownika o pomyłce w trakcie wprowadzania kodu PIN

X

V

17.

Zabezpieczenie przed atakami brute force

Atakujący nie jest w stanie na podstawie zachowania aplikacji dowiedzieć się czy wprowadzane hasło jest poprawne

X

V

Rozwiązania Comarch tPro

Skontaktuj się z ekspertem Comarch

Zachęcamy do kontaktu z naszymi ekspertami w celu szczegółowego omówienia
interesujących Państwa produktów i usług skierowanych do branży finansowej.



Przejdź do formularza