Rynek finansowy: Płatności w sieci lepiej chronione
Wieloskładnikowe uwierzytelnianie jako podstawowa forma potwierdzania płatności internetowych i ograniczenie możliwości otwarcia rachunku bankowego z wykorzystaniem przelewu weryfikacyjnego - to najważniejsze z postanowień zawartych w projekcie nowej Rekomendacji Komisji Nadzoru Finansowego dotyczącej bezpieczeństwa transakcji płatniczych wykonywanych w internecie przez banki, krajowe instytucje płatnicze, krajowe instytucje pieniądza elektronicznego i spółdzielcze kasy oszczędnościowo-kredytowe.
Jerzy Majka
Nowy dokument ma na celu określenie i ujednolicenie minimalnych wymogów w zakresie bezpieczeństwa płatności internetowych, również w odniesieniu do transakcji dokonywanych w sieci przy użyciu kart płatniczych.
Zainteresowanie KNF bezpieczeństwem e-płatności wynikło z kilku przesłanek. W tym roku weszły w życie rekomendacje dotyczące bezpieczeństwa płatności internetowych, opracowane przez działające przy Europejskim Banku Centralnym Forum ds. Bezpieczeństwa Płatności Internetowych (SecurePay). Dokument zaleca wprowadzenie przy wszystkich rodzajach transakcji w internecie uwierzytelniania wieloskładnikowego. Ta metoda autentykacji opiera się na równoległym wykorzystaniu zabezpieczeń należących do co najmniej dwóch spośród poniższych kategorii:
- coś, co klient wie (login, hasło, PIN),
- coś, co klient ma (token, karta- -zdrapka, telefon),
- coś, czym klient jest (dane biometryczne).
Zgodnie z wytycznymi Secure- Pay, do uwierzytelniania transakcji nie wystarczy jedynie login i niezmienne hasło, gdyż oba te elementy zaliczają się do kategorii „coś, co klient wie”. Dodatkowym wymogiem wskazanym w rekomendacji jest jednorazowość jednego z elementów uwierzytelniających – oczywiście, jeżeli nie są nim dane biometryczne. Takie kryteria spełnia na przykład jednorazowy kod SMS, hasło z karty-zdrapki bądź ciąg znaków wygenerowany przez token.
Unijne zalecenia, lokalne problemy
Od 1 sierpnia br. obowiązują także Wytyczne końcowe w sprawie bezpieczeństwa płatności internetowych, wydane przez Europejski Urząd Nadzoru Bankowego (EBA). Również i ten dokument zaleca stosowanie silnego – czyli wieloskładnikowego – uwierzytelnienia klienta. Inne wskazówki pojawiające się w obydwu dokumentach dotyczą monitorowania transakcji i postępowania w razie wystąpienia zagrożeń. Część obu rekomendacji poświęcona jest obowiązkom w zakresie edukacji i informowania klienta o zagrożeniach. Przygotowany przez polskiego regulatora projekt rekomendacji bazuje zarówno na przedłożeniu SecurePay, jak też – choć w mniejszym stopniu – Europejskiego Urzędu Nadzoru Bankowego; zarówno liczba zaleceń zawartych w projekcie KNF, jak i ich tematyka jest zasadniczo tożsama z dokumentem przygotowanym przez agendę EBC. „Planowana rekomendacja KNF nie będzie naruszać postanowień zawartych w rekomendacji SecurePay i EBA/GL/2014/12, ale w niektórych wzmocniłaby ich postanowienia. Dotyczy to w szczególności zasad bezpiecznego dostępu do rachunku płatniczego upoprzy wykorzystaniu możliwych kanałów dostępu do takiego rachunku” – czytamy we wstępie do projektu.
Również krajowa praktyka w zakresie bezpieczeństwa e- -płatności uzasadnia wydanie stosownych rekomendacji w tym zakresie. Poza cyberatakami dokonywanymi przy użyciu złośliwego oprogramowania, powszechne stały się działania o charakterze ...
Artykuł jest płatny. Aby uzyskać dostęp można:
- zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
- wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
- wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
- zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na BANK.pl/sklep.
Uwaga:
- zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
- wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).
Komunikat dla uczestników Programu Wiedza online:
- bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI