Rynek finansowy: Płatności w sieci lepiej chronione

BANK 2015/10

Wieloskładnikowe uwierzytelnianie jako podstawowa forma potwierdzania płatności internetowych i ograniczenie możliwości otwarcia rachunku bankowego z wykorzystaniem przelewu weryfikacyjnego - to najważniejsze z postanowień zawartych w projekcie nowej Rekomendacji Komisji Nadzoru Finansowego dotyczącej bezpieczeństwa transakcji płatniczych wykonywanych w internecie przez banki, krajowe instytucje płatnicze, krajowe instytucje pieniądza elektronicznego i spółdzielcze kasy oszczędnościowo-kredytowe.

Wieloskładnikowe uwierzytelnianie jako podstawowa forma potwierdzania płatności internetowych i ograniczenie możliwości otwarcia rachunku bankowego z wykorzystaniem przelewu weryfikacyjnego - to najważniejsze z postanowień zawartych w projekcie nowej Rekomendacji Komisji Nadzoru Finansowego dotyczącej bezpieczeństwa transakcji płatniczych wykonywanych w internecie przez banki, krajowe instytucje płatnicze, krajowe instytucje pieniądza elektronicznego i spółdzielcze kasy oszczędnościowo-kredytowe.

Jerzy Majka

Nowy dokument ma na celu określenie i ujednolicenie minimalnych wymogów w zakresie bezpieczeństwa płatności internetowych, również w odniesieniu do transakcji dokonywanych w sieci przy użyciu kart płatniczych.

Zainteresowanie KNF bezpieczeństwem e-płatności wynikło z kilku przesłanek. W tym roku weszły w życie rekomendacje dotyczące bezpieczeństwa płatności internetowych, opracowane przez działające przy Europejskim Banku Centralnym Forum ds. Bezpieczeństwa Płatności Internetowych (SecurePay). Dokument zaleca wprowadzenie przy wszystkich rodzajach transakcji w internecie uwierzytelniania wieloskładnikowego. Ta metoda autentykacji opiera się na równoległym wykorzystaniu zabezpieczeń należących do co najmniej dwóch spośród poniższych kategorii:

  • coś, co klient wie (login, hasło, PIN),
  • coś, co klient ma (token, karta- -zdrapka, telefon),
  • coś, czym klient jest (dane biometryczne).

Zgodnie z wytycznymi Secure- Pay, do uwierzytelniania transakcji nie wystarczy jedynie login i niezmienne hasło, gdyż oba te elementy zaliczają się do kategorii „coś, co klient wie”. Dodatkowym wymogiem wskazanym w rekomendacji jest jednorazowość jednego z elementów uwierzytelniających – oczywiście, jeżeli nie są nim dane biometryczne. Takie kryteria spełnia na przykład jednorazowy kod SMS, hasło z karty-zdrapki bądź ciąg znaków wygenerowany przez token.

Unijne zalecenia, lokalne problemy

Od 1 sierpnia br. obowiązują także Wytyczne końcowe w sprawie bezpieczeństwa płatności internetowych, wydane przez Europejski Urząd Nadzoru Bankowego (EBA). Również i ten dokument zaleca stosowanie silnego – czyli wieloskładnikowego – uwierzytelnienia klienta. Inne wskazówki pojawiające się w obydwu dokumentach dotyczą monitorowania transakcji i postępowania w razie wystąpienia zagrożeń. Część obu rekomendacji poświęcona jest obowiązkom w zakresie edukacji i informowania klienta o zagrożeniach. Przygotowany przez polskiego regulatora projekt rekomendacji bazuje zarówno na przedłożeniu SecurePay, jak też – choć w mniejszym stopniu – Europejskiego Urzędu Nadzoru Bankowego; zarówno liczba zaleceń zawartych w projekcie KNF, jak i ich tematyka jest zasadniczo tożsama z dokumentem przygotowanym przez agendę EBC. „Planowana rekomendacja KNF nie będzie naruszać postanowień zawartych w rekomendacji SecurePay i EBA/GL/2014/12, ale w niektórych wzmocniłaby ich postanowienia. Dotyczy to w szczególności zasad bezpiecznego dostępu do rachunku płatniczego upoprzy wykorzystaniu możliwych kanałów dostępu do takiego rachunku” – czytamy we wstępie do projektu.

Również krajowa praktyka w zakresie bezpieczeństwa e- -płatności uzasadnia wydanie stosownych rekomendacji w tym zakresie. Poza cyberatakami dokonywanymi przy użyciu złośliwego oprogramowania, powszechne stały się działania o charakterze ...

Artykuł jest płatny. Aby uzyskać dostęp można:

  • zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
  • wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
  • wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
  • zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na aleBank.pl/sklep.

Uwaga:

  • zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
  • wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).

Komunikat dla uczestników Programu Wiedza online:

  • bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI

Udostępnij artykuł: