ניהול בנקאות עם אפליקציות ותאימות ל-PSD2

  • PSD2 מקדם בנקאות פתוחה על ידי פתיחת תשתית הבנקים לצדדים שלישיים מורשים (PIS ו-AIS) באמצעות ממשקי API מאובטחים.
  • אימות לקוחות חזק (SCA) דורש שני גורמים (ידע, החזקה, תורשתיות) עבור תשלומים מקוונים וגישה לחשבון.
  • סוחרים וספקי שירותי תקשורת (PSP) חייבים להתאים את השערים שלהם לטכנולוגיות כמו 3D Secure 2.0 כדי להפחית הונאות ולעמוד בתקנות.
  • עבור עסקים ומשתמשים, אפליקציות בנקאיות תואמות PSD2 מאפשרות ניהול פיננסי משולב, מאובטח ותחרותי יותר.
Joaquin Romero

14 דקות

ניהול בנקאות עם אפליקציות ותאימות ל-PSD2

La ניהול בנקאי עם אפליקציות בנקאות באנדרואיד אשר עומדים בתקנות PSD2 זה הפך לדבר שבשגרה בקרב עסקים ומשתמשים. תשלומים מקוונים, בנקאות סלולרית, אגרגטורים פיננסיים... הכל נשען על ההנחיה האירופית הזו ששינתה לחלוטין את חוקי המשחק מבחינת אבטחה, תחרות וחדשנות בשיטות תשלום.

אם שמתם לב שהבנק שלכם מבקש מכם עכשיו אימות כפול לכניסה או תשלוםהעובדה שישנן אפליקציות שמתחברות למספר ישויות בו זמנית, או שכמעט ולא משתמשים עוד בכרטיסי קואורדינטות, "מאשימה" את PSD2 ואת הדחיפה למה שנקרא בנקאות פתוחהבואו נפרק ברוגע מה זה, איך זה עובד, ומה זה אומר עבור עסקים, בנקים, חברות פינטק ולקוחות.

מה זה PSD2 ולמה כל כך מדברים עליו?

PSD2 הוא ה- ההנחיה השנייה לשירותי תשלום של האיחוד האירופי (הנחיית שירותי תשלום 2) מסדירה את אופן מתן שירותי תשלום והפיקוח עליהם באזור הכלכלי האירופי. מקורה כתיקון לתקנת שירותי התשלום הראשונה משנת 2007, שכבר ביקשה לקדם... שוק יחיד לתשלומים באיחוד האירופיאבל זה נכשל לנוכח הפריחה במסחר אלקטרוני, בנקאות מקוונת ובפינטק.

באמצעות סקירה זו, הנציבות האירופית שואפת ל שלוש מטרות עיקריותכדי לחזק את אבטחת העסקאות, להגן טוב יותר על הצרכנים ולהגביר את התחרות והחדשנות במגזר הפיננסי. כל זה מניח את היסודות למה שמכונה בנקאות פתוחהכאשר נתוני בנקאות אינם נעולים עוד בתוך כל בנק וניתן לשתף אותם עם צדדים שלישיים בצורה מבוקרת ומאובטחת.

ההנחיה החלה להיות מיושמת בשלבים. החל מ-13 בינואר 2018עם זאת, אבן הדרך העיקרית הייתה כניסתן לתוקף של חובות האימות החזק וגישה לצד שלישי, ב -14 בספטמבר 2019על מנת לא "לשבור" את המסחר האלקטרוני, רשות הבנקאות האירופית קבעה תקופת מעבר נוספת שהוארכה עד ה-31 בדצמבר 2020 לכל המאוחר.

תכונות חדשות עיקריות שהוצגו על ידי PSD2

השינוי הבולט ביותר הוא החובה המוטלת על הבנקים לפתוח את תשתית התשלומים שלהן לחברות צד שלישי מורשים, המכונים TPP (ספקי שירותי תשלום של צד שלישי). זה כולל סוגים חדשים של שירותים מוסדרים והגדרה מחדש של אבטחה בתשלומים מקוונים באמצעות אימות לקוחות חזק (SCA).

לוגו Bizum 3D
Artaculo relacionado:
ביזום: אבטחה וכיצד להימנע מלהיות קורבן להונאות

שירותי ייזום תשלום (PIS)

שירותי ייזום תשלום, או PIS, מאפשרים לצד שלישי לבצע תשלום ישירות מחשבון הבנק של הלקוח. אפליקציית או פלטפורמת TPP ממלאות אוטומטית את פרטי ההעברה (סכום, IBAN, תיאור) ומודיעות לסוחר שהעסקה בוצעה בהצלחה.

הודות ל-PSD2, משתמש יכול שלמו מאפליקציית הבנק שלכם עם כל אחד מהחשבונות שלכםגם אם הם שייכים לגופים אחרים, בתנאי שנתנו את הסכמתם וקיימת אינטגרציה טכנית מתאימה. זה מייעל תשלומים מקוונים ומפחית מתווכים, תוך הגברת שליטת הלקוחות על אופן התשלום ומהיכן הם משלמים.

שירותי מידע חשבונות (AIS)

שירותי מידע חשבונות (AIS) מתמקדים ב איסוף ואחסון נתונים מחשבונות בנק מרובים מאותו לקוח בסביבה אחת. כך, האדם או החברה מקבלים מבט גלובלי על מצבך הכלכלי ויכול לנתח בקלות הכנסות, הוצאות, חסכונות וצורכי מימון.

פתרונות צבירה פיננסיים אלה הם הבסיס לאפליקציות רבות עבור ניהול בנקאי מתקדם וכלים לעסקים שמאפשרים אוטומציה של התאמה, דיווח וניתוח כספים. לפני PSD2, ספקי שירותי רכישה (TPP) המציעים שירותים מסוג זה נתקלו חסמים משפטיים וטכניים שמנע מהם להרחיב את המודל שלהם לרמה אירופית.

פתיחת הגישה לצדדים שלישיים וסיום "סקראפטינג המסך"

תחת PSD2, בנקים נדרשים לאפשר גישה סטנדרטית ומאובטחת לחשבונות עבור ספקים אלה. בפועל, הדבר מתבטא בשימוש ב ממשקי API של בנקאות פתוחהלמרות שההנחיה אינה מזכירה במפורש את המונח API, הקונצנזוס בתעשייה הוא שהם האמצעים הטכניים הסבירים ביותר לעמוד בתקן.

על ידי ויסות הגישה, המטרה היא גם לצמצם טכניקות לא בטוחות כגון גירוד מסךהונאות אלו כללו אפליקציה שהתחזתה למשתמש, לכדה את המסך שלו ושימוש חוזר בפרטי הגישה שלו. על פי התקנות החדשות, ספקי שירותי גישה פרטיים חייבים להיות רשום, מורשה ומפוקח על ידי הרשויות המוסמכות, לפעול באמצעות ממשקים מאובטחים ותמיד לקבל את הסכמתו המפורשת של הלקוח.

אימות לקוחות חזק (SCA): תקן האבטחה החדש

ניהול בנקאות עם אפליקציות ותאימות ל-PSD2

המרכיב העיקרי השני של PSD2 הוא אימות לקוחות חזק (SCA). דרישה זו נועדה להבטיח ש... תשלומים מקוונים וגישה לחשבון יהיו מאובטחים הרבה יותרהן באינטרנט והן באפליקציות מובייל או בערוצים אלקטרוניים אחרים.

ה-SCA דורש, למעט מספר יוצאים מן הכלל, לפחות שניים משלושת הגורמים הללו כדי לאשר פעולות וגישה:

  • משהו שאתה יודע: סיסמה, קוד סודי, תבנית, מפתח חתימה.
  • משהו שבבעלותךטלפון נייד, אסימון פיזי, כרטיס מפתח, קוד חד פעמי.
  • משהו שאתהמידע ביומטרי כגון טביעת אצבע, זיהוי פנים או קשתית.

גורמים אלה חייבים להיות בלתי תלויים זה בזהכך שאם חשבון אחד נפרץ, השאר לא יהיו בסכנה. לדוגמה, גם אם מישהו יגנוב את הסיסמה, הוא לא יוכל להפעיל את המערכת אם אין לו גישה למכשיר הנייד או אם הוא לא יוכל להעביר את [מידע/נתונים/סיסמה]. בקרה ביומטרית.

בפועל, משמעות הדבר היא ש הזנת מספר הכרטיס, תאריך התפוגה וקוד ה-CVV אינה מספיקה עוד. כדי להשלים רכישה מקוונת, התשלום דורש בדרך כלל שלב נוסף, כגון הזנת קוד שהתקבל באמצעות SMS, אישור התראה באפליקציית הבנק או אימות באמצעות טביעת אצבע או זיהוי פנים.

תשלומי כרטיסי אשראי מקוונים שלב אחר שלב

עבור משתמש, תהליך התשלום בכרטיס אשראי בחנות מסחר אלקטרוני העומדת בתקן PSD2 נראה בדרך כלל כך:

  1. הלקוח נכנס ל פרטי כרטיס (מספר, בעל כרטיס, תאריך תפוגה ו-CVV) בקופה של החנות, תוך כדי לוודא שהם מאויתים נכון.
  2. המסחר שולח את בקשת תשלום לבנק המנפיק כדי שיוכל לעבד את זה.
  3. הבנק מפעיל את זרימת אימות חזקבדרך כלל, האפליקציה שולחת הודעת SMS עם קוד חד פעמי או הודעה לאפליקציית הבנקאות, כדי שהלקוח יאמת באמצעות קוד סודי, טביעת אצבע או שיטה אחרת. לאחר אימות הזהות, העסקה מאושרת.

זה תהליך שבדרך כלל לוקח זמן כמה שניות או דקותאם תהליך האימות לא יושלם כהלכה, העסקה עלולה להידחות על ידי הבנק המנפיק, לעיתים מבלי שהצרכן יהיה ברור מה הסיבה.

המלצות לתשלום ללא בעיות

כדי למזער תקריות, חשוב שהמשתמש יהיה שמור את הטלפון הנייד שלך בקרבת מקום במהלך התשלום ועדיף שתתקינו את אפליקציית הבנק שלכם עם התראות מופעלות. בנקים רבים עוברים מ-SMS מסורתי למערכות כמו... אישור דרך האפליקציהכאשר הלקוח מקבל הודעה ומאמת באמצעות נתונים ביומטריים או קוד משלו.

במקרה של תקלות, ההמלצה היא לבדוק ש- מספר הטלפון משויך כהלכה לחשבון, תוך הקפדה על הזנת פרטי הכרטיס בצורה נכונה ושהקוד שהתקבל הוזן ללא שגיאות, תוך התחשבות באותיות גדולות, קטנות ומספרים. אם הבעיה נמשכת, הערוץ המתאים לפתרונה הוא שירות לקוחות הבנקאשר יכול לציין את שיטת האימות הנוכחית וכיצד להגדיר אותה.

כיצד השתנתה הגישה לבנקאות מקוונת

SCA לא רק משפיע על תשלומים; הוא גם שינה את האופן שבו אנו... גישה לבנקאות מקוונת ולאפליקציות מוביילבעבר, שם משתמש וסיסמה היו בדרך כלל מספיקים. כיום, מקובל לדרוש שם משתמש, סיסמה או צורת אימות אחרת, לפחות בכניסה הראשונה או מעת לעת. גורם אימות שני.

בבנקים רבים, התוכנית המקובלת היא לשלב האישורים הרגילים (שם משתמש, מספר זיהוי מס, סיסמה, טביעת אצבע או זיהוי פנים) עם קוד זמני שהתקבל באמצעות SMS או עם אישור התראה באפליקציה. חלק מהישויות מנצלות את השינוי הזה כדי לבטל לצמיתות את כרטיס קואורדינטות ולהחליף אותו במפתחות דינמיים.

יתר על כן, התקנה מאפשרת לבנקים להחיל אימות לקוחות חזק (SCA) רק בזמנים מסוימים כדי להקל על המשתמשים. לדוגמה, מוסדות רבים בחרו לדרוש גישה לדוח החשבון הכולל. אימות משופר כל 90 יוםכך שבמהלך תקופה זו, ניתן להיכנס עם גורם יחיד מבלי לחזור על התהליך כולו.

גישה זו הובילה לכך שכמה גופים, כגון ING או Targobank, אפליקציה סלולרית היא כמעט חובה לפעול כרגיל. במקרים אלה, בעת גישה מהמחשב, נשלחת הודעה לטלפון החכם כדי לאמת זהות ולאשר הן את ההתחברות והן את הפעולות הרגישות.

בנקאות פתוחה: כיצד בנקים, אפליקציות ועסקים מתחברים

PSD2 הוא גם הגורם העיקרי של בנקאות פתוחהתחת תפיסה זו, המשתמש יכול לאשר לצדדים שלישיים (TPPs) גישה לחשבונותיהם כדי לבצע תשלומים בשמם (PISP) ​​או להתייעץ ולהוסיף מידע פיננסי (AISP), תמיד תחת מסגרת אבטחה ופרטיות חזקה.

מבחינה טכנית, זה מסתמך על ממשקי API בנקאיים סטנדרטייםהמאפשרות לחנות מקוונת, תוכנת ניהול או אפליקציה פיננסית להתחבר לבנק אחד או יותר כדי לבצע תשלומים או להוריד עסקאות מבלי להשתמש בפרטי גישה של הלקוח או לנקוט בשיטות לא מאובטחות.

עבור עסקים ואתרי מסחר אלקטרוני, זה מתורגם לשחקנים חדשים כמו PISP (ספקי שירותי ייזום תשלום), אשר פועלים כמתווכים בין הסוחר לבנק של הלקוח, וה- AISP (ספקי שירותי מידע על חשבונות), אשר מתמקדות בקיבוץ מידע על מוצרים ושירותים פיננסיים בפלטפורמה אחת.

מהו אימות דו-שלבי מבוסס SIM?
Artaculo relacionado:
אימות דו-שלבי מבוסס SIM: כל מה שצריך לדעת

ניהול בנקאות אוטומטי לעסקים

בהתבסס על כך, צצים פתרונות מתקדמים לאינטגרציה בנקאית, כגון ממשקי API בעלי הסמכת PSD2 המאפשרים לתוכנת ERP או לתוכנת ניהול להתחבר ישירות לבנקים. כלים כמו IQ Banking Core הם דוגמה לפלטפורמה ש... זה הופך את ייבוא ​​העסקאות והנפקת התשלומים לאוטומטיים. מבלי צורך לגשת ידנית לכל חשבון בנק מקוון.

פתרונות מסוג זה, המשולבים במערכות כמו Business Central ומוכרים על ידי יצרני טכנולוגיה, מקלים על חברות ניהול הכספים שלך מסביבה אחתלהפחית שגיאות, להאיץ התאמות ולהבטיח שהזרימות שלהם תואמות את תקנות התשלומים האירופיות.

השפעה על אבטחה, אחריות ומאבק בהונאה

אחת המטרות המרכזיות של PSD2 היא צמצום דרסטי של הונאות בתשלומים מקוונים ובגישה למוצרים פיננסיים. SCA, השימוש בממשקי API מאובטחים והרגולציה של TPPs הם חלק ממסגרת רחבה יותר הקשורה גם למסגרות אחרות כגון eIDASAML ו-KYC.

בהקשר זה, אימות חזק הופך לבלתי נפרד מ- תהליכי אימות זהותה-KYC (הכר את הלקוח) הקלאסי מחוזק עם מושג ה-SCA כדי להבטיח שהמפעיל הוא באמת מי שהוא טוען להיות, הן בעת ​​תחילת מערכת יחסים (פתיחת חשבון, הרשמה לשירות) והן בעת ​​ביצוע תשלומים רגישים.

ביומטריה פנים ואימות מתקדם

בתוך טווח שיטות ה-SCA, ה- ביומטריה של הפנים זה צובר חשיבות כגורם אינהרנטי. מערכות זיהוי פנים מתקדמות יכולות לייצר דפוס ביומטרי ייחודי קשור לזהות המשתמש ולאמת בזמן אמת שיש אדם חי מאחורי המצלמה, ובכך למנוע הונאה באמצעות תמונה, וידאו או דיפפייק.

פתרונות זיהוי וידאו כמו VideoID משתלבים בזמן אמת עשרות בדיקות באמצעות בינה מלאכותית ולמידת מכונהמגילוי עומק ועד מחוות דינמיות, תהליכים אלה מבטיחים שהלקוח הוא מי שהוא טוען שהוא. הם עומדים בדרישות PSD2 ו-eIDAS עבור SCA, בעוד ששיטות המבוססות אך ורק על סלפי סטטיים או תמונות שהועלו אינן עומדות בכך. הם לא מציעים את אותה רמת אבטחה.

שינויים באחריות בגין הונאה

PSD2 גם מתאים את חלוקת האחריות כאשר תשלום לא מורשהכעת, המשתמש אחראי רק עד 50 יורו לכל היותר, לעומת 150 יורו בתקנות הקודמות, אלא אם כן הייתה רשלנות חמורה או הונאה מצדו.

זה מאלץ בנקים, ספקי שירותי שירות וסוחרים לחזק את בקרות האימות ומניעת הונאות שלהםמכיוון שעיקר הסיכון הכלכלי מעסקאות הונאה נופל עליהם. סימון סימון של תיבת תאימות אינו מספיק; יש להוכיח כי יושמו אמצעי אבטחה מתאימים.

PSD2 עבור חנויות מקוונות וספקי תשלום

עבור עסקי מסחר אלקטרוני, PSD2 פירושו הסתגלות לסביבה שבה עסקאות רבות כפופות ל-SCA (הליך חשבונאות אסטרטגי) ושבה בנקים מנפיקים הם יכולים לדחות עסקאות שאינן עומדות בתקן.עם זאת, ההנחיה כוללת גם פטורים (עבור סכומים נמוכים, עסקאות חוזרות, תשלומים בסיכון נמוך וכו') שניתן ליישם באמצעות ספקי תשלומים.

העסקים שכבר היו להם שיטות אימות חזקות (כגון 3D Secure) דרשו פחות שינויים מבניים, למרות שהיה צורך לעדכן אותם לגרסאות חדשות ומתקדמות יותר. אלו שלא היו ברשותם מערכות אלו נאלצו לתאם עם ספק שער התשלום שלהם. מעבר לפתרונות תואמי PSD2.

3D Secure 2.0 ותאימות אוטומטית

אחד הכלים המרכזיים לעמידה בתקן PSD2 בתשלומי כרטיסי אשראי הוא 3D Secure 2.0פרוטוקול זה מוסיף שכבת אימות בין בעל הכרטיס, הבנק המנפיק והסוחר. ספקי שירותי העברת כספים כמו Adyen ו-MONEI משלבים מערכת זו ומטפלים בתהליך. ניתוב עסקאות הנמצאות במסגרת PSD2 לעבר 3D Secure כאשר מתאים.

בין היתרונות של 3D Secure 2.0, בולטים הבאים: הפחתת סיכוני הונאה, הגנה רבה יותר מפני חיובים חוזרים ואפשרות להרחבת עסקים בינלאומיים עם רמת אבטחה גבוהה. יתר על כן, הפרוטוקול תוכנן כדי לשפר את חוויית המשתמש בהשוואה לגרסאות ישנות יותר, המאפשרות זרימות "ללא חיכוך" כאשר הסיכון בפעולה נמוך.

במקרים רבים, פשוט באמצעות שער תשלום מודרני התומך אימות והרשאה תואמי PSD2העסקה כבר מכסה חלק ניכר מההתחייבויות, מבלי שיהיה צורך לפתח היגיון SCA משלה.

אילו פעולות כלולות ואילו לא כלולות במסגרת PSD2?

PSD2 חל על מגוון רחב של תשלומים אלקטרוניים באזור הכלכלי האירופיעם זאת, ישנם תרחישים שאינם בתחומו או שנהנים מפטורים. לדוגמה, עסקאות שיזמו טלפון או אימייל או תשלומים מסוימים עם כרטיסים אנונימיים נטענים מראש עשויים שלא לדרוש SCA.

יתר על כן, ההנחיה מרחיבה את היקף גיאוגרפיאם צד אחד לעסקה (הבנק או הלקוח) נמצא באיחוד האירופי, התקנות חלות על שני הצדדים. הדבר משפיע הן על שיטת האימות והן על היבטים כגון... איסור על חיובים נוספים באמצעי תשלום מסוימים במדינות כמו ספרד.

קשר לתקנות אחרות: eIDAS, AML ו-KYC

PSD2 אינו קיים בבידוד. הוא חלק ממערכת אקולוגית רגולטורית הכוללת eIDAS (שירותי זהות ואמון)הכללים של מניעת הלבנת הון (AML) והתהליכים של הכר את הלקוח שלך (KYC)יחד, תקנות אלו נועדו להבטיח שהכלכלה הדיגיטלית תתפתח על תהליכים בטוחים, ניתנים למעקב ואמינים.

ספקים מתמחים, כגון Signicat וחברות RegTech אחרות, מציעים פתרונות "תואמים" המשלבים זהות דיגיטלית, חתימה אלקטרונית, SCA, KYC ו-AML כך שבנקים, פינטקים וארגונים יוכלו לפעול ברחבי האיחוד האירופי עם אמצעי הגנה משפטיים וחוויית משתמש חלקה. רבים מהפתרונות הללו כוללים מדריכים מעשיים, כגון מדריכים להתקנת תעודות דיגיטליות, אשר מקלים על היישום.

עבור חברות פיננסיות, זה מציג גם אתגר וגם הזדמנות: מי אוטומציה טובה של תהליכים אלה תוכלו להרחיב את העסק שלכם, להפחית הונאות וחיכוכים ולצבור אמון לקוחות בשווקים מרובים.

איך עובד SMS OTP ולמה זה חשוב-7
Artaculo relacionado:
SMS OTP: מדריך מקיף על תפעול, אבטחה ומקרי שימוש מעודכנים

בסופו של דבר, PSD2 ובנקאות פתוחה עיצבו מערכת אקולוגית שבה אפליקציות בנקאיות, חנויות מקוונות, פינטק ופלטפורמות גדולות הם משתפים פעולה בתשתיות מאובטחות ומפוקחות, ומציעים למשתמש יותר אפשרויות ושליטה.

הבנת האופן שבו אימות חזק, שירותי PIS/AIS, ממשקי API בנקאיים וחלוקת האחריות החדשה פועלים כבר אינה רק עבור טכנאים או עורכי דין: היא המפתח לכל עסק שרוצה להציע תשלומים דיגיטליים אמינים ולכל משתמש שרוצה לנווט בבנקאות המקוונת של ימינו בביטחון. שתף את המידע כדי שיותר משתמשים ידעו על הנושא.