r   e   k   l   a   m   a
r   e   k   l   a   m   a

Unijna dyrektywa PSD2: wybieraj – albo root, albo mobilna bankowość

Strona główna AktualnościBEZPIECZEŃSTWO

Europejski Urząd Nadzoru Bankowego przedstawił projekt regulacyjnych standardów technicznych (RTS) dla drugiej dyrektywy o usługach płatnicznych PSD2. O samej dyrektywie i jej konsekwencjach dla elektronicznej bankowości już pisaliśmy, warto teraz przypatrzyć się przyjętemu projektowi RTS. W imię lepszego bezpieczeństwa klientów e-bankowości wprowadza on wiele rygorystycznych obostrzeń – i uderza w użytkowników uwolnionych smartfonów.

Projekt regulacyjnych standardów technicznych mieliśmy zobaczyć już w styczniu. Opóźnienie wynika z kontrowersji, jakie szkic dokumentu wywołał w branży i ponad 200 zgłoszonych w związku z tym stanowisk. Już wcześniej bowiem uznawano regulacje za nadmiernie restrykcyjne, niepotrzebnie narzucające obowiązek tzw. „silnego uwierzytelniania” nawet w mało ryzykownych operacjach.

Takie silne uwierzytelnianie, działające zgodnie z koncepcją „coś co wiesz, coś co masz, coś czym jesteś”, zapewniać ma niezależne od siebie zabezpieczenia dostępu – złamanie jednego z nich nie wpływa na pozostałe. Pierwsze dwa etapy są w zasadzie jasne, do tego przywykliśmy choćby poprzez mechanizm potwierdzenia SMS-ami… ale co z trzecim? Trzeci oznacza w praktyce biometrię, np. konieczność dołączenia do transakcji odcisku palca.

r   e   k   l   a   m   a

Regulacyjne standardy techniczne przewidują jednak, że takie silne uwierzytelnienie będzie potrzebne nie tylko przy transakcji, ale i przy samym dostępie do rachunku. Wyjątkiem mają być te sytuacje, w których niedostępne są „wrażliwe dane płatnicze”, czyli dane mogące być wykorzystane do oszustw, operacja sprawdzenia salda rachunku, oraz przejrzenia historii transakcji z ostatnich 90 dni.

Te dwa ostatnie wyjątki nie będą bezwarunkowe. Silne uwierzytelnienie będzie musiało zostać zastosowane przy pierwszym logowaniu do rachunku oraz jeśli od ostatniego sprawdzenia listy transakcji z użyciem silnego uwierzytelnienia minęło więcej niż 90 dni. Oznacza to, że przynajmniej raz na kwartał będzie trzeba przechodzić całą procedurę uwierzytelniania, tylko po to, by sprawdzić historię swoich płatności.

Nie dla klienta banku jakieś hakerskie praktyki

Warto przyjrzeć się też dyskusji i komentarzom, jakie toczyły się w kwestii RTS. Pojawia się w nich kwestia kryteriów, jakie musiałyby spełniać urządzenia klienckie wykorzystywane w mobilnej bankowości. Mowa tu o wykorzystaniu unikatowych „cyfrowych odcisków palców” urządzenia, spełnianiu odpowiednich kryteriów bezpieczeństwa przez oprogramowanie, oraz co chyba najciekawsze, konieczności zadbania o to, by smartfony czy tablety wykorzystywane w mobilnej bankowości nie były zrootowane czy poddane jailbreakowi – to bowiem mogłoby uczynić je bardziej podatnymi na instalację złośliwego oprogramowania i naruszenie ich zabezpieczeń.

Innymi słowy wychodzi na to, że w imię większego bezpieczeństwa banki i inni dostawcy usług finansowych będą zmuszać swoich użytkowników do korzystania z ustalonych, zarejestrowanych smartfonów, wyposażonych w akceptowane systemy operacyjne, oczywiście zabezpieczone przed ingerencjami użytkownika.

Nie chcemy mówić, czy to dobrze, czy źle… bardziej interesującą jest kwestia tego, czy dzięki rozwiązaniom takim jak Magisk zainteresowani użytkownicy będą w stanie obejść google’owe SafetyNet (które byłoby najpewniej wykorzystane do sprawdzenia stanu „dziewiczości” urządzenia przez twórców aplikacji bankowych). Jeśli nie, to jedyne co zostanie użytkownikom zrootowanego sprzętu to kupienie sobie dodatkowego smartfonu tylko do mobilnej bankowości.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.