De Europese Bankautoriteit (EBA) publiceerde in juni 2019 een advies over de elementen van sterke klantauthenticatie (SCA) onder de herziene Richtlijn betalingsdiensten (PSD2) . Het advies bevat niet-uitputtende lijsten van de authenticatie-elementen en vermeldt of deze al dan niet in overeenstemming zijn met de SCA.
De technische reguleringsnormen (RTS) met betrekking tot SCA die zijn vastgesteld als volgt Gedelegeerde verordening van de Commissie (EU) 2018/389 en is wettelijk van toepassing vanaf 14 september 2019. Het lijkt er echter op dat de sector nog niet klaar is om alle wijzigingen over te nemen. De complexiteit van de betalingssector en de nieuwe spelers op de markt kan tot vertragingen leiden. Om negatieve gevolgen te voorkomen, zal de EBA bij wijze van uitzondering instemmen met enkele verlengingen van de termijn (bijvoorbeeld voor e-merchands die hoogstwaarschijnlijk niet op tijd klaar zijn). De verlenging zal alleen worden aanvaard indien de bevoegde gedragsautoriteit hiermee heeft ingestemd en de uitvoering van het plan voor een gemeenschappelijke onderneming gedurende de verlengde periode op de voet volgt. De EBA zal toezien op de consistentie van de tenuitvoerlegging van de Rekenkamer in de hele EU.
De EBA merkt op dat, hoewel Leidraad voor de veiligheid van betalingen via internet zijn sinds 2015 van toepassing, maar worden niet door alle lidstaten toegepast. Daarnaast heeft de EBA een Advies over de tenuitvoerlegging van RTS inzake RCA, en een Single Rulebook Q&A instrument.
Wat is de sterke klantauthenticatie (SCA)?
De SCA is de klantenauthentificatie die moet worden toegepast telkens wanneer een betaler online toegang krijgt tot zijn betaalrekening, een elektronische betalingstransactie start of een actie uitvoert via een extern kanaal. Voor de hogere veiligheid van een transactie op afstand, moet de klantenauthenticatie een dynamische link creëren tussen transactie en bedrag, begunstigde en betaler.
De toepassing van een SCA is gebaseerd op drie elementen: de elementen "kennis", "bezit" en "inherente". De elementen zijn onafhankelijk, op een zodanige wijze dat de inbreuk op de ene de betrouwbaarheid van de andere niet in het gedrang brengt, en is zodanig ontworpen dat de vertrouwelijkheid van de authenticatiegegevens wordt beschermd.
In het advies van de EBA werd commentaar geleverd op alle drie de elementen. De toepassing van een SCA is gebaseerd op drie elementen: de elementen "kennis", "bezit" en "inherente". De elementen zijn onafhankelijk, op een zodanige wijze dat de inbreuk op de ene de betrouwbaarheid van de andere niet in het gedrang brengt, en is zodanig ontworpen dat de vertrouwelijkheid van de authenticatiegegevens wordt beschermd.
"Iets wat de gebruiker is."
Inherentie-elementen verwijzen naar "iets wat de gebruiker is". Ze zijn gerelateerd aan biologische en gedragsbiometrie, fysische eigenschappen van lichaamsdelen, fysiologische kenmerken en gedragsprocessen die door het lichaam worden gecreëerd, en elke combinatie hiervan.Het inherente element is het meest innovatieve en snelst bewegende element. De EBA geeft in het advies een niet-uitputtende lijst van mogelijke inherente elementen die bestaat uit: scannen van het netvlies en de iris, scannen van vingerafdrukken, aderherkenning, gezichts- en handgeometrie, spraakherkenning, toetsenborddynamiek (het identificeren van een gebruiker aan de hand van de manier waarop ze typen en vegen, soms ook wel type- en vegende patronen genoemd), de hoek waarin de PSU (Payment Service User) het apparaat vasthoudt en de hartfrequentie van de PSU.
"Iets wat alleen de gebruiker bezit."
Bezitselementen verwijzen naar "iets wat alleen de gebruiker bezit". Dit kunnen algoritmespecificaties, sleutellengte en informatie entropie zijn. De EBA is van mening dat benaderingen die steunen op mobiele apps, webbrowsers of de uitwisseling van (publieke en private) sleutels ook het bewijs van bezit kunnen zijn, mits ze een apparaat bindend proces bevatten dat een unieke verbinding tussen de app, browser of sleutel van de PSU en het apparaat garandeert. De digitale handtekening en de QR-code zijn ook elementen van het bezit. De kaartgegevens en de veiligheidscode van de kaart die op de kaart zijn afgedrukt, kunnen noch een kennis- noch een bezitselement vormen. Alleen dynamische kaartcodes (codes die niet op de kaart staan) kunnen een bezitselement zijn.
De niet-uitputtende lijst van de EBA is hieronder weergegeven:
"Iets wat alleen de gebruiker weet."
Een kenniselement is "iets wat alleen de gebruiker weet". Volgens de EBA kunnen kenniselementen "een wachtwoord, een PIN, kennisgebaseerde antwoorden op uitdagingen of vragen, een passphrase en een gememoriseerd swiping path" zijn. Kaartdetails, e-mailadressen, gebruikersnamen of eenmalige wachtwoorden worden echter niet geacht te voldoen aan de kennisvereisten in het kader van de SCA.Algemene opmerkingen van de Europese Bankautoriteit over SCA
Het advies van de EBA bevat ook enkele algemene opmerkingen over de SCL. Een punt dat de EBA zich al vanaf 2018 uitstrekt, is dat de twee elementen die voor de SCL vereist zijn, tot verschillende categorieën moeten behoren, d.w.z. één van de kennis- en één van de inherente categorie. Bovendien is de onafhankelijkheid van de elementen van essentieel belang om de transacties zo veilig mogelijk te maken. De EBA wijst ook op de mogelijkheid van een hergebruikt element ten behoeve van een SCA in dezelfde vergadering.De termijn van 14 september komt dichterbij en wat we nog moeten afwachten is hoe voorbereid de professionals zullen zijn en of er rekening is gehouden met de adviezen en richtsnoeren van de EBA. Het project is complex, vooral voor bedrijven die niet direct aan PSD2 onderworpen zijn en die waarschijnlijk niet klaar zullen zijn. De verlenging van het project geeft echter blijk van flexibiliteit van de kant van de EBA en de gedragsautoriteiten.
