Zmeny v platobných službách - GRID karta končí

Ján Jablonsky

Cyber Security BDM

jan.jablonsky@alef.com

Zmena zákona

Významným zmenám v oblasti poskytovania platobných služieb došlo harmonizáciou Európskej smernice č. 2016/2366 (PSD2 – Payment Services Directive ) a zákonu o platobných službách č. 492/2009 Z.z. Novelizovaný zákon 281/2017 Z.z. o platobných službách prináša mnoho inovatívnych prvkov do súčasných platobných služieb. Kladie veľký dôraz na zvýšenie bezpečnosti platobných služieb a finančných inštitúcií. Dôsledkom je implementácia a integrácia moderných bezpečnostných systémov a prvkov v celom procese platobného styku. Prináša taktiež zvýšenie práv klientov finančných inštitúcií. 

Silná autentifikácia klienta

Nosným elementom novelizovaného zákona je dôraz na bezpečnosť klientov a s nimi spojených platobných služieb. Implementujú sa nové technické štandardy (EBA RTS), ktorých finálna implementácia vo všetkých finančných inštitúciach by mala byť ukončená v septembri 2019. Technické štandardy obsahujú viacero bezpečnostných okruhov,  ktoré sa venujú bezpečnosti komunikácie, problematike elektronických certifikátov, avšak veľká časť sa zaoberá priamo „Silnou autentifikáciou klienta (Strong Customer Authentication - SCA)“ a zavádzaniu inovatívnych technológií. Finančné inštitúcie musia do septembra 2019 nahradiť staršie a menej bezpečné technológie za novšie a bezpečnejšie. V rámci danej obmeny sa napr. postupne integrujú prvky biometrie do platobných služieb ako nástroje autentifikácie klientov a následnej autorizácie platobných príkazov klientov.

Inovácia v overovaní

Jednou z najzásadnejších zmien je povinnosť poskytovateľa platobných služieb zabezpečiť pri platobnej operácií, aby súčasťou takejto autentifikácie boli prvky, ktoré spájajú príslušnú platobnú operáciu s konkrétnou sumou a s konkrétnym príjemcom, táto funkcionalita sa nazýva aj dynamické spojenie (dynamic linking). Význam je v tom, že pokiaľ klient realizuje platobný príkaz a na jeho potvrdenie je potrebný autorizačný kód tzv. OTP (One Time Password), musí byť tento OTP kód dynamicky spojený s platiteľom, transakciou, sumou a časom. Je generovaný iba pre danú platobnú transakciu a súčasťou doručenej správy by mali byť kompletné informácie potrebné pre bezpečné autorizovanie predmetnej transakcie, formát správy sa môže líšiť v jednotlivých finančných inštitúciách, avšak vždy by mala obsahovať: meno príjemcu, účet príjemcu, sumu, dátum a čas a OTP kód. OTP môže byt klientovi doručení SMS správou, Push notifikáciou v mobilnej aplikácii banky, prípadne generovaní hardvérovým zariadením (token).  Hardvérové OTP zariadenia prechádzajú generačnou modernizáciou a začínajú sa objavovať Bluetooth OTP tokeny, namiesto klasických „kalkulačiek“.

SMS potvrdenia na platby

Veľkým skokom vpred je implantácia Push notifikácií, ktorá prekonáva SMS. Správa zaslaná pomocou Push notifikácie je plne šifrovaná a len komplikovane sa dá sfalšovať ako SMS správa. Push notifikácie umožňujú priamo z tela správy aj autorizovať platobný príkaz bez nutnosti opisovať OTP kód.

Grid Karta je minulosť

Tento spôsob dynamického spojenia OTP a transakcie plne nahrádza statickú formu GRID kariet. GRID karty už nie sú považované za bezpečné autorizačné prvky v platobnom styku a finančné inštitúcie ich priebežne nahrádzajú bezpečnými formami.