Bezpieczeństwo płatności online - jak je zachować?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Bezpieczeństwo płatności online reguluje m.in. Ustawa z dnia 19 sierpnia 2011 roku o usługach płatniczych, jak również Rozporządzenie delegowane Komisji (UE) 2018/389 z dnia 27 listopada 2017 roku dotyczące standardów technicznych dotyczących silnego uwierzytelniania klienta i wspólnych i bezpiecznych otwartych standardów komunikacji (dalej: „Rozporządzenie”). Przeczytaj poniższy artykuł i dowiedz się, jakie zasady zgodnie z przepisami zobowiązani są stosować dostawcy płatności, by zapewnić bezpieczeństwo zdalnych transakcji.

Silne uwierzytelnienie użytkownika

Zgodnie z ustawą o usługach płatniczych dostawca ma obowiązek stosować silne uwierzytelnianie użytkownika, w przypadku gdy płatnik:

  • uzyskuje dostęp do swojego rachunku w trybie online;

  • inicjuje elektroniczną transakcję płatniczą;

  • przeprowadza za pomocą kanału zdalnego czynność, która może wiązać się z ryzykiem oszustwa związanego z wykonywanymi usługami płatniczymi lub innych nadużyć.

Zgodnie z ww. ustawą silne uwierzytelnianie użytkownika to uwierzytelnianie zapewniające ochronę poufności danych na podstawie zastosowania co najmniej 2 elementów należących do kategorii:

  • wiedza o czymś, o czym wie wyłącznie użytkownik;

  • posiadanie czegoś, co posiada wyłącznie użytkownik;

  • cechy charakterystyczne użytkownika

 – będących integralną częścią tego uwierzytelniania oraz niezależnych w taki sposób, że naruszenie 1 z tych elementów nie osłabia wiarygodności pozostałych.

Jeżeli płatnik inicjuje elektroniczną transakcję płatniczą z wykorzystaniem połączenia z siecią internet lub za pośrednictwem środków, które mogą być wykorzystywane do porozumiewania się na odległość, dostawca ma obowiązek stosować silne uwierzytelnianie użytkownika obejmujące elementy, które dynamicznie łączą transakcję płatniczą z określoną kwotą transakcji oraz określonym odbiorcą.

Dostawca płatności zobowiązany jest ponadto stosować odpowiednie środki bezpieczeństwa w celu ochrony poufności i integralności indywidualnych danych uwierzytelniających.

Kod uwierzytelniający a bezpieczeństwo płatności online

W razie uwierzytelnienia transakcji za pomocą kodu uwierzytelniającego dostawca usług płatniczych zobowiązany jest przyjąć środki bezpieczeństwa zapewniające spełnienie każdego z określonych poniżej wymogów:

  • z ujawnionego kodu uwierzytelniającego nie można pozyskać żadnych informacji dotyczących elementów składających się na służące do uwierzytelnienia,

  • wygenerowanie nowego kodu uwierzytelniającego nie jest możliwe na podstawie znajomości żadnego innego kodu uwierzytelniającego wygenerowanego wcześniej,

  • kodu uwierzytelniającego nie można sfałszować.

Dostawca usług płatniczych przyjmuje kod uwierzytelniający wyłącznie 1 raz.

Dostawcy usług płatniczych zapewniają, aby uwierzytelnianie poprzez generowanie kodu uwierzytelniającego obejmowało następujące środki:

  • jeżeli uwierzytelnianie na potrzeby dostępu zdalnego, zdalnych płatności elektronicznych i wszelkich innych czynności przeprowadzanych za pomocą kanału zdalnego, które mogą wiązać się z ryzykiem oszustwa płatniczego lub innych nadużyć, nie wygenerowało kodu uwierzytelniającego, nie jest możliwe ustalenie, który z elementów, o których mowa w tym ustępie, był błędny;

  • liczba mogących nastąpić po sobie nieudanych prób uwierzytelnienia, po której przekroczeniu wykonanie czynności, zostaje tymczasowo lub stale zablokowane, nie przekracza 5 prób w określonym okresie;

  • sesje komunikacyjne są chronione przed przechwyceniem danych uwierzytelniających przekazywanych podczas uwierzytelniania oraz przed manipulacją ze strony osób niepowołanych;

  • maksymalny czas bezczynności płatnika po jego uwierzytelnieniu na potrzeby dostępu do jego rachunku płatniczego w trybie online nie przekracza 5 minut.

Zabezpieczenie za pomocą dynamicznego połączenia wg Rozporządzenia

Jeżeli dostawca usług płatniczych ma w danym przypadku obowiązek stosować oprócz kodu uwierzytelniającego również dynamiczne połączenie, dostawca zobowiązany jest przyjąć obowiązkowo środki bezpieczeństwa spełniające każdy z następujących wymogów:

  • płatnika powiadamia się o kwocie transakcji płatniczej oraz o odbiorcy;

  • wygenerowany kod uwierzytelniający jest przypisany do kwoty transakcji płatniczej oraz do odbiorcy, które płatnik zaakceptował podczas inicjowania transakcji;

  • kod uwierzytelniający przyjęty przez dostawcę usług płatniczych odpowiada pierwotnej konkretnej kwocie transakcji płatniczej oraz tożsamości odbiorcy, które płatnik zaakceptował;

  • wszelkie zmiany kwoty lub odbiorcy skutkują unieważnieniem wygenerowanego kodu uwierzytelniającego.

Bezpieczeństwo płatności online, integralność i poufność wg Rozporządzenia

Dostawcy usług płatniczych zobowiązani są zapewnić poufność i integralność indywidualnych danych uwierzytelniających użytkowników usług płatniczych, w tym kodów uwierzytelniających, na wszystkich etapach uwierzytelniania.

Dostawcy usług płatniczych zapewniają na potrzeby realizacji powyższego celu spełnienie każdego z określonych poniżej wymogów:

  • indywidualne dane uwierzytelniające są maskowane podczas ich wyświetlania i nie można ich w pełni odczytać, kiedy użytkownik usług płatniczych wprowadza je podczas uwierzytelnienia;

  • indywidualnych danych uwierzytelniających w formacie danych oraz materiałów kryptograficznych powiązanych z szyfrowaniem indywidualnych danych uwierzytelniających nie przechowuje się jako zwykłego tekstu;

  • tajny materiał kryptograficzny jest chroniony przed nieautoryzowanym ujawnieniem.

Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów