第三方支付平台强身份认证中的FIDO应用(一)
发布时间:2021-03-17 07:40:22|浏览次数:1982
摘要
在远程交易时对消费者进行身份验证在安全性和成功率方面具有不可否认的好处,这个过程中,由于消费者不能获得准确及时的身份验证,可能引起取消交易的情况发生。
第三方支付平台与消费者之间现存的这种紧密关系,在这种关系之上建立身份验证机制,作为银行身份验证的委托,对远程交易进行身份验证。强身份认证委托是第三方支付平台首先对用户进行验证,将认证结果及信息传递给银行,从而完成交易的过程,在这一过程中,银行无需二次验证用户。
本白皮书回顾了第三方支付平台在强客户身份认证(SCA)委托的情况下可以使用的不同身份验证机制,并解释了为什么FIDO最能够满足监管机构、银行、第三方支付平台的要求。
FIDO是一种行业标准,旨在以高度的安全性和私密性对消费者进行身份验证,FIDO标准的实现可跨多个消费者设备和平台进行扩展,因此FIDO是强身份认证委托的推荐解决方案。
本文旨在:
对实现FIDO解决方案感兴趣的商家、支付服务提供商和第三方支付平台将消费者身份验证作为银行身份验证的委托。
有兴趣了解FIDO在强身份认证委托中的优势的银行,包括FIDO的实现如何满足它们的需求。
有兴趣向第三方支付平台提供FIDO解决方案的认证解决方案提供商。
一、概述
1.1 为什么选择强身份认证委托?
第二个支付服务指令(PSD2)及其相关的监管技术标准1(RTS)对在线交易引入了强、多因素认证的要求。
虽然引入该法规的目的是提高交易的整体安全性,但对强身份认证的需求可能会导致交易被取消,因为结账时增加了阻力,或者消费者很难向其所在银行进行充分的身份验证。
银行正积极致力于为消费者提供身份验证机制,以减少这个过程中的阻力。在这种情况下,利用第三方支付平台建立的认证机制,以一致的方式向消费者验证支付凭证,以便访问其账户,以及使用与该账户一并存储的付款工具发起的交易。
PSD2法规以及欧洲银行管理局(EBA)关于强身份认证和公共及安全通信(CSC)2实施RTS的意见,允许银行将强身份认证委托给第三方提供商,如第三方支付平台。银行可能会在接受向第三方提供者授权消费者认证之前设定条件,包括对此类授权认证的安全性的保证。
委托认证在PSD2市场中适用于提升用户体验的强身份认证,在其他市场中也适用。在其他市场中,第三方支付平台可以向银行保证消费者已通过交易认证,以获得更高的批准率。
1.2 适用范围
本白皮书涉及的范围:
列出强身份认证委托的先决条件,包括在PSD2市场中使用强身份认证委托的法规要求,以及银行同意参与强身份认证委托计划的条件。
检查远程交易中第三方支付平台可用的身份验证机制,这些机制可用于强身份认证委托。
解释第三方支付平台实施FIDO作为强身份认证委托的标准化和安全的身份验证解决方案的价值主张,强调其符合PSD2要求并且有利于支付生态系统。
回顾第三方支付平台实施FIDO 作为强身份认证委托的步骤,以及消费者体验。
审查第三方支付平台使用FIDO执行的身份验证结果如何与银行共享,以批准符合PSD2的交易–例如在EMV®3 3D安全消息中。
二、交易类型及参与者
2.1 涉及的交易类型
本文所说的交易是指由消费者发起的远程交易,当商户和银行都在欧洲经济区(EEA)时,PSD2法规可能要求强身份认证。
本白皮书涵盖以下远程交易:
消费者通过支付工具发起,例如卡(国内或国际),存储在第三方支付的档案中;
消费者通过从一个银行账户到另一个账户的支付转账发起交易。
2.2 参与者
远程交易的参与者通常包括:
消费者(或客户、账户持有人):使用银行发行的付款工具购买商品或服务的人或企业。
银行:金融机构,为消费者开立账户,并发行支付工具供消费者在远程交易中使用。
商家:出售商品或服务的人或公司。在远程交易中,商户与收单机构签订合同,接受支付工具,例如支付卡。
收单机构:为接受付款工具与商户建立合同服务关系,并代表商户处理使用付款工具进行的付款交易,将资金转移到商户的金融机构。
支付服务提供商:收单机构注册的服务提供商,促进收单机构从多个商户处获取交易。
钱包提供商:经营数字钱包的公司,其内容如下:
可以作为一个或多个商户的支付方式;
存储消费者为进行远程交易而提供的支付工具;
在远程交易期间与商户(或支付服务提供商)共享支付工具和数据。
支付系统:国际或国内支付方案,定义支付工具发行和商户验收的操作规则、条件和要求,并允许通过支付系统网络处理远程交易。
图一:远程交易的参与者
三、强身份认证委托的先决条件
本章节主要介绍以下内容:
PSD2市场允许银行将强身份认证委托给第三方支付平台的监管要求。
对银行来说重要的事项,比如参与强身份认证委托需要满足什么先决条件。
对于第三方支付平台重要的事项,比如他们想要解决的需求有哪些。
3.1 监管要求(PSD2市场)
欧洲银行业管理局在问题2018-40474中澄清,银行可以使用第三方技术(如智能手机指纹读取器)来支持强身份认证,并且银行可以将强身份认证的执行委托给第三方,条件在下文中将详细介绍。
在2005年6月4日发布的EBA/OP/2020/10号意见中,欧洲银行业管理局还提供了有关强身份认证委托的更多信息。
3.1.1合同协议
银行必须与第三方支付平台签订合同协议,同意将身份验证委托给第三方。为了扩大规模,预计国内或国际支付计划将提供一个多边合同框架,以避免所有银行与第三方支付平台之间签订双边协议。
3.1.2安全等级
为遵守RTS(第4和9条)中规定,银行应确保第三方具有合格的担保水平,并采取以下措施:
•分离的安全执行环境
•确保软件或设备未被更改的机制
•防止基于任何其他先前认证代码的知识伪造或生成认证代码的机制
•阻止(临时或永久)身份验证失败后多次尝试的机制
3.1.3文件和测试
银行应确保安全措施的实施得到记录、定期测试、评估和审计(RTS第3条)。包括对第三方设备或应用程序执行安全评估。
3.1.4动态链接
PSD2法规(RTS第5条)要求解决方案符合动态链接要求,即:
•让消费者了解支付交易的金额和商户信息。
•生成的验证码专属于特定的交易金额和商户。
•银行接受的认证代码与支付交易的原始特定金额和消费者同意的商户身份相对应。
•金额或商户的任何变更都会导致生成的认证代码失效。
3.2 对银行来说重要的事项
对于银行而言,将其身份验证委托给第三方支付平台,重点是:
第三方使用的认证解决方案符合监管和银行的安全要求。
在可以使用委托认证之前进行初始注册过程,包括身份识别和验证机制,以确保消费者是合法的持卡人或账户持有人。
在交易过程中,第三方支付平台向银行(或银行的代理运营机构)提供强身份认证发生的证据,使银行知晓第三方执行的身份验证,并将消费者身份验证委托给第三方。
本节其余部分介绍了提供该证据的选项以及与银行共享证据的机制。
3.2.1信任模型
作为强身份认证发生的证据,根据商户和银行之间的信任关系,以及它们之间的协议的性质(例如,在欺诈的情况下的责任),提供的信息量也有不同的信任程度要考量。
信任关系可能受到几个因素的影响,包括:
•第三方支付平台使用的解决方案类型(以及安全性)。
•在该第三方支付平台进行的远程交易欺诈级别。
•商户业务的性质。
•第三方支付平台运营环境的安全性——例如使用令牌。
因此,发行人对第三方支付平台的信任度较高,而银行对第三方支付平台的信任度较低,但仍可以参与强身份认证委托计划。
3.2.2向银行提供的证据
由于存在不同的信任模型,银行可能需要与他们的代理运营商共享不同数量的信息。以下是三种与银行共享信息的类型:
(1)最小共享,最大信任:第三方支付平台向银行共享一个“成功信号”。银行对身份验证结果进行验证。
(2)适度共享、适度信任:第三方支付平台向银行共享必要的数据,以进行风险评估,从而使银行或代理运营商能够:
o对交易进行风险评估,
o在消费者的支付工具和强身份认证解决方案(可以在个人设备上)之间创建绑定,
o验证强身份解决方案是否符合其安全策略,
o知晓用于认证消费者的认证因素。
(3)最大共享,最小信任:第三方支付平台向银行共享足够的数据,例如身份验证的加密凭证,以使银行或代理运营商能够对第三方支付平台执行的身份验证进行完全验证。
委托认证框架可以由国内或国际支付方案提供,以确定在每个远程交易用例中要共享的数据量。除非发现具有欺诈的高风险,否则银行不会对消费者进行重新认证。
3.2.3分享证据的协议
上文描述了当FIDO与EMV 3D安全标准结合使用时,可以与银行共享的数据。
其他通信协议可能在其应用程序编程接口(API)中使用与EMV 3DS中标准化的相同级别的数据,例如EMV安全远程商务、开放银行API或其他国内或国际标准。
3.3 对第三方支付平台重要的事项
对于第三方支付平台,强身份认证委托预计将实现以下目标:
•它简化了结账流程,并使其具有可预测性,因此可以更好的引导消费者完成结账过程。
•消费者身份验证在他们的控制之下,即消费者没有重定向到银行进行身份验证。
•它避免了对消费者进行两次身份验证——一次用于访问第三方支付账户,一次用于银行的交易,使用不同的机制(例如商户账户密码和交易银行身份验证)。