رؤى Wallester: PSD2 والامتثال القوي لمصادقة العملاء

نشرت: 2023-07-21

يجب أن يشتمل أي برنامج على أدوات مصادقة لضمان مصداقيته وقابليته للاستخدام بين الجماهير المختلفة. لقد أصبح مكونًا حاسمًا في هندسة السلامة والأمن ، ولا يمكن التقليل من دوره في صناعة FinTech. مع حدوث العديد من معاملات التجارة الإلكترونية كل ثانية ، فإن هذا السوق عرضة لمواجهة المزيد من تهديدات غسيل الأموال والاحتيال. من هذا المنظور ، يعد اختيار خدمة إصدار البطاقة التي تتوافق مع معايير المصادقة المتطورة والأمن السيبراني أكثر من مجرد توصية بسيطة.

هذا هو المكان الذي تأتي فيه لوائح PSD2. ترقبوا فهم المعنى الحقيقي للمصطلح ودور تأثيره على البيئة المالية لأي عمل تجاري. فصاعدا!

عرض جدول المحتويات
  • تقنيات الاستنساخ المحسنة
  • PSD2: التعريف والتأثير والأهداف
  • التوجيه المعدل لخدمات الدفع (PSD2)
  • العمل مع منصات إصدار البطاقات الاحترافية: إصدار Wallester
  • اتمامه

تقنيات الاستنساخ المحسنة

shopping-fintech-customer-point-of-sale-pos-pay-commerce

في الوقت الحالي ، لا يزال التفويض في الوقت الفعلي لبطاقات EMV المستنسخة مهمة غير مجدية. ظل استخراج مفاتيح التشفير الأساسية لتوليد تشفير الدفع بعيد المنال لكل من الجهات الخبيثة والباحثين المجتهدين. ومع ذلك ، من الأهمية بمكان إدراك وجود طرق بديلة لإنشاء نسخ متماثلة وظيفية للبطاقة:

تتضمن إحدى هذه الطرق التي يستخدمها المجرمون كتابة قيمة Track2 المكافئة على الشريط المغناطيسي. من خلال تكرار المعلومات الموجودة على الشريط المغناطيسي للبطاقة ، والمعروف باسم Track2 Equivalent ، تعمل هذه التقنية كمعامل لتحديد هوية البطاقة داخل أنظمة وحدة أمان الأجهزة (HSM) والأنظمة الفرعية المخصصة الأخرى المسؤولة عن معالجة البطاقة.

وبالتالي ، يستخدم الأفراد الخبثاء هذا الهجوم أحيانًا عن طريق تضمين بيانات مكافئة لـ Track2 على شريط مغناطيسي ، مما يمكنهم من تنفيذ معاملات احتيالية إما كمعاملات شريط مغناطيسي نموذجي أو عن طريق استخدام الوضع الاحتياطي التقني. تستخدم الكاشطات ، وهي أجهزة مصممة خصيصًا لاستخراج مثل هذه البيانات من أجهزة الصراف الآلي ، بشكل شائع في هذه الحالات.

لتكرار المعاملات ، قد يلجأ الجناة إلى استخدام هجمات EMV قبل التشغيل وإعادة اللعب. يركز هجوم إعادة اللعب على آليات التحايل المصممة لضمان تفرد كل معاملة وكل برنامج تشفير. من خلال استغلال هذه الثغرة الأمنية ، يمكن للمهاجمين "استنساخ" المعاملات لاستخدامها في المستقبل دون الحاجة إلى امتلاك البطاقة الأصلية. في الحالات التي تنشئ فيها محطة طرفية مخترقة نفس حقل الأمم المتحدة (رقم غير متوقع) ، يمكن إعادة استخدام برنامج تشفير تم الحصول عليه من البطاقة بقيمة الأمم المتحدة التي يمكن التنبؤ بها لعدد غير محدود من المرات.

حتى في الأيام اللاحقة ، يمكن للمهاجمين إرسال معلومات حول برنامج تشفير قديم مع طلب التفويض المميز بتاريخ اليوم السابق. يصبح مخطط ما قبل التشغيل ذا صلة عندما تنشئ محطة مخترقة أمم متحدة يمكن التنبؤ بها بدلاً من واحدة مماثلة. في مثل هذه السيناريوهات ، يمكن للمهاجم ، عند الوصول المادي إلى البطاقة ، استنساخ معاملات متعددة للاستخدام في المستقبل. ومع ذلك ، على عكس الهجوم الأولي ، يمكن استخدام كل معاملة مرة واحدة فقط في هذا السيناريو المحدد.

الموضوعات ذات الصلة: توافق WooCommerce PCI: كل ما تحتاج إلى معرفته!

PSD2: التعريف والتأثير والأهداف

Wallet-money-credit-debit-card-payment-security-safety

منذ إصدار التوجيه الأول لخدمات الدفع في عام 2007 ، خضع السوق لتغييرات وتعديلات جذرية. يظهر تقدم التقنيات وازدهار المدفوعات عبر الإنترنت أيضًا الجانب الآخر للعملة. غالبًا ما تأتي نماذج الأعمال الجديدة بسياسات غير منظمة ، بينما يساهم تطوير اقتصاد API في زيادة مستوى الاحتيال باستمرار في أوروبا.

باختصار ، PSD2 عبارة عن مجموعة من المعايير والقوانين لأي خدمة دفع يجب اتباعها حتى تتمكن من الأداء في الاتحاد الأوروبي والمنطقة الاقتصادية الأوروبية. تؤمن هذه السياسة المعاملات القائمة على الإنترنت وتقوي البيئة الاقتصادية من الناحيتين النظرية والتطبيقية.

فيما يلي بعض الميزات التي تميز PSD2 عن معايير التمويل الأخرى:
  • فهو يجعل إصدار البطاقة أكثر شفافية لأنه يصبح ملزماً لمقدمي الخدمة المتوافقين للكشف عن معلوماتهم المالية للجمهور. في الوقت نفسه ، يساعد هذا الابتكار اللاعبين الجدد على المنافسة وتقديم حلولهم على أساس ثنائي من المنظمات الراسخة.
  • أنشأت PSD2 ترخيصًا لحلول إصدار البطاقات. فمن ناحية ، تمكّن الشركات التي تقدم مثل هذه الخدمات في الاتحاد الأوروبي من إثبات موثوقيتها ومصداقيتها ، على الرغم من قلة خبرتها. من ناحية أخرى ، تعد هذه الطريقة فعالة أيضًا للجماهير المستهدفة ، مما يتيح لهم اختيار أفضل مؤسسة إصدار ومعالجة للبطاقات بسهولة.
  • تأتي PSD2 جنبًا إلى جنب مع مصادقة العملاء القوية. المصادقة ذات العاملين والوسائل المماثلة تدعم الجزء الأكبر من المدفوعات عبر الإنترنت وتعمل كطبقة حماية إضافية لمثل هذه العمليات المالية. هناك ثغرة صغيرة في هذا التوجيه. عندما لا يكون أحد الأطراف المشاركة داخل المنطقة الاقتصادية الأوروبية ، فلا ينبغي أن يلتزم بمتطلبات تنفيذ ما يسمى SCA.

اعتبارًا من عام 2022 ، كان من المتوقع أن يقوم أكثر من خمسمائة مليون شخص بعمليات شراء عبر الإنترنت في أوروبا. من المرجح أن يزداد هذا المعدل أكثر. سيؤدي دعم مثل هذا العدد الهائل من المعاملات من خلال الخدمات المتوافقة مع PSD2 إلى تحقيق فوائد طويلة الأجل بالتأكيد.

التوجيه المعدل لخدمات الدفع (PSD2)

Fintech-Google-Pay-Wallet-Buy-Purchase-Shop-Payment

كل بلد في جميع أنحاء العالم لديه توصياته الخاصة فيما يتعلق بعدم وجود قيود على طريقة التحقق من حامل البطاقة (CVM) ، والتي تنطبق عندما لا يكون التحقق من دافع الحساب مطلوبًا. يُعرف هذا باسم نظام Tap & Go. على سبيل المثال ، داخل المنطقة الاقتصادية الأوروبية ، هناك حد معاملات موصى به بقيمة 50 يورو.

في حين أن المتاجر والبنوك المستحوذة لديها الحرية في وضع حدودها الخاصة للمحطات الطرفية ، فإنها تتحمل أيضًا المخاطر المرتبطة بعدم وجود احتيال في طريقة التحقق من البطاقة (CVM). هذا هو السبب في أنه لا يجوز لجميع البنوك أو التجار اختيار وضع حدود أعلى من المتوسط ​​، حيث يمكن أن يجتذب ذلك عددًا أكبر من المحتالين.

إحدى عمليات الاحتيال الشائعة التي تنطوي على سرقة البطاقات اللا تلامسية هي الاستفادة من نظام Tap & Go من خلال إجراء معاملات متعددة ضمن حدود No CVM. نادرًا ما تتدخل أنظمة مكافحة الاحتيال لمنع مثل هذه المعاملات. حتى أن بعض المخادعين الجريئين وجدوا أن الصرافين على استعداد لتقسيم فاتورة كبيرة إلى عدة معاملات أصغر ، مثل 30 جنيهًا إسترلينيًا لكل منها ، وتجاوز القيود بشكل فعال.

مكافحة هذه الأنشطة الاحتيالية

لمكافحة هذه الأنشطة الاحتيالية ، قدم الاتحاد الأوروبي مجموعة من اللوائح الجديدة المعروفة باسم توجيه خدمات الدفع ، الإصدار 2 (PSD2). تتضمن هذه اللوائح متطلبات محددة تتعلق بتكرار التحقق من الدافع. اعتبارًا من عام 2020 ، يتعين على البنوك المصدرة فرض قيود على عدد المعاملات التي تقل عن حد Tap & Go. يجب عليهم تتبع المبلغ الإجمالي الذي تم إنفاقه والمطالبة برقم التعريف الشخصي بعد كل خمس معاملات أو عندما يصل حامل البطاقة إلى ما يعادل الحد الأقصى للمبلغ عبر خمس معاملات Tap & Go ، مثل 250 يورو.

توفر MasterCard و Visa بديلين للمعاملات التي تتجاوز حدود Tap & Go: الحدود الناعمة والحدود الصعبة. تتبع غالبية البلدان نظام الحدود الناعمة ، والذي يتطلب تحققًا إضافيًا من دافع ، مثل التوقيع أو رقم التعريف الشخصي عبر الإنترنت ، للمدفوعات التي تتجاوز الحد المعين. ومع ذلك ، تعمل المملكة المتحدة بموجب مخطط الحدود الصعبة ، الذي يفرض استخدام بطاقة مزودة بشريحة للمدفوعات التي تتجاوز حدود "Tap & Go". من المهم ملاحظة أن هذا السيناريو لا ينطبق على محافظ الهاتف المحمول ، حيث أن لها حدودًا منفصلة.

أجرى خبراء الأمن اختبارات لتقييم فعالية هذه القواعد واستكشاف الطرق المحتملة التي يمكن تجاوزها باستخدام نقاط الضعف المعروفة أو الاختلافات المكتشفة حديثًا. كشفت النتائج أن المتسللين الذين يمتلكون بطاقات مسروقة ومحطة طرفية مخصصة يمكنهم إجراء مدفوعات في المتاجر العادية التي تتجاوز الحدود المحددة مسبقًا من خلال إعادة تعيين هذه الحدود باستخدام جهازهم المخترق.

العمل مع منصات إصدار البطاقات الاحترافية: إصدار Wallester

Wallester-White-label-card-source-co-brand-payment-solution-screenshot

يستمر عدد وتنوع الخدمات التي تتبع معايير PSD2 في الازدياد ، وهي فرصة مثالية للشركات لإيجاد أفضل استراتيجية واقتصادية مناسبة لاحتياجاتها وأهدافها. من خلال التعاون مع Wallester ، فإنك تقرر بشأن بطاقات الائتمان والخصم الآمنة للاستخدام في الاتحاد الأوروبي لأغراض التجارة الإلكترونية. مع تقنيات SCA المتقدمة مثل 3D Secure ، والتحقق من الهوية ، ورقم التعريف الشخصي ، وغيرها ، تتخذ خطوة استباقية إلى الأمام لإنشاء بيئة تمويل موثوقة وذات مصداقية للمستخدمين المحتملين لخدماتك.

يتم تحديد كمية وانتظام إجراءات SCA من خلال عدة عوامل - من سلوك وعادات التسوق لدى جمهورك إلى نوع التاجر الذي أنت عليه.

تتضمن قائمة القيود والفحوصات النموذجية ما يلي:
  • سيحد النظام من العدد المتاح لعمليات الدفع بدون تلامس ويطلب من المستخدمين النهائيين كتابة رقم تعريف شخصي عند الوصول إلى الحد الأقصى.
  • تتحقق الخدمة من المدفوعات إذا تجاوزت الحد الأقصى للمبلغ المطلوب إنفاقه لكل عملية شراء أو للتسوق عبر الإنترنت بشكل عام.

تعتمد المعايير المذكورة أعلاه على اللوائح الخاصة بك أيضًا. يتيح Wallester للعملاء إعداد قيود أداء مخصصة عند إصدار النوع المطلوب وعدد البطاقات ، قم بزيارة موقع الويب الخاص بهم https://wallester.com.

ذات صلة: أتمتة الامتثال HIPAA مع DevOps | كل شيئ ترغب بمعرفته!

اتمامه

خاتمة

على الرغم من أن البطاقات المصرفية غير التلامسية توفر الراحة ، إلا أنها تحتوي أيضًا على نقاط ضعف يمكن للمحتالين استغلالها. تقدم الأوضاع القديمة واستخدام الأشرطة المغناطيسية مخاطر أمنية ، مما يمكّن المهاجمين من استنساخ البطاقات ومعالجة بيانات المعاملات. على الرغم من هذه المخاطر ، تواصل البنوك دعم طرق الدفع القديمة لعدة أسباب ، بما في ذلك التوافق والتكاليف المرتبطة بها واعتماد المستخدم والقبول الدولي.

علاوة على ذلك ، يمكن التحايل على طرق التحقق من حامل البطاقة ، كما أن نظام Tap & Go عرضة للإساءة. على الرغم من إدخال لوائح مثل PSD2 لمكافحة الاحتيال ، لا يزال من الممكن تجاوز الحدود باستخدام محطات مخترقة. تعتبر التطورات المستمرة في أمن الدفع ضرورية لمواجهة هذه التحديات بشكل فعال.

إذا كنت ترغب في ضمان صحة شركتك وحالتها على المدى الطويل ، فمن الأفضل الاهتمام بمدى امتثالها لأحدث المعايير واللوائح الآن. بفضل حلول مثل Wallester ، لا داعي للقلق بشأن كيفية تنفيذ معايير PSD2 و SCA - يتم إجراؤها من أجلك افتراضيًا.