Wallester Insights: PSD2 ve Güçlü Müşteri Kimlik Doğrulaması Uyumluluğu

Herhangi bir yazılım, farklı kitleler arasında güvenilirliğini ve kullanılabilirliğini sağlamak için kimlik doğrulama araçları içermelidir. Emniyet ve güvenlik mimarisinin çok önemli bir bileşeni haline geldi ve FinTech endüstrisindeki rolü hafife alınamaz. Her saniye gerçekleşen birkaç e-ticaret işlemiyle, bu pazar daha fazla kara para aklama ve dolandırıcılık tehditleriyle karşı karşıya kalmaya eğilimlidir. Bu açıdan bakıldığında, üst düzey kimlik doğrulama ve siber güvenlik standartlarına uygun bir kart verme hizmeti seçmek, basit bir tavsiyeden daha fazlasıdır.

İşte burada PSD2 düzenlemeleri devreye giriyor. Terimin gerçek anlamını ve herhangi bir işletmenin finans ortamı üzerindeki etkisinin rolünü anlamak için bizi izlemeye devam edin. ileri!

Gelişmiş Klonlama Teknikleri

Şu anda, klonlanmış EMV kartlarının gerçek zamanlı yetkilendirilmesi, gerçekleştirilemez bir görev olmaya devam ediyor. Ödeme kriptogramları oluşturmak için gerekli kriptografik anahtarların çıkarılması, hem kötü niyetli aktörler hem de çalışkan araştırmacılar için anlaşılması zor bir konu olmaya devam ediyor. Bununla birlikte, işlevsel kart kopyaları oluşturmak için alternatif yöntemlerin var olduğunu kabul etmek çok önemlidir:

Suçlular tarafından kullanılan bu tür bir yöntem, Track2 Eşdeğeri değerinin manyetik şeride yazılmasını içerir. Track2 Eşdeğeri olarak bilinen bir kartın manyetik şeridinde bulunan bilgilerin çoğaltılmasıyla bu teknik, Donanım Güvenlik Modülü (HSM) sistemleri ve kart işlemeden sorumlu diğer özel alt sistemler içinde kart tanımlama için bir parametre görevi görür.

Sonuç olarak, kötü niyetli kişiler, Track2 Eşdeğer Verilerini bir manyetik şeride gömerek bu saldırıyı zaman zaman kullanırlar, bu da onların ya tipik manyetik şerit işlemleri olarak ya da teknik geri dönüş modunu kullanarak hileli işlemleri yürütmelerine olanak tanır. ATM'lerden bu tür verileri çıkarmak için özel olarak tasarlanmış cihazlar olan skimmer'lar bu durumlarda yaygın olarak kullanılır.

Failler, işlemleri çoğaltmak için EMV Ön Oynatma ve Yeniden Oynatma saldırılarına başvurabilir. Yeniden oynatma saldırısı, her işlemin ve kriptogramın benzersizliğini sağlamak için tasarlanmış mekanizmaları atlatmaya odaklanır. Saldırganlar, bu güvenlik açığından yararlanarak, orijinal karta sahip olmayı gerektirmeden ileride kullanmak üzere işlemleri "klonlayabilir". Güvenliği ihlal edilmiş bir terminalin aynı UN (Öngörülemeyen Sayı) alanını oluşturması durumunda, tahmin edilebilir bir UN değerine sahip karttan elde edilen bir kriptogram sınırsız sayıda yeniden kullanılabilir.

Saldırganlar, sonraki günlerde bile, önceki günün tarihi ile işaretlenmiş yetkilendirme isteği ile eski bir kriptogram hakkında bilgi gönderebilir. Ön-oynatma şeması, ele geçirilmiş bir terminal aynısı yerine öngörülebilir bir BM ürettiğinde geçerli hale gelir. Bu tür senaryolarda, bir saldırgan karta fiziksel olarak eriştiğinde ileride kullanmak üzere birden çok işlemi klonlayabilir. Ancak, ilk saldırıdan farklı olarak, bu özel senaryoda her işlem yalnızca bir kez kullanılabilir.

İlgili: WooCommerce PCI Uyumluluğu: Bilmeniz Gereken Her Şey!

PSD2: Tanım, Etki ve Hedefler

2007'de ilk Ödeme Hizmetleri Direktifi'nin yayınlanmasından bu yana, pazar ciddi değişikliklere ve modifikasyonlara uğradı. Teknolojilerin ilerlemesi ve çevrimiçi ödemelerin patlaması da madalyonun diğer yüzünü gösteriyor. API ekonomisinin gelişimi, Avrupa'da sürekli artan dolandırıcılık düzeyine katkıda bulunurken, yeni iş modelleri genellikle düzenlenmemiş politikalarla birlikte gelir.

Özetle PSD2, AB ve AEA'da performans gösterebilmek için herhangi bir ödeme hizmetinin takip etmesi gereken bir standartlar ve yasalar paketidir. Bu politika, internet tabanlı işlemleri güvence altına alır ve hem teoride hem de pratikte ekonomik ortamı güçlendirir.

İşte PSD2'yi diğer finans normlarından ayıran bazı özellikler:

• Uyumlu hizmet sağlayıcıların finansal bilgilerini kamuya açıklamaları zorunlu hale geldiğinden, kart basımını daha şeffaf hale getirir. Aynı zamanda bu yenilik, yeni oyuncuların rekabetçi olmalarına ve çözümlerini iyi kurulmuş kuruluşlar üzerinde sunmalarına yardımcı olur.
• PSD2, kart verme çözümleri için lisanslama oluşturmuştur. Bir yandan, AB'de bu tür hizmetler sunan işletmelerin daha az deneyime sahip olmalarına rağmen güvenilirliklerini ve itibarlarını kanıtlamalarını sağlar. Öte yandan, bu yöntem hedef kitleler için de verimli olup, en iyi kart veren ve işleyen kurumu kolayca seçmelerine olanak tanır.
• PSD2, güçlü müşteri kimlik doğrulamasıyla el ele gelir. İki faktörlü kimlik doğrulama ve benzeri araçlar, çevrimiçi ödemelerin büyük bir bölümünü yedekler ve bu tür finansal işlemler için ek bir koruma katmanı görevi görür. Bu direktifte küçük bir boşluk var. İlgili taraflardan biri AEA içinde yer almadığında, sözde SCA'yı uygulama zorunluluğunu getirmemelidir.

2022 itibariyle, Avrupa'da beş yüz milyondan fazla insanın çevrimiçi alışveriş yapması bekleniyordu. Bu oranın daha da artması muhtemeldir. Bu kadar çok sayıda işlemin PSD2 uyumlu hizmetlerle yedeklenmesi, şüphesiz uzun vadeli faydalar sağlayacaktır.

Gözden Geçirilmiş Ödeme Hizmetleri Yönergesi (PSD2)

Dünya çapındaki her ülkenin, ödeme yapan kişinin doğrulanması gerekmediğinde geçerli olan CVM Yok (Kart Sahibi Doğrulama Yöntemi) limitleriyle ilgili kendi tavsiyeleri vardır. Bu genellikle Dokun ve Git şeması olarak bilinir. Örneğin, Avrupa Ekonomik Alanı içinde 50€'luk önerilen bir işlem limiti vardır.

Mağazalar ve satın alan bankalar, terminaller için kendi limitlerini belirleme özgürlüğüne sahipken, CVM'siz dolandırıcılıkla ilgili riskleri de üstlenirler. Bu nedenle, daha fazla sayıda dolandırıcıyı çekebileceğinden, tüm bankalar veya tüccarlar ortalamanın üzerinde limitler belirlemeyi tercih etmeyebilir.

Çalıntı temassız kartları içeren yaygın bir dolandırıcılık, CVM Yok limitleri dahilinde birden fazla işlem gerçekleştirerek Tap & Go programından yararlanmaktır. Dolandırıcılıkla mücadele sistemleri bu tür işlemleri engellemek için nadiren müdahale eder. Hatta bazı cüretkar dolandırıcılar, büyük bir faturayı her biri 30 sterlin gibi birkaç küçük işleme bölmeye istekli kasiyerler bile buldular ve kısıtlamaları etkili bir şekilde atladılar.

Bu dolandırıcılık faaliyetleriyle mücadele

Bu dolandırıcılık faaliyetleriyle mücadele etmek için Avrupa Birliği, Ödeme Hizmetleri Direktifi, sürüm 2 (PSD2) olarak bilinen bir dizi yeni düzenleme getirmiştir. Bu düzenlemeler, ödeme yapan kişi doğrulamasının sıklığına ilişkin özel gereklilikleri içerir. 2020'den itibaren, kartı veren bankaların, Dokun ve Git eşiğinin altındaki işlem sayısına sınırlamalar getirmesi gerekmektedir. Harcanan toplam tutarı izlemeli ve her beş işlemden sonra veya kart sahibi beş Tap & Go işleminde 250 Euro gibi maksimum tutara eşdeğer bir değere ulaştığında bir PIN istemelidir.

MasterCard ve Visa, Tap & Go limitlerini aşan işlemler için iki alternatif sunar: Esnek limitler ve Zorunlu limitler. Ülkelerin çoğu, belirlenen limitin üzerindeki ödemeler için imza veya çevrimiçi PIN gibi ek ödeme doğrulaması gerektiren Esnek limitler planını uygulamaktadır. Bununla birlikte, Birleşik Krallık, 'Dokun ve Git' limitlerini aşan ödemeler için çip özellikli bir kartın kullanılmasını zorunlu kılan Sabit Limitler programı kapsamında faaliyet göstermektedir. Ayrı limitleri olduğu için bu senaryonun mobil cüzdanlar için geçerli olmadığına dikkat etmek önemlidir.

Güvenlik uzmanları, bu kuralların etkililiğini değerlendirmek ve genel olarak bilinen güvenlik açıkları veya yeni keşfedilen varyasyonlar kullanılarak bunların atlanabileceği potansiyel yolları keşfetmek için testler yaptı. Sonuçlar, çalıntı kartlara ve özelleştirilmiş bir terminale sahip olan bilgisayar korsanlarının, güvenliği ihlal edilmiş terminallerini kullanarak bu limitleri sıfırlayarak normal mağazalarda önceden belirlenmiş limitleri aşan ödemeler yapabildiğini ortaya çıkardı.

Profesyonel Kart Verme Platformlarıyla Çalışma: Wallester Sürümü

PSD2 normlarına uyan hizmetlerin sayısı ve çeşitliliği artmaya devam ediyor, bu da işletmelerin ihtiyaçlarına ve hedeflerine en uygun stratejik ve ekonomik olanı bulmaları için mükemmel bir fırsat. Wallester ile işbirliği yaparak, AB'de e-ticaret amaçlarıyla kullanımı güvenli olan kredi ve banka kartlarına karar verirsiniz. 3D Secure, biyometrik doğrulama, PIN ve diğerleri gibi gelişmiş SCA teknolojileri ile, hizmetlerinizin potansiyel kullanıcıları için güvenilir ve güvenilir bir finans ortamı oluşturmaya yönelik proaktif bir adım atarsınız.

SCA prosedürlerinin miktarı ve düzenliliği, hedef kitlenizin alışveriş davranışı ve alışkanlıklarından ne tür bir tüccar olduğunuza kadar çeşitli faktörler tarafından belirlenir.

Tipik sınırlamalar ve kontrollerin listesi aşağıdakileri içerir:

• Sistem, mevcut temassız ödeme sayısını kısıtlayacak ve limite ulaşıldığında son kullanıcıların bir PIN girmesini gerektirecektir.
• Hizmet, satın alma başına veya genel olarak çevrimiçi alışveriş için harcanacak maksimum para miktarını aşan ödemeleri doğrular.

Yukarıda belirtilen kriterler kendi düzenlemelerinize de bağlıdır. Wallester, müşterilerinin istenen türde ve sayıda kart verirken özel performans kısıtlamaları oluşturmasına izin verir, https://wallester.com adresindeki web sitelerini ziyaret edin.

İlgili: DevOps ile HIPAA Uyumluluk Otomasyonu | Bilmen gereken her şey!

sarın

Temassız banka kartları kolaylık sağlarken dolandırıcıların yararlanabileceği güvenlik açıkları da barındırıyor. Eski modlar ve manyetik şeritlerin kullanılması, güvenlik riskleri oluşturarak saldırganların kartları klonlamasına ve işlem verilerini manipüle etmesine olanak tanır. Bu risklere rağmen bankalar, uyumluluk, ilgili maliyetler, kullanıcı benimseme ve uluslararası kabul dahil olmak üzere çeşitli nedenlerle eski ödeme yöntemlerini desteklemeye devam ediyor.

Ayrıca, kart sahibi doğrulama yöntemleri atlatılabilir ve Tap & Go şeması kötüye kullanıma açıktır. Dolandırıcılıkla mücadele için PSD2 gibi düzenlemeler getirilmiş olsa da, güvenliği ihlal edilmiş terminaller kullanılarak sınırlar yine de aşılabilir. Ödeme güvenliğinde devam eden ilerlemeler, bu zorlukları etkili bir şekilde ele almak için çok önemlidir.

Şirketinizin sağlığını ve statüsünü uzun vadede güvence altına almak istiyorsanız, en son norm ve düzenlemelere ne kadar uyumlu olduğuna şimdi dikkat etmeniz daha iyi olur. Wallester gibi çözümler sayesinde, PSD2 ve SCA standartlarını nasıl uygulayacağınız konusunda endişelenmenize gerek yok — varsayılan olarak sizin için yapılır.