Інтернет-платежі як s; забезпечити, щоб; транзакція є безпечним сімейним записом

Додати в обране

Цей вміст було додано до вибраного у вашому обліковому записі

Щоб додати цей вміст до улюбленого, ви повинні увійти в систему

Щоб додати цей вміст до улюбленого, ви повинні бути підпискою

транзакція

Масштаби шахрайських платежів в Інтернеті

> У Франції із загальної кількості 704,4 млрд. Євро трансакцій з платіжними картками у 2018 р. Шахрайство склало 439 млн. Євро. Понад дві третини цієї суми було привласнене в Інтернеті через крадіжки номерів карток. Найбільш вражаючим при прочитанні останнього звіту Обсерваторії безпеки платежів (OSMP) є зростаюча кількість постраждалих карток: понад 1,35 мільйона в 2018 році загалом на середню суму шахрайства. 70,50 євро, що, за його частина, як правило, падає.

Що таке сильна автентифікація ?

> Сьогодні захист онлайн-платежів залежить від введення даних із самої картки: номер, термін дії, криптограма або навіть ім’я та прізвище власника. Сайти електронної комерції вже можуть безкоштовно вимагати надійної аутентифікації клієнта за допомогою протоколу "3D-Secure": для підтвердження транзакції споживачі вводять одноразовий код, надісланий SMS-повідомленням на свій мобільний телефон. Але цей метод автентифікації є необов’язковим. А для Європейського банківського управління він повинен еволюціонувати до більш складних процесів. Ось чому друга Європейська директива про безпеку платежів, відома як "DSP2", транспонована до французького законодавства влітку 2018 року, запровадила нові принципи надійної автентифікації з 14 вересня 2019 року.

> На момент угоди, протокол безпеки повинен поєднувати щонайменше два з наступних трьох факторів:

  • володіння предметом покупцем (банківська картка, смартфон, планшет або комп’ютер);
  • знання інформації, якою володіє користувач банківської картки (пароль або секретний код);
  • успадкування (перевірка особи покупця за допомогою біометричного елемента, такого як його відбиток пальця, голос, райдужка або розпізнавання обличчя за допомогою селфі).

ЕКСПЕРТНА ДУМКА Бертран ПІНЕ, відповідальний за моніторинг, інновації та розвиток у Федерації електронної комерції та дистанційного продажу

"Веб-сайти продавців покладаються на жорстке виключення автентифікації"

Оголошуючи "довіреним бенефіціаром", наприклад торговим сайтом, на якому ми часто робимо покупки, ми спочатку використовуємо надійний протокол автентифікації. Тоді більше не буде потрібно перевіряти наступні операції. На жаль, щоб банки змогли зареєструвати список довірених бенефіціарів, потрібен час. Однак торгові сайти значною мірою покладаються на це звільнення від надійної автентифікації для полегшення покупок. Тим часом, хоча ми повинні боротися з шахрайством, ми також повинні уникати надто складних або навіть заблокованих платежів. Для цього протоколи типу 3D-Secure будуть продовжуватись і розвиватись, час плавного переходу. У той же час велика кількість невидимих ​​для споживачів робіт спрямована на збагачення платіжних даних та розподіл їх між продавцями, банками продавців та клієнтів, мережами (CB, Visa, Mastercard тощо) з метою забезпечення транзакцій, не ставлячи під сумнів закупівельні потоки. Це дозволить скласти профіль ризику для кожного платежу, перш ніж ініціювати надійний запит автентифікації. Це гарантує безперервність обслуговування та плавність подорожі клієнта при дотриманні DSP2.

Що змінилося з 14 вересня ?

> Змінилися правила щодо надійної автентифікації: це спрацьовуватимуть вже не торгові сайти, а банки та постачальники платіжних послуг (наприклад, Paypal, Paylib або Linxo), залежно від рівня шахрайства та їх суми. «Для споживачів зміни не будуть раптовими. Застосування надійної автентифікації може бути дещо частішим залежно від використовуваних веб-сайтів електронної комерції. Будуть запропоновані нові сильні методи автентифікації, які будуть поступово узагальнюватися протягом найближчих кількох років ", - говорить Лоу Мулен, директор з розвитку в Groupement des Cartes Bancaires CB. Ці пристрої можуть, наприклад, базуватися на програмі для смартфона або SIM-картки (сумісна з усіма мобільними телефонами), вимагаючи введення секретного коду або перевірки біометричних даних.

Отже, прогрес у забезпеченні платежів ще не попереду. ?

> "Ми застосуємо протоколи безпеки банків та постачальників платіжних послуг, як тільки вони будуть готові, підтверджує наш контакт із компанією Cdiscount, № 1 для онлайн-продажів у Франції. Зі свого боку ми досягли прогресу у виявленні ризиків шахрайства. Виходячи з певних характеристик (наприклад, обладнання, що використовується для розміщення замовлення, звички покупки, місце доставки), як тільки фактор здається незвичним, можна активувати попередження про шахрайство та зробити запит на надійну автентифікацію. У будь-якому випадку, ми не зберігаємо жодних персональних даних, оскільки все делегується банкам та постачальникам платіжних послуг. "

Чи передбачає директива менш безпечні платежі, ніж інші ?

> Це фактично звільняє від сильних аутентифікаційних платежів невеликі суми, які вважаються низькими ризиками. Тому платити менше 30 євро за картку в Інтернеті не буде безпечнішим, ніж раніше. Однак на п’ятій невеликій операції поспіль буде активована сильна автентифікація. Те саме, щойно буде досягнуто певної сукупної суми платежів. Банки та постачальники платіжних послуг можуть вільно обирати ліміт, який, на їх думку, є найбільш доцільним, напевно, близько 100 євро, згідно з OSMP.

Окрім цих невеликих платежів, чи є інші винятки? ?

> Так. Коли споживач купує товар, що підлягає оплаті кількома частинами, або коли він платить за передплату щомісяця, тільки перша з платіжних операцій буде піддана надійній аутентифікації. Це можна почути. Однак інший виняток заслуговує на всю увагу родин. Платежі “довіреному бенефіціару”, визначеному як такий клієнтом у своєму банку або його постачальнику платежів, уникнуть подвійного забезпечення.

Чи можлива вже біометрична аутентифікація ?

> "Це вимагає оснащення споживачів смартфоном з біометричним розпізнаванням. В очікуванні їх узагальнення, стандартні протоколи 3D-Secure надалі використовуватимуться », підтверджує Бертран Піно, керівник відділу з питань інновацій та розвитку у Федерації електронної комерції та дистанційних продажів (Февад).

ЧИ НАДІЙНИЙ ПРОТОКОЛ 3D-БЕЗПЕКИ? ?

Ця система надсилає одноразовий код через SMS на телефон платника, який повинен зареєструвати його на сайті продавця, щоб завершити свою покупку за допомогою кредитної картки. У період з листопада 2018 року по квітень 2019 року за допомогою 3D-Secure було здійснено 43% операцій з онлайн-картками. Цей інструмент різко знижує рівень шахрайства: він переходить від 0,173% (1 € шахрайства за 578 € оплати) для всіх віддалених платежів (із 3D-Secure або без нього), до 0,07% (1 € обманюється за € 1428 платежу) коли спрацьовує 3D Secure. Джерело: Обсерваторія безпеки платіжних інструментів, звіт за 2018 рік.

Після суворої процедури автентифікації, чи зможуть банки відмовити у відшкодуванні коштів клієнту у випадку шахрайства? ?

> Споживачі захищені Валютно-фінансовим кодексом, яка не змінена європейською директивою. Статті L 133-15 та наступні передбачають умови, за яких власникам відшкодовується у разі несанкціонованої операції. Однак банки змушують своїх клієнтів підписувати договір, який визначає, що платіжна картка є суворо особистою. Позичати його заборонено! Якщо хтось із близьких на пред'явника використовує його без їх відома, банк не відшкодує.

ДУМКА ЕКСПЕРТА Лос Мулен, директор з розвитку групи банківських карток CB

"Біометрична автентифікація буде пропонуватися банками, а не накладатися"

Споживачі вже досить звикли до автентифікації SMS, що надсилається на їх мобільний телефон. Обсерваторія безпеки платіжних засобів визначила з усіма гравцями графік, який буде поступово інтегрувати нові сильні методи автентифікації, підтримуючи покупців: очевидна більшість клієнтів і транзакцій повинні бути задіяні до грудня 2020 року, а всі - до червня 2022 року. Біометрія - один із методів, який банки можуть запропонувати своїм клієнтам. Однак його не можна накласти, як рекомендує CNIL. Споживачі, які не бажають його мати, матимуть у своєму розпорядженні інші технології, наприклад, введення PIN-коду в програму домашнього банкінгу на своєму смартфоні. Що стосується методів, заснованих на відбитках пальців або інших біометричних даних (око, голос, обличчя тощо), вони шифруються та зберігаються виключно в захищених компонентах смартфона або банківської картки. Ні торгові сайти, ні банки не мають до нього доступу.