Bezpieczeństwo w sieci, bezpieczeństwo płatności, ochrona naszych środków, to tematy, które nieodzownie towarzyszą nam już od kilku lat w parze z coraz to nowymi atakami, próbami przejęcia kont, wirusami czy phishingiem. Europejski Urząd Nadzoru Bankowego chce nam w tym pomóc i opublikował już gotowy projekt dyrektywy PSD2 (Payment Services Directive), który nałoży na banki nowe obowiązki, a pośrednio na nas.
Masz telefon z rootem? Możesz mieć problem z korzystaniem z bankowości elektronicznej
Pisaliśmy już wcześniej o niektórych zapisach PSD2, ale pojawić się w niej mają inne jeszcze ciekawsze zmiany, a dotyczące sposobu logowania do bankowości elektronicznej, które wymagać będzie silnego uwierzytelniania, przy operacjach, które mogłoby mieć wpływ na bezpieczeństwo naszych środków.
Silne uwierzytelnianie to konieczność korzystania z co najmniej dwóch elementów autoryzacyjnych, takich jak numeru rachunku, hasło jednorazowe lub autoryzacja biometryczna. Do tej pory wymagane to było podczas dokonywania przelewów, z chwilą wejścia dyrektywy będzie to też konieczne podczas logowania do systemu transakcyjnego.
Wyjątkiem będzie sytuacja, gdy sprawdzamy tylko saldo albo sprawdzamy transakcje z ostatnich 90 dni. Wyjątek nie będzie obowiązywał jeśli logujemy się po raz pierwszy albo gdy od ostatniego sprawdzania transakcji z użyciem silnego uwierzytelniania minęło więcej niż 90 dni.
Więc wszelkie inne panele dostępne w systemie transakcyjnym będą zablokowane, na przykład te gdzie dodajemy odbiorców czy gdzie zmieniamy własne dane i aby w nie wejść będziemy musieli dodatkowo potwierdzać jednym z tych trzech elementów autoryzacyjnych.
Kolejny zapis, który może się nie spodobać użytkownikom, którzy lubują się w modyfikacjach swoich urządzeń, nakłada obowiązek dla dostawców usług płatniczych do wprowadzenia mechanizmów, które będą blokować zrootowane urządzenia w procesie silnego uwierzytelniania.
Mechanizmy te stosowane są już dzisiaj przez niektórych dostawców i podczas korzystania z aplikacji, które używane są do pobierania płatności. Na zrootowanych urządzeniach nie skorzystamy na przykład z Android Pay, nie dokonamy płatności za kurs Uberem czy MyTaxi.
Zastanawiam się czy to naprawdę konieczne, tacy użytkownicy zwykle są bardzo świadomymi zagrożeń w sieci i mocno dbają o bezpieczeństwo, poza tym podejrzewam, że bez problemu poradzą sobie z blokadami. Istnieją przecież narzędzia, które ukrywają fakt zrootowania urządzenia. Poza tym PKO BP udowodniło już wcześniej z IKO, że da się stworzyć zabezpieczenia już na poziomie aplikacji, chroniące użytkowników nawet na smartfonach ze zmodyfikowanym systemem.
Ponadto regulacje te mają zacząć obowiązywać najwcześniej w listopadzie 2018 r. To jeszcze sporo czasu, przez półtora roku w dzisiejszych czasach wiele się może zmienić w technologiach i takie dyrektywy mogą już nie być na czasie.
Źródło: Bankier.pl
Photo: rsedlacek/Depositphotos
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu