Silne uwierzytelnienie

1. Czym jest uwierzytelnienie?

Uwierzytelnienie oznacza procedurę umożliwiającą dostawcy usług płatniczych weryfikację tożsamości użytkownika usług płatniczych lub ważności stosowania konkretnego instrumentu płatniczego, łącznie ze stosowaniem indywidualnych danych uwierzytelniających tego użytkownika.

2. Czym jest silne uwierzytelnienie?

Silne uwierzytelnienie klienta oznacza uwierzytelnienie w oparciu o zastosowanie co najmniej dwóch elementów należących do kategorii:

• wiedza (coś, co wie wyłącznie użytkownik np. hasło logowania,numer karty płatniczej, kod CVV, kod PIN)
• posiadanie (coś, co posiada wyłącznie użytkownik np. telefon komórkowyz przypisanym numerem telefonu, na który przychodzą wiadomości SMS z kodami do autoryzacji lub aplikacja nPodpis)
• cechy klienta (coś, czym jest użytkownik - indywidualne cechy użytkownika np. biometria w tym odcisk palca lub skan siatkówki)

niezależnych w tym sensie, że naruszenie jednego z nich nie osłabia wiarygodności pozostałych, które to uwierzytelnienie jest zaprojektowane w sposób zapewniający ochronę poufności danych uwierzytelniających.

3. Kiedy należy stosować silne uwierzytelnienie?

1. Państwa członkowskie zapewniają, by dostawca usług płatniczych stosował silne uwierzytelnienie klienta, w przypadku gdy płatnik:
   • uzyskuje dostęp do swojego rachunku płatniczego w trybie online;
   • inicjuje elektroniczną transakcję płatniczą;
   • przeprowadza czynność za pomocą kanału zdalnego, która może wiązać się z ryzykiem oszustwa płatniczego lub innych nadużyć.
2. W odniesieniu do inicjowania elektronicznych transakcji płatniczych, o którym mowa w ust. 1 lit. b), państwa członkowskie zapewniają, by – w przypadku elektronicznych zdalnych transakcji płatniczych – dostawcy usług płatniczych stosowali silne uwierzytelnienie klienta obejmujące elementy, które dynamicznie łączą transakcję z określoną kwotą i określonym odbiorcą.
3. W odniesieniu do ust. 1 państwa członkowskie zapewniają, by dostawcy usług płatniczych wprowadzili adekwatne środki bezpieczeństwa w celu ochrony poufności i integralności indywidualnych danych uwierzytelniających użytkowników usług płatniczych.
4. Ust. 2 i 3 mają również zastosowanie, w przypadku gdy płatności są inicjowane za pośrednictwem dostawcy świadczącego usługę inicjowania płatności. Ust. 1 i 3 mają również zastosowanie, w przypadku gdy występuje się o podanie informacji za pośrednictwem dostawcy świadczącego usługę dostępu do informacji o rachunku.
5. Państwa członkowskie zapewniają, by dostawca usług płatniczych prowadzący rachunek zezwalał dostawcy świadczącemu usługę inicjowania płatności i dostawcy świadczącemu usługę dostępu do informacji o rachunku na poleganie na procedurach uwierzytelnienia zapewnianych przez dostawcę usług płatniczych prowadzącego rachunek użytkownikowi usług płatniczych zgodnie z ust. 1 i 3, a w przypadku gdy zaangażowany jest dostawca świadczący usługę inicjowania płatności – zgodnie z ust. 1, 2 i 3.

Bezpieczniejsze użytkowanie karty - zmiany wprowadzające silne uwierzytelnienie w kartach płatniczych.

Dla klientów, korzystających z kart płatniczych zostały wdrożone nowe procedury bezpieczeństwa stosowane przy płatnościach internetowych kartą, tzw. silne uwierzytelnienie.

Silne uwierzytelnienie klienta ma zwiększyć bezpieczeństwo korzystania z usług płatniczych oferowanych elektronicznie i tym samym ograniczyć możliwości wystąpienia oszustw związanych z tymi usługami.

Co się zmienia?

Brak konieczności aktywacji zabezpieczenia 3D Secure w portalu Kartosfera

• Jedną z bardziej widocznych dla Klientów zmian w funkcjonowaniu płatności internetowych jest brak konieczności dokonywania aktywacji usługi 3DSprzez Klienta. Niezależnie od tego, czy Klient kiedykolwiek rejestrował się w portalu Kartosfera,na kartach jest domyślnie włączona usługa 3D Secure z jednym czynnikiem uwierzytelnienia – kategoria „posiadanie” (tj. SMS na numer zarejestrowany w Banku).
• Nie naraża to Klienta na niechciane transakcje internetowe, ponieważ element uwierzytelnienia z kategorii „posiadanie” to kod jednorazowy SMS, wysyłany na numer telefonu zarejestrowany w Banku.

Ustanowienie drugiego czynnika uwierzytelnienia 3D Secure

• w Kartosferze pojawiła się zakładka „3DS”, zawierająca opcję ustanowienia kodu PIN do transakcji internetowych, stanowiącego element kategorii „wiedza”. Kod PIN jest ustalany przez Klienta jednorazowo i skutkuje dla wszystkich posiadanych kart oraz wydanych w przyszłości.
• Będzie także możliwość zmiany kodu PIN do transakcji internetowych w Kartosferze. Do końca roku transakcje w oparciu o jeden czynnik uwierzytelnienia (SMS) będą dopuszczane.Od początku 2021 roku, Klienci będą musieli zdefiniować w Kartosferze kod PIN, aby realizować transakcje z zabezpieczeniem 3D Secure.W przypadku, gdy Klient nie dokona ustanowienia kodu PIN do transakcji internetowych w Kartosferze, po 1 stycznia 2021 transakcja nie zostanie uwierzytelniona a tym samym nieskuteczna.

Realizowanie transakcji z uwierzytelnieniem 3D Secure

• Do końca roku 2020, Klienci którzy nie ustanowią kodu PIN do transakcji internetowych, będą realizowali transakcje tak jak do tej pory.Podczas transakcji otrzymają SMS z kodem do wprowadzenia na ekranie. System będzie wykrywał, czy Klient ustanowił drugi czynnik uwierzytelnienia i wyświetlał odpowiednio ekran z prośbą o wprowadzenie jednorazowego kodu SMS lub kodu PIN.
• Dla Klientów, którzy zalogują się do Kartosfery i ustanowią kod PIN do transakcji internetowych, przebieg uwierzytelnienia będzie zmodyfikowany:na pierwszym ekranie Klient zostanie poproszony o wprowadzenie kodu PIN do transakcji internetowych, a dopiero po jego poprawnym wprowadzeniu, zostanie wysłany SMS i wyświetlony ekran z prośbą o wprowadzenie jednorazowego kodu SMS. Pojawi się także przycisk ponowienia wysłania kodu SMS.

Możliwe scenariusze przebiegu transakcji u Akceptanta z terenu EOG (Europejski Obszar Gospodarczy):

1. Klient, który nie jest zarejestrowany w portalu Kartosfera i nie ma ustalonego kodu PIN do transakcji internetowych w większości przypadków otrzyma wyświetloną na ekranie prośbę o zarejestrowanie się w portalu Kartosfera i tym samym konieczność wprowadzenia numeru telefonu. Nie będzie to jednak dotyczyć klientów, którzy mają w Banku wskazany numeru telefonu.
2. Klient, który jest zarejestrowany w portalu Kartosfera:
   1. ale, który nie zdefiniował kodu PIN do transakcji internetowych (jest opcjonalne do 1 stycznia 2021r.), otrzyma SMS i na tej podstawie zrealizuje transakcję,
   2. zdefiniował kod PIN w portalu Kartosfera.pl, otrzyma prośbę o podanie kodu PIN, po podaniu poprawnego PIN, zostanie poproszony o wpisanie otrzymanego kodu SMS.

Jeżeli Klient realizuje transakcję u Akceptanta spoza regionu EOG lub niedostosowanego do żadnego protokołu 3D Secure: brak uwierzytelnienia PIN oraz SMS - transakcja przebiegnie w oparciu o dane karty (numer, data ważności, CVC/CVV2).

WARTO WIEDZIEĆ

Zaufani Odbiorcy

• W portalu Kartosfera, pojawi sięlista wykonanych transakcji internetowych Klienta,w których doszło do uwierzytelnienia. Klient będzie mógł wykorzystywać tę listę, lecz nie jest to wymagane do poprawnego działania żadnego serwisu – jest to usługa całkowicie opcjonalna.
• Klient będzie mógł wybierać z listy uprzednio dokonanych uwierzytelnień i dokonywać oznaczenia danego Akceptanta jako Zaufanego, czyli nie wymagającego uwierzytelnienia przy kolejnych transakcjach. Przykładowo, gdy Klient regularnie wykonuje transakcje u określonego Usługodawcy, który nie umożliwia zapisania danych karty w swoim portalu, to będzie mógł oznaczyć danego Usługodawcę jako Zaufanego i kolejne transakcje wykonywać jedynie podając dane swojej karty, a transakcja przebiegnie szybciej. Usługa ta, może być także wykorzystana gdy Klient nie chce zapisywać danych swojej karty w obawie o potencjalny wyciek informacji. Klient będzie mógł określić maksymalną kwotę transakcji bez uwierzytelnienia, np. ustalając Zaufanego Akceptanta "zooplus.pl", do kwoty 150 zł, w efekcie czego autoryzacje na kwoty niższe od zdefiniowanej odbędą się bez uwierzytelnienia, zaś każda transakcja przewyższająca 150 zł będzie wymagała pełnego zestawu metod uwierzytelnienia stosowanych przez Bank, tj. kodu PIN i SMS. Klient też samodzielnie dokona usunięcia z listy zaufanych poprzez portal Kartosfera.

Logowanie do portalu Kartosfera

• Z uwagi na dostęp do niektórych informacji wrażliwych wKartosferze, tj. historia transakcji i Zestawień transakcji (Wyciągów) kart kredytowych,wprowadza się dwuskładnikowe uwierzytelnienie w logowaniu do Kartosfery.Każdorazowo, po wprowadzeniu hasła statycznego do portalu Kartosfera, Klientowi będzie wysłany SMS z hasłem jednorazowym na zarejestrowany numer telefonu.

Przypomnijmy jak zalogować się do portalu Kartosfera:

• Portal kartowy „Kartosfera” to system umożliwiający dostęp zarejestrowanemu Użytkownikowi portalu do wybranych usług i funkcjonalności dotyczących kart płatniczych za pomocą sieci Internet i przeglądarki internetowej.
• Aby zalogować się do portalu należy wejść na stronę internetową www.kartosfera.pl. Po wejściu na stronę portalu pojawi się okno do logowania.
• Jeśli logujesz się do portalu po raz pierwszy, kliknij w „Zarejestruj się”. Szczegóły znajdziesz w Podręczniku użytkownika.
• Jeżeli jesteś już zarejestrowany do portalu kartowego wejdź na stronę internetową www.kartosfera.pl, podaj PESEL lub login (jeżeli został nadany) oraz hasło, które ustaliłeś przy pierwszym logowaniu do portalu. Szczegóły znajdziesz w Podręczniku użytkownika.
• Podręcznik użytkownika

Do pobrania:

• Jak nadać PIN w Kartosferze?
• Uwierzytelnienie transakcji