SCA (Strong Customer Authentication)
SCA (Strong Customer Authentication) to silne uwierzytelnianie klienta wymagające potwierdzenia tożsamości za pomocą co najmniej dwóch z trzech niezależnych elementów: wiedzy (np. hasło), posiadania (np. telefon) i cechy inherentnej (np. odcisk palca). Wymóg ten obowiązuje w Unii Europejskiej od 14 września 2019 roku na mocy dyrektywy PSD2 i ma na celu zwiększenie bezpieczeństwa płatności elektronicznych.
Definicja
Strong Customer Authentication zostało wprowadzone przez Europejski Urząd Nadzoru Bankowego (EBA) jako standard techniczny regulujący uwierzytelnianie w bankowości elektronicznej i płatnościach online. Mechanizm ten wymaga, aby elementy uwierzytelniające były ze sobą niezależne - naruszenie jednego nie może wpłynąć na wiarygodność pozostałych. W praktyce oznacza to, że tradycyjne logowanie samym hasłem nie spełnia już wymogów bezpieczeństwa.
SCA ma zastosowanie do płatności elektronicznych, logowania do bankowości internetowej oraz operacji uznanych za ryzykowne. Istnieją jednak wyjątki od obowiązku stosowania silnego uwierzytelniania, takie jak płatności poniżej 30 euro, transakcje u zaufanych beneficjentów, płatności o niskim ryzyku czy regularne płatności o tej samej kwocie na rzecz tego samego odbiorcy.
Jak dziala
Silne uwierzytelnianie klienta opiera się na połączeniu co najmniej dwóch z trzech niezależnych czynników uwierzytelniających. Każdy z tych elementów musi pochodzić z innej kategorii, aby zapewnić maksymalne bezpieczeństwo transakcji.
Trzy kategorie czynników uwierzytelniających to:
- Wiedza - coś, co tylko użytkownik zna (hasło, PIN, odpowiedź na pytanie bezpieczeństwa)
- Posiadanie - coś, co tylko użytkownik posiada (telefon komórkowy, token sprzętowy, karta płatnicza)
- Cecha inherentna - coś, czym użytkownik jest (odcisk palca, rozpoznawanie twarzy, skan tęczówki oka)
Procedura uwierzytelniania przebiega następująco: po wprowadzeniu pierwszego czynnika (np. hasła do aplikacji bankowej) system wymaga potwierdzenia drugim czynnikiem z innej kategorii (np. kodem SMS na telefon lub odciskiem palca). Elementy te muszą być dynamicznie powiązane z konkretną transakcją i kwotą, co uniemożliwia ich ponowne wykorzystanie przez osoby nieuprawnione.
Przyklad
Pan Marek chce wykonać przelew 5000 PLN ze swojego konta w bankowości mobilnej. Proces uwierzytelniania SCA wygląda następująco:
| Krok | Czynnik | Kategoria | Działanie |
|---|---|---|---|
| 1 | Hasło do aplikacji | Wiedza | Wprowadza 6-cyfrowy PIN |
| 2 | Odcisk palca | Cecha inherentna | Przykłada palec do czytnika w telefonie |
| 3 | Potwierdzenie | - | Przelew zostaje zrealizowany |
W praktyce pan Marek widzi na ekranie telefonu szczegóły transakcji (odbiorca, kwota 5000 PLN), następnie pojawia się komunikat "Potwierdź odciskiem palca". Po przyłożeniu palca do czytnika aplikacja wyświetla potwierdzenie wykonania przelewu. Gdyby pan Marek próbował zalogować się tylko hasłem bez drugiego czynnika, system nie pozwoliłby mu wykonać transakcji przekraczającej limity zwolnione z SCA.