Českou e-commerce letos čekají změny, kterým byste měli věnovat pozornost.

Jedná se zejména o změnu v ověřování online plateb, kam spadají platby kartou online, online bankovní tlačítka, a další podobné platební metody.

Od 14. září budou muset tyto platby probíhat v režimu tzv. silné autentizace (neboli ověření) klienta.

O co přesně se jedná a jaký dopad to bude mít na vás, provozovatele e-shopů a dalších prodejních webů?

Co znamená silné ověření klienta (SCA)?

Silné ověření klienta je bezpečnostní mechanismus, který si klade za cíl zásadním způsobem snížit riziko vzniku podvodů v důsledku kompromitovaného (uniklého, nebo zneužitého) hesla. Někdy se také setkáte s označením silná autentizace uživatele/zákazníka. V GoPay jej označujeme zkratkou SCA.

SCA spočívá v použití kombinace dvou ze tří bezpečnostních prvků (faktorů), díky kterým dojde k ověření platby zadávané na internetu. Tomuto ověření říkáme odborně dvoufaktorová autentizace (zkráceně 2FA).

Bezpečnostní faktory, které se při dvoufaktorové autentizaci kombinují, patří do těchto kategorií:

  • Znalost – něco, co uživatel zná, např. heslo, PIN, CVV kód ze zadní strany platební karty
  • Vlastnictví – něco, co vlastní, např. telefon, chytré hodinky
  • Jedinečnost – něco, čím uživatel je. Sem patří biologické prvky, např. otisk prstu, sken duhovky, fotka obličeje, atd.

silné ověření klienta

Proč je Silné ověření klienta třeba?

Samotná dvoufaktorová autentizace je metoda používaná u kritických aplikací déle než 20 let. Zpočátku se k tomuto účelu využívala jednoduchá hardwarová zařízení (např. SecureID tokeny), ať již ve tvaru přívěsků na klíče nebo platebních karet. Autentizace u těchto zařízení probíhala zadáním PINu nebo šestimístného čísla, které bylo známo pouze uživateli a které se periodicky měnilo na displeji zařízení. Tím se vytvořil vždy jednoznačný a časově omezený přístupový kód pro provedení určité operace. To však bylo technologicky i finančně náročné řešení, které zůstalo vyhrazeno pouze pro úzkou skupinu podnikových aplikací a běžné spotřebitele prakticky nezasáhlo.

Určitý přelom v dostupnosti této služby pak přinesl rozvoj mobilních technologií, kdy mobil dokázal odstranit závislost na relativně drahé a jednoúčelové technologii hardwarových tokenů a umožnil zasílání jednorázových přístupových kódů prostřednictvím SMS.

To se svého času ukázalo jako spolehlivé a přitom snadno dostupné řešení. Jedním kanálem (počítač) jste se přihlašovali k požadované aplikaci svým jménem a heslem a druhým nezávislým kanálem (mobil) jste obdrželi druhou část přihlašovacích informací. Na tomto principu dnes funguje notoricky známé ověření v systému 3D Secure při platbě kartou online. Pokud by se někdo zmocnil vašich přihlašovacích údajů, byly by mu stejně k ničemu, protože bez znalosti té jedné unikátní SMSky by přihlášení neproběhlo. Případný útočník by totiž potřeboval získat nejen vaše přihlašovací údaje, ale i váš mobil.

Bohužel, soumrak této metody nastává s masivním rozvojem chytrých telefonů. Problém spočívá v tom, že tyto telefony umožňují spuštění buď emulovaných nebo nativních aplikací místo dříve používaného počítače, čímž se ztrácí ona nezávislost dvou zabezpečovacích kanálů  – pokud se kdokoliv přihlašuje do aplikace z mobilu a na ten samý mobil přijde ověřovací SMSka, má dotyčný k jejímu obsahu neomezený přístup bez ohledu, jestli je oprávněný uživatel nebo ne. Tato forma ověření pak ztrácí smysl. Nemluvě o rozmachu podvodných aplikací, které si uživatel stáhne v domnění, že jsou neškodné, a ony pak dokáží ukrást přihlašovací údaje, např. do bankovních aplikací.

Nepoužívejte stejné heslo do více aplikací
Přestože bezpečnostní odborníci před užíváním jednoho hesla do více aplikací varují, stále se najdou uživatelé, kteří těchto doporučení nedbají. Dopady však mohou být fatální – pomocí ukradeného hesla z jedné aplikace se tak mohou útočníci pokoušet prolomit přihlašovací údaje v aplikaci zcela nesouvisející. Schválně, používáte jiné heslo na Facebooku, než třeba v internetovém bankovnictví? Je jasné, že si nejde pamatovat heslo do každé aplikace, kterou používáte. K takovým účelům dobře poslouží správce hesel.

Bude stačit současné potvrzení platby přes SMSku?

Určitě ne v takové míře, jak se používá dnes. SCA totiž v praxi naráží na dvě překážky – na shodu v názorech, do jaké kategorie konkrétní faktor spadá, a za druhé na požadavek na vzájemné nezávislosti kanálů, kterými se jednotlivé faktory ověřují. S tím, jak se blíží termín ostrého spuštění silné autentizace, se rozpoutala velmi intenzivní diskuze. Bohužel, názorové spektrum je poměrně široké a jak už to v takových případech bývá, bude pravděpodobně muset do věci vnést jasno regulátor, v tomto případě ČNB.

V GoPay se držíme výkladu, že použití SMS jako faktoru vlastnictví (tedy zařízení, které uživatel vlastní) není v rozporu se silnou autentizací, pokud je platba zadávána na jiném zařízení než na mobilním telefonu, který tuto SMS přijímá. Zrovna tak nezpochybňujeme biometrické faktory, pokud jsou použity k ověření platby a nikoliv jenom k odemčení telefonu. Problém je, že na trhu stále existuje značné množství mobilních telefonů, které s biometrikou pracovat neumí, a pro takové případy bude nutné připravit jiné řešení pro ověření zadávaných plateb.

Jak bude řešení SCA vypadat v praxi?

Je pochopitelné, že zdlouhavé opisování čísel z SMS je z pohledu uživatele mnohem méně komfortní než použití některého faktoru z kategorie Jedinečnost (biologické prvky, jako otisk prstu nebo sken obličeje), zejména v případě, kdy během jednoho sezení může docházet k vícenásobnému provedení silné autentizace klienta. Je však nutné si uvědomit, že na trhu je stále značné procento mobilních telefonů, které ověření pomocí otisku prstu nebo skenu obličeje neumožňují.

Musím jako provozovatel e-shopu SCA řešit?
Technologicky zajistíme silnější ověření my v GoPay (zejména u plateb kartou), nebo banka zákazníka (online bankovní tlačítka). Po technické stránce tedy SCA řešit nemusíte. Avšak mějte na paměti, že umožnit silné ověření plateb bude pro e-shopy povinné. Proto se včas informujte od svého poskytovatele platební brány, zda na novém řešení pracuje. Po spuštění silné autentizace se také připravte na větší množství dotazů ze strany platících zákazníků, kteří na změnu v placení nebudou připraveni.

Tím jsme se dotkli dalšího tématu, které norma pro silnou autentizaci přináší. Samotná silná autentizace provedená při přihlášení uživatele do sezení (session) totiž nemění nic na požadavku provádět silnou autentizaci i při dalších operacích v rámci tohoto (již autentizovaného) sezení. Jedná se především o iniciování platby nebo využívání služby informování o účtu, případně při úkonech, které nesou riziko podvodu nebo zneužití, jako je např. změna hesla.

Aby se vaši zákazníci neuheslovali, může váš poskytovatel platebních služeb (např. GoPay) uplatnit celou řadu výjimek z silné autentizace, např:

  • silné ověření bude probíhat u transakcí týkajících se menších částek, tj. jedna platba nepřevyšuje 30 EUR, počet plateb od posledního silného ověření nepřesáhl 5 a kumulovaná částka 100 EUR
  • úhrady mezi účty té samé osoby jsou prováděny v rámci jednoho peněžního ústavu
  • služba informování o účtu se dotazuje pouze na transakce provedené maximálně za posledních 90 dní
  • jedná se o opakované platby stejnému příjemci (e-shopu) a ve stejné částce
  • příjemce platby (e-shop) je uživatelem označený jako důvěryhodný příjemce
  • transakce je poskytovatelem platebních služeb (např. GoPay) považována za transakci s nízkou mírou rizika
  • platební transakce není iniciována plátcem (zákazník), ale příjemcem platby (e-shop)

Jak změna ovlivní placení na e-shopech?

Zejména poslední tři výjimky vytváří dostatek prostoru, abychom vymysleli takový způsob silného ověření, které bude splňovat všechny náležitosti, ale zároveň bude pro platícího zákazníka dostatečně pohodlný. V žádném případě nechceme, aby se zákazníci „uheslovali“, nebo aby platba online, která má trvat max. pár vteřin, vyžadovala více pozornosti nebo času.

Konkrétní řešení zatím promýšlíme a dále vás budeme průběžně o problematice SCA informovat.

O čem jsme ještě psali

Zbyněk Eiselt

Zbyněk u nás dohlíží na to, abychom byli v souladu se všemi zákony, směrnicemi a nařízeními, která se na nás valí ze všech stran. Díky své dosavadní životní praxi rozumí nejen náročnému jazyku práva, ale i celé řadě technických oborů, jako je bezpečnost nebo programování. Ve volném čase se věnuje sportu, podle ročního období horskému kolu nebo lyžování, a pořád u toho něco fotí.