Przejdź do zawartości

Co to jest silne uwierzytelnienie?

 

Silne uwierzytelnienie – SCA (z ang. Strong Customer Authentication) oznacza sposób weryfikowania tożsamości klienta usług płatniczych (np płatność kartą) podczas wykonywania poszczególnych operacji, który ma na celu zapewnienie maksymalnej ochrony poufności danych. Silne uwierzytelnienie polega na zastosowaniu dwuetapowego procesu weryfikacji tożsamości użytkownika, wykorzystując co najmniej dwie z trzech różnych kategorii:

  • wiedza (coś, co wie wyłącznie użytkownik) – login i hasło do logowania w bankowości internetowej, PIN do aplikacji mobilnej, PIN do karty kredytowej/debetowej, kod BLIK, hasło do bankowości telefonicznej. Sam login do bankowości elektronicznej, nadany przez bank, nie spełnia wymogu „wiedza” z uwagi na to, że występuje np. w dokumentacji zawarcia umowy i może być znany choćby pracownikom banku.
  • posiadanie (coś, co ma wyłącznie użytkownik) – przedmioty, w posiadaniu których jest użytkownik: fizyczna karta płatnicza, komputer lub telefon (ze sparowaną aplikacją mobilną banku), zweryfikowane jako urządzenie zaufane, numer telefonu przypisany do kodów autoryzacyjnych SMS, kody z wiadomości e-mail (wykorzystywane na infolinii)
  • cecha klienta (coś, czym jest użytkownik) – oznacza unikalną właściwość dla konkretnego klienta, taką jak cechy biometryczne, odcisk palca (Touch ID) czy rozpoznawanie – skan twarzy (Face ID) lub tęczówki oka w aplikacji mobilnej

Możemy mówić o silnym uwierzytelnieniu wtedy, gdy niepowołana osoba, np. przestępca, uzyska dostęp do jednego z zastosowanych elementów kategorii, ale w następstwie tego nie osłabi wiarygodności innych elementów.

Najbardziej popularne jest wykorzystanie SCA dla transakcji kartą w internecie.  Obecnie większość banków w Polsce zaimplementowała najnowszą wersję tego mechanizmu (tzw. 3DS 2.0), który wspiera użycie mobilnej aplikacji banku w procesie płatności kartą w internecie (równiez w innej aplikacji mobilnej takiej jak Flowbird)

Czego moge się spodziewać w aplikacji Flowbird?

 

Dla Twojego bezpieczeństwa przy pierwszej płatności kartą "zapytamy" bank, który wydał Twoją kartę płatniczą, czy konieczne jest silne uwierzytelnienie tej transakcji. O tym czy SCA jest wymagane decyduje bank, może się więc zdarzyć, że bank nie będzię wymagała weryfikacji przy pierwszej transakcji ze względu na niską kwotę.  W tym wypadku transakcja nie będzie się różnić niczym od tej wykonanej obecnie.

Jeśli jednak bank będzie wymagał silnego uwierzytelnienia to w zależności od tego czy posiadasz aplikację mobilną banku czy nie - proces płatności może wyglądać inaczej.

Silne uwierzytelnienie bez użycia aplikacji Twojego banku

Zwykle proces ten oznacza otwarcie w oknie aplikacji Flowbird strony logowania do bankowości internetowej Twojej banku, po zalogowaniu, do której zostanie wysłany do ciebie jednorazowy kod SMS. Przepisanie kodu SMS w okno formularza w aplikacji pozwoli na dokończenie transakcji.  Niektóre banki zamiast logowanie do bankowości wymagają wpisania kodu wysłanego za pomoca SMS oraz kodu PIN do karty (tego samego, którego używać do płatności w sklepach stacjonarnych i wypłaty z bankomatu).

Operacja ta powinna być wykonana jednorazowo - kolejne płatności za parking nie powinny wymagać użycia tego procesu jednak ostateczna decyzja należy do Twojego banku.

Silne uwierzytelnienie z użyciem aplikacji Twojego banku

Jeśli posiadasz aplikację mobilną Twojego banku proces silnego uwierzytelnienia odbywa się zwykle w dwóch krokach

  • wyświetlenie ekranu banku w aplikacji z Flobbird z informację o konieczności zatwierdzenia transakcji w aplikacji
  • wysłanie do Ciebie wiadomości push z prośbą o potwierdzenie transakcji.

Po otwarciu wiadomości Push (i zalogowaniu się do aplikacji banku) otrzymasz informację o odbiorcy (flowbird) i kwocie transakcji jaka zostanie pobrana z Twojego konta.

Do potwierdzenia transakcji wymagany jest zwykle  Kod PIN do aplikacji (zwany czasem PIN-em mobilnym). Po potwierdzeniu transakcji w aplikacji banku musisz wrócić do aplikacji Flowbird i kliknąć odpowiednią opcje na ekranie

Jeśli nie otrzymałeś wiadomość push możesz po prostu zalogować się do aplikacji swojego banku i wejść do sekcji odpowiedzialnej za SCA. Dla przykładu:

  • w aplikacji mbank, sandander, Ca24 Mobile jest to  mobilna autoryzacja
  • w aplikacji Citi handlowy - Citi Mobile Token

Silne uwierzytelnienie z użyciem aplikacji mobilnej banku to operacja, która powinna być wykonana jednorazowo - kolejne płatności za parking nie powinny wymagać użycia tego procesu jednak ostateczna decyzja należy do Twojego banku.

Przykłady płatności karta z użyciem 3DS kartami kilku banków i fintechów

 

 

 

 

 

 

 

mbank

 

 

 

 

Santander

(przykład bez użycia aplikacji banku)

 

 

 

 

 

ING BANK

Skip to content