Informacje o bankach,Serwisy transakcyjne
PSD2: Tylko 5 banków zadbało o wygodę logowania swoich klientów
Słowem wstępu…
W Artykule 10 regulacyjnych technicznych standardów (RTS) możemy przeczytać:
1. Dostawcy usług płatniczych mogą nie stosować silnego uwierzytelniania … gdy dostęp ogranicza się do jednej z wymienionych niżej pozycji w trybie online lub do obu tych pozycji bez ujawniania szczególnie chronionych danych dotyczących płatności:
a) salda jednego wyznaczonego rachunku płatniczego lub większej liczby wyznaczonych rachunków płatniczych;
b) transakcji płatniczych przeprowadzonych w ciągu ostatnich 90 dni za pośrednictwem jednego wyznaczonego rachunku płatniczego lub większej ich liczby.
Tłumacząc prostszym językiem, jeżeli po zalogowaniu do serwisu transakcyjnego przez przeglądarkę klient widzi jakiekolwiek informacje spośród poniższych (w aplikacjach mobilnych nie trzeba wykonywać większych zmian, o czym już pisałem we wpisie „logowanie do banku po wejścu psd2„) :
- numer konta,
- listę operacji na koncie, z których co najmniej jedna jest sprzed 90 dni,
- dane dot. odbiorców zaufanych,
- dane dot. przelewów zdefiniowanych,
- korespondencję klienta z bankiem itd.
, to należy stosować silne uwierzytelnienie przy logowaniu. Jedynym bezpiecznym, a przede wszystkim wygodnym rozwiązaniem jest powiązanie klienta z urządzeniem opisane w artykule 24 RTS’ów. Zaledwie 5 banków zdecydowało się na wdrożenie mechanizmu powiązania klienta:
- Alior Bank,
- Getin Bank,
- Idea Bank,
- mBank
- Santander Bank.
Jeśli nie, powiązanie urządzenia to co?
Kod SMS, mobilna autoryzacja lub token… Jest to jednak wymagane przy każdym logowaniu, więc jest bardzo niewygodnie – o czym dobrze wiedzą klienci dawnego BGŻ Optima.
Wśród niektorych banków pojawiła się również interpretacja, że wystarczy poprosić klienta o SMS przy logowaniu raz na 90 dni – takie rozwiązanie jest niewystarczające, poprawia bezpieczeństwo w niewielkim stopniu i jest niezgodne z wytycznymi opisanymi w RTS.
W weekend zaktualizuje wpis o informacje, czy wdrożono zapowiadane zmiany w 5 powyższych bankach.
[15-09-2019] Aktualizacja
Alior Bank
Getin Bank
Idea Bank
mBank
Santander
Pomimo zapowiedzi Santander prosi klientów o hasło i nie ma możliwości powiązania urządzenia.
logowanie, mobilna autoryzacja, mobilny token, powiązanie urządzenia, psd2, rts, silne uwierzytelnienie, sms, technicnze standardy, token
Najnowsze komentarze