Az Európai Unió Második Pénzforgalmi Irányelvének (Payment Services Directive, PSD2) egyik fő célja, hogy a fizetési folyamatok biztonságosabbak legyenek.
Az Európai Unió Második Pénzforgalmi Irányelvének (Payment Services Directive, PSD2) egyik fő célja, hogy a fizetési folyamatok biztonságosabbak legyenek. A PSD2-vel együtt az erős ügyfélhitelesítés (Strong Customer Authentication, SCA) is bevezetésre került, mely módszer magasabb szintű biztonságot eredményez az elektronikus fizetési műveletek során, az ügyfélélményt azonban negatívan befolyásolhatja. Ez utóbbi az a terület, ahol biometrikus azonosítással elérhető, hogy a hitelesítési folyamat során az erős védelem mellett az ügyfélnek a kényelemről se kelljen lemondania.
Az említett PSD2 szabályozás egész Európában kötelezővé teszi az SCA használatát olyan „hozzáféréshez használt eszközök” és „hozzáféréshez használt szoftverek” esetén, amelyeket az online számlák eléréséhez és a tranzakciók végrehajtásához használunk. Az SCA hatására a meglévő biztonsági elemek egy további szinttel egészülnek ki: a kétfaktoros hitelesítéssel. Ennek során az ügyfelek személyazonosságának ellenőrzéséhez rendelkezésre álló összesen három tényezőből mostantól kettőt kötelező lesz használni.
A három tényező a következő:
- tudás: valami, amit csak az ügyfél ismer, például a jelszava;
- eszközök: valami, amihez csak az ügyfél fér hozzá, például az okostelefonja vagy a számítógépe;
- személyes jellemzők: valami, ami egyértelműen azonosítja az ügyfelet, például az olyan biometriai jellemzői, mint az ujjlenyomata.
Egy kezdeményezett tranzakció csak akkor teljesül, ha a három tényező közül kettő ellenőrzése sikeres az ügyfél-hitelesítési folyamat során.
Az SCA ügyfélélményre gyakorolt hatásai
Az SCA bonyolultabbá teszi a hitelesítési folyamatot és ez kockázatokkal jár: minél nehézkesebb egy tranzakció, annál nagyobb az esélye annak, hogy a vásárlók a kényelmetlenség miatt félbehagyják a vásárlást. Pedig az ügyfélélmény talán még soha nem volt olyan fontos, mint most: több tanulmány is azt mutatja, hogy manapság a vállalatok közötti verseny kétharmadrészt az ügyfélélmény terén dől el.
E probléma megoldása és a vásárlók igényeinek kielégítése érdekében a kiskereskedők bizonyos esetekben “felmentést” kaphatnak az SCA használata alól. Az SCA például nem kötelező a 30 eurónál kisebb összegű online fizetések esetén. Az ismétlődő fizetések – például az állandó megbízások – esetében az ügyfélnek csak az első, általa kezdeményezett fizetésnél kell elvégeznie az SCA-hitelesítést (ha azonban az összeg később megváltozik, a hitelesítést ismét el kell végezni). Ezenfelül lehetőség nyílik „engedélyező listák” használatára is (whitelisting). Ilyen például, amikor egy ügyfél felvesz egy vállalatot a „megbízható kedvezményezettek” listájára, ezáltal a listán szereplő üzleti partnerekkel folytatott jövőbeli tranzakciók esetén nincs szükség az SCA hitelesítésre – függetlenül az összegektől és a tranzakciók gyakoriságától.
A biometria egyesíti a biztonságot és a kényelmet
A PSD2 és az SCA bevezetésének célja, hogy a vásárlók ne – vagy nehezebben – váljanak csalás áldozatává. Ha egy pillanatra figyelmen kívül hagyjuk az ügyfélélményre gyakorolt negatív hatást, fontos látni, hogy a kiberbűnözők mindent megtesznek azért, hogy megkerüljék az SCA részeként bevezetett biztonsági intézkedéseket.
A kiberbűnözők számos különböző támadás típust alkalmaznak, gyakran telepítenek például rosszindulatú szoftvereket a hitelesítési rendszerek megkerülése céljából. Népszerűek a pszichológiai manipuláción alapuló támadások is, melyek során hamis e-mailekkel veszik rá az áldozatokat személyes adataik megadására.
Fentiekből következően az SCA használatára kötelezett vállalatok komoly kihívással találják magukat szemben: a hitelesítésnek elég biztonságosnak kell lennie ahhoz, hogy megállítsa a kiberbűnözőket, ugyanakkor megfelelő ügyfélélményt kell nyújtania, méghozzá anélkül, hogy túlságosan megbonyolítaná a folyamatot. A biometrikus jellemzők ujjlenyomat- vagy arcszkenneléssel történő hitelesítése kiváló lehetőséget kínál ennek az egyensúlynak az elérésére. Az okostelefonra telepített alkalmazásokba például könnyen integrálható a kétlépcsős hitelesítési folyamat: beállítás után az ellenőrzés másodpercek alatt elvégezhető az ujjlenyomat vagy a mobiltelefon kamerája segítségével. Ne feledjük azt sem, hogy a biometrikus jellemzők gyakorlatilag hamisíthatatlanok, sem ellopni, sem elveszíteni nem lehet őket. Így amellett, hogy az ezeken alapuló hitelesítés használatával magas szintű biztonság érhető el, ez a módszer kiváló vásárlói élményt is biztosít, amely a vállalat márkája iránti hűséget is képes erősíteni.