为客户提供可信身份

在这种环境下,成为账户信息服务提供商 (AISP) 或支付发起服务提供商 (PISP) 至关重要,因为掌握客户关系是实现盈利的新途径。 其中的关键在于优先提供客户交易安全所需的可信身份。 我们的身份验证平台可以轻松提供这些可信身份。

是时候找准您在开放式银行生态系统中的位置了

希望充分利用支付服务指令2和开放式银行业务的银行必须决定其在市场中的定位。以下是三种可行的选项,其中每种都需要可信身份:

选项 1: 成为银行业务工具

专注于提供流动性、信用卡服务和基础设施。 大多数服务不会通过掌握客户关系的第三方提供。 只需要基本的支付服务指令2合规性。

选项 2: 合作模式

开发高级 API 模型,能够直接向消费者提供特定服务,并通过第三方合作关系向其他方提供。 这要求满足合规性,以及对特定客户数据可变现的访问权限。

选项 3: 全面产品

用您的品牌为消费者提供全方位的金融服务。 这可能需要对第三方产品进行一些私有标记。 但是可以清楚地掌握消费者关系。 这要求满足合规性、开放 API 以及开发或转售广泛的服务组合。

如何充分利用支付服务指令2

    强客户身份验证 (SCA)

    支付服务指令2合规性的基础

    支付服务指令2的关键要求之一是强客户身份验证 (SCA)。 由于用户名和密码不足以提供充分的安全性,因此新指令要求对所有电子交易进行双因素身份验证。 我们的身份验证解决方案可帮助您满足支付服务指令2要求,并确保透明流畅的用户体验。

    以下是创建强客户身份验证所需的关键要素。

    双因素身份验证 (2FA)

    强制使用两种独立的身份验证方法。 如果其中一种方法涉及智能手机或其他移动设备,则需要采取安全措施,以确保所使用的设备没有受到破坏。 Entrust 提供了范围最广的身份验证器,以便您为客户提供最适合的身份验证器。

    交易监控和欺诈保护

    支付服务指令2提到需要使用交易监控软件,可以在交易发生时分析风险。 我们的解决方案支持具有自适应功能的防欺诈工具。 付款金额、已知的欺诈情形、付款人/收款人位置和设备信誉等因素都可用于允许、质询或停止交易。

    动态关联

    黑客已经学会在合法的电子交易启动后介入其中,这就产生了动态关联的需求。 Entrust 解决方案能够将身份验证码与特定的交易金额和收款人进行关联。 如果在交易过程中金额或收款人发生变化,则会发出新的代码。 我们的解决方案可以采用 OTP 代码、移动推送通知或其他身份验证器等方式,同样确保交易安全。

    运行时应用程序自我保护 (RASP)

    移动支付应用程序激增为黑客创造了新的机会。 RASP 是一种推荐的协议,可用于检测应用程序的异常行为,并阻止应用执行进一步操作。 我们的 RASP 解决方案可强化移动应用程序代码,并允许其在运行时进行自我保护。 这可以防止黑客入侵和逆向工程。 此外,借助我们的 Enterust Identity Enterprise 客户端软件,应用程序或 SDK 只能对服务器的请求执行操作。 如果欺诈实体试图欺骗应用程序签署交易,交易验证将失败。

    安全通信 (SC) 要求

    PSD2 的另一大关键要求是安全通信 (SC)。 PSD2 合格网站身份验证证书 (QWAC) 是最高级别的身份验证,是保障付款或转账时用于传输私人数据的开放式银行 API 安全的必要条件。 该要求旨在为欧盟市场的用户带来更高透明度、责任感和身份验证。

    我们的 QWAC 安全通信解决方案支持 PSD2 合规性,同时为欧盟市场用户提供更高透明度、责任感和身份验证。

    为安全通信建立信任

    PSD2 要求扩展到了第三方提供商现有的验证要求,要求其购买名为 PSD2 QWAC 的专业 SSL/TLS 证书。 这些证书为保护敏感交易提供了最高级别的确信度和最强大的信任基础。

    交易监控和欺诈保护

    支付服务指令2提到需要使用交易监控软件,可以在交易发生时分析风险。 我们的解决方案支持具有自适应功能的防欺诈工具。 付款金额、已知的欺诈情形、付款人/收款人位置和设备信誉等因素都可用于允许、质询或停止交易。

    加密通信

    强大的加密功能结合高确信度,为第三方服务提供商和用户在线传输敏感数据提供高度的信心。 Entrust 提供的 PSD2 QWAC 使用了: RSA 加密算法、SHA-2 哈希算法和最低 2048 位大小的密钥,这一切都符合甚至超过在线交易加密的最低要求。

    如何平衡 PSD2 数据共享要求与 GDPR 准则

    这两项关键举措似乎存在矛盾。 PSD2 倡导共享客户数据,而 GDPR 则会对违反消费者数据隐私法规的组织处以严重的财务处罚。 未来监管机构可能会提供更直接的指导,但目前银行必须用自己的最佳判断来平衡这两项要求。 这意味着银行应该避免采用单独或孤立的方法来实施 GDPR 和 PSD2, 而是将其视为统一的计划,开发单一框架,能够同步提供客户数据,同时又保护数据免受黑客破坏。 如需这项重要平衡方案的更多帮助,请联系 Entrust 可信身份专家。

    立即申请演示

    Entrust Identity 产品组合专家很快将联系您说明相关选项。

    身份认证产品组合

    我们的身份产品组合功能:

    适合您验证需求的身份认证产品组合

    • 消费者
    • 员工
    • 公民

    消费者

    员工

    公民

    即刻联系我们