Η Ευρωπαϊκή Αρχή Τραπεζών (European Banking Authority, EBA), ο οργανισμός της Ευρωπαϊκής Ένωσης που είναι επιφορτισμένος με την εποπτεία και την ρύθμιση του τραπεζικού τομέα, εξέδωσε ένα νέο σύνολο κατευθυντήριων γραμμών σχετικά με την ασφάλεια των πληρωμών μέσω του Ιnternet. Μεταξύ άλλων, οι νέες οδηγίες [PDF] φαίνεται να ζητούν από τους παρόχους υπηρεσιών πληρωμών (Payment Service Providers, PSP)  να εξασφαλίσουν ότι χρησιμοποιείται ταυτοποίηση (έλεγχος ταυτότητας) δύο παραγόντων (2FA) για την επαλήθευση της ταυτότητας και των προθέσεων όλων των πελατών στις online συναλλαγές. Η Ευρωπαϊκή Αρχή Τραπεζών ξεκίνησε να εργάζεται πάνω στις νέες κατευθυντήριες γραμμές τον Οκτώβριο, δρομολογώντας μια περίοδο διαβούλευσης με στόχο να συγκεντρώσει τις γνώμες και τις απόψεις των τραπεζών και των άλλων φορέων που εμπλέκονται στις χρηματικές συναλλαγές online.

Ο κύριος στόχος των κατευθυντήριων γραμμών είναι οι Πάροχοι Υπηρεσιών Πληρωμών, οι εταιρείες που βρίσκονται μεταξύ των ιστοσελίδων και των τραπεζών με στόχο να διευκολύνουν τις χρηματικές συναλλαγές – λογικά οι περισσότεροι θα γνωρίζετε τις εταιρείες PayPal και SagePay ενώ οι αναλυτές και οι παρατηρητές θεμάτων ασφαλείας θα αναγνωρίζουν ονόματα όπως αυτά των Heartland και WorldPay.

Οι απαντήσεις των περισσότερων από τους Πάροχους Υπηρεσιών Πληρωμών φαίνεται πως έγειραν σε μεγάλο βαθμό προς την κατεύθυνση να μην ακολουθήσουν τις κατευθυντήριες γραμμές, με τους περισσότερους ερωτηθέντες να προτιμούν να περιμένουν την αυστηρότερη ρύθμιση κατά την επικείμενη αναθεώρηση της οδηγίας για τις υπηρεσίες πληρωμών της ΕΕ (PSD2).

Επειδή η PSD2 δεν αναμένεται να τεθεί σε ισχύ μέχρι το 2016 ή το 2017, η Ευρωπαϊκή Αρχή Τραπεζών επέλεξε να ανακοινώσει τις δικές της οδηγίες νωρίς ώστε να εξασφαλίσει ότι οι πελάτες θα λάβουν την καλύτερη δυνατή προστασία σε μία εποχή που από ότι φαίνεται πως είναι άκρως επικίνδυνη για όσους αγοράζουν ή πωλούν online.

Το μεγαλύτερο μέρος των κατευθυντήριων γραμμών έχουν να κάνουν με την διασφάλιση των πληρωμών, απαριθμώντας πράγματα όπως η αξιολόγηση των κινδύνων, η ιχνηλασιμότητα και η αναφορά συμβάντων. Εστιάζουν πολύ βαθιά και στον πελάτη πάντως, με άφθονες οδηγίες για το είδος των πληροφοριών και των συμβουλών που πρέπει να παρέχονται στους πελάτες.

Το πιο ενδιαφέρον μέρος πάντως βρίσκεται στο τμήμα 7 των κατευθυντήριων γραμμών, στο οποίο φαίνεται να απαιτείται, με κάποιο μικρό περιθώριο ελιγμών, η  χρήση “ισχυρής ταυτοποίησης πελάτη”:

Η έναρξη πληρωμών στο διαδίκτυο, καθώς και η πρόσβαση σε ευαίσθητα δεδομένα πληρωμών, θα πρέπει να προστατεύονται από ισχυρή ταυτοποίηση πελάτη. Οι πάροχοι υπηρεσιών πληρωμών θα πρέπει να παρέχουν μια ισχυρή διαδικασία επαλήθευσης/ ταυτοποίησης του πελάτη, σύμφωνα με τον ορισμό που προβλέπεται στις παρούσες κατευθυντήριες γραμμές.

Πιο πάνω στο ίδιο έγγραφο, η φράση “ισχυρός έλεγχος ταυτότητας πελάτη” έχει οριστεί ως εξής:

Η ισχυρή ταυτοποίηση πελάτη είναι, για τους σκοπούς των συγκεκριμένων κατευθυντήριων γραμμών, μια διαδικασία που βασίζεται στη χρήση δύο ή περισσότερων από τα ακόλουθα στοιχεία – που είναι κατηγοροποιημένα ως γνώση, ιδιοκτησία και ενύπαρξη: i) κάτι που μόνο ο χρήστης γνωρίζει, π.χ. στατικό κωδικό πρόσβασης, κωδικός, προσωπικός αριθμό ταυτόποίησης ii) κάτι που μόνο ο χρήστης διαθέτει, π.χ. token, έξυπνη κάρτα,  κινητό τηλέφωνο iii) κάτι που ο χρήστης είναι, π.χ. βιομετρικό χαρακτηριστικό, όπως ένα δακτυλικό αποτύπωμα. Επιπλέον, τα στοιχεία που επιλέγονται θα πρέπει να είναι ανεξάρτητα μεταξύ τους, δηλαδή η παραβίαση του ενός να μην θέτει σε κίνδυνο το άλλο (άλλα). Τουλάχιστον ένα από τα στοιχεία που θα πρέπει να είναι μιας χρήσης και μη-αναπαραγόμενο (εκτός από την ενύπαρξη), και δεν μπορούν να κλαπούν κρυφά μέσω του διαδικτύου. Η ισχυρή διαδικασία ελέγχου ταυτότητας θα πρέπει να σχεδιαστεί με τέτοιο τρόπο ώστε να προστατευθεί η εμπιστευτικότητα των στοιχείων ταυτότητας.

Κατά αυτό τον τρόπο, η Ευρωπαϊκή Αρχή Τραπεζών ουσιαστικά υποχρεώνει τους Παρόχους Υπηρεσιών Πληρωμών να εισάγουν μία πλήρη και ορθή λύση ταυτοποίησης δύο παραγόντων (Two–Factor Authentication, 2FA) σε όλες τις τακτικές και μη χρηματικές συναλλαγές που πραγματοποιούνται στο Internet.

Με τις κατευθυντήριες γραμμές να αναμένεται να τεθούν σε ισχύ τον Αύγουστο του 2015, δεν υπάρχει χρόνος για ένα πραγματικά σημαντικό βήμα προς τα εμπρός στα επίπεδα ασφαλείας που εφαρμόζονται από τους περισσότερους χώρους και υπηρεσίες. Και δεν αποτελεί έκπληξη το γεγονός ότι η περίοδος διαβούλευσης συνάντησε τόσο μεγάλη αντίσταση από εκείνους που έχουν επιφορτιστεί με το έργο να φτιάξουν όλα αυτά τα πράγματα και να τα βάλουν σε μία σειρά.

Φυσικά τα παραπάνω αποτελούν απλώς “κατευθυντήριες γραμμές”, που όμως θα πρέπει να δείχνουν δόντια. Τουλάχιστον, θα βάλουν την ιδέα της πανταχού ισχυρής ασφάλειας μέσα στα κεφάλια των ανθρώπων που οικοδομούν τα συστήματα πληρωμών back-end που ουσιαστικά στηρίζουν τόσα πολλά πράγματα από αυτά που κάνουμε online.
Όλα αυτά θα οδηγήσουν σε ένα πολύ πιο ασφαλές μέλλον για όλους μας, αν και μένει να δούμε αν το μέλλον αυτό θα φτάσει πραγματικά τον ερχόμενο Αύγουστο.

Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.