אימות מוגבר
עקרונות ליישום האימות המוגבר
בשנים האחרונות חלה התפתחות משמעותית בתחום התשלומים בישראל אשר הביאה לפיתוח מגוון של אמצעי תשלום חדשניים. לצד היתרונות בשימוש באמצעי התשלום המתקדמים, ישנם גם סיכונים שאליהם הלקוח ובית העסק עשויים להיות חשופים, כגון הונאות, גניבת זהויות, זיופים, שימוש לרעה וכו'. על מנת לצמצם סיכונים אלו ולהגביר את התחרות והחדשנות יש צורך לקבוע סטנדרטים ועקרונות ברורים לגבי האופן שבו ניתן יהיה לאמת את זהותו של הלקוח ברמת וודאות גבוהה.
עקרונות האימות המוגבר מתבססים על התהליך שנקבע לאימות מוגבר באיחוד האירופאי, כאשר יישום האימות המוגבר יתבסס על שני מרכיבים או יותר מתוך הקטגוריות הבאות:
- ידע (“Something You Know” – משהו שאתה יודע) – מידע שרק המשתמש יודע.
- החזקה (“Something You Have”– משהו שיש לך) – משהו שרק למשתמש יש. החזקה אינה מתייחסת רק להחזקה פיזית, אלא יכולה גם להתייחס להחזקה שאינה פיזית.
- משהו מובנה (“Something You Are”– משהו שהוא אתה) – בקטגוריה זו נכללים מאפיינים ביולוגיים, התנהגותיים וביומטריים.
כלומר, על מנת שיתבצע אימות מוגבר, יש צורך לזהות את המשתמש על ידי 2 מרכיבים או יותר, כאשר כל מרכיב הינו מקטגוריה אחרת. נוסף על כך, חלה החובה שמרכיבים אלו יהיו בלתי תלויים אחד בשני כך שפגיעה באחד לא תפגע במהימנות השני וסודיות המידע תישמר.
להלן המרכיבים בכל קטגוריה שיכולים להיחשב כפרט אימות מוגבר:
ידע (“Something You Know”) – משהו שאתה יודע:
מספר |
המרכיב |
פרט אימות מוגבר |
1 |
סיסמה |
כן |
2 |
PIN |
כן |
3 |
תבנית זיכרון |
כן |
4 |
OTP |
כן |
5 |
כתובת דואר אלקטרוני |
לא |
6 |
שם משתמש |
לא |
7 |
פרטי כרטיס האשראי המודפסים עליו |
לא |
8 |
מספר תעודת זהות |
לא |
* יישום מרכיבים אלו צריך לכלול אמצעים לצמצום החשיפה שלהם לגורם לא מורשה.
החזקה (“Something You Have”) –משהו שיש לך:
מספר |
המרכיב |
פרט אימות מוגבר |
1 |
החזקת מכשיר שאומת באמצעות יצירה או קליטה של One-Time Password |
כן |
2 |
החזקת מכשיר שאומת באמצעות חתימה (חומרה או טוקן תוכנה) |
כן |
3 |
החזקת מכשיר או כרטיס שאומת באמצעות QR - מקור חיצוני הקורא את קוד ה-QR מהכרטיס או מהמכשיר המאומת – זיהוי ייחודי. |
כן |
4 |
אפליקציה או דפדפן שאומת על ידי קישור המכשיר - קישור ייחודי בין המכשיר לאפליקציה\דפדפן. |
כן |
5 |
החזקת כרטיס חיוב שאומת באמצעות Point Of Sale |
כן |
6 |
החזקת כרטיס חיוב המאומת בקוד דינאמי |
כן |
7 |
החזקת איי מייל שאומת באמצעות One-Time Password |
כן |
8 |
החזקת קו נייח שאומת באמצעות One-Time Password |
כן |
9 |
אפליקציה המותקנת במכשיר |
לא |
10 |
החזקת כרטיס חיוב המאומת על ידי הפרטים המודפסים עליו |
לא |
11 |
החזקת כרטיס חיוב המאומת על ידי פרט מודפס אחר |
לא |
* יישום מרכיבים אלו צריך לכלול אמצעים למניעת שימוש לא מורשה במרכיב או ביכולת לשכפלו.
משהו שהוא אתה (“Something You Are”):
מספר |
המרכיב |
פרט אימות מוגבר |
1 |
טביעת אצבע |
כן |
2 |
זיהוי קול |
כן |
3 |
זיהוי של יד ופנים |
כן |
4 |
סריקה של רשתית העין |
כן |
5 |
זיהוי לפי תבנית הקלדה - הכוונה לאופן ההקלדה (קצב, עוצמה וכו') לא לתבנית עצמה (אשר יכולה להיחשב כאלמנט ידע). |
כן |
6 |
קצב לב או תבנית תנועת גוף אחרת |
כן |
7 |
הזווית בה המכשיר מוחזק |
לא |
8 |
מידע המשודר באמצעות פרוטוקול תקשורת |
לא |
9 |
תבנית זיכרון |
לא |
* יישום מרכיבים אלו צריך להתבצע באופן שיוביל לסבירות נמוכה כי גורם לא מורשה יאומת כמשלם.
כללים ומרכיבים אלו, המשקפים את המצב הידוע היום, הינם מרכיבים אפשריים שניתן לעשות בהם שימוש לצורך האימות המוגבר וכל נותן שירותי תשלום יכול לבחור את המרכיבים הרלוונטיים מבחינתו (בהתאם לניהול הסיכונים שלו), זאת בהתאם לעיקרון שיש לעשות שימוש בלפחות 2 מרכיבים או יותר מתוך 3 הקטגוריות.
כללים ומרכיבים אלו אינם מהווים רשימה סגורה וצפויים להתעדכן מפעם לפעם, בהתאם לשינויים בטכנולוגיה, שינויים בסוגי ההונאות ושינויים בצרכי השוק. משכך:
- מרכיב ששימש לאימות בקטגוריה אחת אינו יכול לשמש כמרכיב בקטגוריה אחרת. כך למשל, OTP יכול להיחשב כמרכיב ידע או החזקה אך לא כשניהם באותה עסקה.
- השימוש בשני המרכיבים בתהליך האימות יכול להתבצע באותו מכשיר שבו החלה העסקה. כלומר, אין חובה להשתמש בשני מכשירים שונים מתחילת התהליך ועד סופו.
- תהליכי האימות אינם חייבים להיות חשופים למבצע התשלום ויכולים להתבצע מ"אחורי הקלעים" ובלבד שהעסקה תירשם כעסקה שבוצעה באימות מוגבר.
פרוטוקול 3D Secure
פרוטוקול - 3D Secure הינו פרוטוקול אשר מספק שכבת אימות נוספת ללקוח וזאת במטרה להפוך עסקאות מסחר דיגיטלי למאובטחות יותר בזמן אמת. הפרוטוקול מאפשר להחליף נתונים בין המנפיק, בית העסק, ובעת הצורך גם, הלקוח, כדי לאשר כי הבעלים החוקי של החשבון יזם את העסקה .
פרוטוקול 3-D Secure הינו טכנולוגיה התומכת באפשרות לבצע, בהתאם לפרופיל וניהול הסיכונים של כל מנפיק, תהליך אימות מוגבר של מבצע התשלום העומד בסטנדרטים שנקבעו על ידי ה-EBA (Strong Customer Authentication).
פרוטוקול 3D Secure גרסה 2.2 ומעלה הינו דור חדש של הפרוטוקול התומך בתהליך זה וכולל מגוון פרמטרים ושיטות של אימות מוגבר, כגון: מיקום המשתמש בעת ביצוע העסקה, אופי העסקאות הקודמות שביצע, גובה התשלום בעסקאות קודמות, סוג המטבע שבו נעשה שימוש, מידע ספציפי אודות המכשיר שממנו בוצעה העסקה, מידע אודות הדפדפן לרבות כתובת ה-IP ועוד. לאור שקלול הנתונים מעריך הפרוטוקול את הסיכון בעסקה ובהתאם לכך יכול לבקש ממבצע התשלום פרטים ותהליכי אימות נוספים (לדוגמה: OTP) על מנת לאמת את זהותו. בתהליך אימות המבוסס 3-D Secure מסר האימות יהיה דינאמי כך שסכום העסקה ובית העסק יוצגו למשלם.
תהליכים אלו בפרוטוקול יכולים למעשה לזהות את המשלם ולאמת את זהותו, ברקע, מבלי שהמשלם ידע שהאימות מתבצע (לדוגמה: זיהוי המכשיר הספציפי שממנו מתבצע התשלום ושהמשלם הוא זה שביצע את הכניסה לאותו מכשיר באמצעות קוד או זיהוי ביומטרי אחר).
עסקה המאומתת באמצעות פרוטוקול 3D Secure מגרסה 2.2 ומעלה יכולה להיחשב כעסקה שבוצעה בתהליך של אימות מוגבר של מבצע התשלום, נדגיש כי ביישום המנגנון נדרש ליישם מנגנונים העומדים ב- Strong Customer Authentication, כלומר שימוש בשני מרכיבים מקבוצות שונות לפחות, זאת בהתאם למקובל בעולם.
יובהר כי מדובר בהסכמות בין השחקנים בשוק ואין בפרסום העקרונות כדי להעיד על עמדת המאסדרים של השחקנים, לרבות הפיקוח על הבנקים, או כדי לפגוע או לצמצם את סמכויות הפיקוח והאכיפה שלהם.
מידע זה יעודכן מעת לעת בהתאם לשינויים ולהתפתחויות בתחום.
המידע המופיע בדף מעודכן נכון ליום: 03.01.2023