EU verplicht tweestapsverificatie bij online betalingen
794 miljoen euro ging sinds 2012 in rook op dankzij online kredietkaartfraude. Ondanks regelgeving blijft online betalen in de Europese Unie over het algemeen te onveilig, en daar moet verandering in komen. Dat is de mening van de Europese Bank-autoriteit (EBA), de instelling verantwoordelijk voor het reguleren van en het toezicht op de banksector.
De EBA heeft al enkele richtlijnen voor online betalen in voeging sinds 2013, maar die lijken in realiteit te beperkt. De ingang van nieuwe, strakkere richtlijnen staat gepland voor 2017 en 2018, wat dan weer niet snel genoeg is voor de instelling. Daarom stelde de EBA enkele nieuwe richtlijnen op die ingaan op 1 augustus 2015.
[related_article id=”161920″]
Vanaf dan moeten alle zogenaamde betalingsserviceproviders aan strengere regels voldoen. Die providers vormen de link tussen de website waar je dingen koopt en je bank. Concreet wordt authenticatie in twee stappen verplicht, iets wat bij ons al meestal gebeurt. Met de nieuwe richtlijnen wil de EBA het vertrouwen in de online markt herstellen.
Details
Omdat Europa van regeltjes en bureaucratie houdt, specificeert de EBA zelfs wat authenticatie in meerdere stappen precies betekent. voor de IT-professionals die er nog nooit van gehoord hebben: de authenticatie moet stoelen op twee of meer onafhankelijke elementen, zoals iets wat de gebruiker weet (wachtwoord), iets wat hij bezit (zoals een token), of iets wat hij is (biometrische data zoals een vingerafdruk). De elementen moeten los van elkaar staan zodat toegang tot één van de stappen nooit kan leiden tot het kraken van de tweede stap.
Tot slot benadrukte de EBA dat ook de systemen om die authenticatie uit te voeren robuust moeten zijn. Ze moeten immers de betrouwbaarheid van het systeem en de veiligheid van de ingetypte gegevens garanderen.