브렛 맥도웰(Brett McDowell), FIDO 얼라이언스 전무이사
결제 서비스 지침 2(PSD2)에 따라 대체 옵션으로도 화면 스크래핑을 허용해야 합니다.
? FIDO 얼라이언스는 유럽연합 집행위원회(EC)와 유럽은행감독청(EBA) 간의 이 주제에 대한 논의를 면밀히 관찰해 왔습니다. 강력한 고객 인증(SCA)에 대한 규제 기술 표준(RTS) PSD2에서. 필자는 지난주 유럽연합 집행위원회와 유럽의회에 보낸 서한에서 이 질문에 대한 FIDO 얼라이언스의 답변을 상세히 설명했으며, 그 핵심 사항은 아래에 요약되어 있습니다(전체 서한을 읽을 수 있습니다
여기
).
“스크린 스크래핑”은 제3자 결제 개시 서비스 제공업체(PISP) 및 계좌 정보 서비스 제공업체(AISP)가 고객의 사용자 이름 및 비밀번호 자격 증명을 사용하여 고객을 대신하여 은행 계좌에 액세스하는 관행입니다. 이 연습은 EBA의 최종 초안 RTS에서 금지되었습니다. 그러나 몇몇 핀테크 기업들이 나서서 은행들이 더 새롭고 안전한 위임 액세스 제어 방법을 구현할 준비가 되어 있지 않다고 보고하고 있습니다. 그 결과, EC는 이제 EBA에 기업이 애플리케이션 프로그래밍 인터페이스(API)와 같은 보다 안전한 방법에 대한 “대체 옵션”으로 스크린 스크래핑을 사용할 수 있도록 할 것을 촉구
하고 있습니다.
고객 비밀번호의 공유 및 사용과 관련이 있기 때문에 FIDO Alliance는 화면 스크래핑을 승인하는 데 세 가지 주요 문제가 있다고 생각합니다.
- PSD2에서 요구하는 보안 요구 사항을 충족하지 않습니다.
- 이는 소비자를 더 큰 위험에 빠뜨립니다.
- 제3자가 “소비자인 것처럼 로그인”할 수 있는 모든 접근 방식은 모든 당사자를 위험에 빠뜨립니다.
EC에서 요청한 스크린 스크래핑 접근 방식을 PSD2에서 요구하는 향상된 보안 수준으로 구현할 수 있는 방법은 없습니다. 소비자가 은행 계좌에 대한 액세스 권한을 위임할 수 있는 훨씬 더 안전한 방법이 있으며, 여기에는 강력한 고객 인증 자격 증명으로 보호되는 API가 포함됩니다. OAuth 2.0 및 OIDC(OpenID Connect)와 같은 입증된 글로벌 표준을 기반으로 하는 이러한 API 솔루션은 더 나은 보안뿐만 아니라 더 나은 개인 정보 보호를 제공하는 추가 이점이 있습니다. 소비자가 은행 계좌에 대한 액세스 권한을 부여하고 일부 세부 정보를 공유할 수 있지만 다른 세부 정보는 공유할 수 없습니다. 강력한 인증을 위해 FIDO 표준과 함께 사용할 경우 API 기반 솔루션은 소비자가 양식에 코드를 입력하는 것보다 더 안전하고 사용하기 쉬운 장치 기반 다단계 인증의 이점을 얻을 수 있습니다.
EC가 은행이 PSD2를 사용하는 동안 스크린 스크래핑과 같은 “대체 옵션”을 지원해야 한다고 생각하는 한, RTS 자체보다는 RTS에 대한 정책 면제를 통해 이 문제를 해결하는 것이 더 나을 수 있다고 제안합니다. RTS는 본질적으로 향후 몇 년 동안 시장을 안내할 중요한 기술 표준입니다. 따라서 RTS는 소비자 보호 정책의 역사적인 발전에 따라 이해 관계자가 책임을 회피할 수 있는 방법을 명확히 설명하지 않고 PSD2에 따라 SCA 및 공통적이고 안전한 통신에 대한 높은 점수를 설정하는 데 중점을 두어야 합니다. RTS 자체에 “대체 옵션”을 포함하면 메시지가 희석되고 PSD2의 의도와 SCA에 대한 요구 사항이 훼손되며 소비자가 더 큰 위험에 처하게 됩니다.
브렛이 유럽연합 집행위원회와 유럽의회에 보낸 서한의 전문을 읽으려면
여기를 클릭하십시오
.
