Brett McDowell,FIDO联盟执行董事
根据支付服务指令 2 (PSD2) 是否允许屏幕抓取,即使作为后备选项
? FIDO 联盟一直在密切关注欧盟委员会 (EC) 和欧洲银行管理局 (EBA) 之间关于这一主题的讨论,因为它与 关于强客户身份验证 (SCA) 的监管技术标准 (RTS) 在 PSD2 下。 我在上周给欧盟委员会和欧洲议会的一封信中详细介绍了FIDO联盟对这个问题的回答,其要点总结如下(您可以阅读完整的信函
这里
)。
“屏幕抓取”是指第三方支付发起服务提供商 (PISP) 和账户信息服务提供商 (AISP) 使用客户的用户名和密码凭据代表客户访问银行账户的做法。 这种做法在EBA的RTS最终草案中被禁止。 然而,一些金融科技公司正在挺身而出,并报告说,银行普遍缺乏实施更新、更安全的委托访问控制方法的准备。 因此,
欧盟委员会现在敦促EBA允许公司使用屏幕抓取作为更安全方法的“后备选项”
,例如应用程序编程接口(API)。
由于它涉及客户密码的共享和使用,因此 FIDO 联盟认为支持屏幕抓取存在三个主要问题:
- 它不符合 PSD2 中要求的安全要求。
- 它使消费者面临更大的风险。
- 任何第三方可以“像消费者一样登录”的方法都会使各方都处于危险之中。
我们没有看到任何方法可以将 EC 要求的屏幕抓取方法实施到 PSD2 所要求的增强安全级别。 对于消费者来说,有更安全的方式来委托对其银行账户的访问,包括受强客户身份验证凭据保护的 API。 这些 API 解决方案基于 OAuth 2.0 和 OpenID Connect (OIDC) 等经过验证的全球标准,不仅具有提供更好的安全性,还具有更好的隐私性。 他们允许消费者授予对其银行账户的访问权限,并共享一些详细信息,但不能共享其他详细信息。 当与用于强身份验证的 FIDO 标准配合使用时,基于 API 的解决方案将获得基于设备的多因素身份验证的优势,与在表单中键入代码相比,使用者更安全、更易于使用。
在某种程度上,欧盟委员会认为在银行加快 PSD2 的速度时需要支持屏幕抓取等“后备选项”,我们建议通过对 RTS 的政策豁免而不是在 RTS 本身中更好地解决这个问题。 就其性质而言,RTS是一项重要的技术标准,将在未来几年内指导市场。 因此,RTS应专注于为SCA和PSD2下的通用和安全通信设定高标准,而不是阐明利益相关者在消费者保护政策这一历史性进步下逃避其责任的方法。 在RTS本身中加入“后备选项”会淡化其信息,破坏PSD2的意图及其对SCA的要求,并使消费者面临更大的风险。
要阅读布雷特致欧盟委员会和欧洲议会的完整信函,
请单击此处
。
