概要
ドイツ全土の 140 の金融機関にフルサービス・プロセッサーを提供する PLUSCARD は、2021 年 6 月に Entersekt とそのパートナーである Netcetera と協力して、アプリベースの認証に代わる初の FIDO 認定サービスをヨーロッパで開始しました。 このソリューションでは、FIDO2セキュリティキーを使用して、最新のEMV 3DSプロトコルを活用したオンラインマーチャントとの支払いで自分自身を認証するオプションを顧客に提供します。
課題:モバイルデバイスなしでの認証
PLUSCARDは、セキュリティと使いやすさに関してPSD2規制にも準拠しているモバイルデバイスに依存せずに、オンライン取引で顧客を認証する方法を必要としていました。
PLUSCARDによる認証が必要なすべてのオンライン決済では、アカウントまたはカードデータが正当なカード所有者によって入力されたかどうかの確認が必要です。 オンラインで買い物客の身元を証明する方法はいくつかありますが、ほとんどの場合、モバイルアプリを使用する必要があります。 モバイルデバイスを持っていない、またはラップトップやコンピューターを介して支払いを行うことを好む顧客にとって、利用可能な安全な代替手段はほとんどありません。
会社概要
プラスカード:
ドイツ全土の140の金融機関向けのフルサービスプロセッサ
ネトセテラ:
デジタル決済ソリューションのマーケットリーダー
Entersekt:
強力な顧客認証のスペシャリスト
「認証が適切であれば、必ずしも顧客を引き付けることはできませんが、それが原因で顧客を失うことは絶対にありません。」
– Petra Silsbee 氏 (PLUSCARD、予防/紛争管理部門長)
FIDOへの道:PSD2準拠の選択肢を比較検討
EUでは、PSD2と強力な顧客認証(SCA)の導入により、顧客認証手続きがより複雑になっています。 この規制の下では、モバイルデバイスを介した処理は、より厳しい要件への準拠を保証すると同時に、消費者により良い決済体験を提供します。
多くの人がSMS OTPを使用することを選択しましたが、PLUSCARDは当初からセキュリティと使いやすさを優先し、当初は生体認証と組み合わせた独自のモバイルアプリを選択しました。 これにより、モバイルベースのユーザーのニーズは満たされましたが、コンピューターを好む顧客やコンピューターしかアクセスできない顧客にはギャップが残りました。 そのギャップを埋めるために、PLUSCARDはFIDO2セキュリティキーが規制を満たしているだけでなく、モバイルデバイスの所有に縛られておらず、セキュリティと使いやすさの両方に優れていると結論付けました。
また、PLUSCARDは、FIDOで一貫した認証と支払いのジャーニーを顧客に提供する機会を見出しました。 お客様は、 Googleセキュリティキーを使用してGoogle、Github、Twitterなどの他の一般的なサービスにログインできるだけでなく、アカウントへのログインや支払いも1回のショッピング体験で行えるようになりました。
FIDO2の実装:現在と将来
PLUSCARDは、EntersektおよびNetceteraと共同でFIDO標準を実装しました。
Entersektは、 FIDO アライアンスによって認定されたソリューションにFIDOサーバーを提供します。 PLUSCARDのカード所有者は、FIDOセキュリティキーを銀行に登録できます。 その後、セキュリティキーは顧客のクレジットカードにリンクされ、EMV 3DSを実装したオンラインマーチャントでのオンライン取引を簡単に認証するために使用できます。
これは、最新バージョンのEMV 3DSを実装しているすべてのオンラインマーチャントで機能します。 ただし、まだ最新バージョンに更新していないマーチャントには課題があります。
FIDO2は、ユーザーがデバイス上の生体認証やFIDOセキュリティキーなどの一般的なデバイスを活用して、フィッシングに強い暗号化セキュリティでオンラインサービスに対して認証できるようにする一連の強力な認証標準です。 FIDO2 仕様は、World Wide Web Consortium (W3C) の Web Authentication (WebAuthn) 仕様と、 FIDO アライアンス の対応する 認証器 Protocol (CTAP) です。
「認証は 1 回限りの投資ではなく、旅のようなものです」と、PLUSCARD の紛争管理部門責任者である Petra Silsbee 氏は述べています。
FIDO認証をサポートする最新バージョンのEMV 3DSを導入する加盟店が増えれば、チェックアウト認証プロセスにFIDOを組み込めるようになります。 より広範な採用が見込まれる中、PLUSCARDは独自のモバイルアプリをFIDOベースのオンデバイス認証オプションに置き換えようとしています。
貴重な教訓
「認証は 1 回限りの投資ではなく、旅のようなものです」と、PLUSCARD の紛争管理部門責任者である Petra Silsbee 氏は述べています。 「目標は、規制や要件に準拠するだけでなく、お客様に最高のサービスとエクスペリエンスを提供することです。利用可能なソリューションに興味を持ち、質問をし、以前の投資がニーズと期待を満たしていない場合は、最初からやり直すことを恐れないでください。」