このホワイトペーパーでは、サードパーティプロバイダーとアカウントサービス決済サービスプロバイダーの相互作用内で適用できるさまざまな認証モデルを検証します。 PSD2のStrong Customer Authentication要件を満たす方法で、これらのモデルのいずれにおいても、ユーザーエクスペリエンスを簡素化するソリューションとしてFIDO標準を提案している。

PSD2がヨーロッパで展開されると、ユーザーはサードパーティプロバイダー(TPP)が提供するサービスを利用して、支払いをトリガーしたり、アカウント情報を表示したりできるようになります。 これらのユーザーは、通常、TPP のユーザー インターフェイスで対話を開始します。 ただし、TPP がアカウント サービス ペイメント サービス プロバイダー (ASPSP) からユーザーのアカウントへのアクセスを要求する時点で、強力な顧客認証 (SCA) に関する PSD2 規制技術基準 (RTS) では、ユーザーが ASPSP によって強力に認証され、TPP が実行を要求している操作に同意したことを証明する必要があります。

強力な顧客認証要件は、ユーザーとその銀行の2つの当事者だけでなく、3つの当事者が関与するため、顧客体験に課題をもたらします。 エンド・ユーザー・ジャーニーは、TPPのユーザー・インターフェースで始まり、TPPのユーザー・インターフェースで終わります。

TPPは、オープンAPIを介してASPSPとインターフェースします。 英国のOpen Banking Implementation Entity(OBIE)、フランスのSTET、欧州各国のBerlin Groupなど、多くの標準化団体がこのようなオープンAPIの草案を公開しています。

これらの仕様では、強力な顧客認証の実装方法が説明されており、(まだ)完全には指定されていないにしても、リダイレクト、分離、埋め込みモデルなど、いくつかのモデルが定義されています。 このホワイト ペーパーのリリース時点では、潜在的な委任モデルについても議論されています。 これらのモデルは、ユーザーが TPP と ASPSP を操作する方法が異なり、ユーザー エクスペリエンスとユーザーの金融口座のセキュリティの両方に深い影響を与えます。

このホワイトペーパーでは、さまざまなSCA準拠の認証モデルの長所と短所を検証し、FIDO準拠のソリューションがTPPとASPSPのニーズを満たす方法で、これらのモデルのいずれにおいても最高のユーザーエクスペリエンスを提供する方法について概説します。