이 백서에서는 제3자 공급자와 계정 서비스 결제 서비스 공급자의 상호 작용 내에서 적용할 수 있는 다양한 인증 모델을 살펴봅니다. 이 보고서는 이러한 모든 모델에 대해 PSD2의 강력한 고객 인증 요구 사항을 충족하는 방식으로 사용자 경험을 간소화하기 위한 솔루션으로 FIDO 표준을 제안합니다.

PSD2가 유럽에 배포되면 사용자는 제3자 제공업체(TPP)가 제공하는 서비스를 활용하여 결제를 트리거하거나 계정 정보를 볼 수 있습니다. 이러한 사용자는 일반적으로 TPP의 사용자 인터페이스에서 상호 작용을 시작합니다. 그러나 TPP가 ASPSP(Account Servicing Payment Service Provider)에 사용자 계정에 대한 액세스를 요청하는 시점에서 강력한 고객 인증(SCA)을 위한 PSD2 RTS(Regulatory Technical Standards)는 사용자가 ASPSP에 의해 강력하게 인증되고 TPP가 실행을 요청하는 작업에 동의했음을 입증하도록 요구합니다.

강력한 고객 인증 요구 사항은 더 이상 사용자와 은행이라는 두 당사자가 아니라 세 가지 당사자가 관련되어 있기 때문에 고객 경험에 문제를 야기합니다. 최종 사용자 여정은 TPP의 사용자 인터페이스에서 시작하고 끝납니다.

TPP는 개방형 API를 통해 ASPSP와 상호 작용합니다. 예를 들어 영국의 OBIE(Open Banking Implementation Entity), 프랑스의 STET 및 다양한 유럽 국가의 Berlin Group과 같은 많은 표준화 기관이 이러한 Open API의 초안을 발표했습니다.

이러한 사양은 강력한 고객 인증을 구현하는 방법을 설명하며, (아직) 완전히 지정되지 않은 경우 리디렉션, 분리 및 포함된 모델과 같은 몇 가지 모델이 정의되었습니다. 이 논문이 발표될 당시에는 잠재적인 위임 모델도 논의되고 있습니다. 이러한 모델은 사용자가 TPP 및 ASPSP와 상호 작용하는 방식에 따라 다르며 사용자 경험과 사용자 금융 계좌의 보안 모두에 큰 영향을 미칩니다.

이 백서에서는 다양한 SCA 준수 인증 모델의 장점과 단점을 살펴보고 FIDO 호환 솔루션이 TPP 및 ASPSP의 요구 사항을 충족하는 방식으로 이러한 모델에서 최상의 사용자 경험을 제공하는 방법을 간략하게 설명합니다.