Il punto di vista di CA Technologies

Transcript

Riepilogo delle linee guida di EBA e potenzali benefici offerti da
CA Technologies
A:
Da:
Oggetto:
Data:
Emittenti di carte di pagamento
Team di prodotto Digital Payments di CA Technologies
Conformità con le linee guida EBA e la Direttiva UE sulla sicurezza dei pagamenti per l'autenticazione sicura
3 febbraio 2015
L'Autorità bancaria europea (EBA) ha recentemente pubblicato le Linee guida finali sulla sicurezza dei pagamenti via Internet1, che
illustrano gli standard di sicurezza minimi, applicabili al commercio elettronico, che gli emittenti di carte devono implementare entro il
1 agosto 2015. Queste linee guida si basano sulle normative stabilite nella direttiva UE sulla sicurezza dei pagamenti (PSD) e includeranno
la futura direttiva sui servizi di pagamento (PSD 2), quando pubblicata, per garantire la coerenza della conformità dei servizi di pagamento
via Internet in tutti i 28 Stati membri dell'Unione europea. L'elemento essenziale, per gli emittenti di carte, è l'obbligo di adottare un
sofisticato approccio di autenticazione multifattore, a supporto dell'uso delle
Le 14 linee guida specifiche dell'EBA sono sintetizzabili come segue:
carte via Internet, entro il 1 agosto 2015.
1.
L'importanza della lotta contro le perdite dovute a frodi è evidenziata
dall'aumento delle frodi in transazioni con carta non presente, pari al 21,2% dal
2011 al 20122. A sostegno della lotta contro i pagamenti fraudolenti, i requisiti
fondamentali richiesti dall'EBA si basano sulla strong authentication del cliente3
e mirano ad aumentare la fiducia dei consumatori nei servizi di pagamento via
Internet. Le linee guida dell'EBA, che indicano agli emittenti le best practice da
seguire, consentono di proteggere i dati dei clienti e di garantire che sia l'utente
autorizzato, e non un truffatore, ad avviare un pagamento. Le linee guida 4, 5, 7,
8, 9, 10 e 13 prevedono un particolare controllo sull'implementazione di una
soluzione di autenticazione multifattore. Tra queste raccomandazioni sono
inclusi:
2.
3.
4.
5.
6.
7.
8.
9.
10.
L'implementazione di una soluzione di autenticazione del titolare della
carta, ad esempio 3D Secure (3DS), per l'utilizzo su Internet
L'integrazione di livelli multipli di sicurezza "profonda"
L'utilizzo di una tecnologia di prevenzione e rilevamento delle frodi
per identificare le transazioni sospette
L'abilitazione assicurata di una soluzione di strong authentication per
le transazioni ad alto rischio con carta non presente.
11.
12.
13.
Implementare e rivedere periodicamente una policy di sicurezza
formale
Eseguire e documentare valutazioni dei rischi approfondite
Garantire coerenza e integrazione del monitoraggio, della gestione
e del follow-up degli incidenti di sicurezza
Integrare difese di sicurezza a più livelli
Implementare procedure che garantiscano l'adeguata tracciabilità di
tutte le transazioni
Identificare i clienti e confermarne la disponibilità a effettuare
pagamenti via Internet
Proteggere i pagamenti via Internet, così come l'accesso ai dati di
pagamento sensibili, tramite la strong authentication dei clienti3
Assicurare che il provisioning dell'autenticazione e dell'iscrizione al
programma del cliente avvengano in modo sicuro
Limitare il numero di tentativi di accesso o di autenticazione e la durata
delle sessioni
Adottare strumenti di monitoraggio delle transazioni per impedire,
rilevare e bloccare i pagamenti fraudolenti e sottoporre le transazioni
ad alto rischio a screening e valutazione specifici prima del
completamento
Proteggere i dati di pagamento sensibili durante la memorizzazione,
l'elaborazione o la trasmissione
Fornire assistenza e orientamento ai clienti e comunicare l'autenticità
dei messaggi ricevuti
Impostare limiti per i servizi di pagamento via Internet e fornire ai
clienti alternative per limitare ulteriormente i rischi, quali servizi di
alert e di gestione dei profili
Confermare l'avvio del pagamento e fornire informazioni in tempo utile
ai clienti per verificare la legittimità del pagamento stesso.
14.
In realtà, gli emittenti di carte di pagamento devono trovare un equilibrio tra la
necessità di pagamenti via Internet sicuri e la protezione dei dati dei titolari delle
carte, e un'esperienza di questi ultimi che deve rimanere semplice e lineare.
CA Technologies offre soluzioni software complete che consentono agli emittenti di soddisfare e superare alcuni dei requisiti imposti
dall'EBA e di trovarsi preparati alle normative PSD 2, potenzialmente più restrittive, garantendo la sicurezza e la linearità delle esperienze
di pagamento via Internet. Consultare l'Appendice A per maggiori dettagli.
In che modo i prodotti per la sicurezza dei pagamenti di CA Technologies consentono di rispettare i
requisiti EBA
In qualità di fornitore leader di soluzioni per la sicurezza dei pagamenti via Internet, CA Technologies è il partner ideale per gli emittenti
che desiderano arrivare pronti alla scadenza del 1 agosto 2015. Con l'implementazione del servizio cloud di sicurezza dei pagamenti
fornito da CA Technologies, facilmente personalizzabile, gli emittenti possono ottenere una solida base per i pagamenti con carta non
presente, generare una customer experience senza soluzione di continuità e soddisfare i requisiti previsti dalle linee guida di strong
authentication dell'EBA.
CA Transaction Manager, il nostro servizio 3DS, è utilizzato da oltre 13.500 portfolio con oltre 150 milioni di titolari di carte attivi in tutto
il mondo.4 Sempre più emittenti scelgono ogni giorno CA Transaction Manager, perché consente un'esperienza di shopping online
dinamica e personalizzata. Inoltre, dato che il nostro team di prodotto per la sicurezza dei pagamenti è stato coinvolto nello sviluppo della
Copyright © 2015 CA Technologies. Tutti i diritti riservati. Tutti i marchi, i nomi commerciali, i marchi di servizio e i logo menzionati nel presente documento sono di proprietà
delle rispettive aziende.
tecnologia 3D Secure (3DS) fin dal momento della definizione iniziale del protocollo sicuro, CA Technologies è in grado di fornire
conformità rispetto a 3DS senza soluzione di continuità con i programmi di autenticazione dei titolari di carte Verified by VISA®,
MasterCard® SecureCode, JCB J/Secure™, American Express SafeKey® e Discover/Diners ProtectBuySM.
CA Risk Analytics è un servizio cloud di autenticazione "Zero-Touch" che utilizza modelli predittivi statistici avanzati e regole dinamiche
per valutare il potenziale di rischio di ciascuna operazione e provvedere istantaneamente a negare, emettere avvisi, consentire
o richiedere autenticazione aggiuntiva, a seconda dei casi, per ogni singola transazione. Durante il processo di acquisto non si verifica
nessuna interruzione esplicita, a meno che non venga abilitata una verifica supplementare sulla base dei risultati di scoring.
CA Strong Authentication fornisce autenticazione semplice, intuitiva e dinamica che soddisfa pienamente la definizione EBA di strong
authentication del cliente. Disponibile on-premise o come servizio cloud, CA Strong Authentication invia un avviso al titolare della carta
per confermare la validità della transazione. Mediante la "notifica a 2 vie", le operazioni individuate come potenzialmente fraudolente
possono essere convalidate istantaneamente dai titolari, che hanno così la possibilità di completare la transazione o identificarla come
illegittima. Questa versatile soluzione di autenticazione consente modalità di autenticazione multiple, inclusi credenziale soft a 2 fattori,
OTP erogata tramite SMS o voce, applicazione Mobile OTP, notifica a 2 vie e altre opzioni multi-fattore.
Cosa significa tutto questo per gli attuali clienti delle soluzioni di sicurezza dei pagamenti di
CA Technologies?
La crescente sofisticazione degli autori di frodi e il desiderio di una migliore customer experience ha già portato un numero significativo di
clienti di CA Technologies a scegliere le nostre soluzioni. Siamo fiduciosi che, agli utenti attuali delle nostre soluzioni di commercio
elettronico, la piena conformità con la definizione EBA di strong authentication richiederà uno sforzo minimo. I clienti possono migliorare
rapidamente i propri prodotti lavorando con noi; di seguito vengono comunque proposte alcune considerazioni introduttive.
Ci impegniamo a lavorare a stretto contatto con i clienti e i partner di CA Technologies per fornire in completezza soluzioni che
aumentano la fidelizzazione dei clienti, incrementano i ricavi e garantiscono il rispetto degli standard di sicurezza più elevati richiesti
dalle normative correnti e future.
Il prossimo passo
Preparatevi per tempo alla scadenza di attuazione del 1 agosto 2015. Contattateci oggi! Possiamo supportarvi ed illustrarvi come i
prodotti per la sicurezza dei pagamenti di CA Technologies sono in grado di soddisfare le vostre esigenze, e lavorare con voi per
implementare le opzioni di autenticazione sicura ottimali, in previsione della scadenza prevista dalla normativa.
Per ulteriori informazioni sui prodotti per la sicurezza dei pagamenti di CA Technologies, visitare www.ca.com/it/payment-security o inviare un
messaggio di posta elettronica a [email protected] per entrare in contatto con un esperto del prodotto. I clienti di CA Technologies
possono contattare il proprio contatto sales per una valutazione dettagliata della conformità delle nostre soluzioni per la sicurezza dei pagamenti
alle linee guida EBA sulla sicurezza dei pagamenti via Internet e alle disposizioni della direttiva UE sulla sicurezza dei pagamenti (PSD).
1
Consultare http://www.eba.europa.eu/regulation-and-policy/consumer-protection-and-financial-innovation/guidelines-on-the-security-of-internet-payments
Consultare http://www.ecb.europa.eu/pub/pdf/other/cardfraudreport201402en.pdf
3
Agli scopi delle linee guida EBA, si intende per strong authentication del cliente una procedura basata sull'impiego di due o più dei seguenti elementi, classificati come conoscenza, titolarità
e inerenza: i) un elemento noto solo all'utente, ad esempio password statica, codice, PIN; ii) un elemento del quale solo l'utente è in possesso, ad esempio token, smart card, telefono
cellulare; iii) una caratteristica dell'utente, ad esempio di tipo biometrico, come un'impronta digitale. Inoltre, gli elementi selezionati devono essere reciprocamente indipendenti, ovvero la
violazione di uno di essi non compromette gli altri. Almeno uno degli elementi dovrebbe essere non riutilizzabile e non replicabile (fatta eccezione per l'inerenza) e non passibile di sottrazione
via Internet senza che l'utente se ne renda conto. La procedura di strong authentication deve essere progettata in modo tale da proteggere la riservatezza dei dati di autenticazione.
4
Fonte: dati di CA Technologies, 4° trimestre dell'anno solare 2004.
2
Copyright © 2015 CA Technologies. Tutti i diritti riservati. Il materiale qui presentato viene fornito esclusivamente a scopo informativo. Nulla di quanto contenuto in questo documento viene
fornito o può essere ragionevolmente interpretato come consulenza legale. Il lettore dovrebbe evitare di fare affidamento o di agire sulla base delle informazioni incluse nel presente
documento.
2
Appendice A:
Linea guida EBA
La soluzione
Applicazione della soluzione per la sicurezza dei pagamenti di CA
Technologies
Policy bancaria interna
Utilizzando CA Risk Analytics, gli emittenti possono personalizzare
dinamicamente le impostazioni delle policy relative a frode e rischio, in base
alle policy delle singole istituzioni finanziarie.
Eseguire e documentare valutazioni dei rischi
approfondite
Gli emittenti possono utilizzare i dati di autenticazione di CA Risk Analytics per
migliorare le valutazioni dei rischi.
3
Garantire coerenza e integrazione del
monitoraggio, della gestione e del follow-up
degli incidenti di sicurezza
Soluzione SIEM
4
Integrare difese di sicurezza a più livelli
5
Implementare procedure che garantiscano
l'adeguata tracciabilità di tutte le transazioni
6
Identificare i clienti e confermarne la
disponibilità a effettuare pagamenti via
Internet
1
Implementare e rivedere periodicamente una
policy di sicurezza formale
2
7
Proteggere i pagamenti via Internet, così
come l'accesso ai dati di pagamento sensibili,
tramite strong authentication dei clienti3
8
Assicurare che il provisioning
dell'autenticazione e dell'iscrizione al
programma del cliente avvengano in modo
sicuro
9
Limitare il numero di tentativi di accesso o di
autenticazione e la durata delle sessioni
10
Adottare strumenti di monitoraggio delle
transazioni per impedire, rilevare e bloccare
i pagamenti fraudolenti e sottoporre le
transazioni ad alto rischio a screening
e valutazione specifici prima del
completamento
11
Proteggere i dati di pagamento sensibili
durante la memorizzazione, l'elaborazione
o la trasmissione
12
Fornire assistenza e orientamento ai clienti
e comunicare l'autenticità dei messaggi
ricevuti
13
Impostare limiti per i servizi di pagamento via
Internet e fornire ai clienti alternative per
limitare ulteriormente i rischi, quali servizi di
alert e di gestione dei profili
14
Confermare l'avvio del pagamento e fornire ai
clienti informazioni in tempo utile per
verificare la legittimità del pagamento
CA Transaction Manager
CA Risk Analytics e
CA Strong Authentication
La combinazione di questi prodotti consentirà di soddisfare i requisiti collegati
a strong authentication e monitoraggio delle transazioni, ottenendo una
"difesa profonda" delle operazioni di pagamento via Internet.
CA Risk Analytics
CA Transaction Manager implementa 3D Secure in modo da consentire
l'autenticazione di ogni operazione. CA Risk Analytics fornisce dati di
autenticazione aggiuntivi e un audit trail per ogni transazione. Le funzionalità
di gestione dei ticket forniscono dati autentici sulle frodi.
CA Privileged Identity
Manager (PIM)
CA Transaction Manager implementa 3D Secure in modo da consentire
l'autenticazione di ogni operazione. CA Strong Authentication offre varie
opzioni per l'autenticazione multifattore, inclusi OTP via SMS, applicazione
Mobile OTP, notifiche a 2 vie e password "inviolabili", sia per i pagamenti via
Internet che per l'accesso ai dati sensibili di pagamento. CA PIM fornisce
controlli dell'accesso utente granulari, gestione delle password per gli account
condivisi, bridging dell'autenticazione e reporting dell'attività utente, in
ambienti fisici e virtuali, per gli utenti con privilegi.
Fornisce flussi di lavoro sicuri di iscrizione, FYP e deprovisioning.
CA Single Sign-on (SSO)
Con CA Strong Authentication, gli emittenti possono selezionare dei limiti per
i tentativi di autenticazione. CA SSO è in grado di integrare gli accessi da più
canali.
CA Risk Analytics
CA Risk Analytics fornisce analisi in tempo reale di ogni transazione, applica
avanzati modelli di autenticazione 3D Secure e genera un punteggio che
identifica le operazioni legittime e quelle ad alto rischio. Le regole dinamiche
consentono di applicare policy aziendali personalizzate.
I prodotti di CA Technologies
fanno tutto questo per i dati
che gestiamo
CA Technologies mantiene i data center dotati della soluzione per il
commercio elettronico protetti e conformi ai principi SSAE16 e agli standard
Payment Card Industry (PCI); in questo modo, i dati trasmessi durante il
processo di autenticazione mantengono la sicurezza dei dati dei titolari.
CA Transaction Manager e CA Risk Analytics sono in grado di supportare
i responsabili del servizio clienti (CSM) nel determinare quando si verifica una
transazione potenzialmente fraudolenta. Il CSM può quindi comunicare
queste informazioni al cliente.
CA Risk Analytics
CA Risk Analytics è in grado di analizzare una transazione per determinarne il
livello di rischio. Può inviare un avviso ai clienti, richiedere un'autenticazione
ulteriore o negare la transazione, in base alle policy dell'istituto bancario.
CA Strong Authentication può inviare una OTP via SMS, e-mail o voce,
o avviare la notifica a 2 vie al cliente, in modo che questi possa rispondere
immediatamente per procedere con la transazione.
documento.
3
1
Linee guida finali dell'Autorità bancaria europea sulla sicurezza dei
pagamenti via Internet
Comunicato stampa
Londra, Regno Unito
Data di pubblicazione 19/12/2014 | EBA/GL/2014/12
L'Autorità bancaria europea (EBA) ha pubblicato oggi le Linee guida finali sulla sicurezza dei pagamenti via Internet, che illustrano gli standard
di sicurezza minimi che i fornitori di servizi di pagamento nell'UE dovranno implementare entro il 1 agosto 2015. A motivo delle preoccupazioni
per l'aumento delle frodi relative ai pagamenti via Internet, l'EBA ha ritenuto necessaria l'attuazione di un framework più sicuro per i pagamenti
su Internet in tutta l'UE. Queste linee guida si basano sull'attività di tipo tecnico svolta dal Forum europeo per la sicurezza dei pagamenti al
dettaglio (SecuRe Pay).
Tra le varie misure volte a ottenere pagamenti via Internet più efficienti e sicuri in tutta l'UE, le linee guida dell'EBA richiedono, in particolare, ai fornitori
di servizi di pagamento (PSP) l'adozione del modulo di strong authentication del cliente, al fine di verificarne l'identità prima di procedere con il
pagamento online, una delle misure primarie per prevenire le frodi via Internet, attraverso servizi bancari o pagamenti con carte via Internet. Queste linee
guida, che si basano sull'attività di tipo tecnico svolta da SecuRe Pay, il forum di cooperazione volontaria che riunisce le banche centrali e le autorità di
vigilanza sui fornitori di servizi di pagamento, saranno applicabili in modo coerente a tutti i PSP in tutta l'UE a partire dal mese di agosto 2015.
L'EBA ha deciso di pubblicare queste linee guida a causa dei crescenti livelli di frode osservati nei pagamenti via Internet. Gli ultimi dati paneuropei hanno
evidenziato che le frodi sui pagamenti tramite carte via Internet hanno causato da sole 794 milioni di euro di perdite nel 2012 (con una crescita del
21,2% rispetto all'anno precedente). In attesa della revisione della direttiva sui servizi di pagamento, era quindi necessaria una risposta normativa tempestiva
e coerente che mirasse a creare regole più sicure, rispettose della concorrenza e consumer-friendly per i pagamenti all'interno dell'Unione europea.
Geoffroy Goffinet, dell'unità per la tutela dei consumatori dell'EBA, spiega: "Le linee guida dell'EBA sui pagamenti via Internet costituiscono la base
giuridica per raggiungere la parità di condizioni per tutti i PSP in tutta l'UE. Nel redigere questo documento, l'EBA ha inteso supportare lo sviluppo del
commercio elettronico in tutta l'UE, garantendo al tempo stesso un'adeguata tutela dei consumatori".
Ai PSP sarà richiesto anche di fornire assistenza e orientamento ai clienti in relazione all'uso sicuro dei servizi di pagamento via Internet. In particolare,
dovranno avviare programmi di sensibilizzazione della clientela, in modo da garantire che gli utenti comprendano rischi e best practice collegati ai
pagamenti via Internet.
Per quanto riguarda la protezione dei dati dei consumatori, le linee guida prevedono che i PSP che offrono servizi di pagamento tramite carte ai
commercianti online debbano incoraggiarli a non memorizzare i dati di pagamento sensibili, o richiedono loro l'attuazione delle misure necessarie per
proteggere i dati. I PSP dovrebbero anche effettuare controlli periodici e, nel caso risulti loro che un commerciante online che esegue il trattamento di dati
sensibili di pagamento non dispone delle misure di sicurezza necessarie, dovrebbero agire per farle attuare a titolo di obbligo contrattuale, oppure risolvere
il contratto.
Tutte le autorità competenti in tutta l'UE sono tenute a rispettare queste linee guida integrandole nelle proprie pratiche di vigilanza e modificando di
conseguenza il proprio framework o i propri processi di vigilanza.
Nota agli editor
Queste linee guida forniranno una solida base giuridica per la sicurezza dei pagamenti via Internet in tutti gli Stati membri dell'UE; la finalizzazione della
revisione della direttiva sui servizi di pagamento (nota come PSD2) è prevista per i prossimi anni. Una consultazione sull'attuazione di tali linee guida
è stata avviata nel mese di ottobre 2014.
Il lavoro dell'EBA in questo ambito deriva da uno sforzo concertato con la Banca centrale europea (BCE) per aumentare la sicurezza dei pagamenti al
dettaglio e si è sviluppato sulla base delle raccomandazioni formulate nel gennaio 2013 dal Forum europeo sulla sicurezza dei pagamenti al dettaglio
(SecuRe Pay). SecuRe Pay è stato fondato nel 2011 come forum di cooperazione volontaria tra le autorità di vigilanza dei fornitori di servizi di pagamento
(PSP) e le autorità di controllo dei sistemi di pagamento e degli schemi/strumenti di pagamento all'interno dell'UE/SEE, con l'obiettivo di facilitare la
condivisione delle conoscenze e la comprensione della sicurezza dei servizi e degli strumenti di pagamento elettronico.
Contatti stampa:
Sig.a Franca Rosa Congiu
E-mail: [email protected] - Tel: +44 (0) 207 382 1772
documento.
4

Il punto di vista di CA Technologies

Transcript

Documenti analoghi

Istituto Superiore di Studi Musicali “Pyotr Ilyich Tchaikovsky” di

Sicurezza carta di credito

case history outdry.indd

conti e tassi di interesse clientela AZIENDALE

Registrazione affittuario - Condizioni d`uso Realway RealPay Le

finecogroup - UniCredit Investimenti

FASTWAY : GESTIONE COMPLETA VERBALI PER VIOLAZIONI AL

Comune di Cavallino Treporti

Leggi - Banca Esperia

Comunicato Stampa - Murata Power Solutions