Il punto di vista di CA Technologies
Transcript
Il punto di vista di CA Technologies
Il punto di vista di CA Technologies Riepilogo delle linee guida di EBA e potenzali benefici offerti da CA Technologies A: Da: Oggetto: Data: Emittenti di carte di pagamento Team di prodotto Digital Payments di CA Technologies Conformità con le linee guida EBA e la Direttiva UE sulla sicurezza dei pagamenti per l'autenticazione sicura 3 febbraio 2015 L'Autorità bancaria europea (EBA) ha recentemente pubblicato le Linee guida finali sulla sicurezza dei pagamenti via Internet1, che illustrano gli standard di sicurezza minimi, applicabili al commercio elettronico, che gli emittenti di carte devono implementare entro il 1 agosto 2015. Queste linee guida si basano sulle normative stabilite nella direttiva UE sulla sicurezza dei pagamenti (PSD) e includeranno la futura direttiva sui servizi di pagamento (PSD 2), quando pubblicata, per garantire la coerenza della conformità dei servizi di pagamento via Internet in tutti i 28 Stati membri dell'Unione europea. L'elemento essenziale, per gli emittenti di carte, è l'obbligo di adottare un sofisticato approccio di autenticazione multifattore, a supporto dell'uso delle Le 14 linee guida specifiche dell'EBA sono sintetizzabili come segue: carte via Internet, entro il 1 agosto 2015. 1. L'importanza della lotta contro le perdite dovute a frodi è evidenziata dall'aumento delle frodi in transazioni con carta non presente, pari al 21,2% dal 2011 al 20122. A sostegno della lotta contro i pagamenti fraudolenti, i requisiti fondamentali richiesti dall'EBA si basano sulla strong authentication del cliente3 e mirano ad aumentare la fiducia dei consumatori nei servizi di pagamento via Internet. Le linee guida dell'EBA, che indicano agli emittenti le best practice da seguire, consentono di proteggere i dati dei clienti e di garantire che sia l'utente autorizzato, e non un truffatore, ad avviare un pagamento. Le linee guida 4, 5, 7, 8, 9, 10 e 13 prevedono un particolare controllo sull'implementazione di una soluzione di autenticazione multifattore. Tra queste raccomandazioni sono inclusi: 2. 3. 4. 5. 6. 7. 8. 9. 10. L'implementazione di una soluzione di autenticazione del titolare della carta, ad esempio 3D Secure (3DS), per l'utilizzo su Internet L'integrazione di livelli multipli di sicurezza "profonda" L'utilizzo di una tecnologia di prevenzione e rilevamento delle frodi per identificare le transazioni sospette L'abilitazione assicurata di una soluzione di strong authentication per le transazioni ad alto rischio con carta non presente. 11. 12. 13. Implementare e rivedere periodicamente una policy di sicurezza formale Eseguire e documentare valutazioni dei rischi approfondite Garantire coerenza e integrazione del monitoraggio, della gestione e del follow-up degli incidenti di sicurezza Integrare difese di sicurezza a più livelli Implementare procedure che garantiscano l'adeguata tracciabilità di tutte le transazioni Identificare i clienti e confermarne la disponibilità a effettuare pagamenti via Internet Proteggere i pagamenti via Internet, così come l'accesso ai dati di pagamento sensibili, tramite la strong authentication dei clienti3 Assicurare che il provisioning dell'autenticazione e dell'iscrizione al programma del cliente avvengano in modo sicuro Limitare il numero di tentativi di accesso o di autenticazione e la durata delle sessioni Adottare strumenti di monitoraggio delle transazioni per impedire, rilevare e bloccare i pagamenti fraudolenti e sottoporre le transazioni ad alto rischio a screening e valutazione specifici prima del completamento Proteggere i dati di pagamento sensibili durante la memorizzazione, l'elaborazione o la trasmissione Fornire assistenza e orientamento ai clienti e comunicare l'autenticità dei messaggi ricevuti Impostare limiti per i servizi di pagamento via Internet e fornire ai clienti alternative per limitare ulteriormente i rischi, quali servizi di alert e di gestione dei profili Confermare l'avvio del pagamento e fornire informazioni in tempo utile ai clienti per verificare la legittimità del pagamento stesso. 14. In realtà, gli emittenti di carte di pagamento devono trovare un equilibrio tra la necessità di pagamenti via Internet sicuri e la protezione dei dati dei titolari delle carte, e un'esperienza di questi ultimi che deve rimanere semplice e lineare. CA Technologies offre soluzioni software complete che consentono agli emittenti di soddisfare e superare alcuni dei requisiti imposti dall'EBA e di trovarsi preparati alle normative PSD 2, potenzialmente più restrittive, garantendo la sicurezza e la linearità delle esperienze di pagamento via Internet. Consultare l'Appendice A per maggiori dettagli. In che modo i prodotti per la sicurezza dei pagamenti di CA Technologies consentono di rispettare i requisiti EBA In qualità di fornitore leader di soluzioni per la sicurezza dei pagamenti via Internet, CA Technologies è il partner ideale per gli emittenti che desiderano arrivare pronti alla scadenza del 1 agosto 2015. Con l'implementazione del servizio cloud di sicurezza dei pagamenti fornito da CA Technologies, facilmente personalizzabile, gli emittenti possono ottenere una solida base per i pagamenti con carta non presente, generare una customer experience senza soluzione di continuità e soddisfare i requisiti previsti dalle linee guida di strong authentication dell'EBA. CA Transaction Manager, il nostro servizio 3DS, è utilizzato da oltre 13.500 portfolio con oltre 150 milioni di titolari di carte attivi in tutto il mondo.4 Sempre più emittenti scelgono ogni giorno CA Transaction Manager, perché consente un'esperienza di shopping online dinamica e personalizzata. Inoltre, dato che il nostro team di prodotto per la sicurezza dei pagamenti è stato coinvolto nello sviluppo della Copyright © 2015 CA Technologies. Tutti i diritti riservati. Tutti i marchi, i nomi commerciali, i marchi di servizio e i logo menzionati nel presente documento sono di proprietà delle rispettive aziende. Il punto di vista di CA Technologies tecnologia 3D Secure (3DS) fin dal momento della definizione iniziale del protocollo sicuro, CA Technologies è in grado di fornire conformità rispetto a 3DS senza soluzione di continuità con i programmi di autenticazione dei titolari di carte Verified by VISA®, MasterCard® SecureCode, JCB J/Secureā¢, American Express SafeKey® e Discover/Diners ProtectBuySM. CA Risk Analytics è un servizio cloud di autenticazione "Zero-Touch" che utilizza modelli predittivi statistici avanzati e regole dinamiche per valutare il potenziale di rischio di ciascuna operazione e provvedere istantaneamente a negare, emettere avvisi, consentire o richiedere autenticazione aggiuntiva, a seconda dei casi, per ogni singola transazione. Durante il processo di acquisto non si verifica nessuna interruzione esplicita, a meno che non venga abilitata una verifica supplementare sulla base dei risultati di scoring. CA Strong Authentication fornisce autenticazione semplice, intuitiva e dinamica che soddisfa pienamente la definizione EBA di strong authentication del cliente. Disponibile on-premise o come servizio cloud, CA Strong Authentication invia un avviso al titolare della carta per confermare la validità della transazione. Mediante la "notifica a 2 vie", le operazioni individuate come potenzialmente fraudolente possono essere convalidate istantaneamente dai titolari, che hanno così la possibilità di completare la transazione o identificarla come illegittima. Questa versatile soluzione di autenticazione consente modalità di autenticazione multiple, inclusi credenziale soft a 2 fattori, OTP erogata tramite SMS o voce, applicazione Mobile OTP, notifica a 2 vie e altre opzioni multi-fattore. Cosa significa tutto questo per gli attuali clienti delle soluzioni di sicurezza dei pagamenti di CA Technologies? La crescente sofisticazione degli autori di frodi e il desiderio di una migliore customer experience ha già portato un numero significativo di clienti di CA Technologies a scegliere le nostre soluzioni. Siamo fiduciosi che, agli utenti attuali delle nostre soluzioni di commercio elettronico, la piena conformità con la definizione EBA di strong authentication richiederà uno sforzo minimo. I clienti possono migliorare rapidamente i propri prodotti lavorando con noi; di seguito vengono comunque proposte alcune considerazioni introduttive. Ci impegniamo a lavorare a stretto contatto con i clienti e i partner di CA Technologies per fornire in completezza soluzioni che aumentano la fidelizzazione dei clienti, incrementano i ricavi e garantiscono il rispetto degli standard di sicurezza più elevati richiesti dalle normative correnti e future. Il prossimo passo Preparatevi per tempo alla scadenza di attuazione del 1 agosto 2015. Contattateci oggi! Possiamo supportarvi ed illustrarvi come i prodotti per la sicurezza dei pagamenti di CA Technologies sono in grado di soddisfare le vostre esigenze, e lavorare con voi per implementare le opzioni di autenticazione sicura ottimali, in previsione della scadenza prevista dalla normativa. Per ulteriori informazioni sui prodotti per la sicurezza dei pagamenti di CA Technologies, visitare www.ca.com/it/payment-security o inviare un messaggio di posta elettronica a [email protected] per entrare in contatto con un esperto del prodotto. I clienti di CA Technologies possono contattare il proprio contatto sales per una valutazione dettagliata della conformità delle nostre soluzioni per la sicurezza dei pagamenti alle linee guida EBA sulla sicurezza dei pagamenti via Internet e alle disposizioni della direttiva UE sulla sicurezza dei pagamenti (PSD). 1 Consultare http://www.eba.europa.eu/regulation-and-policy/consumer-protection-and-financial-innovation/guidelines-on-the-security-of-internet-payments Consultare http://www.ecb.europa.eu/pub/pdf/other/cardfraudreport201402en.pdf 3 Agli scopi delle linee guida EBA, si intende per strong authentication del cliente una procedura basata sull'impiego di due o più dei seguenti elementi, classificati come conoscenza, titolarità e inerenza: i) un elemento noto solo all'utente, ad esempio password statica, codice, PIN; ii) un elemento del quale solo l'utente è in possesso, ad esempio token, smart card, telefono cellulare; iii) una caratteristica dell'utente, ad esempio di tipo biometrico, come un'impronta digitale. Inoltre, gli elementi selezionati devono essere reciprocamente indipendenti, ovvero la violazione di uno di essi non compromette gli altri. Almeno uno degli elementi dovrebbe essere non riutilizzabile e non replicabile (fatta eccezione per l'inerenza) e non passibile di sottrazione via Internet senza che l'utente se ne renda conto. La procedura di strong authentication deve essere progettata in modo tale da proteggere la riservatezza dei dati di autenticazione. 4 Fonte: dati di CA Technologies, 4° trimestre dell'anno solare 2004. 2 Copyright © 2015 CA Technologies. Tutti i diritti riservati. Il materiale qui presentato viene fornito esclusivamente a scopo informativo. Nulla di quanto contenuto in questo documento viene fornito o può essere ragionevolmente interpretato come consulenza legale. Il lettore dovrebbe evitare di fare affidamento o di agire sulla base delle informazioni incluse nel presente documento. 2 Il punto di vista di CA Technologies Appendice A: Linea guida EBA La soluzione Applicazione della soluzione per la sicurezza dei pagamenti di CA Technologies Policy bancaria interna Utilizzando CA Risk Analytics, gli emittenti possono personalizzare dinamicamente le impostazioni delle policy relative a frode e rischio, in base alle policy delle singole istituzioni finanziarie. Eseguire e documentare valutazioni dei rischi approfondite Policy bancaria interna Gli emittenti possono utilizzare i dati di autenticazione di CA Risk Analytics per migliorare le valutazioni dei rischi. 3 Garantire coerenza e integrazione del monitoraggio, della gestione e del follow-up degli incidenti di sicurezza Policy bancaria interna Soluzione SIEM 4 Integrare difese di sicurezza a più livelli 5 Implementare procedure che garantiscano l'adeguata tracciabilità di tutte le transazioni 6 Identificare i clienti e confermarne la disponibilità a effettuare pagamenti via Internet 1 Implementare e rivedere periodicamente una policy di sicurezza formale 2 7 Proteggere i pagamenti via Internet, così come l'accesso ai dati di pagamento sensibili, tramite strong authentication dei clienti3 8 Assicurare che il provisioning dell'autenticazione e dell'iscrizione al programma del cliente avvengano in modo sicuro 9 Limitare il numero di tentativi di accesso o di autenticazione e la durata delle sessioni 10 Adottare strumenti di monitoraggio delle transazioni per impedire, rilevare e bloccare i pagamenti fraudolenti e sottoporre le transazioni ad alto rischio a screening e valutazione specifici prima del completamento 11 Proteggere i dati di pagamento sensibili durante la memorizzazione, l'elaborazione o la trasmissione 12 Fornire assistenza e orientamento ai clienti e comunicare l'autenticità dei messaggi ricevuti 13 Impostare limiti per i servizi di pagamento via Internet e fornire ai clienti alternative per limitare ulteriormente i rischi, quali servizi di alert e di gestione dei profili 14 Confermare l'avvio del pagamento e fornire ai clienti informazioni in tempo utile per verificare la legittimità del pagamento CA Transaction Manager CA Risk Analytics e CA Strong Authentication La combinazione di questi prodotti consentirà di soddisfare i requisiti collegati a strong authentication e monitoraggio delle transazioni, ottenendo una "difesa profonda" delle operazioni di pagamento via Internet. CA Transaction Manager CA Risk Analytics CA Transaction Manager implementa 3D Secure in modo da consentire l'autenticazione di ogni operazione. CA Risk Analytics fornisce dati di autenticazione aggiuntivi e un audit trail per ogni transazione. Le funzionalità di gestione dei ticket forniscono dati autentici sulle frodi. Policy bancaria interna CA Transaction Manager CA Strong Authentication CA Privileged Identity Manager (PIM) CA Transaction Manager implementa 3D Secure in modo da consentire l'autenticazione di ogni operazione. CA Strong Authentication offre varie opzioni per l'autenticazione multifattore, inclusi OTP via SMS, applicazione Mobile OTP, notifiche a 2 vie e password "inviolabili", sia per i pagamenti via Internet che per l'accesso ai dati sensibili di pagamento. CA PIM fornisce controlli dell'accesso utente granulari, gestione delle password per gli account condivisi, bridging dell'autenticazione e reporting dell'attività utente, in ambienti fisici e virtuali, per gli utenti con privilegi. CA Strong Authentication Fornisce flussi di lavoro sicuri di iscrizione, FYP e deprovisioning. CA Strong Authentication CA Single Sign-on (SSO) Con CA Strong Authentication, gli emittenti possono selezionare dei limiti per i tentativi di autenticazione. CA SSO è in grado di integrare gli accessi da più canali. CA Risk Analytics CA Risk Analytics fornisce analisi in tempo reale di ogni transazione, applica avanzati modelli di autenticazione 3D Secure e genera un punteggio che identifica le operazioni legittime e quelle ad alto rischio. Le regole dinamiche consentono di applicare policy aziendali personalizzate. Policy bancaria interna I prodotti di CA Technologies fanno tutto questo per i dati che gestiamo CA Technologies mantiene i data center dotati della soluzione per il commercio elettronico protetti e conformi ai principi SSAE16 e agli standard Payment Card Industry (PCI); in questo modo, i dati trasmessi durante il processo di autenticazione mantengono la sicurezza dei dati dei titolari. Policy bancaria interna CA Transaction Manager e CA Risk Analytics sono in grado di supportare i responsabili del servizio clienti (CSM) nel determinare quando si verifica una transazione potenzialmente fraudolenta. Il CSM può quindi comunicare queste informazioni al cliente. CA Transaction Manager CA Risk Analytics CA Strong Authentication CA Risk Analytics è in grado di analizzare una transazione per determinarne il livello di rischio. Può inviare un avviso ai clienti, richiedere un'autenticazione ulteriore o negare la transazione, in base alle policy dell'istituto bancario. CA Strong Authentication può inviare una OTP via SMS, e-mail o voce, o avviare la notifica a 2 vie al cliente, in modo che questi possa rispondere immediatamente per procedere con la transazione. Policy bancaria interna Copyright © 2015 CA Technologies. Tutti i diritti riservati. Il materiale qui presentato viene fornito esclusivamente a scopo informativo. Nulla di quanto contenuto in questo documento viene fornito o può essere ragionevolmente interpretato come consulenza legale. Il lettore dovrebbe evitare di fare affidamento o di agire sulla base delle informazioni incluse nel presente documento. 3 Il punto di vista di CA Technologies 1 Linee guida finali dell'Autorità bancaria europea sulla sicurezza dei pagamenti via Internet Comunicato stampa Londra, Regno Unito Data di pubblicazione 19/12/2014 | EBA/GL/2014/12 L'Autorità bancaria europea (EBA) ha pubblicato oggi le Linee guida finali sulla sicurezza dei pagamenti via Internet, che illustrano gli standard di sicurezza minimi che i fornitori di servizi di pagamento nell'UE dovranno implementare entro il 1 agosto 2015. A motivo delle preoccupazioni per l'aumento delle frodi relative ai pagamenti via Internet, l'EBA ha ritenuto necessaria l'attuazione di un framework più sicuro per i pagamenti su Internet in tutta l'UE. Queste linee guida si basano sull'attività di tipo tecnico svolta dal Forum europeo per la sicurezza dei pagamenti al dettaglio (SecuRe Pay). Tra le varie misure volte a ottenere pagamenti via Internet più efficienti e sicuri in tutta l'UE, le linee guida dell'EBA richiedono, in particolare, ai fornitori di servizi di pagamento (PSP) l'adozione del modulo di strong authentication del cliente, al fine di verificarne l'identità prima di procedere con il pagamento online, una delle misure primarie per prevenire le frodi via Internet, attraverso servizi bancari o pagamenti con carte via Internet. Queste linee guida, che si basano sull'attività di tipo tecnico svolta da SecuRe Pay, il forum di cooperazione volontaria che riunisce le banche centrali e le autorità di vigilanza sui fornitori di servizi di pagamento, saranno applicabili in modo coerente a tutti i PSP in tutta l'UE a partire dal mese di agosto 2015. L'EBA ha deciso di pubblicare queste linee guida a causa dei crescenti livelli di frode osservati nei pagamenti via Internet. Gli ultimi dati paneuropei hanno evidenziato che le frodi sui pagamenti tramite carte via Internet hanno causato da sole 794 milioni di euro di perdite nel 2012 (con una crescita del 21,2% rispetto all'anno precedente). In attesa della revisione della direttiva sui servizi di pagamento, era quindi necessaria una risposta normativa tempestiva e coerente che mirasse a creare regole più sicure, rispettose della concorrenza e consumer-friendly per i pagamenti all'interno dell'Unione europea. Geoffroy Goffinet, dell'unità per la tutela dei consumatori dell'EBA, spiega: "Le linee guida dell'EBA sui pagamenti via Internet costituiscono la base giuridica per raggiungere la parità di condizioni per tutti i PSP in tutta l'UE. Nel redigere questo documento, l'EBA ha inteso supportare lo sviluppo del commercio elettronico in tutta l'UE, garantendo al tempo stesso un'adeguata tutela dei consumatori". Ai PSP sarà richiesto anche di fornire assistenza e orientamento ai clienti in relazione all'uso sicuro dei servizi di pagamento via Internet. In particolare, dovranno avviare programmi di sensibilizzazione della clientela, in modo da garantire che gli utenti comprendano rischi e best practice collegati ai pagamenti via Internet. Per quanto riguarda la protezione dei dati dei consumatori, le linee guida prevedono che i PSP che offrono servizi di pagamento tramite carte ai commercianti online debbano incoraggiarli a non memorizzare i dati di pagamento sensibili, o richiedono loro l'attuazione delle misure necessarie per proteggere i dati. I PSP dovrebbero anche effettuare controlli periodici e, nel caso risulti loro che un commerciante online che esegue il trattamento di dati sensibili di pagamento non dispone delle misure di sicurezza necessarie, dovrebbero agire per farle attuare a titolo di obbligo contrattuale, oppure risolvere il contratto. Tutte le autorità competenti in tutta l'UE sono tenute a rispettare queste linee guida integrandole nelle proprie pratiche di vigilanza e modificando di conseguenza il proprio framework o i propri processi di vigilanza. Nota agli editor Queste linee guida forniranno una solida base giuridica per la sicurezza dei pagamenti via Internet in tutti gli Stati membri dell'UE; la finalizzazione della revisione della direttiva sui servizi di pagamento (nota come PSD2) è prevista per i prossimi anni. Una consultazione sull'attuazione di tali linee guida è stata avviata nel mese di ottobre 2014. Il lavoro dell'EBA in questo ambito deriva da uno sforzo concertato con la Banca centrale europea (BCE) per aumentare la sicurezza dei pagamenti al dettaglio e si è sviluppato sulla base delle raccomandazioni formulate nel gennaio 2013 dal Forum europeo sulla sicurezza dei pagamenti al dettaglio (SecuRe Pay). SecuRe Pay è stato fondato nel 2011 come forum di cooperazione volontaria tra le autorità di vigilanza dei fornitori di servizi di pagamento (PSP) e le autorità di controllo dei sistemi di pagamento e degli schemi/strumenti di pagamento all'interno dell'UE/SEE, con l'obiettivo di facilitare la condivisione delle conoscenze e la comprensione della sicurezza dei servizi e degli strumenti di pagamento elettronico. Contatti stampa: Sig.a Franca Rosa Congiu E-mail: [email protected] - Tel: +44 (0) 207 382 1772 Copyright © 2015 CA Technologies. Tutti i diritti riservati. Il materiale qui presentato viene fornito esclusivamente a scopo informativo. Nulla di quanto contenuto in questo documento viene fornito o può essere ragionevolmente interpretato come consulenza legale. Il lettore dovrebbe evitare di fare affidamento o di agire sulla base delle informazioni incluse nel presente documento. 4