新的业务守则可帮助组织保护系统并减少欺诈性和虚假说明,符合包括第二笔支付服务指令(PSD2)在内的监管要求。
英国标准协会(BSI)发布了一个可公开获取的规范,PAS 499:2019数字识别和强客户认证业务守则。
网络犯罪和欺诈是犯罪活动增长最快的领域,而组织身份和验证工作中的漏洞是造成不受欢迎的主要原因。对于企事业单位及其用户、员工及线上交易服务相关的合作伙伴而言,采用完备健全的身份认证流程对其风险最小化至关重要。第二笔支付服务(PSD2)指令和相关规定的制定就是为了强化身份识别和增强客户认证。
新的PAS适用于对PSD2及相关法规有监管要求的组织。它着重管理原则,并采取了身份识别和强客户身份验证的监管视图,包括:
•身份验证
•身份核对
•身份注册
•身份鉴定
•身份获授权及身份授权
•身份安全性及可用性
•身份验证的风险模型
它还适用于以数字方式创建、访问或管理帐户的管理流程,以及可以通过移动设备或其他计算机进行支付的用户、使用电子设备进行非接触式支付的用户、接受此类付款的零售商,第三方角色、权限分配,以及管理此类交易的银行或支付服务提供商。
该规则适用范围不涵盖使用塑料卡片进行的非接触式支付,以及物联网环境下的支付,不适用数字货币与专门的支付设备或支付终端。
BSI数字部门负责人蒂姆•麦加尔(Tim McGarr)说:“在网络犯罪和网络欺诈呈上升趋势的情况下,商业机构必须建立强大的数字身份和用户身份验证流程,以尽量减少其在线交易的风险。”PAS 499:2019为优化和实施支持法律和监管要求的系统指明了方向。”
PAS 499:2019由指导委员会制定,并经过同行和公共审查,遵循此类共识文件的产生流程。