Silne uwierzytelnienie w tokenizacji karty płatniczej

7 sierpnia 2020 r. European Banking Authority (EBA) opublikował dokument dotyczący zagadnień związanych z silnym uwierzytelnieniem w przypadku tokenizacji karty płatniczej „Single Rulebook Q&A; Strong customer authentication and common and secure communication (incl. access)”. Dokument odpowiada na pytania praktyczne związane z procesem tokenizacji dóbr i praw. 

Podstawowym pytaniem prawnym, na które odpowiada dokument jest to, czy token stworzony w efekcie procesu tokenizacji, może zostać uznany za element silnego uwierzytelnienia należący do kategorii „posiadanie”. Zgodnie z  PSD2 przy wybranych operacjach dostawca usług płatniczych zobowiązany jest stosować silne uwierzytelnienie, będące sposobem identyfikacji użytkownika i autoryzacji jego transakcji poprzez zastosowanie co najmniej dwóch elementów należących do: kategorii: ”posiadanie”, „wiedza” lub „cechy indywidualne klienta”. Odpowiedź na powyższe pytanie pozwala na określenie szerokich ram wykorzystania stokenizowanych kart płatniczych, a w przyszłości być może również innych instrumentów płatniczych. 

EBA dokonuje precyzyjnej analizy kategorii posiadania zwracając uwagę m.in. na abstrakcyjne rozumienie posiadania, jako stanu rzeczywistego, który oparty może być na samodzielnym i nieskrępowanym rozporządzaniu przedmiotem lub prawem. Posiadanie dotyczyć może  więc zindywidualizowanych kluczy szyfrujących wygenerowanych dla posiadacza tokenu lub karty. Dalsza analiza przepisów prowadzi do wniosku, że posiadanie może być również rozumiane abstrakcyjnie i odnosić się także np.: do specyfikacji algorytmu wygenerowanego specjalnie dla konkretnego użytkownika. Tym samym EBA uznała, że stokenizowana karta płatnicza, przy spełnieniu odpowiednich standardów technicznych, stanowi element silnego uwierzytelnienia kwalifikowany do kategorii „posiadanie”.

Więcej informacji pod adresem: https://eba.europa.eu/single-rule-book-qa/-/qna/view/publicId/2019_4827