Coloque-se no lugar do cliente: é irritante ficar comprovando sua identidade para assegurar que você é você a cada atividade!

Acs E Autenticação Forte Do Cliente

É inegável que o cenário de uso das tecnologias atuais exige rigorosos conceitos de verificação de identidade forte do cliente (SCA).

A partir de seus dispositivos, as pessoas têm acesso a uma quantidade infindável de dados, muitos deles sensíveis e confidenciais, realizam transações financeiras e estão cada vez mais expostas à ocorrência de fraudes, roubo de identidades e e invasões.

Sob este ponto de vista, as diretrizes do PSD2 são mais do que necessárias.

Mas vamos combinar que é um transtorno ter que executar procedimentos de identificação a cada aplicativo utilizado, site acessado, transação realizada: Digitar a identificação, digitar uma senha, receber uma identificação OTP ou acessar um aplicativo de autenticação para executar o 2FA.

Existem implementações especializadas em desafiar a paciência dos clientes, exigindo autenticação a cada mudança de tela, opção escolhida ou qualquer outro critério que alguém julgou necessário para “aumentar a segurança”. Estes casos são a demonstração mais cabal do uso inadequado da tecnologia, em total conflito com a experiência do cliente e que só acrescenta custos, burocracia e irritação.

Muitas organizações ainda não entenderam que a experiência de uso é o principal fator para a conquista da confiança e da fidelidade dos clientes.

Com a complexidade do ambiente tecnológico, os logins se multiplicam, juntamente com a extensa utilização de SaaS, sistemas baseados em nuvens heterogêneas, integração de múltiplas aplicações etc.

A autenticação baseada em senhas ou PINs não é escalável ou utilizável nessas condições.

Em resumo: os processos de autenticação devem incorporar inteligência suficiente para assegurar um adequado equilíbrio entre a segurança e a facilidade e comodidade de uso para o cliente.

Nesse sentido, os padrões de autenticação e segurança promovidos pelo Fido Alliance, e adotados como padrão da indústria de hardware e software, são fundamentais.  Os recursos nativos de autenticação implementados nos smartphones, notenooks e tablets mais avançados podem ajudar a mitigar os inconvenientes de um processo pesado de autenticação, dependendo de como são utilizados em cada aplicação.

Nada melhor que olhar para a tela do celular ou capturar sua digital de maneira automática para se autenticar de maneira simples e transparente.

Quais são os motivos para autenticação ainda ser tão complicada?

Em primeiro lugar, porque a arquitetura da autenticação muitas vezes continua sendo de uma identidade para uma aplicação. Ou seja, mesmo que o usuário esteja navegando em múltiplos ambientes de uma mesma organização, cada aplicação ou funcionalidade entende o acesso com um novo cliente executando uma atividade.

Não é incomum encontrar uma  colcha de retalhos, envolvendo diferentes tecnologias e métodos, que não são interoperáveis e que impedem uma experiência de uso do cliente transparente e amigável.

 

Strong Customer Authentication  e Data Privacy são conceitos recentes e que passam a ser complementares. Assegurar a autenticidade de alguém não pode expor o direito à privacidade dos dados deste indivíduo.

Estes novos conceitos estão na raiz dos novos procedimentos de autenticação e que muitas vezes exigem o redesenho das funções e aplicações que se relacionam com os clientes, principalmente em dispositivos moveis.

A LGPD, assim como outras diretrizes internacionais de proteção de dos incorporam os conceitos de:

Privacy by Default

Segundo este conceito, a privacidade deve ser assegurada sempre como padrão, em qualquer sistema ou mesmo prática de negócio, não exigindo qualquer interação ou configuração por parte do usuário. O indivíduo não precisa agir para adotar configurações de privacidade mais restritas: elas precisam ser observadas de forma padrão no produto, tecnologia ou serviço.

Privacy by Design

Neste conceito,a arquitetura dos sistemas e o design das aplicações devem incorporar a privacidade com parte essencial da sua composição. Ou seja, a privacidade é um componente essencial do sistema, sem sem prejuízo da sua funcionalidade.

A metodologia do Privacy by Design também procura evitar a existência de falsos dilemas, como privacidade versus otimização. A ideia é acomodar todos os interesses e objetivos legítimos da organização, e não apenas os relacionados à privacidade.

Os desafios da autenticação

O setor de autenticação vive um cenário regulatório e de conformidade complexo e em constante evolução. GRPD, LGPD, PSD2 e outros regulamentos que serão desenvolvidos/evoluídos acompanharão os riscos inerentes às novas tecnologias e a evolução da indústria das fraudes.

Portanto, a autenticação baseada em processos dinâmicos e contextuais é a única resposta possível para este problema. Os processos precisam ser adaptativos e capazes de evoluir de acordo um cenário contextual determinado.

Autenticação e uso de senhas

A experiência mostra que não existem senhas “fracas”ou “fortes”, na medida que as invasões de dados, violações e a reutilização de senhas aumentam. 

A alternativa é a utilização de métodos de autenticação que o mercado denomina de “autenticação adaptativa“, que considera o contexto e o conjunto de informações disponíveis para verificar se uma ação é realizada por pessoa, entidade e dispositivo com autoridade para isso.

Parte do problema com senhas estáticas é que os métodos utilizados nos ataques fraudulentos são tão sofisticados que uma simples senha não tem como evitá-los. Esses ataques podem usar uma variedade de ferramentas de malware para penetrar em uma rede, estabelecer-se em vários servidores e usar métodos diferentes para comprometer as credenciais do usuário, desabilitar várias medidas de proteção e ocultar a detecção.

Melhorando a experiência do cliente

Os processos de autenticação precisam estar alinhados com a jornada do cliente no aplicativo e/ou no site utilizados. As ações do cliente precisam ser fluidas e naturais e os mecanismos de segurança, sempre que possível, “invisíveis”. As experiências de uso desfavoráveis levam o cliente naturalmente a preferir outras alternativas, que ofereçam funcionalidades e recursos de acordo com suas expectativas, mas que ao mesmo tempo sejam fáceis de usar e transmitam segurança e confiabilidade.

As entidades que utilizam métodos de autenticaçãoo precisam considerar também os custos e a facilidade de manutenção dos processos. para isso, é indispensável racionalizar as tecnologias e métodos utilizados, concentrando os esforços numa inteligência integrada de segurança, eliminado definitivamente a “colcha de retalhos”. Modularidade e interoperabilidade são as variáveis decisivas desta equação.

Cientes do impacto no abandono de vendas em função de processos de autenticação inadequados, Mastercard e Visa publicaram documentos de orientação aos emissores e lojistas, com dicas para otimizar o processo e garantir a satisfação dos clientes.

Suas estratégias estão baseadas nas seguintes diretrizes:

EMV 3D Secure

O EMV 3DS é a base para as autenticações de transações com cartão não presente. Ela permite que lojista e emissor participem de uma jornada de autenticação “frictionless”, compartilhando informações sobre o Estabelecimento, o Cliente, seu comportamento de compras, dispositivo utilizado, hora e local da compra e da transação em si, com o objetivo de permitir uma compra segura e alinhada com os requisitos de autenticação forte do cliente.

Tokenização

A substituição dos dados do cartão por uma credencial provisionada para o estabelecimento comercial é um instrumento poderoso para evitar compras não presenciais, como transações recorrentes e transações iniciadas pelos estabelecimentos sem a participação online do cliente, como a compra de passagens aéreas, reservas de hotéis e aluguel de veículos. Tokenização e autenticação 3D Secure são métodos complementares que, utilizados corretamente darão segurança aos participantes da transação ao mesmo tempo que oferecem ao cliente uam jornada de compra simples e cômoda.

Em sua evolução, o protocolo EMV 3D Secure tem incorporado extensões específicas para suportar necessidades do segmento de transporte e hospedagem e integração com tokens.

Exceções

As bandeiras procuram sensibilizar os lojistas e os emissores para o tratamento especifico de casos onde a autenticação multi-fator não se aplica, como transações de baixo valor, processos de autenticação assíncrona o ou Out-of-Band (OOB), entre outras.

Em síntese, as bandeiras procuram orientar seus membros participantes a utilizar métodos inteligentes, aderentes a cada situação específica.

Exceções à aplicação da autenticação forte do cliente:

  • Transações iniciadas pelo lojista sem a presença do comprador (MIT  – Merchant Initiated Transaction)
  • Transações submetidas à análise de risco da transação (Tra – Transaction Risk Analysis)
  • Transações de baixo valor
  • Transações recorrentes
  • Transações realizadas por clientes garantidos – White listing

Autenticação multifator

A autenticação multifator (MFA – Multi Factor Authentication) utiliza diversos métodos de autenticação combinados para assegurar a autenticidade de um indivíduo ou entidade.

Combinando os conceitos de “eu sei”, “eu tenho” e “eu sou”, os sistemas de autenticação podem utilizar estratégias combinadas e contextuais.

Mesmo a autenticação multifator não está imune a ser comprometida. As mensagens de texto enviadas para o telefone de um usuário podem ter sido, sequestradas,  falsificadas e sujeitas a ataques.

A chave para um sistema eficiente de MFA é o controle sobre o contexto e ação do cliente em cada operação. Em transações de alto risco como pagamentos, transferência de fundos, acesso a contas por novos dispositivos, um processo simples de autenticação certamente será ineficiente.

E a autenticação multi fator precisa considerar, sempre que possível, a “Fricctionless Authentication”, conforme mostram marcas como Mastercard e Visa em seus documentos de boas práticas.

Visão Mastercard

Sca Mastercard

Recomendações Visa

Visa - Melhorando a Autenticação

Risk Based Authentication

Os sistemas de autenticação baseada no risco da transação procuram estabelecer um ambiente de autenticação sem atrito (fricctionless). Para isso, reúne o máximo possível de informações existente para calcular um “score”: endereço IP, tipo de transação, canal, habitualidade do uso, informações do dispositivo, informações fornecidas pelo estabelecimento comercial etc.

Este pode ser um poderoso instrumento para tornar a autenticação em uma função transparente para o cliente, na medida em que o cliente somente  será chamado a prover informações adicionais de autenticação, caso o “escore” calculado pelo motor de risco aponte para um risco médio ou alto de fraude.

Escore De Risco De Uma Autenticação

Transações recorrentes, 3D Secure e Tokenização

Para diversos participantes dos sistemas de pagamentos, ainda não está claro a grande sinergia existente ente o protocolo de autenticação 3D Secure e a Tokenização para garantir a segurança nas transações realizadaas com cartões não presentes (CNP), incluindo as transações recorrentes ou transações periódicas.

Em função do seu histórico de implementação, o protocolo 3D Secure ainda provoca muita desconfiança nos emissores e lojistas. Mas a nova versão do protocolo, patrocinada pelo EMVCo oferece uma ampla série de recursos para tornar a autenticação mais inteligente, transparente e eficaz:

  • O novo protocolo suporta mais de 100 atributos que permitem validar dados do portador, do comerciante, da transação, entre outros recursos
  • A autenticação suporta transações financeiras e não financeiras, substituindo com vantagens a autenticação USD 0,00.
  • Novas extensões permitem usos para segmentos específicos, como transportes, hospedagem e aluguel de veículos
  • Suporte para a autenticação de uma solicitação de token (ID&V).

O EMV 3DS é o recurso ideal para suportar um modelo de autenticação baseada no risco da transação. Porém, é necessário que os participantes sigam com atenção as especificações do protocolo e estejam dispostos a trabalhar em conjunto para a padronização do uso

O novo protocolo EMV 3DS é mais inteligente, rápido e simples de usar e agora oferece suporte a todos os dispositivos conectados. O EMV 3DS oferece proteção adicional contra fraude, analisando os dados contextuais do comerciante e solicitando aos consumidores que verifiquem sua identidade apenas em transações de alto risco. EMV 3DS também é a estrutura que oferece suporte a SCA para emissores, adquirentes e provedores de serviços de pagamento (PSPs). Os titulares do cartão podem ter que confirmar quem são, tomando medidas adicionais de segurança ao pagar com seu Visa online.”

Fonte: Visa – New and improved 3D Secure
Visa Secure

Cartões empresariais e tokenização

O segmento de cartões empresariais é um segmento bem específico, que pode contar com recursos diferenciados em relação aos cartões para pessoas físicas. Por exemplo,os serviços oferecidos pelas Travel Management Company (TMC). Neste caso, as ações relativas a viagens, em particular as viagens internacionais, são gerenciadas pelas TMC, utilizando os recursos de Card on File (COF) para realziar as transações comerciais necessárias.

Por suas características específicas, os cartões empresarias não seguem as diretrizes de SCA e exigem métodos de autenticação específicos, em colaboração com os parceiros que participam do ciclo de vida do uso dos cartões e realização das transações. A integração dos provedores de serviços com a autenticação EMV 3DS pode garantir a equivalência de autenticação à autenticação forte do cliente para os cartões de pessoas físicas. Nestes caos, a aplicação das funcionalidades de autenticação de transações de viagem, implantadas a partir da versão 2.2 é indispensável.

Autenticação transparente, segurança e facilidade de uso são diferenciais de mercado.

As instituições precisam considerar seriamente que a experiência do usuário é um fator decisivo de aprovação do cliente. Se a experiência de uso não for favorável, os clientes procurarão outras alternativas. Aí estão as Fintechs, desafiando as instituições financeiras tradicionais, oferecendo uma experiência de uso simples, amigável e transparente.

Segurança Adaptativa

Os consumidores estão mudando a forma como compram, viajam, pagam e se conectam, eliminando as fronteiras entre o físico e o digital.Desde tocar para pagar com uma carteira digital até fazer login em um aplicativo de banco móvel, os consumidores esperam que suas experiências digitais sejam simples, convenientes e seguras.A velocidade com que o comércio digital está crescendo é a prova de que os consumidores buscam uma experiência do usuário mais rica e consistente, não importa onde, quando e como eles se relacionam com sua instituição financeira e comerciantes.Ao contrário dos pagamentos no mundo físico, no entanto – onde 98% das transações são aprovadas nos EUAe a fraude é baixa – as transações com cartão não presente são atormentadas por atrito desnecessário, incerteza durante o checkout e fraude crescente.Como os cartões com chip EMV trazem maior segurança ao ponto de venda físico, os fraudadores estão voltando seus esforços para transações com cartão não presente – que agora representam 59% de todas as fraudes, embora representem apenas 22% do volume de compras hoje.À medida que a fraude se torna mais sofisticada, é cada vez mais difícil equilibrar um UX otimizado com uma autenticação forte. Uma estratégia de segurança forte e em várias camadas que aprende continuamente com um armazenamento crescente de transações, geolocalização, biometria, dispositivo e outros dados pode ajudar as instituições financeiras e os comerciantes a enganar os fraudadores.Conectar de forma inteligente as várias fontes de dados para gerar insights e impacto significativos torna-se a chave para fornecer a simplicidade e as experiências perfeitas que os consumidores exigem, mantendo sua empresa segura, mesmo que a fraude continue a evoluir.

Fonte: Mastercard - Delivering Intelligent Authentication
Mastercard ID Check 1
Mastercard ID Check 2