Ponto de vista da CA
Resumo das Diretrizes da EBA e como a CA pode ajudar
Para:
Emissores de cartões de pagamento
De:
Equipe de produtos para pagamentos digitais da CA Technologies
Assunto: Mantendo a conformidade com as Diretrizes da EBA e com a Diretiva de Segurança para Pagamentos
da UE quanto à autenticação segura
Data:
3 de fevereiro de 2015
Recentemente, a EBA (European Banking Authority - Autoridade Bancária Europeia) publicou as Diretrizes finais sobre a segurança de
pagamentos pela internet1, descrevendo os padrões mínimos de segurança do comércio pela internet que os emissores de cartão devem
implementar até 1º de agosto de 2015. Essas diretrizes baseiam-se nos regulamentos estabelecidos na PSD (Payment Security Directive - Diretiva
de Segurança para Pagamentos) da UE e incorporarão a futura PSD2 (Payment Services Directive - Diretiva de Serviços de Pagamento), quando
lançada, para garantir a adesão consistente de serviços de pagamento pela internet em todos os 28 estados que fazem parte da UE. O resultado
para os emissores de cartão é o requisito de adotar uma abordagem de autenticação
de vários fatores e de defesa total para respaldar o uso de cartões pela internet até
As 14 diretrizes específicas da EBA são resumidas a seguir:
1º de agosto de 2015.
1. Implementar e analisar regularmente uma diretiva formal de segurança
A importância de combater perdas com fraudes é destacada pelo aumento de 21,2%
de fraudes do tipo CNP (Card Not Present - Cartão Não Presente) em 2012 com
2
relação a 2011 . Em apoio ao combate contra as fraudes de pagamento, os principais
requisitos da EBA estão centrados na autenticação forte de clientes3 e têm como
objetivo aumentar a confiança dos consumidores nos serviços de pagamento pela
internet. As Diretrizes da EBA apresentam aos emissores as melhores práticas.
Seguindo essas Diretrizes, os emissores podem proteger os dados dos clientes e
garantir que o usuário legítimo, e não um fraudador, esteja iniciando um pagamento.
As Diretrizes 4, 5, 7, 8, 9, 10 e 13 apoiam uma análise detalhada sobre a
implementação de uma solução de autenticação de vários fatores. Essas
recomendações incluem:




Implementar uma solução de autenticação de titulares de cartão, como o
3D Secure (3DS), para uso na internet
Incorporar várias camadas de segurança de "defesa total"
Usar tecnologias de prevenção e detecção de fraudes para identificar
transações suspeitas
Garantir que uma solução de autenticação forte esteja habilitada para
casos de CNP (Card Not Present - Cartão Não Presente) de alto risco
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
Realizar e documentar avaliações de riscos completas
Garantir a consistência e a integração do monitoramento, do
tratamento e do acompanhamento de incidentes de segurança
Incorporar várias camadas de defesas de segurança
Utilizar processos que garantam o rastreamento adequado de todas as
transações
Identificar os clientes e confirmar a disposição deles para fazer
pagamentos pela internet
Proteger pagamentos pela internet, bem como o acesso a dados
confidenciais de pagamento usando autenticação forte de clientes3
Garantir que o registro dos clientes e o provisionamento de
autenticação sejam realizados de modo seguro
Limitar o número de tentativas de autenticação ou logon e a duração
das sessões
Utilizar ferramentas de monitoramento de transações para impedir,
detectar e bloquear pagamentos fraudulentos e submeter transações
de alto risco a avaliações e verificações específicas antes da conclusão
da transação
Proteger dados confidenciais de pagamento quando armazenados,
processados ou transmitidos
Fornecer auxílio e orientação aos clientes e comunicar a autenticidade
das mensagens recebidas
Estabelecer limites para os serviços de pagamento pela internet
e fornecer aos clientes opções para limitar ainda mais os riscos,
incluindo serviços de gerenciamento de perfis e alertas
Confirmar o início do pagamento e fornecer aos clientes, em tempo
útil, informações para verificar se um pagamento é legítimo.
Na verdade, os emissores de cartões de pagamento devem equilibrar a necessidade
de pagamentos seguros pela internet e de proteção dos dados dos titulares de
cartões com a manutenção de uma experiência simples e tranquila para os titulares de cartões. A CA Technologies oferece soluções de software
abrangentes que permitem que os emissores atendam a e excedam algumas das diretrizes da EBA e estejam preparados para os regulamentos da
PSD2 possivelmente mais rigorosos – com o intuito de proporcionar experiências de pagamento pela internet simples e seguras para os clientes.
Consulte o Apêndice A para obter mais detalhes.
Como os produtos de segurança para pagamentos da CA Technologies atendem aos requisitos
da EBA
Como provedora líder de soluções de segurança para pagamentos pela internet, a CA Technologies é o parceiro ideal para que os emissores
consigam cumprir tranquilamente o prazo de 1º de agosto de 2015. Implementando um serviço da CA Technologies de segurança para
pagamentos na nuvem, facilmente personalizável, os emissores conseguirão obter uma base eficiente para pagamentos CNP, criar uma
experiência perfeita para os clientes e atender aos requisitos estabelecidos nas diretrizes de autenticação forte da EBA.
O CA Transaction Manager, nosso serviço 3DS é usado por mais de 13.500 portfólios com mais de 150 milhões de titulares de cartões ativos no
4
mundo todo. Diariamente, um número maior de emissores está optando pelo CA Transaction Manager, pois ele possibilita uma experiência de
Copyright © 2015 CA. Todos os direitos reservados. Todas as marcas comerciais, nomes, marcas de serviço e logotipos aqui mencionados pertencem às suas respectivas empresas.
Ponto de vista da CA Technologies
compras online personalizada e dinâmica. E, como nossa equipe de produtos de segurança para pagamentos tem participado do
desenvolvimento da tecnologia 3DS (3-D Secure) desde o estabelecimento inicial do protocolo seguro, a CA Technologies é capaz de fornecer
conformidade contínua do 3DS com os programas de autenticação de titulares de cartão Verified by VISA®, MasterCard® SecureCode,
JCB J/Secure™, American Express SafeKey® e Discover/Diners ProtectBuySM.
O CA Risk Analytics é um serviço de autenticação na nuvem que não requer intervenção e utiliza avançados modelos preditivos e estatísticos e
regras dinâmicas para avaliar o risco potencial de cada transação e, instantaneamente, rejeitar, alertar, permitir ou exigir autenticação adicional
para cada transação de maneira adequada. Não ocorre nenhuma interrupção explícita para o titular do cartão durante o processo de check-out,
a menos que a verificação adicional seja acionada com base nos resultados da pontuação.
O CA Strong Authentication fornece autenticação simples, intuitiva e dinâmica que está em plena conformidade com a definição da EBA quanto à
autenticação forte de clientes. Oferecido no local ou como um serviço na nuvem, o CA Strong Authentication fornece um alerta para o titular do
cartão para a confirmação de que a transação é válida. Usando a “notificação de duas vias”, as transações identificadas como potencialmente
fraudulentas podem ser validadas instantaneamente pelos titulares dos cartões, possibilitando que eles concluam suas transações ou
identifiquem-nas como fraudulentas. Essa versátil solução de autenticação permite vários modos de autenticação, inclusive uma credencial de
software de dois fatores, OTP fornecida por meio de voz ou SMS, o aplicativo Mobile OTP, notificação de duas vias e outras opções de vários
fatores.
O que isso significa para os atuais clientes da segurança para pagamentos da CA Technologies?
A crescente sofisticação dos fraudadores e o desejo de uma experiência aprimorada para os clientes já fizeram com que inúmeros clientes da
CA Technologies optassem por nossas soluções. Esperamos que seja necessário pouquíssimo esforço por parte dos atuais usuários de nossas
soluções de comércio eletrônico para que possam estar em plena conformidade com a definição da EBA quanto à autenticação forte. Trabalhando
conosco, os clientes podem rapidamente aprimorar seus produtos. No entanto, a seguir, apresentamos algumas considerações iniciais.
Temos o compromisso de trabalhar estreitamente com os clientes e parceiros da CA para fornecer soluções que aumentem a fidelidade dos
clientes e a receita e garantam a conformidade com os mais altos padrões de segurança exigidos pelos regulamentos atuais e futuros.
O que vem a seguir?
Antecipe-se quanto ao prazo de 1º de agosto de 2015 para a implementação. Fale conosco hoje mesmo! Podemos aconselhá-lo sobre quais
produtos de segurança para pagamentos da CA Technologies podem ser adequados para suas necessidades e trabalhar com você na
implementação das melhores e mais seguras opções de autenticação à medida que você se prepara para o prazo regulamentar.
Obtenha mais informações sobre os produtos de segurança para pagamentos da CA Technologies em: www.ca.com/br/payment-security ou
envie um email para [email protected] para entrar em contato com um especialista de produtos. Os clientes da CA Technologies
podem entrar em contato com seus representantes de conta para obter uma avaliação detalhada sobre como nossas soluções de segurança
para pagamentos atendem às Diretrizes da EBA quanto à segurança de pagamentos pela internet e aos regulamentos da PSD (Payment Security
Directive - Diretiva de Segurança para Pagamentos) da UE.
1
Acesse http://www.eba.europa.eu/regulation-and-policy/consumer-protection-and-financial-innovation/guidelines-on-the-security-of-internet-payments
Acesse http://www.ecb.europa.eu/pub/pdf/other/cardfraudreport201402en.pdf
Para as Diretrizes da EBA, a autenticação forte de clientes é definida como um procedimento com base no uso de dois ou mais dos seguintes elementos – categorizados como conhecimento,
propriedade e inerência: i) algo de que somente o usuário sabe, por exemplo, senha estática, código, número de identificação pessoal; ii) algo que somente o usuário tenha, como token, Smart Card,
telefone celular; iii) algo que o usuário seja, por exemplo, característica biométrica, como uma impressão digital. Além disso, os elementos selecionados devem ser mutuamente independentes, ou seja,
a violação de um não compromete o(s) outro(s). Pelo menos um dos elementos deve ser não reutilizável e não replicável (exceto para inerência) e não suscetível a ser roubado clandestinamente pela
internet. O procedimento de autenticação forte deve ser designado de modo que proteja a confidencialidade dos dados de autenticação.
4
Fonte: dados da CA Technologies, 4o trimestre do ano calendário de 04.
2
3
Copyright © 2015 CA. Todos os direitos reservados. O material apresentado aqui é apenas para fins informativos. Nenhuma informação contida neste documento é oferecida ou pode ser
interpretada como aconselhamento jurídico. Você não deve agir com base em ou depender de qualquer informação aqui apresentada.
2
Ponto de vista da CA Technologies
Apêndice A:
Diretriz da EBA
Solução
Aplicação da solução de segurança para pagamentos
da CA Technologies
Diretiva interna do banco
Usando o CA Risk Analytics, os emissores podem personalizar dinamicamente
as configurações das diretivas de fraudes e riscos de acordo com as diretivas
individuais da instituição financeira.
Os emissores podem usar os dados de autenticação do CA Risk Analytics para
ampliar as avaliações de riscos.
1
Implementar e analisar regularmente uma
diretiva formal de segurança
2
Realizar e documentar avaliações de riscos
completas
Diretiva interna do banco
3
Garantir a consistência e a integração do
monitoramento, do tratamento e do
acompanhamento de incidentes de
segurança
Diretiva interna do banco
Solução da SIEM
4
Incorporar várias camadas de defesas de
segurança
5
Utilizar processos que garantam
o rastreamento adequado de todas
as transações
6
Identificar os clientes e confirmar
a disposição deles para fazer pagamentos
pela internet
CA Transaction Manager
CA Risk Analytics
CA Strong Authentication
A combinação desses produtos permitirá atender aos requisitos de
autenticação forte e monitoramento de transações, alcançando "defesa total"
para transações de pagamento pela internet.
CA Transaction Manager
CA Risk Analytics
O CA Transaction Manager implementa o 3D Secure, de modo que todas as
transações possam ser autenticadas. O CA Risk Analytics fornece dados de
autenticação adicional e uma trilha de auditoria para cada transação. Os
recursos de gerenciamento de casos fornecem dados "reais" de fraude.
Diretiva interna do banco
CA Transaction Manager
CA Strong Authentication
CA PIM (Privileged Identity
Manager)
O CA Transaction Manager implementa o 3D Secure, de modo que todas as
transações possam ser autenticadas. O CA Strong Authentication fornece
diversas opções para autenticação de vários fatores, inclusive OTP via SMS,
aplicativo Mobile OTP, notificações de duas vias e senhas "invioláveis" para
pagamentos pela internet e para o acesso aos dados confidenciais de
pagamento. O CA PIM fornece controles refinados e completos de acesso do
usuário, gerenciamento de senhas de contas compartilhadas, ponte de
autenticação e geração de relatórios de atividades dos usuários — em
ambientes físicos e virtuais para usuários com privilégios.
7
Proteger pagamentos pela internet e o acesso
a dados confidenciais de pagamento usando
3
autenticação forte de clientes
Garantir que o registro dos clientes
e o provisionamento de autenticação sejam
realizados de modo seguro
CA Strong Authentication
Fornece registro seguro, FYP e fluxos de trabalho de desprovisionamento.
8
9
Limitar o número de tentativas de
autenticação ou logon e a duração das
sessões
CA Strong Authentication
CA SSO (Single Sign-on)
Com o CA Strong Authentication, os emissores podem selecionar os limites
para as tentativas de autenticação. O CA SSO pode incorporar logons de
vários canais.
10
Utilizar ferramentas de monitoramento de
transações para impedir, detectar e bloquear
pagamentos fraudulentos e submeter
transações de alto risco a avaliações
e verificações específicas antes da conclusão
da transação
11
Proteger dados confidenciais de pagamento
quando armazenados, processados ou
transmitidos
12
Fornecer auxílio e orientação aos clientes
e comunicar a autenticidade das mensagens
recebidas
13
Estabelecer limites para os serviços de
pagamento pela internet e fornecer aos
clientes opções para limitar ainda mais os
riscos, incluindo serviços de gerenciamento
de perfis e alertas
14
Confirmar o início do pagamento e fornecer
aos clientes, em tempo útil, informações para
verificar se um pagamento é legítimo
CA Risk Analytics
O CA Risk Analytics fornece análise em tempo real de cada transação, aplica
modelos avançados de autenticação do 3D Secure e gera uma pontuação que
identifica as transações legítimas e as de alto risco. As regras dinâmicas
permitem que você aplique diretivas de negócios personalizadas.
Diretiva interna do banco
Os produtos da CA fazem isso
com os dados que
gerenciamos
A CA Technologies mantém datacenters de soluções de comércio eletrônico
que passam pela auditoria SSAE 16 e que estão em conformidade com o PCI
(Payment Card Industry), de modo que os dados transmitidos durante
o processo de autenticação mantenham a proteção dos dados dos titulares
dos cartões.
Diretiva interna do banco
O CA Transaction Manager e o CA Risk Analytics podem dar suporte a CSMs
(Customer Service Managers - Gerentes de Atendimento ao Cliente) na
determinação de quando uma transação potencialmente fraudulenta tiver
ocorrido. O CSM poderá então comunicar essas informações ao cliente.
CA Transaction Manager
CA Risk Analytics
CA Strong Authentication
O CA Risk Analytics pode analisar uma transação e determinar seu nível de
risco. Ele pode enviar um alerta aos clientes, solicitar autenticação adicional
ou rejeitar a transação com base nas diretivas do banco. O CA Strong
Authentication pode enviar uma OTP via SMS, email ou voz ou disparar uma
notificação de duas vias para que o cliente possa responder imediatamente
a fim de dar continuidade a uma transação.
Diretiva interna do banco
Copyright © 2015 CA. Todos os direitos reservados. O material apresentado aqui é apenas para fins informativos. Nenhuma informação contida neste documento é oferecida ou pode ser
interpretada como aconselhamento jurídico. Você não deve agir com base em ou depender de qualquer informação aqui apresentada.
3
Ponto de vista da CA Technologies
1
Diretrizes finais da EBA (European Banking Authority - Autoridade
Bancária Europeia) sobre a segurança de pagamentos pela internet
Comunicado à imprensa
Londres, Reino Unido
Data de publicação: 19/12/2014 | EBA/GL/2014/12
A EBA publicou hoje suas Diretrizes finais sobre a segurança de pagamentos pela internet, que estabelecem os requisitos de segurança
mínimos que as PSPs (Payment Services Providers - Prestadoras de Serviços de Pagamento) na UE deverão implementar até 1º de agosto
de 2015. Devido ao aumento de fraudes relacionadas a pagamentos pela internet, a EBA decidiu que era necessária a implementação de
uma estrutura mais segura para pagamentos pela internet por toda a UE. Essas Diretrizes baseiam-se no trabalho técnico realizado pelo
Fórum Europeu quanto à segurança de pagamentos de varejo (SecuRe Pay).
Entre as diversas medidas destinadas a aumentar a eficiência e a segurança de pagamentos pela internet na UE, as diretrizes da EBA exigem, em
particular, que as PSPs (Payment Service Providers - Prestadoras de Serviços de Pagamento) realizem a autenticação forte de clientes a fim de
verificar a identidade do cliente antes de dar continuidade a um pagamento online, uma das principais medidas para impedir fraudes pela internet,
seja por meio de serviços bancários ou de pagamentos com cartão pela internet. Essas Diretrizes, que se baseiam no trabalho técnico realizado pelo
SecuRe Pay, o fórum de cooperação voluntária que reúne bancos centrais e supervisores de PSPs, serão aplicáveis a todas as PSPs da UE de
maneira consistente a partir de agosto de 2015.
A EBA decidiu estabelecer essas Diretrizes devido aos níveis crescentes de fraudes observados em pagamentos pela internet. Números mais
recentes da UE mostraram que, sozinhas, as fraudes em pagamentos com cartão pela internet causaram € 794 milhões de perdas em 2012 (um
aumento de 21,2% com relação ao ano anterior). Desse modo, foi necessária uma reação regulamentar consistente e oportuna enquanto
é aguardada a revisão da Diretiva de Serviços de Pagamento, a qual se destina à criação de regras mais seguras, competitivas e de fácil utilização
pelos consumidores quanto a pagamentos na UE.
Geoffroy Goffinet, da Unidade de proteção aos consumidores da EBA, explicou que: "as diretrizes da EBA quanto a pagamentos pela internet
fornecem a base legal para alcançar condições de igualdade para todas as PSPs na UE. Por meio desse trabalho, a EBA tem como objetivo dar
suporte ao desenvolvimento do comércio eletrônico na UE e garantir a proteção adequada aos consumidores".
As PSPs também deverão dar assistência e orientação a seus clientes com relação ao uso seguro de serviços de pagamento pela internet.
Especificamente, elas terão de implementar programas para conscientização dos clientes, de modo a garantir que seus usuários compreendam os
riscos e as melhores práticas para pagamentos pela internet.
Quanto à proteção dos dados dos consumidores, as Diretrizes preveem que as PSPs que oferecem serviços de pagamento com cartões a
comerciantes eletrônicos devem incentivá-los a não armazenar dados confidenciais de pagamento ou exigir que eles tomem as medidas necessárias
para proteger esses dados. As PSPs também deverão realizar verificações regulares. Se for detectado que um comerciante eletrônico que manipula
dados confidenciais de pagamento não utiliza as medidas de segurança necessárias, as PSPs deverão realizar as etapas para reforçar isso como uma
obrigação contratual ou encerrar o contrato.
Espera-se que todas as autoridades competentes na UE sigam essas Diretrizes, incorporando-as a suas práticas de supervisão e alterando sua
estrutura legal ou seus processos de supervisão de acordo.
Nota aos editores
Essas Diretrizes fornecerão uma base legal sólida para a segurança de pagamentos pela internet para todos os estados que fazem parte da UE
enquanto a Diretiva de Serviços de Pagamento (conhecida como PSD2) é finalizada nos próximos anos. Uma discussão sobre a implementação
dessas Diretrizes foi iniciada em outubro de 2014.
O trabalho da EBA nessa área resulta de um esforço conjunto com o ECB (European Central Bank - Banco Central Europeu), a fim de aumentar a
segurança de pagamentos de varejo, e foi desenvolvido com base nas recomendações estabelecidas em janeiro de 2013 pelo Fórum Europeu quanto
à segurança de pagamentos de varejo (SecuRe Pay). O SecuRe Pay foi criado em 2011 como uma cooperação voluntária entre supervisores de PSPs
e supervisores de sistemas de pagamento e instrumentos/esquemas de pagamento na UE e no EEE, com o objetivo de facilitar o compartilhamento
de conhecimento e compreender a segurança de instrumentos e serviços de pagamentos eletrônicos.
Contatos de imprensa:
Srta. Franca Rosa Congiu
Email: [email protected] - Tel: +44 (0) 207 382 1772
Copyright © 2015 CA. Todos os direitos reservados. O material apresentado aqui é apenas para fins informativos. Nenhuma informação contida neste documento é oferecida ou pode ser
interpretada como aconselhamento jurídico. Você não deve agir com base em ou depender de qualquer informação aqui apresentada.
4