PSD2 e Open Banking

PSD2

PSD2

Introdução

A Diretiva de Serviços de Pagamento revisada para a União Europeia (PSD2) visa aumentar a concorrência, a transparência e a inovação nos mercados de pagamento, ao mesmo tempo em que aumenta a segurança dos pagamentos e reduz a fraude.

Para atingir esse objetivo, o PSD2 exige que os bancos concedam aos provedores terceirizados (TTPs) acesso aos serviços de pagamento online de um consumidor de maneira regulamentada e segura, com o consentimento do consumidor. Os TTPs podem então lidar com diferentes serviços financeiros para os consumidores.

No entanto, para dar acesso aos TTPs, os bancos trabalham com APIs abertas, que precisam atender padrões rigorosos para proteger as contas dos clientes.

Os TTPs precisam fornecer autenticação forte para garantir um maior nível de segurança no uso de seus aplicativos sempre que os clientes acessarem informações de contas para efetuar pagamentos.

Este texto explica como o CoffeeBean ajuda seus clientes a alcançar esses dois pontos principais relacionados à autenticação e segurança: APIs abertas e autenticação forte.

PSD2

Introdução

A Diretiva de Serviços de Pagamento revisada para a União Europeia (PSD2) visa aumentar a concorrência, a transparência e a inovação nos mercados de pagamento, ao mesmo tempo em que aumenta a segurança dos pagamentos e reduz a fraude.

Para atingir esse objetivo, o PSD2 exige que os bancos concedam aos provedores terceirizados (TTPs) acesso aos serviços de pagamento online de um consumidor de maneira regulamentada e segura, com o consentimento do consumidor. Os TTPs podem então lidar com diferentes serviços financeiros para os consumidores.

No entanto, para dar acesso aos TTPs, os bancos trabalham com APIs abertas, que precisam atender padrões rigorosos para proteger as contas dos clientes.

Os TTPs precisam fornecer autenticação forte para garantir um maior nível de segurança no uso de seus aplicativos sempre que os clientes acessarem informações de contas para efetuar pagamentos.

Este texto explica como o CoffeeBean ajuda seus clientes a alcançar esses dois pontos principais relacionados à autenticação e segurança: APIs abertas e autenticação forte.

PSD2

AISP e PISP

Antes de entrar no tópico sobre APIs abertas e autenticação forte, é importante entender os dois tipos de provedores de serviços de pagamento para lidar com as finanças apresentadas no PSD2:

  • AISP (Account Information Service Providers): é um provedor que sabe tudo sobre as contas dos clientes bancários. Essas informações podem ser usadas em ferramentas analíticas para rastrear e estudar transações ou coletar dados comportamentais do usuário que ajudarão os TPPs a atender necessidades mais específicas do usuário.
  • PISP (Payment Initiation Service Providers): esse tipo de provedor instrui a conta bancária de um cliente para efetuar pagamentos. Isso leva a um processo de compra em e-commerce muito mais rápido, já que o pagamento é direto.

Ambos os provedores, AISPs e PISPs, têm acesso direto às contas bancárias do cliente por meio das APIs abertas do banco que serão discutidas no próximo tópico.

PSD2

AISP e PISP

Antes de entrar no tópico sobre APIs abertas e autenticação forte, é importante entender os dois tipos de provedores de serviços de pagamento para lidar com as finanças apresentadas no PSD2:

  • AISP (Account Information Service Providers): é um provedor que sabe tudo sobre as contas dos clientes bancários. Essas informações podem ser usadas em ferramentas analíticas para rastrear e estudar transações ou coletar dados comportamentais do usuário que ajudarão os TPPs a atender necessidades mais específicas do usuário.
  • PISP (Payment Initiation Service Providers): esse tipo de provedor instrui a conta bancária de um cliente para efetuar pagamentos. Isso leva a um processo de compra em e-commerce muito mais rápido, já que o pagamento é direto.

Ambos os provedores, AISPs e PISPs, têm acesso direto às contas bancárias do cliente por meio das APIs abertas do banco que serão discutidas no próximo tópico.

APIs

APIs Abertas

Antes do PSD2, os bancos na Europa tinham apenas APIs internas e ofereciam serviços por meio de seus aplicativos proprietários. Agora, com o regulamento PSD2, esses bancos vão criar APIs públicas que aplicativos de terceiros podem acessar para fornecer diferentes tipos de serviços (AISP e PISP).

Para evitar riscos de segurança e fraudes, os Provedores de Serviços de Pagamento de Serviços de Conta (ASPSPs) precisam proteger essas APIs de serviços financeiros. A melhor maneira de atingir esse nível de segurança é usar a estrutura de autorização OAuth 2.0 com a camada de autenticação OpenID Connect adicional.

  • OAuth 2.0 é um framework de autorização que, neste contexto, pode ser utilizado pelo TPP para solicitar ao usuário a concessão de autorização para acessar algumas informações de sua conta bancária. Durante este processo o usuário não precisa revelar uma senha ou qualquer tipo de credencial, o TPP receberá apenas um token de acesso da API.
  • OpenID Connect é uma camada de autenticação que estende o OAuth 2.0 para verificar a identidade do usuário por um provedor de identidade (IdP). Se o usuário for autenticado, o IdP fornecerá ao TPP um token de identidade e tokens de acesso que podem ser trocados por recursos do usuário.

A CoffeeBean fornece suporte e APIs para implementar fluxos OAuth 2.0 e OpenID Connect.

APIs

APIs Abertas

Antes do PSD2, os bancos na Europa tinham apenas APIs internas e ofereciam serviços por meio de seus aplicativos proprietários. Agora, com o regulamento PSD2, esses bancos vão criar APIs públicas que aplicativos de terceiros podem acessar para fornecer diferentes tipos de serviços (AISP e PISP).

Para evitar riscos de segurança e fraudes, os Provedores de Serviços de Pagamento de Serviços de Conta (ASPSPs) precisam proteger essas APIs de serviços financeiros. A melhor maneira de atingir esse nível de segurança é usar a estrutura de autorização OAuth 2.0 com a camada de autenticação OpenID Connect adicional.

  • OAuth 2.0 é um framework de autorização que, neste contexto, pode ser utilizado pelo TPP para solicitar ao usuário a concessão de autorização para acessar algumas informações de sua conta bancária. Durante este processo o usuário não precisa revelar uma senha ou qualquer tipo de credencial, o TPP receberá apenas um token de acesso da API.
  • OpenID Connect é uma camada de autenticação que estende o OAuth 2.0 para verificar a identidade do usuário por um provedor de identidade (IdP). Se o usuário for autenticado, o IdP fornecerá ao TPP um token de identidade e tokens de acesso que podem ser trocados por recursos do usuário.

A CoffeeBean fornece suporte e APIs para implementar fluxos OAuth 2.0 e OpenID Connect.

Strong Authentication

Strong Authentication

De acordo com o regulamento PSD2, autenticação forte (strong authentication) significa que as transações são autenticadas usando dois ou mais dos três métodos independentes:

  • Conhecimento: algo que o usuário sabe (por exemplo, senha ou PIN)
  • Posse: algo que o usuário possui (por exemplo, dispositivo ou token)
  • Inerência: algo que o usuário é (por exemplo, impressão digital ou reconhecimento facial)

A CoffeeBean possui uma solução completa para autenticação forte, que é composta por uma solução Multi-Factor Authentication (MFA), Authentication Intelligence e Adaptive Authentication

 

Esta solução inclui um módulo baseado em FIDO (Fast IDentity Online) para suportar as especificações Universal Authentication Framework (UAF), Universal Second Factor (U2F) e FIDO2.

Strong Authentication

Strong Authentication

De acordo com o regulamento PSD2, autenticação forte (strong authentication) significa que as transações são autenticadas usando dois ou mais dos três métodos independentes:

  • Conhecimento: algo que o usuário sabe (por exemplo, senha ou PIN)
  • Posse: algo que o usuário possui (por exemplo, dispositivo ou token)
  • Inerência: algo que o usuário é (por exemplo, impressão digital ou reconhecimento facial)

A CoffeeBean possui uma solução completa para autenticação forte, que é composta por uma solução Multi-Factor Authentication (MFA), Authentication Intelligence e Adaptive Authentication

 

Esta solução inclui um módulo baseado em FIDO (Fast IDentity Online) para suportar as especificações Universal Authentication Framework (UAF), Universal Second Factor (U2F) e FIDO2.

Identity and Access Platform for PSD2

Identity and Access Platform para PSD2 e Open Banking

A Plataforma de Identidade e Acesso da CoffeeBean auxilia bancos, TPPs, varejos e qualquer outro negócio que precise seguir estas regulamentações em diferentes níveis, fornecendo tecnologias de alto padrão para APIs abertas, autenticação segura e biometria.

Além dos protocolos para APIs e MFA para autenticação mais segura, nossa solução fornece autenticação adaptativa e análise de risco, trazendo uma camada adicional de segurança para suas aplicações.

A plataforma da CoffeeBean gerencia a identidade dos usuários de forma segura e coleta dados que podem ser usados para soluções Know Your Customer (KYC). Ela também se integra a SIEMs e serviços de inteligência de ameaças.

Ao gerenciar identidades e dados, a solução facilita o processo de coleta, armazenamento e edição de consentimentos de usuários, ajudando sua empresa a cumprir também outras regulamentações de privacidade, como a LGPD.

Entre em contato conosco para discutir mais sobre como o CoffeeBean pode ajudar em seu projeto de Open Banking.

Identity and Access Platform for PSD2

Identity and Access Platform para PSD2 e Open Banking

A Plataforma de Identidade e Acesso da CoffeeBean auxilia bancos, TPPs, varejos e qualquer outro negócio que precise seguir estas regulamentações em diferentes níveis, fornecendo tecnologias de alto padrão para APIs abertas, autenticação segura e biometria.

Além dos protocolos para APIs e MFA para autenticação mais segura, nossa solução fornece autenticação adaptativa e análise de risco, trazendo uma camada adicional de segurança para suas aplicações.

A plataforma da CoffeeBean gerencia a identidade dos usuários de forma segura e coleta dados que podem ser usados para soluções Know Your Customer (KYC). Ela também se integra a SIEMs e serviços de inteligência de ameaças.

Ao gerenciar identidades e dados, a solução facilita o processo de coleta, armazenamento e edição de consentimentos de usuários, ajudando sua empresa a cumprir também outras regulamentações de privacidade, como a LGPD.

Entre em contato conosco para discutir mais sobre como o CoffeeBean pode ajudar em seu projeto de Open Banking.