Przepisy dotyczące usług płatniczych PSD2 wymagają od dostawców usług płatniczych, takich jak CaixaBank, zastosowania procedur, które pozwalają zweryfikować Twoją tożsamość lub ważność używanego instrumentu płatniczego (np. karty). Ta procedura nazywa się UWIERZYTELNIANIEM.
 
Uwierzytelnianie może być proste lub silne. Musi być silne, gdy:

  1. uzyskujesz dostęp do konta płatności online (na przykład po zalogowaniu do CaixaBankNow);
  2. inicjujesz operację płatności elektronicznej lub przelewu ( np. kiedy dokonujesz przelewu w celu zapłaty za prezent dla znajomego). Począwszy od 2021 r. wzmocnione uwierzytelnianie będzie miało również zastosowanie do zakupów dokonywanych online.
  3. wykonujesz przez zdalny kanał transakcję, która może się wiązać z ryzykiem oszustwa płatniczego lub innych nadużyć (np. subskrypcja danej usługi przez Internet typu portal seriali online).

Silne uwierzytelnianie musi się opierać na wykorzystaniu przynajmniej dwóch niezależnych elementów, aby naruszenie jednego nie zagrażało wiarygodności innych. Ma to również zapewnić ochronę poufności Twoich danych. Te elementy mogą mieć trzy rodzaje:

 

Wiedza („coś, co wie tylko użytkownik”)

Na przykład statyczny tajny kod, PIN

Posiadanie („coś, co ma tylko użytkownik”)

Na przykład token, telefon komórkowy

Cecha klienta („coś, czym jest użytkownik”)

Na przykład odcisk palca, skan tęczówki, dane biometryczne



  • Elementy wiedzy (coś, co tylko Ty wiesz: hasło, PIN, wiedza oparta na pytaniach...)
  • Posiadane elementy (coś, co tylko Ty posiadasz: musi to być coś, co potwierdzi to posiadanie przez wygenerowanie lub odbiór elementu, który podlega dynamicznemu sprawdzeniu w urządzeniu, jak wygenerowanie OTP, tokena lub powiadomienia typu push)
  • Cechy klienta (coś, czym jesteś: skaner linii papilarnych, rozpoznawanie głosu, skaner siatkówki...).

W przypadku inicjowania elektronicznych transakcji płatniczych (na przykład płatności kartą, dokonując zakupów online lub wysłania przelewu za pomocą CaixaBankNow) konieczne jest również, aby jeden z trzech elementów uwierzytelniania opisanych tutaj był dynamiczny: dla każdej kwoty i beneficjenta zostanie wygenerowany kod i nie będzie można go użyć w transakcji, w której kwota i beneficjent nie są zgodni. Ważność kodu również będzie ograniczona w czasie.