Comarch tPro Mobile

Uwierzytelnianie użytkownika i autoryzację transakcji

tPro Mobile to platforma mobilna wpierająca silne uwierzytelnianie użytkownika i autoryzację transakcji zgodnie z wytycznymi dyrektywy PSD2.

Składa się zewnętrznej aplikacji oraz bibliotek programistycznych do integracji z istniejącymi produktami. Zastosowane mechanizmy bezpieczeństwa oparte na silnej kryptografii oraz mechanizmy wewnętrznej analizy zachowania aplikacji zapewniają wysoki stopień bezpieczeństwa przy jednoczesnej wygodzie użytkowania.

tpro mobile zalety

tPro Mobile wyposażono w narzędzia, które utrudniają przeprowadzenie ataku i przechwycenie istotnych danych przez osoby trzecie.

Pełna zgodność z protokołem OATH umożliwia wykorzystanie aplikacji jako drugiego wektora uwierzytelnienia do usług takich jak poczta czy portale społecznościowe.

Klienci Comarch Cyber Security

Dowiedz się więcej o tPro Mobile

Uwierzytelnianie

Platforma zapewnia szeroki wachlarz mechanizmów uwierzytelniania: od tradycyjnego kodu PIN przez odcisk palca aż po rozpoznawanie twarzy. Dzięki pełnej zgodności z OATH, aplikacji tPro Mobile można używać jako dodatkowego składnika uwierzytelnienia 2FA do krytycznych zasobów takich jak poczta, panele administracyjne, media społecznościowe. Dzięki wersji w postaci bibliotek programistycznych możliwa jest także szybka integracja tPro Mobile z istniejącymi już na rynku produktami.

Autoryzacja

To co widzisz jest tym, co podpisujesz: tak najkrócej można określić zasadę, na której bazuje tPro Mobile. Mechanizmy detekcji zagrożeń w czasie rzeczywistym pozwalają na wykrycie potencjalnie groźnych czynników jak luki w konfiguracji i podejrzane aktywności. Mechanizm interaktywnego wprowadzania danych zabezpiecza przed podmianą kluczowych parametrów transakcji takich jak IBAN czy kwota przelewu. Informacja na temat aktywności w obrębie chronionych zasobów dostarczana jest do użytkownika przy pomocy notyfikacji PUSH (zamiast SMS).

Architektura rozwiązania i procedura parowania zabezpieczają użytkownika przed sklonowaniem aplikacji i nieautoryzowanym dostępem osób trzecich. Tryb offline umożliwia generację kodu autoryzacyjnego dla transakcji nawet w przypadku kiedy urządzenie jest poza zasięgiem sieci. Dodatkowo, rozwiązanie tPro Mobile posiada szereg funkcji, które ukrywają informacje o rezultacie istotnych z punktu widzenia bezpieczeństwa operacji (takich jak wprowadzenie PIN-u).

Tryb proaktywny

W celu minimalizacji ryzyka oszustwa, tPro Mobile przewiduje różne warianty autoryzacji transakcji. Od standardowego – polegającego na wciśnięciu przycisku – po interaktywny, w którym użytkownik przed zatwierdzeniem transakcji proszony jest o ponowne wprowadzenie części krytycznych danych. Taki scenariusz pozwala na zaangażowanie użytkownika w proces autoryzacji przelewu, dzięki czemu już na etapie jego składania możliwe jest wykrycie potencjalnych nieprawidłowości. tPro Mobile daje także możliwość zatwierdzania transakcji w trybie offline przy pomocy dynamicznie generowanego kodu autoryzacyjnego. Nad bezpieczeństwem użytkownika, poza silną kryptografią, czuwa także szereg mechanizmów monitorowania działania aplikacji, których celem jest wykrywanie zagrożeń w czasie rzeczywistym.

Bezpieczeństwo

Uwierzytelnianie przy użyciu danych biometrycznych
Uwierzytelnianie przy użyciu faceID (iPhone X),
Uwierzytelnianie przy użyciu touchID,
Mechanizmy monitorowania wewnętrznego stanu aplikacji
Detekcja root
Detekcja jailbrake
Detekcja debugowania
Detekcja trybu symulatora
Dwuskładnikowy process parowania (QR + SMS)
Szyfrowana komunikacja z serwerem autoryzacyjnym
Kryptografia krzywych eliptycznych

Zgodność z OATH (Open Authentication Initiative)

tPro Mobile oferuje silne uwierzytelnianie klienta i autoryzację transakcji za pomocą algorytmów HOTP, TOTP i OCRA, które zostały przyjęte przez Open Authentication Initiative (OATH).

Cechy Comarch tPro Mobile

L.p.	Nazwa funkcjonalności	Opis funkcjonalności	SDK	Aplikacja
1.	Asystent głosowy	Informuje użytkownia o funkcjonanościach aplikacji w formie narracji głosowej	X	V
2.	Detekcja zagrożeń	Monitorowania działania aplikacji w celu wykrycia podejrzanych aktywności w czasie rzeczywistym	V	V
3.	Ochrona kluczy przy pomocy silnej kryptografii	W przypadku braku modułu sprzętowego TPM klucze użytkownika są zabezpieczone przy pomocy silnej kryptografii	V	V
4.	*Bezpieczny magazyn dla krytycznych danych	Krytyczne dane są przechowywane w bezpiecznym sprzętowym magazynie	V	V
5.	Identyfikacja urządzenia	Mechanizmy przeciwdziałające podszywaniu się pod urządzenie	V	V
6.	Powiązanie z urządzeniem	Użytkownik zostaje powiązany z urządzeniem na etapie parowania	V	V
7.	Kanał komunikacyjny ECC	Komunikacja z serwerem jest szyfrowana przy użycia asymetrycznego klucza ECC	V	V
8.	WYSIWYS	Podpisujesz to co widzisz - zabezpieczenie przed modyfikacją danych transakcji	X	V
9.	Biometryka twarzy	Uwierzytelnianie przy użyciu twarzy (iPhone X)	V	V
10.	Fingerprint authentication	Uwierzytelnianie przy uzyciu odcisku palca	V	V
11.	Wparcie dla kodów 2D	Wsparcie dla bezpiecznego procesu parowania opartego o kody QR	V	V
12.	Notyfikacje PUSH	Notyfikacje PUSH zamiast tradycyjnych kodów SMS	X	V
13.	Podpisywanie transakcji	Dane zawarte w tranasakcji są podpisywane przy użyciu silnej kryptografii (PKI)	V	V
14.	Online/Offline mode	Umożliwia podpis pod dyspozycją kiedy telefon jest poza zasięgiem sieci (OTP)	V	V
15.	Tryb pro-aktywny	Tryb proaktywny aktywuje uzytkownika w proces uzupełniania fragmentu numeru konta lub kwoty	V	V
16.	PIN hint	Bezpieczny sposób informowania użytkownika o pomyłce w trakcie wprowadzania kodu PIN	X	V
17.	Zabezpieczenie przed atakami brute force	Atakujący nie jest w stanie na podstawie zachowania aplikacji dowiedzieć się czy wprowadzane hasło jest poprawne	X	V

Rozwiązania Comarch Cyber Security

Skontaktuj się z ekspertem Comarch

Zachęcamy do kontaktu z naszymi ekspertami w celu szczegółowego omówienia interesujących Państwa produktów i usług skierowanych do branży finansowej.

Przejdź do formularza