Effects of PSD2 on security architecture of mobile banking : a review of literature

Abstract

This thesis aims to find out the changes that the Payment Service Directive (PSD2) will bring to the security architecture of mobile banking. PSD2 will create a situation where security mechanisms are separated from the actual banking application. Payment service providers must provide their Application Programming Interface for third party developers to give them access to authentication of payment transactions. PSD2 requires payments service providers to offer strong customer authentication with separate authentication mechanism from the banking application. This thesis found that academic literature about the security architecture of mobile banking does not provide a model where a separate authentication mechanism should communicate separately from the mobile banking application. Academic research could however, provide solution to use the Public Key Infrastructure of a certificateless asymmetric encryption to achieve demand of PSD2 to offer strong encryption and means to check the integrity of data and make transactions non-reputable. The research in this thesis was conducted as a systematic literature review, which found 22 academic publications about the security architecture. The comparison between the demands of PSD2 with the academic literature was done by listing security demands and responsibilities of PSD2 and comparing them with themes found from the research material.

PSD2 vaikutukset mobiilipankkien tietoturva-arkkitehtuuriin.

Tämän pro gradu -tutkielman tarkoituksen on selvittää, mitä muutoksia maksupalveludirektiivi (PSD2) tuo mobiilipankkien tietoturva-arkkitehtuurille. Astuessaan voimaan PSD2 luo tilanteen, jossa mobiilipankkien tietoturvamekanismit ovat erillään varsinaisesta mobiilipankkisovelluksesta. PSD2 mukaan maksupalveluiden tarjoajien on annettava pääsy heidän tietoturvamekanismeihinsa ulkopuolisille sovelluskehittäjille API:n (Application Programming interface) avulla. PSD2 vaatii myös, että maksupalveluiden tarjoajat luovat vahvan asiakkaan tunnistautumisen, joiden pitää olla erillisiä ja itsenäisiä toimintoja mobiilipankkisovelluksesta. Tieteellisessä tutkimuksessa ei esitetä tietoturva-arkkitehtuurimallia, jossa erilliset tunnistautumissovellukset toimisivat erillisen mobiilipankkisovelluksen kanssa. Tieteellinen tutkimus voi kuitenkin tarjota ratkaisun PSD2:n vaatimuksiin tiedon salaamiseksi ja viestiliikenteen virheettömyyden takaamiseksi. Tämä voidaan tutkimuksen perusteella toteuttaa PKI:n (public key infrastructure) tai sertifikaatittoman epäsymmetrisen salausjärjestelmän avulla. Tässä pro gradu -tutkielmassa käytettään systemaattista kirjallisuuskatsausta selvittämään PSD2 tuomat muutokset. Vertailu toteutettiin listaamalla PSD2:n turvallisuuteen liittyvät vaatimukset ja velvollisuudet, joita sitten vertaillaan kirjallisuudesta löydettyjen teemojen kanssa. Tutkielma löysi lopulliseksi tutkimusmateriaaliksi 22 tieteellistä artikkelia mobiilipankkien tietoturva-arkkitehtuurin toteuttamiseksi.