به گزارش بانک اول محتوای این بخشنامه که از اداره نظامهای پرداخت بانک مرکزی صادر شده، مانند بخشنامهای که در خصوص رعایت کردن سقف تراکنشهای پرداخت ابلاغ شده بود، ماهیتی تذکرآمیز دارد. در بندهایی که در این بخشنامه وجود دارد، مساله اصلی و مورد تمرکز آن، تاکید بر فرایند احراز هویت به صورت غیرحضوری است. بانک مرکزی و اداره نظامهای پرداخت با توجه به وضعیت نابسامان احراز هویت در سرویسهای برخی بانک ها در حرکتی هوشیارانه اقدام به انتشار بخشنامهای جدید و تذکر موارد امنیتی در این حوزه کرد این گزارش به بررسی نگرانیهای بانک مرکزی در خصوص موارد امنیتی در استفاده از سرویسهای بانکی دارد.
مروری بر یک بخشنامه
روند جهانی در حوزه بانکداری و پرداخت دیجیتال، خارجشدن بانکها از حوزه بانکداری خرد در سطح UI/UX و ایجاد دسترسی برای نهادهای ثالث (third party) است، بنابراین استارتآپهای فناوری مالی (fintech) پتانسیل زیادی برای گسترش بازارهای خرد در بانکها دارند. عصر نوین بانکداری دیجیتال را میتوان عصر بانکداری باز یا open API دانست که بانکها و شرکتهای پرداختی، سرویسهای خود را به صورت API در اختیار فینتکها قرار داده و عملا این شرکتها را درگاه جذب تراکنش و تعامل با مشتری خواهند کرد.
این در حالی است که مهرماه سال گذشته، بانک مرکزی مستندی با عنوان «سیاست بانک مرکزی جمهوری اسلامی ایران در خصوص فناوری مالی» را منتشر کرده بود. این مستند بسیار کلی و در ۱۲ بند سیاستهای این بانک را در حوزه فناوریهای مالی مشخص کرده است. در بند دهم این مستند تصریح شده «احراز هویت و اهلیت همه استفادهکنندگان (کاربران نهایی) هر یک از کسبوکارها، ضروری بوده و پیش از ارایه هرگونه خدمت به ایشان باید انجام شود، بنابراین تمام پرداختسازها که طبق تعریف، آغازکنندگان و گردآورندگان دستور پرداخت(اپ های موبایلی بانکی و مالی) هستند، باید احراز هویت را بهدرستی انجام دهند «.
اما آنچه در بخشنامه جدید بانک مرکزی به آن تاکید شده، جلوگیری از ایجاد موج جدیدی از تخلفات است که با ورود سریع این نهاد در این بخش به نظر میرسد این چالش در نطفه خفه خواهد شد.
در بخشنامه جدید آمده است: اخیرا مشاهده شده خدمات بانکی غیرحضوری از سوی بانکهای کشور از طریق برنامکهای موبایلی ارایه میشود که در صورت عدم توجه دقیق به مقررات مربوطه، مخاطرات بزرگی برای شبکه بانکی در پی خواهد داشت. لذا ضروری است به دقت نکات ذیل مورد امعان قرار گیرد.
الف) در زمینه مرتبط با پرداخت سازها در حال حاضر صرفا خدمات کارت به کارت طبق بخشنامه ۹۶/۸۸۰۹۸ مورخ ۲۵ خرداد ماه اعلام شده، مجاز است و ارائه هر گونه خدمت دیگر در قالب پرداخت ساز غیر مجاز تلقی میشود.
ب) ارائه خدمات کارت به کارت در قالب پرداخت ساز تنها با رعایت دقیق بخشنامه اشاره شده در بخش الف صورت پذیرد؛ عدم رعایت کامل بخشنامه مذبور باعث ایجاد رخنه در سامانههای آن بانک شده و فرصت سوءاستفاده برای سایر خلافکاران را فراهم خواهد آورد.
ج) سایر خدمات بانکی به ویژه مانده گیری و انتقال از /به حساب درون /برون بانکی نیز تنها در قالب اینترنت بانک با رمز و نام کاربری مشخص و احراز هویت کامل مطابق ضوابط و از طریق سامانههای رمزنگاری شده End to End Encryption قابل اجر است.
جوسازی از طریق رسانهها
در هر حال به نظر میرسد همزمان با ارایه این بخشنامه، برخی از این شرکتها به دلیل به خطر افتادن منافعشان که البته دقیقا هم مشخص نیست در کدام بخش ارایه این سرویس منفعت دارند، در حرکتی غیرمعمول توسط یک رسانه شایعه کردند که بانک مرکزی سرویس کارت به کارت را از طریق اپلیکیشنهای موبایلی قطع کرد، درحالیکه این بانک به منظور سیاستگذاری و جلوگیری از ایجاد آشفتهبازاری که میتوانست در آینده تبعات امنیتی و اقتصادی را برای شبکه بانکی کشور به دنبال داشته باشد، بخشنامه مذکور را صادر کرد. اما با این حال برخی جریانات علاقه مندند این موضوع را به مسیر دیگری سوق دهند تا ماهی خود را از آب گلآلود صید کنند.
تاکید بر امنیت در ابزارهای موبایلی
ب- ارایه خدمت کارت به کارت در قالب پرداختساز باید صرفا با رعایت دقیق بخشنامه اشارهشده در بند "الف" صورت پذیرد. عدم رعایت کامل بخشنامه مزبور باعث ایجاد امکان رخنه در سامانههای آن بانک شده و فرصت سوءاستفاده برای خلافکاران را مهیا خواهد کرد.
پرداختسازها اولین گره زنجیره تراکنش هستند، بنابراین وظیفه اخذ اطلاعات کارت، حساب و احراز هویت مشتریان و فرستادن آن به گرههای بعدی را بر عهده دارند. به این ترتیب امکان تخلف از سوی پرداختسازها همواره وجود دارد و به همین دلیل است که رگولاتور باید تکلیف فینتکها را مشخص کرده و مطابق با همان بخشنامه مورخ ۱۲ مهرماه سال ۹۷سیاستهای کلان را به صورت جزئی و دقیق مشخص و ابلاغ کند.
باز هم یادآوری میکنیم که سرعت رشد فینتکها زیاد است و اگر سرعت تنظیم مقررات خیلی کندتر از این رشد باشد، موجب جهتگیری نامناسب این کسبوکارها در آینده شده و حتی بدتر از آن، رشد بیزنسهای خرد و اتصال به منابع قدرت در مواردی بهاندازهای غیرقابل مهار میشود که چه بسا زورشان به قانونگذار هم خواهد رسید و در آن صورت بانک مرکزی دیگر قادر نخواهد بود در برابر فشارهای اجتماعی، مقررات صحیح را وضع کند. مشابه همین وضعیت در مساله کارمزد تراکنشهای الکترونیکی دیده میشود.
ماندهگیری خارج از ضوابط ممنوع حتی با API
ج- سایر خدمات بانکی، بهویژه ماندهگیری و انتقال از/به حساب درون/برون بانکی نیز صرفا در قالب اینترنتبانک با رمز و نام کاربری مشخص و احراز هویت کامل مطابق ضوابط و از طریق سامانههای رمزنگاریشده انتها به انتها (end to end encryption) قابل اجرا است. ارایه خدمات فراتر از چارچوب تعیینشده فوق و یا عدم اجرای تمام ضوابط احراز هویت برای خدمات بانکی به هر شکل و قالبی از قبیل APIو غیره، اکیدا ممنوع بوده و در اسرع وقت متوقف شود.
به نظر میرسد این بخش به دلیل ارایه برخی سرویسهای جدید همچون ماندهگیری و ۱۰ تراکنشآخر از سوی برخی از شرکتهای PSP و شرکت های وابسته به بانک ها. صادر شده است
به گزارش عصر ارتباط، یکی از نکاتی که به نظر میرسد میتواند آزمونی برای بانک مرکزی محسوب شود، نحوه برخورد در همین زمینه است؛ چراکه بانک مرکزی بهراحتی به شرکتهای PSP که از خودش مجوز دریافت کردهاند، حتی قبل از ابلاغ بخشنامه فشار میآورد و آنها را مجبور به بستن این سرویسها میکند، اما اگر نتواند همین فرایند را با سایر شرکتها که از قضا برخی از آنها حتی مشخص نیست برای کدام مجموعه و بانک هستند، ناتوان ظاهر شود، اتفاق چند سال قبل که توسط شرکت انیاک در لو رفتن شماره کارت و رمز مشتریان آنها رخ داد، بار دیگر تکرار شود.
نکته دیگر اینکه بانکها تا به این لحظه از ارایه API منع شدهاند و این در حالی است که برخی بانک ها خدمات بانکی خود را از طریق APIدر اختیار برخی شرکت ها گذاشته است.
تعیین تکلیف بانک مرکزی برای احراز هویت از راه دور
نکته دیگری که در موضوع احراز هویت در این بخشنامه به آن تاکید شده، تاکید به اجرای قانون در این زمینه است. طبق قانون هیچ بانکی اجازه احراز هویت از راه دور برای اولین بار را ندارد..
جمعبندی و نتیجهگیری
حال که بانک مرکزی در حرکتی پیشگیرانه اقدام به انتشار چنین بخشنامهای کرده باید منتظر ماند و دید که با توجه به اینکه مسوولیت خسارات ناشی از عدم اجرای صحیح الزامات امنیتی بر عهده بانکها گذاشته شده، ادامه همکاری فینتکها و شرکتهای زیرمجموعه آنها چگونه خواهد بود. همچنین توجه کافی به روشهای نوین تامین امنیت و KYC و همچنین احراز هویت مشتری با ابزارهای نوین، مبتنی بر بایومتریکها و ابزارهای هوش مصنوعی از دیگر مواردی است که بانک مرکزی باید توجه کافی را نسبت به آن داشته باشد.
البته در عین حال که این بخشنامه در زمان درستی منتشر شد و نقش نوشدارو قبل از مرگ سهراب را داشت، باید تاکید کرد که بانک مرکزی باید در اسرع وقت نسبت به مقرراتگذاری و تعیین تکلیف فینتکها و فعالان این حوزه اقدام کند.
منبع : ایبنا
دیدگاه خود را با ما در میان بگذارید