بانک و بیمهپرداخت الکترونیک

چرا بانک‌مرکزی بر رعایت الزامات امنیتی اپ‌های موبایلی تاکید دارد؟

چندی پیش بانک مرکزی بخش‌نامه احراز هویت در ارائه خدمات اپلیکیشن‌های موبایلی بانکی و مالی را با توجه به وضعیت نابه سامان احراز هویت در سرویس‌های بانک‌ها صادر و بر رعایت الزامات امنیتی تاکید کرد.

همچنین بخوانید

به گزارش آرمان اقتصادی، محتوای این بخشنامه که از اداره نظام‌های پرداخت بانک مرکزی صادر شده، مانند بخشنامه‌ای که در خصوص رعایت کردن سقف تراکنش‌های پرداخت ابلاغ شده بود، ماهیتی تذکرآمیز دارد. در بندهایی که در این بخشنامه وجود دارد، مساله اصلی و مورد تمرکز آن‌، تاکید بر فرایند احراز هویت به صورت غیرحضوری است. بانک مرکزی و اداره نظام‌های پرداخت با توجه به وضعیت نابسامان احراز هویت در سرویس‌های برخی بانک ها در حرکتی هوشیارانه اقدام به انتشار بخشنامه‌ای جدید و تذکر موارد امنیتی در این حوزه کرد این گزارش به بررسی نگرانی‌های بانک مرکزی در خصوص موارد امنیتی در استفاده از سرویس‌های بانکی دارد.

مروری بر یک بخشنامه

روند جهانی در حوزه بانکداری و پرداخت دیجیتال، خارج‌شدن بانک‌ها از حوزه بانکداری خرد در سطح UI/UX و ایجاد دسترسی برای نهادهای ثالث (third party) است، بنابراین استارت‌آپ‌های فناوری مالی (fintech) پتانسیل زیادی برای گسترش بازارهای خرد در بانک‌ها دارند. عصر نوین بانکداری دیجیتال را می‌توان عصر بانکداری باز یا open API دانست که بانک‌ها و شرکت‌های پرداختی، سرویس‌های خود را به صورت API در اختیار فین‌تک‌ها قرار داده و عملا این شرکت‌ها را درگاه جذب تراکنش و تعامل با مشتری خواهند کرد.

این در حالی است که مهرماه سال گذشته، بانک مرکزی مستندی با عنوان «سیاست بانک مرکزی جمهوری اسلامی ایران در خصوص فناوری مالی» را منتشر کرده بود. این مستند بسیار کلی و در ۱۲ بند سیاست‌های این بانک را در حوزه فناوری‌های مالی مشخص کرده است. در بند دهم این مستند تصریح شده «احراز هویت و اهلیت همه استفاده‌کنندگان (کاربران نهایی) هر یک از کسب‌وکارها، ضروری بوده و پیش از ارایه هرگونه خدمت به ایشان باید انجام شود، بنابراین تمام پرداخت‌سازها که طبق تعریف، آغازکنندگان و گردآورندگان دستور پرداخت(اپ های موبایلی بانکی و مالی) هستند، باید احراز هویت را به‌درستی انجام دهند «.

اما آنچه در بخشنامه‌ جدید بانک مرکزی به آن تاکید شده، جلوگیری از ایجاد موج جدیدی از تخلفات است که با ورود سریع این نهاد در این بخش به نظر می‌رسد این چالش در نطفه خفه خواهد شد.

در بخشنامه جدید آمده است: اخیرا مشاهده شده خدمات بانکی غیرحضوری از سوی بانک‌های کشور از طریق برنامک‌های موبایلی ارایه می‌شود که در صورت عدم توجه دقیق به مقررات مربوطه، مخاطرات بزرگی برای شبکه بانکی در پی خواهد داشت. لذا ضروری است به دقت نکات ذیل مورد امعان قرار گیرد.

  • الف) در زمینه مرتبط با پرداخت سازها در حال حاضر صرفا خدمات کارت به کارت طبق بخشنامه ۹۶/۸۸۰۹۸ مورخ ۲۵ خرداد ماه اعلام شده، مجاز است و ارائه هر گونه خدمت دیگر در قالب پرداخت ساز غیر مجاز تلقی می‌شود.
  • ب) ارائه خدمات کارت به کارت در قالب پرداخت ساز تنها با رعایت دقیق بخشنامه اشاره شده در بخش الف صورت پذیرد؛ عدم رعایت کامل بخشنامه مذبور باعث ایجاد رخنه در سامانه‌های آن بانک شده و فرصت سوءاستفاده برای سایر خلافکاران را فراهم خواهد آورد.
  • ج) سایر خدمات بانکی به ویژه مانده گیری و انتقال از /به حساب درون /برون بانکی نیز تنها در قالب اینترنت بانک با رمز و نام کاربری مشخص و احراز هویت کامل مطابق ضوابط و از طریق سامانه‌های رمزنگاری شده End to End Encryption قابل اجر است.

جوسازی از طریق رسانه‌ها

در هر حال به نظر می‌رسد همزمان با ارایه این بخشنامه، برخی از این شرکت‌ها به دلیل به خطر افتادن منافعشان که البته دقیقا هم مشخص نیست در کدام بخش ارایه این سرویس منفعت دارند، در حرکتی غیرمعمول توسط یک رسانه‌ شایعه کردند که بانک مرکزی سرویس کارت به کارت را از طریق اپلیکیشن‌های موبایلی قطع کرد، درحالی‌که این بانک به منظور سیاست‌گذاری و جلوگیری از ایجاد آشفته‌بازاری که می‌توانست در آینده تبعات امنیتی و اقتصادی را برای شبکه بانکی کشور به دنبال داشته باشد، بخشنامه مذکور را صادر کرد. اما با این حال برخی جریانات علاقه مندند این موضوع را به مسیر دیگری سوق دهند تا ماهی خود را از آب گل‌آلود صید کنند.

تاکید بر امنیت در ابزارهای موبایلی

ب- ارایه خدمت کارت به کارت در قالب پرداخت‌ساز باید صرفا با رعایت دقیق بخشنامه اشاره‌شده در بند “الف” صورت پذیرد. عدم رعایت کامل بخشنامه مزبور باعث ایجاد امکان رخنه در سامانه‌های آن بانک شده و فرصت سوءاستفاده برای خلافکاران را مهیا خواهد کرد.

پرداخت‌سازها اولین گره زنجیره تراکنش هستند، بنابراین وظیفه اخذ اطلاعات کارت، حساب و احراز هویت مشتریان و فرستادن آن به گره‌های بعدی را بر عهده دارند. به این ترتیب امکان تخلف از سوی پرداخت‌سازها همواره وجود دارد و به همین دلیل است که رگولاتور باید تکلیف فین‌تک‌ها را مشخص کرده و مطابق با همان بخشنامه مورخ ۱۲ مهرماه سال ۹۷سیاست‌های کلان را به صورت جزئی و دقیق مشخص و ابلاغ کند.

باز هم یادآوری می‌کنیم که سرعت رشد فین‌تک‌ها زیاد است و اگر سرعت تنظیم مقررات خیلی کندتر از این رشد باشد، موجب جهت‌گیری نامناسب این کسب‌وکارها در آینده شده و حتی بدتر از آن، رشد بیزنس‌های خرد و اتصال به منابع قدرت در مواردی به‌اندازه‌ای غیرقابل مهار می‌شود که چه بسا زورشان به قانون‌گذار هم خواهد رسید و در آن صورت بانک مرکزی دیگر قادر نخواهد بود در برابر فشارهای اجتماعی، مقررات صحیح را وضع کند. مشابه همین وضعیت در مساله کارمزد تراکنش‌های الکترونیکی دیده می‌شود.

مانده‌گیری خارج از ضوابط ممنوع حتی با API

ج- سایر خدمات بانکی، به‌ویژه مانده‌گیری و انتقال از/به حساب درون/برون بانکی نیز صرفا در قالب اینترنت‌بانک با رمز و نام کاربری مشخص و احراز هویت کامل مطابق ضوابط و از طریق سامانه‌های رمزنگاری‌شده انتها به انتها (end to end encryption) قابل اجرا است. ارایه خدمات فراتر از چارچوب تعیین‌شده فوق و یا عدم اجرای تمام ضوابط احراز هویت برای خدمات بانکی به هر شکل و قالبی از قبیل API و غیره، اکیدا ممنوع بوده و در اسرع وقت متوقف شود.

به نظر می‌رسد این بخش به دلیل ارایه برخی سرویس‌های جدید همچون مانده‌گیری و ۱۰ تراکنش‌آخر از سوی برخی از شرکت‌های PSP و شرکت های وابسته به بانک ها. صادر شده است

به گزارش عصر ارتباط، یکی از نکاتی که به نظر می‌رسد می‌تواند آزمونی برای بانک مرکزی محسوب شود، نحوه برخورد در همین زمینه است؛ چراکه بانک مرکزی به‌راحتی به شرکت‌های PSP که از خودش مجوز دریافت کرده‌اند، حتی قبل از ابلاغ بخشنامه فشار می‌آورد و آنها را مجبور به بستن این سرویس‌ها می‌کند، اما اگر نتواند همین فرایند را با سایر شرکت‌ها که از قضا برخی از آنها حتی مشخص نیست برای کدام مجموعه و بانک‌ هستند، ناتوان ظاهر شود، اتفاق چند سال قبل که توسط شرکت انیاک در لو رفتن شماره کارت و رمز مشتریان آنها رخ داد، بار دیگر تکرار شود.

نکته دیگر اینکه بانک‌ها تا به این لحظه از ارایه API منع شده‌اند و این در حالی است که برخی بانک ها خدمات بانکی خود را از طریق API در اختیار برخی شرکت ها گذاشته است.

تعیین تکلیف بانک مرکزی برای احراز هویت از راه دور

نکته دیگری که در موضوع احراز هویت در این بخشنامه به آن تاکید شده، تاکید به اجرای قانون در این زمینه است. طبق قانون هیچ بانکی اجازه احراز هویت از راه دور برای اولین بار را ندارد..

جمع‌بندی و نتیجه‌گیری

حال که بانک مرکزی در حرکتی پیشگیرانه اقدام به انتشار چنین بخشنامه‌ای کرده باید منتظر ماند و دید که با توجه به اینکه مسوولیت خسارات ناشی از عدم اجرای صحیح الزامات امنیتی بر عهده بانک‌ها گذاشته شده، ادامه همکاری فین‌تک‌ها و شرکت‌های زیرمجموعه آنها چگونه خواهد بود. همچنین توجه کافی به روش‌های نوین تامین امنیت و KYC و همچنین احراز هویت مشتری با ابزارهای نوین، مبتنی بر بایومتریک‌ها و ابزارهای هوش مصنوعی از دیگر مواردی است که بانک مرکزی باید توجه کافی را نسبت به آن داشته باشد.

البته در عین حال که این بخشنامه در زمان درستی منتشر شد و نقش نوشدارو قبل از مرگ سهراب را داشت، باید تاکید کرد که بانک مرکزی باید در اسرع وقت نسبت به مقررات‌گذاری و تعیین تکلیف فین‌تک‌ها و فعالان این حوزه اقدام کند.

منبع

ایبِنا

همچنین بخوانید

دکمه بازگشت به بالا