11 آذر 1397 - 16:34
ایبِنا بخشنامه بانک مرکزی را بررسی کرد؛

ارائه خدمات پرداخت سازان جز کارت به کارت مشروط به احراز هویت

اداره نظام‌های پرداخت بانک مرکزی در بخشنامه‌ای بر رعایت الزامات نحوه فعالیت پرداخت سازان با شرط احراز هویت تاکید کرد.
کد خبر : ۹۴۲۰۲
بانک مرکزی

به گزارش خبرنگار ایبِنا، اداره نظام‌های پرداخت بانک مرکزی با هدف ایمن سازی و فعالیت برنامک‌های موبایلی حوزه مالی مطابق با الزامات بانک مرکزی و با توجه به عدم رعایت برخی از اپلیکیشن‌های مالی و پرداخت در حوزه انتقال وجه از طریق سامانه ساتنا و دیگر خدمات مالی در بخشنامه‌ای تاکیدات لازم مقرراتی را برای بانک‌های کشور ابلاغ کرد.


بانک مرکزی جمهوری اسلامی ایران با توجه به ارائه خدمات بانکی غیر حضوری توسط بانک‌های کشور از طریق برنامک‌های موبایل ارائه می‌شود که بدون توجه دقیق به مقررات مربوط، منجر به ایجاد مخاطراتی خواهد شد سه نکته را در ارائه این خدمات مورد توجه بانک‌های سراسر کشور قرار داده است.



  • الف) در زمینه مرتبط با پرداخت سازها در حال حاضر صرفا خدمات کارت به کارت طبق بخشنامه ۹۶/۸۸۰۹۸ مورخ ۲۵ خرداد ماه اعلام شده، مجاز است و ارائه هر گونه خدمت دیگر در قالب پرداخت ساز غیر مجاز تلقی می‌شود.

  • ب) ارائه خدمات کارت به کارت در قالب پرداخت ساز تنها با رعایت دقیق بخشنامه اشاره شده در بخش الف صورت پذیرد؛ عدم رعایت کامل بخشنامه مذبور باعث ایجاد رخنه در سامانه‌های آن بانک شده و فرصت سوءاستفاده برای سایر خلافکاران را فراهم خواهد آورد.

  • ج) سایر خدمات بانکی به ویژه مانده گیری و انتقال از /به حساب دورن /برون بانکی نیز تنها در قالب اینترنت بانک با رمز و نام کاربری مشخص و احراز هویت کامل مطابق ضوابط و از طریق سامانه‌های رمزنگاری شده End to End Encryption قابل اجر است.


کارشناسان حوزه پرداخت، برداشت صحیح از این بخشنامه را اینچنین توصیف کرد: تمامی خدمات مالی صرفا با شرط احراز هویت قابل ارائه است و خدمات بر بستر اینترنت بانک نیز با توجه به این که ابتدا فرد برای دریافت نام کاربری و رمز عبور به شعبه به صورت حضور مراجعه می‌کند، احراز هویت می‌شود و بعد از آن در فضایی امن می‌تواند به صورت اینترنتی خدمات مالی را دریافت کند اما در این میان  بانک‌ها بدون استفاده از بستر رمزنگاری شده تحت عنوان همراه بانک شروع به ارائه خدماتی کردند که بانک مرکزی با توجه به احتمال ایجاد مخاطراتی به دلیل افزایش سهم بازار آنها تصمیم به اعلام الزامات فعالیت در بخشنامه کرده است.


با وجود مقررات، فعالیت عمده همراه بانک بدون استفاده از بستر رمزنگاری شده End to End Encryption بوده است


همراه بانک عمده بانک‌ها بدون سامانه‌های رمزنگاری شده  End to End Encryption بوده و همین مسئله نیز در الزامات بخشنامه جدید تاکید شده که باید مطابق با الزامات فعالیت کنند؛ استثنای بخشنامه کارت به کارت است چرا که سرویس کارت به کارت در قالب پرداخت ساز تعریف شده و سرویس ساتنا و مانده‌گیری و غیره شامل پرداخت سازان نمی‌شود در حالی که برای پرداخت سازها الزامات امنیتی و مقرراتی نوشته شده، اما هیچ بانکی به این دسته از مقررات توجه نکرده و خدمات را مطابق با الزامات بانک مرکزی ارائه نکردند.


ارائه خدمات پرداخت سازان جز کارت به کارت مشروط به احراز هویت است


در قالب پرداخت ساز صرفا خدمت کارت به کارت مجاز است و در قالب اینترنت بانک، ارائه سایر خدمات مشکلی ندارد و  شرط آن ارائه خدمات بر بستر اینترنت بانک است و نباید در قالب دیگری از جمله اپلیکیشنی بدون رمز نگاری و بدون رمز عبور ارائه شود چرا که مصداق تخلف است؛ بزودی مقررات جدید از سوی بانک مرکزی در زمینه پرداخت سازان و خدمات به صورت غیر حضوری با رعایت احراز هویت از سوی بانک مرکزی جمهوری اسلامی ایران ارائه خواهد شد.


بانک مرکزی تاکید کرده که ارائه خدمات فراتر از چهارچوب فوق یا عدم اجرای تمامی ضوابط احراز هویت برای خدمات بانکی در هر شکل و قالبی از قبیل API ممنوع بوده و در اسرع وقت متوقف می‌شود. همچنین در صورت هر گونه تردید در خصوص تطبیق ضوابط عرضه شده آن بانک لازم است با متوقف نمودن خدمت مذبور نسبت به استعلام از اداره نظام‌های پرداخت بانک مرکزی به همراه مستندات کامل مرتبط با خدمت مذکور اقدام شود.


گفتنی است، چشم پوشی از بندهای مذکور علاوه بر ایجاد حفره‌های امنیتی و زیان‌های مادی و معنوی به آن بانک و کاربران آن برخوردهای انضباطی به جدی‌ترین شکل مطابق مقررات بانک مرکزی را خواهد داشت و مسئولیت کامل پاسخگویی به مسئولان انتظامی و قضایی برعهده بانک متخلف خواهد بود.



ارسال‌ نظر