محمد گرکانی نژاد در گفتگو با خبرنگار ایبِنا با اشاره به نامه اخیر اداره نظامهای پرداخت بانک مرکزی در خصوص تاکید بر احراز هویت و رعایت امنیت اطلاعات بر اساس الزامات بانک مرکزی در ارائه خدمات بانکی و همچنین تأکید بر عدم شمول خدمت مانده گیری در قالب پرداخت سازان در حال حاضر گفت: با توجه بیشتر در بندهای این نامه به دلیل پیچیدگیهای ذاتی موضوع، مشخص میشود که هیچ محدودیت جدیدی در این نامه، ابلاغ نشده و تنها در خصوص رعایت موارد امنیتی بر اساس الزامات بانک مرکزی در ارائه خدمات بانکی یادآوری و شفافسازی شده است.
بانک مرکزی محدودیت جدیدی را ابلاغ نکرده است
وی اظهار داشت: این نامه به صورت مشخص به دو موضوع پرداخت سازی و سایر خدمات بانکی پرداخته است و تاکید کرده که در قالب پرداخت ساز تا به حال تنها سرویس کارت به کارت تعریفشده است. از اینرو باید ارائه خدمت مانده گیری بر اساس الزامات بانک مرکزی در اپ های موبایلی شرکتهای PSP، پرداخت یار و دیگر شرکتهای خصوصی که در قالب پرداخت ساز این خدمت را میدادند، متوقف شود که مسئله جدیدی نیست.
خدمت مانده گیری موبایلی سال گذشته متوقف شد
مشاور شرکت ملی انفورماتیک خاطرنشان کرد: خدمت مانده گیری موبایلی برای PSP ها پیش از سال گذشته به دلیل بروز اتفاقاتی متوقف شد. مراجع قضایی و انتظامی نیز بهدرستی بر روی برخی روخدادهای مرتبط با این سرویس حساس بودند و تا زمانی که بخشنامه جدیدی با رفع نگرانی های شناسایی شده در این خصوص صادر نشود، اپ های موبایلی شرکتهای PSP و پرداخت یارها قادر به ارائه این سرویس نیستند. البته در زمینه ضوابط راه اندازی دوباره این خدمت، پیشرفت های خوبی صورت گرفته است.
گرکانی نژاد در خصوص تعریف پرداخت سازان گفت: این عنوان، دستهای از ارائهدهندگان خدمات بانکی را شامل میشود که طبق بخشنامه ای در خرداد ماه سال گذشته توسط بانک مرکزی به بانکها ابلاغ شد. بر اساس آن با رعایت یکسری قواعد و ضوابط تعیین شده، بانکها میتوانند امکان اجرای سرویس کارت به کارت در قالب CNP از مبدا کارت خود را با انعقاد قرارداد به پرداخت سازها، ارائه دهند.
پرداخت سازان: هر نهادی که با انعقاد قرارداد با بانکها، سرویس کارت به کارت ارائه میدهد
وی در پاسخ به این پرسش که در حال حاضر اپلیکیشن شرکتهای PSP و برخی دیگر شرکتها، خدمت کارت به کارت ارائه میدهند، آیا این شرکتها، پرداخت ساز محسوب میشوند، گفت: هر نهادی که هم میتواند PSP، پرداخت یار و یا یک شرکت خصوصی باشد، با انعقاد قرارداد با بانکها بر اساس مقررات و ضوابط بخشنامه مرتبط، در ردیف پرداخت سازان قرار میگیرد. از اینرو PSP و یا پرداخت یار بودن منافاتی با انعقاد قرارداد پرداخت سازی ندارد.
بانک مسئولیت رعایت تمامی دستورالعملها و استاندارد مرتبط با پرداخت سازان است
مدیر اسبق مرکز توسعه تجارت الکترونیک خاطرنشان کرد: در بند دوم ضوابط و شرایط ارائه خدمت "انتقال کارت به کارت دوجانبه بدون حضور کارت" به پرداخت سازان تأکید شده، بانک یا موسسه اعتباری میتواند با پذیرش تمامی مسئولیتهای مترتب به ارائه خدمت مزبور، عملیات آغاز و تجمیع تراکنشهای مرتبط با خدمت را به اشخاص حقوقی تحت عنوان پرداخت ساز برونسپاری کند. البته این برونسپاری نافی هیچکدام از وظایف قانونی و مقرراتی بانک و یا موسسه اعتباری نبوده و مسئولیت رعایت تمامی دستورالعملها و استاندارد مرتبط بر عهده بانک یا موسسه اعتباری است. از اینرو بانک در برونسپاری این خدمت، باید امنیت اطلاعات را در نظر بگیرد.
احراز هویت و رعایت الزامات امنیت اطلاعات حساس هویتی دو الزام کلیدی برای بانکها در ارائه خدمات غیرحضوری است
گرکانی نژاد در خصوص تاکید بر احراز هویت و رعایت الزامات امنیتی در ارائه خدمات بانکی در این نامه، گفت: بعد از انتشار این نامه، برخی رسانهها آن را به معنای «ممنوعیت ارائه خدمات بانکی در نرمافزارهای موبایل بانک» تفسیر کردند که اشتباه است و این نامه بهصورت یکطرفه بربستن هیچ سرویسی اشاره ندارد.
وی افزود: این نامه، نه بخشنامه و نه ابلاغیه است تنها یکسری یادآوری و شفافسازی بسیار مهم و ضروری در خصوص رعایت موارد امنیتی بر اساس الزامات بانک مرکزی در ارائه خدمات بانکی غیرحضوری است.
این مشاور یادآور شد: بانکها بهعنوان موسسات مالی و تأثیرگذار کشور که درصدد ارائه سرویسهای جدید و بدون حضور کارت به مشتریان خود هستند باید توجه داشته باشند از آنجاییکه ارائه این خدمات با حساسیتهای امنیت اطلاعات کاربران مواجه است، رعایت دقیق ضوابط در این خصوص بسیار مهم است که این نامه، رعایت این موضوع را به صورت تفکیک شده به بانکها یادآوری کرده است.
گرکانی نژاد اذعان داشت: بخشی از این نامه به ارائه خدمات در قالب اینترنت بانک که احراز هویت در این سرویس برای درخواست فعال سازی بهصورت حضوری و در شعب بانکی انجام میشود اشاره دارد که همچنین به مشتریان برای بهرهگیری از این خدمت، نام کاربری و رمز یا توکن بهمنظور اجرای احراز هویت قوی داده میشود.
وی ادامه داد: در این خدمت کاربران بهطور معمول با یک مرورگر اینترنتی که با SSL است و امنیت اطلاعات را بهصورت End to End Encryption حفظ میکند، وارد فضای بانکی شده و از سرویسهای بانکی بهرهمند میشوند.
این کارشناس حوزه پرداخت یادآور شد: بانکها همچنین بهصورت مستقیم یا در همکاری با یکسری از شرکتهای بیرونی، برخی سرویسها و خدمات بانکی ازجمله انتقال کارت به کارت از مبدا خود بانک، انتقال وجه از شمارهحساب به شماره حساب، انتقال وجه از طریق سامانه ساتنا، پایا و همچنین مانده گیری که خدماتی بانکی هستند را از طریق اپلیکیشن های موبایلی به مشتریان خود ارائه میدهند.
اپلیکیشن های موبایلی بانکها باید بر اساس استانداردهای امنیت اطلاعات طراحی شود
گرکانی نژاد تاکید کرد: بانکها بر اساس ضوابط در ارائه این خدمات در اپلیکیشن های موبایلی خود باید رمزنگاری مناسب را برقرار و احراز هویتها را به صورت دقیق و قوی اجرایی کنند. هرگونه بیدقتی در این بخش منجر به ایجاد دسترسی غیرمجاز میشود. از اینرو اپلیکیشن های موبایلی بانکها باید بر اساس استانداردهای امنیت اطلاعات طراحی شود.
تخطی برخی ارائه دهندگان خدمات بانکی موبایلی در رعایت الزامات امنیتی و احراز هویت منجر به ابلاغ این نامه شد
مشاور معاونت فناوریهای نوین بانک مرکزی خاطرنشان کرد: بانکها در ارائه سرویس در همراه بانکها باید دو موضوع احراز هویت و امنیت اطلاعات مشتریان را موردتوجه قرار دهند. ازاینرو عدم توجه به هرکدام از این موارد منجر به ایجاد مخاطرات زیادی میشود. این نامه به دلیل رعایت نکردن الزامات مزبور در ارائه برخی خدمات غیرحضوری بانکی و به عقیده من بسیار به موقع ابلاغ شد.
بانک در صورت تردید سرویسهای بانکی با الزامات بانک مرکزی، استعلام بگیرند
وی اظهار داشت: در این نامه به دلیل پیچیدگیهای موضوع، پیشبینیشده است اگر بانکها تردیدی در خصوص تطبیق سرویس های خود با الزامات بانک مرکزی دارند از بانک مرکزی استعلام بگیرند.
فقط بانکها قادر به ارائه سرویس های بانکی از قبیل ساتنا و مانده گیری هستند
گرکانی نژاد افزود: این نامه در واقع با محوریت یادآوری مسئولیتهای هر بانک در قبال سرویسهای بانکی غیرحضوری است که ارائه میکند. همچنین تاکید دارد که ارائه سرویسهایی مثل انتقال از/ به حساب و مانده گیری در قالب اینترنت بانکینگ در اپلیکیشن های موبایلی در حال حاضر تنها در اختیار بانکها است.