توسط مشاور شرکت ملی انفورماتیک؛

جزییات رعایت الزامات امنیتی در ارایه خدمات بانکی اعلام شد

مشاور شرکت ملی انفورماتیک جزییات بخشنامه اخیر بانک مرکزی در خصوص تاکید بر احراز هویت و رعایت الزامات امنیتی در ارایه خدمات بانکی را اعلام کرد.
پایگاه خبری بانک مسکن

به گزارش پایگاه خبری بانک مسکن-هیبنا به نقل از ایبنا، گرکانی نژاد با اشاره به ‌نامه اخیر اداره نظام‌های پرداخت بانک مرکزی در خصوص تاکید بر احراز هویت و رعایت امنیت اطلاعات بر اساس الزامات بانک مرکزی در ارائه خدمات بانکی و همچنین تأکید بر عدم شمول خدمت مانده گیری در قالب پرداخت سازان در حال حاضر گفت: با توجه بیشتر در بندهای این نامه به دلیل پیچیدگی‌های ذاتی موضوع، مشخص می‌شود که هیچ محدودیت جدیدی در این نامه، ابلاغ نشده و تنها در خصوص رعایت موارد امنیتی بر اساس الزامات بانک مرکزی در ارایه خدمات بانکی یادآوری و شفاف‌سازی شده است.

بانک مرکزی محدودیت جدیدی را ابلاغ نکرده است

وی اظهار داشت: این نامه به‌ صورت مشخص به دو موضوع پرداخت سازی و سایر خدمات بانکی پرداخته است و تاکید کرده که در قالب پرداخت ساز تا به ‌حال تنها سرویس کارت به کارت تعریف‌شده است. از این رو باید ارایه خدمت مانده گیری بر اساس الزامات بانک مرکزی در اپ های موبایلی شرکت‌های PSP، پرداخت یار و دیگر شرکت‌های خصوصی که در قالب پرداخت ساز این خدمت را می‌دادند، متوقف شود که مسئله جدیدی نیست.

خدمت مانده گیری موبایلی سال گذشته متوقف شد

مشاور شرکت ملی انفورماتیک خاطرنشان کرد: خدمت مانده گیری موبایلی برای PSP ها پیش از سال گذشته به دلیل بروز اتفاقاتی متوقف شد. مراجع قضایی و انتظامی نیز به‌درستی بر روی برخی روخدادهای مرتبط با این سرویس حساس بودند و تا زمانی که بخش‌نامه جدیدی با رفع نگرانی های شناسایی شده در این خصوص صادر نشود، اپ های موبایلی شرکت‌های PSP و پرداخت یارها قادر به ارایه این سرویس نیستند. البته در زمینه ضوابط راه اندازی دوباره این خدمت، پیشرفت های خوبی صورت گرفته است.

گرکانی نژاد در خصوص تعریف پرداخت سازان گفت: این عنوان، دسته‌ای از ارایه‌دهندگان خدمات بانکی را شامل می‌شود که طبق بخشنامه ای در خرداد ماه سال گذشته توسط بانک مرکزی به بانک‌ها ابلاغ شد. بر اساس آن با رعایت یکسری قواعد و ضوابط تعیین شده، بانکها می‌توانند امکان اجرای سرویس کارت به کارت در قالب CNP از مبدا کارت خود را با انعقاد قرارداد به پرداخت سازها، ارایه دهند.

پرداخت سازان: هر نهادی که با انعقاد قرارداد با بانک‌ها، سرویس کارت به کارت ارایه می‌دهد

وی در پاسخ به این پرسش که در حال حاضر اپلیکیشن شرکت‌های PSP و برخی دیگر شرکت‌ها، خدمت کارت به کارت ارایه می‌دهند، آیا این شرکت‌ها، پرداخت ساز محسوب می‌شوند، گفت: هر نهادی که هم می‌تواند PSP، پرداخت یار و یا یک شرکت خصوصی باشد، با انعقاد قرارداد با بانک‌ها بر اساس مقررات و ضوابط بخشنامه مرتبط، در ردیف پرداخت سازان قرار می‌گیرد. از اینرو PSP و یا پرداخت یار بودن منافاتی با انعقاد قرارداد پرداخت سازی ندارد.

بانک مسوولیت رعایت تمامی دستورالعمل‌ها و استاندارد مرتبط با پرداخت سازان است

مدیر اسبق مرکز توسعه تجارت الکترونیک خاطرنشان کرد: در بند دوم ضوابط و شرایط ارایه خدمت "انتقال کارت به کارت دوجانبه بدون حضور کارت" به پرداخت سازان تأکید شده، بانک یا موسسه اعتباری می‌تواند با پذیرش تمامی مسوولیت‌های مترتب به ارایه خدمت مزبور، عملیات آغاز و تجمیع تراکنش‌های مرتبط با خدمت را به اشخاص حقوقی تحت عنوان پرداخت ساز برون‌سپاری کند. البته این برون‌سپاری نافی هیچ‌کدام از وظایف قانونی و مقرراتی بانک و یا موسسه اعتباری نبوده و مسوولیت رعایت تمامی دستورالعمل‌ها و استاندارد مرتبط بر عهده بانک یا موسسه اعتباری است. از اینرو بانک در برون‌سپاری این خدمت، باید امنیت اطلاعات را در نظر بگیرد.

احراز هویت و رعایت الزامات امنیت اطلاعات حساس هویتی دو الزام کلیدی برای بانک‌ها در ارایه خدمات غیرحضوری است

گرکانی نژاد در خصوص تاکید بر احراز هویت و رعایت الزامات امنیتی در ارایه خدمات بانکی در این نامه، گفت: بعد از انتشار این نامه، برخی رسانه‌ها آن را به معنای «ممنوعیت ارایه خدمات بانکی در نرم‌افزارهای موبایل بانک» تفسیر کردند که اشتباه است و این نامه به‌صورت یک‌طرفه بربستن هیچ سرویسی اشاره ندارد.

وی افزود: این نامه، نه بخشنامه و نه ابلاغیه است تنها یکسری یادآوری و شفاف‌سازی بسیار مهم و ضروری در خصوص رعایت موارد امنیتی بر اساس الزامات بانک مرکزی در ارایه خدمات بانکی غیرحضوری است.

این مشاور یادآور شد: بانک‌ها به‌عنوان موسسات مالی و تأثیرگذار کشور که درصدد ارایه سرویس‌های جدید و بدون حضور کارت به مشتریان خود هستند باید توجه داشته باشند از آنجایی‌که ارایه این خدمات با حساسیت‌های امنیت اطلاعات کاربران مواجه است، رعایت دقیق ضوابط در این خصوص بسیار مهم است که این نامه، رعایت این موضوع را به صورت تفکیک شده به بانک‌ها یادآوری کرده است.

گرکانی نژاد اذعان داشت: بخشی از این نامه به ارایه خدمات در قالب اینترنت بانک که احراز هویت در این سرویس برای درخواست فعال سازی به‌صورت حضوری و در شعب بانکی انجام می‌شود اشاره دارد که همچنین به مشتریان برای بهره‌گیری از این خدمت، نام کاربری و رمز یا توکن به‌منظور اجرای احراز هویت قوی داده می‌شود.

وی ادامه داد: در این خدمت کاربران به‌طور معمول با یک مرورگر اینترنتی که با SSL است و امنیت اطلاعات را به‌صورت End to End Encryption حفظ می‌کند، وارد فضای بانکی شده و از سرویس‌های بانکی بهره‌مند می‌شوند.

این کارشناس حوزه پرداخت یادآور شد: بانک‌ها همچنین به‌صورت مستقیم یا در همکاری با یکسری از شرکت‌های بیرونی، برخی سرویس‌ها و خدمات بانکی ازجمله انتقال کارت به کارت از مبدا خود بانک، انتقال وجه از شماره‌حساب به شماره‌ حساب، انتقال وجه از طریق سامانه ساتنا، پایا و همچنین مانده گیری که خدماتی بانکی هستند را از طریق اپلیکیشن های موبایلی به مشتریان خود ارایه می‌دهند.

اپلیکیشن های موبایلی بانک‌ها باید بر اساس استانداردهای امنیت اطلاعات طراحی شود

گرکانی نژاد تاکید کرد: بانک‌ها بر اساس ضوابط در ارایه این خدمات در اپلیکیشن های موبایلی خود باید رمزنگاری مناسب را برقرار و احراز هویت‌ها را به‌ صورت دقیق و قوی اجرایی کنند. هرگونه بی‌دقتی در این بخش منجر به ایجاد دسترسی غیرمجاز می‌شود. از اینرو اپلیکیشن های موبایلی بانک‌ها باید بر اساس استانداردهای امنیت اطلاعات طراحی شود.

تخطی برخی ارایه دهندگان خدمات بانکی موبایلی در رعایت الزامات امنیتی و احراز هویت منجر به ابلاغ این ‌نامه شد

مشاور معاونت فناوری‌های نوین بانک مرکزی خاطرنشان کرد: بانک‌ها در ارایه سرویس در همراه بانک‌ها باید دو موضوع احراز هویت و امنیت اطلاعات مشتریان را موردتوجه قرار دهند. ازاین‌رو عدم توجه به هرکدام از این موارد منجر به ایجاد مخاطرات زیادی می‌شود. این نامه به دلیل رعایت نکردن الزامات مزبور در ارایه برخی خدمات غیرحضوری بانکی و به عقیده من بسیار به ‌موقع ابلاغ شد.

بانک در صورت تردید سرویس‌های بانکی با الزامات بانک مرکزی، استعلام بگیرند

وی اظهار داشت: در این نامه به دلیل پیچیدگی‌های موضوع، پیش‌بینی‌شده است اگر بانک‌ها تردیدی در خصوص تطبیق سرویس های خود با الزامات بانک مرکزی دارند از بانک مرکزی استعلام بگیرند.

فقط بانک‌ها قادر به ارایه سرویس های بانکی از قبیل ساتنا و مانده گیری هستند

گرکانی نژاد افزود: این نامه در واقع با محوریت یادآوری مسوولیت‌های هر بانک در قبال سرویس‌های بانکی غیرحضوری است که ارایه می‌کند. همچنین تاکید دارد که ارایه سرویس‌هایی مثل انتقال از/ به حساب و مانده گیری در قالب اینترنت بانکینگ در اپلیکیشن های موبایلی در حال حاضر تنها در اختیار بانک‌ها است.


کلید واژه ها


ارسال نظر

تعداد کاراکتر 0 از 4000