گسترش استفاده از خدمات پرداخت در بستر اینترنت و شبکه‏های تلفن همراه، افزایش تنوع خدمات و محصولات مالی و حضور فناوران مالی در زیست بوم بانکی و پرداخت، با مخاطراتی جدید همراه است. طبق نتایج حاصل از پیمایش‏های بین‏المللی، در این برهه، نگرانی‏ اصلی مقام ناظر، مخاطرات امنیتی ناشی از به کارگیری روز افزون این خدمات است. اثربخش‏ترین راهکار برای کاهش چنین مخاطراتی، به‌کارگیری مقرراتی است که ضمن کمک به ظهور نوآوری‏ها و فناوری‏های مالی در راستای ارتقاء کیفیت خدمات ارائه‏شده به عموم، مخاطرات امنیت اطلاعات مشتری و حفاظت از مصرف‏کنندگان را کاهش دهد. در این میان، احراز هویت صحیح مشتریان خدمات مالی و مجازشماری این خدمات، سازوکاری اثربخش برای برآورده ساختن اهداف محرمانگی و صحت اطلاعات مشتریان است و می‏تواند مخاطرات بانکداری باز و دسترسی فناوران مالی به واسط‏های ارتباطی را نیز کاهش دهد، به‌این‌ترتیب که ارائه خدمات مجاز توسط طرف سوم مجاز انجام شود درحالی‌که مسئولیت ایجاد، نگهداشت و راستی‏آزمایی اعتبارنامه‏های امنیتی شخصی نزد بانک‏ها و مؤسسات اعتباری باقی بماند.

شرکت کاشف در راستای ماموریت خود و همچنین پاسخ بهنگام به نگرانی‏های یادشده، با بهره‏گیری از بهروش‏های بین‌المللی و نظرات خبرگان اقدام به تدوین «الزامات احراز هویت قوی مشتریان و ارتباطات امن در بانکداری باز» نموده است. این الزامات شامل چهار بخش اصلی: 1) الزامات احراز هویت قوی مشتریان، 2) امنیت اعتبارنامه‏های امنیتی شخصی، 3) شرایط معافیت احراز هویت قوی مشتری و 4) الزامات بانک‏ها و مؤسسات اعتباری برای ارائه واسط‏ها به فناوران مالی است.

احراز هویت قوی مشتریان عبارت است از به‌کارگیری دو یا چند عامل در دسته‌های دانستنی (آنچه تنها کاربر می‌داند)، داشتنی (آنچه تنها کاربر دارد) و ویژگی ذاتی (آنچه کاربر هست). این عوامل از یکدیگر مستقل هستند به‌گونه‌ای که افشای یکی، قابلیت اطمینان دیگری را به خطر نمی‌اندازد و به نحوی طراحی‌شده‌اند که از محرمانگی و صحت داده‌های احراز هویت حفاظت شود.
مطابق این الزامات، احراز هویت قوی مشتریان، باید در موارد ذیل انجام گیرد:

الف) دسترسی برخط به حساب بانکی،

ب) آغاز تراکنش پرداخت الکترونیکی،

ج) انجام هرگونه اقدام دیگری که از طریق کانالی از راه دور انجام می‌پذیرد و ممکن است منجر به مخاطره تقلب یا سوءاستفاده شود.

همچنین مؤسسات اعتباری باید عوامل مخاطره‏محور را پایش کنند و به موجب آن رخدادهای امنیتی و تقلب‏های کشف ‏شده را به شرکت کاشف گزارش کنند. 
یکی از مباحث مهم در الزامات احراز هویت قوی مشتریان، «کد اصالت ‏سنجی» است؛ که در نتیجه احراز هویت چندعاملی و تحت شرایطی امن، تولید می‏شود. به دلیل ماهیت پرمخاطره تراکنش‌های پرداخت الکترونیکی از راه دور، الزامی مازاد برای این دسته از تراکنش‌ها تحت عنوان «پیوندزنی پویا» در نظر گرفته شده است. مطابق این الزام کد اصالت‏ سنجی بایستی با «مبلغ» و «گیرنده» تراکنش متمایز شود و به تأیید پرداخت ‏کننده برسد.

عواملی که به عنوان عامل دانستنی، داشتنی و ویژگی ذاتی برای احرازهویت به کار می‏روند بایستی حائز شرایطی امنیتی باشند و همچنین  الزامات استقلال عوامل احرازهویت را برآورده کنند به گونه‏ای که افشای یکی از عوامل، قابلیت اطمینان عوامل دیگر را به خطر نیندازد.
بخشی از الزامات احرازهویت قوی مشتریان، معطوف به امنیت اعتبارنامه‏های امنیتی شخصی است که به منظور احراز هویت برای کاربران فراهم شده است. هدف از این بخش، اطمینان از محرمانگی، صحت و تمامیت اعتبارنامه‏های کاربران هنگام ایجاد، انتقال، تخصیص، تحویل، تجدید، امحاء، غیر فعال‌سازی و ابطال است.
با رویکرد تناسب میان مخاطره و سهولت کاربری، الزامات یادشده، دربردارنده معافیت‏هایی از احراز هویت قوی مشتریان است. بر این اساس، در صورت انطباق با الزامات پایش تراکنش، دسترسی به اطلاعات حساب بانکی، تراکنش‏های پرداخت خرد، پرداخت به افراد مورد اعتماد پرداخت‏کننده، تراکنش‏های تکراری، انتقال وجه میان حساب‏های متعلق به یک شخص، پروتکل‏ها و فرآیندهای امن پرداخت شرکتی و تراکنش‏های کم‏مخاطره می‏توانند از احراز هویت قوی معاف شوند.

برای دریافت اطلاعات بیشتر، بیان هرگونه اظهار نظر مقتضی یا اعلام آمادگی برای همکاری در این حوزه می توانید با ما از طریق رایانشانیدر تعامل باشید.