گسترش استفاده از خدمات پرداخت در بستر اینترنت و شبکههای تلفن همراه، افزایش تنوع خدمات و محصولات مالی و حضور فناوران مالی در زیست بوم بانکی و پرداخت، با مخاطراتی جدید همراه است. طبق نتایج حاصل از پیمایشهای بینالمللی، در این برهه، نگرانی اصلی مقام ناظر، مخاطرات امنیتی ناشی از به کارگیری روز افزون این خدمات است. اثربخشترین راهکار برای کاهش چنین مخاطراتی، بهکارگیری مقرراتی است که ضمن کمک به ظهور نوآوریها و فناوریهای مالی در راستای ارتقاء کیفیت خدمات ارائهشده به عموم، مخاطرات امنیت اطلاعات مشتری و حفاظت از مصرفکنندگان را کاهش دهد. در این میان، احراز هویت صحیح مشتریان خدمات مالی و مجازشماری این خدمات، سازوکاری اثربخش برای برآورده ساختن اهداف محرمانگی و صحت اطلاعات مشتریان است و میتواند مخاطرات بانکداری باز و دسترسی فناوران مالی به واسطهای ارتباطی را نیز کاهش دهد، بهاینترتیب که ارائه خدمات مجاز توسط طرف سوم مجاز انجام شود درحالیکه مسئولیت ایجاد، نگهداشت و راستیآزمایی اعتبارنامههای امنیتی شخصی نزد بانکها و مؤسسات اعتباری باقی بماند.
شرکت کاشف در راستای ماموریت خود و همچنین پاسخ بهنگام به نگرانیهای یادشده، با بهرهگیری از بهروشهای بینالمللی و نظرات خبرگان اقدام به تدوین «الزامات احراز هویت قوی مشتریان و ارتباطات امن در بانکداری باز» نموده است. این الزامات شامل چهار بخش اصلی: 1) الزامات احراز هویت قوی مشتریان، 2) امنیت اعتبارنامههای امنیتی شخصی، 3) شرایط معافیت احراز هویت قوی مشتری و 4) الزامات بانکها و مؤسسات اعتباری برای ارائه واسطها به فناوران مالی است.
احراز هویت قوی مشتریان عبارت است از بهکارگیری دو یا چند عامل در دستههای دانستنی (آنچه تنها کاربر میداند)، داشتنی (آنچه تنها کاربر دارد) و ویژگی ذاتی (آنچه کاربر هست). این عوامل از یکدیگر مستقل هستند بهگونهای که افشای یکی، قابلیت اطمینان دیگری را به خطر نمیاندازد و به نحوی طراحیشدهاند که از محرمانگی و صحت دادههای احراز هویت حفاظت شود.
مطابق این الزامات، احراز هویت قوی مشتریان، باید در موارد ذیل انجام گیرد:
الف) دسترسی برخط به حساب بانکی،
ب) آغاز تراکنش پرداخت الکترونیکی،
ج) انجام هرگونه اقدام دیگری که از طریق کانالی از راه دور انجام میپذیرد و ممکن است منجر به مخاطره تقلب یا سوءاستفاده شود.

همچنین مؤسسات اعتباری باید عوامل مخاطرهمحور را پایش کنند و به موجب آن رخدادهای امنیتی و تقلبهای کشف شده را به شرکت کاشف گزارش کنند.
یکی از مباحث مهم در الزامات احراز هویت قوی مشتریان، «کد اصالت سنجی» است؛ که در نتیجه احراز هویت چندعاملی و تحت شرایطی امن، تولید میشود. به دلیل ماهیت پرمخاطره تراکنشهای پرداخت الکترونیکی از راه دور، الزامی مازاد برای این دسته از تراکنشها تحت عنوان «پیوندزنی پویا» در نظر گرفته شده است. مطابق این الزام کد اصالت سنجی بایستی با «مبلغ» و «گیرنده» تراکنش متمایز شود و به تأیید پرداخت کننده برسد.

عواملی که به عنوان عامل دانستنی، داشتنی و ویژگی ذاتی برای احرازهویت به کار میروند بایستی حائز شرایطی امنیتی باشند و همچنین الزامات استقلال عوامل احرازهویت را برآورده کنند به گونهای که افشای یکی از عوامل، قابلیت اطمینان عوامل دیگر را به خطر نیندازد.
بخشی از الزامات احرازهویت قوی مشتریان، معطوف به امنیت اعتبارنامههای امنیتی شخصی است که به منظور احراز هویت برای کاربران فراهم شده است. هدف از این بخش، اطمینان از محرمانگی، صحت و تمامیت اعتبارنامههای کاربران هنگام ایجاد، انتقال، تخصیص، تحویل، تجدید، امحاء، غیر فعالسازی و ابطال است.
با رویکرد تناسب میان مخاطره و سهولت کاربری، الزامات یادشده، دربردارنده معافیتهایی از احراز هویت قوی مشتریان است. بر این اساس، در صورت انطباق با الزامات پایش تراکنش، دسترسی به اطلاعات حساب بانکی، تراکنشهای پرداخت خرد، پرداخت به افراد مورد اعتماد پرداختکننده، تراکنشهای تکراری، انتقال وجه میان حسابهای متعلق به یک شخص، پروتکلها و فرآیندهای امن پرداخت شرکتی و تراکنشهای کممخاطره میتوانند از احراز هویت قوی معاف شوند.

برای دریافت اطلاعات بیشتر، بیان هرگونه اظهار نظر مقتضی یا اعلام آمادگی برای همکاری در این حوزه می توانید با ما از طریق رایانشانی
در تعامل باشید.