به نقل از «ایرنا»

ایران چگونه از پویاسازی رمز دوم کارت بانکی الگوبرداری کند؟

تاریخ انتشار: ۲۸ مرداد ۱۳۹۸ | کد خبر: ۲۴۸۱۹۱۱۰

اواخر سال ۹۷ بود که برای نخستین بار زمزمه‌های الزام پویا شدن رمز دوم برای خریدهای اینترنتی در ایران شنیده شد؛ شبکه بانکی کشور هم از همان زمان خود را ملزم می‌دانست تا در ابتدای خردادماه سال ۹۸ امکان استفاده از رمز دوم پویا را برای کاربران فراهم آورد؛ الزامی که بعداً مشخص شد ناشی از برداشت نادرست رسانه‌ها از یک بخشنامه بانک‌مرکزی و استناد همه بانک‌های کشور به همان برداشت نادرست رسانه‌ای بوده است.

بیشتر بخوانید: اخباری که در وبسایت منتشر نمی‌شوند!

حالا حدود دو ماه پس از آن موعد و با فرونشستن تدریجی هیجانات ماجرای پویاسازی رمز دوم در ایران، از اروپا خبر می‌رسد کسب‌وکارهای اینترنتی در این قاره از ۱۴ سپتامبر یعنی ۲۳ شهریورماه ملزم هستند از آنچه در آنجا «سازوکار احراز هویت قوی» نامیده می‌شود و شباهت فراوانی به همان رمز دوم پویا در کشور ما دارد، استفاده کنند.

این نزدیکی زمانی اگرچه ممکن است در نگاه اول صرفا یک اتفاق باشد اما در نگاهی عمیق‌تر قطعا می‌تواند نشانه‌ای از شباهت دغدغه‌ها، مشکلات و راه‌حل‌ها در دو سوی جهان باشد.

تردیدی نیست که با توجه به تفاوت‌های فراوان ساختار شبکه‌های بانکی و پرداخت الکترونیک در ایران و اروپا، بررسی زمینه‌ها، شیوه و آثار الزام استفاده از رمز دوم پویا یا همان احراز هویت قوی در این دو اکوسیستم، متفاوت است و نمی‌توان به مقایسه نقطه‌به‌نقطه دست زد اما از سوی دیگر نباید از این هم‌زمانی تقریبی نیز به غفلت گذشت چراکه باوجود تفاوت‌ها، شباهت‌ها نیز کم نیستند خصوصاً اینکه فارغ از تمام وجوه افتراق، اصول امنیت در حوزه پرداخت و بانک‌داری، مشابه و برخاسته از ضرورت‌ها و نیازهای یکسان هستند.

برای بررسی این تفاوت‌ها و شباهت‌ها و مهم‌تر از آن، استخراج نتایج تحلیلی استفاده از رمز دوم پویا در ایران و سازوکار احراز هویت قوی در اروپا از محمود کریمی، کارشناس حوزه بانک‌داری و پرداخت الکترونیک کمک گرفته‌ایم.

کریمی در گفت وگو با ایرنا به تحقیقی اشاره می‌کند که «موسسه تحقیقاتی ۴۵۱» طی آن به تحلیل تأثیرات فعال‌سازی احراز هویت قوی در پرداخت‌های اینترنتی اروپا پرداخته است.

به گفته او «اگرچه نتایج این تحقیق با توجه به تفاوت‌های ساختار شبکه پرداخت کشور ما با کشورهای اروپایی مورد بررسی قرارگرفته در این گزارش، به‌طور کامل قابل‌استفاده نیست ولی برخی نکات مطرح‌شده در آن می‌تواند دستمایه مناسبی برای انجام تحقیقات بیشتر، پیش از طراحی راهکار و الزام پویاسازی رمز دوم در پرداخت‌های اینترنتی کشور ما قرار گیرد».

این کارشناس تحلیل اکوسیستم‌های پرداخت الکترونیک پیش از پرداختن به نتایج این تحقیق، اشاره‌ای به تفاوت سازوکار پرداخت‌های اینترنتی در ایران و اتحادیه اروپا دارد.

 به گفته وی پرداخت‌های اینترنتی و موبایلی در کشور ما صرفاً از طریق ۱۲ شرکت ارائه‌دهنده خدمات پرداخت و از طریق درگاه پرداخت آن‌ها انجام می‌شود و از این‌رو کسب‌وکارهای اینترنتی صرفاً از طریق واسط‌های نرم‌افزاری مشخص با آن در ارتباط هستند بنابراین تغییر در سازوکارهای احراز هویت مشتری تنها باید در دامنه درگاه پرداخت پیاده‌سازی شود و کسب‌وکارهای اینترنتی کمترین تغییر را در این زمینه نیاز دارند.

کریمی ادامه داد: این در حالی است که در پرداخت‌های اینترنتی اتحادیه اروپا، اگرچه کسب‌وکارهای اینترنتی از سرویس‌های پایه‌ای شبکه پرداخت استفاده می‌کنند ولی تا حدودی در فرآیند احراز هویت مشتری مداخله دارند و از این‌رو تغییر در سازوکارهای احراز هویت، موجبات تغییر در وب‌سایت این کسب‌وکارها را نیز فراهم می‌آورد. با وجود این تفاوت‌ها اما به‌نظر نمی‌رسد نیازهایی که برای پاسخگویی به آن‌ها سازوکارهای مشابهی در ایران و اروپا دنبال می‌شود، تفاوتی داشته باشد.

کریمی با وجود این شباهت‌ها موافق است و «کاهش تقلب و ارتقای سطح امنیت پرداخت‌های اینترنتی» را همان هدف مشترک می‌داند؛ هدفی که احراز هویت قوی در اروپا به‌عنوان بخشی از مقررات PSD۲ برای کاهش تقلب و ارتقای امنیت پرداخت‌های اینترنتی برخط الزامی شده است.

این کارشناس بانکداری گفت: مطابق این روش، کسب‌وکارهای اینترنتی در اروپا از ۱۴ سپتامبر ۲۰۱۹ (...) موظف‌اند دو شیوه احراز هویت مستقل را در پرداخت‌های اینترنتی به کار ببندند.

کریمی در پاسخ به این پرسش که این تغییر چه پیامدهای اقتصادی خواهد داشت؟ گفت: نتایج تحقیق «موسسه تحقیقاتی ۴۵۱» پیش‌بینی کرده «در سال اول فعال‌سازی احراز هویت قوی در پرداخت‌های اینترنتی اروپا، مبلغ پرداخت‌های اینترنتی ۱۰ درصد کاهش خواهد یافت و ۵۷ میلیارد یورو از ۵۹۲ میلیارد یورویی که پیش‌بینی‌شده در سال ۲۰۱۹ به‌صورت اینترنتی پرداخت شود، کاسته خواهدشد.

وی افزود: این کاهش به علت افت در نرخ تبدیل وب‌سایت‌های اینترنتی (نسبت کل تعداد مشتریان با خرید موفق به تعداد کل مشتریان واردشده به وب‌سایت) رخ خواهد داد.

این تحلیل‌گر حوزه پرداخت الکترونیک در تشریح علل کاهش نرخ تبدیل گفت: از جمله دلایل این کاهش، عدم اطلاع کافی کسب‌وکارهای اینترنتی از نحوه و جزئیات پیاده‌سازی سازوکار احراز هویت قوی و مدت‌زمان مورد نیاز برای اعمال این تغییرات که ممکن است در مهلت زمانی تعیین‌شده خاتمه نیابد. در ایران به نظر می‌رسد کسب‌وکارهای اینترنتی در این بخش با کمترین تغییر مواجه شوند.

وی اضافه کرد: تحمل کم مشتریان در فرآیند بستن سبد فروش باعث می‌شود که تغییر در فرآیند بستن سبد فروش و اعمال سازوکار احراز هویت قوی، نارضایتی به همراه داشته و ازاین‌رو با رشد شدیدی در آمار سبدهای فروش تعلیق شده مواجه شویم. در ایران هم به نظر می‌رسد این اتفاق رخ دهد گرچه شدت و ضعف آن تحت تأثیر راهکار مورد استفاده برای اعمال رمز دوم پویا خواهد بود.

پرسش مهم دیگر در این باره، سازوکارها و استانداردهای اعمال احراز هویت قوی است. اهمیت این پرسش از آن رو است که پاسخ آن، می‌تواند مبنای ارزیابی الگوهای بومی ما باشد.

آن‌گونه که کریمی می‌گوید «در بین روش‌های مختلف اعمال احراز هویت قوی نظیر استفاده از رمز یک‌بار مصرف موبایلی، ارسال رمز یک‌بار مصرف به ایمیل، استفاده از پرسش چالشی، اثرانگشت و طرح چهره، روش ارسال رمز یک‌بار مصرف موبایلی هم به لحاظ تجربه کاربری و هم به لحاظ امنیت از مطلوبیت بیشتری برخوردار است. شاید به همین خاطر هم در کشور ما سعی شد از رمز یک‌بار مصرف موبایلی استفاده شود».

کریمی با بیان اینکه در اجرای این الزام و راهکار پیاده‌سازی آن باید به برخی نکات توجه داشت، گفت: پیاده‌سازی احراز هویت قوی با توجه به اینکه در ایران به‌صورت متمرکز توسط شرکت‌های ارائه‌دهنده پرداخت انجام می‌شود تأثیر ویژه‌ای بر کسب‌وکارهای اینترنتی نخواهد داشت. اگر قرار باشد شیوه دیگری برای پرداخت این هزینه تعریف شود، نیازمند بررسی همه جانبه‌ای خواهیم بود.

وی افزود: اجرای درست این الزام نیازمند آمادگی کامل واحد پشتیبانی مشتریان در شرکت‌های ارائه‌دهنده خدمات پرداخت و پشتیبانی مشتریان کسب‌وکارهای اینترنتی است. این آمادگی قبل از اعمال هرگونه الزامی حتما باید ایجاد شود.

این کارشناس پرداخت الکترونیک در جمع‌بندی مقایسه میان الزام پویاسازی رمز دوم در ایران و احراز هویت قوی در اروپا این‌گونه نتیجه می‌گیرد که پیش از نهایی‌سازی و اعمال راهکار پویاسازی رمز دوم در کسب‌وکارهای اینترنتی خوب است تحقیقی در مورد آمار تقلب‌های اینترنتی موجود و پیش‌بینی میزان کاهش آن‌ها صورت بگیرد و با نتایج تحقیق در زمینه میزان کاهش فروش کسب‌وکارهای اینترنتی به‌واسطه پویاسازی رمز دوم مقایسه شود.

وی تصریح کرد: همچنین، پیش از الزامی کردن پویاسازی رمز دوم، کسب‌وکارهای اینترنتی باید نسبت به آمادگی لازم در واحد پشتیبانی مشتریان خود توجیه شوند.

به گزارش ایرنا، طرح استفاده اجباری از رمز دوم یکبار مصرف که قرار بود از اول خردادماه اجرا شود، تا مدتی نامعلوم برای استفاده مردم به تعویق افتاد.

این تصمیم به دلیل ناتوانی برخی بانک ها در ایجاد زیرساخت پایدار و مطمئن ارایه رمز دوم یکبار مصرف و وقوع مشکل در شماری از اپلیکیشن های بانکی، گرفته شده است.

هدف از اجرای این طرح مبارزه با تخلفات و سوءاستفاده در تراکنش های اینترنتی اعلام شده بود.

منبع: ایرنا

کلیدواژه: بانک مرکزی جمهوری اسلامی ایران پرسش از خبر بانک

درخواست حذف خبر:

«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را به‌طور اتوماتیک از وبسایت www.irna.ir دریافت کرده‌است، لذا منبع این خبر، وبسایت «ایرنا» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۲۴۸۱۹۱۱۰ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتی‌که در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.

با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.

خبر بعدی:

سقف تراکنش غیرحضوری در شبکه بانکی دوبرابر شد

به گزارش «تابناک»، براساس بخشنامه بانک مرکزی، سقف برداشت از حساب‌های بانکی به صورت غیرحضوری ۲۰۰ میلیون تومان به صورت روزانه و یک میلیارد تومان به صورت ماهانه مجاز شد.

حداکثر تراکنش خرید از هر کارت بانکی و کلیه کارت‌های متعلق به مشتری حقیقی، به روزانه ۲۰۰ میلیون تومان افزایش یافت.

بانک مرکزی در بخشنامه شماره ۲۲۸۴۸‏/۰۳ مورخ ۴‏/۰۲‏/۱۴۰۳ موارد زیر را به شبکه بانکی ابلاغ کرد:

پیرو بخشنامه شماره ۴۸۶‏/۰۳ مورخ ۰۵‏/۰۱‏/۱۴۰۳ معاون محترم فن‌آوری‌های نوین بانک مرکزی درخصوص افزایش سقف تراکنش‌خرید اشخاص حقیقی، به استحضار می‌رساند هیأت عامل بانک مرکزی در جلسه مورخ ۲۷‏/۱۲‏/۱۴۰۲ با استناد به اختیارات مقرر در ماده (۱۷) دستورالعمل شفاف‌سازی تراکنش‌های بانکی اشخاص با اصلاحات و الحاقات بعدی آن، مصوب شورای پول و اعتبار ابلاغی طی بخشنامه شماره ۳۳۹۴۴‏/۰۲ مورخ ۱۸‏/۰۲‏/۱۴۰۲ که طی آن افزایش آستانه‌های مقرر در دستورالعمل مذکور در حدود شاخص بهای کالا و خدمات مصرفی به رئیس‌کل محترم بانک مرکزی تفویض شده است، با افزایش آستانه‌های مندرج در مواد (۸)، (۱۰) و (۱۲) دستورالعمل شفاف‌سازی تراکنش‌های بانکی اشخاص، به شرح زیر موافقت نمود:

آستانه مجاز مجموع مبالغ برداشت از طریق درگاه‌های پرداخت غیرحضوری، از کلیه حساب‌های سپرده غیرتجاری متعلق به مشتری حقیقی در هر مؤسسه اعتباری، تا دو میلیارد ریال به صورت روزانه و ده میلیارد ریال به صورت ماهانه افزایش می‌یابد.

الزام به تکمیل قسمت (فیلد) بابت در فرم‌های مربوط و ارایه اسناد مثبته دال بر انجام معامله، قرارداد و یا علت انتقال وجه در نقل و انتقالات الکترونیکی حضوری درون بانکی و بین بانکی روزانه اشخاص حقیقی از گروه حساب‌های غیرتجاری آن‌ها که تا زمان ابلاغ این بخشنامه برای مبالغ بالاتر از دو میلیارد ریال اعمال می‌گردید، از این پس برای مبالغ بالاتر از چهارمیلیاردریال ضرورت می‌یابد. هم‌چنین در نقل و انتقالات الکترونیکی حضوری درون بانکی و بین بانکی مربوط به حساب‌های غیرتجاری اشخاص حقیقی با مبالغ بیشتر از دو میلیارد ریال تا چهارمیلیاردریال، گرچه ارایه اسناد مثبته دال بر انجام معامله، قرارداد و یا علت انتقال وجه ضرورت ندارد، لیکن تکمیل قسمت (فیلد) بابت در فرم‌های مربوط، الزامی است.

حداکثر تراکنش خرید از هر کارت‌پرداخت و نیز کلیه کارت‌های پرداخت متعلق به مشتری حقیقی، به روزانه مبلغ دو میلیارد ریال افزایش می‌یابد. کنترل آستانه مذکور در خصوص هر کارت بر عهده مؤسسه اعتباری صادرکننده کارت پرداخت است.

بانک‌ها موظفند، ضمن ایفاد نسخه اصلاحی دستورالعمل شفاف‌سازی تراکنش‌های بانکی اشخاص و نیز ارسال نسخه‌ای از «دستورالعمل نحوه اخذ مستندات موضوع تبصره ماده (۷)، تبصره (۲) ماده (۱۰) و تبصره ماده (۱۱) دستورالعمل شفاف‌سازی تراکنش‌های بانکی اشخاص» که ماده (۴) آن با توجه به تغییرات فوق‌الاشاره مورد اصلاح قرار گرفته است، مراتب را با لحاظ مفاد بخشنامه شماره ۱۴۹۱۵۳‏‏‏‏‏‏‏‏‏‏‏‏‏/۹۶ مورخ ۱۶‏‏‏‏‏‏‏‏‏‏‏‏‏/۵‏‏‏‏‏‏‏‏‏‏‏‏‏/۱۳۹۶ به تمامی واحدهای ذیربط آن مؤسسه اعتباری ابلاغ و بر حسن اجرای آن نظارت کنند.‏‏‏‏‏‏