ایران چگونه از پویاسازی رمز دوم کارت بانکی الگوبرداری کند؟
تاریخ انتشار: ۲۸ مرداد ۱۳۹۸ | کد خبر: ۲۴۸۱۹۱۱۰
اواخر سال ۹۷ بود که برای نخستین بار زمزمههای الزام پویا شدن رمز دوم برای خریدهای اینترنتی در ایران شنیده شد؛ شبکه بانکی کشور هم از همان زمان خود را ملزم میدانست تا در ابتدای خردادماه سال ۹۸ امکان استفاده از رمز دوم پویا را برای کاربران فراهم آورد؛ الزامی که بعداً مشخص شد ناشی از برداشت نادرست رسانهها از یک بخشنامه بانکمرکزی و استناد همه بانکهای کشور به همان برداشت نادرست رسانهای بوده است.
بیشتر بخوانید:
اخباری که در وبسایت منتشر نمیشوند!
حالا حدود دو ماه پس از آن موعد و با فرونشستن تدریجی هیجانات ماجرای پویاسازی رمز دوم در ایران، از اروپا خبر میرسد کسبوکارهای اینترنتی در این قاره از ۱۴ سپتامبر یعنی ۲۳ شهریورماه ملزم هستند از آنچه در آنجا «سازوکار احراز هویت قوی» نامیده میشود و شباهت فراوانی به همان رمز دوم پویا در کشور ما دارد، استفاده کنند.
این نزدیکی زمانی اگرچه ممکن است در نگاه اول صرفا یک اتفاق باشد اما در نگاهی عمیقتر قطعا میتواند نشانهای از شباهت دغدغهها، مشکلات و راهحلها در دو سوی جهان باشد.
تردیدی نیست که با توجه به تفاوتهای فراوان ساختار شبکههای بانکی و پرداخت الکترونیک در ایران و اروپا، بررسی زمینهها، شیوه و آثار الزام استفاده از رمز دوم پویا یا همان احراز هویت قوی در این دو اکوسیستم، متفاوت است و نمیتوان به مقایسه نقطهبهنقطه دست زد اما از سوی دیگر نباید از این همزمانی تقریبی نیز به غفلت گذشت چراکه باوجود تفاوتها، شباهتها نیز کم نیستند خصوصاً اینکه فارغ از تمام وجوه افتراق، اصول امنیت در حوزه پرداخت و بانکداری، مشابه و برخاسته از ضرورتها و نیازهای یکسان هستند.
برای بررسی این تفاوتها و شباهتها و مهمتر از آن، استخراج نتایج تحلیلی استفاده از رمز دوم پویا در ایران و سازوکار احراز هویت قوی در اروپا از محمود کریمی، کارشناس حوزه بانکداری و پرداخت الکترونیک کمک گرفتهایم.
کریمی در گفت وگو با ایرنا به تحقیقی اشاره میکند که «موسسه تحقیقاتی ۴۵۱» طی آن به تحلیل تأثیرات فعالسازی احراز هویت قوی در پرداختهای اینترنتی اروپا پرداخته است.
به گفته او «اگرچه نتایج این تحقیق با توجه به تفاوتهای ساختار شبکه پرداخت کشور ما با کشورهای اروپایی مورد بررسی قرارگرفته در این گزارش، بهطور کامل قابلاستفاده نیست ولی برخی نکات مطرحشده در آن میتواند دستمایه مناسبی برای انجام تحقیقات بیشتر، پیش از طراحی راهکار و الزام پویاسازی رمز دوم در پرداختهای اینترنتی کشور ما قرار گیرد».
این کارشناس تحلیل اکوسیستمهای پرداخت الکترونیک پیش از پرداختن به نتایج این تحقیق، اشارهای به تفاوت سازوکار پرداختهای اینترنتی در ایران و اتحادیه اروپا دارد.
به گفته وی پرداختهای اینترنتی و موبایلی در کشور ما صرفاً از طریق ۱۲ شرکت ارائهدهنده خدمات پرداخت و از طریق درگاه پرداخت آنها انجام میشود و از اینرو کسبوکارهای اینترنتی صرفاً از طریق واسطهای نرمافزاری مشخص با آن در ارتباط هستند بنابراین تغییر در سازوکارهای احراز هویت مشتری تنها باید در دامنه درگاه پرداخت پیادهسازی شود و کسبوکارهای اینترنتی کمترین تغییر را در این زمینه نیاز دارند.
کریمی ادامه داد: این در حالی است که در پرداختهای اینترنتی اتحادیه اروپا، اگرچه کسبوکارهای اینترنتی از سرویسهای پایهای شبکه پرداخت استفاده میکنند ولی تا حدودی در فرآیند احراز هویت مشتری مداخله دارند و از اینرو تغییر در سازوکارهای احراز هویت، موجبات تغییر در وبسایت این کسبوکارها را نیز فراهم میآورد. با وجود این تفاوتها اما بهنظر نمیرسد نیازهایی که برای پاسخگویی به آنها سازوکارهای مشابهی در ایران و اروپا دنبال میشود، تفاوتی داشته باشد.
کریمی با وجود این شباهتها موافق است و «کاهش تقلب و ارتقای سطح امنیت پرداختهای اینترنتی» را همان هدف مشترک میداند؛ هدفی که احراز هویت قوی در اروپا بهعنوان بخشی از مقررات PSD۲ برای کاهش تقلب و ارتقای امنیت پرداختهای اینترنتی برخط الزامی شده است.
این کارشناس بانکداری گفت: مطابق این روش، کسبوکارهای اینترنتی در اروپا از ۱۴ سپتامبر ۲۰۱۹ (...) موظفاند دو شیوه احراز هویت مستقل را در پرداختهای اینترنتی به کار ببندند.
کریمی در پاسخ به این پرسش که این تغییر چه پیامدهای اقتصادی خواهد داشت؟ گفت: نتایج تحقیق «موسسه تحقیقاتی ۴۵۱» پیشبینی کرده «در سال اول فعالسازی احراز هویت قوی در پرداختهای اینترنتی اروپا، مبلغ پرداختهای اینترنتی ۱۰ درصد کاهش خواهد یافت و ۵۷ میلیارد یورو از ۵۹۲ میلیارد یورویی که پیشبینیشده در سال ۲۰۱۹ بهصورت اینترنتی پرداخت شود، کاسته خواهدشد.
وی افزود: این کاهش به علت افت در نرخ تبدیل وبسایتهای اینترنتی (نسبت کل تعداد مشتریان با خرید موفق به تعداد کل مشتریان واردشده به وبسایت) رخ خواهد داد.
این تحلیلگر حوزه پرداخت الکترونیک در تشریح علل کاهش نرخ تبدیل گفت: از جمله دلایل این کاهش، عدم اطلاع کافی کسبوکارهای اینترنتی از نحوه و جزئیات پیادهسازی سازوکار احراز هویت قوی و مدتزمان مورد نیاز برای اعمال این تغییرات که ممکن است در مهلت زمانی تعیینشده خاتمه نیابد. در ایران به نظر میرسد کسبوکارهای اینترنتی در این بخش با کمترین تغییر مواجه شوند.
وی اضافه کرد: تحمل کم مشتریان در فرآیند بستن سبد فروش باعث میشود که تغییر در فرآیند بستن سبد فروش و اعمال سازوکار احراز هویت قوی، نارضایتی به همراه داشته و ازاینرو با رشد شدیدی در آمار سبدهای فروش تعلیق شده مواجه شویم. در ایران هم به نظر میرسد این اتفاق رخ دهد گرچه شدت و ضعف آن تحت تأثیر راهکار مورد استفاده برای اعمال رمز دوم پویا خواهد بود.
پرسش مهم دیگر در این باره، سازوکارها و استانداردهای اعمال احراز هویت قوی است. اهمیت این پرسش از آن رو است که پاسخ آن، میتواند مبنای ارزیابی الگوهای بومی ما باشد.
آنگونه که کریمی میگوید «در بین روشهای مختلف اعمال احراز هویت قوی نظیر استفاده از رمز یکبار مصرف موبایلی، ارسال رمز یکبار مصرف به ایمیل، استفاده از پرسش چالشی، اثرانگشت و طرح چهره، روش ارسال رمز یکبار مصرف موبایلی هم به لحاظ تجربه کاربری و هم به لحاظ امنیت از مطلوبیت بیشتری برخوردار است. شاید به همین خاطر هم در کشور ما سعی شد از رمز یکبار مصرف موبایلی استفاده شود».
کریمی با بیان اینکه در اجرای این الزام و راهکار پیادهسازی آن باید به برخی نکات توجه داشت، گفت: پیادهسازی احراز هویت قوی با توجه به اینکه در ایران بهصورت متمرکز توسط شرکتهای ارائهدهنده پرداخت انجام میشود تأثیر ویژهای بر کسبوکارهای اینترنتی نخواهد داشت. اگر قرار باشد شیوه دیگری برای پرداخت این هزینه تعریف شود، نیازمند بررسی همه جانبهای خواهیم بود.
وی افزود: اجرای درست این الزام نیازمند آمادگی کامل واحد پشتیبانی مشتریان در شرکتهای ارائهدهنده خدمات پرداخت و پشتیبانی مشتریان کسبوکارهای اینترنتی است. این آمادگی قبل از اعمال هرگونه الزامی حتما باید ایجاد شود.
این کارشناس پرداخت الکترونیک در جمعبندی مقایسه میان الزام پویاسازی رمز دوم در ایران و احراز هویت قوی در اروپا اینگونه نتیجه میگیرد که پیش از نهاییسازی و اعمال راهکار پویاسازی رمز دوم در کسبوکارهای اینترنتی خوب است تحقیقی در مورد آمار تقلبهای اینترنتی موجود و پیشبینی میزان کاهش آنها صورت بگیرد و با نتایج تحقیق در زمینه میزان کاهش فروش کسبوکارهای اینترنتی بهواسطه پویاسازی رمز دوم مقایسه شود.
وی تصریح کرد: همچنین، پیش از الزامی کردن پویاسازی رمز دوم، کسبوکارهای اینترنتی باید نسبت به آمادگی لازم در واحد پشتیبانی مشتریان خود توجیه شوند.
به گزارش ایرنا، طرح استفاده اجباری از رمز دوم یکبار مصرف که قرار بود از اول خردادماه اجرا شود، تا مدتی نامعلوم برای استفاده مردم به تعویق افتاد.
این تصمیم به دلیل ناتوانی برخی بانک ها در ایجاد زیرساخت پایدار و مطمئن ارایه رمز دوم یکبار مصرف و وقوع مشکل در شماری از اپلیکیشن های بانکی، گرفته شده است.
هدف از اجرای این طرح مبارزه با تخلفات و سوءاستفاده در تراکنش های اینترنتی اعلام شده بود.
منبع: ایرنا
کلیدواژه: بانک مرکزی جمهوری اسلامی ایران پرسش از خبر بانک
درخواست حذف خبر:
«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را بهطور اتوماتیک از وبسایت www.irna.ir دریافت کردهاست، لذا منبع این خبر، وبسایت «ایرنا» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۲۴۸۱۹۱۱۰ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتیکه در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.
با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.
خبر بعدی:
سقف تراکنش غیرحضوری در شبکه بانکی دوبرابر شد
به گزارش «تابناک»، براساس بخشنامه بانک مرکزی، سقف برداشت از حسابهای بانکی به صورت غیرحضوری ۲۰۰ میلیون تومان به صورت روزانه و یک میلیارد تومان به صورت ماهانه مجاز شد.
حداکثر تراکنش خرید از هر کارت بانکی و کلیه کارتهای متعلق به مشتری حقیقی، به روزانه ۲۰۰ میلیون تومان افزایش یافت.
بانک مرکزی در بخشنامه شماره ۲۲۸۴۸/۰۳ مورخ ۴/۰۲/۱۴۰۳ موارد زیر را به شبکه بانکی ابلاغ کرد:
پیرو بخشنامه شماره ۴۸۶/۰۳ مورخ ۰۵/۰۱/۱۴۰۳ معاون محترم فنآوریهای نوین بانک مرکزی درخصوص افزایش سقف تراکنشخرید اشخاص حقیقی، به استحضار میرساند هیأت عامل بانک مرکزی در جلسه مورخ ۲۷/۱۲/۱۴۰۲ با استناد به اختیارات مقرر در ماده (۱۷) دستورالعمل شفافسازی تراکنشهای بانکی اشخاص با اصلاحات و الحاقات بعدی آن، مصوب شورای پول و اعتبار ابلاغی طی بخشنامه شماره ۳۳۹۴۴/۰۲ مورخ ۱۸/۰۲/۱۴۰۲ که طی آن افزایش آستانههای مقرر در دستورالعمل مذکور در حدود شاخص بهای کالا و خدمات مصرفی به رئیسکل محترم بانک مرکزی تفویض شده است، با افزایش آستانههای مندرج در مواد (۸)، (۱۰) و (۱۲) دستورالعمل شفافسازی تراکنشهای بانکی اشخاص، به شرح زیر موافقت نمود:
آستانه مجاز مجموع مبالغ برداشت از طریق درگاههای پرداخت غیرحضوری، از کلیه حسابهای سپرده غیرتجاری متعلق به مشتری حقیقی در هر مؤسسه اعتباری، تا دو میلیارد ریال به صورت روزانه و ده میلیارد ریال به صورت ماهانه افزایش مییابد.
الزام به تکمیل قسمت (فیلد) بابت در فرمهای مربوط و ارایه اسناد مثبته دال بر انجام معامله، قرارداد و یا علت انتقال وجه در نقل و انتقالات الکترونیکی حضوری درون بانکی و بین بانکی روزانه اشخاص حقیقی از گروه حسابهای غیرتجاری آنها که تا زمان ابلاغ این بخشنامه برای مبالغ بالاتر از دو میلیارد ریال اعمال میگردید، از این پس برای مبالغ بالاتر از چهارمیلیاردریال ضرورت مییابد. همچنین در نقل و انتقالات الکترونیکی حضوری درون بانکی و بین بانکی مربوط به حسابهای غیرتجاری اشخاص حقیقی با مبالغ بیشتر از دو میلیارد ریال تا چهارمیلیاردریال، گرچه ارایه اسناد مثبته دال بر انجام معامله، قرارداد و یا علت انتقال وجه ضرورت ندارد، لیکن تکمیل قسمت (فیلد) بابت در فرمهای مربوط، الزامی است.
حداکثر تراکنش خرید از هر کارتپرداخت و نیز کلیه کارتهای پرداخت متعلق به مشتری حقیقی، به روزانه مبلغ دو میلیارد ریال افزایش مییابد. کنترل آستانه مذکور در خصوص هر کارت بر عهده مؤسسه اعتباری صادرکننده کارت پرداخت است.
بانکها موظفند، ضمن ایفاد نسخه اصلاحی دستورالعمل شفافسازی تراکنشهای بانکی اشخاص و نیز ارسال نسخهای از «دستورالعمل نحوه اخذ مستندات موضوع تبصره ماده (۷)، تبصره (۲) ماده (۱۰) و تبصره ماده (۱۱) دستورالعمل شفافسازی تراکنشهای بانکی اشخاص» که ماده (۴) آن با توجه به تغییرات فوقالاشاره مورد اصلاح قرار گرفته است، مراتب را با لحاظ مفاد بخشنامه شماره ۱۴۹۱۵۳/۹۶ مورخ ۱۶/۵/۱۳۹۶ به تمامی واحدهای ذیربط آن مؤسسه اعتباری ابلاغ و بر حسن اجرای آن نظارت کنند.