احراز هویت کاربر یکی از دغدغه‌های مهم سیستم‌های پرداخت و بانکی است / تهدید حریم خصوصی با دریافت اجباری کد ملی و شماره تلفن همراه برای فعال‌سازی اپلیکیشن‌ها

نویسنده: راه پرداخت در تاریخ 24 فروردین سال 1398 ساعت 16:33 0

علی عزیزی، کارشناس راهکارهای پرداخت / احراز هویت کاربر یکی از دغدغه‌های مهم سیستم‌های پرداخت و بانکی است که در صورت اعمال فرآیند صحیح شناخت مشتری، آمار کلاه‌برداری و پول‌شویی به طرز قابل توجه ای کاهش پیدا می‌کند. این موضوع در دنیای مدرن سیستم‌های پرداخت به دو روش شناخت کامل و جزیی مشتری انجام می‌شود.

همچنین بخش مهم کنترل پول‌شویی این فرآیند در پیکربندی مدیریت ریسک سوییچ بانک‌های صادرکنندگی کارت انجام می‌شود که تخلفات مربوط به تراکنش کارتی کاهش و مشکلات بیشتر به سمت ایرادات کاربری انتقال پیدا می‌کند که کاربر با بی‌احتیاطی خود و خطای کاربری دچار خسارت شده است که این مساله نیز از طریق ارتقا فرهنگ استفاده و اطلاع‌رسانی همگانی قابل بهبود است.

مستند الزامات ارائه خدمات بانکی توسط اپلیکیش‌های همراه که توسط بانک مرکزی در اواخر زمستان 97 منتشر شد و تمرکز آن بر روی چگونگی شناخت مشتری کاربر در تراکنش‌های کارتی بر روی گوشی‌های هوشمند است، امن سازی تراکنش‌های کارتی بر روی موبایل‌ها را به شکل قابل توجهی افزایش می‌دهد.

در این مستند بند 2 (اخذ کد ملی و شماره تلفن همراه کاربر و تطابق آن) قابل نقد است. در همین رابطه بررسی مدل‌های مشابه در کشورهای دیگر فرآیند شناخت مشتری را طبقه‌بندی و بر اساس کاربرد نرم‌افزار دسته‌بندی کرده‌اند. به عنوان مثال، در نرم‌افزارهایی با کاربرد کیف پول که در آن پول از قبل در دسترسی است و کاربر به راحتی پس از ورود به اپلیکیشن می‌تواند آن را خرج یا انتقال دهد، شناخت کامل مشتری باید انجام شود.

همینطور بانک مرکزی هند RBI در سال 2018 قوانینی را با همین موضوع وضع کرد و همچنین یک مهلت مشخص برای تطابق‌پذیری آنها که در صورت عدم رعایت ضوابط در آن بازه زمانی، با محدودیت‌های عملیاتی شدید مواجه خواهند شد.

این محدودیت‌ها شامل انجام عملیات حساس بانکی و قفل‌کردن موقت شماره‌حساب است و سرویس‌های روزمره مانند خرید قابل‌استفاده است. برای شناخت کامل مشتری نیز احراز هویت از طریق پارامتر شماره موبایل به تنهایی کافی است. با توجه به مدل‌های مشابه دریافت کد ملی به عنوان پارامتر احراز هویت در تراکنش‌های کارتی پذیرندگی جای بحث دارد و این نوع مقررات بیشتر نگاه امنیتی به نرم‌افزارها یا پرداخت سازها را دارد تا امن سازی تراکنش!

دریافت کد ملی و شماره تلفن همراه کاربر به عنوان یک عامل اجباری برای فعال‌سازی اپلیکیشن‌ها نه تنها حریم خصوصی کاربر را تهدید می‌کند (چرا نرم‌افزار پرداخت کارتی اطلاعات هویتی کاربر را داشته باشد؟ در تراکنش پذیرندگی، چه منطقی پشت دریافت اطلاعات هویتی کاربر است؟!) بلکه تجربه کاربری مناسبی را نیز فراهم نمی‌کند.

در بلژیک کنسرسیومی از مؤسسات مالی بانکی و اپراتورها به نام Belgian Mobile ID به وجود آمده است که هدف آن احراز هویت موبایلی و حریم خصوصی دیجیتال است. کاربران از طریق این نرم‌افزار می‌توانند ثبت نام، ورود به نرم‌افزار، تراکنش و حتی امضای اسناد را انجام دهند و شعار آنها به کاربران خود این است:

شما نباید بین امنیت و راحتی انتخاب کنید بلکه باید بتوانید اطلاعات شخصی خود را به صورت ایمن و راحت استفاده کنید و به اشتراک بگذارید.

(You shouldn’t have to choose between security and convenience but you should be able to use and share your personal data securely and easily)

حتی در الزامات PCI-DSS نیز شناخت مشتری به عنوان عامل کنترلی در نظر گرفته نشده است و در اختیار سرویس‌دهنده است و در دامنه سناریوهای تراکنش کارتی قرار نمی‌گیرد. اساساً شناخت مشتری کاربر در زمان گرفتن سرویس‌های بانکی، به عهده مؤسسات مالی بانکی و شرکت‌های پرداخت است و آنها از طریق ابزار مدیریت ریسک و سامانه‌های Front & Back Office در سامانه‌های خود، میزان تخلفات را کنترل می‌کنند.

همچنین در حال حاضر نرم‌افزارهای پرداخت‌ساز برای مطابقت با این سرویس دچار مشکل خواهند شد زیرا دسترسی به سرویس مانا برای آنها به طور کامل به وجود نیامده است. در نهایت این موضوع که بانک مرکزی بر اساس چه میزان مستندات و حقایقی تصمیم به الزام شناخت مشتری از طریق کد ملی و تلفن همراه در این اپلیکیشن‌ها را انجام داده است و میزان تأثیر آن بر کسب‌وکارها و کاربر نهایی با چه سنجشی تخمین زده شده است، نیازمند روشن‌سازی است.