اما و اگرهای طرح رمز دوم یکبار مصرف

پذيرش مشروط رمز دوم ایستا براي ارقام زير 500 هزار تومان

بانک مرکزی در بخشنامه‌ای به شبکه بانکی اعلام کرد که استفاده از رمز دوم ایستا برای تراکنش‌های کمتر از ۵۰۰ هزار تومان صرفا در صورت پذیرش مسئولیت سوءاستفاده‌ها و جبران خسارت توسط بانک است

کد خبر: ۱۳۵۸۶۶

تاریخ انتشار: ۲۷ ارديبهشت ۱۳۹۸ - ۱۶:۱۵

اقتصاد گردان - بانک مرکزی جمهوری اسلامی ایران دستورالعمل تکمیلی جایگزینی رمزهای پویا به جای رمزهای ایستا در پرداخت‌های بدون حضور کارت را به منظور افزایش سطح امنیت مشتریان بانکی و جلوگیری از تضعیع حقوق سپرده گذاران به شبکه بانکی ابلاغ کرد؛ این بخشنامه که از سوی ناصر حکیمی، معاون فناوری‌های نوین بانک مرکزی ابلاغ و منتشر شده، تاکید دارد که ضروری است تا رمز یکبار مصرف برای مشتریان کاملا رایگان باشد و تمامی بانک‌هازیرساخت رمز دوم یکبار مصرف را از تاریخ اول خرداد ماه ارائه کنند.

پذيرش مشروط

در بخش اول بخشنامه بانك مركزي در خصوص رمز دوم یکبار مصرف و مسئولیت بانک‌ها اعلام شده که از ابتدای خردادماه تامین امنیت مشتریان نظام بانکی در تراکنش‌های بدون حضور کارت بر عهده بانک‌ها بوده و هرگونه مسئولیت استفاده از حساب‌های مشتریان به دلیل آسیب‌پذیری‌های امنیتی در سرویس‌های بانکی مستقیما به عهده بانک خواهد بود و در این موارد تایید مراجع قضایی برای جبران خسارت مشتریان کفایت می‌کند؛ بر همین اساس در صورتی که بانک زیرساخت رمز دوم یکبار مصرف را از ابتدای خرداد ماه نداشته و با دیرکرد به مشتریان ارائه کند، در صورتی که در این بازده زمانی کلاهبرداری رخ دهد یا اگر به دلیل نفوذ و سوءاستفاده از زیرساخت رمز دوم یکبار مصرف به دلیل آسیب پذیری امنیتی کلاهبرداری از مشتری انجام شود، بانک مذکور باید نسبت به جبران خسارت مشتری با تایید مراجع قضایی اقدام کند.

بخشنامه جدید بانک مرکزی به شبکه بانکی در خصوص رمز دوم یکبار مصرف تاکید دارد که جایگزینی رمز دوم پویا به جای رمزهای دوم ایستا برنامه‌ای از سوی بانک مرکزی به منظور ارتقای سطح امنیتی نظام بانکی است و با توجه به این که امنیت بخش لاینفک هر خدمتی به شمار می‌رود، رمز دوم یکبار مصرف هیچ هزینه‌ای برای دارندگان کارت و مشتریان بانکی ندارد؛ معاون فناوری‌های نوین بانک مرکزی در این بند از بخشنامه خاطر نشان کرده است که اخذ کارمزد توسط شبکه بانکی برای فعالسازی رمز دوم یکبار مصرف غیر قانونی به شمار می‌رود و باید این خدمت رایگان ارائه شود.

قبول مسئولیت بانک برای جبران خسارت

در این بخشنامه بانک مرکزی خاطر نشان کرده که بانک‌ها و موسسات مالی و اعتباری می‌توانند با قبول مسئولیت هرگونه سوءاستفاده از مسایل امنیتی و جبران خسارت احتمالی وارد شده به مشتریان برای تراکنش‌های کم‌مقدار (با سقف کمتر از ۵ میلیون ریال در روز برای تمامی تراکنش‌ها و همچنین تراکنش‌هایی که ذینفع آن دستگاه‌های عمومی نظیر صادرکنندگان قبض باشند) استفاده از مرزهای ایستا را مجاز تلقی کنند؛ در واقع بانک مرکزی در حوزه تراکنش‌های کم مقدار تصریح کرده که اگر بانک قبول به جبران خسارت مشتریان برای تراکنش‌های کمتر از ۵۰۰ هزار تومان کند قادر خواهد بود تا زیرساخت رمز دوم ایستا یا همان رمز دوم فعلی کارت‌های بانکی را برای تراکنش به مشتریان ارائه کند و اگر بانک نسبت به جبران خسارت این تراکنش‌ها تعهد ندهد باید مشتری برای هرگونه تراکنش با رمز دوم از رمز دوم یکبار مصرف استفاده کند.

معاون فناوری‌های نوین این بانک طی بخشنامه جدید رمزهای یکبار مصرف اعلام کرده که بانک مرکزی نسبت به بررسی راهکارهای تایید هویت قوی مشتری پیش از برداشت از حساب اقدام خواهد کرد؛ در همین راستا در صورتی که بانک بتواند راه‌حل مطمئن دیگری که با تایید بانک مرکزی متضمن تایید هویت قوی مشتری پیش از برداشت از حساب باشد را اجرایی کند، می‌تواند از این راهکار به عنوان جایگزین رمز پویا استفاده به عمل آورد.

بانک مرکزی در حوزه هزینه تمام شده زیرساخت تامین امنیت پرداخت‌های بدون حضور کارت اعلام کرده است که هرگونه فرآیند تامین امنیت پرداخت‌های بدون حضور کارت باید با انجام هزینه‌های منطقی و معقول و مطابق با قیمت تمام شده فنی در آن بانک به صورت یک زیرساخت دائمی صورت گرفته و صرفه و صلاح بانک به طور کامل در آن مدنظر قرار گیرد؛ در حقیقت بانک‌ها باید با هزینه معقول نسبت به ایجاد زیرساخت دائمی و مناسب مشتریان در چند بخش اقدام کنند و صرفا به دنبال ارائه راهکارهای مختلف به صورت موقت نباشند.

در آخرین بند بخشنامه جدید معاونت فناوری‌های نوین بانک مرکزی در زمینه رمزهای پویا خاطر نشان شده است که به منظور پشتیبانی حداکثری از مشتریان ضرورت دار امکانات ارائه رمز، محدود به استفاده از برنامه‌های کاربردی گوشی‌های هوشمند نشده و ارائه آن از طریق سایر ابزارها نظیر پیامک، پیام‌رسان‌های داخلی مجاز و نظایر آن برای مشتریان بانک‌ها نیز حسب تشخیص بانک فعال شود؛ بر همین اساس و با توجه به تاکید قبلی بانک مرکزی، بانک‌ها و موسسات مالی و اعتباری ضمن ارائه اپلیکیشن رمز یکبار مصرف برای سیستم عامل اندروید و iOS باید زیرساخت ارائه رمز یکبار مصرف در پیام رسان‌های داخلی مجاز را توسعه دهند و برای مشتریانی که از تلفن‌های غیر هوشمند استفاده می‌کنند از بستر پیام کوتاه و USSD استفاده شود.

دلايل رمز دوم

استفاده از رمز دوم یکبار به دلیل افزایش کلاهبرداری‌های اینترنتی در دستور کار بانک مرکزی قرار گرفت اما بروز یکسری از مشکلات باعث تعویق در اجرای اجباری این طرح شده است.

به گزارش ایبِنا، پرداخت بدون کارت در ایران از سال ۸۶ اجرایی شده و از آن زمان برای خریدهای اینترنتی استفاده از چهار مولفه شماره کارت، رمز دوم، CVV۲ و تاریخ انقضا برای انجام تراکنش‌ها در دستور کار قرار گرفت. البته برای تراکنش‌های تلفن بانک و موبایل بانک به علت امنیت بیشتر تنها دو مولفه شماره کارت و رمز دوم درخواست می‌شود.

براساس آمار کلاهبرداری‌هایی که در این حوزه می‌شود به دلیل مشکلات امنیتی از قبیل هک شدن و ایرادهای سیستمی نیست و حجم بالای این کلاهبرداری‌ها به علت لو رفتن اطلاعات این چهار مولفه رخ می‌دهد؛ برای مثال کلاهبرداری از طریق فیشینگ با سوءاستفاده از مولفه‌های وارد شده در سایت‌های جعلی پرداخت انجام شده و کلاهبرداران با کمک این اطلاعات نسبت به برداشت از حساب اقدام می‌کنند.

رمز دوم یکبار مصرف چرا اجرایی شد؟

طی دو سه سال اخیر تعداد پرونده‌های تشکیل شده در این حوزه به شدت افزایش داشته و از طرفی علاوه بر وب سایت‌ها، اپلیکیشن‌ها و شبکه‌های اجتماعی نیز وارد میدان شده‌اند که موجب شده حجم کلاهبرداری‌ها افزایش یابد. هر چند که آمار این کلاهبرداری‌ها در مقایسه با سایر کشورها رقم بسیار پایینی است اما با توجه به انتقاداتی که به سیستم بانکی از این بابت وجود داشت، بانک مرکزی در نهایت به این تصمیم رسید که یکی از این چهار مولفه، متغیر شود و اجرای طرح رمز دوم یکبار مصرف در دستور کار قرار گرفت.

دلایل تعویق اجرای رمز دوم پویا

اول خرداد ۹۸ به عنوان مهلت بانک‌ها برای اجرای این طرح در نظر گرفته شده بود تا رمزهای ایستا با رمزهای پویا جایگزین شود. ۲۵ بانک زیرساخت‌ها را آماده کرده بودند و برنامه‌ریزی بیشتر بانک‌ها این بود که از طریق اپلیکیشن رمز را ارائه دهند اما به دلیل مشکل گوشی‌های اپل و حذف شدن اپلیکیشن‌ها توسط سرویس حفاظتی گوگل این طرح با وقفه روبرو شد و بانک‌ها مجبور شدند که راهکار جایگزینی ارائه دهند.

البته برای این منظور تمهیداتی در نظر گرفته شده است. بر این اساس مقرر شده زیرساخت به تدریج برای مشتریان با ریسک بالا انجام می‌شود و مشتریان برای انجام یکسری تراکنش‌ها که ریسک کمتری دارند مانند خرید شارژ و پرداخت قبض از الزام به دریافت رمز دوم پویا معاف شوند که به این ترتیب ۹۵ درصد تراکنش‌ها از دایره الزام به رمز دوم یکبار مصرف خارج می‌شوند.

کوچ از اپلیکیشن به سمت پیام کوتاه

پیگیری‌های خبرنگار ایبِنا حاکی از آن است که در برنامه جدید تمرکز از روی اپلیکیشن برداشته و راه‌حل جایگزین ارائه خواهد شد که این اقدام به دو دلیل انجام می‌شود؛ یکی اینکه ۳۰ درصد از کسانی که تراکنش انجام داده‌اند، از گوشی غیرهوشمند بابت خرید شارژ و قبض بوده که نمی‌توان آنها را تحت پوشش قرار نداد و دلیل دوم این است که اپلیکیشن‌ها کاملا بی‌ثبات شده و نمی‌توان سرویسی را انحصاری بر روی اپلیکیشن انجام داد.

بنابراین به نظر می‌رسد پیام کوتاه به سرویس اصلی ارائه رمز دوم یکبار مصرف تبدیل شود که البته در این زمینه نیز مشکلاتی وجود دارد و حدود ۷۰ درصد اطلاعات شماره تماس مشتریان که در اختیار بانک‌ها است، معتبر نیست. از سوی دیگر بانک مرکزی به بانک‌ها مجوز داده که در صورتی که بانک بتواند راه‌حل مطمئن دیگری را اجرایی کند که با تایید بانک مرکزی متضمن تایید هویت قوی مشتری پیش از برداشت از حساب باشد، می‌تواند از این راهکار به عنوان جایگزین رمز پویا استفاده به عمل آورد که یکی از این راهکارها احراز هویت از طریق تطابق کد ملی و شماره تلفن همراه مشتری توسط سامانه شاهکار است. البته در این مورد نیز بابت استعلام شاهکار باید ۳۸۰ تومان در هر تراکنش پرداخت شود که سرویس پرهزینه‌ای است و هزینه بالا مانعی بر سر راه این اقدام خواهد بود.

تداوم استفاده از رمز دوم ایستا

با تصمیم مسئولان بانک مرکزی استفاده از رمزهای ایستا کماکان ادامه پیدا می‌کند و طی ماه‌های آینده ارائه رمز دوم یکبار مصرف از مشتریان پر ریسک شروع می‌شود و به تدریج سایر مشتریان تسری می‌کند که البته زمان خاصی برای انجام آن اعلام نشده است.

X Share

Stumble Upon Delicious

Digg Cloob

لینک کپی شد

گزارش خطا