به گزارش دیوان اقتصاد،محمد گرکانی نژاد در گفتگو با ایبِنا با اشاره به ‌نامه اخیر اداره نظام‌های پرداخت بانک مرکزی در خصوص تاکید بر احراز هویت و رعایت امنیت اطلاعات بر اساس الزامات بانک مرکزی در ارائه خدمات بانکی و همچنین تأکید بر عدم شمول خدمت مانده گیری در قالب پرداخت سازان در حال حاضر گفت: با توجه بیشتر در بندهای این نامه به دلیل پیچیدگی‌های ذاتی موضوع، مشخص می‌شود که هیچ محدودیت جدیدی در این نامه، ابلاغ نشده و تنها در خصوص رعایت موارد امنیتی بر اساس الزامات بانک مرکزی در ارائه خدمات بانکی یادآوری و شفاف‌سازی شده است.

وی اظهار داشت: این نامه به‌ صورت مشخص به دو موضوع پرداخت سازی و سایر خدمات بانکی پرداخته است و تاکید کرده که در قالب پرداخت ساز تا به ‌حال تنها سرویس کارت به کارت تعریف‌شده است. از اینرو باید ارائه خدمت مانده گیری بر اساس الزامات بانک مرکزی در اپ های موبایلی شرکت‌های PSP، پرداخت یار و دیگر شرکت‌های خصوصی که در قالب پرداخت ساز این خدمت را می‌دادند، متوقف شود که مسئله جدیدی نیست.

مشاور شرکت ملی انفورماتیک خاطرنشان کرد: خدمت مانده گیری موبایلی برای PSP ها پیش از سال گذشته به دلیل بروز اتفاقاتی متوقف شد. مراجع قضایی و انتظامی نیز به‌درستی بر روی برخی روخدادهای مرتبط با این سرویس حساس بودند و تا زمانی که بخش‌نامه جدیدی با رفع نگرانی های شناسایی شده در این خصوص صادر نشود، اپ های موبایلی شرکت‌های PSP و پرداخت یارها قادر به ارائه این سرویس نیستند. البته در زمینه ضوابط راه اندازی دوباره این خدمت، پیشرفت های خوبی صورت گرفته است.

گرکانی نژاد در خصوص تعریف پرداخت سازان گفت: این عنوان، دسته‌ای از ارائه‌دهندگان خدمات بانکی را شامل می‌شود که طبق بخشنامه ای در خرداد ماه سال گذشته توسط بانک مرکزی به بانک‌ها ابلاغ شد. بر اساس آن با رعایت یکسری قواعد و ضوابط تعیین شده، بانکها می‌توانند امکان اجرای سرویس کارت به کارت در قالب CNP از مبدا کارت خود را با انعقاد قرارداد به پرداخت سازها، ارائه دهند.

وی در پاسخ به این پرسش که در حال حاضر اپلیکیشن شرکت‌های PSP و برخی دیگر شرکت‌ها، خدمت کارت به کارت ارائه می‌دهند، آیا این شرکت‌ها، پرداخت ساز محسوب می‌شوند، گفت: هر نهادی که هم می‌تواند PSP، پرداخت یار و یا یک شرکت خصوصی باشد، با انعقاد قرارداد با بانک‌ها بر اساس مقررات و ضوابط بخشنامه مرتبط، در ردیف پرداخت سازان قرار می‌گیرد. از اینرو PSP و یا پرداخت یار بودن منافاتی با انعقاد قرارداد پرداخت سازی ندارد.

مدیر اسبق مرکز توسعه تجارت الکترونیک خاطرنشان کرد: در بند دوم ضوابط و شرایط ارائه خدمت "انتقال کارت به کارت دوجانبه بدون حضور کارت" به پرداخت سازان تأکید شده، بانک یا موسسه اعتباری می‌تواند با پذیرش تمامی مسئولیت‌های مترتب به ارائه خدمت مزبور، عملیات آغاز و تجمیع تراکنش‌های مرتبط با خدمت را به اشخاص حقوقی تحت عنوان پرداخت ساز برون‌سپاری کند. البته این برون‌سپاری نافی هیچ‌کدام از وظایف قانونی و مقرراتی بانک و یا موسسه اعتباری نبوده و مسئولیت رعایت تمامی دستورالعمل‌ها و استاندارد مرتبط بر عهده بانک یا موسسه اعتباری است. از اینرو بانک در برون‌سپاری این خدمت، باید امنیت اطلاعات را در نظر بگیرد.

احراز هویت و رعایت الزامات امنیت  اطلاعات حساس هویتی دو الزام کلیدی برای بانک‌ها در ارائه خدمات غیرحضوری است

گرکانی نژاد در خصوص تاکید بر احراز هویت و رعایت الزامات امنیتی در ارائه خدمات بانکی در این نامه، گفت: بعد از انتشار این نامه، برخی رسانه‌ها آن را به معنای «ممنوعیت ارائه خدمات بانکی در نرم‌افزارهای موبایل بانک» تفسیر کردند که اشتباه است و این نامه به‌صورت یک‌طرفه بربستن هیچ سرویسی اشاره ندارد.

وی افزود: این نامه، نه بخشنامه و نه ابلاغیه است تنها یکسری یادآوری و شفاف‌سازی بسیار مهم و ضروری در خصوص رعایت موارد امنیتی بر اساس الزامات بانک مرکزی در ارائه خدمات بانکی غیرحضوری است.

این مشاور یادآور شد: بانک‌ها به‌عنوان موسسات مالی و تأثیرگذار کشور که درصدد ارائه سرویس‌های جدید و بدون حضور کارت به مشتریان خود هستند باید توجه داشته باشند از آنجایی‌که ارائه این خدمات با حساسیت‌های امنیت اطلاعات کاربران مواجه است، رعایت دقیق ضوابط در این خصوص بسیار مهم است که این نامه، رعایت این موضوع را به صورت تفکیک شده به  بانک‌ها یادآوری کرده است.

گرکانی نژاد اذعان داشت: بخشی از این نامه به ارائه خدمات در قالب اینترنت بانک که احراز هویت در این سرویس برای درخواست فعال سازی به‌صورت حضوری و در شعب بانکی انجام می‌شود اشاره دارد که همچنین به مشتریان برای بهره‌گیری از این خدمت، نام کاربری و رمز یا توکن به‌منظور اجرای احراز هویت قوی داده می‌شود.

وی ادامه داد: در این خدمت کاربران به‌طور معمول با یک مرورگر اینترنتی که با SSL است و امنیت اطلاعات را به‌صورت End to End Encryption حفظ می‌کند، وارد فضای بانکی شده و از سرویس‌های بانکی بهره‌مند می‌شوند. 

این کارشناس حوزه پرداخت یادآور شد: بانک‌ها همچنین به‌صورت مستقیم یا در همکاری با یکسری از شرکت‌های بیرونی، برخی سرویس‌ها و خدمات بانکی ازجمله انتقال کارت به کارت از مبدا خود بانک، انتقال وجه از شماره‌حساب به شماره‌ حساب، انتقال وجه از طریق سامانه ساتنا، پایا و همچنین مانده گیری که خدماتی بانکی هستند را از طریق اپلیکیشن های موبایلی به مشتریان خود ارائه می‌دهند.

گرکانی نژاد تاکید کرد: بانک‌ها بر اساس ضوابط در ارائه این خدمات در اپلیکیشن های موبایلی خود باید رمزنگاری مناسب را برقرار و احراز هویت‌ها را به‌ صورت دقیق و قوی اجرایی کنند. هرگونه بی‌دقتی در این بخش منجر به ایجاد دسترسی غیرمجاز می‌شود. از اینرو اپلیکیشن های موبایلی بانک‌ها باید بر اساس استانداردهای امنیت اطلاعات طراحی شود.

مشاور معاونت فناوری‌های نوین بانک مرکزی خاطرنشان کرد: بانک‌ها در ارائه سرویس در همراه بانک‌ها باید دو موضوع احراز هویت و امنیت اطلاعات مشتریان را موردتوجه قرار دهند. ازاین‌رو عدم توجه به هرکدام از این موارد منجر به ایجاد مخاطرات زیادی می‌شود. این نامه به دلیل رعایت نکردن الزامات مزبور در ارائه برخی خدمات غیرحضوری بانکی و به عقیده من بسیار به ‌موقع ابلاغ شد.

وی اظهار داشت: در این نامه به دلیل پیچیدگی‌های موضوع، پیش‌بینی‌شده است اگر بانک‌ها تردیدی در خصوص تطبیق سرویس های خود با الزامات بانک مرکزی دارند از بانک مرکزی استعلام بگیرند.

گرکانی نژاد افزود: این نامه در واقع با محوریت یادآوری مسئولیت‌های هر بانک در قبال سرویس‌های بانکی غیرحضوری است که ارائه می‌کند.  همچنین تاکید دارد که ارائه سرویس‌هایی مثل انتقال از/ به حساب و مانده گیری در قالب اینترنت بانکینگ در اپلیکیشن های موبایلی در حال حاضر تنها در اختیار بانک‌ها است.