شرایط استفاده از رمز دوم ایستا برای تراکنش‌های کم مقدار

به گزارش خبرنگار اقتصادی خبرگزاری شبستان، بانک مرکزی تمامی بانک ها را موظف کرده است تا خرداد ماه سال جاری رمز دوم ثابت را حذف و رمز یک‌بار مصرف (OTP) را جایگزین آن کنند و بر این اساس رمز دوم ایستا تا پایان اردیبهشت حذف می‌شود. رمز یک‌بار مصرف One Time Password یا OTP رمزی است که فقط یک ‌بار می‌تواند مورد استفاده قرار گیرد. این رمز علاوه بر جلوگیری از فیشینگ، (راهی که اطلاعاتی نظیر رمز را از طریق ابزارهای الکترونیکی به سرقت می‌برند) جلوی برداشت از طریق کیلاگرها، نرم‌افزارهایی که کلیدهای فشرده شده روی صفحه کلید را ذخیره می‌کند را هم می‌گیرد.

بانک‌ها با اپلیکیشن موبایلی که ارائه می‌دهند، حساب کاربری و مشخصات شما را فعال می‌کنند. زمانی که قصد خرید اینترنتی یا انتقال وجه آنلاین دارید، توسط این اپلیکیشن، یک رمز به شما ارائه می‌شود. این رمز تنها برای تراکنش فعلی شما اعتبار خواهد داشت. اپلیکیشن‌های بانک‌ها این رمز را با استفاده از الگوریتم پیچیده‌ای تولید می‌کنند که دسترسی به آن برای هکرها بسیار پیچیده یا حتی غیرممکن به‌ حساب می‌آید. می‌توان به تعداد لازم رمز یکبار مصرف، برای یک دوره زمانی مثلاً یک ماه تولید کرد تا کاربر آن را یادداشت یا چاپ کند و هر بار یکی از آنها را استفاده کند. اما باز هم مشکلی که برای این رمز وجود دارد، خطر فراموشی آنهاست. با استفاده از این روش سارقان درنهایت با فریب کاربر رمزی را به‌دقت می‌آورند که فقط یکبار قابلیت استفاده داشته و عملاً سرقت از حساب کاربر را غیرممکن می‌کند.

حالا با نزدیک شدن به خردادماه بانک مرکزی در بخشنامه‌ای به شبکه بانکی اعلام کرد که استفاده از رمز دوم ایستا برای تراکنش‌های کمتر از ۵۰۰ هزار تومان صرفا در صورت پذیرش مسئولیت سوءاستفاده‌ها و جبران خسارت توسط بانک است. این بخشنامه که از سوی ناصر حکیمی، معاون فناوری‌های نوین بانک مرکزی ابلاغ و منتشر شده، تاکید دارد که ضروری است تا رمز یکبار مصرف برای مشتریان کاملا رایگان باشد و تمامی بانک‌هازیرساخت رمز دوم یکبار مصرف را از تاریخ اول  خرداد ماه ارائه کنند.

در بخش اول این بخشنامه در خصوص رمز دوم یکبار مصرف و مسئولیت بانک‌ها اعلام شده که از ابتدای خردادماه تامین امنیت مشتریان نظام بانکی در تراکنش‌های بدون حضور کارت بر عهده بانک‌ها بوده و هرگونه مسئولیت استفاده از حساب‌های مشتریان به دلیل آسیب‌پذیری‌های امنیتی در سرویس‌های بانکی مستقیما به عهده بانک خواهد بود و در این موارد تایید مراجع قضایی برای جبران خسارت مشتریان کفایت می‌کند؛ بر همین اساس در صورتی که بانک زیرساخت رمز دوم یکبار مصرف را از ابتدای خرداد ماه نداشته و با دیرکرد به مشتریان ارائه کند، در صورتی که در این بازده زمانی کلاهبرداری رخ دهد یا اگر به دلیل نفوذ و سوءاستفاده از زیرساخت رمز دوم یکبار مصرف به دلیل آسیب پذیری امنیتی کلاهبرداری از مشتری انجام شود، بانک مذکور باید نسبت به جبران خسارت مشتری با تایید مراجع قضایی اقدام کند.

بخشنامه جدید بانک مرکزی به شبکه بانکی در خصوص رمز دوم یکبار مصرف تاکید دارد که جایگزینی رمز دوم پویا به جای رمزهای دوم ایستا برنامه‌ای از سوی بانک مرکزی به منظور ارتقای سطح امنیتی نظام بانکی است و با توجه به این که امنیت بخش لاینفک هر خدمتی به شمار می‌رود، رمز دوم یکبار مصرف هیچ هزینه‌ای برای دارندگان کارت و مشتریان بانکی ندارد؛ معاون فناوری‌های نوین بانک مرکزی در این بند از بخشنامه خاطر نشان کرده است که اخذ کارمزد توسط شبکه بانکی برای فعالسازی رمز دوم یکبار مصرف غیر قانونی به شمار می‌رود و باید این خدمت رایگان ارائه شود.

در بند سوم این بخشنامه آمده است: بانک‌ها و موسسات مالی و اعتباری می‌توانند با قبول مسئولیت هرگونه سوءاستفاده از مسایل امنیتی و جبران خسارت احتمالی وارد شده به مشتریان برای تراکنش‌های کم‌مقدار (با سقف کمتر از ۵ میلیون ریال در روز برای تمامی تراکنش‌ها و همچنین تراکنش‌هایی که ذینفع آن دستگاه‌های عمومی نظیر صادرکنندگان قبض باشند) استفاده از مرزهای ایستا را مجاز تلقی کنند بر این اساس باننک مرکزی در حوزه تراکنش‌های کم مقدار تصریح کرده که  اگر  بانک قبول به جبران خسارت مشتریان برای تراکنش‌های کمتر از ۵۰۰ هزار تومان کند قادر است تا زیرساخت رمز دوم ایستا یا همان رمز دوم فعلی کارت‌های بانکی را برای تراکنش به مشتریان ارائه کند و اگر بانک نسبت به جبران خسارت این تراکنش‌ها تعهد ندهد باید مشتری برای هرگونه تراکنش با رمز دوم از رمز دوم یکبار مصرف استفاده کند.

معاون فناوری‌های نوین این بانک طی بخشنامه جدید رمزهای یکبار مصرف اعلام کرده که بانک مرکزی نسبت به بررسی راهکارهای تایید هویت قوی مشتری پیش از برداشت از حساب اقدام خواهد کرد؛ در همین راستا در صورتی که بانک بتواند راه‌حل مطمئن دیگری که با تایید بانک مرکزی متضمن تایید هویت قوی مشتری پیش از برداشت از حساب باشد را اجرایی کند، می‌تواند از این راهکار به عنوان جایگزین رمز پویا استفاده به عمل آورد.

بانک مرکزی در حوزه هزینه تمام شده زیرساخت تامین امنیت پرداخت‌های بدون حضور کارت اعلام کرده است که  هرگونه فرآیند تامین امنیت پرداخت‌های بدون حضور کارت باید با انجام هزینه‌های منطقی و معقول و مطابق با قیمت تمام شده فنی در آن بانک به صورت یک زیرساخت دائمی صورت گرفته و صرفه و صلاح بانک به طور کامل در آن مدنظر قرار گیرد؛ در حقیقت بانک‌ها باید با هزینه معقول نسبت به ایجاد زیرساخت دائمی و مناسب مشتریان در چند بخش اقدام کنند و صرفا به دنبال ارائه راهکارهای مختلف به صورت موقت نباشند.

در آخرین بند بخشنامه جدید معاونت فناوری‌های نوین بانک مرکزی در زمینه رمزهای پویا خاطر نشان شده است که  به منظور پشتیبانی حداکثری از مشتریان ضرورت دار  امکانات ارائه رمز، محدود به استفاده از برنامه‌های کاربردی گوشی‌های هوشمند نشده و ارائه آن از طریق سایر ابزارها نظیر پیامک، پیام‌رسان‌های داخلی مجاز و نظایر آن برای مشتریان بانک‌ها نیز حسب تشخیص بانک فعال شود؛ بر همین اساس و  با توجه به تاکید قبلی بانک مرکزی، بانک‌ها و موسسات مالی و اعتباری ضمن ارائه اپلیکیشن رمز یکبار مصرف برای سیستم عامل اندروید و iOS باید زیرساخت ارائه رمز یکبار مصرف در پیام رسان‌های داخلی مجاز را توسعه دهند و برای مشتریانی که از تلفن‌های غیر هوشمند استفاده می‌کنند از بستر پیام کوتاه و USSD استفاده شود.

یادآور می شود: چندی قبل بانک مرکزی پیرو بخشنامه‌ای در خصوص جایگزینی رمز‌های پویا به جای رمز‌های ایستا در پرداخت‌های بدون حضور کارت و باتوجه به لزوم ارتقای سطح امنیت پرداخت‌های مردم و جلوگیری از تضییع حقوق سپرده گذاران و باتوجه به نظرات دریافتی از کاربران و بانک‌ها در خصوص نحوه انجام کار، نکاتی را برای توجه دقیق و اجرای مفاد آن به شبکه بانکی ابلاغ کرد.

متن این بخشنامه به شرح زیر بود:

1.به منظور حمایت از کسب و کارهای نوپا و نیز تسهیل فرایند پرداخت غیر حضوری قبوض، بانک‌ها می‌توانند با قبول مسئولیت هرگونه سوء استفاده از مسایل امنیتی و جبران خسارات احتمالی وارد شده به مشتریان، برای تراکنش‌های کمتر از پنج میلیون ریال در روز و همچنین تراکنش‌هایی که ذینفع آن دستگاه‌های عمومی – نظیر صادرکنندگان قبض – باشند، استفاده از رمزهای ایستا را مجاز تلقی کنند.

2. از ابتدای خردادماه تامین امنیت مشتریان نظام بانکی در تراکنش‌های بدون حضور کارت بر عهده بانک‌ها بوده و هرگونه مسئولیت سوءاستفاده از حساب های مشتریان به دلیل آسیب‌پذیری‌های امنیتی در سرویس‌های بانکی مستقیما به عهده بانک است و در این موارد تایید مرجع قضایی برای جبران خسارت مشتریان کفایت می‌کند.

3.جایگزینی رمزهای دوم پویا به جای رمزهای دوم ایستا به عنوان یکی از برنامه‌های ارتقای سطح امنیتی نظام بانکی مطرح بوده و با توجه به این که «امنیت»، بخش لاینفک هر خدمتی است، نباید هیچ هزینه‌ای از دارندگان کارت و مشتریان بانکی اخذ شود.

4.در صورتی که بانک بتواند راه حل مطمئن دیگری را، که با تایید بانک مرکزی متضمن تایید هویت قوی مشتری پیش از برداشت از حساب مشتری باشد را اجرایی کند، می‌تواند از این راهکار به عنوان جایگزین رمز پویا استفاده کند.

5.هرگونه فرایند تامین امنیت پرداخت‌های بدون حضور کارت باید با انجام هزینه‌های منطقی و معقول و مطابقِ قیمت تمام شده فنی در آن بانک به صورت یک زیرساخت دایمی صورت گرفته و صرفه و صلاح بانک به طور کامل در آن مد نظر قرار گیرد.

6.به منظور پشتیبانی حداکثری از مشتریان ضرورت دارد امکانات ارایه رمز محدود به استفاده از برنامه‌های کاربردی گوشی‌های هوشمند نشده و ارایه آن از طریق سایر ابزارها نظیر پیامک، پیام‌رسان‌های داخلی مجاز و نظایر آن برای مشتریان بانک‌ها نیز حسب تشخیص بانک فعال شود./