به گزارش می متالز، بانک مرکزی جمهوری اسلامی ایران دستورالعمل تکمیلی جایگزینی رمزهای پویا به جای رمزهای ایستا در پرداختهای بدون حضور کارت را به منظور افزایش سطح امنیت مشتریان بانکی و جلوگیری از تضعیع حقوق سپرده گذاران به شبکه بانکی ابلاغ کرد؛ این بخشنامه که از سوی ناصر حکیمی، معاون فناوریهای نوین بانک مرکزی ابلاغ و منتشر شده، تاکید دارد که ضروری است تا رمز یکبار مصرف برای مشتریان کاملا رایگان باشد و تمامی بانکهازیرساخت رمز دوم یکبار مصرف را از تاریخ اول خرداد ماه ارائه کنند.
در بخش اول این بخشنامه در خصوص رمز دوم یکبار مصرف و مسئولیت بانکها اعلام شده که از ابتدای خردادماه تامین امنیت مشتریان نظام بانکی در تراکنشهای بدون حضور کارت بر عهده بانکها بوده و هرگونه مسئولیت استفاده از حسابهای مشتریان به دلیل آسیبپذیریهای امنیتی در سرویسهای بانکی مستقیما به عهده بانک خواهد بود و در این موارد تایید مراجع قضایی برای جبران خسارت مشتریان کفایت میکند؛ بر همین اساس در صورتی که بانک زیرساخت رمز دوم یکبار مصرف را از ابتدای خرداد ماه نداشته و با دیرکرد به مشتریان ارائه کند، در صورتی که در این بازده زمانی کلاهبرداری رخ دهد یا اگر به دلیل نفوذ و سوءاستفاده از زیرساخت رمز دوم یکبار مصرف به دلیل آسیب پذیری امنیتی کلاهبرداری از مشتری انجام شود، بانک مذکور باید نسبت به جبران خسارت مشتری با تایید مراجع قضایی اقدام کند.
بخشنامه جدید بانک مرکزی به شبکه بانکی در خصوص رمز دوم یکبار مصرف تاکید دارد که جایگزینی رمز دوم پویا به جای رمزهای دوم ایستا برنامهای از سوی بانک مرکزی به منظور ارتقای سطح امنیتی نظام بانکی است و با توجه به این که امنیت بخش لاینفک هر خدمتی به شمار میرود، رمز دوم یکبار مصرف هیچ هزینهای برای دارندگان کارت و مشتریان بانکی ندارد؛ معاون فناوریهای نوین بانک مرکزی در این بند از بخشنامه خاطر نشان کرده است که اخذ کارمزد توسط شبکه بانکی برای فعالسازی رمز دوم یکبار مصرف غیر قانونی به شمار میرود و باید این خدمت رایگان ارائه شود.
در این بخشنامه بانک مرکزی خاطر نشان کرده که بانکها و موسسات مالی و اعتباری میتوانند با قبول مسئولیت هرگونه سوءاستفاده از مسایل امنیتی و جبران خسارت احتمالی وارد شده به مشتریان برای تراکنشهای کممقدار (با سقف کمتر از ۵ میلیون ریال در روز برای تمامی تراکنشها و همچنین تراکنشهایی که ذینفع آن دستگاههای عمومی نظیر صادرکنندگان قبض باشند) استفاده از مرزهای ایستا را مجاز تلقی کنند؛ در واقع بانک مرکزی در حوزه تراکنشهای کم مقدار تصریح کرده که اگر بانک قبول به جبران خسارت مشتریان برای تراکنشهای کمتر از ۵۰۰ هزار تومان کند قادر خواهد بود تا زیرساخت رمز دوم ایستا یا همان رمز دوم فعلی کارتهای بانکی را برای تراکنش به مشتریان ارائه کند و اگر بانک نسبت به جبران خسارت این تراکنشها تعهد ندهد باید مشتری برای هرگونه تراکنش با رمز دوم از رمز دوم یکبار مصرف استفاده کند.
معاون فناوریهای نوین این بانک طی بخشنامه جدید رمزهای یکبار مصرف اعلام کرده که بانک مرکزی نسبت به بررسی راهکارهای تایید هویت قوی مشتری پیش از برداشت از حساب اقدام خواهد کرد؛ در همین راستا در صورتی که بانک بتواند راهحل مطمئن دیگری که با تایید بانک مرکزی متضمن تایید هویت قوی مشتری پیش از برداشت از حساب باشد را اجرایی کند، میتواند از این راهکار به عنوان جایگزین رمز پویا استفاده به عمل آورد.
بانک مرکزی در حوزه هزینه تمام شده زیرساخت تامین امنیت پرداختهای بدون حضور کارت اعلام کرده است که هرگونه فرآیند تامین امنیت پرداختهای بدون حضور کارت باید با انجام هزینههای منطقی و معقول و مطابق با قیمت تمام شده فنی در آن بانک به صورت یک زیرساخت دائمی صورت گرفته و صرفه و صلاح بانک به طور کامل در آن مدنظر قرار گیرد؛ در حقیقت بانکها باید با هزینه معقول نسبت به ایجاد زیرساخت دائمی و مناسب مشتریان در چند بخش اقدام کنند و صرفا به دنبال ارائه راهکارهای مختلف به صورت موقت نباشند.
در آخرین بند بخشنامه جدید معاونت فناوریهای نوین بانک مرکزی در زمینه رمزهای پویا خاطر نشان شده است که به منظور پشتیبانی حداکثری از مشتریان ضرورت دار امکانات ارائه رمز، محدود به استفاده از برنامههای کاربردی گوشیهای هوشمند نشده و ارائه آن از طریق سایر ابزارها نظیر پیامک، پیامرسانهای داخلی مجاز و نظایر آن برای مشتریان بانکها نیز حسب تشخیص بانک فعال شود؛ بر همین اساس و با توجه به تاکید قبلی بانک مرکزی، بانکها و موسسات مالی و اعتباری ضمن ارائه اپلیکیشن رمز یکبار مصرف برای سیستم عامل اندروید و iOS باید زیرساخت ارائه رمز یکبار مصرف در پیام رسانهای داخلی مجاز را توسعه دهند و برای مشتریانی که از تلفنهای غیر هوشمند استفاده میکنند از بستر پیام کوتاه و USSD استفاده شود.