«ضوابط پرداخت های دیجیتال و همراه» در بخشنامه ای با امضاء رییس کل بانک مرکزی ، به شبکه بانکی ابلاغ شد.
در این ضوابط، استفاده از ابزارهای هوشمند برای عملیات پرداخت با استفاده از فرایند و فناوری نشانگذاری (tokenization) تبیین شده است. نشانگذاری فرایندی است که در پرداخت های با ابزارهای هوشمند، داده های حساس و شماره کارت با نشانه های عددی رمزینه جایگزین می شود. این فرایند باعث می شود اولاً امنیت استفاده از ابزارهای هوشمند تا سطح استانداردهای بین المللی ارتقا یابد و ثانیاً استفاده از انواع ابزارهای هوشمند نظیر تلفن های همراه و ابزارهای پوشیدنی برای عملیات بانکی نظیر پرداخت با سهولت میسر شود.
پیش بینی می شود با اقدامات به عمل آمده ارایه این خدمات از اواسط اردیبهشت ماه سال جاری به صورت عملیاتی تحقق یابد.
متن بخشنامه ابلاغی به این شرح است:
پرداختهای دیجیتال و پرداختهای همراه با توجه به تحولات فناوری در سطح جهان، به عنوان پدیده در حال رشد در کشور مطرح شده و در این رهگذر انتظار میرود فرصتهای جدیدی برای ارایه خدمات بهتر و وسیعتر به مشتریان نظام بانکی پدید آید.
گرچه نفس نوآوری موجد تحول و پیشرفت است، لیکن توجه به رعایت قواعد بانکداری و مدیریت ریسک بهینه و حصول اطمینان از امنیت در پرداختهای بانکی، قاعدهای است که تمام فعالیتهای توسعهای باید حول آن تعریف و تبیین شوند.
همانند هر تغییر بزرگ در سپهر فناوری، کاربری ابزارهای هوشمند برای پرداختهای الکترونیکی، فرصتها و تهدیداتی را متوجه نظام بانکی کشور میکند؛ از این رو ضرورت دارد، با توجه به استانداردها و بهروشهای بینالمللی و بهرهگیری از تجربیات موفق، الگوی بومی به گونهای تنظیم شود که حداکثر بهرهبرداری از فرصتها را در کنار مدیریت بهینه ریسکهای عملیاتی و پرهیز از تهدیدات را توامان دنبال کند.
با این مقدمه، بانک مرکزی جمهوری اسلامی ایران از چند ماه پیش با رصد دقیق تغییرات فناوری و با نظرداشت امکانات و ویژگیهای خاص نظام پرداخت خُرد کشور و با گردآوری نظرات کارشناسان و مسوولان شبکه بانکی کشور و شرکتهای همکار آنها به جمع بندی روشنی در خصوص راهبرد پرداختهای دیجیتال و پرداختهای همراه رسیده و نهایتاً طی جلسه مورخ 1396.2.2هیئت عامل بانک مرکزی این موضوع را با تکیه بر اجرایی نمودن فرایند نشانگذاری( tokenization) در پرداختهای دیجیتال و پرداختهای همراه مصوب کرد که ذیلاً اصول و چارچوب آن برای اطلاع شما و همکاران مرتبط و اقدام مقتضی اعلام میشود:
با توجه به وضعیت موجود، ارایه خدمات پرداخت دیجیتال و پرداخت همراه با کاربست فرایند و فناوری نشانگذاری صورت میگیرد.
1. در فرایند نشانگذاری، قسمتی از دادههای حساس پرداخت مشتریان با «نشانه»های( token) الکترونیکی جایگزین شده و در شبکه پرداخت انتقال مییابند. با استفاده از زیرساخت ملی پرداخت و تسویه ، «نشانه»ها در فضایی امن به دادههای حساس تبدیل شده و پس از آن روال پرداخت مطابق با رویه عادی تکمیل میشود.
2. فرایند نشانگذاری با معرفی دو نهاد در شبکه پرداخت انجام میشود:
2-1. مراکز ارایه نشانههای الکترونیکی (مانا): توسط بانک یا موسسه اعتباری صادرکننده یا نهاد طرف قرارداد با آن راهبری شده و وظیفه ایجاد سامانه نشانگذار و تبدیلات دادههای حساس به نشانه و بالعکس را بر عهده دارند.
2-2. سامانه هدایت نشانههای دیجیتال (سهند) : سامانهای است یکتا و مستقر در زیرساخت ملی پرداخت و تسویه که اتصال «مانا»ها به شبکه پرداخت از طریق آن صورت میپذیرد.
3. بانک یا موسسه اعتباری با حفظ مسوولیت کامل خود در قبال صیانت از اطلاعات مشتریان میتوانند فعالیت نشانگذاری را به «مانا»های مجاز برون سپاری کنند.
4. فرایند نشانگذاری صرفاً ازطریق «مانا»هایی قابل انجام است که فناوری، روشها و روالهای اجرایی خود را پیش از ارایه خدمت به بانکها یا موسسات اعتباری به تایید بانک مرکزی رسانده باشند.
5. ارایه خدمات توسط «مانا»ها صرفاً از طریق اتصال به «سهند» امکانپذیر است.
6. تراکنش خرید تلفن همراه برای تراکنشهای نشانگذاری شده تا سقف روزانه تعیین شده برای تراکنشَ های نوع موبایل مجاز است. بانک یا موسسه اعتباری صادر کننده ملزم به رعایت این سقف است.
7. دستورالعمل های فنی این بخشنامه متعاقبا توسط معاونت فناوری های نوین ابلاغ می شود.
با عنایت به نکات فوق ضرورت دارد آن بانک با لحاظ این موارد امور مربوط به توسعه خدمات پرداخت دیجیتال و پرداختهای همراه خود را ضمن هماهنگی کامل با بانک مرکزی طراحی، پیادهسازی و اجرا کند. بر این مبنا مقتضی است برنامه آن بانک در پاسخ به این نامه به حوزه فناوریهای نوین بانک مرکزی اعلام شود.