«ضوابط پرداختهای دیجیتال و همراه» در بخشنامهای با امضاء رییس کل بانک مرکزی، به شبکه بانکی ابلاغ شد. به گزارش روابط عمومی بانک مرکزی، در این ضوابط، استفاده از ابزارهای هوشمند برای عملیات پرداخت با استفاده از فرایند و فناوری نشانگذاری (tokenization) تبیین شده است. نشانگذاری فرایندی است که در پرداختهای با ابزارهای هوشمند، دادههای حساس و شماره کارت با نشانههای عددی رمزینه جایگزین میشود. این فرایند باعث میشود اولاً امنیت استفاده از ابزارهای هوشمند تا سطح استانداردهای بین المللی ارتقا یابد و ثانیاً استفاده از انواع ابزارهای هوشمند نظیر تلفنهای همراه و ابزارهای پوشیدنی برای عملیات بانکی نظیر پرداخت با سهولت میسر شود.
پیش بینی میشود با اقدامات بهعملآمده ارائه این خدمات از اواسط اردیبهشت ماه سال جاری بهصورت عملیاتی تحقق یابد.
متن بخشنامه ابلاغی به این شرح است:
پرداختهای دیجیتال و پرداختهای همراه با توجه به تحولات فناوری در سطح جهان، بهعنوان پدیده در حال رشد در کشور مطرحشده و در این رهگذر انتظار میرود فرصتهای جدیدی برای ارائه خدمات بهتر و وسیعتر به مشتریان نظام بانکی پدید آید.
گرچه نفس نوآوری موجد تحول و پیشرفت است، لیکن توجه به رعایت قواعد بانکداری و مدیریت ریسک بهینه و حصول اطمینان از امنیت در پرداختهای بانکی، قاعدهای است که تمام فعالیتهای توسعهای باید حول آن تعریف و تبیین شوند.
همانند هر تغییر بزرگ در سپهر فناوری، کاربری ابزارهای هوشمند برای پرداختهای الکترونیکی، فرصتها و تهدیداتی را متوجه نظام بانکی کشور میکند؛ ازاینرو ضرورت دارد، با توجه به استانداردها و بهروشهای بینالمللی و بهرهگیری از تجربیات موفق، الگوی بومی بهگونهای تنظیم شود که حداکثر بهرهبرداری از فرصتها را در کنار مدیریت بهینه ریسکهای عملیاتی و پرهیز از تهدیدات را توأمان دنبال کند.
با این مقدمه، بانک مرکزی جمهوری اسلامی ایران از چند ماه پیش با رصد دقیق تغییرات فناوری و با نظر داشت امکانات و ویژگیهای خاص نظام پرداخت خُرد کشور و با گردآوری نظرات کارشناسان و مسئولان شبکه بانکی کشور و شرکتهای همکار آنها به جمعبندی روشنی در خصوص راهبرد پرداختهای دیجیتال و پرداختهای همراه رسیده و نهایتاً طی جلسه مورخ دوم اردیبهشت ماه ۱۳۹۶ هیئت عامل بانک مرکزی این موضوع را با تکیهبر اجرایی نمودن فرایند نشانگذاری (tokenization) در پرداختهای دیجیتال و پرداختهای همراه مصوب کرد که ذیلاً اصول و چارچوب آن برای اطلاع شما و همکاران مرتبط و اقدام مقتضی اعلام میشود:
با توجه به وضعیت موجود، ارائه خدمات پرداخت دیجیتال و پرداخت همراه با کاربست فرایند و فناوری نشانگذاری صورت میگیرد.
۱. در فرایند نشانگذاری، قسمتی از دادههای حساس پرداخت مشتریان با «نشانه»های(token) الکترونیکی جایگزین شده و در شبکه پرداخت انتقال مییابند. با استفاده از زیرساخت ملی پرداخت و تسویه، «نشانه»ها در فضایی امن به دادههای حساس تبدیلشده و پسازآن روال پرداخت مطابق با رویه عادی تکمیل میشود.
۲. فرایند نشانگذاری با معرفی دو نهاد در شبکه پرداخت انجام میشود:
۲–۱. مراکز ارائه نشانههای الکترونیکی (مانا): توسط بانک یا موسسه اعتباری صادرکننده یا نهاد طرف قرارداد با آن راهبری شده و وظیفه ایجاد سامانه نشانگذار و تبدیلات دادههای حساس به نشانه و بالعکس را بر عهدهدارند.
۲–۲. سامانه هدایت نشانههای دیجیتال (سهند): سامانهای است یکتا و مستقر در زیرساخت ملی پرداخت و تسویه که اتصال «مانا»ها به شبکه پرداخت از طریق آن صورت میپذیرد.
۳. بانک یا موسسه اعتباری با حفظ مسئوولیت کامل خود در قبال صیانت از اطلاعات مشتریان میتوانند فعالیت نشانگذاری را به «مانا»های مجاز برونسپاری کنند.
۴. فرایند نشانگذاری صرفاً از طریق «مانا»هایی قابل انجام است که فناوری، روشها و روالهای اجرایی خود را پیش از ارائه خدمت به بانکها یا مؤسسات اعتباری به تأیید بانک مرکزی رسانده باشند.
۵. ارائه خدمات توسط «مانا»ها صرفاً از طریق اتصال به «سهند» امکانپذیر است.
۶. تراکنش خرید تلفن همراه برای تراکنشهای نشانگذاری شده تا سقف روزانه تعیین شده برای تراکنشهای نوع موبایل مجاز است. بانک یا موسسه اعتباری صادرکننده ملزم به رعایت این سقف است.
۷. دستورالعملهای فنی این بخشنامه متعاقباً توسط معاونت فناوریهای نوین ابلاغ میشود.
با عنایت به نکات فوق ضرورت دارد آن بانک با لحاظ این موارد امور مربوط به توسعه خدمات پرداخت دیجیتال و پرداختهای همراه خود را ضمن هماهنگی کامل با بانک مرکزی طراحی، پیادهسازی و اجرا کند. بر این مبنا مقتضی است برنامه آن بانک در پاسخ به این نامه به حوزه فناوریهای نوین بانک مرکزی اعلام شود.