مروری بر دستورالعمل خدمات پرداخت مبتنی بر psd2 (بخش دوم)

نهادهای ثالث ارائه دهنده خدمات

درهای بازار خدمات تراکنش به روی TPP‌ها (استارت‌آپ‌ها، فین‌تک‌ها و ...) گشوده شده است؛ به این معنا که علاوه بر بازیگران قبلی، شرکت‌ها و نهادهای نوظهور می‌توانند ارائۀ برخی از خدمات پرداخت را برعهده بگیرند.

به گزارش پایگاه خبری بانکداری الکترونیک ، PISP نهادی است که می‌تواند دستور یک تراکنش را به درخواست مشتری که حساب اعتباری آن در یک بانک یا مؤسسۀ اعتباری ثبت شده است، صادر کند؛ مثلاً فروشگاه‌های بزرگ اینترنتی یا کیف‌های پول الکترونیکی می‌توانند، در صورت اخذ شرایط از نهاد ناظر، تبدیل به PISP شوند. در این صورت مشتریان می‌توانند با ارسال رضایت به بانک خود به این شرکت‌ها مجوز مستقیم کسر وجه از حساب‌های‌شان را اعطا کنند.

وظیفۀ نهاد AISP تجمیع اطلاعات مالی مشتریان است. هدف تجمیع، تهیۀ خلاصه وضعیت مالی افراد و کمک به مدیریت مناسب مالی کاربران است. این نهادها می‌توانند با ارتباط گرفتن با همۀ نهادهای مالی که مشتری به نحوی با آنها در ارتباط است، اطلاعات و صورت‌حساب تراکنش‌ها را دریافت کند و خدماتی مانند تحلیل داده و حسابداری شخصی را در یک قالب واحد ارائه و کسب درآمد کنند.

در واقع می‌توان گفت که PSD2 بستری را مهیا می‌کند که در آن مؤسسات پرداخت، ثبت شوند و به آنها مجوز دسترسی به نظام پرداخت برای ارائۀ خدمات پرداخت، اعطا شود. این دسترسی باید متناسب، عملیاتی و بدون انحصار و تبعیض صورت پذیرد. بانک‌ها حق جلوگیری از این دسترسی را مگر در شرایط خاص (کاهش ریسک) نخواهند داشت و در صورت وقوع محدودیت، ملزم به ارائۀ دلایل و مجوز قطع دسترسی خواهند بود.

از دیگر نهادهای به رسمیت شناخته‌شده توسط این سند، نهادهای صادرکنندۀ ابزار پرداخت هستند که هر چند در شمار نهادهای نوظهور شمرده نمی‌شوند و در سند قبلی نیز تعریف شده‌اند؛ ولی نقش به سزایی را برعهده دارند. یکی از نهادهای صادرکنندۀ ابزار پرداخت، نهاد صادرکنندۀ ابزار مبتنی بر کارت یا CISP (در برخی اسناد CBPII نامیده می‌شود)، به ویژه کارت نقدی است.

در این صورت PSD2 بانک‌های دارندۀ حساب، مشتریان را ملزم می‌کند که اینترفیس جدیدی ارائه دهند تا به کمک آن ارائه‌کنندگان خدمات پرداخت، صادرکنندۀ ابزار مبتنی بر کارت، قادر به دریافت پاسخ تراکنش‌های خود باشند. PSD2 بانک‌ها را موظف می‌کند هرگاه مشتری در هر زمان به صورت آنلاین درخواست تراکنش از این طریق را داشت، نهاد صادرکنندۀ کارت بتواند به حساب بانکی مشتری دسترسی داشته باشد. CISPها نیز باید استانداردهای امن ارتباطی را رعایت کنند. شکل زیر نمایی از مدل عملکرد این‌گونه تراکنش را نشان می‌دهد.

فرآیندی که در شکل فوق بیان می‌شود شامل توافق مشتری با CISP برای دریافت کارت نقدی جدید از این نهاد است. در این اثنا مشتری اجازۀ دسترسی به حسابش را به این نهاد جدید اعلام می‌دارد. مشتری می‌تواند به کمک POS مربوط به پذیرندگان، بعد از وارد کردن PIN خود، تراکنش را ایجاد کند. در صورت تأیید موجودی حساب مشتری توسط بانک دارندۀ حساب به بانک پذیرنده (از طریق CISP) تراکنش پذیرفته می‌شود.

اخذ مجوز توسط نهادهای ثالث

طبق قانون PSD2 هر شرکت و سازمانی که قصد فعالیت به عنوان یک مؤسسۀ پرداخت بزرگ و کوچک مانند  PISPو AISP را دارد لازم است درخواست خود را به همراه مدارک مناسب به نهاد ناظر (مثلاً بانک مرکزی) ارسال کند و نهاد ناظر موظف است بعد از بررسی، نتیجۀ صلاحیت را اعلام کند. در ادامه برای آشنایی با این روند، نکاتی از فرآیند اخذ مجوز در کشور انگلستان مطرح می‌شود.

•    در حال حاضر فرآیند اعطای مجوز در انگلستان، ممکن است 9 ماه به طول بینجامد.
•    هزینۀ ارزیابی صلاحیت نهادهای ثالث تقریباً 500 پوند است که توسط نهاد FCA از متقاضیان دریافت می‌شود.
•    اکثر نهادهای ثالثی که درخواست مجوز کرده‌اند فینتک و مابقی آنها شرکتهای بزرگ یا ارائه‌کنندگان خدمات پرداخت موجود در انگلیس هستند.
•    هدف اصلی از اعمال فرآیند سخت‌گیرانه در اعطای مجوز، حفظ و عدم آسیب به اکوسیستم پرداخت کشور است.

احراز هویت قوی مشتری (SCA)

تراکنش‌های الکترونیکی بیشتر در معرض تقلب قرار دارند؛ بنابراین لازم است الزامات بیشتری برای احراز هویت قوی مشتریان در این تراکنش‌ها مدنظر قرار گیرد تا از صحت عواملی که به صورت دینامیکی، ارتباط موجود بین تراکنش انجام‌شده، مبلغ و مشخصات پرداخت‌کننده را نشان می‌دهد، اطمینان حاصل کرد.

بنابراین در قانون الزامات مربوط به احراز هویت در پرداخت‌های الکترونیک و حفاظت از اطلاعات مالی کاربران، تقویت و احراز هویت دو عاملی الزامی شده است. سند PSD2 با ارجاع به دستورالعمل RTS الزامات این چنین احراز هویتی را مشخص کرده است. طبق این اسناد، تراکنش الکترونیکی باید به شیوه‌ای امن انجام و از فناوری‌هایی استفاده شود که قادر به تضمین احراز هویت امن کاربر باشد و تا حداکثر مقدار ممکن ریسک تقلب را کاهش دهد. روند احراز هویت باید شامل مکانیزم‌های کنترل تراکنش باشد تا به کمک آن، تراکنش‌های احراز هویت‌شده با استفاده از مشخصات امنیتی ناصحیح، مفقودشده یا به سرقت‌رفته، کشف شوند. به واسطۀ این مکانیزم بانک از قانونی بودن کاربر فعال و موافقت وی با انتقال وجه اطمینان حاصل خواهد کرد.

علاوه بر این لازم است در این مکانیزم، شرایط احراز هویت قوی مشتریان، برای هر بار که پرداخت‌کنندۀ وجه به صورت آنلاین به حساب متصل می‌شود و شروع به انجام تراکنش به صورت الکترونیکی می‌کند یا هرگاه بخواهد یک فعالیت بانکی از راه دور را که ریسک تقلب یا احتمال سوءاستفاده در انجام آن بالاست، انجام دهد، مشخص کند. در این شرایط، ایجاد یک کد احراز هویت که در برابر ریسک جعل شدن یا افشای عوامل ایجاد آن کاملاً امن باشد، الزامی است.

همچنین دستورالعمل استانداردهای فنی، شرایطی را پیش‌بینی کرده است که برخی از تراکنش‌ها از اجرای احراز هویت قوی به دلایلی که مطرح می‌کند معاف خواهند شد که به برخی از آن دلایل در ادامه اشاره می‌شود:

•    معافیت مبتنی بر تجزیه و تحلیل ریسک برای تراکنش‌ها (تعریف آستانۀ حد تقلب)
•    پرداخت‌های کم‌ارزش با وجه کمتر از مقدار مشخص
•    پرداخت‌های از فاصلۀ نزدیک مانند استفاده از موبایل و NFC در فروشگاه
•    تراکنش‌هایی که مبدأ حساب به روش امن توسط کاربر به عنوان لیست سفید ثبت شده باشد
•    تراکنش‌های تکراری که مبلغ، مبدأ و مقصد آن یکسان است.

معرفی سند RTS

دستورالعمل استانداردهای فنی (RTS) مطابق با بند 98 دستورالعمل PSD2، شرایط لازم برای احراز هویت قوی مشتریان، معافیت‌های اعمال احراز هویت قوی، درستی مشخصات امنیتی محرمانۀ کاربران و استانداردهای ارتباطی باز امن و قوی بین بانک‌ها و مؤسسات مالی، ارائه‌دهندگان خدمات شروع پرداخت¬ها (PISPs)، ارائه‌دهندگان خدمات اطلاعات حساب‌ها (AISPs)، پرداخت‌کنندگان وجه، گیرندگان وجه و سایر ارائه‌کنندگان خدمات پرداخت را بیان می‌کند.

دستورالعمل استانداردهای فنی، رعایت اهداف متعددی از PSD2 را مدنظر قرار می‌دهد، از جمله افزایش امنیت، ارتقای سطح رقابت، مشارکت در یکپارچه¬سازی پرداخت¬ها در اتحادیۀ اروپا، پشتیبانی از کاربران، تسهیل نوآوری و افزایش سطح راحتی مشتری. قوانین RTS از جنبه‌های فناوری و مدل کسب و کار خنثی است و به نوع فناوری وابستگی نخواهد داشت.

 

اخبار مرتبط

خبر پیشنهادی
مدیرعامل بانک ملت در گفت و گو با بانکداری آینده عنوان کرد؛

رویکرد دیجیتالی شدن، کارزار آینده بانکداران/ راه طولانی

بررسی اهداف اولیه صندوق در گفت وشنود یک پیشکسوت با مدیران نسل جدید

حلقه مفقوده ضمانت/ رفتار دولت در مورد ضمانت صادرات


این مطلب را به اشتراک بگذارید
خبر پیشنهادی