نهادهای ثالث ارائه دهنده خدمات
مروری بر دستورالعمل خدمات پرداخت مبتنی بر psd2 (بخش دوم)
درهای بازار خدمات تراکنش به روی TPPها (استارتآپها، فینتکها و …) گشوده شده است؛ به این معنا که علاوه بر بازیگران قبلی، شرکتها و نهادهای نوظهور میتوانند ارائۀ برخی از خدمات پرداخت را برعهده بگیرند.
به گزارش پایگاه خبری بانکداری الکترونیک ، PISP نهادی است که میتواند دستور یک تراکنش را به درخواست مشتری که حساب اعتباری آن در یک بانک یا مؤسسۀ اعتباری ثبت شده است، صادر کند؛ مثلاً فروشگاههای بزرگ اینترنتی یا کیفهای پول الکترونیکی میتوانند، در صورت اخذ شرایط از نهاد ناظر، تبدیل به PISP شوند. در این صورت مشتریان میتوانند با ارسال رضایت به بانک خود به این شرکتها مجوز مستقیم کسر وجه از حسابهایشان را اعطا کنند.
وظیفۀ نهاد AISP تجمیع اطلاعات مالی مشتریان است. هدف تجمیع، تهیۀ خلاصه وضعیت مالی افراد و کمک به مدیریت مناسب مالی کاربران است. این نهادها میتوانند با ارتباط گرفتن با همۀ نهادهای مالی که مشتری به نحوی با آنها در ارتباط است، اطلاعات و صورتحساب تراکنشها را دریافت کند و خدماتی مانند تحلیل داده و حسابداری شخصی را در یک قالب واحد ارائه و کسب درآمد کنند.
در واقع میتوان گفت که PSD2 بستری را مهیا میکند که در آن مؤسسات پرداخت، ثبت شوند و به آنها مجوز دسترسی به نظام پرداخت برای ارائۀ خدمات پرداخت، اعطا شود. این دسترسی باید متناسب، عملیاتی و بدون انحصار و تبعیض صورت پذیرد. بانکها حق جلوگیری از این دسترسی را مگر در شرایط خاص (کاهش ریسک) نخواهند داشت و در صورت وقوع محدودیت، ملزم به ارائۀ دلایل و مجوز قطع دسترسی خواهند بود.
از دیگر نهادهای به رسمیت شناختهشده توسط این سند، نهادهای صادرکنندۀ ابزار پرداخت هستند که هر چند در شمار نهادهای نوظهور شمرده نمیشوند و در سند قبلی نیز تعریف شدهاند؛ ولی نقش به سزایی را برعهده دارند. یکی از نهادهای صادرکنندۀ ابزار پرداخت، نهاد صادرکنندۀ ابزار مبتنی بر کارت یا CISP (در برخی اسناد CBPII نامیده میشود)، به ویژه کارت نقدی است.
در این صورت PSD2 بانکهای دارندۀ حساب، مشتریان را ملزم میکند که اینترفیس جدیدی ارائه دهند تا به کمک آن ارائهکنندگان خدمات پرداخت، صادرکنندۀ ابزار مبتنی بر کارت، قادر به دریافت پاسخ تراکنشهای خود باشند. PSD2 بانکها را موظف میکند هرگاه مشتری در هر زمان به صورت آنلاین درخواست تراکنش از این طریق را داشت، نهاد صادرکنندۀ کارت بتواند به حساب بانکی مشتری دسترسی داشته باشد. CISPها نیز باید استانداردهای امن ارتباطی را رعایت کنند. شکل زیر نمایی از مدل عملکرد اینگونه تراکنش را نشان میدهد.
فرآیندی که در شکل فوق بیان میشود شامل توافق مشتری با CISP برای دریافت کارت نقدی جدید از این نهاد است. در این اثنا مشتری اجازۀ دسترسی به حسابش را به این نهاد جدید اعلام میدارد. مشتری میتواند به کمک POS مربوط به پذیرندگان، بعد از وارد کردن PIN خود، تراکنش را ایجاد کند. در صورت تأیید موجودی حساب مشتری توسط بانک دارندۀ حساب به بانک پذیرنده (از طریق CISP) تراکنش پذیرفته میشود.
اخذ مجوز توسط نهادهای ثالث
طبق قانون PSD2 هر شرکت و سازمانی که قصد فعالیت به عنوان یک مؤسسۀ پرداخت بزرگ و کوچک مانند PISPو AISP را دارد لازم است درخواست خود را به همراه مدارک مناسب به نهاد ناظر (مثلاً بانک مرکزی) ارسال کند و نهاد ناظر موظف است بعد از بررسی، نتیجۀ صلاحیت را اعلام کند. در ادامه برای آشنایی با این روند، نکاتی از فرآیند اخذ مجوز در کشور انگلستان مطرح میشود.
• در حال حاضر فرآیند اعطای مجوز در انگلستان، ممکن است 9 ماه به طول بینجامد.
• هزینۀ ارزیابی صلاحیت نهادهای ثالث تقریباً 500 پوند است که توسط نهاد FCA از متقاضیان دریافت میشود.
• اکثر نهادهای ثالثی که درخواست مجوز کردهاند فینتک و مابقی آنها شرکتهای بزرگ یا ارائهکنندگان خدمات پرداخت موجود در انگلیس هستند.
• هدف اصلی از اعمال فرآیند سختگیرانه در اعطای مجوز، حفظ و عدم آسیب به اکوسیستم پرداخت کشور است.
احراز هویت قوی مشتری (SCA)
تراکنشهای الکترونیکی بیشتر در معرض تقلب قرار دارند؛ بنابراین لازم است الزامات بیشتری برای احراز هویت قوی مشتریان در این تراکنشها مدنظر قرار گیرد تا از صحت عواملی که به صورت دینامیکی، ارتباط موجود بین تراکنش انجامشده، مبلغ و مشخصات پرداختکننده را نشان میدهد، اطمینان حاصل کرد.
بنابراین در قانون الزامات مربوط به احراز هویت در پرداختهای الکترونیک و حفاظت از اطلاعات مالی کاربران، تقویت و احراز هویت دو عاملی الزامی شده است. سند PSD2 با ارجاع به دستورالعمل RTS الزامات این چنین احراز هویتی را مشخص کرده است. طبق این اسناد، تراکنش الکترونیکی باید به شیوهای امن انجام و از فناوریهایی استفاده شود که قادر به تضمین احراز هویت امن کاربر باشد و تا حداکثر مقدار ممکن ریسک تقلب را کاهش دهد. روند احراز هویت باید شامل مکانیزمهای کنترل تراکنش باشد تا به کمک آن، تراکنشهای احراز هویتشده با استفاده از مشخصات امنیتی ناصحیح، مفقودشده یا به سرقترفته، کشف شوند. به واسطۀ این مکانیزم بانک از قانونی بودن کاربر فعال و موافقت وی با انتقال وجه اطمینان حاصل خواهد کرد.
علاوه بر این لازم است در این مکانیزم، شرایط احراز هویت قوی مشتریان، برای هر بار که پرداختکنندۀ وجه به صورت آنلاین به حساب متصل میشود و شروع به انجام تراکنش به صورت الکترونیکی میکند یا هرگاه بخواهد یک فعالیت بانکی از راه دور را که ریسک تقلب یا احتمال سوءاستفاده در انجام آن بالاست، انجام دهد، مشخص کند. در این شرایط، ایجاد یک کد احراز هویت که در برابر ریسک جعل شدن یا افشای عوامل ایجاد آن کاملاً امن باشد، الزامی است.
همچنین دستورالعمل استانداردهای فنی، شرایطی را پیشبینی کرده است که برخی از تراکنشها از اجرای احراز هویت قوی به دلایلی که مطرح میکند معاف خواهند شد که به برخی از آن دلایل در ادامه اشاره میشود:
• معافیت مبتنی بر تجزیه و تحلیل ریسک برای تراکنشها (تعریف آستانۀ حد تقلب)
• پرداختهای کمارزش با وجه کمتر از مقدار مشخص
• پرداختهای از فاصلۀ نزدیک مانند استفاده از موبایل و NFC در فروشگاه
• تراکنشهایی که مبدأ حساب به روش امن توسط کاربر به عنوان لیست سفید ثبت شده باشد
• تراکنشهای تکراری که مبلغ، مبدأ و مقصد آن یکسان است.
معرفی سند RTS
دستورالعمل استانداردهای فنی (RTS) مطابق با بند 98 دستورالعمل PSD2، شرایط لازم برای احراز هویت قوی مشتریان، معافیتهای اعمال احراز هویت قوی، درستی مشخصات امنیتی محرمانۀ کاربران و استانداردهای ارتباطی باز امن و قوی بین بانکها و مؤسسات مالی، ارائهدهندگان خدمات شروع پرداخت¬ها (PISPs)، ارائهدهندگان خدمات اطلاعات حسابها (AISPs)، پرداختکنندگان وجه، گیرندگان وجه و سایر ارائهکنندگان خدمات پرداخت را بیان میکند.
دستورالعمل استانداردهای فنی، رعایت اهداف متعددی از PSD2 را مدنظر قرار میدهد، از جمله افزایش امنیت، ارتقای سطح رقابت، مشارکت در یکپارچه¬سازی پرداخت¬ها در اتحادیۀ اروپا، پشتیبانی از کاربران، تسهیل نوآوری و افزایش سطح راحتی مشتری. قوانین RTS از جنبههای فناوری و مدل کسب و کار خنثی است و به نوع فناوری وابستگی نخواهد داشت.