تفاوتهای دستورالعمل خدمات پرداخت و مقررات عمومی حفاظت از داده
از امنیت تا قانون؛
امنیت تراکنشهای مالی (SOFT) نقشی كلیدی در شناسایی فعالیت مشتریان و اشخاص ثالث به عنوان بخشی از سیستم پردازش تراکنشها ایفا میكند.جزئیات مربوط به مبدأ تراکنش، سکوی رایانش تراکنش، مکانیسم تأیید اعتبار تراکنش، نشانی پروتکل اینترنت (IP) و تاریخ و زمان تراکنش، اطلاعات مهمی را دربارۀ ماهیت تراکنش برای تجزیه و تحلیل و تحقیقات برای شناسایی فعالیتهای شبکه فراهم میکند.در همین راستا دستورالعمل مربوط به خدمات پرداخت (PSD2) و مقررات عمومی حفاظت از داده (GDPR) هر دو در سال 2018 به عنوان مجموعهای جامع از قوانین متمرکز بر دادههای مصرفکننده معرفی شدند که با وجود تفاوتها فرصتهای جدیدی را در اختیار بانکها قرار میدهند.
به گزارش پایگاه خبری بانکداری الکترونیک، بانکها، مؤسسات مالی یا فینتکهایی که در پایان هر روز به حسابرسی میپردازند ترجیح میدهند بر همه تراکنشهای مالی امنیت حاکم باشند. مالکیت تراکنش باید دقیق باشد و شفافیت میزان مدیریت و نظارت را تقویت کند. این روند به بانک اجازه میدهد تا بر تواناییهای اصلی تجارت متمرکز شود و برای مشتری ایجاد رضایت کند؛ اما پیروی از قوانین نظارت بر کلاهبرداریهای مالی تنها به دلیل مقررات عمومی حفاظت از داده نیست و عاملی مهم در بانکداری محسوب میشود.
دستورالعمل خدمات پرداخت و مقررات عمومی حفاظت از داده
در همین راستا، دستورالعمل مربوط به خدمات پرداخت (PSD2) و مقررات عمومی حفاظت از داده (GDPR) هر دو در سال 2018 به عنوان مجموعهای جامع از قوانین متمرکز بر دادههای مصرفکننده معرفی شدند. با وجود شباهتهایی که آییننامهها دارند؛ اما از دیدگاههای مختلفی تدوین شدهاند.
قانون PSD2 قصد دارد تا از طریق دسترسی به دادههای شخصی وارد دادههای مالی مصرفکنندگان ـ یا کاربران خدمات پرداخت (PSUs) ـ شود و به اشخاص ثالث امکان ورود به بازار پرداخت، ارائة اطلاعات جدید حساب و خدمات آغاز پرداخت را بدهد. این خدمات توسط ارائهدهندگان خدمات اطلاعات حساب (AISPs) و ارائهدهندگان خدمات شروع پرداخت (PISPs) فراهم میشوند.
در مقابل مقررات GDPR قصد دارد تا با محافظت از دادههای شخصی این امکان را برای مصرفکنندگان فراهم کند که به راحتی بتوانند استفاده از اطلاعات خود را ردیابی کنند؛ البته این طرح اعتراضاتی را به همراه داشت.
در حالی که PSD2 بازار بانکی ایجاد میکند و رقابت و نوآوری را در محصولات و خدمات مختلف ترغیب میکند؛ اما هرگونه دسترسی به محصولات و خدمات مربوط به دادههای شخصی باید مطابق با مقررات GDPR باشد. عدم رعایت این موضوع جریمههای سنگینی را به همراه دارد و به اعتبار مؤسسه خسارت چشمگیری وارد میکند. تاکنون اکثر بانکهای سنتی محافظت از دادههای مصرفکننده را در اولویت بالاتری نسبت به برنامههای اصلی نوآوری میدانستند؛ اما اکنون که بازیگران جدید بیشتری وارد بازار آزاد شدند، آنها تنها میتوانند میان انطباق صرف با قوانین یا استفاده از فرصتهای PSD2 برای ایجاد مزیت رقابتی یکی را انتخاب کنند.
رضایت مشتری، رکن اصلی
بهرغم اهداف متفاوت GDPR و PSD2، اجرای هر دو به رضایت مصرفکننده بستگی دارند.
در مقررات GDPR تصریح شده است که مؤسسات مالی نمیتوانند دادههای مصرفکننده را بدون رضایت او پردازش کنند و رضایت او نیز باید تحت شرایط خاص گرفته شود. در مقابل با وجود اینکه که PSD2 نیز اعلام میکند که «رضایت صریح» برای ارائۀ خدمات به مصرفکنندگان ضروری است؛ اما این مفهوم تعریف نشده است و نمیتوان نتیجهگیری کرد که مشابه شرایط GDPR است. این عدم شفافیت در مورد رضایت مصرفکننده، عوامل خدمات پرداخت را با مشکل روبهرو کرده است؛ زیرا آنها سعی دارند از هر دو دستورالعمل تبعیت کنند. جدول زیر تفاوتهای کلیدی را به طور خلاصه نشان میدهد.
نکات کلیدی در اجرای قوانین
مؤسسات مالی نباید اجازه دهند قانون GDPR مانع نوآوری پیشنهادی مقررات PSD2 شود؛ بلکه باید طوری عمل کنند كه خدمات و محصولات جدید با هر دو قانون سازگار باشند. نکات کلیدی عملکرد آینده میتواند شامل موارد زیر باشد:
*مراقب تصمیمات خودکار باشید. قانون GDPR ضبط و تجزیه و تحلیل ویژگیهای روانشناختی و رفتاری فرد را ممنوع میداند. بانکها به طور فزایندهای از اتوماسیون برای ارائه خدمات با ارزش افزوده مانند امتیازدهی به اعتبار و ارزیابی هزینه از سیستم اتوماسیون استفاده میکنند؛ اما تصمیمات مهمتر از جمله امتناع از وام دادن، تنها با پردازش خودکار دادههای شخصی امکانپذیر است؛ مثلاً میتوان رضایت صریح مصرفکننده را گرفت یا قراردادی با او بست تا وی تعهد قانونی دهد. علاوه بر این، تحت قانون GDPR، مؤسسات مالی باید در صورت درخواست مصرفکننده قادر باشند هرگونه حرکت مربوط به اتوماسیون را توجیه کنند.
*ارزیابی تأثیر حفاظت از دادهها را انجام دهید. ماهیت ارائهدهندگان خدمات اطلاعات حساب و ارائهدهندگان خدمات شروع پرداخت طوری است که نیاز دارد تا حجم بالایی از دادههای شخصی پردازش شوند و ارزیابی تأثیر حفاظت از دادهها ضروری است؛ البته ارزیابیها باید قبل از پردازش دادههای مالی صورت گیرد و برای درک ریسک پردازش دادهها و تعریف اقدامات کاهشدهنده به کار گرفته شوند.
*حفاظت از دادهها را در سرویسهای جدید طراحی کنید. ارائهدهندگان خدمات اطلاعات حساب و ارائهدهندگان خدمات شروع پرداخت باید در طراحی و اصول پیش فرض به حفاظت از دادهها پایبند باشند. این اصول ارائهدهندگان خدمات را ملزم میکند تا پیش از ارائه دربارة تأثیر سرویسهای خود در حفاظت از دادهها فکر کنند. باید اقدامات مناسبی برای انطباق با GDPR و به حداقل رساندن میزان پردازش دادهها انجام شود.
*آماده باشید تا در صورت نیاز، اطلاعات استفاده از دادهها را در اختیار مصرفکنندگان قرار دهید. مالکان دادهها حق دارند، بدانند که آیا اطلاعات آنها در حال پردازش است یا خیر و اگر اینطور باشد، میتوانند یک نسخه را دریافت کنند. هنگام طراحی خدمات، ارائهدهندگان باید این حقوق را در نظر بگیرند تا در صورت درخواست، اطلاعات مناسب را ارائه دهند؛ اگر درخواست کاربران خدمات پرداخت بیاساس یا بیش از حد باشد، ارائهدهندگان خدمات اطلاعات حساب و ارائهدهندگان خدمات شروع پرداخت میتوانند هزینة معقولی را دریافت کنند.
*این شرط را تأیید کنید که در صورت درخواست، میتوانید همه دادههای مصرفکننده را پاک کنید. مصرفکنندگان حق دارند از ارائهدهنده خدمات بخواهند همه اطلاعات شخصی را به موقع پاک کنند. لغو رضایت برای ارائهدهندگان خدمات اطلاعات حساب و ارائهدهندگان خدمات شروع پرداخت، اهمیت ویژهای دارد. هنگام طراحی خدمات ارائهدهندگان باید این حقوق را در نظر بگیرند تا در صورت درخواست بتوانند دادههای شخصی را حذف کنند.
قوانین امنیتی، پلی به سوی فرصتهای نو
قانون PSD2 در نظر دارد فرصتهای بیسابقهای را در بخش پرداخت در اختیار بانکها قرار دهد. قانون GDPR نیز حریم شخصی را هنگام توسعه محصولات یا ایجاد تغییرات مورد توجه قرار میدهد؛ اما بانکها میتوانند با برنامهریزی قوی و تخصص کافی، جلوتر حرکت کنند. هنگامی كه این دو طرح به طور هماهنگ اجرا شوند، بانکها میتوانند به شکلی بهتر از مصرفكنندگان محافظت کنند و در خدمت آنها باشند. آنها همچنین میتوانند فراتر از سازگاری صرف با قوانین عمل و از فرصتهای جدید برای رشد استفاده كنند.
منابع: EY – How banks can balance GDPR and PSD2
ماهنامه بانکداری آینده
مترجم: فرزانه اسکندریان