بانک مرکزی درمستند الزامات ارائه خدمات بانکی توسط برنامکهای همراه اعلام کرد که ارائه خدمات بانکی صرفا با تطبیق کد ملی با شماره تلفن همراه در اپلیکیشنهای موبایلی از ابتدای سال ۹۸ امکانپذیر خواهد بود.
به گزارش ایبنا، اداره نظامهای پرداخت بانک مرکزی جمهوری اسلامی ایران در راستای تبیین الزامات اپلیکیشنهای موبایلی در حوزه خدمات بانکی، الزاماتی را با عنوان «مستند الزامات ارائه خدمات بانکی توسط برنامکهای همراه» تدوین و منتشر کرد؛ بر این اساس تمامی تولیدکنندگان این اپلیکیشنها از جمله بانکها، موسسات مالی و اعتباری و شرکتهای پرداخت الکترونیک باید مفاد مستند مذکور را رعایت کنند چرا که بر اساس اطلاعیه بانک مرکزی که به شرکتهای زیر مجموعه بانک مرکزی ارسال شده، رعایت مفاد الزامات جدید در حوزه اپلیکیشنهای موبایلی از ابتدای سال ۱۳۹۸ اجباری است.
لازم به ذکر است که بر اساس اعلام بانک مرکزی ارسال تراکنش ماندهگیری و صورتحساب توسط برنامک همراه با رعایت این الزامات، آزمونهای موفق سامانه مانا و نهاب و تطبیق با روالهای جدید شرکت شاپرک مجاز خواهد بود؛ بر اساس پیگیری خبرنگار ایبِنا از بانک مرکزی این خدمات به زودی با رعایت الزامات جدید توسط ارائه دهندگان اپلیکیشنهای بانکی موبایلی در دسترس کاربران اپلیکیشنهای موبایلی قرار خواهد گرفت.
ارائه انواع خدمات مبتنی بر کارتهای بانکی در برنامکهای همراه منوط به رعایت کامل موارد به شرح ذیل توسط بانکها، موسسات مالی و اعتباری و شرکتهای ارائه دهنده خدمات پرداخت است که از این پس به عنوان موسسه از آنها یاد خواهد شد:
۱-موسسه موظف است ضمن رعایت ملاحظات امنیتی و طی انجام فرآیندهای تست و ارزیابی امنیتی از امن بودن برنامک همراه اطمینان حاصل نماید. مسئولیت وقوع هرگونه رخداد امنیتی، تقلب و کلاهبرداری، سوءاستفاده از اطلاعات شخصی و مالی کاربران برنامکهای همراه مستقیما به عهده موسسه مربوطه است.
۲-موسسه موظف است هنگام فعالسازی برنامک همراه بر روی دستگاه کاربر اقدامات زیر را انجام دهد:
کد ملی و شماره تلفن همراه کاربر را اخذ نماید.
تطابق کد ملی با شماره تلفن همراه اظهار شده توسط کاربر را از طریق سامانه نهاب استعلام نماید.
با ارسال پیامک حاوی کد اعتبار سنجی یکبار مصرف به شماره تلفن همراه تایید شده توسط سامانه نهاب، اطمینان حاصل نماید که سیم کارت معرفی شده در اختیار کاربر اظهار کننده آن است.
سوابق مرتبط با فعال سازیهای موفق و ناموفق را به مدت حداقل یکسال ثبت و نگهداری نماید.
۳-موسسه موظف است هنگام ثبت و فعال سازی کارت بانکی در برنامک همراه اقدامات زیر را انجام دهد:
ابتدا از انجام موفقیت آمیز فعال سازی برنامک همراه مطابق با بند ۲ این بخشنامه اطمینان حاصل نماید.
طی فرآیند ارائه شده در مستند راهنمای کاربری سرمایه برخط مانا، تطابق شماره کارت، کد ملی و شماره تلفن همراه از سامانه مانا را استعلام نموده و نشانه مربوط به کارت را اخذ نماید.
به ازای هر برنامک همراه فعال سازی شده، یک شناسه یکتا، تصادفی و غیر قابل پیشبینی با نام Payment Applnstance ID تولید و به سامانه مانا ارسال شود.
نشانه مربوط به هر کارت نبایستی توسط کاربر قابل مشاهده باشد.
در صورت نیاز کاربر به کسب اطلاع از شماره کارت خود در برنامه این شماره به صورت نهان شده قابل نمایش است به گونهای که ۶ رقم اول و ۴ رقم آخر شماره کارت قابل مشاهده و سایر ارقام با کارکتر * نشان داده شود.
۴-لازم است برای هر کارت بانکی در هر برنامک همراه صرفا یک نشانه صادر شده و نشانه توسط برنامک همراه از سامانه مرکزی موسسه مربوط فراخوانی شود.
۵-نشانه صادر شده بر اساس تجهیزی (اعم از تلفن همراه و تبلت) که درخواست فعال سازی از طریق آن ارسال شده، مجزا خواهد بود؛ به عنوان نمونه در صورت فعالسازی کارت بانکی از طریق دو تجهیز، دو نشانه متفاوت صادر میشود.
لازم است پیش از انجام تراکنش، تطابق میان نشانه و شناسه یکتا توسط موسسه انجام شود و سپس در صورت مطابقت نشانه و شناسه یکتا، تراکنش انجام شود و در غیر این صورت از انجام تراکنش ممانعت شود.
۶-موسسه موظف است کاربر را در هر بار ورود به برنامک همراه برای استفاده از خدمات بانکی، از طریق ساز و کارهایی نظیر نام کاربری و گذرواژه، تشخیص چهره و نظایر آن بنابر طراحی برنامک شناسایی نماید.
۷-ضروری است تا کلیه خدمات بانکی صرفا در صورت تطابق کد ملی اخذ شده در مرحله فعالسازی برنامک همراه و کد ملی دارنده کارت بانکی ارائه گردد.
۸-لازم است کانال ارتباطی میان موسسه و برنامک همراه دارای رمزنگاری End-to-End باشد و در هیچ یک از سازوکارهای مبتنی بر رمزنگاری از الگوریتمهای رمزنگاری ضعیف و غیر استاندارد استفاده نشود.
۹-شرکت ارائه دهنده خدمات پرداخت تحت هیچ شرایطی نباید شماره کارت، کد CVV۲، رمز دوم کارت بانکی و اطلاعات مالی مشتریان نظیر مانده حساب و صورتحساب آنها را در سامانههای خود اعم از سامانه مرکزی و برنامک همراه ذخیره نماید.
۱۰-ارائه تمامی خدمات کارتی در برنامک همراه صرفا با استفاده از نشانه ارائه شده توسط سامانه مانا مجاز است.
۱۱ موسسه موظف است برای هر یک از برنامکهای همراه به طور جداگانه اقدام به انجام آزمون اتصال به سامانه مانا نماید و هر یک از برنامکهای همراه صرفا در صورت موفقیت آمیز بودن در عملیات آزمون سامانه مانا مجاز به ارائه خدمات کارتی خواهند بود.
۱۲- لازم است در موارد زیر فرآیند اطلاع رسانی به کاربر توسط موسسه انجام شود:
فعال سازی برنامک همراه از طریق پیامک
فعال سازی کارت بانکی در برنامک همراه از طریق پیامک
معرفی شرایط و مقررات خدمات بانکی مورد استفاده در برنامک همراه و اخذ تاییده کاربر پیش از فعال سازی
۱۳-لازم است به منظور پاسخگویی به نهادهای ذیصلاح قابلیت انجام اقدامات زیر توسط موسسه فراهم گردد:
دریافت کد ملی و شماره تلفن همراه کاربر از طریق شناسه یکتا یا نشانه
امکان حذف یا مسدود سازی نشانه از طریق سامانه مرکزی موسسه
۱۴-ضروری است در صورت درخواست کاربر، امکان حذف، غیر فعالسازی نشانه در برنامک همراه فراهم شود.
۱۵-لازم است هر گونه تغییر اعلامی در سامانه مانا شامل ارائه نسخه جدید از یک سرویس یا ارائه یک سرویس جدید صرف مدت یک ماه توسط موسسه پیاده سازی شود و در صورت عدم پیاده سازی، دسترسیهای آنها حذف خواهد شد.
۱۶-ضروری است موسسه اطلاعاتی از برنامک همراه و تراکنشهای صادر شده توسط آن را به نحوی در سامانه مرکزی خود ثبت و نگهداری نماید که امکان رهگیری تمامی عملیات تراکنشی برنامک همراه، فعال سازی برنامک و فعالسازی کارت فراهم شود.
۱۷-لازم است فرآیند دریافت برنامک همراه فقط از طریق درگاههای معتبر و اصیل مربوط به موسسه به صورت امن قابل انجام باشد به نحوی که اثبات اصالت توزیع برنامک همراه برای مراجع ذیصلاح امکان پذیر باشد.
۱۸-شرکتهای ارائه دهنده خدمات پرداخت موظفند از اطلاعاتی که کاربر برنامکهای همراه گردآوری شده صرفا در خدمات موضوع این بخشنامه بهرهبرداری نمایند؛ استفاده از این اطلاعات برای سایر مقاصد تجاری و کسب و کاری غیر مجاز محسوب میشود.
در صورت عدم رعایت موارد فوق و ارائه هر گونه خدمات در این خصوص، موارد شناسایی شده به عنوان موارد مشکوک به مراجع مربوطه ارجاع خواهد شد.