شنبه ۳ آذر ۱۳۹۷ ساعت ۱۴:۳۹
رمزهای یکبار مصرف در شبکه بانکی عملیاتی شد+اعلام ضوابط
با اتمام زمان اجرای مرحله اول الزامات رمزهای پویا، مرحله دوم آن از امروز عملیاتی شد بر همین اساس اگر بانکی زیرساخت رمز یکبار مصرف را ایجاد نکرده باشد از امروز مسئول جبران خسارت مشتری خواهد بود.
به گزارش اخبار بانک، بانک مرکزی الزامات رمزهای پویا برای افزایش امنیت تراکنشهای بانکی را به سیستم بانکی کشور در ابتدای شهریور ماه سال جاری ابلاغ کرد تا استفاده از رمزهای پویا یا یکبار مصرف برای افزایش امنیت در تراکنشهای بانکی به عنوان ضرورتی مهم توسط بانک پیگیری شود؛ به اعتقاد کارشناسان پیاده سازی رمزهای یکبار مصرف در نظام بانکی ایران میتواند از کلاهبرداریهای مالی سایبری متعددی جلوگیری کند و در عین حال نظام تراکنشهای بانکی را بروزرسانی کند.
بر اساس دستورالعمل بانک مرکزی جمهوری اسلامی ایران، بانکها و موسسات مالی و اعتباری در بخش اول الزامات استفاده از رمزهای یکبار مصرف تا اول آذرماه فرصت داشتند تا زیرساخت رمز یکبار مصرف را در سامانه بانکی قرار دهند و فرهنگ سازیهایی در این بخش انجام دهند تا مشتریان آنها از زیرساخت رمزهای یکبار مصرف استفاده کنند؛ در همین راستا برخی از بانکها زیرساخت رمز یکبار مصرف خود را رونمایی و آن را به مشتریان خود معرفی کردند که البته برخی نیز این خدمت را از سالهای قبل به لیست خدمات خود افزود بودند؛ معاونت فناوری اطلاعات و ادارهکل بانکداری شخصی بانکها از سوی مدیران ماموریت یافتند تا زیرساخت رمز یکبار مصرف را توسعه و راهاندازی کنند که بخش گستردهای از آن در زیرساخت بانکداری پیاده سازی شده است.
در حال حاضر از جمله بانکهای دارای خدمت رمز یکبار مصرف باید به بانکهای ملی، سامان، سپه، ایران زمین، کارآفرین، سرمایه، پاسارگاد، سینا، صادرات ایران، ملت و چند بانک دیگر اشاره داشت اما در این میان هنوز چند بانک و موسسه مالی و اعتباری خدمات رمز یکبار مصرف را ارائه نکردند که نیاز است تا هر چه سریعتر اقدامات مربوطه را انجام دهند و بانکها با هم افزایی نسبت به فرهنگ سازی در میان مشتریان سیستم بانکی در این زمینه اقدامات لازم را انجام دهند.
در مرحله دوم الزمات دستورالعمل بانک مرکزی در زمینه رمزهای یکبار مصرف یک نکته بسیار مهم وجود دارد؛ بانک مرکزی تاکید کرده، در صورت عدم طراحی، راهاندازی و پیاده سازی زیرساخت رمز یکبار مصرف در بانکها و موسسات مالی و اعتباری کشور، اگر مشتری با یکی از روشهای کلاهبرداری مالی و سایبری از جمله فیشینگ متحمل ضرر شود باید بانک یا موسسه مالی و اعتباری مذکور به دلیل نداشتن زیرساخت امن رمز یکبار مصرف به عنوان ضرورت بانک مرکزی خسارت مشتری خود را به صورت کامل جبران کند؛ بر همین اساس نیاز است تا بانکها به منظور جلوگیری از خسارات احتمالی به مشتریان هر چه سریعتر این زیرساخت را توسعه داده و با فرهنگ سازی آن را در میان مشتریان بانکی معرفی کنند.
بر اساس دستور العمل و الزامات رمزهای پویا که توسط بانک مرکزی منتشر شده است، استفاده از رمزهای دوم پویا یا همان رمزهای یکبار مصرف برای تمامی دارندگان کارتهای بانکی از ابتدای خرداد ماه سال ۱۳۹۸ ضروری است و رمز دوم ایستا که تا به امروز در شبکه بانکی مورد استفاده قرار میگرفته است، به طور کامل حذف و با رمزهای دوم پویا جایگزین خواهند شد تا امنیت در تراکنشهای بانکی ساتنا و پایا افزایش داشته باشد و در عین حال کلاهبرداریهای رایج به دلیل نبود رمز یکبار مصرف و خلاء موجود در نظام بانکی کاهش چشمگیری پیدا کند.
از جمله مشخصات لازم برای رمزهای پویا که توسط بانک مرکزی اعلام شده است، باید به موارد ذیل اشاره داشت:
بانک مرکزی جمهوری اسلامی ایران در راستای ایمن سازی دسترسی کاربران به سیستم های الکترونیکی و افزایش امنیت در تراکنش های بانکی و استفاده عموم مردم از خدمات در بستر بانکداری الکترونیک سند الزامات رمزهای پویا یا همان رمز یکبار مصرف با عنوان لاتین One Time Password به مخفف OTP را به بانکها و موسسات مالی و اعتباری را با همکاری شرکت کاشف ابلاغ کرده است.
بر اساس دستورالعمل بانک مرکزی جمهوری اسلامی ایران، بانکها و موسسات مالی و اعتباری در بخش اول الزامات استفاده از رمزهای یکبار مصرف تا اول آذرماه فرصت داشتند تا زیرساخت رمز یکبار مصرف را در سامانه بانکی قرار دهند و فرهنگ سازیهایی در این بخش انجام دهند تا مشتریان آنها از زیرساخت رمزهای یکبار مصرف استفاده کنند؛ در همین راستا برخی از بانکها زیرساخت رمز یکبار مصرف خود را رونمایی و آن را به مشتریان خود معرفی کردند که البته برخی نیز این خدمت را از سالهای قبل به لیست خدمات خود افزود بودند؛ معاونت فناوری اطلاعات و ادارهکل بانکداری شخصی بانکها از سوی مدیران ماموریت یافتند تا زیرساخت رمز یکبار مصرف را توسعه و راهاندازی کنند که بخش گستردهای از آن در زیرساخت بانکداری پیاده سازی شده است.
در حال حاضر از جمله بانکهای دارای خدمت رمز یکبار مصرف باید به بانکهای ملی، سامان، سپه، ایران زمین، کارآفرین، سرمایه، پاسارگاد، سینا، صادرات ایران، ملت و چند بانک دیگر اشاره داشت اما در این میان هنوز چند بانک و موسسه مالی و اعتباری خدمات رمز یکبار مصرف را ارائه نکردند که نیاز است تا هر چه سریعتر اقدامات مربوطه را انجام دهند و بانکها با هم افزایی نسبت به فرهنگ سازی در میان مشتریان سیستم بانکی در این زمینه اقدامات لازم را انجام دهند.
در مرحله دوم الزمات دستورالعمل بانک مرکزی در زمینه رمزهای یکبار مصرف یک نکته بسیار مهم وجود دارد؛ بانک مرکزی تاکید کرده، در صورت عدم طراحی، راهاندازی و پیاده سازی زیرساخت رمز یکبار مصرف در بانکها و موسسات مالی و اعتباری کشور، اگر مشتری با یکی از روشهای کلاهبرداری مالی و سایبری از جمله فیشینگ متحمل ضرر شود باید بانک یا موسسه مالی و اعتباری مذکور به دلیل نداشتن زیرساخت امن رمز یکبار مصرف به عنوان ضرورت بانک مرکزی خسارت مشتری خود را به صورت کامل جبران کند؛ بر همین اساس نیاز است تا بانکها به منظور جلوگیری از خسارات احتمالی به مشتریان هر چه سریعتر این زیرساخت را توسعه داده و با فرهنگ سازی آن را در میان مشتریان بانکی معرفی کنند.
بر اساس دستور العمل و الزامات رمزهای پویا که توسط بانک مرکزی منتشر شده است، استفاده از رمزهای دوم پویا یا همان رمزهای یکبار مصرف برای تمامی دارندگان کارتهای بانکی از ابتدای خرداد ماه سال ۱۳۹۸ ضروری است و رمز دوم ایستا که تا به امروز در شبکه بانکی مورد استفاده قرار میگرفته است، به طور کامل حذف و با رمزهای دوم پویا جایگزین خواهند شد تا امنیت در تراکنشهای بانکی ساتنا و پایا افزایش داشته باشد و در عین حال کلاهبرداریهای رایج به دلیل نبود رمز یکبار مصرف و خلاء موجود در نظام بانکی کاهش چشمگیری پیدا کند.
از جمله مشخصات لازم برای رمزهای پویا که توسط بانک مرکزی اعلام شده است، باید به موارد ذیل اشاره داشت:
- ماده ۱۲_حداقل طول رمز پویای جایگزین رمز اول کارت باید چهار رقم باشد.
ماده ۱۳_حداقل طول رمز پویای جایگزین رمز دوم کارت باید هفت رقم باشد.
ماده ۱۴_طول عمر رمزهای پویا باید حداکثر شصت ثانیه بوده و پس از این زمان رمز تولید شده منقضی و غیر قابل استفاده شود.
ماده ۱۵_ رمزهای پویا در طول عمر خود باید تنها یک بار توسط موسسه اعتباری پذیرفته شوند.
ماده ۱۶_ رمزهای پویا در طول عمر خود صرفا برای استفاده از خدمات مبتنی بر یک کارت مشخص از بین کارت های صادرشده توسط موسسه اعتباری قابل استفاده باشند.
اعلام ضوابط رمزهای یکبار مصرف/ افزایش امنیت تراکنشهای بانکی
رمز یکبار مصرف به عنوان تکنولوژی الزامی بانکی یک روش برای محافظت از اطلاعات به منظور جلوگیری از سرقت رمز عبور می باشد که رمز عبور با استفاده از روش های رمز نگاری تولید می گردد و تنها برای یک بار ورود به سیستم معتبر است، مهمترین مزیت استفاده از OTP و یا رمز یک بار مصرف این است، که سرقت اطلاعات با دانستن رمز عبور غیر ممکن است و با استفاده از آن میتوان امنیت را در حوزه استفاده از خدمات بانکداری الکترونیک و نقل و انتقال پول را افزایش داد و در عین حال سرقتهای مالی را به مراتب کاهش داد؛ با استفاده از این روش مجرمان سایبری و افرادی که قصد برداشت غیر مجاز داشته باشند نمیتوانند با استفاده از رمز قبلی که در اختیار دارند وارد سیستم شوند چرا که این رمز باطل شده است چرا که برای هر بار ورود به سیستم رمز عبوری جدید در اختیار کاربر قرار میگیرد.
در همین راستا ناصر حکیمی؛ معاون فناوری های نوین بانک مرکزی در ابلاغیهای به بانکها و موسسات مالی و اعتباری تاکید کرده است که ا افزایش بهره گیری مشتریان بانکی از خدمات بانکداری و پرداخت الکترونیکی، میزان جرائم مرتبط با سوء استفاده از اطلاعات محرمانه مشتریان علی الخصوص رمزهای کارت های بانکی نیز افزایش یافته است و این امر نشان می دهد که راهکارهای پیشین تولید و استفاده از اطلاعات محرمانه، توان مقابله با حملات گسترده امروزی را ندارند. لذا به منظور صیانت از حقوق مشتریان بانکی و کاهش مخاطرات مرتبط با رمزهای کارت های بانکی به خصوص رمز دوم کارت های بانکی که در تراکنش های بدون کارت به کار گرفته می شوند شرایط و ظوابط مرتبط با پویاسازی رمزهای کارت در قالب سندی با عنوان الزامات رمزهای پویا در تراکنش های مبتنی بر کارت تبیین شده است. به این ترتیب با اجرایی شدن این الزامات، مخاطرات مرتبط با رمزهای ایستای کارت های بانکی تا حد زیادی کاهش پیدا خواهد کرد و تلاش مجرمان و سوء استفاده کنندگان در سرقت کنندگان در سرقت و به کار بردن رمزهای ایستای کارت های بانکی با شکست مواجه خواهد شد.
الزامات رمزهای پویا در تراکنش های مبتنی بر کارت
اعتبار بخشی
در بخشی از ضوابطی که بانک مرکزی منتشر کرده آمده است: بر اساس بند ۱۰-۱ از «سند راهبردی مدیریت امنیت اطلاعات» در حوزه بانکها و موسسات اعتباری، منصوب خردادماه ۱۳۸۸، تهیه برنامه و دستور العمل های اجرایی مربوط به سند پیش گفته بر عهده بانک مرکزی قرار داده شده است. همچنین بانک مرکزی ج ا. ا با هدف پایش و کنترل امنیت فضای تولید و تبادل اطلاعات بانکی و بر اساس مصوبه یک هزار و یک صد و پنجاه و یکمین جلسه شورای پول و اعتبار، مرکز کاشف را ایجاد کرده و مسولیت تنظیم مقررات و الزامات امنیت اطلاعات را به موجب «بند یکم ماده دوم مقررات ناظر بر فعالیت مرکز کاشف» مبتنی بر «تدوین و تعیین اهداف، سیاست های کلان، راهبردی و الزامات امنیت اطلاعات» به آن مراکز واگذاری نموده است. بر همین اساس بانک مرکزی ج ا. ا وظیفه تنظیم و نگهداری الزامات «رمزهای پویا در تراکنش های مبتنی بر کارت» را بر عهده مرکز کاشف نهاده است. همچنین بر اساس بند دوم ماده دوم مقررات ناظر بر فعالیت مرکز کاشف مبنی بر نظارت بر حسن اجرای سیاست های کلان، راهبردها و الزامات امنیت اطلاعات، نظارت بر حسن اجرای الزامات «رمزهای پویا در تراکنش های مبتنی بر کارت» نیز توسط ناظران مرکز کاشف انجام خواهد شد. سند حاظر بر اساس «ماده هشتم مقررات ناظر بر فعالیت مرکز کاشف» توسط شرکت مدیریت امن الکترونیکی کاشف که به نمایندگی از بانک مرکزی ج ا. ا مسئولیت ایجاد راهبردی و اجاری وظایف محول شده به «مرکز کاشف» را بر عهده دارد، تهیه و تدوین شده است.
تصویب و ابلاغ
الزامات «رمزهای پویا در تراکنش های مبتنی بر کارت» مشتمل بر دو بخش، پنجاه و هشت ماده و هشت تبصره در تاریخ یکم شهریور ماه هزار وسیصد و نود و هفت تصویب و ابلاغ گردید.
مبحث پنجم – مشخصات رمز پویا
ماده ۱۲ حداقل طول رمز پویای جایگزین رمز اول کارت باید چهار رقم باشد.
ماده ۱۳ حداقل طول رمز پویای جایگزین رمز دوم کارت باید هفت رقم باشد.
ماده ۱۴ طول عمر رمزهای پویا باید حداکثر شصت ثانیه بوده و پس ار این زمان رمز تولید شده منقضی و غیر قابل استفاده شود.
ماده ۱۵ رمزهای پویا در طول عمر خود باید تنها یک بار توسط موسسه اعتباری پذیرفته شوند.
ماده ۱۶ رمزهای پویا در طول عمر خود صرفا برای استفاده از خدمات مبتنی بر یک کارت مشخص از بین کارت های صادرشده توسط موسسه اعتباری قابل استفاده باشند.
در همین راستا ناصر حکیمی؛ معاون فناوری های نوین بانک مرکزی در ابلاغیهای به بانکها و موسسات مالی و اعتباری تاکید کرده است که ا افزایش بهره گیری مشتریان بانکی از خدمات بانکداری و پرداخت الکترونیکی، میزان جرائم مرتبط با سوء استفاده از اطلاعات محرمانه مشتریان علی الخصوص رمزهای کارت های بانکی نیز افزایش یافته است و این امر نشان می دهد که راهکارهای پیشین تولید و استفاده از اطلاعات محرمانه، توان مقابله با حملات گسترده امروزی را ندارند. لذا به منظور صیانت از حقوق مشتریان بانکی و کاهش مخاطرات مرتبط با رمزهای کارت های بانکی به خصوص رمز دوم کارت های بانکی که در تراکنش های بدون کارت به کار گرفته می شوند شرایط و ظوابط مرتبط با پویاسازی رمزهای کارت در قالب سندی با عنوان الزامات رمزهای پویا در تراکنش های مبتنی بر کارت تبیین شده است. به این ترتیب با اجرایی شدن این الزامات، مخاطرات مرتبط با رمزهای ایستای کارت های بانکی تا حد زیادی کاهش پیدا خواهد کرد و تلاش مجرمان و سوء استفاده کنندگان در سرقت کنندگان در سرقت و به کار بردن رمزهای ایستای کارت های بانکی با شکست مواجه خواهد شد.
الزامات رمزهای پویا در تراکنش های مبتنی بر کارت
اعتبار بخشی
در بخشی از ضوابطی که بانک مرکزی منتشر کرده آمده است: بر اساس بند ۱۰-۱ از «سند راهبردی مدیریت امنیت اطلاعات» در حوزه بانکها و موسسات اعتباری، منصوب خردادماه ۱۳۸۸، تهیه برنامه و دستور العمل های اجرایی مربوط به سند پیش گفته بر عهده بانک مرکزی قرار داده شده است. همچنین بانک مرکزی ج ا. ا با هدف پایش و کنترل امنیت فضای تولید و تبادل اطلاعات بانکی و بر اساس مصوبه یک هزار و یک صد و پنجاه و یکمین جلسه شورای پول و اعتبار، مرکز کاشف را ایجاد کرده و مسولیت تنظیم مقررات و الزامات امنیت اطلاعات را به موجب «بند یکم ماده دوم مقررات ناظر بر فعالیت مرکز کاشف» مبتنی بر «تدوین و تعیین اهداف، سیاست های کلان، راهبردی و الزامات امنیت اطلاعات» به آن مراکز واگذاری نموده است. بر همین اساس بانک مرکزی ج ا. ا وظیفه تنظیم و نگهداری الزامات «رمزهای پویا در تراکنش های مبتنی بر کارت» را بر عهده مرکز کاشف نهاده است. همچنین بر اساس بند دوم ماده دوم مقررات ناظر بر فعالیت مرکز کاشف مبنی بر نظارت بر حسن اجرای سیاست های کلان، راهبردها و الزامات امنیت اطلاعات، نظارت بر حسن اجرای الزامات «رمزهای پویا در تراکنش های مبتنی بر کارت» نیز توسط ناظران مرکز کاشف انجام خواهد شد. سند حاظر بر اساس «ماده هشتم مقررات ناظر بر فعالیت مرکز کاشف» توسط شرکت مدیریت امن الکترونیکی کاشف که به نمایندگی از بانک مرکزی ج ا. ا مسئولیت ایجاد راهبردی و اجاری وظایف محول شده به «مرکز کاشف» را بر عهده دارد، تهیه و تدوین شده است.
تصویب و ابلاغ
الزامات «رمزهای پویا در تراکنش های مبتنی بر کارت» مشتمل بر دو بخش، پنجاه و هشت ماده و هشت تبصره در تاریخ یکم شهریور ماه هزار وسیصد و نود و هفت تصویب و ابلاغ گردید.
مبحث پنجم – مشخصات رمز پویا
ماده ۱۲ حداقل طول رمز پویای جایگزین رمز اول کارت باید چهار رقم باشد.
ماده ۱۳ حداقل طول رمز پویای جایگزین رمز دوم کارت باید هفت رقم باشد.
ماده ۱۴ طول عمر رمزهای پویا باید حداکثر شصت ثانیه بوده و پس ار این زمان رمز تولید شده منقضی و غیر قابل استفاده شود.
ماده ۱۵ رمزهای پویا در طول عمر خود باید تنها یک بار توسط موسسه اعتباری پذیرفته شوند.
ماده ۱۶ رمزهای پویا در طول عمر خود صرفا برای استفاده از خدمات مبتنی بر یک کارت مشخص از بین کارت های صادرشده توسط موسسه اعتباری قابل استفاده باشند.
کد مطلب: 64572
ارسال نظر
مشاهده نظر مخاطبان
تازه ترین اخبار
