مطابقت کدملی با شماره همراه در اپلیکیشن‌های موبایلی اجباری شد

ایران اکونومیست- اداره نظام‌های پرداخت بانک مرکزی جمهوری اسلامی ایران در راستای تبیین الزامات اپلیکیشن‌های موبایلی در حوزه خدمات بانکی، الزاماتی را با عنوان «مستند الزامات ارائه خدمات بانکی توسط برنامک‌های همراه» تدوین و منتشر کرد؛ بر این اساس تمامی تولیدکنندگان این اپلیکیشن‌ها از جمله بانک‌ها، موسسات مالی و اعتباری و شرکت‌های پرداخت الکترونیک باید مفاد مستند مذکور را رعایت کنند چرا که بر اساس اطلاعیه بانک مرکزی که به شرکت‌های زیر مجموعه بانک مرکزی ارسال شده، رعایت مفاد الزامات جدید در حوزه اپلیکیشن‌های موبایلی از ابتدای سال ۱۳۹۸ اجباری است.
لازم به ذکر است که بر اساس اعلام بانک مرکزی ارسال تراکنش مانده‌گیری و صورتحساب توسط برنامک همراه با رعایت این الزامات، آزمون‌های موفق سامانه مانا و نهاب و تطبیق با روال‌های جدید شرکت شاپرک مجاز خواهد بود؛ بر اساس پیگیری خبرنگار ایبِنا از بانک مرکزی این خدمات به زودی با رعایت الزامات جدید توسط ارائه دهندگان اپلیکیشن‌های بانکی موبایلی در دسترس کاربران اپلیکیشن‌های موبایلی قرار خواهد گرفت.
ارائه انواع خدمات مبتنی بر کارت‌های بانکی در برنامک‌های همراه منوط به رعایت کامل موارد به شرح ذیل توسط بانک‌ها، موسسات مالی و اعتباری و شرکت‌های ارائه دهنده خدمات پرداخت است که از این پس به عنوان موسسه از آن‌ها یاد  خواهد شد:
۱-موسسه موظف است ضمن رعایت ملاحظات امنیتی و طی انجام فرآیندهای تست و ارزیابی امنیتی از امن بودن برنامک‌ همراه اطمینان حاصل نماید. مسئولیت وقوع هرگونه رخداد امنیتی، تقلب و کلاهبرداری، سوءاستفاده از اطلاعات شخصی و مالی کاربران برنامک‌های همراه مستقیما به عهده موسسه مربوطه است.
۲-موسسه موظف است هنگام فعال‌سازی برنامک همراه بر روی دستگاه کاربر اقدامات زیر را انجام دهد:
کد ملی و شماره تلفن همراه کاربر را اخذ نماید.تطابق کد ملی با شماره تلفن همراه اظهار شده توسط کاربر را از طریق سامانه نهاب استعلام نماید.با ارسال پیامک حاوی کد اعتبار سنجی یکبار مصرف به شماره تلفن همراه تایید شده توسط سامانه نهاب، اطمینان حاصل نماید که سیم کارت معرفی شده در اختیار کاربر اظهار کننده آن است.سوابق مرتبط با فعال سازی‌های موفق و ناموفق را به مدت حداقل یکسال ثبت و نگهداری نماید.
۳-موسسه موظف است هنگام ثبت و فعال سازی کارت بانکی در برنامک همراه اقدامات زیر را انجام دهد:
ابتدا از انجام موفقیت آمیز فعال سازی برنامک همراه مطابق با بند ۲ این بخشنامه اطمینان حاصل نماید.طی فرآیند ارائه شده در مستند راهنمای کاربری سرمایه برخط مانا، تطابق شماره کارت، کد ملی و شماره تلفن همراه از سامانه مانا را استعلام نموده و نشانه مربوط به کارت را اخذ نماید.به ازای هر برنامک همراه فعال سازی شده، یک شناسه یکتا، تصادفی و غیر قابل پیش‌بینی با نام Payment Applnstance ID تولید و به سامانه مانا ارسال شود.نشانه مربوط به هر کارت نبایستی توسط کاربر قابل مشاهده باشد.در صورت نیاز کاربر به کسب اطلاع از شماره کارت خود در برنامه این شماره به صورت نهان شده قابل نمایش است به گونه‌ای که ۶ رقم اول و ۴ رقم آخر شماره کارت قابل مشاهده و سایر ارقام با کارکتر * نشان داده شود.
۴-لازم است برای هر کارت بانکی در هر برنامک همراه صرفا یک نشانه صادر شده و نشانه توسط برنامک همراه از سامانه مرکزی موسسه مربوط فراخوانی شود.
۵-نشانه صادر شده بر اساس تجهیزی (اعم از تلفن همراه و تبلت) که درخواست فعال سازی از طریق آن ارسال شده، مجزا خواهد بود؛ به عنوان نمونه در صورت فعال‌سازی کارت بانکی از طریق دو تجهیز، دو نشانه متفاوت صادر می‌شود.
لازم است پیش از انجام تراکنش، تطابق میان نشانه و شناسه یکتا توسط موسسه انجام شود و سپس در صورت مطابقت نشانه و شناسه یکتا، تراکنش انجام شود و در غیر این صورت از انجام تراکنش ممانعت شود.
۶-موسسه موظف است کاربر را در هر بار ورود به برنامک همراه برای استفاده از خدمات بانکی، از طریق ساز و کارهایی نظیر نام کاربری و گذرواژه، تشخیص چهره و نظایر آن بنابر طراحی برنامک شناسایی نماید.
۷-ضروری است تا کلیه خدمات بانکی صرفا در صورت تطابق کد ملی اخذ شده در مرحله فعالسازی برنامک همراه و کد ملی دارنده کارت بانکی ارائه گردد.
۸-لازم است کانال ارتباطی میان موسسه و برنامک همراه دارای رمزنگاری End-to-End باشد و در هیچ یک از سازوکارهای مبتنی بر رمزنگاری از الگوریتم‌های رمزنگاری ضعیف و غیر استاندارد استفاده نشود.
۹-شرکت ارائه دهنده خدمات پرداخت تحت هیچ شرایطی نباید شماره کارت، کد CVV۲، رمز دوم کارت بانکی و اطلاعات مالی مشتریان نظیر مانده حساب و صورتحساب آن‌ها را در سامانه‌های خود اعم از سامانه مرکزی و برنامک همراه ذخیره نماید.
۱۰-ارائه تمامی خدمات کارتی در برنامک همراه صرفا با استفاده از نشانه ارائه شده توسط سامانه مانا مجاز است.
۱۱ موسسه موظف است برای هر یک از برنامک‌های همراه به طور جداگانه اقدام به انجام آزمون اتصال به سامانه مانا نماید و هر یک از برنامک‌های همراه صرفا در صورت موفقیت آمیز بودن در عملیات آزمون سامانه مانا مجاز به ارائه خدمات کارتی خواهند بود.
۱۲- لازم است در موارد زیر فرآیند اطلاع رسانی به کاربر توسط موسسه انجام شود:
فعال سازی برنامک همراه از طریق پیامکفعال سازی کارت بانکی در برنامک همراه از طریق پیامکمعرفی شرایط و مقررات خدمات بانکی مورد استفاده در برنامک همراه و اخذ تاییده کاربر پیش از فعال سازی
۱۳-لازم است به منظور پاسخگویی به نهادهای ذیصلاح قابلیت انجام اقدامات زیر توسط موسسه فراهم گردد:
دریافت کد ملی و شماره تلفن همراه کاربر از طریق شناسه یکتا یا نشانهامکان حذف یا مسدود سازی نشانه از طریق سامانه مرکزی موسسه
۱۴-ضروری است در صورت درخواست کاربر، امکان حذف، غیر فعالسازی نشانه در برنامک همراه فراهم شود.
۱۵-لازم است هر گونه تغییر اعلامی در سامانه مانا شامل ارائه نسخه جدید از یک سرویس یا ارائه یک سرویس جدید صرف مدت یک ماه توسط موسسه پیاده سازی شود و در صورت عدم پیاده سازی، دسترسی‌های آنها حذف خواهد  شد.
۱۶-ضروری است موسسه اطلاعاتی از برنامک همراه و تراکنش‌های صادر شده توسط آن را به نحوی در سامانه مرکزی خود ثبت و نگهداری نماید که امکان رهگیری تمامی عملیات تراکنشی برنامک همراه، فعال سازی برنامک و فعالسازی کارت فراهم شود.
۱۷-لازم است فرآیند دریافت برنامک همراه فقط از طریق درگاه‌های معتبر و اصیل مربوط به موسسه به صورت امن قابل انجام باشد به نحوی که اثبات اصالت توزیع برنامک همراه برای مراجع ذیصلاح امکان پذیر باشد.
۱۸-شرکت‌‎های ارائه دهنده خدمات پرداخت موظفند از اطلاعاتی که کاربر برنامک‌های همراه گردآوری شده صرفا در خدمات موضوع این بخشنامه بهره‌برداری نمایند؛ استفاده از این اطلاعات برای سایر مقاصد تجاری و کسب و کاری غیر مجاز محسوب می‌شود.
در صورت عدم رعایت موارد فوق و ارائه هر گونه خدمات در این خصوص، موارد شناسایی شده به عنوان موارد مشکوک به مراجع مربوطه ارجاع خواهد شد.