استانداردهای فنی مقررات (RTS)

فهرست مطالب

ستون پنهان امنیت در سیستم‌های پرداخت

کارگروه راهکارهای دیجیتال

مقدمه: قفل دیجیتالی پشت پرده تراکنش‌ها

سال ۲۰۱۸، یک فروشگاه آنلاین بزرگ اروپایی در یک شب با حمله سایبری پیچیده‌ای مواجه شد. مهاجمان توانستند مسیر پرداخت را شبیه‌سازی کنند و بدون این‌که کاربر متوجه شود، اطلاعات کارت‌ها را برداشتند. خسارت، چند میلیون یورو در کمتر از ۲۴ ساعت.

اما نکته مهم این‌جاست: در همان سال، مقررات PSD2 و الزامات RTS به اجرا درآمده بود و بانک‌هایی که به‌طور کامل از این استانداردها پیروی می‌کردند، هیچ آسیبی ندیدند. علت ساده بود: دروازه فنی که RTS طراحی کرده بود، اجازه عبور به تراکنش‌هایی که به‌صورت کامل احراز هویت و رمزنگاری نشده بودند، نمی‌داد.

این نمونه واقعی، نشان می‌دهد RTS فقط یک مجموعه دستورالعمل خشک اداری نیست؛ بلکه یک زره نامرئی است که امنیت سیستم پرداخت را حتی در برابر حملات پیشرفته حفظ می‌کند. در ادامه بیشتر با این استاندارد آشنا خواهیم شد.

RTS چیست و چگونه شکل گرفت؟

RTS یا Regulatory Technical Standards مجموعه‌ای از مقررات فنی دقیق است که در چارچوب PSD2 (دومین دستورالعمل خدمات پرداخت اروپا) ایجاد شد. وظیفه اصلی RTS این است که چگونگی پیاده‌سازی مفاهیم امنیتی در بانک‌ها، فین‌تک‌ها و ارائه‌دهندگان خدمات پرداخت را مشخص کند. در روزهایی که پرداخت‌های اینترنتی جز جدانشدنی از زندگی افراد شده‌اند نیاز به وجود چنین استانداردهایی احساس می‌شود.

در حالی که PSD2 حکم قانون را دارد، RTS مثل آیین‌نامه اجرایی آن است. اگر PSD2 می‌گوید «احراز هویت مشتری باید قوی باشد»، RTS توضیح می‌دهد:

  • چه عواملی برای احراز هویت قابل قبول هستند.
  • چه شرایطی اجازه استثنا را می‌دهد.
  • ارتباطات بین سرویس‌ها چگونه باید ایمن شود.

این استانداردها توسط European Banking Authority – EBA تدوین و از سال ۲۰۱۹ در سراسر اروپا اجرا شد.

اهمیت RTS: فراتر از یک الزام قانونی

تا قبل از به وجود آمدن RTS روش استاندارد فنی برای پرداخت‌های الکترونیکی وجود نداشت و هر شرکت یا سازمان (مانند بانک‌ها) می‌توانست راهکار خود را اجرایی و عملیاتی کند. به مرور این عدم استاندارد بودن روش‌ها می‌توانست موجب از بین رفتن امنیت پرداخت‌ها شود. از این رو RTS به عنوان یک روش استاندارد فنی معرفی شد که جنبه‌های متنوعی را پوشش می‌داد.

1. یکپارچه‌سازی امنیت: بدون RTS، هر بانک یا شرکت پرداخت می‌توانست روش مخصوص خودش را اجرا کند و این باعث ایجاد نقاط ضعف متنوع می‌شد.

2. اعتمادسازی برای مشتریان: وقتی تراکنش‌ها با یک استاندارد مشترک ایمن می‌شوند، مشتری حتی اگر متوجه جزئیات نباشد، حس امنیت بیشتری دارد.

3. تسهیل همکاری بین بانک‌ها و فین‌تک‌ها: RTS زبان مشترکی می‌سازد که بر پایه آن APIها، پروتکل‌ها و ارتباطات شکل می‌گیرد.

حوزه‌های کلیدی پوشش RTS

1. Strong Customer Authentication – SCA    

  • الزام استفاده از حداقل دو عامل احراز هویت (دانش، مالکیت، ویژگی بیومتریک).
  • تعریف دقیق شرایط استثنا (مانند تراکنش‌های کم‌مقدار، تراکنش‌های دوره‌ای، یا لیست سفید فروشندگان مورد اعتماد).

2. ارتباط امن بین ارائه‌دهندگان خدمات پرداخت

  • ممنوعیت روش‌های ناامن مثل Screen Scraping.
  • الزام به رمزنگاری داده‌ها با استانداردهای روز مانند TLS 1.2 یا بالاتر.
  • طراحی APIهای استاندارد و امن برای دسترسی به اطلاعات حساب و شروع تراکنش.

3. مدیریت ریسک تراکنش‌ها (TRA)

  • استفاده از الگوریتم‌های تحلیل رفتار تراکنش برای شناسایی فعالیت‌های غیرعادی.
  • ارزیابی پویا برای تعیین نیاز یا عدم نیاز به SCA.

تفاوت SCA و RTS

  • SCA اصل الزام به احراز هویت قوی است.
  • RTS دستورالعمل گام‌به‌گام برای پیاده‌سازی آن است.

 SCA می‌گوید «در را قفل کنید»، RTS می‌گوید «این مدل قفل را استفاده کنید، این کلید را بسازید و این روش را برای باز کردن به کار ببرید».

به بیان دقیق‌تر SCA و RTS دو مفهوم کلیدی در حوزه خدمات پرداخت و امنیت دیجیتال هستند، اما اهداف و دامنه‌های متفاوتی دارند. SCA به الزامات خاصی اشاره دارد که برای احراز هویت قوی مشتریان در تراکنش‌های آنلاین تعیین شده است؛ از سوی دیگر، RTS مجموعه‌ای از استانداردهای فنی و عملیاتی است که توسط European Banking Authority – EBA تدوین شده و به‌طور خاص روش‌ها و الزامات پیاده‌سازی SCA و دیگر الزامات امنیتی تحت PSD2 را مشخص می‌کند. در نتیجه، SCA یک الزام خاص در چارچوب PSD2 است، در حالی که RTS به‌عنوان یک دستورالعمل کلی، نحوه اجرای این الزامات را تبیین می‌کند.

تأثیر RTS پس از اجرا

طبق گزارش EBA:

  • کاهش ۳۳ درصدی کلاهبرداری آنلاین در تراکنش‌های مبتنی بر کارت.
  • رشد ۲۵ درصدی اعتماد کاربران به پرداخت‌های دیجیتال.
  • تسهیل راه‌اندازی سرویس‌های Open Banking به دلیل وجود APIهای یکپارچه.

اگرچه در ابتدا بانک‌ها با تأخیر در پردازش و مشکلات فنی روبه‌رو شدند، اما در نهایت بهره‌وری و امنیت به شکل قابل‌توجهی افزایش یافت.

چالش‌ها در مسیر پیاده‌سازی

اگر چه امروزه اهمیت پیاده‌سازی RTS بر کسی پوشیده نیست، اما پیاده‌سازی آن با چالش‌هایی همراه است که در ادامه به برخی از مهم‌ترین چالش‌ها اشاره شده است.

  1. هزینه‌های بالای ارتقاء سیستم‌ها برای بانک‌ها و ارائه‌دهندگان خدمات پرداخت.
  2. کمبود زیرساخت فنی در برخی کشورها که باعث اجرای کندتر شد.
  3. نیاز به آموزش کاربران برای درک تغییرات فرآیند پرداخت.

فرصت‌ها و مزایا

فرصت‌ها و مزایای ایجاد شده توسط استانداردهای RTS در حوزه خدمات پرداخت، به‌ویژه برای بانک‌ها، فین‌تک‌ها و مشتریان، قابل توجه است.

برای بانک‌ها، این استانداردها به‌عنوان ابزاری برای ایجاد مزیت رقابتی عمل می‌کنند و امکان ارائه سرویس‌های Open Banking را فراهم می‌آورند، که به آن‌ها اجازه می‌دهد با استفاده از داده‌های مشتریان، خدمات شخصی‌سازی‌شده و نوآورانه‌تری ارائه دهند و در نتیجه، جذب و حفظ مشتریان بیشتری داشته باشند.

فین‌تک‌ها نیز با پیروی از این استانداردها می‌توانند محصولات و خدمات جدیدی را توسعه دهند و به مشتریان خود اطمینان دهند که زیرساخت‌های آن‌ها از نظر امنیتی در سطح بالایی قرار دارد، که این امر به افزایش اعتماد مشتریان و پذیرش بالاتر محصولات آن‌ها منجر می‌شود.

برای مشتریان، این تغییرات به معنای تجربه پرداختی روان‌تر و امن‌تر است، چرا که با استفاده از روش‌های احراز هویت قوی و ارتباطات ایمن، احساس امنیت بیشتری در انجام تراکنش‌های آنلاین خواهند داشت و در نتیجه، تمایل بیشتری به استفاده از خدمات دیجیتال پیدا می‌کنند.

به‌طور کلی، این استانداردها به ایجاد یک اکوسیستم مالی سالم‌تر و رقابتی‌تر کمک می‌کنند که در آن همه ذینفعان از مزایای آن بهره‌مند می‌شوند.

آینده RTS

با تغییر فناوری و افزایش تهدیدات، RTS باید به‌روزرسانی شود. پیش‌بینی می‌شود نسخه‌های آینده شامل موارد زیر باشند:

  • هوش مصنوعی پیشرفته برای تحلیل الگوهای تراکنش و کشف آنی تقلب.
  • بلاکچین برای ثبت غیرقابل تغییر تراکنش‌ها.
  • انطباق با پرداخت‌های IoT مانند خودروهای متصل یا پوشیدنی‌های هوشمند.

جمع‌بندی

RTS ستون فنی نامرئی است که امنیت و ثبات سیستم‌های پرداخت را تضمین می‌کند. این استانداردها نه تنها جلوی حملات سایبری را می‌گیرند، بلکه با ایجاد زبان مشترک، مسیر نوآوری در صنعت پرداخت را هموار می‌کنند.

امنیت واقعی زمانی است که کاربر بدون فکر کردن به آن، احساس آسودگی کند، چون پشت صحنه، چارچوب‌های قدرتمندی مانند RTS، از او محافظت می‌کنند.

منابع

eba.europa.eu/homepage
https://www.afm.nl/en/sector/themas/belangrijke-europese-wet–en-regelgeving/dora/rts-en-formulieren
https://www.openbanking.org.uk/glossary/european-banking-authority-regulatory-technical-standards/