احراز هویت قوی مشتری (SCA)

فهرست مطالب

وقتی امنیت و اعتماد دست به دست هم می‌دهند

کارگروه راهکارهای دیجیتال

مقدمه: از خرید اینترنتی تا ماجرای رمزهای چندمرحله‌ای

تصور کنید روزی با حال خوب و انرژی فراوان پشت لپ‌تاپ می‌نشینید و تصمیم می‌گیرید برای یکی از دوستان‌تان هدیه‌ای تهیه کنید. سبد خرید را پر می‌کنید، آدرس را وارد می‌کنید و به صفحه پرداخت می‌رسید. درست در همان لحظه که قصد دارید تراکنش را انجام دهید، سیستم از شما می‌خواهد کدی را که به تلفن همراه‌تان ارسال شده، وارد کنید. سپس شاید بخواهد اثر انگشت‌تان را نیز تأیید کند یا حتی چهره شما را از طریق دوربین بررسی نماید.

ممکن است با خود بگویید: «این همه مراحل واقعا لازم است؟» اما واقعیت آن است که همین چند ثانیه اضافه، می‌تواند جلوی از دست رفتن ماه‌ها آرامش و مقدار زیادی پول را بگیرد.

این همان جایی است که احراز هویت قوی مشتری یا Strong Customer Authentication – SCA – وارد صحنه می‌شود؛ همانند یک نگهبان حرفه‌ای که در ورودی یک ساختمان مهم ایستاده و اطمینان حاصل می‌کند که فرد واردشونده دقیقاً همان کسی است، که باید باشد.

نکته طلایی: امنیت واقعی، «زحمت کوچک» امروز، برای «آرامش بزرگ» فردا است.

SCA از کجا آمد و چرا اهمیت دارد؟

ماجرای SCA از جایی آغاز شد که پرداخت‌های آنلاین به شدت افزایش یافت و حملات سایبری نیز هم‌زمان رشد کرد. در این شرایط نیاز بود راهکاری برای مقابله با حملات سایبری و حفظ امنیت کاربران ایجاد شود. در اروپا، قانون‌گذاران به این نتیجه رسیدند که باید چارچوبی جدی برای حفاظت از مشتریان ایجاد کنند. نتیجه، دستورالعمل PSD2 بود. این قانون به بانک‌ها و شرکت‌های پرداخت اعلام کرد که برای هر تراکنش حساس باید حداقل دو عامل هویت‌سنجی مستقل استفاده شود.

در ایران نیز اگرچه نسخه‌ای دقیقاً مشابه PSD2 وجود ندارد، اما بانک مرکزی و شرکت‌های پرداخت از چند سال گذشته به سمت چندمرحله‌ای کردن احراز هویت حرکت کرده‌اند. نمونه شناخته‌شده آن، رمز پویا است که اکثر کاربران بانکی با آن آشنایی دارند.

نکته طلایی: قوانین زمانی ارزشمند هستند که هم امنیت را بالا ببرند و هم مسیر را برای مشتریان قانونی ساده‌تر کنند.

SCA دقیقاً چه می‌گوید؟

بر اساس الزامات SCA ، برای تأیید هویت مشتری باید از دو یا سه دسته متفاوت عوامل استفاده شود:

  1. چیزی که کاربر می‌داند: مانند رمز عبور یا پین‌کد.
  2. چیزی که کاربر دارد: مانند تلفن همراه، کارت بانکی یا توکن سخت‌افزاری.
  3. چیزی که کاربر هست: مانند اثرانگشت یا تشخیص چهره.

این دسته‌ها باید مستقل باشند؛ به این معنا که در صورت افشای یکی از آن‌ها، امنیت دیگری همچنان محفوظ بماند. ترکیب چند لایه امنیتی کمک می‌کند تا پیچیدگی بالاتر رود و هر چه پیچیدگی بالاتر باشد احتمال دور زدن آن پایین‌تر خواهد بود.

مثال روزمره: ورود به یک ساختمان حساس را در نظر بگیرید. نگهبان نخست از شما نام و شماره ملی را می‌پرسد (چیزی که می‌دانید)، سپس کارت شناسایی‌تان را درخواست می‌کند (چیزی که دارید) و در نهایت با دوربین چهره‌تان را بررسی می‌کند (چیزی که هستید). اگر یکی از این مراحل کامل نشود، ورود ممکن نیست.

نکته طلایی: امنیت چندلایه مانند پیاز است؛ هرچه لایه‌های بیشتری داشته باشد، اشک مهاجمان سریع‌تر جاری می‌شود.

استثناها: همیشه لازم نیست سخت گرفت

قانون‌گذاران متوجه شدند که اگر SCA برای هر پرداخت کوچک اجرا شود، کاربران خسته و فرآیند خرید دشوار می‌شود. فرض کنید هر بار که قرار است شارژ گوشی تلفن همراه بگیرید یا کرایه تاکسی خود را به صورت آنلاین پرداخت کنید یا حتی بلیط مترو را آنلاین خریداری کنید مراحل سخت شناسایی شما را خسته کنند. به همین دلیل، چند استثنا در نظر گرفته‌اند:

  • پرداخت‌های کم‌ارزش (کمتر از ۳۰ یورو یا معادل آن)
  • پرداخت‌های تکراری با گیرنده ثابت
  • تراکنش‌هایی که با استفاده از تحلیل ریسک تراکنش (TRA) امن تشخیص داده شوند

نکته طلایی: امنیت هوشمند یعنی در جایی که لازم نیست، کاربر را با قفل‌های متعدد معطل نکنیم.

چالش‌های پیاده‌سازی SCA

اجرای SCA فقط یک موضوع فنی نیست، بلکه چالش‌های دیگری نیز به همراه دارد:

  1. تجربه کاربری (UX)  :اگر فرآیند احراز هویت بیش از حد پیچیده شود، مشتری ممکن است خرید را نیمه‌کاره رها کند.
  2. هزینه‌ها: کسب‌وکارهای کوچک ممکن است توانایی تأمین هزینه‌های سخت‌افزاری یا توسعه نرم‌افزارهای پیچیده را نداشته باشند.
  3. یکپارچه‌سازی با زیرساخت‌های قدیمی: سیستم‌های قدیمی بانک‌ها مانند ساختمان‌های فرسوده‌ای هستند که افزودن آسانسور مدرن به آن‌ها دشوار است.
  4. دسترسی محدود در برخی کشورها: در مناطق در حال توسعه، همه کاربران به تلفن هوشمند یا اینترنت پایدار دسترسی ندارند.
  5. فرهنگ: شاید بتوان گفت یکی از مهم‌ترین چالش‌ها فرهنگ‌سازی استفاده از SCA باشد. این که افراد و کاربران بدانند که استفاده از چنین ساختارها و قوانینی تا چه حد می‌تواند به حفظ امنیت آن‌ها کمک کند.

نکته طلایی: امنیت زمانی موفق است که با شرایط واقعی زندگی کاربران هماهنگ باشد.

راهکارهای اجرایی و بهترین رویه‌ها

برای پیاده‌سازی موفق SCA، چند راهکار کلیدی وجود دارد:

  • معماری ماژولار: سیستم به گونه‌ای طراحی شود که بتوان فناوری‌های جدید را بدون بازطراحی کامل اضافه کرد.
  • استفاده از استانداردهای باز مانند(FIDO2 و WebAuthn) : این استانداردها قابلیت همکاری با سرویس‌ها و دستگاه‌های گوناگون را آسان می‌کنند.
  • ترکیب OTP و بیومتریک: ترکیبی که سرعت و امنیت را هم‌زمان فراهم می‌آورد.
  • تحلیل ریسک تراکنش: اجرای SCA کامل فقط برای تراکنش‌های مشکوک.
  • ادغام با اپلیکیشن‌های بانکی: تجربه کاربری بهتر و امنیت بالاتر.

نکته طلایی: امنیت را باید همانند لباس متناسب دوخت؛ نه آن‌قدر تنگ که حرکت را محدود کند و نه آن‌قدر گشاد که بی‌اثر شود.

آینده SCA

  • هوش مصنوعی: شناسایی الگوهای رفتاری کاربران و اجرای پویا و هوشمند SCA.
  • احراز هویت بدون رمز عبور: استفاده از کلیدهای عمومی و بیومتریک به جای رمزهای سنتی.
  • پرداخت‌های نوین: کیف پول‌های دیجیتال و پرداخت‌های بی‌تماس که SCA را در هسته خود دارند.

نکته طلایی: آینده امنیت جایی است که کاربر حتی متوجه نشود احراز هویت در حال انجام است، ولی امنیت او در بالاترین سطح حفظ شود.

جمع‌بندی

SCA فقط یک الزام قانونی نیست، بلکه سرمایه‌گذاری بر روی اعتماد مشتری است. اگر به‌درستی پیاده‌سازی شود، نه تنها مانع کلاه‌برداری می‌شود، بلکه به مشتری این پیام را می‌دهد که «امنیت شما برای ما اهمیت دارد.» باید گفت پیاده‌سازی و اجرای چنین سرویسی پیچیدگی‌های خاص خود را دارد اما وجود آن به مراتب بهتر از عدم وجود آن در جهت حفظ امنیت کاربران خواهد بود.

آخرین نکته طلایی: امنیت را نه به خاطر اجبار قانون، بلکه به خاطر احترام به اعتماد مشتری اجرا کنید.

منابع

https://www.mastercard.com/gateway/payment-solutions/secure-payments/strong-customer-authentication.html
https://www.mastercard.com/content/dam/public/mastercardcom/gateway/payment-solutions/Images/sca_authentication_flows_infographic_eur_sep_2019.pdf
https://www.openbanking.org.uk/glossary/strong-customer-authentication/