طبق نتایج حاصل از پیمایش های بین المللی، در این برهه، نگرانی اصلی مقام ناظر، مخاطرات امنیتی ناشی از به کارگیری روز افزون این خدمات است. اثربخش ترین راهکار برای کاهش چنین مخاطراتی، بهکارگیری مقرراتی است که ضمن کمک به ظهور نوآوری ها و فناوری های مالی در راستای ارتقاء کیفیت خدمات ارائه شده به عموم، مخاطرات امنیت اطلاعات مشتری و حفاظت از مصرف کنندگان را کاهش دهد.
در این میان، احراز هویت صحیح مشتریان خدمات مالی و مجازشماری این خدمات، سازوکاری اثربخش برای برآورده ساختن اهداف محرمانگی و صحت اطلاعات مشتریان است و می تواند مخاطرات بانکداری باز و دسترسی فناوران مالی به واسطه ای ارتباطی را نیز کاهش دهد، بهاینترتیب که ارائه خدمات مجاز توسط طرف سوم مجاز انجام شود درحالیکه مسئولیت ایجاد، نگهداشت و راستی آزمایی اعتبارنامه های امنیتی شخصی نزد بانک ها و مؤسسات اعتباری باقی بماند.
شرکت کاشف در راستای ماموریت خود و همچنین پاسخ بهنگام به نگرانی های یادشده، با بهره گیری از روش های بینالمللی و نظرات خبرگان اقدام به تدوین «الزامات احراز هویت قوی مشتریان و ارتباطات امن در بانکداری باز» کرده است. این الزامات شامل چهار بخش اصلی زیر است:
۱) الزامات احراز هویت قوی مشتریان
۲) امنیت اعتبارنامه های امنیتی شخصی
۳) شرایط معافیت احراز هویت قوی مشتری
۴) الزامات بانک ها و مؤسسات اعتباری برای ارائه واسط ها به فناوران مالی است
احراز هویت قوی مشتریان عبارت است از بهکارگیری دو یا چند عامل در دستههای دانستنی (آنچه تنها کاربر میداند)، داشتنی (آنچه تنها کاربر دارد) و ویژگی ذاتی (آنچه کاربر هست). این عوامل از یکدیگر مستقل هستند بهگونهای که افشای یکی، قابلیت اطمینان دیگری را به خطر نمیاندازد و به نحوی طراحیشدهاند که از محرمانگی و صحت دادههای احراز هویت حفاظت شود. مطابق این الزامات، احراز هویت قوی مشتریان، باید در موارد ذیل انجام گیرد:
الف) دسترسی برخط به حساب بانکی
ب) آغاز تراکنش پرداخت الکترونیکی
ج) انجام هرگونه اقدام دیگری که از طریق کانالی از راه دور انجام میپذیرد و ممکن است منجر به مخاطره تقلب یا سوءاستفاده شود
همچنین مؤسسات اعتباری باید عوامل مخاطره محور را پایش کنند و به موجب آن رخدادهای امنیتی و تقلب های کشف شده را به شرکت کاشف گزارش کنند.
یکی از مباحث مهم در الزامات احراز هویت قوی مشتریان، «کد اصالت سنجی» است؛ که در نتیجه احراز هویت چندعاملی و تحت شرایطی امن، تولید می شود. به دلیل ماهیت پرمخاطره تراکنشهای پرداخت الکترونیکی از راه دور، الزامی مازاد برای این دسته از تراکنشها تحت عنوان «پیوندزنی پویا» در نظر گرفته شده است.
مطابق این الزام کد اصالت سنجی بایستی با «مبلغ» و «گیرنده» تراکنش متمایز شود و به تأیید پرداخت کننده برسد.
عواملی که به عنوان عامل دانستنی، داشتنی و ویژگی ذاتی برای احرازهویت به کار می روند بایستی حائز شرایطی امنیتی باشند و همچنین الزامات استقلال عوامل احرازهویت را برآورده کنند به گونه ای که افشای یکی از عوامل، قابلیت اطمینان عوامل دیگر را به خطر نیندازد.
بخشی از الزامات احرازهویت قوی مشتریان، معطوف به امنیت اعتبارنامه های امنیتی شخصی است که به منظور احراز هویت برای کاربران فراهم شده است. هدف از این بخش، اطمینان از محرمانگی، صحت و تمامیت اعتبارنامه های کاربران هنگام ایجاد، انتقال، تخصیص، تحویل، تجدید، امحاء، غیر فعالسازی و ابطال است.
با رویکرد تناسب میان مخاطره و سهولت کاربری، الزامات یادشده، دربردارنده معافیت هایی از احراز هویت قوی مشتریان است. بر این اساس، در صورت انطباق با الزامات پایش تراکنش، دسترسی به اطلاعات حساب بانکی، تراکنش های پرداخت خرد، پرداخت به افراد مورد اعتماد پرداخت کننده، تراکنش های تکراری، انتقال وجه میان حساب های متعلق به یک شخص، پروتکل ها و فرآیندهای امن پرداخت شرکتی و تراکنش های کم مخاطره می توانند از احراز هویت قوی معاف شوند.