به گزارش تحریریه، به نقل از بانک مرکزی، پیرو بخشنامه شماره 376911/00 مورخ 24/12/1400 موضوع ابلاغ «دستورالعمل حدود و چگونگی ارائه غیرحضوری خدمات پایه به ارباب رجوع در بانکها و مؤسسات اعتباری غیربانکی» مصوب جلسه مورخ 24/11/1400 شورای عالی مقابله و پیشگیری از جرائم پولشویی و تأمین مالی تروریسم، با عنایت به این که دستورالعمل مذکور صرفاً دربردارنده چارچوب و الزامات کلی حدود و نحوه ارائه غیرحضوری خدمات پایه بود، لذا ایجاب مینمود جزییات فنی و اجرایی آن به نحوی که منجر به اجرای یکنواخت مفاد دستورالعمل صدرالذکر گردد، تهیه و ابلاغ شود.
بر این اساس، "ضوابط اجرایی دستورالعمل حدود و چگونگی ارائه غیرحضوری خدمات پایه به ارباب رجوع در بانکها و مؤسسات اعتباری غیربانکی" متضمن الزامات فنی ناظر بر احراز هویت الکترونیکی، نحوه اعمال رویههای شناسایی غیرحضوری و نیز نحوه ارائه غیرحضوری خدمات پایه تهیه و پس از طرح و تصویب در جلسه مورخ 11/02/1401 کمیسیون مقررات و نظارت مؤسسات اعتباری بانک مرکزی به شبکه بانکی ابلاغ شد.
این دستورالعمل شامل (42) ماده و (7) تبصره به شرح زیر است:
با استناد به دستورالعمل حدود و چگونگی ارائه غیرحضوری خدمات پایه به اربابرجوع در بانکها و مؤسسات اعتباری غیربانکی مصوب بیست و دومین جلسه مورخ 1400/11/24 شورای عالی مقابله و پیشگیری از جرائم پولشویی و تأمین مالی تروریسم و به منظور اجرای دقیق و یکنواخت دستورالعمل مذکور توسط مؤسسات اعتباری، شرکتهای تعاونی اعتبار و شرکتهای واسپاری (لیزینگ)، ضوابط اجرایی دستورالعمل یادشده که از این پس به اختصار «ضوابط» نامیده می شود، متضمن الزامات فنی مربوط به ارائه غیرحضوری خدمات پایه به شرح زیر تدوین می شود.
فصل اول- تعاریف
ماده ۱- عباراتی که در «دستورالعمل حدود و چگونگی ارائه غیرحضوری خدمات پایه به اربابرجوع در بانکها و مؤسسات اعتباری غیربانکی» تعریف شدهاند، در این ضوابط نیز در همان معانی به کار گرفته شدهاند. همچنین در این ضوابط عبارات زیر در معانی مشروح بکار می روند:
1- دستورالعمل: دستورالعمل حدود و چگونگی ارائه غیرحضوری خدمات پایه به اربابرجوع در بانکها و مؤسسات اعتباری غیربانکی ابلاغی به موجب بخشنامه شماره 00/376911 مورخ 1400/24/12؛
2- مشتری: به شخص حقیقی یا حقوقی اطلاق میگردد که نزد مؤسسه اعتباری پرونده شناسایی دارد؛
3- متقاضی: کاربر درخواستکننده دریافت غیرحضوری خدمات پایه است که نزد مؤسسه اعتباری پرونده شناسایی ندارد یا تطابق هویت وی با مشتری برای مؤسسه اعتباری احراز نشده باشد؛
4- اعتبارنامه های تأیید هویت: ویژگی ها، مشخصه ها یا ساختار دادهای شخصی سازی شده ای هستند که توسط ارائه دهنده خدمت هویت و به منظور احراز هویت الکترونیکی متقاضی، فراهم شدهاند.
5- ارائه دهنده خدمت هویت: مرجع ملی که به عنوان «فراهم کننده خدمت اعتبارنامه» و واجد صلاحیت برای ایجاد، ثبت و مدیریت اطلاعات هویتی اشخاص میباشد. این مرجع در چارچوب قوانین و مقررات امکان صدور اعتبارنامه های تأیید هویت را دارد.
6- ارائه الکترونیکی ادعای هویت: اعلام ویژگی ها و خصوصیات شخصی توسط متقاضی به صورت الکترونیکی که در زمان اعلام آنها، اعتبارسنجی و اصالت سنجی نشده اند؛
فصل دوم- گستره شمول
ماده ۲- در این ضوابط هرگاه تکلیفی بر عهده مؤسسه اعتباری قرار گرفته، مخاطب آن علاوه بر مؤسسه اعتباری، شرکت تعاونی اعتبار و شرکت واسپاری (لیزینگ) که قصد ارائه غیرحضوری خدمات پایه به متقاضیان را دارد نیز می باشد.
ماده 3- شرکت های صرافی و صندوق های قرض الحسنه مجاز به ارائه غیرحضوری خدمات پایه به مشتریان خود نمی باشند.
ماده ۴- مؤسسه اعتباری مکلف است از ارائه غیرحضوری خدمات پایه به ارباب رجوع محجور و ارباب رجوع کمتر از (۱۸) سال تمام و بدون حکم رشد از دادگاه صالحه، خودداری نماید.
ماده 5- حدود و نحوه ارایه غیرحضوری خدمات پایه به اشخاص خارجی، تابع ضوابط اجرایی موضوع ماده (۷۳) آییننامه اجرایی ماده (۱۴) الحاقی قانون مبارزه با پولشویی و اصلاحات و الحاقات بعدی آن می باشد. تا زمان ابلاغ ضوابط مذکور، رعایت مفاد «دستورالعمل» به منظور ارائه غیرحضوری خدمات پایه به اشخاص حقیقی خارجی و نیز رعایت مفاد «دستورالعمل اجرایی افتتاح حساب سپرده ریالی برای اشخاص خارجی» مصوب یکهزار و دویست و بیست و هفتمین جلسه مورخ 1395/10/14 شورای پول و اعتبار و اصلاحیه های پس از آن و «دستورالعمل نحوه صدور کارت پرداخت ریالی برای اشخاص حقیقی خارجی» مصوب جلسه مورخ 1399/12/10 کمیسیون مقررات و نظارت مؤسسات اعتباری بانک مرکزی درخصوص حدود ارائه خدمات پایه به اشخاص حقیقی خارجی الزامی است.
فصل سوم- الزامات اختصاصی
ماده 6- مؤسسه اعتباری موظف است پیش از ارائه غیرحضوری خدمات پایه به متقاضی، به ترتیب اقدام به احراز هویت الکترونیکی و اعمال رویه های شناسایی غیرحضوری با رویکرد ریسک محور نماید.
تبصره- اعمال رویه های شناسایی غیرحضوری با رویکرد ریسک محور به متقاضیانی که پیشتر در مؤسسه اعتباری شناسایی شده اند، تسری ندارد.
1-3- نحوه احراز هویت الکترونیکی
ماده 7- مؤسسه اعتباری موظف است ابتدا سازوکار ارائه الکترونیکی ادعای هویت توسط متقاضی را فراهم نماید و سپس نسبت به احراز هویت الکترونیکی اقدام کند.
ماده 8- مؤسسه اعتباری موظف است سازوکاری را اتخاذ کند که ارائه الکترونیکی ادعای هویت توسط متقاضی، مستلزم تکمیل کلیه قسمت (فیلد)های اقلام اطلاعات پایه هویتی به شرح زیر باشد:
1-8- اشخاص حقیقی ایرانی: نام، نام خانوادگی، تاریخ تولد، شماره ملی، نام پدر، شناسه(کد)پستی محل اقامت، شماره تلفن همراه؛
2-8- اشخاص حقیقی خارجی: نام، نام خانوادگی، نام پدر، نام جد، تاریخ تولد، تابعیت، کشور محل تولد، شماره اختصاصی، نوع مدرک شناسایی، شماره مدرک شناسایی، تاریخ صدور مدرک شناسایی، تاریخ انقضای مدرک شناسایی، وضعیت اقامت در ایران(مقیم/غیرمقیم)، تاریخ اتمام اجازه اقامت در ایران، شناسه(کد)پستی محل اقامت، تاریخ ورود به کشور، شماره تلفن همراه.
تبصره۱- تکمیل قسمت (فیلد) "نام جد" فقط برای متقاضی عرب تبار الزامی است.
تبصره ۲- نوع مدرک شناسایی اشخاص حقیقی خارجی باید شامل یکی از مدارک شناسایی مورد اشاره در بخشنامه شماره 99/288747 مورخ 1399/09/11 و اصلاحات بعدی آن باشد.
ماده 9- ارائه الکترونیکی ادعای هویت باید مبتنی بر اقلام اطلاعات هویتی ضروری ارائه شده توسط متقاضی صورت پذیرد. در صورت عدم اظهار اطلاعات هویتی مذکور و یا عدم تطابق اطلاعات هویتی اظهارشده با یکدیگر، مؤسسه اعتباری مجاز به مبنا قرار دادن یک یا چند قلم اطلاعاتی، تکمیل و یا اصلاح اطلاعات و ارائه خدمت به متقاضی نمی باشد.
ماده 10- مؤسسه اعتباری موظف است پس از دریافت اطلاعات هویتی متقاضی، آنها را به طور کامل برای وی به نمایش گذارد و سپس به منظور حصول اطمینان از صحت اطلاعات مبادله شده، به صورت غیرحضوری از متقاضی تأییدیه دریافت نماید.
ماده 11- مؤسسه اعتباری موظف است قبل از بررسی انطباق ویژگی های هویتی متقاضی با استفاده از عوامل اثبات هویت، اقدام به راستی آزمایی اطلاعات هویتی از طریق سامانه ها و پایگاه های اطلاعاتی مربوط نماید.
ماده 12- راستی آزمایی اطلاعات هویتی متقاضی حسب مورد باید از طریق پایگاه های اطلاعاتی زیر انجام شوند:
1-12- اطلاعات هویتی اشخاص حقیقی ایرانی: پایگاه اطلاعات هویتی سازمان ثبت احوال کشور موضوع ماده (۱۶) آیین نامه اجرایی ماده (۱۴) الحاقی قانون مبارزه با پولشویی؛
2-12- اطلاعات هویتی اشخاص حقیقی خارجی: پایگاه اطلاعات هویتی وزارت اطلاعات موضوع ماده (21) آیین نامه اجرایی ماده (۱۴) الحاقی قانون مبارزه با پولشویی؛
ماده 13- مؤسسه اعتباری موظف است احراز هویت الکترونیکی متقاضی را بر پایه دو یا چند عامل از عوامل اثبات هویت شامل عامل مالکیت، عامل دانستنی و عامل ذاتی اعمال کند.
ماده 14- چنانچه متقاضی قبلاً در مؤسسه اعتباری دارای پرونده شناسایی نباشد، حداقل یکی از عناصر اثبات هویت غیرحضوری وی باید با اتکاء بر اطلاعات هویتی ثبت شده یا اعتبارنامه های تأیید هویت صادر شده توسط سازمان ثبت احوال کشور اصالت سنجی گردد. برای این منظور، مؤسسه اعتباری موظف است سازوکارهای زیر را مبنا قرار دهد:
1-14- احراز هویت مبتنی بر دریافت و استخراج اطلاعات هویتی الکترونیکی ذخیره شده در کارت هوشمند ملی متقاضی از قبیل تصویر چهره وی صادره توسط سازمان ثبت احوال کشور و اعتبارسنجی آن از طریق استعلام از سازمان ثبت احوال کشور؛
2-14- احراز هویت از طریق دریافت ویدئو از چهره متقاضی و اصالت سنجی انطباق کامل تصویر چهره با تصویر ثبت شده متقاضی در سامانه ثبت احوال کشور.
ماده 15- مؤسسه اعتباری مجاز است یکی از عناصر اثبات هویت غیرحضوری متقاضی را از طریق اعتبارنامه های تأیید هویت صادر شده توسط اپراتورهای مجاز تلفن همراه، مانند اعتبارسنجی مالکیت و در اختیارداشتن سیم کارت، اعتبارسنجی نماید.
ماده 16- مؤسسه اعتباری مجاز است در چارچوب ضوابط ابلاغی بانک مرکزی از جمله مفاد بخشنامه شماره 00/379511 مورخ 1400/12/28 از امضای الکترونیکی معتبر برای متقاضی به عنوان یکی از عوامل اثبات هویت غیرحضوری استفاده نماید.
تبصره- مؤسسه اعتباری موظف است از اعتبار امضای الکترونیکی به نحو مقتضی اطمینان حاصل نماید.
ماده 17- در صورت به کارگیری سازوکارهای پردازش هوشمند تصاویر در احراز هویت الکترونیکی از طریق شناسه ویدئویی، مؤسسه اعتباری موظف است برای مواقعی که سطح اطمینان بالا- 99 درصدی- و مورد انتظار از نتیجه پردازش هوشمند تصاویر حاصل نشده است، از عامل انسانی نیز به منظور بررسی و اصالت سنجی تصویر ویدئویی چهره متقاضی استفاده نماید.
ماده 18- مؤسسه اعتباری باید سازوکاری را اتخاذ نماید که پردازش تصاویر مبتنی بر هوش مصنوعی در فرآیند احراز هویت الکترونیکی از طریق شناسه ویدئویی و اصالت سنجی تصویر ویدئویی چهره متقاضی امکان تشخیص زنده و واقعی بودن چهره و هرگونه دستکاری غیرمجاز در تصاویر را فراهم کند.
ماده 19- مؤسسه اعتباری باید اطمینان یابد که سازوکار احراز هویت الکترونیکی در بردارنده تمامی اقدامات زیر است:
1-19- تعداد دفعات تلاش های ناموفق متوالی متقاضی، در مدت یکساعت نباید از سه مرتبه تجاوز کند؛
2-19- نشست های ارتباطی باید در برابر ضبط داده های اصالت سنجی منتقل شده حین احراز هویت و همچنین در برابر دستکاری توسط طرف های غیرمجاز، محافظت شوند.
ماده 20- مؤسسه اعتباری باید با انجام اقدامات اطمینانبخش، مخاطرات ناشی از آشکار شدن فرآیند احراز هویت الکترونیکی متقاضی از طریق عامل ذاتی را نزد طرف های غیرمجاز به حداقل ممکن کاهش دهد به نحوی که احتمال پذیرش هویت طرف غیرمجاز به جای مشتری و از طریق ابزارهایی که برای بررسی عامل ذاتی به اشخاص ارائه شده اند، به صفر میل نماید.
ماده 21- مؤسسه اعتباری فقط در صورتی مجاز به استفاده از عامل ذاتی در فرآیند احراز هویت الکترونیکی می باشد که اقدامات لازم در خصوص مقاوم نمودن دستگاه و نرم افزار در برابر دسترسی و به کارگیری غیرمجاز، انجام شده باشد.
ماده 22- به منظور حصول اطمینان از اجرای صحیح فرآیند احراز هویت الکترونیکی متقاضی و کاهش مخاطرات مرتبط، مؤسسه اعتباری باید ویژگی های امنیتی مناسب نظیر «مشخصات الگوریتم»، «حسگر زیست سنجی» و «ویژگی های حفاظتی الگو» را برای دستگاه یا نرم افزاری که عامل ذاتی را بررسی می کند، لحاظ نماید.
ماده 23- تمامی عناصر و اعتبارنامه های تأیید هویت متقاضی که در فرآیند احراز هویت الکترونیکی توسط مؤسسه اعتباری مورد استفاده قرار می گیرند، باید توسط دستگاه های مرتبط ارائه دهنده خدمت هویت صادر شده باشند.
ماده 24- شناسایی غیرحضوری اشخاص حقوقی، مستلزم احراز هویت الکترونیکی فرد یا افرادی است که به موجب قانون، ادعای هویت دارنده (دارندگان) امضای مجاز شخص حقوقی را دارند.
ماده 25- ارائه غیرحضوری خدمات پایه به مشتری حقوقی مستلزم احراز هویت الکترونیکی فرد یا افرادی است که به موجب پروفایل اطلاعات شناسایی مشتری حقوقی، دارنده/دارندگان امضای مجاز مشتری حقوقی می باشند.
2-3- نحوه اعمال رویه های شناسایی غیرحضوری
ماده 26- به منظور اعمال رویه های شناسایی غیرحضوری، مؤسسه اعتباری موظف است سازوکاری را اتخاذ نماید که از طی مراحل زیر اطمینان حاصل شود:
1-26- شناسایی ریسک برقراری تعامل کاری با مشتری از طریق تشکیل پروفایل ریسک
2-26- ارزیابی ریسک برقراری تعامل کاری با مشتری برپایه پروفایل ریسک وی
3-26- مدیریت ریسک برقراری تعامل کاری با مشتری از طریق اعمال یکی از رویه های شناسایی مقتضی شامل شناسایی معمول و مضاعف.
ماده ۲۷- مؤسسه اعتباری موظف است اقلام اطلاعات مورد نیاز برای تشکیل پروفایل ریسک مشتری و نیز اقلام اطلاعاتی موردنیاز برای اعمال یکی از رویه های شناسایی مقتضی را همراه با اسناد و مدارکی که امکان کسب اطمینان از اصالت اطلاعات مزبور به ویژه اطلاعات اقتصادی فراهم می کنند، حسب مورد از مشتری یا دستگاه های ذیربط اخذ نماید.
تبصره1- اقلام اطلاعات مورد نیاز برای تشکیل پروفایل ریسک به شرح مذکور در تبصره (۱) ماده (۵۲) آیین نامه اجرایی ماده (۱۴) الحاقی قانون مبارزه با پولشویی و اقلام اطلاعات مورد نیاز برای اعمال رویه های شناسایی مقتضی به شرح مذکور در مواد (۶۰) و (۶۱) آییننامه اخیرالذکر می باشد.
تبصره۲- در خصوص مشتری حقوقی، انجام تکالیف موضوع این ماده منوط به ارائه اطلاعات از سوی یکی از دارندگان امضای مجاز مشتری حقوقی و تأیید سایر آنها میباشد.
ماده 28- مؤسسه اعتباری موظف است نسبت به تعیین سطح فعالیت مشتری اقدام و خدمات مربوط را متناسب با سطح فعالیت تعیین شده ارائه نماید.
ماده 29- تصویر اسناد و مدارک مربوط به فرآیند شناسایی غیرحضوری مشتری، باید از طریق دوربین دستگاهی که برنامه کاربردی احراز هویت الکترونیکی ارائه شده توسط مؤسسه اعتباری در آن فعال میباشد، دریافت شده باشد. بارگذاری فایل عکس تصاویر مورد اشاره توسط مشتری مجاز نمی باشد.
ماده 30- مؤسسه اعتباری موظف است کلیه اقداماتی که در اجرای صحیح تکالیف شناسایی مشتریان به صورت حضوری پیشبینی نموده است را حداقل با همان سطح اطمینان در سازوکارهای فنی و فرآیندی مربوط به شناسایی غیرحضوری مشتریان نیز به کار گیرد.
ماده 31- مؤسسه اعتباری موظف است علاوه بر اعتبارسنجی سالانه مالکیت سیمکارت و تلفن همراه معرفی شده توسط مشتری، از فعال بودن و نیز در دسترسبودن آن از طریق روش هایی نظیر ارسال پیامک اطمینان حاصل نماید.
3-3- نحوه ارائه غیرحضوری خدمات پایه
ماده 32- ارائه خدمات پایه زیر به صورت غیرحضوری مجاز می باشد. ارائه سایر انواع خدمات پایه، حتی در صورت تشابه بخشی از فرآیندهای آن با خدمات مذکور در این ماده، ممنوع است.
⦁ مؤسسات اعتباری: افتتاح انواع حساب های بانکی ریالی غیر از حساب سپرده قرض الحسنه جاری؛ اعطای هرگونه ابزار پذیرش؛ اعطای انواع ابزارهای پرداخت؛ اجاره صندوق امانات؛ اعطای تسهیلات قرض الحسنه و نیز اعطای تسهیلات با موضوعات غیرتجاری به اشخاص حقیقی در زمینه هایی نظیر ساخت، خرید و یا تعمیر مسکن و یا خرید کالاهای ضروری نظیر خودرو و همچنین صدور ضمانت نامه که برای اهداف غیرتجاری مورد استفاده قرار می گیرند؛
⦁ شرکت های تعاونی اعتبار: افتتاح حساب سپرده قرض الحسنه پس انداز ریالی برای اعضاء و اعطای وام قرض الحسنه ریالی به اعضاء؛
⦁ شرکت های واسپاری (لیزینگ): اعطای تسهیلات با موضوعات غیرتجاری به اشخاص حقیقی.
ماده 33- در رابطه با ارائه خدماتی که مستلزم عقد قرارداد یا پذیرش رسمی شرایط مجاز استفاده از آنها توسط مشتری می باشند، مؤسسه اعتباری موظف است پیش از اخذ تأییدیه از مشتری نسبت به نمایش الکترونیکی پیش نویس قرارداد/ شرایط به وی اقدام نماید به نحوی که مشتری به صورت شفاف و کاملاً آگاهانه قرارداد الکترونیکی را تأیید نماید.
ماده 34- مؤسسه اعتباری موظف است قابلیت دریافت یک نسخه از تصویر و عکس امضای نوشتاری مشتری را از طریق ابزار الکترونیکی وی فراهم نماید.
ماده 35- مؤسسه اعتباری موظف است پیش از ارائه خدماتی که فهرست آن توسط بانک مرکزی اعلام خواهد شد، اعتبار شناسه شهاب مشتری را از سامانه نهاب استعلام کند.
تبصره- اجرای تکلیف موضوع این ماده در مورد مشتری شرکت واسپاری (لیزینگ) و تعاونی اعتبار تسری ندارد.
ماده 36- مؤسسه اعتباری مکلف است کنترل های لازم را به نحوی اعمال نماید تا اطمینان یابد اقدامات کافی در خصوص اشخاصی که ارائه خدمات به آنها مجاز نیست و یا با محدودیت هایی در ارائه خدمات مواجه می باشند، صورت می پذیرد.
فصل چهارم- سایر الزامات
ماده 37- موسسه اعتباری موظف است تمامی ملاحظات و الزامات فنی و امنیتی طراحی و توسعه راهکارهای احراز هویت الکترونیکی، اعمال رویه های شناسایی غیرحضوری و ارائه غیرحضوری خدمات پایه را رعایت نماید.
ماده 38- تمام مراحل شناسایی الکترونیکی و غیرحضوری متقاضی باید بر بستر کانال ارتباطی رمزنگاری شده به صورت رمزنگاری انتها به انتها صورت پذیرد.
ماده 39- کلیه اطلاعات مشتری که در فرآیند ارائه غیرحضوری خدمات پایه ایجاد و یا مبادله می شوند باید در زیرساخت های تحت مالکیت یا کنترل مؤسسه اعتباری ذخیره یا نگهداری شوند.
ماده 40- در فرآیند ارائه غیرحضوری خدمات پایه، موسسه اعتباری باید اطمینان یابد که عوامل حداقلی زیر در سازوکارهای پایش تقلب در نظر گرفته شده اند:
1-40- فهرستی از عوامل اثبات هویت سرقت شده یا به خطر افتاده
2-40- سناریوهای تقلب شناخته شده در ارائه غیرحضوری خدمات پایه
3-40- نشانه های آلودگی به بدافزار در هریک از فرآیندهای اثبات هویت غیرحضوری
4-40- کلیه رویدادانگاشت های به کارگیری ابزارهای مربوط.
ماده 41- مؤسسه اعتباری موظف است تمامی سوابق و رویدادانگاشت های هر مرتبه از اجرای الزامات مذکور در این ضوابط را ثبت و نگهداری نماید و در صورت درخواست مراجع ذیصلاح، آن سوابق را در اختیار مراجع مذکور قرار دهد.
ماده 42- مؤسسه اعتباری مکلف است امنیت فضای تولید و تبادل اطلاعات موضوع «دستورالعمل» و این ضوابط را مطابق ضوابط اعلام شده از سوی مراکز ذیربط فراهم نموده و مجوزهای لازم را اخذ کند.
ضوابط اجرایی دستورالعمل حدود و چگونگی ارائه غیرحضوری خدمات پایه به ارباب رجوع در بانک ها و مؤسسات اعتباری غیربانکی، در (۴۲) ماده و (7) تبصره در چهارمین جلسه مورخ 1401/02/11 کمیسیون مقررات و نظارت مؤسسات اعتباری بانک مرکزی مطرح و مورد تأیید قرار گرفت.
پایان/
نظر شما