ببصمة العين والصوت.. تفاصيل ترميز البطاقات البنكية في مصر
كشف البنك المركزي المصري، تفاصيل وضوابط خدمة ترميز بطاقات الدفع الإلكترونية البنكية على تطبيقات الأجهزة الإلكترونية داخل مصر، التي تم إطلاقها اليوم الاثنين، بصورة تجريبية مع أحد البنوك.
خدمة ترميز البطاقات بين البنوك والشبكات
وأوضح البنك في كتاب دوري عن التعليمات والقواعد المنظمة لخدمة ترميز البطاقات على تطبيقات الأجهزة الإلكترونية داخل مصر، أنه يتم حاليًّا عمليات الربط الفني بين البنوك والشبكات صاحبة علامة القبول.
وأضاف أن يأتي ذلك في إطار الجهود المبذولة من البنك المركزي المصري لتنفيذ أهداف المجلس القومي للمدفوعات لتحفيز استخدام وسائل الدفع غير النقدي.
وذكر البنك المركزي المصري في الكتاب الدوري الأولي الصادر في مارس 2023 عن ضوابط خدمة ترميز البطاقات البنكية، أن وسائل التحقق من حامل البطاقة على الأجهزة الإلكترونية هي الوسائل التالية أو أحد بدائلها، سواء رقم التعريف الشخصي للجهاز من قبل المستخدم أو الرقم السري الذي أنشأه صاحب الحساب أو الخصائص الحيوية مثل بصمة العين أو الوجه أو الإصبع أو الصوت، وتوفير إمكانية الاتصال القريب من خلال بروتوكولات التواصل الرقمية في نطاق 4 سم.
ترميز البطاقات البنكية في مصر
وذكر المركزي المصري أن القواعد المنظمة لخدمات ترميز البطاقات على تطبيقات الأجهزة الإلكترونية داخل جمهورية مصر العربية، تهدف إلى تحديد إطار عمل البنوك وكافة الأطراف المشاركة في البنية التحتية لتقديم خدمات ترميز بطاقات الدفع الإلكترونية، وذلك لإتاحة أقصى قدر من المرونة والأمان وتقديم الخدمات المصرفية الملائمة لكافة فئات المجتمع، بهدف نشر وسائل الدفع الإلكترونية وتحقيق الشمول المالي.
وأضاف أن التطبيقات الإلكترونية لمصنعي الأجهزة، التي تعمل عليها البطاقات، هي تطبيقات ترميز البطاقات التي يتم إصدارها من جانب مصنعي الأجهزة الإلكترونية على الذكية مثل Apple Pay، Google Pay، Samsung Pay على سبيل المثال لا الحصر.
الضوابط الرقابية لإدارة خدمات ترميز البطاقات على تطبيقات الأجهزة الإلكترونية:
- يتضمن تقديم خدمات ترميز البطاقات على تطبيقات الأجهزة الإلكترونية تداول بيانات سرية عبر تطبيقات ترميز البطاقات على الأجهزة الإلكترونية والشبكة الداخلية للبنك، لذلك يجب على البنوك ومقدمي خدمات الترميز استخدام الأساليب المناسبة للحفاظ على سرية وسلامة المعلومات المتداولة عبر الشبكة الداخلية والخارجية للبنك، وذلك بما يتوافق مع متطلبات تأمين بيانات بطاقات الدفع الإلكترونية وكذا التعليمات الصادرة من جانب البنك المركزي المصري.
- يجب على البنوك ومقدمي خدمات الترميز اختيار تكنولوجيا التشفير التي تتناسب مع حساسية وأهمية المعلومات وكذا درجة الحماية المطلوبة، وفي هذا السياق يوصى دائما بتبني البنوك لتكنولوجيا التشفير التي تستخدم طرق التشفير المتعارف عليها دوليًا، حيث تخضع نقاط القوة في هذه الطرق لاختبارات شاملة.
- وينبغي أن تطبق البنوك الممارسات السليمة لإدارة مفاتيح التشفير اللازمة لحماية هذه المفاتيح وذلك بما يتوافق مع متطلبات تأمين بيانات بطاقات الدفع الإلكترونية، وكذا التعليمات الصادرة من جانب البنك المركزي المصري.
- يجب الحد من تخزين بيانات على الذاكرة الداخلية للهاتف المحمول، وفي حالة الاحتفاظ بأي بيانات على الهاتف المحمول، للضرورة القصوى يجب استخدام الوسائل المناسبة لحماية ما تم تخزينه.
عمليات تأمين المدفوعات الرقمية:
- يجب بأن يقوم تطبيق الهاتف المحمول بتنفيذ آليات كشف كافية تضمن ان الهاتف المحمول ليس عرضة للمخاطر مثل Jailbroken Rooted على أن تتضمن إجراءات تأمين التطبيقات على سبيل المثال لا الحصر:
- أن يطلب التطبيق الحد الأدنى من مجموعة الصلاحيات المطلوبة.
- حفظ مفاتيح تشفير التطبيق على الأجهزة الذكية بشكل آمن.
- أن تكون حزمة التطبيق موقعة رقميًا.
- استخدام التطبيق لقناة اتصال آمنة مثل استخدام Certificate SSL pinning مع التأكد من أن مفاتيح التشفير مدمجة داخل التطبيق ألا يخزن التطبيق أي معلومات على الجهاز تتعلق بمعاملات الدفع أو بيانات العميل بخلاف البيانات اللازمة لعمل التطبيق.
- ألا يقوم التطبيق بتخزين بيانات تسجيل الدخول وإعادة استخدامها ( Back-end (Authentication Required
- عدم السماح بتثبيت التطبيقات على أنظمة تشغيل قديمة أو منتهية الصلاحية.
- يجب أن يتم حماية تطبيقات الهاتف المحمول ضد أي لقطات تلقائية Screenshots والتي يمكن أن تتم عن طريق برامج تجسس تعمل على نفس جهاز الهاتف المحمول حال وجود إمكانية فنية لتطبيقه.
- ألا يتم اتصال أنظمة البنك المشاركة في خدمات ترميز البطاقات بالشبكة العالمية (الإنترنت) أو أي من الشبكات غير المعتمدة دون الحصول على موافقة البنك المركزي المصري.
- ينبغي على البنك ومقدمي خدمات الترميز تطبيق سياسة الفصل بين المهام والرقابة الثنائية للتأكد من عدم إمكانية قيام أي موظف داخل البنك بأي عمل غير مصرح له وإخفائه، ويتضمن هذا على سبيل المثال لا الحصر، إدارة حساب المستخدم وتنفيذ المعاملات وحفظ وإدارة مفاتيح الشفرة الخاصة بالنظام وإدارة النظام System Administration وتشغيلهSystem Operations.