پیش از این در پست مقدمهای بر احراز هویت اشخاص (KYC) مطالبی را در خصوص اهمیت احراز هویت بیان نمودیم، در ادامه باید بیان کرد که برنامه شناسایی مشتری (CIP) یکی از مهمترین برنامهها در خصوص مدیریت ریسک آن هم در مسائل مالی میباشد به گونهای که در سراسر جهان روشهای استانداردی برای این منظور تدوین و سطوح مختلفی را نیز برای آن در نظر گرفته شده است.
هر مقدار که تراکنشهای مالی شخص بیشتر و یا شغل افراد مهمتر باشد روشهای احراز هویت نیز میتواند پیچیدهتر و صحت سنجی اطلاعات دقیقتر صورت بپذیرد، در هر حال اطلاعات پایه برای ایجاد یک حساب کاربری میتواند تنها به اخذ اطلاعات ذیل محدود گردد:
- نام و نام خانوادگی
- تاریح تولد
- نشانی
- شماره ملی
در حالی که اطلاعات فوق میتواند اطلاعات کافی برای احراز هویت شخص در نظر گرفته شود اما ارائه دهندگان خدمات میتوانند از روشهای دیگری نیز صحت اطلاعات را در یک زمان معقول مورد بررسی مجدد و اعتبار سنجی قرار دهند، به طور مثال میتوانند اطلاعات اخذ شده را با دیگر پایگاههای داده مقایسه و یا به مرور اطلاعات اخذ شده را از طریق استعلام از مراجع ذیربط اعتبار سنجی استعلامی نمایند.
البته باید توجه داشت برای آنکه کارها در کمترین زمان ممکن انجام شود، معمولاً با همان اطلاعات اولیه ذکر شده میتوان مقدمات کار را فراهم اما برای ادامه فعالیتها باید اطلاعات بیشتر و اعتبارات مثمر ثمر به مرور و با توجه به سطح درخواست خدمات اخذ گردد.
یکی از مهمترین عوامل برای شناخت مشتری و ارائه خدمات به وی تعیین سطح اعتبار است، اعتبار یک شخص میتواند از روشهای متنوعی تامین گردد، ازجمله مقایسه بخشی از اطلاعات اخذ شده با دیگر اطلاعات موجود در پایگاههای داده عمومی و یا شبکههای تخصصی صنفی، به طور مثال در بانکداری، میتوان اعتبار شخص درخواست دهنده افتتاح حساب را از دیگر بانکها استعلام نمود و میزان سطح دارایی، بدهیها، تعداد و میزان تسهیلات دریافت شده، نوع و میزان ضمانتنامههای تسلیم شده و دیگر موارد را بدون جریحهدار شدن حریم خصوصی و تنها از طریق سطوح تعریف شده میانی دریافت و مطابق با آن اعتبار شخص را مورد سنجش میان دستگاهی قرار داد.
برای این منظور می توان سه سطح را در نظر گرفت:
- سطح (C): در این سطح اصولاً نمیتوان انتظار داشت که پولشویی، جرم و یا جنایت خاصی قابل اتفاق افتادن باشد، مثلاً افتتاح یک حساب کاربری، برای کارهای معمول و یا افتتاح یک حساب بانکی قرض الحسنه با مبلغی اندک بدون واریز و یا برداشت پول در مقادر بالا، در این مرحله نیاز به اعتبار سنجی به صورت جدی مد نظر نیست مگر اینکه حساب با مبالغ کم ایجاد و در اندک زمانی واریز و یا برداشت مالی غیر معمولی در آن اتفاق بیافتد. هرچند که در اینگونه حسابها به محض مشاهده اتفاق غیر معمولی میتوان حساب را معلق و اعتبارسنجی های لازم را مدنظر قرارداد.
- سطح (B): سطح (B) به تعیین اعتباراتی اطلاق میشود که برای تمامی مشتریان عادی اعمال می شود، مشتریان عادی به مشتریانی گفته می شود که به صورت معمول و روزانه کارهای مشابهی را در یک بازه قابل پیش بینی انجام میدهند، به طور معمول ایجاد یک حساب کاربری در یک وبسایت یا ارائه دهنده خدمت و یا یک حساب بانکی دارای کارکردهای منطقی و دارای پیش بینی است که بر اساس آمار و اطلاعات سایر مشتریان میتوان اندازه آن را مشخص نمود، در اینگونه موارد تعیین سطح اعتبار و احراز هویت نیز به صورت استاندارد و در یک بازه زمانی و عملیاتی خاص صورت میپذیرد و میتوان سطح اعتبار را مشخص نمود، هرچند که در این مورد نیز مطابق سطح پیشین در صورت مشاهده عملیات خارج از عرف میتواند حساب را تعلیق و بررسیهای بیشتری را مد نظر قرار داد.
- سطح (A): در این سطح میتوان گفت احراز هویت و تایید اعتبار از اهمیت بسیار ویژهای برخوردار است، زیرا اینگونه حسابها حسابهای رسمی و ویژهای هستند که میتواند فعالیتهای آن، دیگر فعالیتهای مخاطبان و استفاده کنندگان از سامانهها را نیز متاثر و حتی منابع بسیاری را از زیرساخت های ارائه شده را به خود اختصاص دهند، این حسابها به صورت رسمی و حتی سیاسی میتواند تاثیرات فراوانی را به دیگران تحمیل و یا حتی جامعه را با تنش و یا جنبش مواجه نماید، حسابهای رسمی شبکههای اجتماعی سیاستمداران، حسابهای بانکی تجار، شرکتها و کارخانههای بزرگ نمونههایی از اینگونه حسابها است که در این سطح باید اعتبارسنجی های دقیق و احراز هویتهای چند سطحی ملاک عمل قرار گیرد، که البته بسیار دقیقتر و پیچیدهتر از روش های قبلی است.
برای اعتبار سنجی و احراز هویت (KYC) می توان الگوهای زیر را مد نظر قرارداد، نکته مهم در معماری حقوقی جاری در نظم کنونی جامعه این است که چارچوبهای لازم در خصوص مسائل مختلف اعلام و نحوه رسیدن به نتایج بر عهده کسب و کار و یا سامانههای ارائه کننده خدمات گذارده میشود:
- هویت و موقعیت مشتری بالقوه خود را مشخص کنید و درک درستی از نحوه فعالیتهای آنان داشته باشید، این امر میتواند به شما کمک کند تا اسناد و مدارک لازم در خصوص تعیین سطح اعتبار آنها را به درستی تامین نمایید.
- هنگام تایید اعتبار و تایید هویت مشتری و ثبت اطلاعات آنها در فرمها و یا پایگاههای داده، سعی نمایید به درستی سطح اعتبار آنها را تعیین نمایید، به گونهای که دسته بندیهای شما در خصوص نوع مشتریانتان در آینده با چالش روبرو نگردد.
- به طور مداوم و دورهای اطلاعات اخذ شده و نوع فعالیتهای مشتریان و مخاطبان خود را بررسی نمایید، به طور معمول هر مخاطب میتواند به سرعت میان سطوح مختلف جابه جا شود و رده های بالاتر و اعتبارات بیشتری را برای فعالیتهای خود اخذ نماید، پایش مداوم دادهها میتواند شما را در خصوص اعمال سطوح جدید اعتبار سنجی و تعیین اعتبار یاری رساند.
کافی نیست فقط یک بار مشتری خود را چک کنید ، باید یک برنامه برای نظارت بر مشتری خود به صورت مداوم داشته باشید. عملکرد نظارت مداوم شامل نظارت بر معاملات مالی و حسابهای مبتنی بر شاخصهایی است که به عنوان بخشی از سنجش ریسک مشتری ایجاد شده است.
به نظر میرسد برای صیانت از حقوق به طور مطلق در صورتی که شاهد فعالیت های مشکوک کاربر در سامانههای ایجاد شده و حساب کاربری تحت مالکیت خود بودید مراتب را به مراجع ذیربط گزارش و یا به صورت اتوماسیونی محیطی را آماده نمایید که آلارمهای مشخص به داشبوردها و مراجع تعیین شده ارسال گردد. این موارد میتواند شامل موارد زیر باشد:
- آیا نوع و میزان کارکرد حساب کاربری ایجاد شده با هدف اعلام شده حساب مطابقت دارد؟
- آیا ریسک تعیین شده برای نوع و میزان کارکرد حساب کاربری مناسب است؟
- آیا فعالیت های انجام یافته با سطح تعیین شده مطابقت دارد؟
امیدوارم مطالب فوق مطالب لازم را در خصوص شناخت بهتر شما از شناسایی مشتری و اعتبار سنجی فراهم نموده باشد به زودی در خصوص انواع روشها و چگونگی پیاده سازی روشها نیز خواهم نوشت.
*محمد جعفر نعناکار، مدیرکل حقوقی سازمان فناوری اطلاعات