یادداشت محمد جعفر نعناکار، مدیرکل حقوقی سازمان فناوری اطلاعات؛

روش‌شناسی احراز هویت در سطوح مختلف

تاریخ انتشار: ۱۸ آبان ۱۳۹۸

پیش از این در پست مقدمه‌ای بر احراز هویت اشخاص (KYC) مطالبی را در خصوص اهمیت احراز هویت بیان نمودیم، در ادامه باید بیان کرد که برنامه شناسایی مشتری (CIP) یکی از مهمترین برنامه‌ها در خصوص مدیریت ریسک آن هم در مسائل مالی می‌باشد به گونه‌ای که در سراسر جهان روش‌های استانداردی برای این منظور تدوین و سطوح مختلفی را نیز برای آن در نظر گرفته شده است.

هر مقدار که تراکنش‌های مالی شخص بیشتر و یا شغل افراد مهم‌تر باشد روش‌های احراز هویت نیز می‌تواند پیچیده‌تر و صحت سنجی اطلاعات دقیق‌تر صورت بپذیرد، در هر حال اطلاعات پایه برای ایجاد یک حساب کاربری می‌تواند تنها به اخذ اطلاعات ذیل محدود گردد:

  • نام و نام خانوادگی
  • تاریح تولد
  • نشانی
  • شماره ملی

در حالی که اطلاعات فوق می‌تواند اطلاعات کافی برای احراز هویت شخص در نظر گرفته شود اما ارائه دهندگان خدمات می‌توانند از روش‌های دیگری نیز صحت اطلاعات را در یک زمان معقول مورد بررسی مجدد و اعتبار سنجی قرار دهند، به طور مثال می‌توانند اطلاعات اخذ شده را با دیگر پایگاه‌های داده مقایسه و یا به مرور اطلاعات اخذ شده را از طریق استعلام از مراجع ذی‌ربط اعتبار سنجی استعلامی نمایند.

البته باید توجه داشت برای آنکه کارها در کمترین زمان ممکن انجام شود، معمولاً با همان اطلاعات اولیه ذکر شده می‌توان مقدمات کار را فراهم اما برای ادامه فعالیت‌ها باید اطلاعات بیشتر و اعتبارات مثمر ثمر به مرور و با توجه به سطح درخواست خدمات اخذ گردد.

یکی از مهمترین عوامل برای شناخت مشتری و ارائه خدمات به وی تعیین سطح اعتبار است، اعتبار یک شخص می‌تواند از روش‌های متنوعی تامین گردد، ازجمله مقایسه بخشی از اطلاعات اخذ شده با دیگر اطلاعات موجود در پایگاه‌های داده عمومی و یا شبکه‌های تخصصی صنفی، به طور مثال در بانکداری، میتوان اعتبار شخص درخواست دهنده افتتاح حساب را از دیگر بانک‌ها استعلام نمود و میزان سطح دارایی، بدهی‌ها، تعداد و میزان تسهیلات دریافت شده، نوع و میزان ضمانت‌نامه‌های تسلیم شده و دیگر موارد را بدون جریحه‌دار شدن حریم خصوصی و تنها از طریق سطوح تعریف شده میانی دریافت و مطابق با آن اعتبار شخص را مورد سنجش میان دستگاهی قرار داد.

برای این منظور می توان سه سطح را در نظر گرفت:

  • سطح (C): در این سطح اصولاً نمی‌توان انتظار داشت که پولشویی، جرم و یا جنایت خاصی قابل اتفاق افتادن باشد، مثلاً افتتاح یک حساب کاربری، برای کارهای معمول و یا افتتاح یک حساب بانکی قرض الحسنه با مبلغی اندک بدون واریز و یا برداشت پول در مقادر بالا، در این مرحله نیاز به اعتبار سنجی به صورت جدی مد نظر نیست مگر اینکه حساب با مبالغ کم ایجاد و در اندک زمانی واریز و یا برداشت مالی غیر معمولی در آن اتفاق بیافتد. هرچند که در اینگونه حساب‌ها به محض مشاهده اتفاق غیر معمولی می‌توان حساب را معلق و اعتبارسنجی های لازم را مدنظر قرارداد.
  • سطح (B): سطح (B) به تعیین اعتباراتی اطلاق می‌شود که برای تمامی مشتریان عادی اعمال می شود، مشتریان عادی به مشتریانی گفته می شود که به صورت معمول و روزانه کارهای مشابهی را در یک بازه قابل پیش بینی انجام می‌دهند، به طور معمول ایجاد یک حساب کاربری در یک وبسایت یا ارائه دهنده خدمت و یا یک حساب بانکی دارای کارکردهای منطقی و دارای پیش بینی است که بر اساس آمار و اطلاعات سایر مشتریان می‌توان اندازه آن را مشخص نمود، در اینگونه موارد تعیین سطح اعتبار و احراز هویت نیز به صورت استاندارد و در یک بازه زمانی و عملیاتی خاص صورت می‌پذیرد و می‌توان سطح اعتبار را مشخص نمود، هرچند که در این مورد نیز مطابق سطح پیشین در صورت مشاهده عملیات خارج از عرف می‌تواند حساب را تعلیق و بررسی‌های بیشتری را مد نظر قرار داد.
  • سطح (A): در این سطح می‌توان گفت احراز هویت و تایید اعتبار از اهمیت بسیار ویژه‌ای برخوردار است، زیرا اینگونه حساب‌ها حساب‌های رسمی و ویژه‌ای هستند که می‌تواند فعالیت‌های آن، دیگر فعالیت‌های مخاطبان و استفاده کنندگان از سامانه‌‌ها را نیز متاثر و حتی منابع بسیاری را از زیرساخت های ارائه شده را به خود اختصاص دهند، این حساب‌ها به صورت رسمی و حتی سیاسی می‌تواند تاثیرات فراوانی را به دیگران تحمیل و یا حتی جامعه را با تنش و یا جنبش مواجه نماید، حساب‌های رسمی شبکه‌های اجتماعی سیاستمداران، حساب‌های بانکی تجار، شرکت‌ها و کارخانه‌های بزرگ نمونه‌هایی از اینگونه حساب‌ها است که در این سطح باید اعتبارسنجی های دقیق و احراز هویت‌های چند سطحی ملاک عمل قرار گیرد، که البته بسیار دقیق‌تر و پیچیده‌تر از روش های قبلی است.

برای اعتبار سنجی و احراز هویت (KYC) می توان الگوهای زیر را مد نظر قرارداد، نکته مهم در معماری حقوقی جاری در نظم کنونی جامعه این است که چارچوب‌های لازم در خصوص مسائل مختلف اعلام و نحوه رسیدن به نتایج بر عهده کسب و کار و یا سامانه‌های ارائه کننده خدمات گذارده می‌شود:

  • هویت و موقعیت مشتری بالقوه خود را مشخص کنید و درک درستی از نحوه فعالیت‌های آنان داشته باشید، این امر می‌تواند به شما کمک کند تا اسناد و مدارک لازم در خصوص تعیین سطح اعتبار آن‌ها را به درستی تامین نمایید.
  • هنگام تایید اعتبار و تایید هویت مشتری و ثبت اطلاعات آنها در فرم‌ها و یا پایگاه‌های داده، سعی نمایید به درستی سطح اعتبار آنها را تعیین نمایید، به گونه‌ای که دسته بندی‌های شما در خصوص نوع مشتریانتان در آینده با چالش روبرو نگردد.
  • به طور مداوم و دوره‌ای اطلاعات اخذ شده و نوع فعالیت‌های مشتریان و مخاطبان خود را بررسی نمایید، به طور معمول هر مخاطب می‌تواند به سرعت میان سطوح مختلف جابه جا شود و رده های بالاتر و اعتبارات بیشتری را برای فعالیت‌های خود اخذ نماید، پایش مداوم داده‌ها می‌تواند شما را در خصوص اعمال سطوح جدید اعتبار سنجی و تعیین اعتبار یاری رساند.

کافی نیست فقط یک بار مشتری خود را چک کنید ، باید یک برنامه برای نظارت بر مشتری خود به صورت مداوم داشته باشید. عملکرد نظارت مداوم شامل نظارت بر معاملات مالی و حسابهای مبتنی بر شاخص‌هایی است که به عنوان بخشی از سنجش ریسک مشتری ایجاد شده است.

به نظر می‌رسد برای صیانت از حقوق به طور مطلق در صورتی که شاهد فعالیت های مشکوک کاربر در سامانه‌های ایجاد شده و حساب کاربری تحت مالکیت خود بودید مراتب را به مراجع ذی‌ربط گزارش و یا به صورت اتوماسیونی محیطی را آماده نمایید که آلارم‌های مشخص به داشبوردها و مراجع تعیین شده ارسال گردد. این موارد می‌تواند شامل موارد زیر باشد:

  • آیا نوع و میزان کارکرد حساب کاربری ایجاد شده با هدف اعلام شده حساب مطابقت دارد؟
  • آیا ریسک تعیین شده برای نوع و میزان کارکرد حساب کاربری مناسب است؟
  • آیا فعالیت های انجام یافته با سطح تعیین شده مطابقت دارد؟

امیدوارم مطالب فوق مطالب لازم را در خصوص شناخت بهتر شما از شناسایی مشتری و اعتبار سنجی فراهم نموده باشد به زودی در خصوص انواع روش‌ها و چگونگی پیاده سازی روش‌ها نیز خواهم نوشت.

*محمد جعفر نعناکار، مدیرکل حقوقی سازمان فناوری اطلاعات 

درباره این مطلب دیدگاهی بنویسید...

نشانی ایمیل شما منتشر نخواهد شد.