تامر حمَّاد | تسرّعت خطى الالتزام بالحد الأدنى للمعايير المطلوبة لمواجهة سرقة بيانات أجهزة الصرف الآلي ومكافحة عمليات الغش باستخدام البطاقات المصرفية، وعلمت القبس أن بنك الكويت المركزي طلب من جميع المصارف الالتزام بما يلي: – استبدال أجهزة الصرف الآلي غير المزوّدة بأجهزة ASP وSPS، واستبدال كل الأجهزة المزودة بــIFDI بأجهزة ASP أو SPS، وذلك في موعد، غايته يونيو 2018. – إجراء الفحص العيني على كل أجهزة الصرف الآلي بمعدل مرتين في الأسبوع كحد أدنى مع تغيير أوقات الفحص. – عقد اجتماع بين البنوك في حالات الاحتيال التي تتم على 10 بطاقات أو أكثر خلال 24 ساعة لدى بنك واحد، أو بنوك متعددة، أو عند طلب أحد البنوك ذلك. – إعادة تفعيل البطاقات المصرفية من خلال قنوات البنك الآمنة مثل مركز خدمة العملاء، أو الموقع الإلكتروني، أو زيارة أحد فروع البنك، على ألا يتم تفعيل البطاقات المصرفية بشكل تلقائي في اليوم التالي. ــــ الانتهاء من التعديل على طريقة التحقق من هوية صاحب البطاقة CVM في موعد غايته يونيو 2018. وبالنسبة للبنوك التي لن تتمكن من الالتزام بذلك خلال هذه المهلة موافاة بنك الكويت المركزي بمبررات ذلك، مصحوبة بجدول زمني مناسب للانتهاء من التطبيق على الأنظمة الآلية واستبدال كل البطاقات المصرفية. ردود المصارف وكانت المصارف أعدت جملة ملاحظات وطلبات خاصة بالمعايير المقترحة والمعتمدة من قبل البنوك والجداول التنفيذية الخاصة بها، تنشرها القبس على النحو التالي: 1- أنظمة الكشف عن أعمال الغش والاحتيال نظرا لأنه لم يتم الإبلاغ عن أي محاولات ناجحة لعمليات الاحتيال على أجهزة الصراف الآلي التي تستخدم أجهزة حماية IFDI، فعليه توصي البنوك بأنه ليست هناك حاجة ملحة لاستبدال أجهزة الحماية IFDI بــ SPS أو ما يعادلها، إلا إذا كانت الأجهزة المستخدمة هي النوعية القديمة من أجهزة FDI، وفي هذه الحالة لا بد من تحديثها فورا. كما اتفقت البنوك على أنه من الآن فصاعدا عند تركيب أي جهاز صراف آلي يجب تزويده بحماية SPS أو أي أجهزة حماية مشابهة كحد أدنى من معايير الحماية المطلوبة. وأفاد بنكان كبيران بوجود قيود على تغيير برامج الحماية الموجودة بكل أجهزة الصراف الآلي لديهما لتنصيب أجهزة الحماية SPS، نظرا للأعداد الكبيرة لأجهزة الصراف الآلي لدى البنكين في الكويت، وحاجتهما إلى مزيد من الوقت قد يصل إلى عام 2020 على أقصى تقدير لتنصيب الأجهزة المذكورة، ولكن سيلتزم البنكان باستكمال هذه المعايير بأسرع ما يمكن قبل التاريخ المستهدف. بينما أكدت كل البنوك الأخرى التزامها بتنصيب الأجهزة قبل حلول شهر يونيو 2018. 2- استبدال أجهزة الصراف الآلي من نوع بيرسونا Persona اتفقت كل البنوك على أن يتم استبدال/ تطوير أجهزة الصراف الآلي من نوع بيرسونا Persona قبل حلول شهر يناير 2018. 3- الحد الأدنى من المعايير المطلوبة لبرامج الحماية ضد الفيروسات/ البرامج الخبيثة اتفقت كل البنوك على أن أي تطبيق ضد الفيروسات أو البرامج الخبيثة أو أي تحديث لبرامج الحماية الأمنية ضد التطبيقات غير المصرح بها يجب تنفيذه خلال فترة ستة أشهر من بداية الإصدار. 4- فحص أجهزة الصراف الآلي أكدت كل البنوك أن أجهزة الصراف الآلي يتم فحصها بشكل منتظم (الأجهزة الموجودة داخل الفروع وخارجها) لتجنب حدوث أي معاملات احتيالية. 5- الحاجة إلى عقد اجتماعات في حالة حدوث اختراق تتشارك البنوك في ما بينها أي معلومات خاصة بالتحذيرات والتنبيهات بشكل فعال وعلى أساس منتظم، إما عن طريق البريد الإلكتروني أو من خلال مجموعة الواتس آب الخاصة بأجهزة الصراف الآلي/ أمن البطاقات. وترى البنوك ان هذا الإجراء أكثر من كاف، وانه لا داعي لعقد اجتماع إلا إذا طلب أحد البنوك ذلك تحديداً. 6- إعادة تفعيل البطاقات اتفقت كل البنوك على تبني إجراء اعادة تفعيل البطاقة من خلال التحقق من هوية صاحب البطاقة عن طريق إحدى القنوات المستخدمة مثل «مركز خدمة العملاء، تعبئة النماذج ذات الصلة المتوافرة في الفروع، خدمة الاستعلام الصوتي IVR، وغيرها من القنوات الأخرى»، أو خلال اليوم التالي بشكل تلقائي، بشرط ان يتحقق البنك من تاريخ انتهاء البطاقة أثناء الموافقة على المعاملة. وبالإضافة إلى الموضوعات المشار إليها أعلاه، قامت البنوك أيضاً بمناقشة طريقة التحقق من هوية صاحب البطاقة CVM، وبناء عليه تقترح البنوك الآتي: 7- طريقة التحقق من هوية صاحب البطاقة CVM اتفقت البنوك على انه اعتباراً من 1 يناير 2019 فإن بطاقات الخصم الجديدة أو التي يتم اصدار بدل فاقد لها أو المجددة في تاريخ الانتهاء ستكون لها الأولوية بالنسبة إلى التحقق من الرقم السري PIN وبيانات الشريحة الذكية CHIP وذلك لكل معاملات نقاط البيع الدولية. ويرجع تحديد تاريخ 1 يناير 2019 كموعد نهائي إلى ان تعديل طريقة التحقق من هوية صاحب البطاقة CVM يتطلب من البنك إجراء تغييرات على مستوى كل من النظام التكنولوجي المتعلق بالبطاقات لدى البنك المعني Host وجهاز إعداد البيانات الشخصية للبطاقة، بالإضافة إلى القيام بإجراء الاختبارات اللازمة بشأن الموافقة على المدفوعات والاختبار التجريبي، وبعد ذلك فقط يمكن ان تتضمن الشريحة الذكية الصادرة حديثاً الاسلوب الجديد للتحقق من هوية صاحب البطاقة. ومن المعروف أن طريقة التحقق من هوية صاحب البطاقة مدمجة ضمن بيانات الشريحة الذكية، لذا فإن البطاقات الجديدة فقط الصادرة بعد تاريخ تطبيق تلك الآلية سوف تخضع للاسلوب الجديد للتحقق من هوية صاحب البطاقة. 8- أنظمة فعالة لمراقبة أعمال الغش والاحتيال اتفقت كل البنوك على أن تكون أولوية الإجراءات المتخذة بشأن التحذيرات/المراقبة الخاصة بأعمال الغش والاحتيال وفقاً لمستوى أو درجة المخاطر. 9- إدارة القوائم البيضاء White-List اتفقت كل البنوك على أن يكون استخدام «القوائم البيضاء» لتسهيل موافقة صاحب البطاقة خلال فترة محددة، مع الاستمرار في المحافظة على مستوى مراقبة المعاملة ومراقبة حد المعاملة، أي إن «القائمة البيضاء» لا تستخدم في إلغاء أو تجاوز كل اللوائح المطبّقة. 10- الأسئلة الأمنية الخاصة بمركز خدمة العملاء اتفقت كل البنوك على أنه في حال اتصال العميل بموظف مركز خدمة العملاء من دون التحقق من هويته، يتعين على العميل أن يرد على اثنين من الاسئلة الأمنية بشكل صحيح ــ إذا انطبق ذلك ــ بالإضافة الى اي إجراءات أخرى موجودة حاليا، قبل تقديم أي خدمة للعميل، مثلا: ــــ يرجى تزويدنا بالرصيد الحالي لحسابك أو لبطاقتك او حد البطاقة الائتمانية. ــــ يرجى تزويدنا بآخر معاملة تمت على حسابك أو على بطاقتك. ــــ كم عدد البطاقات المرتبطة بهذا الحساب؟ (سواء كانت بطاقات ائتمانية أو المسبقة الدفع أو المرتبطة بالحساب). ــــ الطلب من العميل تقديم تفاصيل عن معاملة محددة يختارها موظف مركز خدمة العملاء (إما من معاملات البطاقة الائتمانية وإما البطاقة المسبقة الدفع أو الحساب). ملاحظة: بالنسبة الى البطاقات المحجوزة باعتبارها مفقودة/ مسروقة، يجب استبعاد الاسئلة الأمنية أعلاه، بالنسبة الى المكالمات التي لا يتم فيها التحقق من هوية العميل، والتي تتعلق بالإبلاغ عن إيقاف بطاقة مفقودة/ مسروقة، حيث ان المتصل لا يكون على الأغلب هو صاحب البطاقة، وبالتالي يجب إيقاف البطاقة لتجنّب حدوث أي معاملات غش او احتيال على الحساب/ البطاقة الائتمانية. 11- تسليم البطاقة الائتمانية والبطاقة مدينة (بطاقة الخصم الفوري) اتفقت البنوك بشأن عدم إرسال أي بطاقات مدينة (بطاقات خصم فوري) مفعلة active (بطاقات جديدة او بطاقات بدل فاقد او بطاقات مجددة). وأكدت كل البنوك ضرورة إرسال البطاقات الائتمانية الجديدة والبطاقات بدل فاقد من دون تفعيل، وستقوم البنوك (ما عدا بنكا واحدا كبيراً) قبل نهاية الربع الأول لعام 2018 بإرسال البطاقات الائتمانية من دون تفعيل. وفي ما يتعلق بإصدار البطاقات من دون تفعيل/ في حالة تفعيل بالنسبة الى بنك (..) فسيقوم البنك بإرسال خطاب فردي الى بنك الكويت المركزي بخصوص تسليم البطاقات الائتمانية/ البطاقات المدينة في حالة «تفعيل». 12- تفعيل البطاقة بعد 3 محاولات خاطئة لإدخال الرقم السري اتفقت كل البنوك بشأن تبنّي إجراء إعادة تفعيل البطاقة، من خلال التحقق من هوية صاحب البطاقة عن طريق القنوات المستخدمة، (مثل: مركز خدمة العملاء، أو أجهزة الفرع، او خدمة الاستعلام الصوتي IVR، الخ) او خلال اليوم التالي بشكل آليّ، بشرط أن يتحقّق البنك من تاريخ انتهاء البطاقة أثناء الموافقة على المعاملة.
مشاركة :