دستورالعمل اصلاح شده خدمات پرداخت مجموعه قوانین و مقررات مربوط به خدمات پرداخت در اتحادیه اروپا و منطقه اقتصادی اروپا (EEA) است. این مجموعه قوانین به دنبال ایجاد امنیت بیشتر در پرداختها در اروپا، تقویت نوآوری و کمک به خدمات بانکی برای انطباق با فناوریهای جدید است. دستورالعمل اصلاح شده خدمات پرداخت گواهی بر اهمیت روزافزونی است که رابطهای برنامهنویسی کاربردی در بخشهای مختلف صنعت مالی در حال کسب کردن هستند.
همه چیز در سال 2007، با دستورالعمل ارائه دهندگان خدمات پرداخت (PSD) آغاز شد، که با هدف کمک به توسعه بازار واحد پرداخت در اتحادیه اروپا به منظور ارتقا نوآوری، رقابت و کارایی در اتحادیه اروپا تدوین شد. در سال 2013، کمیسیون اروپا اصلاحیهای را پیشنهاد کرد (که دلیل وجود عدد دو در نام PSD2 میباشد)، که هدف آن پیشرفت در این اهداف است. این اصلاحیه به دنبال بهبود حمایت از مصرفکننده، تقویت رقابت و نوآوری در صنعت مالی و تقویت امنیت در بازار پرداختها است که انتظار میرود توسعه روشهای جدید پرداخت و تجارت الکترونیکی را تسهیل کند.
پارلمان اروپا آیین نامه عمومی حفاظت از دادهها (GDPR) را در آوریل سال 2016 تصویب کرد که جایگزین دستورالعمل منسوخ شده محافظت از دادهها مصوبه سال 1995 شد. آییننامه عمومی حفاظت از دادهها مقرراتی را دربرمی گیرد که به واسطه آنها کسبوکارها ملزم به محافظت از اطلاعات شخصی و حریم خصوصی شهروندان اتحادیه اروپا در انجام تراکنشها در داخل کشورهای عضو اتحادیه اروپا میشوند. آییننامه عمومی حفاظت از دادهها همچنین صادرات دادههای شخصی مصرفکنندگان به خارج از اتحادیه را شامل میشود.
دستورالعمل اصلاح شده خدمات پرداخت و آییننامه عمومی حفاظت از دادهها هر دو مجموعه قوانین پیچیده هستند و رابطه بین مقررات متمایز هر کدام و نحوه کار آنها با هم هنوز به طور کامل مشخص نیست، که این امر منجر به سردرگمی در بین ارائهدهندگان خدمات پرداخت (به عنوان مثال: بانکها، شرکتهای پرداخت مستقل، موسسات شروعکننده پرداخت و ارائهدهندگان خدمات اطلاعات حساب) شده است.
پیاده سازی استانداردی همانند دستورالعمل اصلاح شده خدمات پرداخت در ایران با پیچیدگیهایی همراه است که نیازمند فهم درست از دستورالعمل اصلاح شده خدمات پرداخت و آییننامه عمومی حفاظت از دادهها، شرایط موجود و همچنین استراتژیها و گزینه های مناسب برای پیاده سازی موفقیت آمیز استاندارد میباشد.
دستورالعمل اصلاح شده خدمات پرداخت طیف وسیعی از فعالان بازار پرداخت از جمله تأمین کنندگان خدمات پرداخت (PSP)، بانکها، موسسات فعال در حوزه پرداخت، موسسات ارائهدهنده خدمات در حوزه پول الکترونیکی، کسبوکارها و مشتریان آنها را تحت تأثیر قرار خواهد داد. دستورالعمل اصلاح شده خدمات پرداخت همچنین به منظور بهبود حمایت از مصرفکننده، ایجاد فضای پرداخت امنتر و کاهش هزینههای مربوط به ارائه خدمات پرداخت تدوین شده است. این مقاله با نگرش بومیسازی استاندارد PSD2 با دو نگرش فنی و کسب و کاری تهیه شده است.
در فضای پویای تجارت امروز، نهادهای نظارتی در حوزه بانکداری، در حال برداشتن گامهایی مبتکرانه جهت ارائه دسترسی و شفافیت بیشتر به اطلاعات مشتریان میباشند و این امر تلاشی است در جهت تحریک رقابت و نوآوری برای ارائه یک تجربه بانکداری مشتری محور دلچسب. درحالی که بانکها در گذشته به اطلاعات مشتریان دسترسی انحصاری داشتند، مقررات جدید الزامات بیشتری را به بانکها دیکته میکند تا از طریق کانالهای دیجیتال، اطلاعات مشتریان را برای شرکتهای شخص ثالث قابل دسترس نماید.
با الزام بانکها برای شکستن دسترسی انحصاریشان به مکانیزمهای پرداخت، شرکتهای نوپا، تجمیعكنندگان و سایر شرکتهای فعال در این حوزه توان این را یافتند تا ضمن کاهش هزینهها، خدمات مشتریان را بهبود داده و فنآوریهای نوآورانهتری را توسعه دهند.
در اتحادیه اروپا، دستورالعمل اصلاح شده خدمات پرداخت (PSD2)، از بانکها میخواهد تا دسترسی به سرویسهای پایه خود را برای ارائه خدمات در حوزه اطلاعات حساب و شروع پرداخت از طریق واسطهای برنامهنویسی کاربردی برای شرکتهای بیرونی فراهم آورند. در انگلستان، سازمان پول و رقابت(CMA)، دستورکار مشابهی را برای نه بانک بزرگ در انگلستان الزام کرده تا دسترسی به کلیه حسابهای پرداخت را برای شرکتهای شخص ثالث فراهم آورند. همزمان با فراهم آوردن دسترسی به اطلاعات مشتریان، اتحادیه اروپا مقررات مربوط به حریم خصوصی دادهها (GDPR) را با هدف ارائه رهنمودهایی در خصوص حقوق مصرفکنندگان در رابطه با نحوه استفاده از اطلاعات و چگونگی محافظت از اطلاعات مشتریان معرفی نموده است.
بانکداری باز، فراهم آوردن دسترسی شرکتهای شخص ثالث به اطلاعات مشتری و حساب، با استفاده از واسطهای برنامهنویسی کاربردی باز میباشد. مشتریان، به عنوان صاحبان اطلاعات خود که توسط موسسات مالی به نیابت از مشتری و به صورت حضانتی نگهداری میشوند، قادر خواهند بود تا دسترسی اطلاعات خود را به موسسات شخص ثالث مدیریت نمایند. در استرالیا، برای نمونه، دولت اخیراً از تصویب توصیههای ارائه شده در گزارش فارل خبر داد که رویکرد مشابهی را در رابطه با دسترسی به دادههای بانکی ارائه داده است، اما با دامنه تاثیرگذاری گسترده تر از آنچه در دستورالعمل اصلاح شده خدمات پرداخت پذیرفته شده است. در حمایت از پیشرفت بانکداری باز در استرالیا، دولت، سازمان حقوق داده مصرف کننده (CDR) را تاسیس کرد که به طور رسمی، مالکیت دادههای مصرفکنندگان را به خودشان میدهد و ابزاری را برای مدیریت استفاده از دادهها با روشی یکپارچه، ساده و ایمن ارائه میدهد. از این طریق به صورت ریشهای بسیاری از موانع موجود در مسیر انتقال حسابها و تسهیلات بین موسسات مالی از بین میرود. این اقدام در عمل اصطکاک را در بانکداری، مشابه با قابلیت رومینگ و ترابرد در صنعت ارتباطات از بین میبرد. بانکداری باز به عنوان یک تحول در صنعت بانکداری، ارزش پیشنهادی ارائه شده به مشتریان را با شفافسازی خواسته های واقعی مصرف کنندگان می سنجد. در نتیجه، این امر به صورت غیرقابل اجتناب بر هزینه مصرفکننده و رفتار مصرف تاثیر خواهد گذاشت. به بیان ساده تر بانکداری باز نیاز مشتری را با ارزش پشنهادی ارائه شده به مشتری تطابق میدهد.
نتیجه اصلی این امر دسترسی به اطلاعاتی است که قبلاً فقط از طریق کانالهای بانکی در دسترس بوده و در صورت اجازه مشتری برای موسسات شخص ثالث اعتبارسنجیشده در دسترس خواهد بود. در برخی موارد، این کار در گذشته نیز توسط تجمیعکنندگان اطلاعات (مانند ارائه دهندگان ابزارهای مدیریت مالی شخصی) صورت میگرفت که از فناوریهای Screen Scraping استفاده میکنند با تکیه بر اشتراکگذاری مجوز دسترسی به اطلاعات اینترنت بانک مشتری. با این حال، نگرانیهای مربوط به امنیت مصرفکننده، رشد استفاده از این روش را محدود میکند. ارائه مکانیزمی امن و مطمئن برای مصرفکنندگان به منظور تعیین اینکه کدام دادهها به اشتراک گذاشته شوند، و این دادهها با چه کسانی به اشتراک گذاشته شوند و تعیین مدت زمان اشتراکگذاری داده ها، احتمالاً باعث افزایش قابل توجه پذیرش این روش خواهد شد. ارائه اطلاعات مشتری باید به گونهای صورت گیرد تا از موافقت کاملا آگاهانه مشتری و حفاظت از حریم خصوصی او در انتقال اطلاعات بین سازمانهای مربوطه، اطمینان حاصل شود. در این فضای جدید، رضایت مشتری باید صریح و شفاف، کاملاً آگاهانه و مطابق با خواست مشتری، مجاز یا محدود شود.
بانکداری باز دسترسی به اطلاعات مربوط به مشتری و حساب را از طریق واسطهای برنامه نویسی کاربردی استاندارد موجود در صنعت مرتبط به موسسات شخص ثالث فراهم میآورد. موسسات شخص ثالث از طریق واسطهای برنامه نویسی کاربردی، میتوانند به طور مستقیم و بدون نیاز به کانالهای موجود در بانک با سامانه متمرکز بانک تعامل داشته باشند.
بازارهای اتحادیه اروپا و انگلستان بر روی ارائه خدمات اطلاعات حساب و شروع پرداخت برای حسابهایی که امکان پرداخت دارند، تمرکز کردهاند. رویکرد استرالیایی دید گستردهتری به موضوع دارد و دامنه وسیعتری از محصولات سپرده و وام را در تمام حوزه های بانکداری در بر میگیرد. این امر با هدف اشتراک گذاری مجموعه گستردهتری از اطلاعات مشتری و حساب و با تأکید بیشتر بر سرویسهای از نوع استعلام صورت میپذیرد. به طور نمونه، جدول زمانی تعیین شده برای پیاده سازی بانکداری باز در استرالیا مستلزم آن است که حسابهای سپرده و کارت اعتباری تا اوایل سال 2020 و وامهای مختص رهن-دهی و شخصی تا اوایل سال 2021 در دسترس باشند.
اگر قرار باشد قوانین بانکداری باز نتایج مطلوبی را در بازار به ارمغان آورند و هزینههای گزاف سیستمی را به صورت افزایشی برای بخش بانکی ایجاد نکند، چندین نکته وجود خواهد داشت که قانونگذاران و فعالان بازار باید به آنها توجه داشته باشند.
به دلیل مواجه شدن با فشار زیاد برای رسیدن به یک ضربالاجل قانونی و عدم وجود استانداردهای مشخص در رابطه با چگونگی پیادهسازی احراز هویت و ارائه مجوزهای دسترسی، هر یک از بانکهای درگیر در پیادهسازی اولیه مطلوب است تا همگی از استاندارد فنی عمومی مشابهی تبعیت کرده باشند، هرچند به راه حلهای کاملاً متفاوتی در یکپارچهسازی اختصاصی مورد نیاز برای شرکتهای شخص ثالث دست یابند. تعامل زودهنگام و کامل با فعالان بازار، به عنوان مسالهای اساسی مطرح است، به این معنی که کسب اطمینان از رسیدگی به نگرانیهای موجود در خصوص وجود یک استاندارد مشترک و اطمینان از تعهد مشترک تمامی موسسات (بانک و شخص سوم) در مورد روشهای پیادهسازی بانکداری باز امری ضروری میباشد.
ارائه سازوکارهای جدید، که به سرمایه گذاری همه فعالان احتیاج دارد، زمانی قابل توجیه است که منجر به نوآوری یا عرضه سود در صنعت شود. مدل انگلستان که ۹ بانک بزرگ را برای پشتیبانی از بانکداری باز ملزم کرده است، یک الزام برای بخش "عرضه" این هدف یعنی پیاده سازی بانکداری باز میباشد، اما سوی دیگر این معادله، استقبال شرکتهای شخص ثالث برای پذیرش بانکداری باز و استفاده از واسطهای برنامهنویسی کاربردی برای ارائه محصولات میباشد که این امر هنوز جای پیشرفت دارد.
شاید مطلوب باشد تا در ابتدا ماموریتی را برای شرکتهای شخص ثالث درنظر گرفت تا از بانکداری باز استفاده کنند و همچنین به بانکها اجازه داده شود تا به طور موازی به ارائه سرویسهای مشخص و پایه بر بستری مشخص و امن با تایید واسط قانونگذار اجبار شوند.
برای جلوگیری از رشد مداوم هزینههای سیستمی، مهم است که بانکها قادر به پاسخگویی به الزامات مربوط به بانکداری باز باشند و در عین حال نگرانیهای مرتبط با سرمایه گذاری در زیرساختهای اضافی را برطرف سازند. در حالی که ممکن است هدف این باشد که با گذشت زمان، مکانیزمهای امنیتی و کنترل دسترسی که برای پیاده سازی بانکداری باز به کار گرفته میشوند، با آنهایی که در کانالهای دیگر به کار گرفته می شوند همسو باشند. شایان ذکر است که پیادهسازی بانکداری باز در انگلستان، با توسعه مکانیزمهای جدید و با کنارگذاشتن حداقلی کانالهای سنتی بانکی صورت پذیرفته است.
ساختارهای امنیتی که اغلب در محصولات آنلاین بانکداری شرکتی یافت میشوند، با هدف اجرای طیف وسیعی از فعالیتها، از مکانیزمهای پیچیده مبتنی بر توکن برای دسترسی چندین کاربر به چندین حساب استفاده میکنند. الزامات مربوط به این ساختارها با نیازمندیهای بانکداری باز همپوشانی قابل توجهی دارد، مخصوصا اینکه بانکداری شرکتی و تجاری را نیز دربرمیگیرد.
هویت دیجیتال نیز در این حوزه به عنوان چالشی مهم در نظر گرفته میشود. بسیاری از بانکها «اطلاعات مشتری» را بر اساس بخشبندی مشتریان تقسیم بندی کرده اند. اگر استانداردهای بانکداری باز روشهای یکسانی را برای دسترسی کاملا شفاف به اطلاعات مشتری و حساب الزامی میکنند، بنابراین احتمالاً درجهای از همسویی با روابط و اطلاعات کنترل دسترسی و اطلاعات مشتری در سامانههای بانکی مورد نیاز است. این امر ممکن است عواقب ناخواستهای برای چشمانداز فناوری اطلاعات داخلی یک بانک ایجاد کند که منجر به هزینههای قابل توجهی میشود که مذاکره و همفکری با بازیگران بازار را الزامی میکند.
شایان ذکر است که تأثیر بانکداری باز بر بار عملیاتی سامانههای متمرکز فناوری اطلاعات بانکها تا کنون شناسایی نشده است و پیاده سازی محدود بانکداری باز در انگلستان هم مطابق بررسی مقالات مرتبط تاکنون باعث افزایش بار عملیاتی به اندازه کافی برای بروز مشکلات ملموس برای بانکها نشده است. با این حال، نشانههایی از بروز مشکلات دیده شده است.
بار عملیاتی ایجاد شده جدید تا حد زیادی به سه دسته زیر تقسیم می شوند:
دو مورد اشاره شده اول در بالا احتمالا تا حدی باعث افزایش بار عملیاتی سامانههای متمرکز بانکها خواهد شد. با این حال، این فعالیتها بیشتر تحت تأثیر رفتار مصرفکننده صورت میگیرند و بنابراین تاکنون نیز در گروه پیشبینی بار عملیاتی مرتبط با «بانکداری آنلاین یا کانالهای موبایل بانک» قرار گرفته اند. سومین مورد، بار عملیاتی جدیدی است که منشا آن سامانهها و اتوماسیون میباشد.
بانکداری باز امروزه بر تسهیل دسترسی به حسابهای مشتریان متمرکز است. با این حال، هیچ تمرکزی در استانداردهای مربوط به بانکداری باز در رابطه با هویت مشتری یا ارتباط مشتری با حساب وجود ندارد. بانکداری باز اطمینان میدهد که مشتری دسترسی فنی به حساب دارد، و در خصوص هویت دیجیتال مشتری اقدامات لازم انجام نشده است.
بانکداری باز از دسترسی فنی مشتری به حساب اطمینان حاصل میکند، اما این امر در خصوص هویت مشتری صورت نمیگیرد. در هنگام ایجاد دسترسی به اطلاعات حساب مشتری، مسئلهای که لازم است مورد توجه همه بانکها قرار گیرد، رابطه فرد با حساب میباشد. این مکانیزم جدید دسترسی در کنار روش فعلی ارتباط بانک با مشتری و کنترل دسترسی به حساب قرار خواهد گرفت.
سناریوهای زیر را در نظر بگیرید:
جنبه دیگری که باید در نظر گرفته شود، مدل مجوز دسترسی میباشد. این مدل همچنین میتواند در صنعتی که مجوز دسترسی به حساب به منظور تأیید اطلاعات کلیدی مرتبط با تصمیمات اعتباری اعطا میشود، مشکلساز باشد. شرایطی را در نظر بگیرید که مجوز دسترسی برای بررسی حسابها جهت تأیید درآمد یا سایر بررسیهای مربوط به قابلیت دسترسی به وام اعطا شده است. چگونه نهاد درخواست کننده مجوز دسترسی میتواند اطمینان حاصل کند که حسابهایی که اجازه دسترسی به آنها داده شده است، در واقع حسابهای مشتری مورد نظر میباشد و در این خصوص، بانک دارنده حساب چه مسئولیتی دارد؟
دستورالعمل اصلاح شده خدمات پرداخت دربرگیرنده مجموعه قوانین و مقررات مربوط به خدمات پرداخت در اتحادیه اروپا و منطقه اقتصادی اروپا میباشد. این دستورالعمل در سال 2015 تصویب شده است اما مهمترین جنبههای مربوط به پرداخت آنلاین از 14 سپتامبر 2019 اجرا شده است.
دستورالعمل اصلاح شده خدمات پرداخت با هدف مدرنسازی بیشتر خدمات پرداخت اروپا به سود مصرفکنندگان و مشاغل تدوین شده است. این دستورالعمل با هدف توسعه نوآورانه خدمات پرداخت آنلاین و تلفن همراه، منجر به ارتقا امنیت در پرداختهای آنلاین و حمایت بهتر از مصرف کننده میشود. در عین حال، هدف این دستورالعمل ایجاد بستر حقوقی یکسانی برای تمامی ارائه دهندگان خدمات پرداخت از جمله شرکتهای تازهوارد و نوآور یا فینتکها و کمک به بهبود یکپارچگی و کارآمدی بازار پرداخت اروپایی میباشد. به طور کلی، قوانین به روز شده به تسهیل نوآوری، رقابت و کارایی در بازار پرداخت آنلاین اتحادیه اروپا کمک میکند. دستورالعمل اصلاح شده خدمات پرداخت همچنین به عنوان گامی رو به جلو به سوی تکمیل بازار واحد دیجیتال در اتحادیه اروپا گزینه های بهتر و بیشتری را در خصوص پرداختهای خرده فروشی به مصرف کنندگان ارائه میدهد. دستورالعمل اصلاح شده خدمات پرداخت چندین مزیت عمده را برای مصرفکننده به همراه میآورد، مانند موارد زیر:
مقابله با کلاهبرداری در پرداختهای آنلاین: دستورالعمل اصلاح شده خدمات پرداخت برای اطمینان از رعایت حریم خصوصی مصرفکنندگان توسط تمامی ارائه دهندگان خدمات در بازار پرداخت، الزامات شدید امنیتی را برای پرداختهای الکترونیکی و محافظت از دادههای مالی مصرف کنندگان ارائه میدهد. این قوانین باید اعتماد مشتری را هنگام خرید آنلاین افزایش دهند.
باز کردن بازار پرداخت اتحادیه اروپا برای رقابت: دستورالعمل اصلاح شده خدمات پرداخت زمینه را برای آینده فراهم میکند. با تکامل مداوم خدمات مالی آنلاین، قوانین جدید به صورت یکسان در مورد بانکهای سنتی و ارائهدهندگان خدمات پرداخت نوآورانه و تازه واردان به بازار پرداخت مانند فینتکها اعمال خواهد شد. این شرکتهای تازه وارد به بازار پرداخت که ارائه دهندگان خدمات پرداخت شخص ثالث (TPP) نیز نامیده میشوند، اکنون تحت قوانین اتحادیه اروپا مورد نظارت قرار خواهند گرفت. آنها قادر خواهند بود مزایای زیادی به مصرف کننده ارائه دهند. به عنوان مثال، آنها میتوانند از طرف مشتریان پرداخت را آغاز کنند. آنها به خرده فروشان اطمینان میدهند که وجه پرداختی در راه است، یا مروری بر تمامی حسابها و مانده موجودیها را به مشتریان خود در یک نما ارائه می دهند.
افزایش حقوق مصرف کنندگان در زمینههای مختلف: این موارد شامل کاهش مسئولیت مصرف کنندگان در قبال پرداختهای غیرمجاز و معرفی حق بازپرداخت بیقید و شرط ("بدون پرسش") برای بدهی های مستقیم به یورو میباشد.
ممنوعیت شارژ کردن اضافه مشتری توسط ارائه دهندگان خدمات پرداخت: دستورالعمل اصلاح شده خدمات پرداخت شارژ اضافه حساب مشتری را که هزینه اضافی برای پرداخت با کارت اعتباری یا بدهی است، چه در مغازهها و چه به صورت آنلاین ممنوع میکند.
دستورالعمل اصلاح شده خدمات پرداخت روند شکایات را بهبود می بخشد: دستورالعمل اصلاح شده خدمات پرداخت کشورهای عضو را ملزم میکند مقامات ذیصلاح را برای رسیدگی به شکایات کاربران خدمات پرداخت و سایر اشخاص ذینفع، مانند انجمنهای مصرفکنندگان، تعیین کنند. ارائه دهندگان خدمات پرداخت باید روند ثبت و بررسی شکایات را برای مصرفکنندگان که میتواند پیش از شروع دادرسی مورد استفاده قرار گیرد تدوین کنند.
از زمان تصویب PSD1 در سال 2007 تحولات زیادی اتفاق افتاده است و بازار پرداخت آنلاین اروپا با تحولات نوآورانه بسیاری مواجه شده است. در ادامه خلاصهای از روندهای اصلی آورده شده است:
افزایش کلاهبرداری در حوزه پرداخت آنلاین در اروپا: بانک مرکزی اروپا افزایش66 درصدی نرخ کلاهبرداری در حوزه پرداخت آنلاین را بین سالهای 2011 تا 2016 ثبت کرده است و این امر دلیل اصلی افزایش نرخ کل کلاهبرداری 35٪ میباشد. کلاهبرداری آنلاین اکنون 73٪ از کلاهبرداری در اروپا را تشکیل میدهد و این نرخ به صورت مداوم در حال افزایش است.
ظهور اقتصاد وابسته به رابط برنامه نوسی کاربردی: رابط برنامه نویسی کاربردی به سیستمهای مختلف اجازه میدهد تا با یکدیگر تعامل کنند. رابط برنامهنویسی کاربردی در موفقیت شرکتهایی مانند آمازون، گوگل، اوبر، استرایپ و غیره نقش اساسی ایفا میکند و همچنین رابط برنامه نویسی کاربردی از ایجاد مدلهای تجاری کاملا نوینی، از جمله فینتکها پشتیبانی کرده است. رابطهای برنامه نوسی کاربردی شرایط را برای بازتر شدن صنعت بانکداری و پرداخت فراهم مینماید.
مدلهای جدید کسب و کار که تحت کنترل و نظارت قانونی قرار ندارند: از زمان PSD1 تا کنون، در بازار پرداخت دیجیتال با ظهور فینتکها رشد و نوآوریهای بسیاری اتفاق افتاده است. تا پیش از PSD2، نظارت حقوقی به صورت کامل روی این موسسات اعمال نشده بود. PSD2 استانداردها و ساختارهای لازم را در این خصوص فراهم میآورد و برای موسسات نوین امکان دسترسی به حسابهای بانکی مشتریان را فراهم میکند.
اهداف دستورالعمل اصلاح شده خدمات پرداخت به شرح زیر است:
بر طبق دستورالعمل اصلاح شده خدمات پرداخت، داده های بانکی به منظور تسهیل فعالیت موسسات نوظهور در دسترس آنها قرار میگیرند، از جمله این موسسات دو نوع جدید از ارائه دهندگان خدمات پرداخت شخص ثالث میباشند:
طبق دستورالعمل اصلاح شده خدمات پرداخت، هنگامی که هر دو موسسه صادرکننده کارت و بانک گیرنده که موسسه مالی است که حساب بانکی کاربران را در اختیار دارد در منطقه اقتصادی اروپا قرار داشته باشند، احراز هویت قوی مشتری در تمام تراکنشهای آغاز شده توسط پرداختکننده مورد نیاز است. اگر تنها یکی از این دو موسسه در منطقه اقتصادی اروپا باشند، احراز هویت قوی مشتری مورد نیاز نیست. بنابراین یک کسب وکار مستقر در ایالات متحده که دارای حساب بانکی در یک بانک آمریکایی میباشد ملزم به اجرای احراز هویت مشتری قوی نمیباشند. این نوع از تراکنش اصطلاحا "یک پا بیرون" نامیده می شود.
دستورالعمل اصلاح شده خدمات پرداخت ارائه دهندگان خدمات پرداخت را در تمام کشورهای منطقه اقتصادی اروپا تحت پوشش قرار میدهد، بنابراین بیش از 300 میلیون خریدار تجارت الکترونیکی را تحت تأثیر قرار خواهد داد. علیرغم Brexit این قانون در انگلستان نیز اجرا میشود زیرا دستورالعمل اصلاح شده خدمات پرداخت قبل از خروج این کشور از اتحادیه اروپا به تصویب رسیده است.
الزام دستورالعمل اصلاح شده خدمات پرداخت برای احراز هویت قوی مشتری احتمالاً موجهای بزرگی از تغییرات را ایجاد میکند. هنگامی که هند 3D Secure را در سال 2014 به عنوان یک الزام اجبار کرد، برخی از مشاغل به دلیل اضافه شدن یک گام اضافی در فرآیند پرداخت، یک کاهش 25 درصدی فروش یک شبه را گزارش کردند.
مشابه با آییننامه عمومی حفاظت از دادهها (GDPR)، دستورالعمل اصلاح شده خدمات پرداخت، مشاغل خارج از اتحادیه اروپا را در صورت ارائه خدمات پرداخت در منطقه اقتصادی اروپا، تحت تأثیر قرار خواهد داد و چنین موسساتی نیاز به اخذ مجوز پرداخت خواهند داشت.
همچنین دستورالعمل اصلاح شده خدمات پرداخت عواقب غیرمستقیمی برای کسبوکارهای خارج از منطقه اقتصادی اروپا که دارای شرکتهای تابعه یا شعب در منطقه اقتصادی اروپا هستند، به همراه خواهد داشت.
ارائه دهندگان خدمات پرداخت و بانکها از نظر قانونی ملزم به اجرای دستورالعمل اصلاح شده خدمات پرداخت هستند. مشاغل آنلاینی که الزامات احراز هویت قوی مشتری را برآورده نمیکنند، با رد پرداختهای غیر معتبر توسط بانکها، شاهد افزایش نرخ رد درخواست تراکنشها توسط بانکها و نرخ فروش خواهند بود.
عدم انطباق با الزامات اجرای دستورالعمل اصلاح شده خدمات پرداخت، هم فروشندگان و هم ارائه دهندگان خدمات پرداخت را در معرض خطر از دست دادن حجم معاملات قرار میدهد. اما برای ارائه دهندگان خدمات پرداخت، عدم انطباق با الزامات اجرای دستورالعمل اصلاح شده خدمات پرداخت عواقب جدیتری را به همراه خواهد داشت. ناظران ملی قدرت اعمال جریمه و حتی لغو مجوز ارائه دهنده خدمات پرداخت را دارند. بر خلاف آییننامه عمومی حفاظت از دادهها، در دستورالعمل اصلاح شده خدمات پرداخت هیچ جریمهای مشخص نشده است و چون اعضای مختلف منطقه اقتصادی اروپا در مراحل متفاوتی از اجرا دستورالعمل قرار دارند، ممکن است مبالغ جریمه نیز متفاوت باشد.
دستورالعمل اصلاح شده خدمات پرداخت و آیین نامه عمومی حفاظت از داده ها هر دو در نیمه اول سال 2018 به عنوان مجموعه جداگانهای از قوانین با تمرکز بر دادههای مصرفکنندگان معرفی شدند. این دو طرح نظارتی که ظاهراً به هم پیوسته نیستند، در واقع دو هدف مشترک دارند. کنترل مشتری بر داده های خود و ایمن نگه داشتن این دادهها. دستورالعمل اصلاح شده خدمات پرداخت و آییننامه عمومی حفاظت از دادهها هر دو بر این اصل بنا شدهاند که افراد صاحب دادههای شخصی خود میباشند و بنابراین باید بتوانند نحوه استفاده و به اشتراک گذاری دادهها را انتخاب کنند. با این حال، در پیادهسازی، چالشهای سازگاری جزئیات این دو دستورالعمل به سرعت آشکار میشود و این چالشها میتوانند اجرای موفقیت آمیز دستورالعمل اصلاح شده خدمات پرداخت را به خطر بیندازند.
در این خصوص دو چالش عمده وجود دارد. در قدم اول تعیین آنچه "داده های حساس پرداخت" را تشکیل میدهد و سپس تعیین اینکه چه کسی مسئول کسب رضایت از مشتریان است تا به بانکها اجازه دهد داده های پرداخت خود را با ارائهدهندگان خدمات شخص ثالث (TPP) براساس دستورالعمل اصلاح شده خدمات پرداخت به اشتراک بگذارند.
نویسنده: امیر عراقی*، فرهاد علامه**
(مشاورین فنی: سعید زکیپور، ستار صادقی)
*مشاور ارشد سابق شرکت دیلویت - لوکزامبورگ
**مشاور سابق گروه تام الیور - فرانسه
© تمام حقوق محفوظ است.
هرگونه تکثیر، اسکن یا کپیبرداری از تمام یا بخشی از مطالب این نوشتار، با ذکر منبع و نام نویسنده، آزاد است. در این نوشتار از منابع شرکتهای حرفهای خدمات مشارهای و ارائه دهنده فناوری، مانند دیلویت، مکینزی اند کامپنی، بکبیس،... بهره برده شده است. این بهرهبرداری فقط شامل استفاده از اطلاعات و بهروشهای قابل دسترس برای عموم بوده است و هیچ یک از شرکت های عضو یا اشخاص، مشاورین و متخصصین حال حاضر این شرکتها در تهیه و تدوین این نوشتار، مشاوره یا خدمات حرفهای ارائه ندادهاند. در این نوشتار ممکن است از اطلاعات عمومی و دادههای منتشر شدهای که نیاز به ذکر منبع نداشتهاند، استفاده شده باشد. استفاده از این دادهها و اطلاعاتی که از آنها مشتق شده، چه از منابع خارج و چه از منابع داخل از کشور، پیرو هرگونه حق چاپ موجود برآنهاست و باید به آن احترام گذاشته شود.
author: amir araghi
[1] Revised Payments Services Directive (PSD2)