احراز هویت قوی مشتری (SCA) چیست و چرا اهمیت دارد؟
احراز هویت در سادهترین معنا یعنی اطمینان از اینکه فرد واقعاً همان کسی است که ادعا میکند. این مفهوم از گذشته و در زمانی که بانکداری بهشکل امروزی درنیامده بود وجود داشت؛ کارمند بانک با کارت ملی یا امضا هویت مشتری را تأیید میکرد دقیقاً مرحله احراز هویت را طی میکرد. با گسترش خدمات آنلاین روشهای پیشرفتهتر و مهمتری برای احراز هویت مشتری ایجاد شده است، ازجمله احراز هویت بایومتریک. این روشها همان احراز هویت قوی مشتری یا SCA را میسازند.
در این مطلب درباره احراز هویت قوی مشتری توضیح دادهایم و گفتهایم که از کجا آمده است و فرایندهای اجرایی آن در عمل چگونه عمل میکند؛ همینطور با آوردن نمونههای مختلف از بانکها، صرافیهای رمز ارز، پلتفرمهای خریدوفروش طلا و همچنین پلتفرمهای بورسی و بانکی نشان دادهایم که هر یک از آنها معمولاً چه سطحی از احراز هویت قوی مشتری را استفاده میکنند؛ علاوهبراین شما با خدمات احراز هویت بایومتریک هم آشنا میشوید.
احراز هویت قوی مشتری به چه معناست؟
احراز هویت قوی مشتری یا Strong Customer Authentication (SCA) یکی از مفاهیم کلیدی در امنیت خدمات مالی مدرن است. این مفهوم نخستینبار در نسخه ۲ دستور خدمات پرداخت اتحادیه اروپا یا PSD2 معرفی شد تا پاسخی به رشد حملههای سایبری و ضعف روشهای سنتی، مانند رمز عبور یا کد پیامکی، بدهد.
در دنیایی که فیشینگ و سرقت داده بهسادگی چند کلیک انجام میشود، احراز هویت تکمرحلهای دیگر کافی نیست. بانکها و نهادهای مالی به روشی نیاز داشتند که حتی در صورت افشای یک رمز یا سرقت یک دستگاه، باز هم، هویت واقعی کاربر تأیید شود. SCA در همین نقطه متولد شد: الگویی که بهجای تکیه بر یک لایه امنیتی، چند عامل مستقل را همزمان میسنجد.
در استاندارد احراز هویت قوی مشتری کاربر باید برای تأیید هویت، دستکم، دو عامل از این سه عامل را ارائه کند:
- چیزی که کاربر میداند (مانند رمز عبور یا پینکد)
- چیزی که کاربر دارد (مانند گوشی هوشمند یا توکن بانکی)
- چیزی که کاربر هست (مانند چهره، اثر انگشت یا صدا)
اگر دو عامل از این سه تأیید شوند، سیستم میتواند با اطمینان بگوید که درخواست واقعاً ازسوی صاحب حساب صادر شده و آن را یک مهاجم صادر نکرده است؛ درواقع صفت «قوی» از همین خصوصیت چندلایگی به احراز هویت اضافه شده است. برای فهم دقیقتر احراز هویت قوی مشتری درک سه مفهوم احراز هویت، احراز هویت چندعاملی و تعیین سطح دسترسی را از هم تفکیک کرد.
برای آشنایی با روشهای احراز هویت پیشنهاد میکنیم مطلب ۱۲ روش احراز هویت را هم مطالعه کنید.
مفاهیم کلیدی در احراز هویت قوی مشتری
هدف از احراز هویت یا Authentication اطمینان از این است که کاربر همان کسی است که ادعا میکند و احراز هویت قوی مشتری سازوکاری است که با استفاده از چند معیار بهصورت همزمان این کار را انجام میدهد. در این میان، آشنایی با سه کلیدواژه و تفاوت آنها چارچوب این فرایند را روشنتر میکند.
MFA یا Multi-Factor Authentication
MFA یا احراز هویت چند عاملی بهاین معناست که برای احراز هویت چند عامل همزمان به کار برده میشود. این مفهوم در نگاه اول بسیار شبیه به SCA به نظر میرسد، اما یک تفاوت مهم دارد: SCA بیشتر یک الزام قانونی و بانکی است که از دل مقررات PSD2 بیرون آمده، درحالیکه MFA یک مفهوم فنی عمومیتر است که در هر نوع سامانه دیجیتال میتواند به کار رود؛ بهبیان سادهتر میتوان اینطور گفت:
- هر SCA در واقع نوعی MFA است، اما هر MFA الزاماً SCA نیست.
- در MFA سازمان میتواند آزادانه تعیین کند چند عامل و از چه نوعی استفاده کند.
- در SCA قانونگذار مشخص میکند که احراز باید حتماً با حداقل دو عامل مستقل انجام شود و در تراکنشهای مالی حیاتی (مانند پرداخت، انتقال وجه یا ورود به حساب بانکی) الزامی است.
برای مثال، ورود به ایمیل سازمانی با رمز و تأیید ازطریق اپلیکیشن امنیتی یک MFA است، اما ورود به اپلیکیشن بانکی که علاوه بر رمز، به تطبیق چهره یا کد تولیدشده در توکن نیاز دارد نمونهای از SCA است.
Authorization تعیین سطح دسترسی
احراز هویت از تعیین سطح دسترسی یا Authorization جداست. در مرحله تعیین سطح دسترسی سیستم بررسی میکند کاربر تأییدشده دقیقاً اجازه دسترسی به چه منابعی دارد. ممکن است کاربری بتواند ماندهحساب را ببیند، اما امکان برداشت وجه نداشته باشد؛ یعنی این کاربر احراز هویت شده است، اما مجاز به همه کارها نیست.
الزام استفاده از احراز هویت قوی مشتری
نهادهای نظارتی مختلف بینالمللی در سالهای اخیر اجرای Strong Customer Authentication (SCA) را بهعنوان یک الزام قانونی مطرح کردهاند.
در اتحادیه اروپا، مقررات PSD2 بانکها و شرکتهای پرداخت را موظف کرده است که برای هر تراکنش حساس از احراز هویت چندعاملی استفاده کنند تا اطمینان حاصل شود تنها صاحب واقعی حساب میتواند پرداخت را تأیید کند. نظارت بر اجرای این پروتکلها هم بر عهده European Banking Authority (EBA) یا مقام بانکداری اروپاست.
در ایران نیز با گسترش بانکداری دیجیتال، بانک مرکزی در مسیر استانداردسازی فرایندهای احراز هویت گام برداشتهاند. دستورعملهای جدید احراز هویت دیجیتال و شناسایی مشتریان (KYC) در راستای نزدیکشدن به استانداردهای جهانی و کاهش تخلفات مالی طراحی شدهاند.
هدف اصلی این الزامات در سه محور خلاصه میشود:
- جلوگیری از کلاهبرداریهای آنلاین و برداشت غیرمجاز
- کاهش احتمال جعل هویت در تراکنشهای الکترونیکی
- افزایش اعتماد عمومی به خدمات مالی و فینتکی
اجرای احراز هویت قوی، در عمل، نهتنها یک الزام قانونی، یک نیاز استراتژیک برای بقا در اکوسیستم مالی دیجیتال محسوب میشود؛ بهبیان ساده، دیگر نمیتوان به یک رمز عبور اعتماد کرد و احراز هویت قوی به خط دفاعی اول دربرابر تقلب، جعل و حملات سایبری تبدیل شده است.
الزامات قانونی تنها بخشی از ماجرا هستند. اجرای مؤثر احراز هویت قوی مشتری زمانی معنا پیدا میکند که این قوانین به فرایندهای عملی و فناوریهای مشخص ترجمه شوند. هر کسبوکار مالی باید بتواند نشان دهد در مسیر تأیید هویت کاربران چند لایه امنیتی مستقل و مستند را به کار گرفته است. در ادامه میبینیم که این فرایندها معمولاً چه مرحلههایی را در بر میگیرند و چطور از سطح قانون به واقعیت روزمره سرویسهای بانکی، صرافیها و فینتکها میرسند.
در احراز هویت قوی مشتری چه فرایندهایی استفاده میشود؟
الزامات قانونی زمانی معنا پیدا میکنند که در عمل به فرایندهای دقیق و قابلاندازهگیری تبدیل شوند. در سیستمهای مالی و فینتک اجرای احراز هویت قوی معمولاً از چند گام پیاپی تشکیل میشود. هر یک از این گامها نیز بخشی از زنجیرهی اطمینان را میسازند. این گامها، بسته به نوع سرویس (بانک، صرافی، پلتفرم سرمایهگذاری و…)، ممکن است سادهتر یا پیچیدهتر باشند، اما منطق کلی آنها یکسان است:
- دریافت اطلاعات پایه کاربر: در نخستین گام، دادههایی مانند نام، کد ملی، شماره تماس یا ایمیل جمعآوری میشود تا هویت اولیه فرد ثبت شود.
- بارگذاری مدارک هویتی: کاربر تصویر کارت ملی یا دیگر مدارک شناسایی خود را ارسال میکند تا مبنای تطبیق قرار گیرد.
- تأیید زندهبودن (Liveness Detection): سیستم ازطریق دوربین بررسی میکند که کاربر واقعی است و از عکس یا ویدئوی ازپیشضبطشده استفاده نمیکند.
- تطبیق چهره با مدرک (Face Match): الگوریتمهای تطبیق چهره تصویر زنده کاربر را با عکس روی مدرک مقایسه میکنند تا اصالت تأیید شود.
- استعلام اطلاعات از منابع رسمی: در این مرحله دادههایی مانند کد ملی، شماره کارت یا شبا با سامانههای استعلامی بانکی و ثبتاحوال تطبیق داده میشود.
- تحلیل ریسک و تصمیم نهایی: اگر مغایرتی در دادهها وجود داشته باشد، سیستم سطح ریسک را ارزیابی و در صورت نیاز بررسی انسانی یا احراز تکمیلی انجام میدهد.
بهزبان ساده، هر چه این زنجیره احراز هویت چندلایهتر و دقیقتر طراحی شود، احتمال تقلب، جعل یا دسترسی غیرمجاز کاهش مییابد.
در ادامه به فناوریهایی میپردازیم که زیرساخت این فرایندها را تشکیل میدهند و احراز هویت قوی مشتری را از یک الزام قانونی به یک راهحل عملی تبدیل میکنند.
چه فناوریهایی در احراز هویت قوی مشتری به کار میرود؟
فرایندهای احراز هویت قوی بدون فناوریهای دقیق و هماهنگ عملاً اجرایی نیستند. هر مرحله از تأیید هویت، از ثبت داده تا تطبیق نهایی، بر پایه مجموعهای از ابزارهای هوشمند شکل میگیرد که هدفشان کاهش خطا و جلوگیری از جعل است.
این جدول مهمترین فناوریهایی را نشان میدهد که زیرساخت احراز هویت قوی مشتری را تشکیل میدهند:
| نوع فناوری | کاربرد اصلی | نمونه استفاده در فرایند احراز هویت |
| OCR (تشخیص متن از تصویر) | استخراج خودکار اطلاعات از مدارک هویتی | خواندن شماره ملی، تاریخ تولد یا شماره پاسپورت |
| تشخیص چهره (Face Recognition) | تطبیق تصویر زنده کاربر با عکس روی مدرک | مقایسه سلفی با کارت ملی |
| تشخیص زندهبودن (Liveness Detection) | اطمینان از واقعیبودن کاربر و جلوگیری از جعل ویدئویی | درخواست حرکت سر یا پلکزدن هنگام احراز |
| استعلام بانکی و هویتی | تطبیق دادهها با منابع رسمی مانند ثبت احوال و غیره | بررسی همخوانی نام با شماره شبا یا کارت |
| احراز رفتار کاربر (Behavioral Biometrics) | تحلیل الگوهای رفتاری برای شناسایی هویت | بررسی شیوه تایپ یا حرکت موس در ورود به حساب |
| تشخیص گفتار و صدا (Voice Verification) | استفاده از الگوهای صوتی برای شناسایی فرد | ورود یا تأیید تراکنش ازطریق گفتار کاربر |
این فناوریها معمولاً بهصورت ترکیبی به کار میروند تا هر لایه خطا یا ضعف احتمالی لایه دیگر را جبران کند؛ برای مثال، سامانه ممکن است ابتدا از OCR برای استخراج داده استفاده کند، سپس با تطبیق چهره و بررسی زندهبودن تصویر، اصالت کاربر را تأیید کند و در پایان با استعلام بانکی، اطمینان نهایی از صحت هویت بگیرد.
نکته مهم این است که فناوری صرفاً ابزار نیست؛ زبان مشترک میان قانون و اجرا محسوب میشود. الزامات قانونی که در بخش قبل به آنها اشاره شد، در عمل ازطریق این فناوریها معنا پیدا میکند و به تجربهای سریع، امن و بدون اصطکاک برای کاربر تبدیل میشوند.
احراز هویت قوی برای چه کسبوکارهایی حیاتیتر است؟
احراز هویت قوی مشتری صرفاً یک الزام فنی نیست؛ برای بسیاری از صنایع، موضوعی حیاتی و استراتژیک است. هر جا که پول، داده حساس یا تراکنش مالی در جریان باشد، حتی یک خطای کوچک در شناسایی کاربر میتواند به خسارتی بزرگ تبدیل شود.
در میان کسبوکارهای دیجیتال، چند حوزه بیش از همه به احراز هویت قوی نیاز دارند:
- بانکها و پرداختیارها: بانکها نخستین گروهی بودند که احراز هویت قوی را بهصورت جدی پیاده کردند. افتتاح حساب غیرحضوری، انتقال وجه یا استفاده از خدمات اعتباری بدون شناسایی چندلایه تقریباً ناممکن است. اجرای SCA در این حوزه، نهتنها یک الزام نظارتی، پیششرط اعتماد مشتری است.
- صرافیهای رمزارز و فینتکهای بلاکچینی: صرافیها، بهدلیل حجم بالای تراکنش و حساسیتهای مرتبط با پولشویی، ملزم به استفاده از احراز هویت قویاند. در این پلتفرمها ترکیب فناوریهای بایومتریک و استعلامی به جلوگیری از حسابهای جعلی و فعالیتهای مشکوک کمک میکند.
- پلتفرمهای خریدوفروش طلا و داراییهای دیجیتال: در این بازارها ارزش بالای تراکنشها و نوسان قیمتی شدید احتمال تقلب را بالا میبرد؛ بههمین دلیل، تأیید چندمرحلهای کاربران و تطبیق دقیق دادههای هویتی با منابع رسمی بخش جداییناپذیر از فرایند احراز است.
- کارگزاریها و سامانههای بورس: از ثبتنام غیرحضوری گرفته تا صدور کد بورسی، همهچیز وابسته به صحت اطلاعات هویتی است. سیستمهای احراز هویت قوی کمک میکنند حسابهای تکراری یا جعلی حذف شوند و دسترسیها با مجوزهای واقعی مطابقت داشته باشند.
- لندتکها و پلتفرمهای اعتباردهی: برای شرکتهایی که وام خرد یا اعتبار خرید ارائه میکنند تشخیص واقعیبودن هویت کاربر نقطه آغاز ارزیابی ریسک است. احراز هویت قوی در این فضا، نهفقط برای امنیت، برای پیشبینی دقیق رفتار مالی مشتری حیاتی است.
بهطور خلاصه، هر چه ارتباط یک سرویس با پول، دارایی یا اعتماد عمومی مستقیمتر باشد، اهمیت SCA در آن بیشتر است.
در بخش بعد، به نمونههایی از نحوه اجرای این استانداردها در ایران میپردازیم و سپس میبینیم که جیبیت چطور با ترکیب سرویسهای استعلامی و بایومتریک، این نیاز را بهصورت یکپارچه برآورده میکند.
احراز هویت دیجیتال جیبیت
جیبیت احراز هویت دیجیتال را در دو سطح ارائه میکند: احراز هویت دیجیتال پایه و احراز هویت دیجیتال هوشمصنوعی (AI). در سطح پایه سرویسهای استعلامی مانند ثبتاحوال، شاهکار، اتباع و گذرنامه و همچنین استعلامهای بانکی بهصورت مستقیم و امن انجام میشود. این لایه برای تطبیق سریع اطلاعات کاربران و جلوگیری از ثبتنامهای جعلی طراحی شده است.
در سطح ۲ که احراز هویت دیجیتال مبتنی بر AI است جیبیت از ترکیب فناوریهای Face Verification ،Liveness Detection ،OCR و ASR بهره میبرد تا اصالت کاربران را با دقتی نزدیک به احراز حضوری تأیید کند. این سطح در دو مدل ارائه میشود:
- مدل One-Step eKYC برای احراز سریع در یک ویدئو
- مدل Two-Step eKYC برای سناریوهای حساستر با بررسی سهبعدی چهره و صوت
همچنین سرویس Fast KYC امکان احراز هویت کامل با یک ویدئو کوتاه را فراهم میکند.
تمامی این سرویسها ازطریق Gateway ،API ،SDK و پنل پذیرندگان در دسترساند و میتوان آنها را بهصورت On-Cloud یا On-Premises پیادهسازی کرد. برای آشنایی بیشتر با فرایند آنبوردینگ، پیشنهاد میکنیم صفحه اصلی احراز هویت بایومتریک جیبیت را ببینید.
پرسشهای متداول درباره احراز هویت قوی مشتری
احراز هویت قوی مشتری سازوکاری است که برای تأیید هویت واقعی کاربر از حداقل دو عامل مستقل استفاده میکند: چیزی که کاربر میداند (رمز)، چیزی که دارد (دستگاه) و چیزی که هست (ویژگی بایومتریک). این مدل چندلایه احتمال تقلب و جعل را بهشدت کاهش میدهد.
هر SCA نوعی MFA است، اما برعکسش همیشه درست نیست. SCA یک الزام قانونی بانکی در چارچوب PSD2 است و باید دو عامل مستقل در تراکنشهای مالی حساس بررسی شود، درحالیکه MFA مفهومی عمومیتر است و فقط به امنیت فنی اشاره دارد، نه الزامات نظارتی.
با پیچیدهترشدن حملات سایبری، جعل چهره و سرقت داده، اعتماد به رمز عبور دیگر کافی نیست. نهادهای نظارتی ازجمله بانک مرکزی ایران و EBA در اروپا، اجرای احراز هویت قوی را برای جلوگیری از برداشت غیرمجاز و افزایش اعتماد عمومی الزامی کردهاند.
فرایند SCA شامل چند گام است: جمعآوری اطلاعات پایه، بارگذاری مدارک، تشخیص زندهبودن، تطبیق چهره، استعلام از مراجع رسمی و تحلیل ریسک. ترکیب این مراحل زنجیرهای از اعتماد میسازد که خطا یا جعل را تقریباً ناممکن میکند.
بانکها، صرافیهای رمزارز، پلتفرمهای طلا و بورس، و شرکتهای اعتباردهی از مهمترین حوزههاییاند که بدون احراز هویت قوی نمیتوانند فعالیت کنند. در این صنایع، حتی یک خطای کوچک در شناسایی کاربر میتواند به خسارت مالی یا نقض اعتماد عمومی بینجامد.