انطباق پرداخت‌ها: مقررات کلیدی و بهترین شیوه‌ها

هر کسب‌وکاری که پول جابه‌جا می‌کند، با مشکل انطباق با قوانین مواجه است. تراکنش‌های کارتی، پرداخت‌های تجارت الکترونیک، پرداخت‌های کریپتو - فرقی نمی‌کند از کدام کانال. قوانین اعمال می‌شوند، جریمه‌ها واقعی هستند و نادیده گرفتن آنها به ندرت بی‌سروصدا پایان می‌یابد.

چیزی که رعایت قوانین پرداخت را دشوار می‌کند، دانستن وجود آن نیست. بلکه درک این است که کدام مقررات برای کسب‌وکار خاص شما اعمال می‌شود، چگونه با یکدیگر تعامل دارند و شما واقعاً باید چه کاری انجام دهید. این راهنما به همین موارد می‌پردازد.

انطباق پرداخت‌ها چیست و چرا اهمیت دارد؟

اگر از پنج اپراتور پرداخت مختلف بپرسید که «انطباق پرداخت‌ها» به چه معناست، احتمالاً پنج پاسخ متفاوت خواهید شنید. در عمل، این مفهوم شامل مجموعه کاملی از قوانین حاکم بر نحوه جمع‌آوری، ذخیره، انتقال و پردازش داده‌های پرداخت توسط کسب‌وکارها می‌شود. این قوانین وجود دارند زیرا وقتی سیستم‌های پرداخت دچار مشکل می‌شوند - از طریق کلاهبرداری، پولشویی یا افشای داده‌ها - آسیب به سرعت و به طور گسترده گسترش می‌یابد.

کسب‌وکارهایی که مشمول این تعهدات می‌شوند، اساساً شامل همه کسانی می‌شوند که به صورت دیجیتالی با پول سر و کار دارند. خرده‌فروشان آنلاین، پلتفرم‌های SaaS، بازارها، شرکت‌های فین‌تک، بازرگانان ارزهای دیجیتال. این قوانین معافیتی در مورد اندازه ندارند. یک استارتاپ ده نفره با همان الزامات اصلی یک شرکت بزرگ روبرو است.

اعدادی که اهمیت موضوع را روشن می‌کنند: پیش‌بینی می‌شود که کلاهبرداری در پرداخت و ضررهای تجارت الکترونیک بین سال‌های ۲۰۲۳ تا ۲۰۲۷، ۳۴۳ میلیارد دلار باشد. گزارش امنیت پرداخت ورایزن در سال ۲۰۲۳ نشان داد که ۶۴ درصد از شرکت‌ها هنوز از انطباق کامل با PCI DSS محروم هستند. و یک نقض داده می‌تواند منجر به طرح دعاوی حقوقی، ممیزی‌های اجباری و تحریم‌های شبکه کارت شود که حل آنها سال‌ها طول می‌کشد.

پایبندی به قوانین، دسترسی به شبکه پرداخت را باز نگه می‌دارد. از دست دادن آن - از طریق تخلف یا نفوذ - می‌تواند آن در را برای همیشه ببندد.

چه کسی انطباق پرداخت‌ها را در سطح جهانی تنظیم می‌کند؟

هیچ مرجع واحدی در سراسر جهان، مسئولیت اجرای قوانین پرداخت‌ها را بر عهده ندارد. مجموعه‌ای از نهادها، استانداردها را تعیین و قوانین را در حوزه‌های قضایی مختلف اجرا می‌کنند و اکثر کسب‌وکارها در نهایت به بیش از یک نهاد پاسخگو هستند.

برای مثال، یک تاجر مستقر در اتحادیه اروپا که کارت‌های آمریکایی را از مشتریان بین‌المللی می‌پذیرد، همزمان با PCI DSS، GDPR و احتمالاً راهنمایی‌های FinCEN سروکار دارد. مدیریت این همپوشانی، همان چیزی است که انطباق پرداخت و انطباق با مقررات را در هنگام عبور کسب و کار شما از مرزها نشان می‌دهد.

توضیح مقررات کلیدی انطباق پرداخت

پنج قانون، بخش عمده‌ای از آنچه اکثر کسب‌وکارها باید انجام دهند را تعریف می‌کنند. هر کدام حوزه ریسک متفاوتی را هدف قرار می‌دهند و ساختار جریمه خاص خود را دارند.

1. PCI DSS - استاندارد امنیت داده‌های صنعت کارت پرداخت برای هر نهادی که داده‌های دارنده کارت را ذخیره، پردازش یا منتقل می‌کند، اعمال می‌شود. این استاندارد ۱۲ الزام فنی و عملیاتی را تعیین می‌کند. جریمه‌های عدم رعایت این استاندارد، بسته به شدت تخلف، ماهانه ۵۰۰۰ تا ۱۰۰۰۰۰ دلار است.
2. PSD2 - دستورالعمل شماره ۲ خدمات پرداخت اتحادیه اروپا، ارائه دهندگان خدمات پرداخت را در سراسر منطقه اقتصادی اروپا کنترل می‌کند. الزام اصلی، احراز هویت قوی مشتری (SCA) برای تراکنش‌های الکترونیکی است. جریمه‌ها می‌توانند به ۵ میلیون یورو یا ۳٪ از درآمد سالانه جهانی برسند.
3. AML/KYC - مقررات مبارزه با پولشویی، کسب‌وکارها را ملزم به تأیید هویت مشتری (مشتری خود را بشناسید)، نظارت بر تراکنش‌ها برای فعالیت‌های مشکوک و ارائه گزارش‌های فعالیت‌های مشکوک می‌کند. این قوانین از قوانین ملی برگرفته از توصیه‌های FATF گرفته شده‌اند.
4. GDPR / CCPA — مقررات عمومی حفاظت از داده‌ها در اتحادیه اروپا و قانون حفظ حریم خصوصی مصرف‌کنندگان کالیفرنیا، قوانینی را برای حفظ حریم خصوصی داده‌ها در پرداخت‌ها تعیین می‌کنند و نحوه جمع‌آوری، ذخیره و پردازش داده‌های شخصی و اطلاعات پرداخت را تعیین می‌کنند. جریمه‌های GDPR حداکثر تا 20 میلیون یورو یا 4٪ از گردش مالی سالانه جهانی است. جریمه 405 میلیون یورویی متا در سال 2022 تأیید کرد که تنظیم‌کنندگان مقررات را در مقیاس وسیع اجرا خواهند کرد.
5. قوانین BSA / FinCEN - قانون رازداری بانکی ایالات متحده، مؤسسات مالی و مشاغل خدمات پولی را ملزم به حفظ برنامه‌های AML، گزارش تراکنش‌های نقدی بالای 10،000 دلار و ثبت گزارش‌های فعالیت مشکوک (SAR) می‌کند. FinCEN این تعهدات را به مشاغل کریپتو که در ایالات متحده فعالیت می‌کنند، تعمیم داده است.

PCI DSS 4.0: پایه و اساس امنیت داده‌های پرداخت

اکثر کسب‌وکارهای آنلاین قبل از هر قانون دیگری، PCI DSS را دریافت کردند. نسخه ۴.۰ در سال ۲۰۲۲ نهایی و از آوریل ۲۰۲۵ به‌طور کامل اجرا شد و تغییرات معناداری را به همراه داشت که بازرگانان و ارائه‌دهندگان پرداخت باید از آن‌ها آگاه باشند.

سطح انطباق به حجم تراکنش‌های سالانه کارت بستگی دارد:

• سطح ۱ : بیش از ۶ میلیون تراکنش در سال - ممیزی سالانه در محل توسط یک ارزیاب امنیتی واجد شرایط (QSA)
• سطح ۲ : ۱ تا ۶ میلیون تراکنش در سال - پرسشنامه خودارزیابی سالانه (SAQ) به علاوه اسکن‌های فصلی شبکه
• سطح ۳ : ۲۰،۰۰۰ تا ۱ میلیون تراکنش تجارت الکترونیک در سال - SAQ به علاوه اسکن‌های فصلی
• سطح ۴ : کمتر از ۲۰،۰۰۰ تراکنش تجارت الکترونیک در سال - توصیه شده توسط SAQ

چه تغییراتی در نسخه ۴.۰ در مقایسه با نسخه ۳.۲.۱ رخ داده است:

• رویکرد سفارشی : شرکت‌ها اکنون می‌توانند کنترل‌های جایگزینی را پیاده‌سازی کنند که هدف یک الزام را برآورده می‌کنند، نه اینکه مو به مو از مشخصات فنی تجویزی پیروی کنند.
• احراز هویت چند عاملی اجباری : اکنون احراز هویت چند عاملی برای همه دسترسی‌ها به محیط داده‌های دارنده کارت، نه فقط جلسات از راه دور، الزامی است.
• آموزش فیشینگ و مهندسی اجتماعی : آموزش آگاهی‌رسانی هدفمند یک الزام رسمی است، نه یک توصیه
• رمزهای عبور قوی‌تر : حداقل ۱۲ کاراکتر (به جای ۸ کاراکتر)، با چرخش خودکار هر ۹۰ روز یکبار برای حساب‌های کاربری با دسترسی بالا

هزینه نادیده گرفتن PCI DSS بسیار سنگین است. وقتی در سال ۲۰۰۸ شرکت سیستم‌های پرداخت هارتلند (Heartland Payment Systems) دچار نقض امنیتی شد، کل ضرر و زیان از ۲۰۰ میلیون دلار فراتر رفت. سهام این شرکت ظرف چند روز ۵۰ درصد کاهش یافت و قبل از هرگونه بهبودی، ۷۷ درصد از ارزش خود را از دست داد. کسب‌وکارهای کوچک معمولاً از این وضعیت جان سالم به در نمی‌برند.

AML و KYC: تشخیص جرایم مالی در مبدا

انطباق با AML به معنای ایجاد سیستم‌هایی است که جرایم مالی را قبل از اینکه از طریق پلتفرم شما جریان پیدا کنند، شناسایی می‌کنند. KYC - لایه تأیید هویت - چیزی است که در وهله اول این نظارت را ممکن می‌سازد.

الزامات انطباق با AML در واقع چیست؟

• نظارت بر تراکنش‌ها : سیستم‌های خودکار که الگوهای غیرمعمول را علامت‌گذاری می‌کنند - انتقال‌های بزرگ، جابجایی سریع وجوه، ساختاربندی (تجزیه تراکنش‌ها برای ماندن در زیر آستانه‌های گزارش‌دهی)
• ثبت گزارش‌های تجسس و نجات (SAR) : هنگامی که فعالیت مشکوکی مشاهده می‌شود، گزارش فعالیت مشکوک باید در بازه‌های زمانی مشخص به مرجع مربوطه ارسال شود.
• غربالگری تحریم‌ها : هر مشتری و طرف مقابل به صورت آنی در برابر فهرست تحریم‌های OFAC، سازمان ملل و اتحادیه اروپا بررسی می‌شود.
• بررسی دقیق مشتری (CDD) : بررسی مداوم مشخصات ریسک، نه فقط یک بررسی یکباره برای ورود به سیستم
• بررسی دقیق‌تر (EDD) : بررسی دقیق‌تر مشتریان پرخطر - افراد دارای ریسک سیاسی (PEP) و هر کسی از یک حوزه قضایی پرخطر

KYC در فرآیند جذب مشتری معمولاً به معنای تأیید اسناد (شناسنامه دولتی، مدرک آدرس) به علاوه بررسی زنده بودن است. راهکارهای eKYC اکنون این کار را با استفاده از هوش مصنوعی در عرض چند ثانیه انجام می‌دهند؛ برای هر فرآیند جذب مشتری در مقیاس بزرگ، این به استاندارد تبدیل شده است.

قانون سفر FATF یک لایه خاص رمزنگاری اضافه می‌کند: ارائه دهندگان خدمات دارایی مجازی باید اطلاعات فرستنده و گیرنده را در مورد نقل و انتقالات بالای ۱۰۰۰ دلار جمع‌آوری و ارسال کنند. آستانه دقیق بسته به حوزه قضایی کمی متفاوت است، اما این تعهد چه بیت کوین، استیبل کوین یا هر دارایی دیجیتال دیگری باشد، اعمال می‌شود.

الزامات PSD2، SCA و بانکداری باز

PSD2 احراز هویت را برای ارائه دهندگان خدمات پرداخت در سراسر اتحادیه اروپا تغییر شکل داد. وظیفه اصلی آن، احراز هویت قوی مشتری، اکنون استانداردی برای هر سرویس پرداختی است که در منطقه اقتصادی اروپا فعالیت می‌کند.

SCA نیاز به احراز هویت با استفاده از حداقل دو مورد از سه عامل مستقل دارد:

• چیزی که می‌دانید : رمز عبور، پین، سوال امنیتی
• چیزی که دارید : تلفن همراه، توکن سخت‌افزاری، کارت هوشمند
• چیزی که شما هستید : اثر انگشت، تشخیص چهره، الگوی صدا

3D Secure 2.0 استاندارد فنی اصلی برای پیاده‌سازی SCA در تراکنش‌های بدون حضور کارت است. این استاندارد سیگنال‌های ریسک را بین پذیرنده، شبکه کارت و بانک صادرکننده منتقل می‌کند و امکان انجام تراکنش‌های کم‌ریسک را بدون مشکل فراهم می‌کند.

معافیت‌های SCA برای کاهش اصطکاک غیرضروری وجود دارد:

PSD2 همچنین بانکداری باز را الزامی می‌کند. بانک‌ها باید با رضایت مشتری، به ارائه‌دهندگان شخص ثالث دارای مجوز، از طریق APIها، دسترسی به داده‌های حساب مشتری را بدهند. رعایت این قوانین دسترسی، شرط صدور مجوز است - اختیاری نیست.

انطباق پرداخت در فضای کریپتو و دارایی‌های دیجیتال

بیشتر راهنماهای انطباق پرداخت‌ها به پرداخت‌های کارتی و انتقال وجه الکترونیکی محدود می‌شوند. این یک شکاف واقعی است. فروشندگان ارزهای دیجیتال، درگاه‌های پرداخت و کسب‌وکارهای دارایی دیجیتال، تمام بار مقررات AML/KYC را به دوش می‌کشند، به علاوه یک لایه رو به رشد از قوانین خاص ارزهای دیجیتال نیز بر دوش آنها قرار دارد.

ارائه دهندگان خدمات دارایی مجازی (VASP) - صرافی‌های ارز دیجیتال، کیف پول‌ها، درگاه‌های پرداخت - طبق دستورالعمل‌های FATF به عنوان موسسات مالی برای اهداف مبارزه با پولشویی در نظر گرفته می‌شوند. در عمل، این به معنای:

• احراز هویت کامل مشتری (KYC) در بدو ورود به سیستم، نظارت مداوم بر تراکنش‌ها و تعهدات ثبت گزارش‌های مالیاتی (SAR)
• قانون سفر FATF : انتقال وجه بالای ۱۰۰۰ دلار مستلزم نام فرستنده، شماره حساب مبدا و جزئیات گیرنده برای انتقال وجه است.
• ثبت نام در FinCEN به عنوان یک کسب و کار خدمات پولی برای کسب و کارهای کریپتو مستقر در ایالات متحده
• مجوز تحت EU MiCA (مقررات بازار دارایی‌های رمزنگاری‌شده)، که از سال ۲۰۲۴ لازم‌الاجرا است و الزامات ذخیره، قوانین حمایت از مصرف‌کننده و تعهدات افشای اطلاعات را برای صادرکنندگان استیبل‌کوین و ارائه‌دهندگان خدمات رمزنگاری پوشش می‌دهد.

چالش عملی این است که انطباق باید در صدها دارایی و بلاکچین، که هر کدام قطعیت تسویه و قابلیت ردیابی متفاوتی دارند، عمل کند. ساختن چنین چیزی از ابتدا گران و کند است.

پلیسیو (Plisio) انطباق با قوانین را در سطح درگاه (gateway) مدیریت می‌کند و از بیش از ۲۰۰ ارز دیجیتال پشتیبانی می‌کند، در عین حال نظارت بر تراکنش‌های سازگار با AML و پذیرش پذیرندگان بر اساس اصول شناخت مشتری (KYC) را حفظ می‌کند. برای کسب‌وکارهای تجارت الکترونیک که می‌خواهند بدون ایجاد زیرساخت‌های انطباق با قوانین، ارزهای دیجیتال را بپذیرند، انتخاب درگاه (gateway) که پیچیدگی‌های نظارتی را جذب کند، مسیر عملی است.

چگونه یک گردش کار انطباق پرداخت ایجاد کنیم

انطباق ابزاری نیست که آن را روشن کنید. فرآیندی است که به طور مداوم اجرا می‌شود و وقتی به عنوان یک پروژه یک‌باره در نظر گرفته شود، از کار می‌افتد.

1. محیط خود را مشخص کنید — هر سیستمی را که با داده‌های پرداخت در ارتباط است، نقشه‌برداری کنید: صفحات پرداخت، پردازنده‌ها، پایگاه‌های داده، ادغام‌های شخص ثالث. PCI DSS فقط مواردی را که در محدوده قرار دارند پوشش می‌دهد و بیشتر نقض‌ها در گوشه‌هایی اتفاق می‌افتند که هرگز مشخص نشده‌اند.
2. انجام تحلیل شکاف انطباق - کنترل‌های فعلی را با الزامات PCI DSS، AML/KYC و GDPR (یا CCPA) بسنجید. موارد غایب را بنویسید، نه فقط موارد موجود را.
3. پیاده‌سازی کنترل‌های فنی - توکن‌سازی، شماره کارت‌ها را با توکن‌های غیرحساس جایگزین می‌کند؛ رمزگذاری، داده‌های در حال انتقال و داده‌های ذخیره شده را پوشش می‌دهد. همین دو مرحله به تنهایی بخش عمده‌ای از دامنه PCI DSS را از بین می‌برد.
4. نظارت بر تراکنش‌ها را راه‌اندازی کنید - سیستم‌های خودکار باید تراکنش‌های مشکوک را در لحظه علامت‌گذاری کنند. قبل از راه‌اندازی، قوانین هشدار را تعریف کنید، صف‌های زمانی را بررسی کنید و مسیرهای تشدید را طی کنید، نه بعد از آن.
5. آموزش کارکنان - مهندسی اجتماعی و فیشینگ باعث نقض‌های امنیتی بیشتری نسبت به نقص‌های فنی می‌شوند. PCI DSS 4.0 اکنون نیاز به آموزش هدفمند آگاهی‌بخشی امنیتی دارد؛ آن را به عنوان یک کنترل واقعی در نظر بگیرید.
6. همه چیز را مستند کنید - سیاست‌ها، رویه‌ها، مسیرهای حسابرسی، برنامه‌های واکنش به حوادث. نهادهای نظارتی، مستندات را به عنوان مدرکی دال بر داشتن قصد و توانایی شما می‌خواهند، نه فقط سیستم‌های کارآمد.
7. ممیزی‌های منظم را برنامه‌ریزی کنید - ارزیابی‌های سالانه PCI DSS، اسکن‌های شبکه فصلی و بررسی‌های مداوم برنامه AML. بدون نگهداری فعال، انطباق با قوانین دچار مشکل می‌شود.
8. شرکای پرداخت سازگار را انتخاب کنید - شرکای پردازنده، درگاه و بانکی شما مسئولیت مشترکی دارند. شریکی که PCI DSS را در سطح زیرساخت مدیریت می‌کند، دامنه فعالیت شما را به طرز چشمگیری کاهش می‌دهد.

بهترین شیوه‌های انطباق با پرداخت‌ها برای تجارت الکترونیک

وقتی برنامه انطباق پرداخت شما اجرا می‌شود، این شیوه‌ها مانع از فروپاشی بی‌سروصدای آن می‌شوند:

• از یک درگاه دارای گواهینامه سطح ۱ PCI DSS استفاده کنید - مدیریت داده‌های دارنده کارت را به ارائه‌دهنده واگذار می‌کند و معمولاً دامنه PCI DSS شما را به یک SAQ A کاهش می‌دهد.
• فعال کردن 3D Secure 2.0 - کاهش ریسک کلاهبرداری در تراکنش‌های بدون حضور کارت و برآورده کردن الزامات اتحادیه اروپا در حوزه SCA
• همه چیز را توکنیزه کنید - شماره کارت‌ها را در نقطه ورود با توکن جایگزین کنید؛ داده‌های خام دارنده کارت هرگز نباید در سیستم‌های شما باقی بمانند.
• پیاده‌سازی اثر انگشت دستگاه و موقعیت جغرافیایی IP - ایجاد سیگنال‌های پیشگیری از کلاهبرداری از داده‌های رفتاری بدون ایجاد اصطکاک در فرآیند پرداخت
• اعمال حداقل‌سازی داده‌ها - تحت GDPR، فقط آنچه را که نیاز دارید جمع‌آوری کنید، آن را فقط تا زمانی که لازم است نگه دارید، آن را طبق برنامه حذف کنید
• قبل از فعال کردن پرداخت‌ها، فروشندگان را تأیید کنید - در یک بازار یا پلتفرم، انطباق با قوانین پذیرش شامل فروشندگان فرعی نیز می‌شود.
• یک برنامه واکنش به حوادث داشته باشید - GDPR الزام می‌کند که ظرف ۷۲ ساعت به نهادهای نظارتی اطلاع‌رسانی در مورد نقض اطلاعات انجام شود؛ اکثر ایالت‌های آمریکا این زمان را ۳۰ روز تعیین کرده‌اند. یک برنامه آزمایش نشده فقط یک سند است.

Simon Chartan

A journalist with a strong technical background and a passion for decentralized finance. With degrees in MBA and Master of Engineering in Data Science, the author combines analytical expertise with a clear, engaging writing style. At Plisio, they cover topics such as cryptocurrency, blockchain, DeFi, and digital finance—helping readers make sense of a rapidly evolving fintech landscape.