پساتحریم و الزامات امنیت در حوزه پرداخت

مهندس نوش آفرین مومن واقفی
مدیر ریسک و امنیت اطلاعات شرکت خدمات انفورماتیک

با اجرایی شدن برجام و ورود به دوران پساتحریم، امکان اتصال بانک‌ها و سوئیچ ملی کشور به زیرساخت‌های بین‌المللی فراهم می‌شود و بی‌شک این نکته یکی از مهم‌ترین رویدادهای صنعت بانکی در دوران پساتحریم خواهد بود. ‌اما سوالی که در اینجا مطرح می‌شود این است: الزامات امنیت در این زمینه چه خواهد بود و پرداختن به آن تا چه حد در این صنعت ضرورت محسوب می‌شود؟

مقوله امنیت صرفا ضرورت صنعت پرداخت در دوران پساتحریم نیست اما می‌دانیم در دوران تحریم بسیاری از بانک‌ها و شرکت‌های ارائه‌دهنده سرویس‌های بانکی پرداختن به امنیت را به دلایل مختلف در اولویت قرار نداده‌اند و اکنون شاهد تهدید جدی کسب و کار خود از سوی رقیبان بین‌المللی هستند. بدیهی است نمی‌توان از کنار این دغدغه به سادگی عبور کرد. از مهم‌ترین چالش‌های پساتحریم در صنعت بانکی و خصوصاً صنعت پرداخت، مواجه شدن با فرصت‌ها و تهدیدات جدید این حوزه است.

از آن جمله رودررو شدن با فرصت تعامل با صنعت پرداخت در جهان امروز و امکان دستیابی به فناوری‌ها، دانش تخصصی و راهکارهای نوین و از سوی دیگر مواجهه با تهدید ظهور رقبای جدید و برندهای مطرح دنیا در صنعت پرداخت است. تامین یا تقویت زیرساخت مناسب مطابق با استانداردهای کیفیت و امنیت این صنعت به گونه‌ای که امکان تعامل با بازیگران صنعت پرداخت علاوه بر اینکه در داخل کشور تامین می‌شود، در صحنه بین‌المللی نیز فراهم آید، از حداقل پیش‌نیاز‌ها برای مدیریت ریسک‌های دوران پساتحریم در حوزه این کسب و کار است. اگرچه در دهه گذشته، توسعه بانکداری الکترونیکی در ایران و ارائه سرویس‌های نوین در حوزه پرداخت، رشد سریع و قابل توجهی داشته‌است، ولی به دلیل وجود تحریم‌ها در استفاده از برخی فناوری‌ها خصوصاً فناوری‌های مرتبط با حوزه امنیت، شبکه بانکی کشور با محدودیت‌هایی مواجه بود و این امر موجب عقب‌ماندگی‌هایی در حوزه تطابق با الزامات و استانداردهای فنی و امنیتی در صنعت پرداخت شد. این نکته جای تاکید دارد که توجه ناکافی به جبران سریع ضعف‌های برجامانده از دوران تحریم، از جمله موارد فنی و امنیتی در صنعت پرداخت، می‌تواند فرصت‌های پیش ‌رو را تبدیل به تهدیدات جدی کند. الزامات امنیت صنعت پرداخت در پساتحریم را می‌توان به دو حوزه تقسیم کرد که هر یک لازم و ملزوم دیگری است:

۱- الزامات امنیتی مورد نیاز برای اتصال به شبکه‌ها و سوئیچ‌های بین‌المللی

۲- الزامات امنیتی مورد نیاز در تامین امنیت صنعت پرداخت ملی کشور پس از اتصال به سوئیچ‌های بین‌المللی با شرط حفظ یکپارچگی سرویس

در شرایط پساتحریم، ضرورت رعایت استانداردهای بین‌المللی و حاکمیتی نظیر قوانین و استانداردهای کمیته بازل و همچنین استانداردهای مرتبط با مدیریت ریسک و امنیت (از جمله مدیریت ریسک‌های اعتباری و سرمایه‌گذاری) در صنعت بانکی، غیرقابل چشم‌پوشی است؛ همزمان باید الزامات و استانداردهای فنی امنیتی در اتصال به سوئیچ‌های بین‌المللی نیز مورد توجه قرار گیرد. زیرا یکی از مهم‌ترین پیش‌نیاز‌ها در استقرار فرآیند‌ها، محصولات و سامانه‌های کارت‌های شبکه‌های بین‌المللی از قبیل VISA، MasterCard در کشور است. مهم‌ترین اصل این است که قبل از هر اقدامی تدوین نقشه راه برای تعامل با صنعت پرداخت بین‌الملل مورد توجه قرار گیرد. در تدوین این نقشه راه که قاعدتاً باید زیر نظر بانک مرکزی انجام پذیرد، می‌توان به موارد ذیل اشاره کرد:

۱- شناسایی حوزه‌های جدید رگولاتوری صنعت پرداخت با توجه به پساتحریم

۲- تدوین برنامه اجرایی و انجام اقدامات لازم در حوزه استانداردسازی و ارتقای امنیت

۳- ایجاد زیرساخت‌های ارزیابی و ممیزی امنیت در صنعت پرداخت در کشور

۴- شناسایی و ایجاد زیرساخت‌های فنی امنیتی لازم در اتصال به شبکه‌های بین‌المللی

۵- افزایش ظرفیت نیروی انسانی متخصص در حوزه امنیت صنعت پرداخت

۶- تبیین نقش‌ها و مسئولیت‌ها در اتصال به زیرساخت‌های بین‌المللی صنعت پرداخت

در حوزه اقدامات اجرایی و در راستای تامین و تقویت امنیت صنعت پرداخت در کشور جهت حضور در سطح بین‌الملل الزامات زیر از اهم مواردی است که در کل صنعت باید مورد توجه و نظارت قرار گیرد:

۱- تطابق با الزامات بین‌المللی و استقرار استاندارد‌ها: موارد تطابق با الزامات و استانداردهای بین‌المللی در حوزه AML، PCI، EMV و نظایر آن از اولین الزاماتی است که باید مورد توجه قرار گیرد.

PCI شامل مجموعه نیازمندی‌های امنیتی برای حفظ و نگهداری اطلاعات کارت است و بر مبنای آن لازم است صادرکنندگان، پذیرندگان و ارائه‌دهندگان سرویس قوانین مربوط به آن‌را رعایت کنند.

این استاندارد جامع، در واقع نوعی استاندارد امنیتی چندمحوری است که شامل نیازمندی‌هایی برای مدیریت امنیت، سیاست‌ها، رویه‌ها، معماری شبکه، طراحی نرم‌افزار و دیگر تمهیدات حفاظت از اطلاعات حساس کارت بوده و کمک به بانک‌ها و موسسات مالی، جهت حفاظت از داده‌های حساس مشتریان را به عنوان هدف خود در نظر می‌گیرد. آخرین نسخه این استاندارد در ماه آوریل سال ۲۰۱۵ منتشر شده است. انواع استاندارد‌ها در حوزه PCI که الزامات آن بایستی در صنعت پرداخت کشور مورد توجه قرار گیرد، عبارتند ازPCI-DSS:، PA-DSS و PCI-PTS. از دیگر استانداردهای مطرح در این حوزه استاندارد EMV است که در بحث صدور و مدیریت تراکنش‌های کارت‌های هوشمند و تعامل امن با پایانه‌ها به عنوان یک پیش‌نیاز اصلی در اتصال به سوئیچ‌های بین‌المللی مطرح است. در اینجا مجموعه‌ای از پروتکل‌ها و استاندارد‌ها در صنعت پرداخت به کار گرفته خواهد شد که عملاً امنیت پرداخت را ارتقا می‌دهد و سبب کاهش احتمال وقوع تقلب و دزدی در کارت می‌شود.

سیستم مدیریت تقلب (Fraud Management):

استقرار سیستم‌های مدیریت تقلب در سامانه‌های پرداخت و سوئیچ کارت بانک‌ها نیز جزیی از الزامات اتصال به شبکه‌های بین‌المللی است و بایستی مورد توجه جدی قرار گیرد. به دلیل محدودیت‌های ناشی از تحریم، کمبودهای قابل توجهی در این قسمت شبکه بانکی وجود دارد و از این رو نیازمند اقدامات فوری و اولویت‌دار خواهد بود. روش‌های کشف تقلب دارای انواع گوناگونی است که در هر دو حوزه تراکنش‌های برخط و برون‌خط کارکرد دارد. موضوعات دیگری نیز در چرخه مدیریت تراکنش‌های کارت وجود دارد نظیر جداسازی فرآیندهای مرتبط با پذیرندگی و صادرکنندگی که برای اتصال به سازمان‌های بین‌المللی نظیر VISA و MasterCard اهمیت خاصی دارد؛ برای عضویت در این سازمان‌ها تفکیک و شفاف‌سازی نقش‌ها، مسئولیت‌ها و فرآیندهای لازم در ساختار و سازمان کل ارائه‌دهندگان سرویس پرداخت ضروری است و ممیزی می‌شود. به عنوان یک پیش‌نیاز لازم است استاندارد MCC مناسب در صنعت پرداخت کشور استقرار یابد و اطلاعات پذیرندگان به نحو مناسب و صحیح طبقه‌بندی شود.

ایجاد مرجعی برای ارزیابی امنیتی در صنعت پرداخت کشور که مورد تایید سازمان‌های بین‌المللی باشد و همچنین مرجعی برای طراحی و پیاده‌سازی امنیت و استقرار سایر استاندارد‌ها در این زمینه نظیر استاندارد مدیریت امنیت اطلاعات (ISO۲۷۰۰۱)، مدیریت تداوم کسب و کار (ISO۲۲۳۰۱)، مدیریت ریسک (ISO۳۱۰۰۰)، مدیریت سرویس (ISO۲۰۰۰۰) و نظایر آن به عنوان اثباتی بر رعایت الزامات در این حوزه‌ها قطعا می‌‌تواند مورد توجه و تایید ممیزین بین‌المللی قرار گیرد و شرایط اخذ سایر گواهینامه‌ها را نیز هموار سازد. پیاده‌سازی استانداردهای بین‌المللی امنیت اطلاعات در تمامی بخش‌های یک نظام بانکی و متعاقباً دریافت گواهینامه‌های استاندارد، معیاری است برای تضمین سطح کیفیت و امنیت سامانه‌ها. خوشبختانه در حال حاضر شبکه بانکی و سوئیچ ملی (شتاب) با توجه به امکانات و زیرساخت‌های لازم و تجربه و تخصص، پتانسیل لازم را برای اتصال به زیرساخت‌های پرداخت شبکه‌های بین‌المللی داراست و با تسریع در استقرار استاندارد‌ها و الزامات می‌توانیم در صورت رفع تحریم‌ها به شبکه‌های پرداخت بین‌المللی متصل شویم. اگر بخواهیم کل زنجیره پرداخت با استانداردهای بین‌المللی منطبق شود، هزینه و زمان زیادی مورد نیاز است. و همان‌گونه که قبلاً اشاره شد، الزامات امنیتی پساتحریم در دو حوزه مطرح است.

حوزه الزامات مورد نیاز در حفظ یکپارچگی سرویس و امنیت صنعت پرداخت ملی کشور پس از اتصال به سوئیچ‌های بین‌المللی نیز به‌اندازه تامین الزامات امنیتی پیش‌نیاز در اتصال به زیرساخت‌های بین‌المللی این حوزه مهم است. بدیهی است در صنعت پرداخت پساتحریم فقط قوانین و الزامات بین‌المللی نیست که باید مورد توجه قرار گیرد بلکه الزامات و استانداردهای امنیتی، تطابق با قوانین و الزامات داخل کشور (از جمله قوانین مورد نظر بانک مرکزی در حوزه پولی و بانکی، قوانین تقلب و پولشویی و سیاست‌های ارزی کشور) نباید نقض شود. حتی اگر بانک‌ها هم بخواهند مستقیماً وارد تعامل با سازمان‌هایی نظیر VISA و MasterCard شوند، می‌بایست بانک مرکزی به عنوان سیاستگذار کلان در صنعت پرداخت مشخص کند چه محصولات و سرویس‌هایی از VISA و MasterCard در کشور مجاز است و اولویت پرداختن به آنها را نیز تعیین کند. در ابتدا انجام یک Gap Analysis در تشخیص فاصله بین وضعیت موجود تا رسیدن به انطباق با الزامات فنی امنیتی VISA و MasterCard کمک خواهد کرد تا با تعیین گام‌های حرکت، هر یک از بازیگران صنعت پرداخت در کشور، مسئولیت‌های خود را به صورت شفاف پذیرا باشند و به بهترین شکل دنبال کنند و به این ترتیب می‌توان به هم‌افزایی قابل توجهی دست یافت.