آیا امنیت پرداخت الکترونیک در کشور ما از بین رفته است؟
گروه مطالعات راهبردی شرکت ایران کیش- افشای اطلاعات مربوط به کارتهای بیش از ۳ میلیون دارنده کارت در کشور همه را نگران ساخته است. کار به جایی رسیده است که علاوه بر شبکههای خبری داخلی شبکههای خبری خارجی معاند نیز وارد میدان شده و هر یک به موضوع از دید خود نگریسته و آن را تحلیل و بررسی میکنند. برخی اعلام بحران کرده و برخی موضوع را سادهتر و کماهمیتتر از آنچه هست ارزیابی کردهاند. اما به راستی موضوع بسیار با اهمیت حفظ امنیت اطلاعات دارندگان کارت و به طور کلی شبکههای پرداخت الکترونیک تا چه حد در کشور ما پیادهسازی شده و راهکارهای کاهش پایدار دغدغههای عمومی جامعه در این
بخش چیست؟
در کشورهای توسعه یافته که بسیاری از روشهای پرداخت الکترونیک با ریسکهای امنیتی بالقوه بسیار بالاتری از روشهای موجود در کشور ما در حال استفاده میباشند (نظیر پرداختهای بدون حضور کارت یا پرداخت بدون رمز) چه مکانیسمها و فرآیندهایی حافظ امنیت عمومی جامعه در بالاترین سطح خود میباشد؟
ساختار شبکه پرداخت الکترونیک کنونی کشور چگونه است؟
در ساختار کنونی شبکه پرداخت الکترونیک کشور که با الگوبرداری مناسبی از کشورهای توسعهیافته طراحی شده است، فعالان زیر حضور دارند:
بانک صادرکننده کارت: مسوولیت صدور و مدیریت فرآیندهای مرتبط با دارنده کارت را بر عهده دارد.
بانک پذیرنده: این بانک مسوولیت مدیریت حسابهای پذیرندگان کارت را بر عهده دارد.
شتاب: که وظیفه متمرکزسازی و انجام تبادلات فنی و مالی فیمابین بانکهای مختلف را در شبکه بانکی برعهده دارد.
شرکتهای ارائهدهنده خدمات پرداخت (PSP): این شرکتها وظیفه فراهمسازی زیرساختهای خدمات پرداخت الکترونیک نظیر نصب، راهاندازی، مدیریت و اتصال شبکه کارتخوانهای فروشگاهی را به شبکه بانکی بر عهده دارند.
چرا نقش شاپرک در این حوزه اهمیت فراوان دارد؟
بدیهی است که بانک مرکزی به عنوان نهاد ناظر پولی و بانکی کشور دارای وظایف متعدد در حوزههای مختلف اقتصادی کشور است و هیچگاه فرصت و توان عملیاتی کافی برای نظارت بر جزئیات ارائه خدمات پرداخت در کشور را نداشته و نخواهد داشت. از این رو شرکت شاپرک به عنوان شرکتی که با وظایف حاکمیتی از سوی شرکت ملی انفورماتیک و بانک مرکزی تشکیل شده و ماموریت نظارت بر این حوزه و سازماندهی مجدد آن را بر عهده دارد، میتواند با تمرکز صرف بر این فعالیت اقدام به نظارت مستمر و بازدیدهای منظم و دوره ای بر فعالیت شرکتهای PSP نموده و بازوی توانایی بانک مرکزی در این حوزه باشد.
نظارت بر رعایت انواع استانداردهای امنیتی PCI و سایر ضوابط و قوانین کشوری از یک سو و تامین امنیت اقتصادی برای فعالیت شرکتهای PSP با هدف ایجاد توجیه اقتصادی در زمینه توسعه سرمایهگذاریهای ایشان در حوزه امنیت از اهم وظایف شاپرک خواهد بود.
بنابراین بر همگان واجب است که در مقطع کنونی با حمایت از شرکت نوپای شاپرک زمینه استقرار هر چه سریعتر و ایفای کامل وظایف نظارتی آن را فراهم آورند.
مکانیسمهای امنیتی سایر کشورها برای تامین امنیت پرداخت الکترونیک چیست؟
امنیت در حوزه خدمات پرداخت الکترونیک دارای لایههای متعدد بوده و برای هر یک برنامهریزی متفاوتی انجام میشود.
۱- لایه امنیت ابزارهای پرداخت و پذیرش (نظیر کارت و دستگاه کارتخوان):
در این بخش به دلیل تنوع وسیع شرکتهای تولیدکننده ابزارهای پذیرش کارت و تکنولوژیهای متعدد و متفاوت به کار گرفتهشده توسط هر یک در تولید محصولات خود از یک سو و از سوی دیگر روشهای متفاوت هر بانک یا موسسه صادرکننده کارت در تولید و صدور کارت و نیز سطوح متفاوت امنیتی به کار گرفتهشده توسط شبکههای ارتباطی و مخابراتی واسط، از سالها پیش به منظور حفظ امنیت عمومی در این بخش اقدام به تشکیل انجمنی بینالمللی تحت عنوان PCI SSC با مشارکت برخی از بزرگترین شبکههای پرداخت شده است و نهاد ناظر در هر کشور یا هر شبکه پرداخت نظیر (Visa و Master Card) تمامی فعالان عضو خود را ملزم به پذیرش و رعایت این استانداردها در ابزارهای مورد استفاده خود کرده و به این شکل تمامی دستگاههای کارتخوان، دستگاههای خودپرداز، کارتها، سوئیچها و... برای استفاده در شبکههای پرداخت ملزم به ارائه گواهینامه تایید امنیت صادر شده از سوی PCI میشوند.
انجمن PCI SSC
انجمن استانداردهای امنیتی صنعت پرداخت کارتی (PCI SSC) یک انجمن جهانی است که در سال ۲۰۰۶ به عنوان مسوول توسعه، مدیریت، آموزش و آگاهیبخشی در زمینه استانداردهای امنیتی صنعت پرداخت کارتی و با هدف اصلی بهبود در روند محافظت از اطلاعات دارندگان کارت و تسهیل پیادهسازی راهکارهای امنیتی در سطح جهانی تشکیل شد. موسسان این انجمن پنج برند اصلی شبکه پرداخت کارتی در جهان، شامل شرکتهای Visa، MasterCard، Discover، American Express و JCB میباشند و تمامی این شرکتها از سهم برابری در مسوولیت اداره و پیشبرد اهداف انجمن برخوردارند.این انجمن برنامههای خود را در زمینه امنیت پرداخت کارتی، استاندارد امنیت دادهها در صنعت پرداخت کارتی (PCI DSS) را تدوین کرده که در بخش بعد به آن میپردازیم.
استاندارد PCI DSS
این استاندارد تعیینکننده حداقلی از راهکارها و الزامات مشخصی در جهت محافظت از اطلاعات دارندگان کارت است و باید توسط کلیه شرکتها و کسبوکارهای پردازشکننده کارتهای پرداخت، شامل پذیرندگان، پردازشگران، صادرکنندگان و ارائه دهندگان خدمات پرداخت و تمامی بازیگران موجود در چرخه ثبت، پردازش و انتقال اطلاعات کارت، رعایت شود.
این الزامات شامل مدیریت امنیت، ساختار شبکه، طراحی نرمافزار، سیاستهای داخلی، روندهای اجرایی و سایر بخشهایی است که در محافظت از اطلاعات دارندگان کارت حضور داشته و موثرند.
مواردی که شرکتهای ذکر شده ملزم به رعایت و کنترل آن هستند و در فواصل زمانی مشخص تحت بازرسی و نظارت نمایندگان مورد تایید انجمن قرار میگیرند، عبارتند از ۱۲ مورد که در شش گروه کلی قرار دارند:
i- توسعه و مدیریت یک شبکه مطمئن شامل:
۱- نصب و مدیریت یک برنامه Firewall
۲- عدم استفاده از پارامترهای اولیه نصبشده توسط تولیدکننده به عنوان پسورد سیستم
ii- محافظت از اطلاعات دارندگان کارت شامل:
۳- محافظت از اطلاعات ذخیره و آرشیو شده در سیستم
۴- کدگذاری دادههای مرتبط با اطلاعات انتقال داده شده در شبکههای عمومی
iii- استفاده از یک نرمافزار به منظور مدیریت ریسک شامل:
۵- استفاده و بهروزرسانی مداوم نرمافزارهای ویروسیاب
۶- توسعه و مدیریت سیستمها و برنامههای محافظتشده
iv- پیادهسازی راهکارهای کنترلی شدید در میزان دسترسی به اطلاعات شامل:
۷- محدود کردن دسترسی به اطلاعات دارندگان کارت در حد لزوم
۸- تخصیص یک کد شناسایی مشخص به یک یک افرادی که به اطلاعات دسترسی دارند
۹- ایجاد محدودیت در دسترسی فیزیکی به اطلاعات ذخیرهشده
v- کنترل و تست شبکههای مورد استفاده شامل:
۱۰- ثبت و کنترل تمامی ورودها به شبکههای حفظ و پردازش اطلاعات دارندگان کارت
۱۱- اجرای منظم تست سیستمها و رویههای امنیتی
vi- مدیریت یک سیاست امنیتی در قبال اطلاعات کارتی:
۱۲- اتخاذ و اجرای سیاستی که حفاظت امنیت اطلاعات توسط تمامی پرسنل را تضمین کند.
در ایران شرایط چگونه است؟
واقعیت آن است که به دلیل رشد بسیار سریع شبکه کارتخوانهای فروشگاهی کشور و سایر روشهای پرداخت الکترونیک نظیر پرداخت اینترنتی، لازم است که اکنون با طراحی مجدد این لایه امنیتی تمامی شرکتهای PSP فعال و نیز تمامی بانکهای حاضر در کشور ملزم به رعایت استاندارد PCI DSS شده و اقدام به اخذ و ارائه گواهینامههای مربوطه در خصوص تمامی ابزارها و تجهیزات خود کنند و به کارگیری هر ابزاری در سطح جامعه منوط به طی فرآیند فوق باشد.
۱- لایه امنیت در حوزه مدیریت:
به دلیل حساسیت بالای این بخش از اقتصاد (بخش بانکی و پولی) و ارتباط مستقیم آن با احساس امنیت یا ناامنی عمومی جامعه، عموما مدیران و مسوولان این بخش برای تصدی مسوولیت خود میبایست از فیلترهای متعددی گذشته و تایید صلاحیت شوند، اما این تمامی ماجرا نیست؛ چرا که در صورت عدم طراحی صحیح و پیشبینی مکانیسمهای امنیتی و احتیاطی لازم جبران خسارات مالی و امنیتی وارده به هیچ روی امکانپذیر نخواهد بود.
عوامل ذیل از جمله مهمترین عوامل تضمینکننده امنیت عمومی در حوزه خدمات پرداخت الکترونیک و جبران خسارات وارده احتمالی به جامعه است که در بیشتر کشورهای توسعه یافته پیاده سازی شدهاند:
۲- افزایش میزان سرمایه ثبت شده شرکتهای PSP:
بدیهی است در صورتی که شرکت PSP دارای سرمایه ثبت شد، باشد، به هیچ روی توان جبران خسارات وارده احتمالی در رویدادهایی نظیر افشای اطلاعات کنونی را نخواهد داشت. بنابراین پیشبینی میزان حداقلی سرمایه ثبت شده و الزام تمامی شرکتهای فعال به رعایت آن از جمله مهمترین اقدامات موثر خواهد بود.
۳- الزام تمامی شرکتهای فعال برای تبدیل شدن به شرکت سهامی عام:
به دلیل تفاوت ماهیت تصمیمگیری در شرکتهای دارای مالکیت شخصی با شرکتهایی که به صورت سهامی عام و با حضور نمایندگان افراد و شرکتهای مختلف در هیاتمدیره و سپس مجامع شرکت اداره میشوند و کاهش امکان اخذ تصمیمات شخصی و مغایر با منافع عمومی در این نوع شرکتها، پیشبینی فرآیندی که طی آن تمامی شرکتهای فعال و دارای مجوز به سرعت به شرکت سهامی عام تبدیل شوند مرحله بعدی کار خواهد بود.
۴- لزوم پیش بینی منطقی برای حفظ و توسعه در آمد شرکتهای PSP:
یکی از رویکردهای احساسی و شاید غیر منطقی در شرایط کنونی، اعمال هر چه بیشتر محدودیت بر عملکرد شرکتهای PSP در حوزه فعالیت تجاری و کاهش کانالهای درآمدی ایشان خواهد بود.
تقریبا در تمامی مدلهای بکارگیری شده در شبکههای بینالمللی پرداخت در کشورهایی نظیر آمریکا و کانادا طراحی فضای اقتصادی صنعت پرداخت الکترونیک بر محوریت ایجاد منافع پایدار و گسترده برای تمامی بازیگران اعم از بانکها و شرکتهای PSP انجام شده است تا جایی که به طور مثال در ایالاتمتحده شرکتهای PSP نظیر FIRST DATA در سال ۲۰۱۰ با حضور در ۳۵ کشور در مناطق آمریکای شمالی و لاتین، اروپا، منطقه آسیا/پاسیفیک، خاورمیانه و آفریقا و با ارائه خدمات به ۲/۶ میلیون پذیرنده و هفت هزار موسسه مالی، موفق به پردازش مبلغ ۶۰ میلیارد دلار و کسب درآمد ۴/۱۰ میلیارد دلار شدهاند. این در حالی است که تعداد کارمندان این شرکت در پایان سال ۲۰۱۰ حدود ۲۴هزار نفر بوده است.
به روشنی معین است که هدف نهاد ناظر و طراحان صنعت پرداخت الکترونیک در آمریکا ایجاد محدودیت در درآمدهای شرکتهای PSP و انواع حوزههای فعالیت ایشان نبوده است.
چرا دغدغه صنعت پرداخت الکترونیک در کشورهای توسعه یافته حفظ و توسعه درآمدهای شرکتهای PSP و بانکها است؟
یکی از پاسخهای اصلی این پرسش آن است که تنها در صورت حفظ منافع سهامداران شرکتهای PSP و سرمایهگذاران این شرکتها از سود حاصله از فعالیتهای خود و البته نظارت و کنترل دقیق نهاد ناظر است که میتوان به طور منطقی انتظار داشت تا این شرکتها با سرمایهگذاری در حوزههایی نظیر تامین امنیت، استانداردهای به کارگیری شده را ارتقا بخشند.
۲- ایجاد شرکتهای مادر در حوزه ارائه خدمات پرداخت الکترونیک:
صنعت بانکداری و فعالیتهای پولی و مالی از جمله معدود حوزههایی است که کشورهای توسعه یافته از تمرکزگرایی در آن پرهیز نکرده و آگاهانه در حال مدیریت ایجاد هر چه بیشتر تمرکز در آن میباشند.
مروری بر اخبار روزانه منتشر شده در سایتها و ژورنالهای معتبر بانکی و پرداخت الکترونیک در سطح دنیا حاکی از آن است که روزی نیست که یک شرکت کوچکتر توسط شرکتهای بزرگتر خریداری نشده و به آن الحاق نشود. تا جایی که اخیرا حتی در حوزههای حساسی نظیر مدیریت سوئیچهای پرداخت ملی در انگلستان نیز شاهد خرید شرکت switch (یکی از شرکتهای اصلی مدیریت تراکنشها) توسط شرکت بینالمللی Master Card یا خرید شرکت معظم Hypercom (تولیدکننده سوم دنیا در زمینه دستگاه کارتخوان) توسط شرکت دوم دنیا در این حوزه یعنی Verifon بودهایم. (بر اساس اطلاعات منتشر شده توسط بانک مرکزی انگلستان -۲۰۱۱ و نشریه Nilson report) پرسش اصلی آن است که چرا حاکمیتهای ملی یا نهادهای ضد انحصار در سطح اروپا و آمریکا در برابر این بزرگتر شدن شرکتهای بزرگتر مقاومتی نکرده و حتی آنرا تشویق میکنند؟
پاسخ؟
۱- شرکتهای بزرگتر به دلیل وجود سهامداران متعدد میبایست میزان شفافیت مالی و عملیاتی بالاتری داشته و سلامت اقتصادی آنها به مراتب بیشتر از شرکتهای کوچکتر خواهد بود.
۲- در صورت بروز بحرانهای مالی یا عملیاتی یا وجود نقص امنیتی در این شرکتها به دلیل توان مالی بالا، امکان جبران خسارات وارده حتی در مبالغ بسیار بالا وجود خواهد داشت.
۳- شرکتهای بزرگتر امکان سرمایهگذاری بیشتری را در حوزه تامین امنیت پرداخت الکترونیک دارا میباشند.
۴- تعدد شرکتهای فعال در حوزه ارائه خدمات پرداخت یا به طور کلی صنعت بانکداری زمینههای کاهش امکان نظارت موثر نهاد ناظر را فراهم میآورد.
۵- تعدد شرکتهای فعال در این حوزه به صورت اتوماتیک منجر به ارائه سطوح متفاوت کیفیت خدمات شده و موجب افزایش نارضایتی عمومی میشوند و همانند رویداد اخیر عملا امکان نظارت فنی مستقیم و مستمر بر فعالیت شرکتهای PSP وجود نخواهد داشت.
راهحل چیست؟
بانک مرکزی و برخی فعالان این صنعت از مدتها پیش به دنبال ارتقای استانداردهای امنیتی و بازطراحی ساختار و تعریف مجدد نقش شرکتهای PSP و بانکها در این حوزه بودهاند. به کارگیری الگوهای کشورهای توسعه یافته در تعریف نقش شرکت مادر برای شرکتهای بزرگ و با سابقه PSP و ادغام شرکتهای کوچکتر در آنها، عملا گام بلندی در افزایش امنیت شبکههای پرداخت الکترونیک در کشور خواهد بود.
ارسال نظر