آیا امنیت پرداخت الکترونیک در کشور ما از بین رفته است؟

گروه مطالعات راهبردی شرکت ایران کیش- افشای اطلاعات مربوط به کارت‌های بیش از ۳ میلیون دارنده کارت در کشور همه را نگران ساخته است. کار به جایی رسیده است که علاوه بر شبکه‌های خبری داخلی شبکه‌های خبری خارجی معاند نیز وارد میدان شده و هر یک به موضوع از دید خود نگریسته و آن را تحلیل و بررسی می‌کنند. برخی اعلام بحران کرده و برخی موضوع را ساده‌تر و کم‌اهمیت‌تر از آنچه هست ارزیابی کرده‌اند. اما به راستی موضوع بسیار با اهمیت حفظ امنیت اطلاعات دارندگان کارت و به طور کلی شبکه‌های پرداخت الکترونیک تا چه حد در کشور ما پیاده‌سازی شده و راهکارهای کاهش پایدار دغدغه‌های عمومی جامعه در این

بخش چیست؟

در کشورهای توسعه یافته که بسیاری از روش‌های پرداخت الکترونیک با ریسک‌های امنیتی بالقوه بسیار بالاتری از روش‌های موجود در کشور ما در حال استفاده می‌باشند (نظیر پرداخت‌های بدون حضور کارت یا پرداخت بدون رمز) چه مکانیسم‌ها و فرآیندهایی حافظ امنیت عمومی جامعه در بالاترین سطح خود می‌باشد؟

ساختار شبکه پرداخت الکترونیک کنونی کشور چگونه است؟

در ساختار کنونی شبکه پرداخت الکترونیک کشور که با الگوبرداری مناسبی از کشورهای توسعه‌یافته طراحی شده است، فعالان زیر حضور دارند:

بانک صادر‌کننده کارت: مسوولیت صدور و مدیریت فرآیند‌های مرتبط با دارنده کارت را بر عهده دارد.

بانک پذیرنده: این بانک مسوولیت مدیریت حساب‌های پذیرندگان کارت را بر عهده دارد.

شتاب: که وظیفه متمرکز‌سازی و انجام تبادلات فنی و مالی فیمابین بانک‌های مختلف را در شبکه بانکی برعهده دارد.

شرکت‌های ارائه‌دهنده خدمات پرداخت (PSP): این شرکت‌ها وظیفه فراهم‌سازی زیرساخت‌های خدمات پرداخت الکترونیک نظیر نصب، راه‌اندازی، مدیریت و اتصال شبکه کارتخوان‌های فروشگاهی را به شبکه بانکی بر عهده دارند.

چرا نقش شاپرک در این حوزه اهمیت فراوان دارد؟

بدیهی است که بانک مرکزی به عنوان نهاد ناظر پولی و بانکی کشور دارای وظایف متعدد در حوزه‌های مختلف اقتصادی کشور است و هیچ‌گاه فرصت و توان عملیاتی کافی برای نظارت بر جزئیات ارائه خدمات پرداخت در کشور را نداشته و نخواهد داشت. از این رو شرکت شاپرک به عنوان شرکتی که با وظایف حاکمیتی از سوی شرکت ملی انفورماتیک و بانک مرکزی تشکیل شده و ماموریت نظارت بر این حوزه و سازماندهی مجدد آن را بر عهده دارد، می‌تواند با تمرکز صرف بر این فعالیت اقدام به نظارت مستمر و بازدید‌های منظم و دوره ای بر فعالیت شرکت‌های PSP نموده و بازوی توانایی بانک مرکزی در این حوزه باشد.

نظارت بر رعایت انواع استانداردهای امنیتی PCI و سایر ضوابط و قوانین کشوری از یک سو و تامین امنیت اقتصادی برای فعالیت شرکت‌های PSP با هدف ایجاد توجیه اقتصادی در زمینه توسعه سرمایه‌گذاری‌های ایشان در حوزه امنیت از اهم وظایف شاپرک خواهد بود.

بنابر‌این بر همگان واجب است که در مقطع کنونی با حمایت از شرکت نوپای شاپرک زمینه استقرار هر چه سریع‌تر و ایفای کامل وظایف نظارتی آن را فراهم آورند.

مکانیسم‌های امنیتی سایر کشورها برای تامین امنیت پرداخت الکترونیک چیست؟

امنیت در حوزه خدمات پرداخت الکترونیک دارای لایه‌های متعدد بوده و برای هر یک برنامه‌ریزی متفاوتی انجام می‌شود.

۱- لایه امنیت ابزارهای پرداخت و پذیرش (نظیر کارت و دستگاه کارتخوان):

در این بخش به دلیل تنوع وسیع شرکت‌های تولید‌کننده ابزارهای پذیرش کارت و تکنولوژی‌های متعدد و متفاوت به کار گرفته‌شده توسط هر یک در تولید محصولات خود از یک سو و از سوی دیگر روش‌های متفاوت هر بانک یا موسسه صادر‌کننده کارت در تولید و صدور کارت و نیز سطوح متفاوت امنیتی به کار گرفته‌شده توسط شبکه‌های ارتباطی و مخابراتی واسط، از سال‌ها پیش به منظور حفظ امنیت عمومی در این بخش اقدام به تشکیل انجمنی بین‌المللی تحت عنوان PCI SSC با مشارکت برخی از بزرگ‌‌ترین شبکه‌های پرداخت شده است و نهاد ناظر در هر کشور یا هر شبکه پرداخت نظیر (Visa و Master Card) تمامی فعالان عضو خود را ملزم به پذیرش و رعایت این استانداردها در ابزارهای مورد استفاده خود کرده و به این شکل تمامی دستگاه‌های کارتخوان، دستگاه‌های خودپرداز، کارت‌ها، سوئیچ‌ها و... برای استفاده در شبکه‌های پرداخت ملزم به ارائه گواهینامه تایید امنیت صادر شده از سوی PCI می‌شوند.

انجمن PCI SSC

انجمن استانداردهای امنیتی صنعت پرداخت کارتی (PCI SSC) یک انجمن جهانی است که در سال ۲۰۰۶ به عنوان مسوول توسعه، مدیریت، آموزش و آگاهی‌بخشی در زمینه استانداردهای امنیتی صنعت پرداخت کارتی و با هدف اصلی بهبود در روند محافظت از اطلاعات دارندگان کارت و تسهیل پیاده‌سازی راهکارهای امنیتی در سطح جهانی تشکیل شد. موسسان این انجمن پنج برند اصلی شبکه پرداخت کارتی در جهان، شامل شرکت‌های Visa، MasterCard، Discover، American Express و JCB می‌باشند و تمامی این شرکت‌ها از سهم برابری در مسوولیت اداره و پیشبرد اهداف انجمن برخوردارند.این انجمن برنامه‌های خود را در زمینه امنیت پرداخت کارتی، استاندارد امنیت داده‌ها در صنعت پرداخت کارتی (PCI DSS) را تدوین کرده که در بخش بعد به آن می‌پردازیم.

استاندارد PCI DSS

این استاندارد تعیین‌کننده حداقلی از راهکارها و الزامات مشخصی در جهت محافظت از اطلاعات دارندگان کارت است و باید توسط کلیه شرکت‌ها و کسب‌وکارهای پردازش‌کننده کارت‌های پرداخت، شامل پذیرندگان، پردازش‌گران، صادرکنندگان و ارائه دهندگان خدمات پرداخت و تمامی بازیگران موجود در چرخه ثبت، پردازش و انتقال اطلاعات کارت، رعایت شود.

این الزامات شامل مدیریت امنیت، ساختار شبکه، طراحی نرم‌افزار، سیاست‌های داخلی، روندهای اجرایی و سایر بخش‌هایی است که در محافظت از اطلاعات دارندگان کارت حضور داشته و موثرند.

مواردی که شرکت‌های ذکر شده ملزم به رعایت و کنترل آن هستند و در فواصل زمانی مشخص تحت بازرسی و نظارت نمایندگان مورد تایید انجمن قرار می‌گیرند، عبارتند از ۱۲ مورد که در شش گروه کلی قرار دارند:

i- توسعه و مدیریت یک شبکه مطمئن شامل:

۱- نصب و مدیریت یک برنامه Firewall

۲- عدم استفاده از پارامترهای اولیه نصب‌شده توسط تولیدکننده به عنوان پسورد سیستم

ii- محافظت از اطلاعات دارندگان کارت شامل:

۳- محافظت از اطلاعات ذخیره و آرشیو شده در سیستم

۴- کدگذاری داده‌های مرتبط با اطلاعات انتقال داده شده در شبکه‌های عمومی

iii- استفاده از یک نرم‌افزار به منظور مدیریت ریسک شامل:

۵- استفاده و به‌روزرسانی مداوم نرم‌افزارهای ویروس‌یاب

۶- توسعه و مدیریت سیستم‌ها و برنامه‌های محافظت‌شده

iv- پیاده‌سازی راهکارهای کنترلی شدید در میزان دسترسی به اطلاعات شامل:

۷- محدود کردن دسترسی به اطلاعات دارندگان کارت در حد لزوم

۸- تخصیص یک کد شناسایی مشخص به یک یک افرادی که به اطلاعات دسترسی دارند

۹- ایجاد محدودیت در دسترسی فیزیکی به اطلاعات ذخیره‌شده

v- کنترل و تست شبکه‌های مورد استفاده شامل:

۱۰- ثبت و کنترل تمامی ورودها به شبکه‌های حفظ و پردازش اطلاعات دارندگان کارت

۱۱- اجرای منظم تست سیستم‌ها و رویه‌های امنیتی

vi- مدیریت یک سیاست امنیتی در قبال اطلاعات کارتی:

۱۲- اتخاذ و اجرای سیاستی که حفاظت امنیت اطلاعات توسط تمامی پرسنل را تضمین کند.

در ایران شرایط چگونه است؟

واقعیت آن است که به دلیل رشد بسیار سریع شبکه کارتخوان‌های فروشگاهی کشور و سایر روش‌های پرداخت الکترونیک نظیر پرداخت اینترنتی، لازم است که اکنون با طراحی مجدد این لایه امنیتی تمامی شرکت‌های PSP فعال و نیز تمامی بانک‌های حاضر در کشور ملزم به رعایت استاندارد PCI DSS شده و اقدام به اخذ و ارائه گواهینامه‌های مربوطه در خصوص تمامی ابزارها و تجهیزات خود کنند و به کارگیری هر ابزاری در سطح جامعه منوط به طی فرآیند فوق باشد.

۱- لایه امنیت در حوزه مدیریت:

به دلیل حساسیت بالای این بخش از اقتصاد (بخش بانکی و پولی) و ارتباط مستقیم آن با احساس امنیت یا ناامنی عمومی جامعه، عموما مدیران و مسوولان این بخش برای تصدی مسوولیت خود می‌بایست از فیلترهای متعددی گذشته و تایید صلاحیت شوند، اما این تمامی ماجرا نیست؛ چرا که در صورت عدم طراحی صحیح و پیش‌بینی مکانیسم‌های امنیتی و احتیاطی لازم جبران خسارات مالی و امنیتی وارده به هیچ روی امکان‌پذیر نخواهد بود.

عوامل ذیل از جمله مهم‌ترین عوامل تضمین‌کننده امنیت عمومی در حوزه خدمات پرداخت الکترونیک و جبران خسارات وارده احتمالی به جامعه است که در بیشتر کشورهای توسعه یافته پیاده سازی شده‌اند:

۲- افزایش میزان سرمایه ثبت شده شرکت‌های PSP:

بدیهی است در صورتی که شرکت PSP دارای سرمایه ثبت شد، باشد، به هیچ روی توان جبران خسارات وارده احتمالی در رویدادهایی نظیر افشای اطلاعات کنونی را نخواهد داشت. بنابراین پیش‌بینی میزان حداقلی سرمایه ثبت شده و الزام تمامی شرکت‌های فعال به رعایت آن از جمله مهم‌ترین اقدامات موثر خواهد بود.

۳- الزام تمامی شرکت‌های فعال برای تبدیل شدن به شرکت سهامی عام:

به دلیل تفاوت ماهیت تصمیم‌گیری در شرکت‌های دارای مالکیت شخصی با شرکت‌هایی که به صورت سهامی عام و با حضور نمایندگان افراد و شرکت‌های مختلف در هیات‌مدیره و سپس مجامع شرکت اداره می‌شوند و کاهش امکان اخذ تصمیمات شخصی و مغایر با منافع عمومی در این نوع شرکت‌ها، پیش‌بینی فرآیندی که طی آن تمامی شرکت‌های فعال و دارای مجوز به سرعت به شرکت سهامی عام تبدیل شوند مرحله بعدی کار خواهد بود.

۴- لزوم پیش بینی منطقی برای حفظ و توسعه در آمد شرکت‌های PSP:

یکی از رویکردهای احساسی و شاید غیر منطقی در شرایط کنونی، اعمال هر چه بیشتر محدودیت بر عملکرد شرکت‌های PSP در حوزه فعالیت تجاری و کاهش کانال‌های درآمدی ایشان خواهد بود.

تقریبا در تمامی مدل‌های بکارگیری شده در شبکه‌های بین‌المللی پرداخت در کشورهایی نظیر آمریکا و کانادا طراحی فضای اقتصادی صنعت پرداخت الکترونیک بر محوریت ایجاد منافع پایدار و گسترده برای تمامی بازیگران اعم از بانک‌ها و شرکت‌های PSP انجام شده است تا جایی که به طور مثال در ایالات‌متحده شرکت‌های PSP نظیر FIRST DATA در سال ۲۰۱۰ با حضور در ۳۵ کشور در مناطق آمریکای شمالی و لاتین، اروپا، منطقه آسیا/پاسیفیک، خاورمیانه و آفریقا و با ارائه خدمات به ۲/۶ میلیون پذیرنده و هفت هزار موسسه مالی، موفق به پردازش مبلغ ۶۰ میلیارد دلار و کسب درآمد ۴/۱۰ میلیارد دلار شده‌اند. این در حالی است که تعداد کارمندان این شرکت در پایان سال ۲۰۱۰ حدود ۲۴هزار نفر بوده است.

به روشنی معین است که هدف نهاد ناظر و طراحان صنعت پرداخت الکترونیک در آمریکا ایجاد محدودیت در درآمدهای شرکت‌های PSP و انواع حوزه‌های فعالیت ایشان نبوده است.

چرا دغدغه صنعت پرداخت الکترونیک در کشورهای توسعه یافته حفظ و توسعه درآمدهای شرکت‌های PSP و بانک‌ها است؟

یکی از پاسخ‌های اصلی این پرسش آن است که تنها در صورت حفظ منافع سهامداران شرکت‌های PSP و سرمایه‌گذاران این شرکت‌ها از سود حاصله از فعالیت‌های خود و البته نظارت و کنترل دقیق نهاد ناظر است که می‌توان به طور منطقی انتظار داشت تا این شرکت‌ها با سرمایه‌گذاری در حوزه‌هایی نظیر تامین امنیت، استانداردهای به کارگیری شده را ارتقا بخشند.

۲- ایجاد شرکت‌های مادر در حوزه ارائه خدمات پرداخت الکترونیک:

صنعت بانکداری و فعالیت‌های پولی و مالی از جمله معدود حوزه‌هایی است که کشورهای توسعه یافته از تمرکزگرایی در آن پرهیز نکرده و آگاهانه در حال مدیریت ایجاد هر چه بیشتر تمرکز در آن می‌باشند.

مروری بر اخبار روزانه منتشر شده در سایت‌ها و ژورنال‌های معتبر بانکی و پرداخت الکترونیک در سطح دنیا حاکی از آن است که روزی نیست که یک شرکت کوچک‌تر توسط شرکت‌های بزرگ‌تر خریداری نشده و به آن الحاق نشود. تا جایی که اخیرا حتی در حوزه‌های حساسی نظیر مدیریت سوئیچ‌های پرداخت ملی در انگلستان نیز شاهد خرید شرکت switch (یکی از شرکت‌های اصلی مدیریت تراکنش‌ها) توسط شرکت بین‌المللی Master Card یا خرید شرکت معظم Hypercom (تولید‌کننده سوم دنیا در زمینه دستگاه کارتخوان) توسط شرکت دوم دنیا در این حوزه یعنی Verifon بوده‌ایم. (بر اساس اطلاعات منتشر شده توسط بانک مرکزی انگلستان -۲۰۱۱ و نشریه Nilson report) پرسش اصلی آن است که چرا حاکمیت‌های ملی یا نهاد‌های ضد انحصار در سطح اروپا و آمریکا در برابر این بزرگ‌تر شدن شرکت‌های بزرگ‌تر مقاومتی نکرده و حتی آنرا تشویق می‌کنند؟

پاسخ؟

۱- شرکت‌های بزرگ‌تر به دلیل وجود سهامداران متعدد می‌بایست میزان شفافیت مالی و عملیاتی بالاتری داشته و سلامت اقتصادی آنها به مراتب بیشتر از شرکت‌های کوچک‌تر خواهد بود.

۲- در صورت بروز بحران‌های مالی یا عملیاتی یا وجود نقص امنیتی در این شرکت‌ها به دلیل توان مالی بالا، امکان جبران خسارات وارده حتی در مبالغ بسیار بالا وجود خواهد داشت.

۳- شرکت‌های بزرگ‌تر امکان سرمایه‌گذاری بیشتری را در حوزه تامین امنیت پرداخت الکترونیک دارا می‌باشند.

۴- تعدد شرکت‌های فعال در حوزه ارائه خدمات پرداخت یا به طور کلی صنعت بانکداری زمینه‌های کاهش امکان نظارت موثر نهاد ناظر را فراهم می‌آورد.

۵- تعدد شرکت‌های فعال در این حوزه به صورت اتوماتیک منجر به ارائه سطوح متفاوت کیفیت خدمات شده و موجب افزایش نارضایتی عمومی می‌شوند و همانند رویداد اخیر عملا امکان نظارت فنی مستقیم و مستمر بر فعالیت شرکت‌های PSP وجود نخواهد داشت.

راه‌حل چیست؟

بانک مرکزی و برخی فعالان این صنعت از مدت‌ها پیش به دنبال ارتقای استانداردهای امنیتی و بازطراحی ساختار و تعریف مجدد نقش شرکت‌های PSP و بانک‌ها در این حوزه بوده‌اند. به کارگیری الگوهای کشورهای توسعه یافته در تعریف نقش شرکت مادر برای شرکت‌های بزرگ و با سابقه PSP و ادغام شرکت‌های کوچک‌تر در آنها، عملا گام بلندی در افزایش امنیت شبکه‌های پرداخت الکترونیک در کشور خواهد بود.