چند توضیح درباره گزارش «خلأ قانون حفاظت از داده‌ها در بورس»

۱- در مورد اظهار نظر آن روزنامه محترم در مورد عدم دریافت این الزام توسط کارگزاری‌ها توجه به نکات ذیل ضروری است:

• الزام به پیاده‌سازی مرکز داده پشتیبان در تاریخ ۱۶/ ۱۱/ ۹۸ طی ابلاغ الزامات امنیت اطلاعات بازار سرمایه به تمامی کارگزاری‌ها با شماره ابلاغیه ۱۱۰۲۰۰۲۵۲ از طرف مدیریت نظارت بر کارگزاران ارسال شده است. این الزامات ابلاغ‌شده در تاریخ ۰۲/ ۱۰/ ۱۳۹۸ به تصویب هیات‌مدیره محترم سازمان بورس و اوراق بهادار رسیده است.

در الزامات امنیتی ارسال شده به تمامی کارگزاری‌ها سندی به‌عنوان الزامات امنیت اطلاعات بازار سرمایه وجود دارد که تمام ابعاد امنیتی را پوشش داده است.

به علت حساسیت‌های امنیتی در مورد مرکز داده پشتیبان مجددا جهت تاکید بیشتر نامه‌ای در تاریخ ۱۷/ ۰۴/ ۱۳۹۹ از مرکز نظارت بر امنیت اطلاعات بازار سرمایه به دبیرکل محترم کانون کارگزاران ارسال شده است و از طریق کانون کارگزاران در اختیار مدیران‌عامل شرکت‌های کارگزاری قرار داده شده است، لذا اگر برخی از کارگزاری‌ها از این ابلاغیه مطلع نیستند، باید دقت بیشتری به ابلاغیات و دستورالعمل‌های فنی و امنیتی ارسال شده از طرف سازمان بورس کنند و ضرورت دارد کلیه ابلاغیات را تا پیاده‌سازی نهایی پیگیری کنند.

۲- در مورد خبر افشای اطلاعات ۱۱ هزار مشتری کارگزاری آگاه، لازم به تذکر است که هیچ افشای اطلاعاتی در مورد کارگزاری آگاه وجود نداشت و فقط شیطنت شخصی در فضای مجازی بود که متاسفانه برخی از رسانه‌ها بدون بررسی موضوع ادعا شده بر روی آن صحه گذاشتند. گزارش مرکز ماهر و بررسی‌های این مرکز در سیستم‌ها و سامانه‌های کارگزاری آگاه نشان داد که هیچ افشای اطلاعاتی رخ نداده است.

۳- در مورد اظهارنظر اشاره شده در خبر آن روزنامه محترم مبنی بر اینکه در کارگزاری‌هایی که دارای OMS جداگانه هستند، افشای اطلاعات و به‌خطر افتادن اطلاعات مشتریان رخ می‌دهد، کاملا غلط است.

این موضوع در صورت عدم رعایت موارد امنیتی در حفاظت از داده‌ها که بخش ۷ الزامات امنیت اطلاعات بازار سرمایه است، برای هر شرکت کارگزاری ممکن است رخ دهد، چه این اطلاعات نزد یک شرکت OMS تک کارگزاری باشد یا نزد شرکت‌های OMS با تعدد بالای شرکت‌های کارگزاری که متعاقبا اگر از شرکت‌های OMS که چندین کارگزاری از آنها سرویس و پشتیبانی می‌گیرند، مشکل امنیتی نشت اطلاعات به‌وجود آید تعداد بیشتری از کارگزاری‌ها آسیب خواهند دید و اطلاعات مشتریان بیشتری افشا خواهد شد.

۴- در مورد خلأ قانونی اشاره شده در متن خبر که سازمان بورس ابزاری برای ملزم کردن OMS‌ها به انجام مواردی مانند مرکز داده پشتیبان ندارد باید به اطلاع برسانم شرکت‌های کارگزاری طبق قانون تنها نهاد قانونی مجاز به خرید و فروش سهام اوراق و کالا در کشور هستند. حال این شرکت‌ها می‌توانند برای ارائه این سرویس به‌صورت برخط سامانه یا سرویس‌های مدنظر خود را پس از دریافت مجوز از سازمان بورس به مشتریانشان ارائه دهند. در این صورت شرکت کارگزاری اگر تیم فنی مناسبی جهت تهیه و پشتیبانی این سرویس‌ها داشته باشد و بتواند الزامات سازمان را اجرا کند مجوز‌های لازم را دریافت و به مشتریان خود سرویس‌دهی خواهد کرد. برخی از کارگزاری‌ها برای اینکه این سرویس را بتوانند به مشتریان خود بدهند از شرکت‌های IT که این سرویس‌ها را می‌توانند ارائه دهند به‌عنوان پیمانکار یا همان شرکت‌های OMS استفاده می‌کنند. سوال اینجاست که آیا زمانی که یک نهاد قانونی مانند کارگزاری پشتیبانی و راه‌اندازی خدمات برخط خود را برون‌سپاری می‌کند، مسوولیت‌های قانونی‌اش را هم می‌تواند برون‌سپاری کند؟ مسلم است که شرکت‌های کارگزاری طبق قانون تمام مسوولیت‌های امنیتی و غیرامنیتی سامانه‌های برخط را باید بپذیرند و بابت آن از شرکت‌های OMS پیگیری‌های لازم را جهت بهبود داشته باشند.

متاسفانه پذیرش و باور این موضوع برای مدیران برخی از کارگزاری‌ها سخت است که مسوولیت سرویسی را که از آن سودآوری دارند باید بپذیرند و بخشی از آن سود را برای بهینه‌سازی و ارتقای امنیت سامانه خود سرمایه‌گذاری کنند.

در حال‌حاضر ۹ شرکت نرم‌افزاری در بازار سرمایه وجود دارند که در حال سرویس‌دهی به شرکت‌های کارگزاری هستند و درخواست مجوز بهره‌برداری از سامانه‌های جدید توسط شرکت‌های کارگزاری برای این ۹ شرکت به‌صورت مستمر به سازمان ارسال می‌شود. تنوع در انتخاب سامانه‌ها برای کارگزاری‌ها وجود دارد و همینطور هر شرکت کارگزاری که علاقه‌ای به استفاده از این شرکت‌ها ندارد می‌تواند خودش سرویس‌های موردنظر را راه‌اندازی کرده و پس از اجرای صحیح الزامات سازمان مجوز استفاده از آن سامانه را دریافت کند.

۵- در مورد مرکز داده پشتیبان و تمامی الزامات امنیتی، مرکز نظارت بر امنیت بر اطلاعات بازار سرمایه با هیچ‌یک از نهاد‌های مالی تعارفی نخواهد داشت. کارگزاری‌ها باید جهت اطمینان‌دهی به مشتریان و ارتقای زیرساخت و توسعه سامانه‌های خود سرمایه‌گذاری کنند و مسوولیت‌های حقوقی و قانونی خود درخصوص ارائه سرویس پایدار به مشتریان و صیانت از داده‌ها و اطلاعات آنها را بپذیرند.