چند توضیح درباره گزارش «خلأ قانون حفاظت از دادهها در بورس»
۱- در مورد اظهار نظر آن روزنامه محترم در مورد عدم دریافت این الزام توسط کارگزاریها توجه به نکات ذیل ضروری است:
• الزام به پیادهسازی مرکز داده پشتیبان در تاریخ ۱۶/ ۱۱/ ۹۸ طی ابلاغ الزامات امنیت اطلاعات بازار سرمایه به تمامی کارگزاریها با شماره ابلاغیه ۱۱۰۲۰۰۲۵۲ از طرف مدیریت نظارت بر کارگزاران ارسال شده است. این الزامات ابلاغشده در تاریخ ۰۲/ ۱۰/ ۱۳۹۸ به تصویب هیاتمدیره محترم سازمان بورس و اوراق بهادار رسیده است.
در الزامات امنیتی ارسال شده به تمامی کارگزاریها سندی بهعنوان الزامات امنیت اطلاعات بازار سرمایه وجود دارد که تمام ابعاد امنیتی را پوشش داده است.
به علت حساسیتهای امنیتی در مورد مرکز داده پشتیبان مجددا جهت تاکید بیشتر نامهای در تاریخ ۱۷/ ۰۴/ ۱۳۹۹ از مرکز نظارت بر امنیت اطلاعات بازار سرمایه به دبیرکل محترم کانون کارگزاران ارسال شده است و از طریق کانون کارگزاران در اختیار مدیرانعامل شرکتهای کارگزاری قرار داده شده است، لذا اگر برخی از کارگزاریها از این ابلاغیه مطلع نیستند، باید دقت بیشتری به ابلاغیات و دستورالعملهای فنی و امنیتی ارسال شده از طرف سازمان بورس کنند و ضرورت دارد کلیه ابلاغیات را تا پیادهسازی نهایی پیگیری کنند.
۲- در مورد خبر افشای اطلاعات ۱۱ هزار مشتری کارگزاری آگاه، لازم به تذکر است که هیچ افشای اطلاعاتی در مورد کارگزاری آگاه وجود نداشت و فقط شیطنت شخصی در فضای مجازی بود که متاسفانه برخی از رسانهها بدون بررسی موضوع ادعا شده بر روی آن صحه گذاشتند. گزارش مرکز ماهر و بررسیهای این مرکز در سیستمها و سامانههای کارگزاری آگاه نشان داد که هیچ افشای اطلاعاتی رخ نداده است.
۳- در مورد اظهارنظر اشاره شده در خبر آن روزنامه محترم مبنی بر اینکه در کارگزاریهایی که دارای OMS جداگانه هستند، افشای اطلاعات و بهخطر افتادن اطلاعات مشتریان رخ میدهد، کاملا غلط است.
این موضوع در صورت عدم رعایت موارد امنیتی در حفاظت از دادهها که بخش ۷ الزامات امنیت اطلاعات بازار سرمایه است، برای هر شرکت کارگزاری ممکن است رخ دهد، چه این اطلاعات نزد یک شرکت OMS تک کارگزاری باشد یا نزد شرکتهای OMS با تعدد بالای شرکتهای کارگزاری که متعاقبا اگر از شرکتهای OMS که چندین کارگزاری از آنها سرویس و پشتیبانی میگیرند، مشکل امنیتی نشت اطلاعات بهوجود آید تعداد بیشتری از کارگزاریها آسیب خواهند دید و اطلاعات مشتریان بیشتری افشا خواهد شد.
۴- در مورد خلأ قانونی اشاره شده در متن خبر که سازمان بورس ابزاری برای ملزم کردن OMSها به انجام مواردی مانند مرکز داده پشتیبان ندارد باید به اطلاع برسانم شرکتهای کارگزاری طبق قانون تنها نهاد قانونی مجاز به خرید و فروش سهام اوراق و کالا در کشور هستند. حال این شرکتها میتوانند برای ارائه این سرویس بهصورت برخط سامانه یا سرویسهای مدنظر خود را پس از دریافت مجوز از سازمان بورس به مشتریانشان ارائه دهند. در این صورت شرکت کارگزاری اگر تیم فنی مناسبی جهت تهیه و پشتیبانی این سرویسها داشته باشد و بتواند الزامات سازمان را اجرا کند مجوزهای لازم را دریافت و به مشتریان خود سرویسدهی خواهد کرد. برخی از کارگزاریها برای اینکه این سرویس را بتوانند به مشتریان خود بدهند از شرکتهای IT که این سرویسها را میتوانند ارائه دهند بهعنوان پیمانکار یا همان شرکتهای OMS استفاده میکنند. سوال اینجاست که آیا زمانی که یک نهاد قانونی مانند کارگزاری پشتیبانی و راهاندازی خدمات برخط خود را برونسپاری میکند، مسوولیتهای قانونیاش را هم میتواند برونسپاری کند؟ مسلم است که شرکتهای کارگزاری طبق قانون تمام مسوولیتهای امنیتی و غیرامنیتی سامانههای برخط را باید بپذیرند و بابت آن از شرکتهای OMS پیگیریهای لازم را جهت بهبود داشته باشند.
متاسفانه پذیرش و باور این موضوع برای مدیران برخی از کارگزاریها سخت است که مسوولیت سرویسی را که از آن سودآوری دارند باید بپذیرند و بخشی از آن سود را برای بهینهسازی و ارتقای امنیت سامانه خود سرمایهگذاری کنند.
در حالحاضر ۹ شرکت نرمافزاری در بازار سرمایه وجود دارند که در حال سرویسدهی به شرکتهای کارگزاری هستند و درخواست مجوز بهرهبرداری از سامانههای جدید توسط شرکتهای کارگزاری برای این ۹ شرکت بهصورت مستمر به سازمان ارسال میشود. تنوع در انتخاب سامانهها برای کارگزاریها وجود دارد و همینطور هر شرکت کارگزاری که علاقهای به استفاده از این شرکتها ندارد میتواند خودش سرویسهای موردنظر را راهاندازی کرده و پس از اجرای صحیح الزامات سازمان مجوز استفاده از آن سامانه را دریافت کند.
۵- در مورد مرکز داده پشتیبان و تمامی الزامات امنیتی، مرکز نظارت بر امنیت بر اطلاعات بازار سرمایه با هیچیک از نهادهای مالی تعارفی نخواهد داشت. کارگزاریها باید جهت اطمیناندهی به مشتریان و ارتقای زیرساخت و توسعه سامانههای خود سرمایهگذاری کنند و مسوولیتهای حقوقی و قانونی خود درخصوص ارائه سرویس پایدار به مشتریان و صیانت از دادهها و اطلاعات آنها را بپذیرند.
