انتشار کتاب تخصصی مدیریت کلید ازسوی شرکت توسن تکنو
از مهم‌ترین مقوله‌های مهم و حساس در حوزه پرداخت الکترونیکی مقوله امنیت است. تراکنش‌های الکترونیکی ایمن خصوصاً با ظهور ابزارهای نوین پرداخت همراه همواره دغدغه فعالان صنعت بانکداری و پرداخت الکترونیکی بوده است. شرکت توسن تکنو در راستای مسئولیت اجتماعی خود به‌عنوان یک شرکت دانش‌بنیان در اشاعه و نشر دانش تخصصی در این حوزه، اقدام به انتشار سری کتاب‌های مهم و معتبر امنیت در پرداخت الکترونیکی کرده که پایه‌های مفهومی استاندارد جهانی PCI DSS است.

انجمن استانداردهای امنیتی صنعت پرداخت‌کارتی یا PCI Security Standard Council یک انجمن جهانی است که در سال ۲۰۰۶ تشکیل شد. مؤسسان این انجمن پنج برند اصلی شبکه پرداخت‌کارتی در جهان شامل شرکت‌های Visa، MasterCard، Discover، American Express و JCB بوده و تمامی این شرکت‌ها از سهم برابر در اداره و پیشبرد اهداف انجمن برخوردارند. این انجمن برنامه‌های خود را درزمینه‌ی امنیت پرداخت‌کارتی، استاندارد امنیت داده‌ها در صنعت پرداخت‌کارتی (PCI DSS) در شش گروه کلی تدوین نموده است و ترجمه کتاب پیش رو در راستای گسترش دانش تخصصی همین برنامه‌های بین‌المللی است. در کشور ، مهم‌ترین استانداردهایی که در خصوص سیستم‌های پرداخت توسط PSPها و شاپرک موردتوجه و پیاده‌سازی قرار می‌گیرد، استانداردهای PA-DSS و PCI-DSS است. استاندارد PCI-PTS مربوط به شرکت تولیدکننده دستگاه‌های پذیرش کارت‌های بانکی است. استاندارد PCI-DSS بیان می‌دارد که کلیه سازمان‌هایی که در تولید و انتقال و پردازش تراکنش با داده‌های کارت نقشی دارند می‌بایست الزامات امنیتی مشخصی را پیاده‌سازی نمایند. با توجه به اینکه در شبکه‌های پرداخت موجود در ایران و سایر کشورهای دنیا از بسترهای مخابراتی مانند اینترنت، شبکه‌های دیتا شرکت مخابرات و اپراتورهای تلفن همراه برای انتقال تراکنش استفاده می‌گردد، نمی‌توان توقع داشت که ارگان‌های تأمین‌کننده این بسترها که غیر بانکی هستند، برای انتقال تراکنش‌های پرداخت، استاندارد PCI-DSS را پیاده‌سازی نمایند. چالش اصلی مورد در طراحی و پیاده‌سازی سیستم‌های پرداخت الکترونیک نیز همین است.

با استفاده از خدمات امنیتی می‌توان چالش ذکر شده را مدیریت نمود. خدمات امنیتی در سیستم‌های تجارت الکترونیک بر اساس زیرساخت کلید عمومی یا (PKI (Public Key Infrastructure پیاده‌سازی و ارائه می‌گردند. این خدمات شامل احراز هویت کاربر فرستنده اطلاعات (Authentication)، کنترل تمامیت و عدم امکان تغییر محتوی (Integrity)، محرمانگی اطلاعات (Confidentiality)، انکارناپذیر بودن محتوی و فرستنده توسط گیرنده (Non-Repudiation)، دسترسی‌های مجاز به داده‌ها (Access Control) بوده و برای تأمین امنیت در سیستم‌های تجارت الکترونیک موردنیاز هستند. این کتاب در زمینه راهکارهای مدیریت کلید و روال‌های رمزگذاری در موسسه و مجموعه تحت نظرتان، می‌تواند کمک نماید تا بتوانید امنیت ارزشمندترین اطلاعات و داده‌های‌تان را تأمین نمایید. این کتاب، چالش‌های مدیریت کلیدها که در اثر به کارگیری گسترده ی رمزگذاری به وجود می‌آید را بررسی می‌کند و مسیری را در مدیریت کلیدها به شما معرفی می‌کند که ریسک‌ها و هزینه‌های استفاده را کاهش داده و از مطابقت روال‌های حفاظت از داده‌ها که در موسسه شما استفاده می‌شود با مقررات فزاینده ی حفاظت از داده‌ها، اطمینان حاصل می‌کند. لازم به توضیح است که رمزگذاری داده ها، به دو شکل انجام می‌شود.

یکی به منظور محرمانه ساختن محتوی داده یا پیغام است به طوریکه اگر شخص نامحرم یا شخص سومی (هکر) پیغام رمز شده را ببینید، به محتوی اصلی آن پی نبرد و یک رشته پیغام‌های نامفهوم را ببیند و تنها شخصی مجاز است و می‌تواند متن اصلی پیغام را ببیند که کلید رمزگشایی را در اختیار داشته باشد. یک شکل دیگر رمزگذاری، با محتوی پیغام کاری ندارد و یا بهتر است بگوییم که محتوی پیغام نیازی به محرمانه شدن ندارد و افشا شدن محتوای پیغام، در امنیت سیستم تاثیری ندارد بلکه صحت و یکپارچگی پیغام و داده برای موسسه مهم است و موسسه می‌خواهد اطمینان یابد که در محتوای پیغام اصلی، هیچ دست کاری غیر مجازی نشده است. در واقع تمرکز کتاب بر روش‌های مدیریت کلیدها که چالش و وجه مشترک انواع روال‌های رمزگذاری است، می‌باشد و با این نگاه و رویکرد، این کتاب برای تمامی علاقمندان به علوم رمزنگاری ، خصوصاً فعالان حوزه امنیت پرداخت الکترونیکی می‌تواند مفید باشد.