امانتدار یا مالک اطلاعات؛

نگاهی به GDPR و PSD2 در صنعت پرداخت

از نظر قوانین GDPR اطلاعات یک شخص جزو دارایی‌های وی محسوب می‌شود و باید همانند یک دارایی مدیریت شود.پیاده‌سازی GDPR در کشور از فروش اطلاعات اشخاص توسط برخی سازمان‌ها و شرکت‌ها جلوگیری می‌کند.دستورالعمل PSD2 بر پایة دسترسی به حساب برنامه‌ریزی شده است و دسترسی مشتریان از راه دور را به شدت سخت‌گیرانه می‌کند.از آنجایی که عمده سهام‌دار شرکت‌های پرداخت، بانک‌های کشور هستند، بانک‌ها انتظاری از شرکت‌ها برای افزایش امنیت پرداخت ندارند و سیستم امنیت پرداخت کشور تکامل نیافته است.

به گزارش پایگاه خبری بانکداری الکترونیک ، شرکت‌های پرداخت در سراسر جهان همانند بانک‌ها بیش از همة شرکت‌ها نیاز به حفاظت اطلاعات کاربران دارند؛ بنابراین، این شرکت‌ها نه تنها باید تحت قوانین مربوط به حفاظت اطلاعات فعالیت کنند؛ بلکه این قوانین به طور ویژه‌تر در بخش مدیریت مالی نیز فشار قابل توجهی بر این مؤسسات وارد می‌کند. در حال حاضر دو قانون GDPR و PSD2 از جمله قوانینی هستند که برای کاهش کلاهبرداری باید توسط شرکت‌های پرداخت و بانک‌ها مورد پیاده‌سازی قرار گیرند.

GDPR

GDPR که مخفف عبارت General Data Protection Regulation است، سری قوانینی برای حفاظت اطلاعات افراد است که توسط اتحادیۀ اروپا برای حفظ اطلاعات شهروندان اروپایی چه در داخل و چه در خارج از این منطقه طراحی شده است. در حقیقت، هر سازمانی که در اروپا مستقر است و در آن فعالیت می‌کند باید تحت قوانین GDPR به فعالیت بپردازد. همۀ اطلاعات عمومی افراد تحت این قانون باید توسط شرکت مورد حفاظت قرار بگیرد. در صورتی که اطلاعات شخصی افراد باید تحت قوانین DPD مورد حفاظت قرار گیرد که تمامی کشورهای عضو اتحادیه حداقل ملزم به رعایت این قانون هستند؛ بنابراین در این کشورها امکان فروش اطلاعات شخصی توسط سازمان‌ها و شرکت‌ها (مشابه آنچه توسط برخی شرکت‌ها در کشور ما رخ داده است) به هیچ وجه وجود ندارد.

این قانون بر این مبنا تدوین شده است که اطلاعات اشخاص جزو دارایی‌های آنها محسوب می‌شود و باید همانند دارایی با آن برخورد شود. حقوقی که این سری قوانین برای اشخاص قائل شده است شامل موارد زیر است:
1-    حق اطلاع‌رسانی
2-    حق دسترسی
3-    حق اصلاح
4-    حق حذف اطلاعات
5-    حق محدود کردن فرآیندها
6-    حق کنترل انتقال اطلاعات
7-    حق شکایت
8-    حق عدم امکان برخورد به عنوان زیردست توسط سیستم‌های تصمیم‌گیری خودکار

اصول GDPR

قوانین GDPR بر پایة شش اصل تدوین شده‌اند. این اصول نشان می‌دهد که ارزش اطلاعات افراد بسیار ویژه و استفاده از آنها فقط در صورت ضرورت امکان‌پذیر است. علاوه بر این، شرکت‌ها و سازمان‌ها ملزم هستند برای انجام امور خود از حداقل اطلاعات استفاده کنند؛ بنابراین، به عنوان نمونه، در صورتی که برای یک هدف خاص نیاز به اطلاعات آدرس مشتری نباشد، شرکت یا سازمان، حق برداشت اطلاعات آدرس افراد را از مرکز داده‌ها برای انجام آن فعالیت ندارد. این مرکز داده توسط کارکنان وابسته به سازمان نظارتی مربوط به GDPR در کشورهای عضو مدیریت می‌شود. اصول شش‌گانه GDPR شامل (شکل 1):

* قانونی بودن،
* ارائة دلایل مشخص برای استفاده از اطلاعات،
* استفاده از حداقل اطلاعات برای رسیدن به اهداف،
* دقت اطلاعات و به‌روز بودن آنها،
* محدود کردن نگهداری اطلاعات به میزان مورد نیاز،
* یکپارچگی و حفاظت اطلاعات است.

سایر جنبه‌های GDPR

این قانون روی تمامی کنترل‌کننده‌ها و پردازنده‌های مستقر در اروپا و سازمان‌هایی که جامعة هدف آنها شهروندان اروپایی است پیاده‌سازی می‌شود. جریمة نقض قوانین GDPR بسیار سنگین است و سازمان‌های نظارتی جرایمی تا چهار درصد درآمد سالانه با حداقل جریمة 20 میلیون یورو در نظر می‌گیرند. برای انتقال اطلاعات حساس افراد یا انتقال اطلاعات خارج از مرزها باید اجازة این انتقال از تک‌تک افراد گرفته شود و برای دریافت موافقت باید هدف از استفاده از اطلاعات به طور واضح به مشتریان و مشترکان ارائه و حق مخالفت با استفاده از اطلاعات باید برای مشتریان منظور شود.

حقوق اطلاعاتی این قوانین سه عنصر اصلی را در بر دارد. مشتریان حق دارند تا اطلاعات خود را به طور کامل از سیستم پاک کنند و این کار باید به سرعت و بدون وقفه توسط شرکت‌ها انجام گیرد. مشتریان حق دارند از یک شرکت درخواست انتقال اطلاعات با شرکت دیگر را بدهند و این درخواست باید عملی شود. مشتریان نباید به عنوان یک فرد تحت تسلط توسط سیستم‌های خودکار برخورد شوند و تحت تصمیمات آنها باشند.

ارزیابی اثرات حفاظت اطلاعات (DPIA) بخش مهمی از فرایند حفاظت اطلاعات در GDPR است و سازمان‌ها باید در زمان استفاده از حجم اطلاعات زیاد و همچنین هر سه سال یک بار این فرآیند را پیاده‌سازی کنند. این فرآیند برای تمامی شرکت‌ها و سازمان‌ها الزامی است.

سازمان‌ها و شرکت‌ها باید مسئولیت‌پذیری خود را در زمینة استفاده از اطلاعات نشان دهند و برای تحقق این امر باید چهار موضوع را در نظر بگیرند:
1-    ایجاد فرهنگ پایش، بازبینی و ارزیابی فرآیندهای فرآوری اطلاعات
2-    حداقل کردن فرآوری و نگهداری اطلاعات
3-    ایجاد ابزارهای حفاظتی در زمان کار با داده‌ها
4-    مستندسازی سیاست‌های فرآوری اطلاعات و فرآیندها و عملیات‌ها برای ارائه به دستگاه ذی‌ربط در صورت درخواست.

علاوه بر این، سازمان‌ها باید بدون اتلاف وقت و حداکثر تا 72 ساعت، رخدادهای رخنة اطلاعاتی را به دستگاه‌های ذیربط گزارش دهند؛ البته در صورتی که مطمئن باشند اطلاعات افراد تحت تأثیر قرار نگرفته است ارائة گزارش الزامی نیست.


PSD2

دستورالعمل بازبینی‌شدة خدمات پرداخت (Revised Payment Service Directive) که PSD2 شناخته می‌شود، دستورالعمل قانونی فعالیت‌های شرکت‌های پرداخت است که برای افزایش امنیت پرداخت در نظر گرفته شده است. این دستورالعمل نیز منشأ اروپایی دارد و در اکتبر سال 2015 توسط پارلمان اروپا و در نوامبر همان سال توسط کنسول‌گری وزرا به کار گرفته شد.

هدف از PSD2 افزایش امنیت مشتری است که به واسطة توسعة نوآوری‌های خدمات پرداخت در منطقة اروپا ایجاد شد. این دستورالعمل اولین بار در 23 دسامبر 2015 در مجلة اتحادیة اروپا به چاپ رسید و از 13 ژانویه 2016 الزام‌آور شد. کشورهای عضو اتحادیه باید تا 13 ژانویه 2018 این دستورالعمل را به طور کامل پیاده‌سازی می‌کردند. (شکل 2)

نقاط مثبت PSD2

* توسعة تراکنش‌های نظارت‌شده: دامنة تراکنش‌های نظارت‌شده به تمامی ارزها توسعه پیدا کرده است و حتی تراکنش‌هایی که یک طرف آن (پرداخت‌کننده یا دریافت‌کننده) در اروپاست مشمول این قانون هستند.

* دسترسی سخت‌گیرانه‌تر مشتریان: شرکت‌های خدمات پرداخت موظف هستند هر زمان که مشتریان تمایل به دسترسی به حساب پرداخت به صورت آنلاین یا پرداخت از راه دور و هر تراکنشی از کانال‌های راه دور را داشته باشند، از دسترسی سخت‌گیرانه‌تری برای ورود مشتریان استفاده کنند.

* حل شکایات داخلی: بکارگیری و اجرای شیوه‌های کارآمد پاسخ به شکایات برای کاهش حداکثری زمان پاسخ به شکایات مشتریان.

* خدمات شروع پرداخت: PSD2 شرکت‌های ارائه‌دهندة شروع خدمات پرداخت (PISP) و همچنین فرآیند پرداخت را نظارت می‌کند. بر همین اساس، شرکت‌های PSP که در اروپا فعالیت می‌کنند موظف هستند امکانات ارتباطی امن را تدارک دیده و به PISP‌ها اطلاعات کافی را انتقال دهند و با همة تراکنش‌های انجام‌شده برخورد یکسان داشته باشند.

* خدمات اطلاعات حساب: دسترسی به حساب کاربری خدمات پرداخت باید به شرکت‌های ثالث اعطا شود تا خدمات اطلاعات حساب یکپارچه باشد.

اهداف PSD2

هدف اصلی پیاده‌سازی این دستورالعمل افزایش سطح امنیت مشتری و افزایش رقابت در بازار پرداخت اروپاست. این دستورالعمل منجر به افزایش عملکردهای مورد نیاز اولیه برای انجام فرآیند پرداخت در بازار پرداخت اروپا شد. در نتیجة پیاده‌سازی، سیستم پرداخت در این منطقه از یکپارچگی و شفافیت بالاتری برخوردار می‌شود. علاوه بر این، برخی از تراکنش‌ها در دستورالعمل قبلی تحت نظارت نبود که در این دستورالعمل پوشش داده شده است.

از دیگر اهداف مهم این دستورالعمل کاهش هزینة تراکنش‌ها به ویژه از طریق افزایش قدرت رقابت شرکت‌های نوپا در بازار است. در نتیجه کاهش کارمزد پرداخت مشتریان را به سمت شرکت‌هایی با کارمزد پایین‌تر می‌کشد. اهداف و چشم‌اندازهای این دستورالعمل در شکل 3 نشان داده شده است.

آثار PSD2 (XS2A)

مهم‌ترین اثر این دستورالعمل به گفتة مؤسسات مالی، نظارت جدی‌تر بر دسترسی افراد به حساب است. قوانین جدید سبب شده است تا این مؤسسات، اطمینان بیشتری نسبت به امنیت دسترسی کاربران به حساب بانکی داشته باشند و در نتیجه در ترویج این دستورالعمل نقش مهمی ایفا می‌کنند. گرچه این دستورالعمل فضای نوآوری و کارآفرینی زیادی ایجاد می‌کند؛ اما دو بخش جدید خدمات شروع پرداخت (PIS) و خدمات اطلاعات حساب (AIS) زمینة خاصی برای کارآفرینی چه در شرکت‌های قدیمی و چه شرکت‌های نوپا ایجاد نمی‌کند. (شکل4)


به طور همزمان، قوانین XS2A می‌تواند تهدیدی جدی برای بازیکنان کنونی عرصة پرداخت باشد؛ زیرا منجر به افزایش ورود بازیکنان جدید به این عرصه می‌شود، خلأ‌های امنیتی شرکت‌های موجود را افشا می‌کند، نیازهای اولیة حفاظت اطلاعات را افزایش می‌دهد، خطر کلاهبرداری از بازیکنان را افشا می‌کند و در نهایت مسئولیت شرکت‌ها را در قبال تراکنش‌های غیر قانونی به شدت افزایش می‌دهد؛ بنابراین، پیاده‌سازی PSD2 آنچنان که باید به مزاج شرکت‌های قدیمی عرصة پرداخت خوش نمی‌آید.

قوانین نظارتی شاپرک

ساختار و قوانین نظارتی و امنیتی شبکة شاپرک گرچه تفاوت زیادی با سامانه‌های تحت نظارت GDPR و PSD2 دارد؛ اما امنیت پرداخت در سطح مناسبی قرار گرفته است. این شبکه طی سال‌های 1392 تا 93 ساختار اطلاعات امنیتی و مدیریت تخلف (SIEM) را در شبکه راه‌اندازی کرد. در این دوره تمامی شرکت‌های پرداخت موظف شدند تا مراکز امنیت خود را طبق استانداردهای اعلام‌شده از سوی شاپرک راه‌اندازی و تجهیز کنند.
در سال 1394 نیز سامانة کشف حمله راه‌اندازی شد و در سال 95 پروژة SOC به صورت سلسله مراتبی و از طریق اتصال به مراکز امنیت شرکت‌ها کلید خورد. در نهایت در سال 1396 مرکز CSERT شاپرک راه‌اندازی شد. (شکل 5)


برای پیاده‌سازی استانداردهای بین‌المللی در زیرساخت‌های شاپرک ، پروژة ISMS در سال 95 تعریف و به گفتة کارشناسان در سال 96 نهایی شد. در نهایت برای افزایش امنیت فعالیت‌های فناوری اطلاعات، چارچوب ITIL برای مدیریت فرآیندهای فناوری اطلاعات و با استفاده از ابزار ITSM پیاده‌سازی شد.

حرف آخر

حرف ساختارهای GDPR و PSD2 در کشور ما ماه‌هاست که زده می‌شود و هنوز هم هیچ خبری از پیاده‌سازی این قوانین نیست. پیاده‌سازی این قوانین را می‌توان مشابه پیاده‌سازی دستورالعمل‌های FATF دانست که دولت به دنبال پیاده‌سازی ترکیب من‌درآوردی از آن است که بر پایة هیچ اصول و مبنایی نیست. پاشنه‌آشیل هر سه قانون مذکور شفافیت و مستندسازی است و چیزی است که به مزاج مسئولان کشور ما خوش نمی‌آید. در صورتی که مستندسازی بر اساس این سه قانون در کشور پیاده‌سازی شود، به جرأت می‌توان گفت که رخداد اختلاس در کشور به صفر می‌رسد؛ زیرا بروز اختلاس در نتیجة عدم صدور سند در زمان جابه‌جایی پول است. در نتیجه کلاهبرداران داخلی به سادگی پول‌های کلان را به حساب‌های خود منتقل و سود کلانی عاید خود می‌کنند.

نکتة دیگر، فروش اسناد هویتی است که کما بیش برخی از آنها نیز رسانه‌ای شده‌اند. با پیاده‌سازی GDPR فروش اسناد هویتی افراد توسط سازمان‌ها امکان‌پذیر نخواهد بود؛ زیرا هر جابه‌جایی اطلاعات باید با اجازة مشتریان و کاملاً شفاف صورت بگیرد.

در حال حاضر در کشور ما کلاهبرداری‌های مربوط به امنیت شبکة پرداخت بسیار کمتر از کشورهای پیشرفته است. به گونه‌ای که می‌توان گفت کلاهبرداری در کشورهای پیشرفته 100 برابر بیشتر از ایران است؛ اما مسئلة اساسی در این زمینه تحریم و جدا افتادگی ایران از شبکة پرداخت و بانک‌داری جهان است. ایران تا ابد تحریم نخواهد ماند. روزی خواهد رسید که همة تحریم‌ها، خواه‌ناخواه، برداشته خواهد شد و سیستم بانک‌داری و پرداخت کشور در این زمان به شدت حساس به فعالیت‌های کلاهبرداری خواهد شد.

علاوه بر این، ساختار شبکة پرداخت بسیار متفاوت با جهان است. زیرا بانک‌ها در کشور ما سهام‌داران اصلی شرکت‌های پرداخت بزرگ هستند و در نتیجه شبکة بانک و پرداخت را می‌توان به نوعی یک شبکه در نظر گرفت. گرچه، سیستم نظارتی شاپرک در این بخش بسیار پر رنگ است. در نتیجه، نه سیستم پرداخت و نه شبکة بانکی، انتظاری از یکدیگر برای افزایش امنیت شبکه نخواهند داشت.

نکتة دیگر و بسیار مهمی که در داخل کشور وجود دارد اینکه برخورد بسیاری از شرکت‌ها و بانک‌ها با مشتریان به عنوان زیردست (Subject) است و حقی به مشتریان برای اعمال نظر در استفاده از اطلاعات آنها نمی‌دهد. بانک‌ها و شبکة پرداخت به راحتی و بدون محدودیت به اطلاعات مشتریان دسترسی دارند و به هر شیوه که مناسب بدانند از آن استفاده می‌کنند. فقط نکتة مثبتی که در داخل کشور می‌توان یافت عدم وجود کلاهبرداران بزرگ است که به دنبال کلاهبرداری‌های سنگین از شبکة بانک و پرداخت باشند.

 


خبر پیشنهادی
عملکرد بانکداری الکترونیک /بخش دوم

تعداد و ارزش تراکنش های خوپرداز بانکی طی 10 سال گذشته

عملکرد بانکداری الکترونیک طی 10 سال گذشته/بخش اول

کاهش 18 درصدی تعداد و رشد منفی 20 درصدی ارزش تراکنش خودپردازها


این مطلب را به اشتراک بگذارید
خبر پیشنهادی