نگاهی به GDPR و PSD2 در صنعت پرداخت
امانتدار یا مالک اطلاعات؛
از نظر قوانین GDPR اطلاعات یک شخص جزو داراییهای وی محسوب میشود و باید همانند یک دارایی مدیریت شود.پیادهسازی GDPR در کشور از فروش اطلاعات اشخاص توسط برخی سازمانها و شرکتها جلوگیری میکند.دستورالعمل PSD2 بر پایة دسترسی به حساب برنامهریزی شده است و دسترسی مشتریان از راه دور را به شدت سختگیرانه میکند.از آنجایی که عمده سهامدار شرکتهای پرداخت، بانکهای کشور هستند، بانکها انتظاری از شرکتها برای افزایش امنیت پرداخت ندارند و سیستم امنیت پرداخت کشور تکامل نیافته است.
به گزارش پایگاه خبری بانکداری الکترونیک ، شرکتهای پرداخت در سراسر جهان همانند بانکها بیش از همة شرکتها نیاز به حفاظت اطلاعات کاربران دارند؛ بنابراین، این شرکتها نه تنها باید تحت قوانین مربوط به حفاظت اطلاعات فعالیت کنند؛ بلکه این قوانین به طور ویژهتر در بخش مدیریت مالی نیز فشار قابل توجهی بر این مؤسسات وارد میکند. در حال حاضر دو قانون GDPR و PSD2 از جمله قوانینی هستند که برای کاهش کلاهبرداری باید توسط شرکتهای پرداخت و بانکها مورد پیادهسازی قرار گیرند.
GDPR
GDPR که مخفف عبارت General Data Protection Regulation است، سری قوانینی برای حفاظت اطلاعات افراد است که توسط اتحادیۀ اروپا برای حفظ اطلاعات شهروندان اروپایی چه در داخل و چه در خارج از این منطقه طراحی شده است. در حقیقت، هر سازمانی که در اروپا مستقر است و در آن فعالیت میکند باید تحت قوانین GDPR به فعالیت بپردازد. همۀ اطلاعات عمومی افراد تحت این قانون باید توسط شرکت مورد حفاظت قرار بگیرد. در صورتی که اطلاعات شخصی افراد باید تحت قوانین DPD مورد حفاظت قرار گیرد که تمامی کشورهای عضو اتحادیه حداقل ملزم به رعایت این قانون هستند؛ بنابراین در این کشورها امکان فروش اطلاعات شخصی توسط سازمانها و شرکتها (مشابه آنچه توسط برخی شرکتها در کشور ما رخ داده است) به هیچ وجه وجود ندارد.
این قانون بر این مبنا تدوین شده است که اطلاعات اشخاص جزو داراییهای آنها محسوب میشود و باید همانند دارایی با آن برخورد شود. حقوقی که این سری قوانین برای اشخاص قائل شده است شامل موارد زیر است:
1- حق اطلاعرسانی
2- حق دسترسی
3- حق اصلاح
4- حق حذف اطلاعات
5- حق محدود کردن فرآیندها
6- حق کنترل انتقال اطلاعات
7- حق شکایت
8- حق عدم امکان برخورد به عنوان زیردست توسط سیستمهای تصمیمگیری خودکار
اصول GDPR
قوانین GDPR بر پایة شش اصل تدوین شدهاند. این اصول نشان میدهد که ارزش اطلاعات افراد بسیار ویژه و استفاده از آنها فقط در صورت ضرورت امکانپذیر است. علاوه بر این، شرکتها و سازمانها ملزم هستند برای انجام امور خود از حداقل اطلاعات استفاده کنند؛ بنابراین، به عنوان نمونه، در صورتی که برای یک هدف خاص نیاز به اطلاعات آدرس مشتری نباشد، شرکت یا سازمان، حق برداشت اطلاعات آدرس افراد را از مرکز دادهها برای انجام آن فعالیت ندارد. این مرکز داده توسط کارکنان وابسته به سازمان نظارتی مربوط به GDPR در کشورهای عضو مدیریت میشود. اصول ششگانه GDPR شامل (شکل 1):
* قانونی بودن،
* ارائة دلایل مشخص برای استفاده از اطلاعات،
* استفاده از حداقل اطلاعات برای رسیدن به اهداف،
* دقت اطلاعات و بهروز بودن آنها،
* محدود کردن نگهداری اطلاعات به میزان مورد نیاز،
* یکپارچگی و حفاظت اطلاعات است.
سایر جنبههای GDPR
این قانون روی تمامی کنترلکنندهها و پردازندههای مستقر در اروپا و سازمانهایی که جامعة هدف آنها شهروندان اروپایی است پیادهسازی میشود. جریمة نقض قوانین GDPR بسیار سنگین است و سازمانهای نظارتی جرایمی تا چهار درصد درآمد سالانه با حداقل جریمة 20 میلیون یورو در نظر میگیرند. برای انتقال اطلاعات حساس افراد یا انتقال اطلاعات خارج از مرزها باید اجازة این انتقال از تکتک افراد گرفته شود و برای دریافت موافقت باید هدف از استفاده از اطلاعات به طور واضح به مشتریان و مشترکان ارائه و حق مخالفت با استفاده از اطلاعات باید برای مشتریان منظور شود.
حقوق اطلاعاتی این قوانین سه عنصر اصلی را در بر دارد. مشتریان حق دارند تا اطلاعات خود را به طور کامل از سیستم پاک کنند و این کار باید به سرعت و بدون وقفه توسط شرکتها انجام گیرد. مشتریان حق دارند از یک شرکت درخواست انتقال اطلاعات با شرکت دیگر را بدهند و این درخواست باید عملی شود. مشتریان نباید به عنوان یک فرد تحت تسلط توسط سیستمهای خودکار برخورد شوند و تحت تصمیمات آنها باشند.
ارزیابی اثرات حفاظت اطلاعات (DPIA) بخش مهمی از فرایند حفاظت اطلاعات در GDPR است و سازمانها باید در زمان استفاده از حجم اطلاعات زیاد و همچنین هر سه سال یک بار این فرآیند را پیادهسازی کنند. این فرآیند برای تمامی شرکتها و سازمانها الزامی است.
سازمانها و شرکتها باید مسئولیتپذیری خود را در زمینة استفاده از اطلاعات نشان دهند و برای تحقق این امر باید چهار موضوع را در نظر بگیرند:
1- ایجاد فرهنگ پایش، بازبینی و ارزیابی فرآیندهای فرآوری اطلاعات
2- حداقل کردن فرآوری و نگهداری اطلاعات
3- ایجاد ابزارهای حفاظتی در زمان کار با دادهها
4- مستندسازی سیاستهای فرآوری اطلاعات و فرآیندها و عملیاتها برای ارائه به دستگاه ذیربط در صورت درخواست.
علاوه بر این، سازمانها باید بدون اتلاف وقت و حداکثر تا 72 ساعت، رخدادهای رخنة اطلاعاتی را به دستگاههای ذیربط گزارش دهند؛ البته در صورتی که مطمئن باشند اطلاعات افراد تحت تأثیر قرار نگرفته است ارائة گزارش الزامی نیست.
PSD2
دستورالعمل بازبینیشدة خدمات پرداخت (Revised Payment Service Directive) که PSD2 شناخته میشود، دستورالعمل قانونی فعالیتهای شرکتهای پرداخت است که برای افزایش امنیت پرداخت در نظر گرفته شده است. این دستورالعمل نیز منشأ اروپایی دارد و در اکتبر سال 2015 توسط پارلمان اروپا و در نوامبر همان سال توسط کنسولگری وزرا به کار گرفته شد.
هدف از PSD2 افزایش امنیت مشتری است که به واسطة توسعة نوآوریهای خدمات پرداخت در منطقة اروپا ایجاد شد. این دستورالعمل اولین بار در 23 دسامبر 2015 در مجلة اتحادیة اروپا به چاپ رسید و از 13 ژانویه 2016 الزامآور شد. کشورهای عضو اتحادیه باید تا 13 ژانویه 2018 این دستورالعمل را به طور کامل پیادهسازی میکردند. (شکل 2)
نقاط مثبت PSD2
* توسعة تراکنشهای نظارتشده: دامنة تراکنشهای نظارتشده به تمامی ارزها توسعه پیدا کرده است و حتی تراکنشهایی که یک طرف آن (پرداختکننده یا دریافتکننده) در اروپاست مشمول این قانون هستند.
* دسترسی سختگیرانهتر مشتریان: شرکتهای خدمات پرداخت موظف هستند هر زمان که مشتریان تمایل به دسترسی به حساب پرداخت به صورت آنلاین یا پرداخت از راه دور و هر تراکنشی از کانالهای راه دور را داشته باشند، از دسترسی سختگیرانهتری برای ورود مشتریان استفاده کنند.
* حل شکایات داخلی: بکارگیری و اجرای شیوههای کارآمد پاسخ به شکایات برای کاهش حداکثری زمان پاسخ به شکایات مشتریان.
* خدمات شروع پرداخت: PSD2 شرکتهای ارائهدهندة شروع خدمات پرداخت (PISP) و همچنین فرآیند پرداخت را نظارت میکند. بر همین اساس، شرکتهای PSP که در اروپا فعالیت میکنند موظف هستند امکانات ارتباطی امن را تدارک دیده و به PISPها اطلاعات کافی را انتقال دهند و با همة تراکنشهای انجامشده برخورد یکسان داشته باشند.
* خدمات اطلاعات حساب: دسترسی به حساب کاربری خدمات پرداخت باید به شرکتهای ثالث اعطا شود تا خدمات اطلاعات حساب یکپارچه باشد.
اهداف PSD2
هدف اصلی پیادهسازی این دستورالعمل افزایش سطح امنیت مشتری و افزایش رقابت در بازار پرداخت اروپاست. این دستورالعمل منجر به افزایش عملکردهای مورد نیاز اولیه برای انجام فرآیند پرداخت در بازار پرداخت اروپا شد. در نتیجة پیادهسازی، سیستم پرداخت در این منطقه از یکپارچگی و شفافیت بالاتری برخوردار میشود. علاوه بر این، برخی از تراکنشها در دستورالعمل قبلی تحت نظارت نبود که در این دستورالعمل پوشش داده شده است.
از دیگر اهداف مهم این دستورالعمل کاهش هزینة تراکنشها به ویژه از طریق افزایش قدرت رقابت شرکتهای نوپا در بازار است. در نتیجه کاهش کارمزد پرداخت مشتریان را به سمت شرکتهایی با کارمزد پایینتر میکشد. اهداف و چشماندازهای این دستورالعمل در شکل 3 نشان داده شده است.
آثار PSD2 (XS2A)
مهمترین اثر این دستورالعمل به گفتة مؤسسات مالی، نظارت جدیتر بر دسترسی افراد به حساب است. قوانین جدید سبب شده است تا این مؤسسات، اطمینان بیشتری نسبت به امنیت دسترسی کاربران به حساب بانکی داشته باشند و در نتیجه در ترویج این دستورالعمل نقش مهمی ایفا میکنند. گرچه این دستورالعمل فضای نوآوری و کارآفرینی زیادی ایجاد میکند؛ اما دو بخش جدید خدمات شروع پرداخت (PIS) و خدمات اطلاعات حساب (AIS) زمینة خاصی برای کارآفرینی چه در شرکتهای قدیمی و چه شرکتهای نوپا ایجاد نمیکند. (شکل4)
به طور همزمان، قوانین XS2A میتواند تهدیدی جدی برای بازیکنان کنونی عرصة پرداخت باشد؛ زیرا منجر به افزایش ورود بازیکنان جدید به این عرصه میشود، خلأهای امنیتی شرکتهای موجود را افشا میکند، نیازهای اولیة حفاظت اطلاعات را افزایش میدهد، خطر کلاهبرداری از بازیکنان را افشا میکند و در نهایت مسئولیت شرکتها را در قبال تراکنشهای غیر قانونی به شدت افزایش میدهد؛ بنابراین، پیادهسازی PSD2 آنچنان که باید به مزاج شرکتهای قدیمی عرصة پرداخت خوش نمیآید.
قوانین نظارتی شاپرک
ساختار و قوانین نظارتی و امنیتی شبکة شاپرک گرچه تفاوت زیادی با سامانههای تحت نظارت GDPR و PSD2 دارد؛ اما امنیت پرداخت در سطح مناسبی قرار گرفته است. این شبکه طی سالهای 1392 تا 93 ساختار اطلاعات امنیتی و مدیریت تخلف (SIEM) را در شبکه راهاندازی کرد. در این دوره تمامی شرکتهای پرداخت موظف شدند تا مراکز امنیت خود را طبق استانداردهای اعلامشده از سوی شاپرک راهاندازی و تجهیز کنند.
در سال 1394 نیز سامانة کشف حمله راهاندازی شد و در سال 95 پروژة SOC به صورت سلسله مراتبی و از طریق اتصال به مراکز امنیت شرکتها کلید خورد. در نهایت در سال 1396 مرکز CSERT شاپرک راهاندازی شد. (شکل 5)
برای پیادهسازی استانداردهای بینالمللی در زیرساختهای شاپرک ، پروژة ISMS در سال 95 تعریف و به گفتة کارشناسان در سال 96 نهایی شد. در نهایت برای افزایش امنیت فعالیتهای فناوری اطلاعات، چارچوب ITIL برای مدیریت فرآیندهای فناوری اطلاعات و با استفاده از ابزار ITSM پیادهسازی شد.
حرف آخر
حرف ساختارهای GDPR و PSD2 در کشور ما ماههاست که زده میشود و هنوز هم هیچ خبری از پیادهسازی این قوانین نیست. پیادهسازی این قوانین را میتوان مشابه پیادهسازی دستورالعملهای FATF دانست که دولت به دنبال پیادهسازی ترکیب مندرآوردی از آن است که بر پایة هیچ اصول و مبنایی نیست. پاشنهآشیل هر سه قانون مذکور شفافیت و مستندسازی است و چیزی است که به مزاج مسئولان کشور ما خوش نمیآید. در صورتی که مستندسازی بر اساس این سه قانون در کشور پیادهسازی شود، به جرأت میتوان گفت که رخداد اختلاس در کشور به صفر میرسد؛ زیرا بروز اختلاس در نتیجة عدم صدور سند در زمان جابهجایی پول است. در نتیجه کلاهبرداران داخلی به سادگی پولهای کلان را به حسابهای خود منتقل و سود کلانی عاید خود میکنند.
نکتة دیگر، فروش اسناد هویتی است که کما بیش برخی از آنها نیز رسانهای شدهاند. با پیادهسازی GDPR فروش اسناد هویتی افراد توسط سازمانها امکانپذیر نخواهد بود؛ زیرا هر جابهجایی اطلاعات باید با اجازة مشتریان و کاملاً شفاف صورت بگیرد.
در حال حاضر در کشور ما کلاهبرداریهای مربوط به امنیت شبکة پرداخت بسیار کمتر از کشورهای پیشرفته است. به گونهای که میتوان گفت کلاهبرداری در کشورهای پیشرفته 100 برابر بیشتر از ایران است؛ اما مسئلة اساسی در این زمینه تحریم و جدا افتادگی ایران از شبکة پرداخت و بانکداری جهان است. ایران تا ابد تحریم نخواهد ماند. روزی خواهد رسید که همة تحریمها، خواهناخواه، برداشته خواهد شد و سیستم بانکداری و پرداخت کشور در این زمان به شدت حساس به فعالیتهای کلاهبرداری خواهد شد.
علاوه بر این، ساختار شبکة پرداخت بسیار متفاوت با جهان است. زیرا بانکها در کشور ما سهامداران اصلی شرکتهای پرداخت بزرگ هستند و در نتیجه شبکة بانک و پرداخت را میتوان به نوعی یک شبکه در نظر گرفت. گرچه، سیستم نظارتی شاپرک در این بخش بسیار پر رنگ است. در نتیجه، نه سیستم پرداخت و نه شبکة بانکی، انتظاری از یکدیگر برای افزایش امنیت شبکه نخواهند داشت.
نکتة دیگر و بسیار مهمی که در داخل کشور وجود دارد اینکه برخورد بسیاری از شرکتها و بانکها با مشتریان به عنوان زیردست (Subject) است و حقی به مشتریان برای اعمال نظر در استفاده از اطلاعات آنها نمیدهد. بانکها و شبکة پرداخت به راحتی و بدون محدودیت به اطلاعات مشتریان دسترسی دارند و به هر شیوه که مناسب بدانند از آن استفاده میکنند. فقط نکتة مثبتی که در داخل کشور میتوان یافت عدم وجود کلاهبرداران بزرگ است که به دنبال کلاهبرداریهای سنگین از شبکة بانک و پرداخت باشند.