بررسی لایه های امنیتی نظام پرداخت الکترونیک در جهان/ جایگاه ما در پازل امنیت پرداخت کجاست

به گزارش پایگاه خبری بانکداری الکترونیک به نقل از تارنمای ایرن کیش، افشای اطلاعات مربوط به کارت‌های بیش از 3 میلیون دارنده کارت در کشور باعث شد تا بحث امنیت شبکه کارتخوان کشور به یکی از مباحث روز محافل خبری و کارشناسی و فعالان بانکداری الکترونیک تبدیل شود.  سوالات زیادی مطرح شد از جمله اینکه مکانیسم‌های امنیتی سایر کشورها برای تامین امنیت پرداخت الکترونیک چیست و ساختار امنیت شبکه کارتخوان ما در مقایسه با جهان در چه جایگاهی قرار دارد؟

لایه های امنیت در صنعت پرداخت الکترونیک

امنیت در حوزه خدمات پرداخت الکترونیک دارای  لایه‌های متعدد بوده که در قالب دو لایه هایی که قابل دسته بندی در دو گروه و برای هر یک برنامه‌ریزی متفاوتی انجام می‌شود.

1- لایه امنیت ابزارهای پرداخت و پذیرش (نظیر کارت و دستگاه کارتخوان)2- لایه امنیت در حوزه مدیریت

لایه امنیت ابزارهای پرداخت و پذیرش

در این بخش به دلیل تنوع وسیع شرکت‌های تولید‌کننده ابزارهای پذیرش کارت و تکنولوژی‌های متعدد و متفاوت به‌کارگیری‌شده توسط هر یک در تولید محصولات خود از یک سو و از سوی دیگر، روش‌های متفاوت هر بانک یا موسسه صادرکننده کارت در تولید و صدور کارت و نیز سطوح متفاوت امنیتی به‌کارگیری‌شده توسط شبکه‌های ارتباطی و مخابراتی واسط، از سال‌ها پیش به منظور حفظ امنیت عمومی در این بخش یک انجمن بین‌المللی تحت عنوان PCI SSC با مشارکت برخی از بزرگ‌ترین شبکه‌های پرداخت تشکیل شده است و نهاد ناظر در هر کشور یا هر شبکه پرداخت نظیر Visa و MasterCard تمامی فعالان عضو خود را ملزم به پذیرش و رعایت این استانداردها در ابزارهای مورد استفاده خود نموده و بدین شکل تمامی دستگاه‌های کارتخوان، دستگاه‌های خودپرداز، کارت‌ها، سوئیچ‌ها و … برای استفاده در شبکه‌های پرداخت ملزم به ارایه گواهینامه تایید امنیت صادر شده از سوی PCI هستند.

12 استاندارد مورد اشاره درانجمن PCI SSC1

انجمن استانداردهای امنیتی صنعت پرداخت کارتی (PCI SSC) یک انجمن جهانی است که در سال 2006 تشکیل شد. موسسان این انجمن پنج برند اصلی شبکه پرداخت کارتی در جهان شامل شرکت‌های Visa، MasterCard، Discover، American Express و JCB  بوده و تمامی این شرکت‌ها از سهم برابر در اداره و پیشبرد اهداف انجمن برخوردارند.

این انجمن برنامه‌های خود را در زمینه امنیت پرداخت کارتی، استاندارد امنیت داده‌ها در صنعت پرداخت کارتی (PCI DSS2)  در بخش‌های اصلی ذیل تدوین نموده که عبارتند از 12 مورد که در شش گروه کلی قرار دارند:

توسعه و مدیریت یک شبکه مطمئن شامل:

– نصب و مدیریت یک برنامه Firewall

– عدم استفاده از پارامترهای اولیه نصب‌شده توسط تولیدکننده به عنوان رمز عبور سیستم

محافظت از اطلاعات دارندگان کارت شامل:

– محافظت از اطلاعات ذخیره و آرشیو شده در سیستم

– کدگذاری داده‌های مرتبط با اطلاعات انتقال داده شده در شبکه‌های عمومی

استفاده از یک نرم‌افزار به منظور مدیریت ریسک شامل:

– استفاده و بروزرسانی مداوم نرم‌افزارهای ویروس‌یاب

– توسعه و مدیریت سیستم‌ها و برنامه‌های محافظت‌شده

پیاده‌سازی راهکارهای کنترلی شدید در میزان دسترسی به اطلاعات شامل:

– محدودکردن دسترسی به اطلاعات دارندگان کارت در حد لزوم

– تخصیص یک کد شناسایی مشخص به تک تک افرادی که به اطلاعات دسترسی دارند

– ایجاد محدودیت در دسترسی فیزیکی به اطلاعات ذخیره‌شده

کنترل و تست شبکه‌های مورد استفاده شامل:

– ثبت و کنترل تمامی ورودها به شبکه‌های حفظ و پردازش اطلاعات دارندگان کارت

– اجرای منظم تست سیستم‌ها و رویه‌های امنیتی

مدیریت یک سیاست امنیتی در قبال اطلاعات کارتی:

– اتخاذ و اجرای سیاستی که حفاظت امنیت اطلاعات توسط تمامی پرسنل را تضمین کند

در ایران شرایط چگونه است

واقعیت آن است که به دلیل رشد بسیار سریع شبکه کارتخوان‌های فروشگاهی کشور و سایر روش‌های پرداخت الکترونیک نظیر پرداخت اینترنتی، لازم است که اکنون با طراحی مجدد این لایه امنیتی، تمامی شرکت‌های PSP فعال و نیز تمامی بانک‌های حاضر در کشور ملزم به رعایت استاندارد PCI DSS گردیده و اقدام به اخذ و ارایه گواهینامه‌های مربوطه در خصوص تمامی ابزارها و تجهیزات خود نمایند و به‌کارگیری هر ابزاری در سطح جامعه منوط به طی فرآیند فوق باشد.

اهمیت نقش شاپرک

بدیهی است که بانک مرکزی به عنوان نهاد ناظر پولی و بانکی کشور دارای وظایف متعدد در حوزه‌های مختلف اقتصادی کشور است و هیچگاه فرصت و توان عملیاتی کافی برای نظارت بر جزئیات ارایه خدمات پرداخت در کشور را نداشته و نخواهد داشت. از این رو شرکت شاپرک به عنوان شرکتی که با وظایف حاکمیتی از سوی شرکت ملی انفورماتیک و بانک مرکزی تشکیل شده و ماموریت نظارت بر این حوزه و سازماندهی مجدد آن‌را بر عهده دارد، می‌تواند با تمرکز صرف بر این فعالیت، اقدام به نظارت مستمر و بازدید‌های منظم و دوره‌ای بر فعالیت شرکت‌های PSP نموده و بازوی توانای بانک مرکزی در این حوزه باشد.

نظارت بر رعایت انواع استانداردهای امنیتی PCI و سایر ضوابط و قوانین کشوری از یک سو و تامین امنیت اقتصادی برای فعالیت شرکت‌های PSP با هدف ایجاد توجیه اقتصادی در زمینه توسعه سرمایه‌گذاری‌های ایشان در حوزه امنیت از اهم وظایف شاپرک خواهد بود.

بنابراین بر همگان واجب است که در مقطع کنونی با حمایت از شرکت نوپای شاپرک زمینه استقرار هر چه سریعتر و ایفای کامل وظایف نظارتی آن‌را فراهم آورند.

2- لایه امنیت در حوزه مدیریت

عوامل ذیل از جمله مهمترین عوامل تضمین‌کننده امنیت عمومی در حوزه خدمات پرداخت الکترونیک و جبران خسارات وارده احتمالی به جامعه است که در بیشتر کشورهای توسعه یافته پیاده‌سازی شده‌اند:

افزایش میزان سرمایه شرکت‌های PSP

بدیهی است که در صورتی که شرکت PSP دارای سرمایه ثبت‌شده‌ اندک باشد، به‌هیچ روی توان جبران خسارات وارده احتمالی در رویدادهایی نظیر افشای اطلاعات کنونی را نخواهد داشت بنابراین پیش‌بینی میزان حداقلی سرمایه ثبت شده و الزام تمامی شرکت‌های فعال به رعایت آن از جمله مهمترین اقدامات موثر خواهد بود.

الزام تمامی شرکت‌های فعال برای تبدیل شدن به شرکت سهامی‌ عام

به دلیل تفاوت ماهیت تصمیم‌گیری در شرکت‌های دارای مالکیت شخصی و شرکت‌هایی که به صورت سهامی‌عام و با حضور نمایندگان افراد و شرکت‌های مختلف در هیات مدیره و سپس مجامع شرکت اداره می‌شوند؛ و کاهش امکان اخذ تصمیمات شخصی و مغایر با منافع عمومی در این نوع شرکت‌ها، پیش‌بینی فرآیندی که طی آن تمامی شرکت‌های فعال و دارای مجوز به سرعت به شرکت سهامی‌عام تبدیل شوند، مرحله بعدی کار خواهد بود.

لزوم پیش‌بینی منطقی برای حفظ و توسعه درآمد شرکت‌های PSP

یکی از رویکردهای احساسی و شاید غیرمنطقی در شرایط کنونی، اعمال هر چه بیشتر محدودیت بر عملکرد شرکت‌های PSP در حوزه فعالیت تجاری و کاهش کانال‌های درآمدی ایشان خواهد بود.

تقریبا در تمامی مدل‌های بکارگیری شده در شبکه‌های بین‌المللی پرداخت در کشورهایی نظیر آمریکا و کانادا طراحی فضای اقتصادی صنعت پرداخت الکترونیک بر محوریت ایجاد منافع پایدار و گسترده برای تمامی بازیگران اعم از بانک‌ها و شرکت‌های PSP انجام شده است، تا جایی‌که به‌طور مثال در ایالات متحده شرکت‌های PSP نظیر FIRST DATA در سال 2010 با حضور در 35 کشور در مناطق آمریکای شمالی و لاتین، اروپا، منطقه آسیا/پاسیفیک، خاورمیانه و آفریقا و با ارایه خدمات به 6/2 میلیون پذیرنده و هفت هزار موسسه مالی، موفق به پردازش مبلغ 60 میلیارد دلار و کسب درآمد 10/4 میلیارد دلار شده‌اند. این در حالیست که تعداد کارمندان این شرکت در پایان سال 2010 حدود 24هزار نفر بوده است.

روشن است که هدف نهاد ناظر و طراحان صنعت پرداخت الکترونیک در کشورهای توسعه یافته ایجاد محدودیت در درآمدهای شرکت‌های PSP و انواع حوزه‌های فعالیت ایشان نبوده است تا بتوان به طور منطقی از ایشان انتظار سرمایه‌گذاری در حوزه افزایش امنیت شبکه‌های پرداخت را داشت.

ایجاد شرکت‌های مادر در حوزه ارایه خدمات پرداخت الکترونیک

صنعت بانکداری و فعالیت‌های پولی و مالی از جمله معدود حوزه‌هایی است که کشورهای توسعه‌یافته از تمرکزگرایی در آن پرهیز ننموده و آگاهانه در حال مدیریت ایجاد هر چه بیشتر تمرکز در آن می‌باشند.

مروری بر اخبار روزانه منتشرشده در سایت‌ها و ژورنال‌های معتبر بانکی و پرداخت الکترونیک در سطح دنیا حاکی از آن است که روزی نیست که یک شرکت کوچک‌تر توسط شرکت‌های بزرگ‌تر خریداری نشده و به آن الحاق نشود. تا جایی‌که اخیرا حتی در حوزه‌های حساسی نظیر مدیریت سوئیچ‌های پرداخت ملی در انگلستان نیز شاهد خرید شرکت switch (یکی از شرکت‌های اصلی مدیریت تراکنش‌ها) توسط شرکت بین‌المللی MasterCard یا خرید شرکت معظم Hypercom (تولید‌کننده سوم دنیا در زمینه دستگاه کارتخوان) توسط شرکت دوم دنیا در این حوزه یعنی VeriFone بوده‌ایم. (بر اساس اطلاعات منتشرشده توسط بانک مرکزی انگلستان-2011 و نشریه Nilson report)

راه‌حل مناسب کشورمان چیست

بانک مرکزی و برخی فعالان این صنعت از مدت‌ها پیش به دنبال ارتقای استانداردهای امنیتی و بازطراحی ساختار و تعریف مجدد نقش شرکت‌های PSP و بانک‌ها در این حوزه بوده‌اند. به‌کارگیری الگوهای کشورهای توسعه‌یافته در تعریف نقش شرکت مادر برای شرکت‌های بزرگ و با سابقه PSP و ادغام شرکت‌های کوچک‌تر در آن‌ها، عملا گام بلندی در افزایش امنیت شبکه‌های پرداخت الکترونیک در کشور خواهد بود.

منبع:

 "PCI DSS" PCI Security Standards, 2011
 

تهیه و تنظیم از  گروه مطالعات راهبردی ایران کیش

پاورقی‌ها

1-Payment Card Industry Security Standard Council

2-Payment Card Industry Data Security Standard