بررسی لایه های امنیتی نظام پرداخت الکترونیک در جهان/ جایگاه ما در پازل امنیت پرداخت کجاست
12 استاندارد مورد اشاره درانجمن PCI SSC1
بکارگیری الگوهای کشورهای توسعهیافته در تعریف نقش شرکت مادر برای شرکتهای بزرگ و با سابقه PSP و ادغام شرکتهای کوچکتر در آنها، عملا گام بلندی در افزایش امنیت شبکههای پرداخت الکترونیک در کشور خواهد بود.یکی از رویکردهای احساسی و شاید غیرمنطقی در شرایط کنونی، اعمال هر چه بیشتر محدودیت بر عملکرد شرکتهای PSP در حوزه فعالیت تجاری و کاهش کانالهای درآمدی آنها خواهد بود.
به گزارش پایگاه خبری بانکداری الکترونیک به نقل از تارنمای ایرن کیش، افشای اطلاعات مربوط به کارتهای بیش از 3 میلیون دارنده کارت در کشور باعث شد تا بحث امنیت شبکه کارتخوان کشور به یکی از مباحث روز محافل خبری و کارشناسی و فعالان بانکداری الکترونیک تبدیل شود. سوالات زیادی مطرح شد از جمله اینکه مکانیسمهای امنیتی سایر کشورها برای تامین امنیت پرداخت الکترونیک چیست و ساختار امنیت شبکه کارتخوان ما در مقایسه با جهان در چه جایگاهی قرار دارد؟
لایه های امنیت در صنعت پرداخت الکترونیک
امنیت در حوزه خدمات پرداخت الکترونیک دارای لایههای متعدد بوده که در قالب دو لایه هایی که قابل دسته بندی در دو گروه و برای هر یک برنامهریزی متفاوتی انجام میشود.
1- لایه امنیت ابزارهای پرداخت و پذیرش (نظیر کارت و دستگاه کارتخوان)2- لایه امنیت در حوزه مدیریت
لایه امنیت ابزارهای پرداخت و پذیرش
در این بخش به دلیل تنوع وسیع شرکتهای تولیدکننده ابزارهای پذیرش کارت و تکنولوژیهای متعدد و متفاوت بهکارگیریشده توسط هر یک در تولید محصولات خود از یک سو و از سوی دیگر، روشهای متفاوت هر بانک یا موسسه صادرکننده کارت در تولید و صدور کارت و نیز سطوح متفاوت امنیتی بهکارگیریشده توسط شبکههای ارتباطی و مخابراتی واسط، از سالها پیش به منظور حفظ امنیت عمومی در این بخش یک انجمن بینالمللی تحت عنوان PCI SSC با مشارکت برخی از بزرگترین شبکههای پرداخت تشکیل شده است و نهاد ناظر در هر کشور یا هر شبکه پرداخت نظیر Visa و MasterCard تمامی فعالان عضو خود را ملزم به پذیرش و رعایت این استانداردها در ابزارهای مورد استفاده خود نموده و بدین شکل تمامی دستگاههای کارتخوان، دستگاههای خودپرداز، کارتها، سوئیچها و … برای استفاده در شبکههای پرداخت ملزم به ارایه گواهینامه تایید امنیت صادر شده از سوی PCI هستند.
12 استاندارد مورد اشاره درانجمن PCI SSC1
انجمن استانداردهای امنیتی صنعت پرداخت کارتی (PCI SSC) یک انجمن جهانی است که در سال 2006 تشکیل شد. موسسان این انجمن پنج برند اصلی شبکه پرداخت کارتی در جهان شامل شرکتهای Visa، MasterCard، Discover، American Express و JCB بوده و تمامی این شرکتها از سهم برابر در اداره و پیشبرد اهداف انجمن برخوردارند.
این انجمن برنامههای خود را در زمینه امنیت پرداخت کارتی، استاندارد امنیت دادهها در صنعت پرداخت کارتی (PCI DSS2) در بخشهای اصلی ذیل تدوین نموده که عبارتند از 12 مورد که در شش گروه کلی قرار دارند:
توسعه و مدیریت یک شبکه مطمئن شامل:
– نصب و مدیریت یک برنامه Firewall
– عدم استفاده از پارامترهای اولیه نصبشده توسط تولیدکننده به عنوان رمز عبور سیستم
محافظت از اطلاعات دارندگان کارت شامل:
– محافظت از اطلاعات ذخیره و آرشیو شده در سیستم
– کدگذاری دادههای مرتبط با اطلاعات انتقال داده شده در شبکههای عمومی
استفاده از یک نرمافزار به منظور مدیریت ریسک شامل:
– استفاده و بروزرسانی مداوم نرمافزارهای ویروسیاب
– توسعه و مدیریت سیستمها و برنامههای محافظتشده
پیادهسازی راهکارهای کنترلی شدید در میزان دسترسی به اطلاعات شامل:
– محدودکردن دسترسی به اطلاعات دارندگان کارت در حد لزوم
– تخصیص یک کد شناسایی مشخص به تک تک افرادی که به اطلاعات دسترسی دارند
– ایجاد محدودیت در دسترسی فیزیکی به اطلاعات ذخیرهشده
کنترل و تست شبکههای مورد استفاده شامل:
– ثبت و کنترل تمامی ورودها به شبکههای حفظ و پردازش اطلاعات دارندگان کارت
– اجرای منظم تست سیستمها و رویههای امنیتی
مدیریت یک سیاست امنیتی در قبال اطلاعات کارتی:
– اتخاذ و اجرای سیاستی که حفاظت امنیت اطلاعات توسط تمامی پرسنل را تضمین کند
در ایران شرایط چگونه است
واقعیت آن است که به دلیل رشد بسیار سریع شبکه کارتخوانهای فروشگاهی کشور و سایر روشهای پرداخت الکترونیک نظیر پرداخت اینترنتی، لازم است که اکنون با طراحی مجدد این لایه امنیتی، تمامی شرکتهای PSP فعال و نیز تمامی بانکهای حاضر در کشور ملزم به رعایت استاندارد PCI DSS گردیده و اقدام به اخذ و ارایه گواهینامههای مربوطه در خصوص تمامی ابزارها و تجهیزات خود نمایند و بهکارگیری هر ابزاری در سطح جامعه منوط به طی فرآیند فوق باشد.
اهمیت نقش شاپرک
بدیهی است که بانک مرکزی به عنوان نهاد ناظر پولی و بانکی کشور دارای وظایف متعدد در حوزههای مختلف اقتصادی کشور است و هیچگاه فرصت و توان عملیاتی کافی برای نظارت بر جزئیات ارایه خدمات پرداخت در کشور را نداشته و نخواهد داشت. از این رو شرکت شاپرک به عنوان شرکتی که با وظایف حاکمیتی از سوی شرکت ملی انفورماتیک و بانک مرکزی تشکیل شده و ماموریت نظارت بر این حوزه و سازماندهی مجدد آنرا بر عهده دارد، میتواند با تمرکز صرف بر این فعالیت، اقدام به نظارت مستمر و بازدیدهای منظم و دورهای بر فعالیت شرکتهای PSP نموده و بازوی توانای بانک مرکزی در این حوزه باشد.
نظارت بر رعایت انواع استانداردهای امنیتی PCI و سایر ضوابط و قوانین کشوری از یک سو و تامین امنیت اقتصادی برای فعالیت شرکتهای PSP با هدف ایجاد توجیه اقتصادی در زمینه توسعه سرمایهگذاریهای ایشان در حوزه امنیت از اهم وظایف شاپرک خواهد بود.
بنابراین بر همگان واجب است که در مقطع کنونی با حمایت از شرکت نوپای شاپرک زمینه استقرار هر چه سریعتر و ایفای کامل وظایف نظارتی آنرا فراهم آورند.
2- لایه امنیت در حوزه مدیریت
عوامل ذیل از جمله مهمترین عوامل تضمینکننده امنیت عمومی در حوزه خدمات پرداخت الکترونیک و جبران خسارات وارده احتمالی به جامعه است که در بیشتر کشورهای توسعه یافته پیادهسازی شدهاند:
افزایش میزان سرمایه شرکتهای PSP
بدیهی است که در صورتی که شرکت PSP دارای سرمایه ثبتشده اندک باشد، بههیچ روی توان جبران خسارات وارده احتمالی در رویدادهایی نظیر افشای اطلاعات کنونی را نخواهد داشت بنابراین پیشبینی میزان حداقلی سرمایه ثبت شده و الزام تمامی شرکتهای فعال به رعایت آن از جمله مهمترین اقدامات موثر خواهد بود.
الزام تمامی شرکتهای فعال برای تبدیل شدن به شرکت سهامی عام
به دلیل تفاوت ماهیت تصمیمگیری در شرکتهای دارای مالکیت شخصی و شرکتهایی که به صورت سهامیعام و با حضور نمایندگان افراد و شرکتهای مختلف در هیات مدیره و سپس مجامع شرکت اداره میشوند؛ و کاهش امکان اخذ تصمیمات شخصی و مغایر با منافع عمومی در این نوع شرکتها، پیشبینی فرآیندی که طی آن تمامی شرکتهای فعال و دارای مجوز به سرعت به شرکت سهامیعام تبدیل شوند، مرحله بعدی کار خواهد بود.
لزوم پیشبینی منطقی برای حفظ و توسعه درآمد شرکتهای PSP
یکی از رویکردهای احساسی و شاید غیرمنطقی در شرایط کنونی، اعمال هر چه بیشتر محدودیت بر عملکرد شرکتهای PSP در حوزه فعالیت تجاری و کاهش کانالهای درآمدی ایشان خواهد بود.
تقریبا در تمامی مدلهای بکارگیری شده در شبکههای بینالمللی پرداخت در کشورهایی نظیر آمریکا و کانادا طراحی فضای اقتصادی صنعت پرداخت الکترونیک بر محوریت ایجاد منافع پایدار و گسترده برای تمامی بازیگران اعم از بانکها و شرکتهای PSP انجام شده است، تا جاییکه بهطور مثال در ایالات متحده شرکتهای PSP نظیر FIRST DATA در سال 2010 با حضور در 35 کشور در مناطق آمریکای شمالی و لاتین، اروپا، منطقه آسیا/پاسیفیک، خاورمیانه و آفریقا و با ارایه خدمات به 6/2 میلیون پذیرنده و هفت هزار موسسه مالی، موفق به پردازش مبلغ 60 میلیارد دلار و کسب درآمد 10/4 میلیارد دلار شدهاند. این در حالیست که تعداد کارمندان این شرکت در پایان سال 2010 حدود 24هزار نفر بوده است.
روشن است که هدف نهاد ناظر و طراحان صنعت پرداخت الکترونیک در کشورهای توسعه یافته ایجاد محدودیت در درآمدهای شرکتهای PSP و انواع حوزههای فعالیت ایشان نبوده است تا بتوان به طور منطقی از ایشان انتظار سرمایهگذاری در حوزه افزایش امنیت شبکههای پرداخت را داشت.
ایجاد شرکتهای مادر در حوزه ارایه خدمات پرداخت الکترونیک
صنعت بانکداری و فعالیتهای پولی و مالی از جمله معدود حوزههایی است که کشورهای توسعهیافته از تمرکزگرایی در آن پرهیز ننموده و آگاهانه در حال مدیریت ایجاد هر چه بیشتر تمرکز در آن میباشند.
مروری بر اخبار روزانه منتشرشده در سایتها و ژورنالهای معتبر بانکی و پرداخت الکترونیک در سطح دنیا حاکی از آن است که روزی نیست که یک شرکت کوچکتر توسط شرکتهای بزرگتر خریداری نشده و به آن الحاق نشود. تا جاییکه اخیرا حتی در حوزههای حساسی نظیر مدیریت سوئیچهای پرداخت ملی در انگلستان نیز شاهد خرید شرکت switch (یکی از شرکتهای اصلی مدیریت تراکنشها) توسط شرکت بینالمللی MasterCard یا خرید شرکت معظم Hypercom (تولیدکننده سوم دنیا در زمینه دستگاه کارتخوان) توسط شرکت دوم دنیا در این حوزه یعنی VeriFone بودهایم. (بر اساس اطلاعات منتشرشده توسط بانک مرکزی انگلستان-2011 و نشریه Nilson report)
راهحل مناسب کشورمان چیست
بانک مرکزی و برخی فعالان این صنعت از مدتها پیش به دنبال ارتقای استانداردهای امنیتی و بازطراحی ساختار و تعریف مجدد نقش شرکتهای PSP و بانکها در این حوزه بودهاند. بهکارگیری الگوهای کشورهای توسعهیافته در تعریف نقش شرکت مادر برای شرکتهای بزرگ و با سابقه PSP و ادغام شرکتهای کوچکتر در آنها، عملا گام بلندی در افزایش امنیت شبکههای پرداخت الکترونیک در کشور خواهد بود.
منبع:
"PCI DSS" PCI Security Standards, 2011
تهیه و تنظیم از گروه مطالعات راهبردی ایران کیش
پاورقیها
1-Payment Card Industry Security Standard Council
2-Payment Card Industry Data Security Standard