راه پرداخت
رسانه فناوری‌های مالی ایران

پیش‌نیاز‌های فنی برای اتصال شبکه‌های ملی پرداخت به شبکه‌های بین‌المللی

ثنا کمرئی و مهتاب عرفاتی؛ ماهنامه پیوست / بدیهی است در شرایط پساتحریم، اتصال بانک‌ها و سوئیچ ملی کشور به شبکه‌های بین‌المللی یکی از موضوعات مهم در صنعت بانکداری به شمار می‌رود. در این حوزه سه مقوله «امنیت»، «کیفیت» و «انطباق با استانداردهای بین‌المللی» اهمیت پیدا خواهد کرد.

در حال حاضر یکی از چالش‌های صنعت بانکداری، تطبیق این صنعت با استانداردهای اجرایی و فنی است که هم‌اکنون در دنیا استفاده می‌شود. لازم است زیرساخت‌های بانکی کشور جهت اخذ مجوز برای عضویت در شرکت‌هایی مانند ویزا، مستر کارت و غیره با استانداردهای مشخص‌شده از سوی این شرکت‌ها هماهنگ شود.

در ادامه با توجه به بررسی‌های انجام‌شده در سایت این شرکت‌ها و مستندات موجود در این سایت‌ها، قدم اول برای همکاری، پیاده‌سازی استانداردهای PCIDSS، PA-DSS، PCI-PTS و EMV است که در بخش‌های بعدی با ذکر جزئیات آمده است.

.

شرایط فنی برای همکاری با مستر کارت

با توجه به مستند MasterCard Rules که در سال ۲۰۱۴ توسط شرکت مستر کارت تدوین شده، لازم است نام کشور درخواست‌کننده برای همکاری با این شرکت در جدولی که بر اساس مناطق جغرافیایی است، وجود داشته باشد. این شرط به‌عنوان اولین الزام برای همکاری است.

در قسمت دیگری از این مستند برای منطقه آسیا، پیاده‌سازی استاندارد EMV به‌صورت جداگانه قید شده است. همچنین انطباق با الزامات استاندارد PCI Security برای شرکت‌های ارائه‌دهنده سرویس الزامی است. در مستند Security Rules and Procedures که سال ۲۰۱۵ تدوین شده، جزئیات بیشتری در رابطه با انطباق با الزامات این استاندارد ذکر شده است.

بنابراین مستند، تمامی شرکت‌های ارائه‌دهنده سرویس‌های بانکی و فروشنده‌ها لازم است الزامات استاندارد PCIDSS را با رعایت موارد زیر پیاده‌سازی کنند (لازم به ذکر است که شرکت‌های ارائه‌دهنده سرویس‌های بانکی و فروشنده‌ها بر اساس ویژگی‌هایشان، سطح‌بندی می‌شوند):

1- پس از تعیین دامنه موردنظر، لازم است کلیه الزامات استاندارد PCIDSS برای این دامنه پیاده‌سازی و در فواصل زمانی تعیین‌شده بازبینی شود. این بازبینی برای سطح ۱ فروشنده‌ها و سطح ۱ شرکت‌های ارائه‌دهنده سرویس‌های بانکی باید به‌صورت سالیانه انجام شود.

فروشنده‌ها می‌توانند برای ارزیابی از ممیز داخلی یا ممیز مستقل (خارجی) تأییدشده توسط شرکت مستر کارت استفاده کنند. شرکت‌های ارائه‌دهنده سرویس‌های بانکی باید برای ارزیابی از ممیز شخص ثالث تأییدشده در سایت SDP Program استفاده کنند.

تمامی این ارزیابی‌ها باید بر اساس روال ممیزی PCIDSS انجام گیرد (نمونه‌ای از این روال ممیزی منطبق با استاندارد PCIDSS توسط این شرکت منتشر شده است.)

2- شرکت‌های ارائه‌دهنده سرویس‌های بانکی و فروشنده‌ها لازم است ممیزی داخلی انجام دهند و کلیه این ممیزی‌ها می‌تواند بر اساس مستند The Payment Card Industry Self-assessment Questionnaire که به‌رایگان در سایت PCISSC وجود دارد، انجام گیرد. سطوح ۲، ۳ و ۴ فروشنده‌ها و سطح ۲ شرکت‌های ارائه‌دهنده سرویس‌های بانکی باید سالانه سطح قابل قبولی را کسب کنند.

table1-1000-way2pay-95-10-07

3- تمامی شرکت‌های ارائه‌دهنده سرویس‌های بانکی و سطوح ۱ تا ۳ فروشنده‌ها لازم است اسکن آسیب‌پذیری‌های شبکه را در بازه‌های زمانی سه‌ماهه انجام دهند. برای این منظور لیستی شامل نام کلیه شرکت‌های موردقبول PCI که انجام دهنده این فعالیت هستند به نام Approved Scanning Vendors) ASVs) در سایت PCISSC وجود دارد. شرکت‌های ارائه‌دهنده سرویس‌های بانکی و فروشنده‌ها باید از این لیست استفاده کنند.

تمامی این اسکن‌ها می‌بایست بر اساس روال اسکن PCIDSS انجام گیرد (نمونه‌ای از این روال در سایت PCI وجود دارد). لازم است الزامات استاندارد PA-DSS توسط شرکت‌های شخص ثالث که توسعه‌دهنده برنامه‌های کاربردی برای شرکت‌های ارائه‌دهنده سرویس‌های بانکی و سطوح ۱ تا ۳ فروشنده‌ها هستند نیز رعایت شود.

مستنداتی در این رابطه تحت عناوین Payment Application Data Security Standard و (PA-DSS) و PCI PA-DSS Program Guide به‌رایگان در سایت PCISSC وجود دارد. همچنین برای این منظور لیستی شامل نام تمامی شرکت‌های موردقبول PCI جهت ارزیابی و ممیزی در این زمینه در سایت PCISSC وجود دارد.

همان‌طور که در بالا ذکر شده است، شرکت‌های ارائه‌دهنده سرویس‌های بانکی و فروشنده‌ها با توجه به چندین معیار سطح‌بندی می‌شوند. به‌عنوان‌مثال شرکت‌های ارائه‌دهنده سرویس‌های بانکی سطوح ۱ و ۲ باید الزامات جدول یک را دارا باشند. شرکت مستر کارت می‌تواند در صورت نیاز شرکت‌های ارائه‌دهنده سرویس‌های بانکی و فروشنده‌ها را بر اساس SDP Program ممیزی کند.

.

شرایط فنی همکاری با ویزا

با توجه به اطلاعات مندرج در سایت شرکت ویزا، موارد زیر به‌عنوان پیش‌نیاز برای همکاری با این شرکت آمده است:

  1. انطباق با الزامات استاندارد PCIDSS برای تمامی شرکت‌های ارائه‌دهنده سرویس‌های بانکی و فروشنده‌ها الزامی است (فایلی با نام Visa Introduces Enhanced PCIDSS Enforcement Plan توسط شرکت ویزا منتشر شده است که شامل برنامه‌ای برای پیاده‌سازی استاندارد PCIDSS، جهت استفاده برای شرکت‌هایی که به‌طور کامل این استاندارد را پیاده‌سازی نکرده‌اند، وجود دارد).
  2. شرکت‌های ارائه‌دهنده سرویس‌های بانکی، شرکت‌هایی هستند که اطلاعات کارت‌های ویزا را ذخیره، منتقل و پردازش می‌کنند. شرکت ویزا این شرکت‌ها را بنا بر معیارهای مختلف سطح‌بندی می‌کند (جدول ۲).
  3. ارزیابی جهت انطباق با استاندارد PCIDSS به‌صورت سالیانه برای سطوح ۱ و ۲ شرکت‌های ارائه‌دهنده سرویس‌های بانکی الزامی است.
  4. سایر موارد.

table2-1000-way2pay-95-10-07به دلیل حفظ امنیت و ارتقای آن در شبکه‌های بانکی کشور بهتر است قبل از اتصال به شبکه‌های بین‌المللی، به موارد زیر نیز توجه شود:

  • پیاده‌سازی سیستم مدیریت تقلب و ضد پول‌شویی
  • پیاده‌سازی الزامات استانداردهای ISO27001 سیستم مدیریت امنیت اطلاعات، ISO31000 مدیریت ریسک، ISO22301 مدیریت تداوم کسب‌وکار و ISO20000 مدیریت سرویس و اخذ گواهینامه‌های مرتبط با آن‌ها از شرکت‌های معتبر بین‌المللی مرجع صدور گواهینامه
  • انجام برنامه‌ریزی‌هایی جهت مهاجرت به آخرین نسخه‌های استانداردهای بین‌المللی درصورتی‌که نسخه‌های قدیمی این استانداردها در شبکه‌های بانکی، پیاده‌سازی شده باشد.
  • ایجاد زیرساخت‌های ارزیابی و ممیزی امنیت سامانه‌ها و شبکه‌های بانکی

table3-1000-way2pay-95-10-07

.

تعریف الزامات مرتبط

استاندارد EMV

کلمه EMV مخفف نام سه شرکت Europay، MasterCard و Visa است که این استاندارد را ایجاد کرده‌اند. در حال حاضر این استاندارد توسط EMVCo. مدیریت می‌شود. موضوع اصلی EMV، بحث احراز هویت ابزار پرداخت است؛ اینکه ابزار پرداخت واقعی باشد و جعل نشود.

استاندارد EMV، استاندارد فنی کارت‌های پرداخت هوشمند و پایانه‌های پرداخت و دستگاه خودپرداز است. کارت‌های EMV، کارت‌های هوشمندی هستند که اطلاعات را روی تراشه به‌جای نوار مغناطیسی ذخیره می‌کنند.

بزرگ‌ترین تأثیر پیاده‌سازی این استاندارد ارتقای امنیت و کاهش تعداد برداشت‌های غیرمجاز از طریق روش‌هایی مانند تقلب است. برای افزایش قابلیت و ویژگی‌های امنیتی لازم است این استاندارد در هر دو قسمت کارت و پایانه پیاده‌سازی شود.

.

مجموعه استانداردهای PCI

این استاندارد شامل الزامات امنیتی برای حفظ و نگهداری اطلاعات کارت است.

استاندارد PCI-PTS

این استاندارد، مجموعه‌ای از نیازمندی‌های ارزیابی است که توسط شورای استانداردهای امنیتی صنایع پرداخت کارت، برای پایانه‌های POI پذیرنده PIN ارائه شده است.

استاندارد PA-DSS

استانداردی است برای فروشندگان نرم‌افزار و توسعه‌دهندگان برنامه‌های پرداخت که اطلاعات صاحب کارت یا داده‌های حساس احراز هویت را ذخیره، پردازش و منتقل می‌کنند، کاربردپذیر است.

استاندارد PCIDSS

استاندارد امنیت داده (DSS) صنایع پرداخت کارت (PCI) به‌منظور ترغیب و پیشبرد امنیت اطلاعات صاحبان کارت تدوین شده است.

SDP Program

به‌منظور انطباق با استاندارد PCI DSS شرکت مستر کارت برنامه (Site Data Protection Program) SDP را پیشنهاد داده است. در این مستند، الزامات استاندارد PCI DSS با جزئیات توضیح داده شده است

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.