بانک مرکزی بازرسی از شرکت‌های خدمات پرداخت را آغاز کرد

نویسنده: رسول قربانی در تاریخ 5 اردیبهشت سال 1391 ساعت 11:34 0

امنیت کارت‌های بانکی افزایش می‌یابد

بانک مرکزی دیروز با تاکید مجدد بر این‌که در ماجرای اخیر افشای اطلاعات محرمانه برخی کارت‌های بانکی، پولی از حساب‌های مردم برداشت نشده است، از برنامه‌های جدید این بانک برای ارتقای امنیت کارت‌های بانکی خبر داد.

بر این اساس، بانک مرکزی وعده داده است تمهیدات جدید و سختگیرانه‌ای را برای ارتقای امنیت کارت‌های بانکی به کار گرفته و بر شرکت‌هایی که خدمات این‌گونه کارت‌ها را ارائه می‌دهد، نظارت بیشتری داشته باشد. این بانک تسریع در اجرای طرح شاپرک (شبکه الکترونیک پرداخت کارتی) ‌ و تجدیدنظر در سیستم امنیتی تمام شرکت‌های ارائه‌دهنده خدمات پرداختی (psp) را از مهم‌ترین رئوس این برنامه‌ها اعلام کرد. نسترن اسماعیلی، مدیر سیستم‌های کارت شرکت خدمات انفورماتیک به عنوان یکی از شرکت‌های تحت پوشش بانک مرکزی دیروز اعلام کرد که ماجرای اخیر لو رفتن اطلاعات کارت‌های بانکی مردم، مسوولان را نسبت به مقوله امنیت کارت‌های بانکی «حساستر» کرده است. وی با اشاره به مشکل نبود کنترل و نظارت کافی بر تامین امنیت سیستم‌های الکترونیکی بانکی توسط شرکت‌های فعال در این عرصه، وعده داد بانک مرکزی از این پس نظارت مستمری بر این مقوله خواهد داشت.

مدیر سیستم‌های کارت شرکت خدمات انفورماتیک گفت: بی‌توجهی یک شرکت به مقررات و دستورالعمل‌های ابلاغی، موجب به سرقت رفتن اطلاعات کارت‌های بانکی شد.

اسماعیلی، در گفت‌وگو با ایرنا، با اشاره به تدوین و ابلاغ مقررات مربوط به تامین امنیت سیستم‌های الکترونیکی بانکی به شرکت‌های فعال در عرصه سیستم‌های کارتی تصریح کرد: مشکل در نبود کنترل و نظارت کافی در جهت اجرای این مقررات بود که با طرح شاپرک (شبکه الکترونیک پرداخت کارتی) قرار است این خلأ پر شود و از این پس نظارت مستمر اعمال می‌شود.

وی افزود: از سال ۱۳۸۴ که طرح استفاده از شرکت‌های psp مطرح شد، مقررات مربوط به تامین امنیت شبکه نیز تدوین و ابلاغ شد. از نظر مقررات شرکت‌ها مجاز به ذخیره اطلاعات محرمانه نبودند. اسماعیلی گفت: ذخیره اطلاعات و دسترسی یک فرد به تمام داده‌ها موجب بروز مشکل اخیر و لو‌رفتن بخشی از اطلاعات کارت‌های بانکی شد.

وی افزود: آخرین استانداردهای جهانی تدوین‌شده در زمینه امنیت سیستم‌های الکترونیک بانکی که مربوط به سال‌های ۲۰۰۸ و۲۰۱۰ است، در کشور ما مورد توجه قرار گرفته و فاصله ما با استانداردهای جهانی زیاد نیست، ولی تاکنون بخشنامه‌ای در زمینه الزامی بودن رعایت این استاندارد‌ها نداشته‌ایم و به‌صورت توصیه بوده است که لازم است این اقدام صورت پذیرد.

تغییر سیستم امنیتی شرکت‌های طرف قرارداد

مدیرسیستم‌های کارت شرکت خدمات انفورماتیک گفت: برای جلوگیری از سرقت اطلاعات کارت‌های بانکی، قرار است سیستم امنیتی همه شرکت‌های ارائه‌دهنده خدمات پرداختی (psp) مورد تجدیدنظر قرار گیرد.

اسماعیلی افزود: پس از اتفاق اخیر در کشور و سرقت اطلاعات تعدادی از کارت‌های بانکی توسط مدیر قبلی نرم افزار یک شرکت psp، مسوولان نسبت به امنیت شبکه بانکی حساستر شده‌اند. وی ادامه داد: در زمان حاضر بانک مرکزی با اجرای طرح شاپرک، بازرسی از همه شرکت‌های ارائه‌دهنده خدمات پرداختی را شروع کرده است.

اسماعیلی در مورد چگونگی سرقت اطلاعات کارت‌های بانکی و نحوه جلوگیری از این اتفاق در آینده گفت: اشکال در مدیریت کلید این شرکت بوده؛ فردی که تولیدکننده نرم‌افزار است نباید به داده‌های عملیاتی دسترسی داشته باشد و کلید‌ها نباید در اختیار این افراد باشد.

وی افزود: مدیریت کلید، مدیریت داده‌ها و رعایت مقررات ۳ اصل پایه‌ای برای برقراری امنیت در سیستم الکترونیکی است که هر سه‌ مورد در این شرکت رعایت نشده است. اسماعیلی توضیح داد: مدیریت کلید یعنی کلیدهایی که برای رمزنگاری مورد استفاده قرار می‌گیرد در اختیار یک فرد نباشد و هیچ فردی نباید به تمام اطلاعات دسترسی داشته باشد.

وی با بیان این‌که مقررات رمزنگاری در این شرکت رعایت نشده است، افزود: کد‌ها نباید قابل بازیابی باشد و بایستی اطلاعات رمزنگاری شده قابل رویت نباشد. رمزنگاری، روشی به منظور ارسال یک پیام به صورت کد شده است و هدف رمز نگاری محرمانه بودن آن است.

اسماعیلی گفت: در مرداد سال گذشته، مسوولان نظام بانکی متوجه شدند که اطلاعات یک شرکت psp لو رفته، از آن تاریخ تغییرات سیستم این شرکت شروع شده که تا مهر سال گذشته سیستم تغییر کرده بود، یعنی بنا به گفته مسوولان آن شرکت از آن پس اطلاعات کاربران ذخیره نمی‌شد.

هیچ سرقتی رخ نداده است

وی با بیان این‌که دستبرد به حساب بانکی افراد بسادگی می‌سر نیست و فرد سارق نیز با داشتن اطلاعات ادعایی، قادر به دسترسی به حساب‌های کاربران نبود، افزود: هیچ سرقتی از حساب‌های بانکی افراد گزارش نشده است.

اسماعیلی توضیح داد: اطلاعاتی که در اختیار کاربر کارت بانکی قرار می‌گیرد، شماره کارت و رمز کارت است، ولی پشت کارت بانکی نوار مغناطیسی است که اطلاعات دیگری در این نوار ضبط می‌شود که در رسید‌ها چاپ نمی‌شود و کاربر نیز از این اطلاعات آگاهی ندارد، با استفاده از مجموع این اطلاعات است که کارت بانکی شناسایی می‌شود و تا زمانی که اطلاعات نوار مغناطیسی خوانده نشود، امکان دستبرد به حساب‌ها نیست.

اسماعیلی تصریح کرد: شرکت‌های ارائه‌کننده خدمات پرداخت، مستقیم به سیستم شتاب وصل نیستند، فعالیت این شرکت‌ها در زمینه نصب کارتخوان (pos) است و سوئیچ بانک‌ها به شبکه شتاب متصل است.

منبع: جام جم