روند شماره ۲: بانکداری ابری

بانکداری ابری چیست؟ آیا بانک‌های ما نیز به آن سمت می‌روند؟ مساله امنیت در بانکداری ابری چگونه لحاظ شده است؟ و… این‌ها مجموعه سوالاتی است که ذهن بسیاری از ما را به خود مشغول کرده است و به دنبال پاسخی برای آن هستیم. یکی از روندهایی که با توجه به نو بودن آن اما در سال ۱۳۹۲ به آن بسیار توجه شد، «بانکداری ابری» بود.

.

ابر‌ها اندک زمانی است که بر فراز قلعه مستحکم بانک‌ها سایه انداخته‌اند.

 

رایانش ابری چیست؟

رایانش ابری به اصطلاح به ارائه و تخصیص خدمات پویای رایانه‌ای متشکل از مخلوطی از نرم‌افزار‌ها، سکو‌ها (Platforms) و یا ظرفیت‌های سخت افزاری به کاربران در شبکه‌ای از سامانه‌های پخش شده در مکان‌های مختلف گفته می‌شود. خدمات غالباً از طریق مرکز داده‌های بزرگ و پراکنده در مکان‌های مختلف و بر پایه توافقنامه‌های سطح خدمات (SLA) کاملا تعریف شده‌ای ارائه می‌شود.

یکی از اجزای مرکزی و تعیین کننده رایانش ابری در مقایسه با روش سنتی فن‌آوری اطلاعات اقتصادی بودن آن است. در روش سنتی منابع به صورت اختصاصی در اختیار هر واحد تجاری قرار می‌گرفتند، در حالی که در رایانش ابری منابع بسته به نیاز هر واحد بین واحد‌ها توزیع می‌شود. همچنین در رایانش ابری با تخصیص اشتراکی منابع تبدیل هزینه سرمایه‌ای (CapEx) به هزینه راهبری (OpEx) راحت‌تر می‌شود؛ چرا که منابع به جای اینکه خریداری شوند، اجاره می‌شوند. بنابراین می‌توان هزینه‌های صنفی در بخش فن‌آوری اطلاعات را کاهش داد.

رایانش ابری به عنوان فناوری‌ای که قرار است در سال‌های پیش رو بیشترین و سریع‌ترین پیشرفت و تسخیر بازار را داشته باشد معرفی می‌شود. نرم‌افزارهای کاربردی مربوط به تجارت، بزرگ‌ترین بازار استفاده از خدمات رایانش ابری خواهد بود، که با حرکتی تدریجی از خدمات درون شرکتی (on-premise) به سمت خدمات بر پایه ابر به خصوص برای نرم افزارهای کاربردی عمومی‌ای مثل مدیریت ارتباط با مشتری (CRM) و برنامه‌ریزی منابع سازمان پیش خواهد رفت. رایانش ابری را می‌توان بسته به طبیعت سرویسی که ارائه‌کنندگان سرویس رایانش ابری (Cloud Service Providers: CCP) در مورد صنعت و خدمات بانکداری ارائه می‌دهند، به سه دسته تقسیم‌بندی کرد:

.

رایانش ابری را می‌توان بسته به طبیعت سرویسی که ارائه‌کنندگان سرویس رایانش ابری (Cloud Service Providers: CCP) در مورد صنعت و خدمات بانکداری ارائه می‌دهند، به سه دسته تقسیم‌بندی کرد: زیرساخت به عنوان یک سرویس (IaaS)، پایگاه داده به عنوان یک سرویس (DaaS) و نرم‌افزار به عنوان یک سرویس (SaaS)

.

زیرساخت به عنوان یک سرویس (IaaS)

در این سرویس امکان تقسیم منابع زیرساخت مانند منابع شبکه، برق، تهویه، فضای فیزیکی، ذخیره‌سازی و غیره بین کاربرهای مختلف تقسیم می‌شود. راه حل‌های موجود در این بازار امکان اختصاص دادن منابع پردازشی و ذخیره سازی به نرم‌افزار‌ها و سرویس‌ها را براساس نیاز آن‌ها فراهم می‌سازد. در مورد صنعت و بازار بانکداری می‌توان گروه خدمات سکو به عنوان یک سرویس (Platform as a Service: PaaS) را نیز در این دسته گنجاند. این سرویس در این صنعت مجموعه‌ای از خدمات گروه زیرساخت به عنوان سرویس را در قالب یک سکو ارائه می‌کند، تا مشتریان بتوانند گسترش و حتی میزبانی خود را با استفاده از این خدمات پیش ببرند.

.

پایگاه داده به عنوان یک سرویس (DaaS)

فروشندگان این سرویس پایگاه داده‌های مختلف را با زبان‌های ارسال درخواست‌های متناسب جهت بارگذاری، ذخیره و تغییر داده‌های مشتریان ارائه می‌کنند. «پایگاه داده به عنوان یک سرویس» معمولا از یک معماری چند- اجاره‌ای استفاده می‌کند، به صورتی که داده‌های چندین مشتری به صورت فیزیکی در یک پایگاه داده یا جدول نگهداری می‌شوند.

.

نرم‌افزار به عنوان یک سرویس (SaaS)

وجهه بیشتر شناخته شده و اصلی رایانش ابری، SaaS به نرم‌افزارهایی اشاره می‌کند که به صورت اشتراک‌هایی با مدت زمانی معین و قابلیت‌های معین (در بسته‌های مشخص) ارائه می‌شوند، مثل سرویس که salesforce. com ارائه می‌کند. این سرویس در برابر نرم‌افزارهای معمول حال حاضر که گواهی نامه آن‌ها توسط یک کاربر منفرد به صورت کامل و در یک بسته خریداری می‌شود قرار می‌گیرد. این سرویس برای سازمان‌های کاربر کاهش هزینه و کاهش پیچیدگی به ویژه در نصب و نگهداری را به ارمغان می‌آورد. بسیاری از ارائه کنندگان SaaS به همراه نرم‌افزارشان گسترش و توسعه نرم‌افزاری و راحتی کاربرد را نیز ارائه می‌دهند.

 .

بانکداری ابری در ایران

در سال ۱۳۹۲ به بانکداری ابری در کشور ما توجه زیاد شد. یکی از نشست‌هایی که در این سال با موضوع «بانکداری ابری» برگزار شد، در روز اول سومین همایش بانکداری الکترونیک و نظام‌های پرداخت بود. در این نشست محمد یوسف امیرانی کار‌شناس نرم‌افزار شرکت خدمات انفورماتیک، امید نجارباشی کار‌شناس تحقیقات و مدیریت تحقیقات فناوری‌های بانکی شرکت خدمات انفورماتیک، حمید نافیان دهکردی متخصص در توسعه نرم‌افزارهای Enterprise و کار‌شناس شرکت خدمات انفورماتیک و علی طاهریان و احد اکبرآبادی شرکت توسنیبه ارائه مقالات خود پرداختند.

 .

الزامات امنیتی برای حرکت بانکداری به سوی رایانش ابری

علی طاهریان و احد اکبرآبادی دو تن از شرکت توسن در نشست بانکداری همراه به ارائه مقاله «الزامات امنیتی برای حرکت بانکداری به سوی رایانش ابری عمومی» پرداختند. کار‌شناس امنیت شرکت توسن با بیان اینکه مزایای رایانش ابری شامل کاهش هزینه‌ها، ارائه خدمات سریع‌تر به مشتریان، هزینه نگهداری پایین و امکان ریکاوری در شرایط بحرانی است، گفت: در دنیا مدتی است که این سیستم اجرایی شده و طی دو سه سال اخیر استفاده از آن گسترش یافته است ولی امنیت یکی از مشکلات اصلی آن به شمار می‌رود و همین موضوع باعث تردید برخی مدیران بانکی برای استفاده از رایانش ابری شده است.

طاهریان با بیان اینکه طی یکی دو سال گذشته سازمان‌های قانون‌گذار اقدام به تدوین استاندارد‌ها و چارچوب‌هایی برای ترغیب مدیران بانکی به استفاده از این سیستم‌ها کرده‌اند، گفت: بانک مرکزی استرالیا از این سیستم استفاده می‌کند و سرویس بانکداری آن کاملا روی ابر است و از وب سرورهای آمازون استفاده می‌کنند. تجربه یکی از بانک‌های جهانی نیز نشان می‌دهد که به دور از دغدغه‌ها و البته با پیاده‌سازی راهکارهای امنیتی می‌توان انتقال Core banking بر روی ابر را انجام داد.

اولین گام برای بانک‌ها ارزیابی ریسک است تا ببینند چه خدمات و سرویس‌هایی را می‌توانند روی ابر قرار دهند که البته باید در این زمینه دسته بندی داده‌ها را داشته باشند. همچنین مکان فیزیکی ابر عمومی داده‌ها نیز یکی از الزامات ۱۰۰ درصدی است که بانک‌ها باید از آن مطلع باشند، زیرا اطلاعات بسیار حساس است. همچنین وقتی بانک‌ها رویکرد محافظه کارانه دارند باید محیط تستی برای آن‌ها در نظر گرفت تا علاوه بر اینکه بتوانند نرم‌افزارهای خود را با محیط جدید تست کنند. محیط تست ارتقاء سرعت در ارائه خدمات و کاهش اختلالات را نیز در بردارد.

.

راهکار رفع ضعف‌ امنیتی نرم‌افزار‌ها

محمد یوسف امیرانی به عنوان کار‌شناس مسائل امنیت بانکی مقاله «اصول پایه در انتخاب الگوهای طراحی در امنیت نرم‌افزارهای تحت رایانش ابری» را ارائه داد. وی در این مقاله به اصول پایه در انتخاب الگوهای طراحی در امنیت نرم‌افزارهای تحت رایانش ابری، پرداخت و با اشاره به اینکه design pattern (الگو طراحی) توسط افراد خبره توسعه یافته و توزیع می‌شود، اظهار داشت: این الگو بسیاری از نیازهای عملکردی سرویس دهنده را پوشش می‌دهد و حتی می‌تواند کنترل نرم‌افزار و سطح پوشش‌دهی را برای آن‌ها تعیین کند. بیشتر حملات ناشی از ضعف‌های امنیتی نرم‌افزارهاست که الگوهای طراحی، قابلیت بر طرف کردن آن‌ها را دارد. رایانش ابری مشکلات بسیاری همچون آسیب‌پذیری و حمله نفوذگر‌ها را به دنبال دارد لذا باید امنیت اطلاعات و حفاظت از محرمانگی داده‌ها به عنوان ساختاری ویژه در نظر قرار گیرد.

امیرانی همچنین درباره اصول امنیتی نرم‌افزارهای تحت رایانش ابری گفت: امنیت سرویس‌های ابر، اصول امنیت و نیازمندی‌های امنیتی از جمله موارد امنیتی هستند که باید رعایت شود و البته قابلیت اطمینان، یکپارچگی و دسترس‌پذیری نیز از جمله نیازمندی‌های هر کدام از این موارد به شمار می‌رود. به عنوان مثال الگوهای سیستم‌های پایدار خاصیت دسترس‌پذیری و الگوهای محافظت از سیستم، قابلیت اطمینان و یکپارچگی را دارند.

 .

۳. ۴ میلیارد یورو سرمایه‌گذاری در رایانش ابری

امید نجارباشی در نشست بانکداری ابری به ارائه مقاله «ملاحظات مدل‌های SaaS در بانکداری الکترونیک» پرداخت. وی ارائه خود را اینگونه شروع کرد که طبق گزارش گارتنر بانک‌های اروپای غربی در سال ۲۰۱۳ بیش از ۴. ۳ میلیارد یورو در خدمات رایانش ابری هزینه کردند، زیرساخت و پلت فرم‌ها تنها سهم ۱۳ درصدی در این حوزه دارند اما باید قابلیت انعطاف داشته باشد و بتواند بعد از اتمام فعالیت کاری مجددا به عرصه فعالیت بازگردد.

نجارباشی در خصوص ملزومات زیرساخت گفت: هدف معماری IaaS حداکثر بهره‌وری در استفاده از منابع فیزیکی و تحویل آن‌ها به کاربران، ارائه مخزنی از منابع به صورت توسعه‌پذیر، کش‌سان، مدل‌های تجاری برای اندازه‌گیری مصرف و اعلام هزینه است. نجارباشی بهترین PaaS برای صنعت بانکی را سکویی متشکل از خدمات پایگاه داده، Application Server، Application/Data Integration و مدیریت ‌تجاری بانکی معرفی کرد. البته باید سرویس‌های نوینی که می‌خواهیم در سیستم‌های بانکی پیاده سازی کنیم قابل اندازه‌گیری مصرف هم باشند، تاکاربران به اندازه مصرفشان پول بپردازند.

وی در پایان و در جمع بندی سخنان خود گفت: چالش‌ها و نگرانی‌های ایجاد سامانه‌های ابری با مدل SaaS در صنعت بانکداری را می‌توان امنیت، رگولاتوری سازگاری با قوانین، عمودی‌سازی خدمات مشکلات استفاده در ابزار‌ها و کانال‌ها برشمرد. ملاحظات برای تعدیل چالش‌ها در هر لایه بطور کلی در لایه زیرساخت عبارت است از استفاده از زیرساخت ابرخصوصی (Private IaaS) خودکار و قابل اندازه‌گیری مصرف و در لایه سکو شامل حمایت سازمان‌های حاکمیتی و الزام بانک‌ها به استفاده از سکویی متشکل از خدمات پایگاه داده، Application Server، Application/Data Integration و مدیریت فرایندهای تجاری بانکی است.

.

طبق گزارش گارتنر بانک‌های اروپای غربی در سال ۲۰۱۳ بیش از ۴. ۳ میلیارد یورو در خدمات رایانش ابری هزینه کردند.

.

ارائه مدل رایانش ابری با رویکرد تجارت موبایلی

حمید نافیان دهکردی کار‌شناس شرکت خدمات انفورماتیک دیگر سخنران نشست «بانکداری ابری» بود. وی به ارائه مقاله‌ای با موضوع «پرداخت‌های اعتباری براساس رایانش ابری ترکیبی با رویکرد تجارت موبایلی» پرداخت و گفت: ‌ فرایندهای پرداخت و مخصوصا فرایندهای مبتنی بر پرداخت‌های الکترونیکی سهم قابل توجهی از بانکداری الکترونیکی را به خود اختصاص داده است. سرویس دهندگان بسیاری در Core banking داریم اما در واسطه‌های کاری با یکدیگر متفاوت هستند که تفاوت سرویس دهندگان نیز در همین است و البته همین وقت را از مشتریان و متقاضیان می‌گیرد.

نافیان درباره مزایای cloud payment با مدل core banking cross گفت: دسترسی سریع به بانک، عملکردهای با سرعت بالای روزانه، عدم وابستگی حساب مشتری به یک بانک خاص، کاهش میزان بار برCore ارائه دهندگان خدمات بانکی و توزیع آن روی ابر ترکیبی، کاهش پیچیدگی‌های بین بانکی، افزایش گواهی سطح خدمات (SLA) سازمان‌ها، افزایش رضایتمندی مشتری و کم شدن شعبه‌های فیزیکی بانک‌ها و همچنین حذف انواع کارت‌های فیزیکی از جمله مزایای این سیستم است.

نافیان ضمن ارائه معماری راهکار خود گفت: می‌توان در مورد انواع عملیات پرداخت مشتریان بویژه پرداخت ‌بر اساس حساب‌های اعتباری، سیستمی را برای مدیریت اینگونه عملیات‌ها با لحاظ کردن نگرانی‌های امنیتی در نظر گرفت. برای این منظور خدمات حساب‌هایی مانند کارت‌های اعتباری، کارت خرید تسهیلاتی، کارت هدیه، کارت شارژ و… روی ابر ارائه می‌شود.

در این سیستم انواع عملیات پرداخت مانند پرداخت دوره‌ای، قسط‌ها، قبوض، شارژهای اینترنتی، وصولات چک موعددار و… در سیستم مرکز داده‌های اعتباری (از طریق هر واسط ارائه دهنده اعتبار به دلخواه) ارائه می‌شوند. بدین صورت که توسط مشتری در سیستم محلی اعتباری خود مشتری (در Smart Device) ثبت می‌شوند و سپس به مرکز ارسال شده تا پس از Subscription خدمات مورد درخواست آن در زمان‌های مشخص پرداخت‌ها صورت گیرند.

حساب روی دستگاه همراه مشتری (ترجیحاً موبایل یا هر وسیله هوشمند دیگر) تعریف و پیاده‌سازی هویتی شده و با درجه امنیتی بسیار بالا حاوی داده‌های کوچکی از اطلاعات حساب مشتری است. عملیات احراز هویت multi factor و امنیتی طی چند مرحله روی smart device‌ها، باجه‌ها و مرکز اعتبار به صورت چند لایه با الگوریتم‌های کاملاٌ بومی تقسیم می‌شود. در موعد پرداخت‌ها یا بنا به درخواست مشتری، درخواست پرداخت اعتباری به اولین بانک یا ارائه دهنده برخط بدون معطلی مشتری و بدون وابستگی به بانک طرف قرارداد حساب مشتری ارسال می‌شود که این روش مدل شناور provider‌ها را پشتیبانی خواهد نمود.

.

می‌توان در مورد انواع عملیات پرداخت مشتریان سیستمی را برای مدیریت اینگونه عملیات‌ها با لحاظ کردن نگرانی‌های امنیتی در نظر گرفت. برای این منظور خدمات حساب‌هایی مانند کارت‌های اعتباری، کارت خرید تسهیلاتی، کارت هدیه، کارت شارژ و… روی ابر ارائه می‌شود.

.

در این روش انواع عملیات احراز هویت، چرخه پرداخت در مرکز و به‌روزرسانی اطلاعات حساب اعتباری در کیف پول الکترونیکی تلفن همراه هوشمند مشتری همگی بصورت پردازش ابری در بستر ابر ترکیبی پرداخت بانکی صورت خواهد گرفت و توسط روش و تکنولوژی‌های بهینه به صورت هوشمند اطلاعات ‌در ‌اعتبارات به‌روزرسانی می‌شوند. در این راهکار «مرکز داده اعتباری» به همراه «باجه‌های محلی اعتباری» (از قبیل خود بانک‌ها و دستگاه‌های سرویس دهنده در مکان‌های عمومی) و نیز خود دستگاه هوشمند مشتری همگی به عنوان شرکت کنندگان (Cloud Contributors) هریک مسولیت پردازش بخشی از فرایند پرداخت را برعهده دارند. البته هر چند ممکن است دیدگاه بانک‌ها به برون سپاری امنیت چندان مثبت نباشد، اما ابر بانکی بالاخره باید اجرا شود.

این مطلب، از مجموعه مطالب «هفت روند بانکداری و پرداخت الکترونیک در سال 93» است که در پرونده‌ای با عنوان «هفت روند بانکداری و پرداخت الکترونیک در سال 93 را بشناسید» در «راه پرداخت» منتشر شده است.