پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
مهندس نوش آفرین مؤمن واقفی؛ مدیر ریسک و امنیت اطلاعات شرکت خدمات انفورماتیک / با اجرایی شدن برجام و ورود به دوران پساتحریم، امکان اتصال بانکها و سوئیچ ملی کشور به زیرساختهای بینالمللی فراهم میشود و بیشک این نکته یکی از مهمترین رویدادهای صنعت بانکی در دوران پساتحریم خواهد بود. اما سؤالی که در اینجا مطرح میشود این است: الزامات امنیت در این زمینه چه خواهد بود و پرداختن به آن تا چه حد در این صنعت ضرورت محسوب میشود؟
مقوله امنیت صرفاً ضرورت صنعت پرداخت در دوران پساتحریم نیست اما میدانیم در دوران تحریم بسیاری از بانکها و شرکتهای ارائهدهنده سرویسهای بانکی پرداختن به امنیت را به دلایل مختلف در اولویت قرار ندادهاند و اکنون شاهد تهدید جدی کسبوکار خود از سوی رقیبان بینالمللی هستند. بدیهی است نمیتوان از کنار این دغدغه به سادگی عبور کرد. از مهمترین چالشهای پساتحریم در صنعت بانکی و خصوصاً صنعت پرداخت، مواجهشدن با فرصتها و تهدیدات جدید این حوزه است.
از آن جمله رودررو شدن با فرصت تعامل با صنعت پرداخت در جهان امروز و امکان دستیابی به فناوریها، دانش تخصصی و راهکارهای نوین و از سوی دیگر مواجهه با تهدید ظهور رقبای جدید و برندهای مطرح دنیا در صنعت پرداخت است. تأمین یا تقویت زیرساخت مناسب مطابق با استانداردهای کیفیت و امنیت این صنعت بهگونهای که امکان تعامل با بازیگران صنعت پرداخت علاوه بر اینکه در داخل کشور تأمین میشود، در صحنه بینالمللی نیز فراهم آید، از حداقل پیشنیازها برای مدیریت ریسکهای دوران پساتحریم در حوزه این کسبوکار است. اگرچه در دهه گذشته، توسعه بانکداری الکترونیکی در ایران و ارائه سرویسهای نوین در حوزه پرداخت، رشد سریع و قابلتوجهی داشته است، ولی به دلیل وجود تحریمها در استفاده از برخی فناوریها خصوصاً فناوریهای مرتبط با حوزه امنیت، شبکه بانکی کشور با محدودیتهایی مواجه بود و این امر موجب عقبماندگیهایی در حوزه تطابق با الزامات و استانداردهای فنی و امنیتی در صنعت پرداخت شد. این نکته جای تأکید دارد که توجه ناکافی به جبران سریع ضعفهای برجایمانده از دوران تحریم، ازجمله موارد فنی و امنیتی در صنعت پرداخت، میتواند فرصتهای پیش رو را تبدیل به تهدیدات جدی کند. الزامات امنیت صنعت پرداخت در پساتحریم را میتوان به دو حوزه تقسیم کرد که هر یک لازم و ملزوم دیگری است:
- الزامات امنیتی موردنیاز برای اتصال به شبکهها و سوئیچهای بینالمللی
- الزامات امنیتی موردنیاز در تأمین امنیت صنعت پرداخت ملی کشور پس از اتصال به سوئیچهای بینالمللی با شرط حفظ یکپارچگی سرویس
.
در شرایط پساتحریم، ضرورت رعایت استانداردهای بینالمللی و حاکمیتی نظیر قوانین و استانداردهای کمیته بازل و همچنین استانداردهای مرتبط با مدیریت ریسک و امنیت (ازجمله مدیریت ریسکهای اعتباری و سرمایهگذاری) در صنعت بانکی، غیرقابلچشمپوشی است؛ همزمان باید الزامات و استانداردهای فنی امنیتی در اتصال به سوئیچهای بینالمللی نیز موردتوجه قرار گیرد؛ زیرا یکی از مهمترین پیشنیازها در استقرار فرآیندها، محصولات و سامانههای کارتهای شبکههای بینالمللی از قبیل VISA، MasterCard در کشور است. مهمترین اصل این است که قبل از هر اقدامی تدوین نقشه راه برای تعامل با صنعت پرداخت بینالملل موردتوجه قرار گیرد. در تدوین این نقشه راه که قاعدتاً باید زیر نظر بانک مرکزی انجام پذیرد، میتوان به موارد ذیل اشاره کرد:
- شناسایی حوزههای جدید رگولاتوری صنعت پرداخت با توجه به پساتحریم
- تدوین برنامه اجرایی و انجام اقدامات لازم در حوزه استانداردسازی و ارتقای امنیت
- ایجاد زیرساختهای ارزیابی و ممیزی امنیت در صنعت پرداخت در کشور
- شناسایی و ایجاد زیرساختهای فنی امنیتی لازم در اتصال به شبکههای بینالمللی
- افزایش ظرفیت نیروی انسانی متخصص در حوزه امنیت صنعت پرداخت
- تبیین نقشها و مسئولیتها در اتصال به زیرساختهای بینالمللی صنعت پرداخت
.
در حوزه اقدامات اجرایی و در راستای تأمین و تقویت امنیت صنعت پرداخت در کشور جهت حضور در سطح بینالملل الزامات زیر از اهم مواردی است که در کل صنعت باید موردتوجه و نظارت قرار گیرد:
تطابق با الزامات بینالمللی و استقرار استانداردها: موارد تطابق با الزامات و استانداردهای بینالمللی در حوزه AML، PCI، EMV و نظایر آن از اولین الزاماتی است که باید موردتوجه قرار گیرد.
PCI شامل مجموعه نیازمندیهای امنیتی برای حفظ و نگهداری اطلاعات کارت است و بر مبنای آن لازم است صادرکنندگان، پذیرندگان و ارائهدهندگان سرویس قوانین مربوط به آن را رعایت کنند.
این استاندارد جامع، درواقع نوعی استاندارد امنیتی چند محوری است که شامل نیازمندیهایی برای مدیریت امنیت، سیاستها، رویهها، معماری شبکه، طراحی نرمافزار و دیگر تمهیدات حفاظت از اطلاعات حساس کارت بوده و کمک به بانکها و مؤسسات مالی، جهت حفاظت از دادههای حساس مشتریان را بهعنوان هدف خود در نظر میگیرد. آخرین نسخه این استاندارد در ماه آوریل سال ۲۰۱۵ منتشر شده است. انواع استانداردها در حوزه PCI که الزامات آن بایستی در صنعت پرداخت کشور موردتوجه قرار گیرد، عبارتاند از PCI-DSS:، PA-DSS و PCI-PTS. از دیگر استانداردهای مطرح در این حوزه استاندارد EMV است که در بحث صدور و مدیریت تراکنشهای کارتهای هوشمند و تعامل امن با پایانهها بهعنوان یک پیشنیاز اصلی در اتصال به سوئیچهای بینالمللی مطرح است. در اینجا مجموعهای از پروتکلها و استانداردها در صنعت پرداخت به کار گرفته خواهد شد که عملاً امنیت پرداخت را ارتقا میدهد و سبب کاهش احتمال وقوع تقلب و دزدی در کارت میشود.
.
سیستم مدیریت تقلب (Fraud Management)
استقرار سیستمهای مدیریت تقلب در سامانههای پرداخت و سوئیچ کارت بانکها نیز جزئی از الزامات اتصال به شبکههای بینالمللی است و بایستی موردتوجه جدی قرار گیرد. به دلیل محدودیتهای ناشی از تحریم، کمبودهای قابلتوجهی در این قسمت شبکه بانکی وجود دارد و ازاینرو نیازمند اقدامات فوری و اولویتدار خواهد بود. روشهای کشف تقلب دارای انواع گوناگونی است که در هر دو حوزه تراکنشهای برخط و برونخط کارکرد دارد. موضوعات دیگری نیز در چرخه مدیریت تراکنشهای کارت وجود دارد نظیر جداسازی فرآیندهای مرتبط با پذیرندگی و صادرکنندگی که برای اتصال به سازمانهای بینالمللی نظیر VISA و MasterCard اهمیت خاصی دارد؛ برای عضویت در این سازمانها تفکیک و شفافسازی نقشها، مسئولیتها و فرآیندهای لازم در ساختار و سازمان کل ارائهدهندگان سرویس پرداخت ضروری است و ممیزی میشود. بهعنوان یک پیشنیاز لازم است استاندارد MCC مناسب در صنعت پرداخت کشور استقرار یابد و اطلاعات پذیرندگان به نحو مناسب و صحیح طبقهبندی شود.
ایجاد مرجعی برای ارزیابی امنیتی در صنعت پرداخت کشور که مورد تأیید سازمانهای بینالمللی باشد و همچنین مرجعی برای طراحی و پیادهسازی امنیت و استقرار سایر استانداردها در این زمینه نظیر استاندارد مدیریت امنیت اطلاعات (ISO27001)، مدیریت تداوم کسبوکار (ISO22301)، مدیریت ریسک (ISO31000)، مدیریت سرویس (ISO20000) و نظایر آن بهعنوان اثباتی بر رعایت الزامات در این حوزهها قطعاً میتواند موردتوجه و تأیید ممیزین بینالمللی قرار گیرد و شرایط اخذ سایر گواهینامهها را نیز هموار سازد. پیادهسازی استانداردهای بینالمللی امنیت اطلاعات در تمامی بخشهای یک نظام بانکی و متعاقباً دریافت گواهینامههای استاندارد، معیاری است برای تضمین سطح کیفیت و امنیت سامانهها. خوشبختانه در حال حاضر شبکه بانکی و سوئیچ ملی (شتاب) با توجه به امکانات و زیرساختهای لازم و تجربه و تخصص، پتانسیل لازم را برای اتصال به زیرساختهای پرداخت شبکههای بینالمللی داراست و با تسریع در استقرار استانداردها و الزامات میتوانیم در صورت رفع تحریمها به شبکههای پرداخت بینالمللی متصل شویم. اگر بخواهیم کل زنجیره پرداخت با استانداردهای بینالمللی منطبق شود، هزینه و زمان زیادی موردنیاز است؛ و همانگونه که قبلاً اشاره شد، الزامات امنیتی پساتحریم در دو حوزه مطرح است.
حوزه الزامات موردنیاز در حفظ یکپارچگی سرویس و امنیت صنعت پرداخت ملی کشور پس از اتصال به سوئیچهای بینالمللی نیز بهاندازه تأمین الزامات امنیتی پیشنیاز در اتصال به زیرساختهای بینالمللی این حوزه مهم است. بدیهی است در صنعت پرداخت پساتحریم فقط قوانین و الزامات بینالمللی نیست که باید موردتوجه قرار گیرد بلکه الزامات و استانداردهای امنیتی، تطابق با قوانین و الزامات داخل کشور (ازجمله قوانین موردنظر بانک مرکزی در حوزه پولی و بانکی، قوانین تقلب و پولشویی و سیاستهای ارزی کشور) نباید نقض شود. حتی اگر بانکها هم بخواهند مستقیماً وارد تعامل با سازمانهایی نظیر VISA و MasterCard شوند، میبایست بانک مرکزی بهعنوان سیاستگذار کلان در صنعت پرداخت مشخص کند چه محصولات و سرویسهایی از VISA و MasterCard در کشور مجاز است و اولویت پرداختن به آنها را نیز تعیین کند. در ابتدا انجام یک Gap Analysis در تشخیص فاصله بین وضعیت موجود تا رسیدن به انطباق با الزامات فنی امنیتی VISA و MasterCard کمک خواهد کرد تا با تعیین گامهای حرکت، هر یک از بازیگران صنعت پرداخت در کشور، مسئولیتهای خود را بهصورت شفاف پذیرا باشند و به بهترین شکل دنبال کنند و بهاینترتیب میتوان به همافزایی قابلتوجهی دست یافت.
منبع: دنیای اقتصاد