یادداشت

پساتحریم و الزامات امنیت در حوزه پرداخت

مهندس نوش آفرین مؤمن واقفی؛ مدیر ریسک و امنیت اطلاعات شرکت خدمات انفورماتیک / با اجرایی شدن برجام و ورود به دوران پساتحریم، امکان اتصال بانک‌ها و سوئیچ ملی کشور به زیرساخت‌های بین‌المللی فراهم می‌شود و بی‌شک این نکته یکی از مهم‌ترین رویدادهای صنعت بانکی در دوران پساتحریم خواهد بود. ‌اما سؤالی که در اینجا مطرح می‌شود این است: الزامات امنیت در این زمینه چه خواهد بود و پرداختن به آن تا چه حد در این صنعت ضرورت محسوب می‌شود؟

 مقوله امنیت صرفاً ضرورت صنعت پرداخت در دوران پساتحریم نیست اما می‌دانیم در دوران تحریم بسیاری از بانک‌ها و شرکت‌های ارائه‌دهنده سرویس‌های بانکی پرداختن به امنیت را به دلایل مختلف در اولویت قرار نداده‌اند و اکنون شاهد تهدید جدی کسب‌وکار خود از سوی رقیبان بین‌المللی هستند. بدیهی است نمی‌توان از کنار این دغدغه به سادگی عبور کرد. از مهم‌ترین چالش‌های پساتحریم در صنعت بانکی و خصوصاً صنعت پرداخت، مواجه‌شدن با فرصت‌ها و تهدیدات جدید این حوزه است.

از آن جمله رودررو شدن با فرصت تعامل با صنعت پرداخت در جهان امروز و امکان دستیابی به فناوری‌ها، دانش تخصصی و راهکارهای نوین و از سوی دیگر مواجهه با تهدید ظهور رقبای جدید و برندهای مطرح دنیا در صنعت پرداخت است. تأمین یا تقویت زیرساخت مناسب مطابق با استانداردهای کیفیت و امنیت این صنعت به‌گونه‌ای که امکان تعامل با بازیگران صنعت پرداخت علاوه بر اینکه در داخل کشور تأمین می‌شود، در صحنه بین‌المللی نیز فراهم آید، از حداقل پیش‌نیاز‌ها برای مدیریت ریسک‌های دوران پساتحریم در حوزه این کسب‌وکار است. اگرچه در دهه گذشته، توسعه بانکداری الکترونیکی در ایران و ارائه سرویس‌های نوین در حوزه پرداخت، رشد سریع و قابل‌توجهی داشته است، ولی به دلیل وجود تحریم‌ها در استفاده از برخی فناوری‌ها خصوصاً فناوری‌های مرتبط با حوزه امنیت، شبکه بانکی کشور با محدودیت‌هایی مواجه بود و این امر موجب عقب‌ماندگی‌هایی در حوزه تطابق با الزامات و استانداردهای فنی و امنیتی در صنعت پرداخت شد. این نکته جای تأکید دارد که توجه ناکافی به جبران سریع ضعف‌های برجای‌مانده از دوران تحریم، ازجمله موارد فنی و امنیتی در صنعت پرداخت، می‌تواند فرصت‌های پیش ‌رو را تبدیل به تهدیدات جدی کند. الزامات امنیت صنعت پرداخت در پساتحریم را می‌توان به دو حوزه تقسیم کرد که هر یک لازم و ملزوم دیگری است:

  • الزامات امنیتی موردنیاز برای اتصال به شبکه‌ها و سوئیچ‌های بین‌المللی
  • الزامات امنیتی موردنیاز در تأمین امنیت صنعت پرداخت ملی کشور پس از اتصال به سوئیچ‌های بین‌المللی با شرط حفظ یکپارچگی سرویس

.

در شرایط پساتحریم، ضرورت رعایت استانداردهای بین‌المللی و حاکمیتی نظیر قوانین و استانداردهای کمیته بازل و همچنین استانداردهای مرتبط با مدیریت ریسک و امنیت (ازجمله مدیریت ریسک‌های اعتباری و سرمایه‌گذاری) در صنعت بانکی، غیرقابل‌چشم‌پوشی است؛ همزمان باید الزامات و استانداردهای فنی امنیتی در اتصال به سوئیچ‌های بین‌المللی نیز موردتوجه قرار گیرد؛ زیرا یکی از مهم‌ترین پیش‌نیاز‌ها در استقرار فرآیند‌ها، محصولات و سامانه‌های کارت‌های شبکه‌های بین‌المللی از قبیل VISA، MasterCard در کشور است. مهم‌ترین اصل این است که قبل از هر اقدامی تدوین نقشه راه برای تعامل با صنعت پرداخت بین‌الملل موردتوجه قرار گیرد. در تدوین این نقشه راه که قاعدتاً باید زیر نظر بانک مرکزی انجام پذیرد، می‌توان به موارد ذیل اشاره کرد:

  1. شناسایی حوزه‌های جدید رگولاتوری صنعت پرداخت با توجه به پساتحریم
  2. تدوین برنامه اجرایی و انجام اقدامات لازم در حوزه استانداردسازی و ارتقای امنیت
  3. ایجاد زیرساخت‌های ارزیابی و ممیزی امنیت در صنعت پرداخت در کشور
  4. شناسایی و ایجاد زیرساخت‌های فنی امنیتی لازم در اتصال به شبکه‌های بین‌المللی
  5. افزایش ظرفیت نیروی انسانی متخصص در حوزه امنیت صنعت پرداخت
  6. تبیین نقش‌ها و مسئولیت‌ها در اتصال به زیرساخت‌های بین‌المللی صنعت پرداخت

.

در حوزه اقدامات اجرایی و در راستای تأمین و تقویت امنیت صنعت پرداخت در کشور جهت حضور در سطح بین‌الملل الزامات زیر از اهم مواردی است که در کل صنعت باید موردتوجه و نظارت قرار گیرد:

تطابق با الزامات بین‌المللی و استقرار استاندارد‌ها: موارد تطابق با الزامات و استانداردهای بین‌المللی در حوزه AML، PCI، EMV و نظایر آن از اولین الزاماتی است که باید موردتوجه قرار گیرد.

PCI شامل مجموعه نیازمندی‌های امنیتی برای حفظ و نگهداری اطلاعات کارت است و بر مبنای آن لازم است صادرکنندگان، پذیرندگان و ارائه‌دهندگان سرویس قوانین مربوط به آن را رعایت کنند.

این استاندارد جامع، درواقع نوعی استاندارد امنیتی چند محوری است که شامل نیازمندی‌هایی برای مدیریت امنیت، سیاست‌ها، رویه‌ها، معماری شبکه، طراحی نرم‌افزار و دیگر تمهیدات حفاظت از اطلاعات حساس کارت بوده و کمک به بانک‌ها و مؤسسات مالی، جهت حفاظت از داده‌های حساس مشتریان را به‌عنوان هدف خود در نظر می‌گیرد. آخرین نسخه این استاندارد در ماه آوریل سال ۲۰۱۵ منتشر شده است. انواع استاندارد‌ها در حوزه PCI که الزامات آن بایستی در صنعت پرداخت کشور موردتوجه قرار گیرد، عبارت‌اند از PCI-DSS:، PA-DSS و PCI-PTS. از دیگر استانداردهای مطرح در این حوزه استاندارد EMV است که در بحث صدور و مدیریت تراکنش‌های کارت‌های هوشمند و تعامل امن با پایانه‌ها به‌عنوان یک پیش‌نیاز اصلی در اتصال به سوئیچ‌های بین‌المللی مطرح است. در اینجا مجموعه‌ای از پروتکل‌ها و استاندارد‌ها در صنعت پرداخت به کار گرفته خواهد شد که عملاً امنیت پرداخت را ارتقا می‌دهد و سبب کاهش احتمال وقوع تقلب و دزدی در کارت می‌شود.

.

سیستم مدیریت تقلب (Fraud Management)

استقرار سیستم‌های مدیریت تقلب در سامانه‌های پرداخت و سوئیچ کارت بانک‌ها نیز جزئی از الزامات اتصال به شبکه‌های بین‌المللی است و بایستی موردتوجه جدی قرار گیرد. به دلیل محدودیت‌های ناشی از تحریم، کمبودهای قابل‌توجهی در این قسمت شبکه بانکی وجود دارد و ازاین‌رو نیازمند اقدامات فوری و اولویت‌دار خواهد بود. روش‌های کشف تقلب دارای انواع گوناگونی است که در هر دو حوزه تراکنش‌های برخط و برون‌خط کارکرد دارد. موضوعات دیگری نیز در چرخه مدیریت تراکنش‌های کارت وجود دارد نظیر جداسازی فرآیندهای مرتبط با پذیرندگی و صادرکنندگی که برای اتصال به سازمان‌های بین‌المللی نظیر VISA و MasterCard اهمیت خاصی دارد؛ برای عضویت در این سازمان‌ها تفکیک و شفاف‌سازی نقش‌ها، مسئولیت‌ها و فرآیندهای لازم در ساختار و سازمان کل ارائه‌دهندگان سرویس پرداخت ضروری است و ممیزی می‌شود. به‌عنوان یک پیش‌نیاز لازم است استاندارد MCC مناسب در صنعت پرداخت کشور استقرار یابد و اطلاعات پذیرندگان به نحو مناسب و صحیح طبقه‌بندی شود.

ایجاد مرجعی برای ارزیابی امنیتی در صنعت پرداخت کشور که مورد تأیید سازمان‌های بین‌المللی باشد و همچنین مرجعی برای طراحی و پیاده‌سازی امنیت و استقرار سایر استاندارد‌ها در این زمینه نظیر استاندارد مدیریت امنیت اطلاعات (ISO27001)، مدیریت تداوم کسب‌وکار (ISO22301)، مدیریت ریسک (ISO31000)، مدیریت سرویس (ISO20000) و نظایر آن به‌عنوان اثباتی بر رعایت الزامات در این حوزه‌ها قطعاً می‌‌تواند موردتوجه و تأیید ممیزین بین‌المللی قرار گیرد و شرایط اخذ سایر گواهینامه‌ها را نیز هموار سازد. پیاده‌سازی استانداردهای بین‌المللی امنیت اطلاعات در تمامی بخش‌های یک نظام بانکی و متعاقباً دریافت گواهینامه‌های استاندارد، معیاری است برای تضمین سطح کیفیت و امنیت سامانه‌ها. خوشبختانه در حال حاضر شبکه بانکی و سوئیچ ملی (شتاب) با توجه به امکانات و زیرساخت‌های لازم و تجربه و تخصص، پتانسیل لازم را برای اتصال به زیرساخت‌های پرداخت شبکه‌های بین‌المللی داراست و با تسریع در استقرار استاندارد‌ها و الزامات می‌توانیم در صورت رفع تحریم‌ها به شبکه‌های پرداخت بین‌المللی متصل شویم. اگر بخواهیم کل زنجیره پرداخت با استانداردهای بین‌المللی منطبق شود، هزینه و زمان زیادی موردنیاز است؛ و همان‌گونه که قبلاً اشاره شد، الزامات امنیتی پساتحریم در دو حوزه مطرح است.

حوزه الزامات موردنیاز در حفظ یکپارچگی سرویس و امنیت صنعت پرداخت ملی کشور پس از اتصال به سوئیچ‌های بین‌المللی نیز به‌اندازه تأمین الزامات امنیتی پیش‌نیاز در اتصال به زیرساخت‌های بین‌المللی این حوزه مهم است. بدیهی است در صنعت پرداخت پساتحریم فقط قوانین و الزامات بین‌المللی نیست که باید موردتوجه قرار گیرد بلکه الزامات و استانداردهای امنیتی، تطابق با قوانین و الزامات داخل کشور (ازجمله قوانین موردنظر بانک مرکزی در حوزه پولی و بانکی، قوانین تقلب و پول‌شویی و سیاست‌های ارزی کشور) نباید نقض شود. حتی اگر بانک‌ها هم بخواهند مستقیماً وارد تعامل با سازمان‌هایی نظیر VISA و MasterCard شوند، می‌بایست بانک مرکزی به‌عنوان سیاست‌گذار کلان در صنعت پرداخت مشخص کند چه محصولات و سرویس‌هایی از VISA و MasterCard در کشور مجاز است و اولویت پرداختن به آن‌ها را نیز تعیین کند. در ابتدا انجام یک Gap Analysis در تشخیص فاصله بین وضعیت موجود تا رسیدن به انطباق با الزامات فنی امنیتی VISA و MasterCard کمک خواهد کرد تا با تعیین گام‌های حرکت، هر یک از بازیگران صنعت پرداخت در کشور، مسئولیت‌های خود را به‌صورت شفاف پذیرا باشند و به بهترین شکل دنبال کنند و به‌این‌ترتیب می‌توان به هم‌افزایی قابل‌توجهی دست یافت.

منبع: دنیای اقتصاد

درباره نویسنده

اتاق خبر راه پرداخت

اتاق خبر راه پرداخت همه مطالب و خبر‌های مهم فین‌تک ایران را رصد و منتشر می‌کند.

دیدگاهتان را بنویسید