راه پرداخت
راه پرداخت؛ رسانه فناوری‌های مالی ایران

اهمیت پیاده‌سازی فراگیر و منسجم استاندارد PCI در جهت تأمین امنیت پایانه‌های فروش

زمانی که گروهی از تبهکاران سایبری به رهبری آلبرت گنزالس، طی سال‌های ۲۰۰۵ تا ۲۰۰۸ با ربودن اطلاعات بیش از ۹۰ میلیون کارت اعتباری و نقدی از طریق پایانه‌های فروش، نخستین حمله امنیتی گسترده از این نوع را رقم زدند، شاید کمتر کسی تصور می‌کرد بعدها دامنه این حملات چنان افزایش پیدا کند که سال‌ها بعد، شرکت امنیتی «ترندمایکرو» ۲۰۱۴ را سال بدافزارهای POS Scraper RAM بنامد. این نفوذ ویران گر اولین حمله بزرگ و هدف مند به سامانه‌های POS قلمداد شد، اما هرگز آخرین آن‌ها نبود و نیست. مجله وایرد در سال ۲۰۱۴ فهرستی از ۱۰ حمله بانکی بزرگ تاریخ را گردآوری کرد و زیرکانه، جایگاه دهم را برای بزرگ‌ترین یورش بعدی کنار گذاشت؛ زیرا این داستان ادامه دارد…

به گزارش روابط عمومی شرکت توسن تکنو، از گذشته‌های دور و حتی زمانی که دادوستدهای گوناگون به صورت پایاپای و با تبادل اجناس صورت می‌گرفت، اعتمادپذیری کلیدی‌ترین عامل انجام تعاملات محسوب می‌شد. در واقع طرفین معامله همیشه اصرار داشته‌اند که از انطباق چیزی که دریافت می‌کنند با شرایط مورد توافق اطمینان پیدا کنند. در زمان تبادل‌های پایاپای این کار با مشاهده و بررسی کالای دریافتی انجام می‌شد. با اختراع پول، این فرآیند به اطمینان از اصالت و مقدار مبلغ دریافتی تغییر یافت؛ اما ورود به عصر بانکداری الکترونیکی در کنار مزایای بی‌شمارش چالش‌های فراوانی را هم به همراه آورد که یکی از مهم‌ترین موارد آن، عدم آشنایی کاربران با نحوه کار این سیستم‌ها بود. تجربه ثابت کرده است که هر مکانیزم جدید مالی با چالش پذیرش در بین مردم همراه خواهد بود.

به عنوان مثالی آشکار می‌توان به امتیازهایی که بانک‌های اروپایی برای راضی کردن مشتریان خود در تغییر واحد حساب‌هایشان به یورو ارائه کردند و یا دوره نسبتاً طولانی پذیرش چک‌های بانکی در کشور خودمان اشاره کرد. این وضعیت در مورد استفاده از کارت‌های بانکی خصوصاً در کشور ما بیشتر خودنمایی می‌کند زیرا کاربران با ساختار و مکانیزمی روبه رو هستند که اساساً از آن سر در نمی‌آورند. این نکته کار کسب‌وکارهای متمرکز بر کارت‌های بانکی را به مراتب دشوارتر می‌کند زیرا کوچک‌ترین نشانه‌ای از عدم اعتمادپذیری می‌تواند باعث فاصله گرفتن کاربران از یک سیستم و در نهایت شکست عملکرد آن شود.

همین نکته کلیدی باعث شده است امروزه تأمین یک راه کار پرداخت امن به یکی از ملزومات کسب‌وکارهای گوناگون تبدیل شود. به طور طبیعی هر کسب‌وکاری که با پذیرش، پردازش و ذخیره‌سازی اطلاعات حساس کارت‌های بانکی سروکار داشته باشد، به طور جدی نگران حفظ امنیت سیستم خود خواهد بود. در واقع سه علت ساده موجب می‌شود تا هر کسب‌وکاری در خصوص امنیت راه‌کارهای پرداخت خود نگران باشد:

۱- ناکامی در امن‌سازی سیستم‌ها می‌تواند هزینه سنگینی را به کسب‌وکار تحمیل کند

عدم موفقیت یک کسب‌وکار در حفظ امنیت سیستم‌های پرداخت می‌تواند با زیان‌های مالی سنگینی همراه باشد. این خسارات مالی می‌توانند از بازپرداخت خسارات مشتریان گرفته تا جرائم مختلف و هزینه‌های جانبی رویه‌های حقوقی را شامل شوند. به رغم تلاش‌های جدی که در حوزه امن سازی امنیت سیستم‌های پرداخت صورت می‌گیرد، داده‌ها نشان می‌دهند که هزینه رخنه‌های امنیتی در حال افزایش هستند. بر اساس نتایج یک مطالعه که در سال ۲۰۱۵ توسط شرکت آی‌بی‌ام و نظرسنجی از بیش از ۱۵۰۰ متخصص این حوزه انجام شد، متوسط هزینه کلی افشای داده‌ها در این سال به ۳٫۸ میلیون دلار می‌رسید که نسبت به سال ۲۰۱۳ افزایشی ۲۳ درصدی را نشان می‌داد. همین مطالعه نشان می‌داد هزینه هر رکورد حساس سرقت شده معادل ۱۵۴ دلار است (در مقایسه با ۱۴۵ دلار در سال ۲۰۱۳).

۲- ناکامی در تأمین یک سیستم امن می‌تواند اعتبار کسب‌وکار شما را به خطر بیاندازد

اگر سیستم‌های مالی شما امن نباشند و دچار رخنه‌ای امنیتی شوید، تقریباً بدون تردید اعتبار نام تجاری شما و همچنین اعتماد مشتریانتان با آسیبی جدی مواجه خواهد شد. توجه داشته باشید که مطالعات مختلف نشان می‌دهند تنها ۲۵ درصد از کاربران اعتقاد دارند که شرکت‌ها امنیت داده‌های مشتریان خود و حفاظت از آن‌ها را واقعاً جدی می‌گیرند. در عین حال با گذشت زمان، کاربران بیش از پیش به اهمیت حفظ امنیت داده‌های حساس خود پی می‌برند و اگر احساس کنند شرکتی در مورد اطلاعات آن‌ها رفتار غیرمسئولانه‌ای دارد، به سرعت از آن فاصله می‌گیرند.

۳- ناکامی در امن سازی سیستم‌ها می‌تواند مشتریان شما را به سمت رقبا هدایت کند

کافی است مشتریان شما احساس کنند که رقبای شما عملکرد بهتری در زمینه حفاظت از داده‌های مشتریان دارند و می‌توانند آسودگی خیال بیشتری را برای آن‌ها تأمین کنند؛ در این وضعیت به سادگی شاهد مهاجرت مشتریان خود به سمت شرکت‌های رقیب خواهید بود. این وضعیت خصوصاً زمانی خودنمایی می‌کند که کسب‌وکار شما یک رخنه امنیتی را تجربه کرده باشد. مطالعه‌ای که توسط شرکت SafeNet بر روی بیش از ۴۵۰۰ کاربر بالغ انجام شد نشان می‌دهد که ۶۵ درصد این افراد هرگز حاضر نیستند دوباره به خرید یا دادوستد با شرکتی بپردازند که یک رخنه امنیتی منتهی به سرقت اطلاعات مالی یا داده‌های کارت بانکی را تجربه کرده است.

 

انطباق با PCI

اکنون که همه چیز بر لزوم حفظ امنیت سیستم‌های پرداخت مالی تأکید دارد، نوبت به بررسی راه کارهای موجود برای دستیابی به این هدف می‌رسد. در ابتدا شرکت‌های ارائه‌کننده کارت‌های بانکی برنامه‌های مختلف و جداگانه‌ای را برای حفاظت از اطلاعات مشتریان خود راه‌اندازی کردند، اما در نهایت شورایی تحت عنوان انجمن استانداردهای امنیتی صنعت کارت پرداخت، به اختصار PCI SSC، تشکیل شد که مسئولیت هماهنگ‌سازی فعالیت‌های شرکت‌های عضو را بر عهده داشت. نتیجه فعالیت انجمن مذکور، استاندارد امنیت داده‌های صنعت کارت پرداخت یا DSS PCI بود که اولین نسخه مشخصات آن در دسامبر سال ۲۰۰۴ منتشر شد و توسعه آن تا امروز و نسخه ۳٫۲ (که در آوریل سال ۲۰۱۶ منتشر شد) ادامه دارد. با گذشت زمان، استانداردهای مرتبط دیگری مانند PCI PTS و PCI PA-DSS و PCI P2PE نیز توسط این انجمن منتشر شد.

انطباق با PCI به معنای تبعیت از دستورالعمل‌هایی است که طراحی شده‌اند تا احتمال وقوع کلاهبرداری‌ها و سرقت اطلاعات حساس در رابطه با کارت‌های بانکی را به حداقل برسانند. دستورالعمل‌های مذکور با بهره‌گیری از بهترین تجربیات و رهنمودهای شرکت‌های عمده ارائه‌کننده کارت‌های بانکی تهیه شده‌اند. تمام کسب‌وکارهایی که با سطوح مختلفی از تعاملات مالی مبتنی بر کارت بانکی سروکار دارند، ملزم به انطباق با استاندارد PCI هستند. شاید در ابتدا کسب‌وکارهای نسبتاً کوچک‌تر توجه کمتری به انطباق با استاندارد PCI داشتند و گاهی اوقات از پذیرش ملزومات آن سرباز می‌زدند، اما با گذشت زمان انجمن استانداردهای امنیتی قوانین سخت‌گیرانه‌تر و جرائم سنگین‌تری را برای چنین شرایطی در نظر گرفته است که باعث می‌شود آشنایی و انطباق با آخرین ملزومات استاندارد برای همه کسب‌وکارها اهمیت زیادی داشته باشد.

به طور کلی می‌توان گفت، PCI-DSS یک استاندارد امنیتی چند وجهی است که ملزومات مرتبط با مدیریت امنیت، خط مشی‌ها، رویه‌ها، معماری شبکه و سایر معیارهای محافظتی حیاتی را در بر می‌گیرد. این استاندارد جامع طراحی شده است تا به کسب‌وکارها در محافظت از داده‌های حساس مشتریان کمک کند. معرفی و بررسی این استاندارد خود مقاله‌ای مفصل و مجزا را طلب می‌کند؛ اما اگر بخواهیم نمایی کلی از استانداردهای PCI را در اختیار داشته باشیم، می‌توانیم به مؤلفه‌های زیر اشاره کنیم:

  • ایجاد و نگهداری یک شبکه و سیستم‌های امن: محافظت از داده‌های کارت پرداخت با بهره‌گیری از یک فایروال؛ عدم استفاده از کلمات عبور و تنظیمات پیش فرضی که همراه چیدمان اولیه ارائه می‌شوند.
  • محافظت از داده‌های صاحب کارت: محافظت از داده‌های حساس صاحب کارت با رمزنگاری آن‌ها در هر زمانی که روی سیستم شما منتقل می‌شوند.
  • حفظ یک برنامه مدیریت آسیب‌پذیری: نگهداری تمام سیستم‌ها با به روز نگهداشتن آن‌ها و اطمینان از این که عاری از انواع آسیب‌پذیری‌های ویروسی یا بدافزاری هستند. در اکثر قریب به اتفاق موارد، این کار با بهره‌گیری از یک راه کار آنتی ویروس که به صورت محلی نصب شده است یا یک فایروال گیت وی انجام می‌شود.
  • پیاده‌سازی معیارهای قدرتمند کنترل دسترسی: دسترسی به داده‌های صاحب کارت بایستی در یک سطح حداقل مطلق نگه داشته شود. در عین حال، این دسترسی باید منوط به تأیید شناسایی کاربر باشد.
  • نظارت منظم و آزمایش شبکه‌ها: سیستم‌های امنیتی باید همیشه مورد آزمایش قرار گیرند تا تضمین شود که توابع دسترسی سیستم به همان صورتی که باید، عمل می‌کنند.
  • حفظ یک خط مشی برای امنیت اطلاعات: اطمینان از این موضوع که تمام کارکنان از خط مشی امنیتی آگاهی دارند و همچنین اطمینان از این که خط مشی امنیتی خصوصاً انطباق و امنیت اطلاعات را مورد توجه قرار می‌دهد.

در اولین نسخه از استاندارد PCI (و ضمایم آن)، بخش اعظم تمرکز روی معیارهای امنیتی بود. در دومین نسخه مشخصات نیز این رویه ادامه پیدا کرد، البته با اضافه شدن مواردی مانند کارتخوان‌های رمزنگاری شده. با این حال نسخه سوم مشخصات، وجوه تازه‌ای را به دیدگاه‌های استاندارد اضافه کرد. در میان تغییرات کلیدی نسخه ۳ مشخصات در مقایسه با نسخه پیشین آن می‌توان به موارد زیر اشاره کرد:

۱- هوشیاری آموزشی:

انطباق با PCI جنبه‌ای حیاتی از پردازش پرداخت امن است. با این حال، بسیاری از کسب‌وکارها از اهمیت یا کاربرد PCI آگاهی ندارند. نسخه ۳ با کمک به برقراری یک «فرهنگ امنیتی» از طریق آموزش مسئولیت‌پذیری، پاسخگویی و محافظت در برابر کلاهبرداری‌ها، این مشکل را برطرف می‌کند. برای دستیابی به هدف مذکور، رهنمودهای جدید، ساده و مؤثر شده و به زبان قابل فهم‌تری نوشته شده‌اند تا در شناخت فرآیند انطباق با PCI به کسب‌وکارها کمک کنند.

۲- ادغام کسب‌وکار طبق معمول

نسخه سوم مشخصات، مجموعه‌ای از بهترین شیوه‌ها را برای پیاده‌سازی در بر می‌گیرد تا به تبدیل شدن انطباق با PCI به یک بخش یکپارچه از هر عملیات تجاری، کمک کند. به جای ترتیب دادن تمرینات سالیانه اعتبارسنجی پیش از انجام ممیزی‌های امنیتی، شرکت‌ها ترغیب می‌شوند تا این شیوه‌ها را به طور منظم به کار بگیرند تا انطباق کاملی را بدون دردسرهای گذشته و به صورت یکپارچه تأمین کنند.

۳- هدف‌گذاری و آزمایش‌های واضح‌تر

در نسخه دوم مشخصات، کسب‌وکارها می‌توانستند از زیر عدم آزمایش نفوذ سیستم‌های امنیت داده خود شانه خالی کرده و از نظر فنی به عنوان یک کسب‌وکار منطبق تأیید شوند. نسخه سوم ملزومات دقیق‌تر و سخت‌گیرانه‌تری را اضافه کرده است تا تضمین کند که کسب‌وکارها فرآیند اسکن آسیب‌پذیری‌ها را با رویکردی انجام می‌دهند که با روح مورد نظر این آزمایش‌های نفوذ اجباری سازگاری بیشتری دارد.

۴- مسئولیت مشترک:

نسخه سوم در عین حال بخش عمده‌ای از سردرگمی‌های مربوط به این موضوع را که نهایتاً چه کسی مسئول جلوگیری از کلاهبرداری‌های زمان پرداخت است، از بین می‌برد. PCI 3.0 کاملاً تصریح می‌کند که تمام طرف‌های درگیر در زنجیره تأمین سرویس پرداخت شامل کسب‌وکارها، تأمین‌کننده سرویس یا صادرکننده کارت باید به صورت فعالانه در زمینه محافظت از اطلاعات کارت بانکی در برابر هکرها و سارقان مشارکت کنند. به این ترتیب، دیگر هیچ یک از طرف‌ها نمی‌تواند مسئولیت پاسخ‌گویی را به دیگری بسپارد.

نسخه ۳٫۲ آخرین بازنگری منتشر شده از این استاندارد است که در آوریل ۲۰۱۶ منتشر شد. این نسخه جنبه‌های کامل‌تری را به مشخصات قبلی اضافه کرده است.

با وجود آن که انطباق با استانداردهای امنیتی سیستم پرداخت مبتنی بر کارت برای خود کسب‌وکارها نیز از اهمیت حیاتی برخوردار است، اما ماهیت‌های نظارت‌کننده با در نظر گرفتن ضرورت محافظت از اطلاعات حساس مشتریان که از سرویس‌های گوناگون این کسب‌وکارها استفاده می‌کنند، جرائم و محدودیت‌های سنگینی را برای مجموعه‌هایی که با آخرین استاندارد اجباری انطباق پیدا نکرده‌اند، در نظر می‌گیرند. در واقع عدم انطباق با PCI می‌تواند جریمه ماهیانه‌ای مابین ۵۰۰۰ تا ۱۰۰۰۰۰ دلار در ماه به همراه داشته باشد.

 

وضعیت پایانه‌های فروش در کشور

در حال حاضر بیش از ۶٫۵ میلیون POS فعال در ایران وجود دارد. از سوی دیگر، تنها در سه ماهه نخست سال ۹۶ بیش از ۴ میلیارد تراکنش در سراسر کشور انجام شده است. این آمار از یک سو ظرفیت بالقوه سیستم پرداخت مبتنی بر کارت و از سوی دیگر سطح ریسک موجود در فعالیت سیستم مذکور را نشان می‌دهد؛ به عبارت دیگر، رویکرد موجود نشان می‌دهد که کاربران ایرانی به سمت استفاده از روش‌های پرداخت مبتنی بر کارت رو آورده‌اند که بیانگر فرصتی فوق‌العاده برای کسب‌وکارهای درگیر با سیستم‌های مذکور است.

با یک حساب ساده، تنها رقم کارمزد این حجم از تراکنش‌ها بر اساس نرخ حداقل و حداکثری (۵۰۰ تا ۲۵۰۰ ریال) بین ۲۰۰ تا ۱۰۰۰ میلیارد تومان خواهد بود، آن هم تنها در مدت سه ماه؛ بنابراین به سادگی می‌توان دید که ارزش کلی تراکنش‌های مذکور رقم بسیار چشمگیری است؛ اما یک ناکامی در زمینه تأمین اعتماد مشتریان می‌تواند تمام این معادلات را بر هم بزند. کاربران ایرانی هنوز کاملاً برای بازگشت به انجام معاملات با روش‌های سنتی‌تر آمادگی دارند و اگر احساس کنند استفاده از راه کارهای مدرن الکترونیکی می‌تواند با ریسک از دست دادن دارایی‌های مالی یا سرقت اطلاعات حساس آن‌ها همراه باشد، در این بازگشت تردید نخواهند کرد.

متأسفانه ساختار پایانه‌های فروش در کشور با سطح استانداردهای روز جهان فاصله زیادی دارد و این در حالی است که حتی ساده‌ترین مقررات تعیین شده از سوی ارائه‌کنندگان پایانه‌های فروشگاهی (مانند لزوم جانمایی POS به صورتی که هنگام انجام تراکنش برای مشتری قابل رؤیت و دسترسی باشد) در بسیاری از موارد نادیده گرفته می‌شود. این آسیب‌پذیری‌ها از ریشه‌های زیرساختار پرداخت مبتنی بر کارت در کشور تا سرشاخه‌های آن یعنی پایانه‌های فروش، باعث می‌شود تا احتمال وقوع رخنه‌های امنیتی به طور نمایی افزایش پیدا کند که به طور طبیعی برای کل بدنه کسب‌وکارهای مرتبط با آن زیان‌آور خواهد بود.

در چنین شرایطی تنها راه کار عملی، انطباق و همگام شدن با استانداردهای روز دنیا است تا به این ترتیب، حداقل، سطح ریسک را به شرایطی معادل هر نقطه دیگری از جهان برسانیم. مواردی مانند خبر سرقت اطلاعات تعداد زیادی از حساب‌های یک بانک و یا مشکلات مربوط به مؤسسات اعتباری شکست‌خورده هنوز کاملاً در ذهن همه ما پررنگ هستند. چنین رویدادهایی به رغم آن که مستقیماً با موضوعاتی مانند سیستم پرداخت مبتنی بر کارت ارتباط ندارند، باعث برانگیخته شدن و بدبینی مشتریان می‌شوند.

تردیدی وجود ندارد که آمار ۴ میلیارد تراکنش در مدت سه ماه یک شبه به دست نیامده است و کسب‌وکارهای مرتبط با این حوزه راه درازی را برای رسیدن به آن طی کرده‌اند، اما خبر بد این است که این آمار می‌تواند یک شبه واژگون شود. طبیعی است که در نظر گرفتن تمهیدات مقتضی و انطباق با استانداردهای روز جهان می‌تواند از چنین واقعه‌ای جلوگیری کند. این در حالی است که افزایش احتمالی برخی از هزینه‌ها برای رسیدن به سطح استانداردهای روز با توجه به فضای رشد موجود در سیستم پرداخت‌های کشور به سادگی جبران خواهد شد.

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.