رهنمودهای امنیتی و نظارتی برای ارائه‌دهندگان خدمات توکن در چهارچوب جدید مرکز مالی قطر

یکی از موضوعات حیاتی در تنظیم‌گری ارائه‌دهندگان خدمات توکن و رمزارزها، توجه به الزامات فناورانه و امنیتی است. در سال‌های گذشته به این موضوع در کشور ما کمتر توجه شده و بحث‌های جدی درباره آن بوده است. برای مثال، در اتحادیه اروپا، مقررات DORA (Digital Operational Resilience Act) به‌طور خاص بر الزامات تاب‌آوری عملیاتی و امنیت سایبری برای مؤسسات مالی و ارائه‌دهندگان خدمات دیجیتال تأکید دارد. این مقررات به سازمان‌ها کمک می‌کند در برابر تهدیدات سایبری و اختلالات فناوری اطلاعات مقاوم‌تر شوند.

در امارات متحده عربی، سازمان امنیت الکترونیک ملی (NESA) به‌عنوان نهاد مسئول، این الزامات را برای شرکت‌های فعال در حوزه دارایی‌های دیجیتال تدوین کرده و بر اجرایی شدن آنها نظارت می‌کند. علاوه‌بر این یکی از دوازده دستورالعمل وارا (VARA) امارات نیز به الزامات امنیتی و فناوری شرکت‌های ارائه‌دهنده خدمات دارایی‌های مجازی اختصاص دارد و به‌عنوان راهنمایی عملی برای حفظ امنیت و یکپارچگی خدمات این شرکت‌ها عمل می‌کند.

در همین راستا، مرکز مالی قطر (QFC) نیز سندی اجرایی برای بازیگران این حوزه منتشر کرده که به الزامات فناورانه و امنیتی پرداخته و همچون چارچوبی جامع برای مدیریت ریسک‌ و تضمین امنیت خدمات توکن عمل می‌کند. این موضوع به‌ویژه برای کشور ما از اهمیت فراوانی برخوردار است؛ زیرا طبق گزارش‌های غیررسمی، دارایی حدود سیزده میلیون ایرانی در اختیار ارائه‌دهندگان خدمات دارایی‌های دیجیتال است و ضرورت تنظیم‌گری مؤثر و دقیق برای حفاظت از این دارایی‌ها بیش از پیش احساس می‌شود.

---

هدف و دامنه دستورالعمل‌ها

---

دستورالعمل‌های مرکز مالی قطر به‌منظور ارائه چهارچوبی جامع برای امنیت و نظارت بر فعالیت‌های ارائه‌دهندگان خدمات توکن (TSP) طراحی شده است. هدف این دستورالعمل‌ها مدیریت ریسک، حفاظت از داده‌ها و تطابق با استانداردهای بین‌المللی مانند ISO 27001 (مدیریت امنیت اطلاعات) و NIST SP 800-53 (کنترل‌های امنیتی سیستم‌های اطلاعاتی) است. این دستورالعمل‌ها همچنین نقش مهمی در تضمین قابلیت اطمینان و پایداری عملیات روزمره و واکنش به حوادث دارند.

---

مدیریت ریسک و امنیت سایبری

---

یکی از جنبه‌های اصلی این دستورالعمل‌، مدیریت ریسک است. طبق این رهنمودها، TSPها ملزم به ایجاد سیستم‌های خودکار و چهارچوب‌های مدیریتی برای شناسایی، ارزیابی و کاهش ریسک‌های سایبری‌ا هستند. استانداردهای ISO 31000 و NIST SP 800-30 برای ارزیابی و مدیریت ریسک‌ها در این چهارچوب استفاده می‌شوند. در بخش امنیت سایبری، توصیه می‌شود که TSPها از کنترل‌های امنیتی مانند احراز هویت چندمرحله‌ای، سیستم‌های مدیریت اطلاعات و رویدادهای امنیتی (SIEM) و پیشگیری از نشت داده‌ها (DLP) بهره بگیرند. استانداردهای ISO 27001 و NIST SP 800-53 به‌ عنوان مرجع اصلی برای مدیریت امنیت اطلاعات و حفاظت از داده‌ها معرفی شده‌اند.

---

حاکمیت و نظارت

---

دستورالعمل‌های QFC بر ایجاد ساختارهای حاکمیتی قوی تأکید دارد. مدیریت ارشد و هیئت‌مدیره مسئول ایجاد چهارچوب‌های مدیریت ریسک و نظارت بر آن شده‌اند. همچنین مدیر ارشد امنیت اطلاعات (CISO) و مدیران فناوری مسئول توسعه استراتژی‌های امنیتی و مدیریت ریسک‌ها هستند. به‌روزرسانی‌های منظم در سیاست‌ها و رویه‌ها برای حفظ انطباق با تغییرات مقررات و استانداردهای صنعت نیز از اهمیت بسیاری برخوردار است.

---

مدیریت و امنیت داده‌ها

---

دستورالعمل‌ها به‌صراحت به اهمیت مدیریت داده‌ها و استفاده از استانداردهای رمزنگاری قوی اشاره دارند. استفاده از استاندارد AES برای رمزنگاری داده‌ها و RSA یا ECC برای امضاهای دیجیتال به‌عنوان راهکارهای کلیدی برای محافظت از داده‌ها مطرح شده‌اند. همچنین، مدیریت کلیدهای رمزنگاری باید با استفاده از ماژول‌های امنیتی سخت‌افزاری (HSM) انجام شود و به‌روزرسانی‌های مداوم برای کاهش ریسک‌های احتمالی اعمال شود. در این راستا، استانداردهای FIPS 140-2 و ISO/IEC 27001 مرجع‌های مهمی معرفی شده‌اند.

---

آزمون‌ها و حسابرسی‌

---

یکی از بخش‌های مهم در دستورالعمل‌های QFC، آزمون‌ها و حسابرسی‌های امنیتی است. TSPها باید به‌طور منظم آزمون‌های نفوذ و ارزیابی‌های آسیب‌پذیری را انجام دهند تا از امنیت سیستم‌ها اطمینان حاصل کنند. حسابرسی‌های داخلی و خارجی باید با استفاده از استانداردهای NIST SP 800-115 و NIST SP 800-40 برای ارزیابی امنیت سیستم‌ها و مدیریت وصله‌های (Patch) امنیتی انجام شود.

---

مدیریت تأمین‌کنندگان و برون‌سپاری

---

مدیریت تأمین‌کنندگان خارجی و خدمات برون‌سپاری از دیگر اجزای حیاتی دستورالعمل‌هاست. TSPها ملزم به ارزیابی دقیق تأمین‌کنندگانشان براساس معیارهایی مانند ثبات مالی، سابقه امنیتی و تطابق با مقرراتند. نظارت بر رعایت الزامات امنیتی توسط تأمین‌کنندگان نیز با بازرسی‌های منظم و فرایندهای رسمی انجام می‌شود. در صورت رعایت نکردن الزامات امنیتی، امکان لغو قرارداد یا اعمال جریمه وجود دارد.

---

مدیریت حوادث و پاسخ به نقض‌های امنیتی

---

TSPها باید سیستم‌های مدیریت حادثه‌ای قوی داشته باشند و از ابزارهایی مانند سیستم‌های تشخیص نفوذ (IDS) و SIEM استفاده کنند. این سیستم‌ها با استفاده از استانداردهای NIST SP 800-94 و ISO/IEC 27035 به شناسایی و واکنش به حوادث امنیتی کمک می‌کنند. همچنین، برنامه جامع واکنش به حوادث باید شامل آموزش منظم کارکنان و به‌روزرسانی‌های مداوم باشد.

---

رمزنگاری و قراردادهای هوشمند

---

دستورالعمل‌های QFC بر اهمیت رمزنگاری قوی و مدیریت کلیدها تأکید دارد. استفاده از استانداردهای AES و RSA برای حفاظت از داده‌ها و پیاده‌سازی پروتکل‌های ایمنی مانند TLS برای امنیت ارتباطات ضروری است. همچنین، قراردادهای هوشمند باید با استفاده از استانداردهای OWASP و ISO/IEC 27001 بررسی و حسابرسی شوند تا از امنیت و عملکرد صحیح آنها اطمینان حاصل شود.

دستورالعمل‌های جدید مرکز مالی قطر چهارچوبی جامع و دقیق برای ارائه‌دهندگان خدمات توکن فراهم می‌کند. این دستورالعمل‌ها با تأکید بر مدیریت ریسک، امنیت سایبری، حفاظت از داده‌ها و تطابق با استانداردهای بین‌المللی، به TSPها کمک می‌کند به‌صورت پایدار و امن فعالیت کنند. اجرای این دستورالعمل‌ها نه‌تنها به حفظ امنیت خدمات کمک می‌کند، اعتماد مشتریان و نهادهای نظارتی را نیز افزایش می‌دهد.