نسخه فیزیکی

  • شهر کتاب مرکزی تهران – خیابان دکتر شریعتی – بالاتر از خیابان استاد مطهری – نبش کوچه کلاته – فروشگاه مرکزی شهر کتاب
  • شهر کتاب کاشانک نیاوران، کاشانک، نرسیده به سه راه آجودانیه
  • نشر ثالث خیابان کریم‌خان زند، بین خیابان ایرانشهر و ماهشهر، پلاک ۱۵۰
  • شهر کتاب سعادت آباد انتهای خیابان ایران‌زمین، جنب فرهنگسرای ابن‌سینا، شهر کتاب ابن‌سینا
شماره 41 خدمت و تجارت بانکداری الکترونیکی صفحه 70

پیش‌نیاز‌های فنی برای اتصال شبکه‌های ملی پرداخت به شبکه‌های بین‌المللی

استاندارد‌های اتصال

بدیهی است در شرایط پساتحریم، اتصال بانک‌ها و سوئیچ ملی کشور به شبکه‌‌های بین‌المللی یکی از موضوعات مهم در صنعت بانکداری به شمار می‌رود. در این حوزه سه مقوله «امنیت»، «کیفیت» و «انطباق با استانداردهای بین‌المللی» اهمیت پیدا خواهد کرد. در حال حاضر یکی از چالش‌های صنعت بانکداری، تطبیق این صنعت با استانداردهای اجرایی و فنی است که هم‌اکنون در دنیا استفاده می‌شود. لازم است زیرساخت‌های بانکی کشور جهت اخذ مجوز برای عضویت در شرکت‌هایی مانند ویزا ، مسترکارت و غیره با استانداردهای مشخص‌شده از سوی این شرکت‌ها هماهنگ شود. در ادامه با توجه به بررسی‌های انجام‌شده در سایت این شرکت‌ها و مستندات موجود در این سایت‌ها، قدم اول برای همکاری، پیاده‌سازی استانداردهای PCIDSS، PA-DSS ، PCI-PTS وEMV است که در بخش‌های بعدی با ذکر جزئیات آمده است.

شرایط فنی برای همکاری با مسترکارت

با توجه به مستند MasterCard Rules که در سال ۲۰۱۴ توسط شرکت مسترکارت تدوین شده، لازم است نام کشور درخواست‌کننده برای همکاری با این شرکت در جدولی که بر اساس مناطق جغرافیایی است، وجود داشته باشد. این شرط به عنوان اولین الزام برای همکاری است. در قسمت دیگری از این مستند برای منطقه آسیا، پیاده‌سازی استاندارد EMV به صورت جداگانه قید شده است. همچنین انطباق با الزامات استانداردPCI Security برای شرکت‌های ارائه‌دهنده سرویس الزامی است. در مستند Security Rules and Procedures که سال ۲۰۱۵ تدوین شده، جزئیات بیشتری در رابطه با انطباق با الزامات این استاندارد ذکر شده است.
بنا بر این مستند، تمامی شرکت‌های ارائه‌دهنده سرویس‌های بانکی و فروشنده‌ها لازم است الزامات استاندارد PCIDSS را با رعایت موارد زیر پیاده‌سازی کنند (لازم به ذکر است که شرکت‌های ارائه‌دهنده سرویس‌های بانکی و فروشنده‌ها بر اساس ویژگی‌هایشان، سطح‌بندی می‌شوند):
۱- پس از تعیین دامنه مورد نظر، لازم است کلیه الزامات استاندارد PCIDSS برای این دامنه پیاده‌سازی و در فواصل زمانی تعیین‌شده بازبینی شود. این بازبینی برای سطح ۱ فروشنده‌ها و سطح ۱ شرکت‌های ارائه‌دهنده سرویس‌های بانکی باید به صورت سالیانه انجام شود. فروشنده‌ها می‌توانند برای ارزیابی از ممیز داخلی یا ممیز مستقل (خارجی) تاییدشده توسط شرکت مسترکارت استفاده کنند. شرکت‌های ارائه‌دهنده سرویس‌های بانکی باید برای ارزیابی از ممیز شخص ثالث تاییدشده در سایت SDP Program استفاده کنند. تمامی این ارزیابی‌ها باید بر اساس روال ممیزی PCIDSS انجام گیرد (نمونه‌ای از این روال ممیزی منطبق با استاندارد PCIDSS توسط این شرکت منتشر شده است).
۲- شرکت‌های ارائه‌دهنده سرویس‌های بانکی و فروشنده‌ها لازم است ممیزی داخلی انجام دهند و کلیه این ممیزی‌ها می‌تواند بر اساس مستند The Payment Card Industry Self-assessment Questionnaire که به رایگان در سایت PCISSC وجود دارد، انجام گیرد. سطوح ۲، ۳ و ۴ فروشنده‌ها و سطح ۲ شرکت‌های ارائه‌دهنده سرویس‌های بانکی باید سالانه سطح قابل قبولی را کسب کنند.

۳- تمامی شرکت‌های ارائه‌دهنده سرویس‌های بانکی و سطوح ۱ تا ۳ فروشنده‌ها لازم است اسکن آسیب‌پذیری‌های شبکه را در بازه‌های زمانی سه‌ماهه انجام دهند. برای این منظور لیستی شامل نام کلیه شرکت‌های مورد قبول PCI که انجام دهنده‌ این فعالیت هستند به نام Approved Scanning Vendors) ASVs) در سایت PCISSC وجود دارد. شرکت‌های ارائه‌دهنده سرویس‌های بانکی و فروشنده‌ها باید از این لیست استفاده کنند. تمامی این اسکن‌ها می‌بایست بر اساس روال اسکن PCIDSSانجام گیرد (نمونه‌ای از این روال در سایتPCI وجود دارد). لازم است الزامات استاندارد PA-DSS توسط شرکت‌های شخص ثالث که توسعه‌دهنده برنامه‌های کاربردی برای شرکت‌های ارائه‌دهنده سرویس‌های بانکی و سطوح ۱ تا ۳ فروشنده‌ها هستند نیز رعایت شود. مستنداتی در این رابطه تحت عناوین Payment Application Data Security Standard و (PA-DSS) و PCI PA-DSS Program Guide به رایگان در سایت PCISSC وجود دارد. همچنین برای این منظور لیستی شامل نام تمامی شرکت‌های مورد قبول PCI جهت ارزیابی و ممیزی در این زمینه در سایت PCISSC وجود دارد.

همان‌طور که در بالا ذکر شده است، شرکت‌های ارائه‌دهنده سرویس‌های بانکی و فروشنده‌ها با توجه به چندین معیار سطح‌بندی می‌شوند. به عنوان مثال شرکت‌های ارائه‌دهنده سرویس‌های بانکی سطوح ۱ و ۲ باید الزامات جدول یک را دارا باشند. شرکت مسترکارت می‌تواند در صورت نیاز شرکت‌های ارائه‌دهنده سرویس‌های بانکی و فروشنده‌ها را بر اساس SDP Program ممیزی کند.

شرایط فنی همکاری با ویزا

با توجه به اطلاعات مندرج در سایت شرکت ویزا، موارد زیر به عنوان پیش‌نیاز برای همکاری با این شرکت آمده است:
۱- انطباق با الزامات استانداردPCIDSS برای تمامی شرکت‌های ارائه‌دهنده سرویس‌های بانکی و فروشنده‌ها الزامی است (فایلی با نام Visa Introduces Enhanced PCIDSS Enforcement Plan توسط شرکت ویزا منتشر شده است که شامل برنامه‌ای برای پیاده‌سازی استاندارد PCIDSS، جهت استفاده برای شرکت‌هایی که به طور کامل این استاندارد را پیاده‌سازی نکرده‌اند، وجود دارد).
۲- شرکت‌های ارائه‌دهنده سرویس‌های بانکی، شرکت‌هایی هستند که اطلاعات کارت‌های ویزا را ذخیره، منتقل و پردازش می‌کنند. شرکت ویزا این شرکت‌ها را بنا بر معیار‌های مختلف سطح‌بندی می‌کند (جدول ۲).
۳- ارزیابی جهت انطباق با استاندارد PCIDSS به صورت سالیانه برای سطوح ۱ و ۲ شرکت‌های ارائه‌دهنده سرویس‌های بانکی الزامی است.
۴- سایر موارد.

به دلیل حفظ امنیت و ارتقای آن در شبکه‌های بانکی کشور بهتر است قبل از اتصال به شبکه‌های بین‌المللی، به موارد زیر نیز توجه شود:

  • پیاده‌سازی سیستم مدیریت تقلب و ضدپول‌شویی
  • پیاده‌سازی الزامات استانداردهای ISO27001 سیستم مدیریت امنیت اطلاعات، ISO31000 مدیریت ریسک، ISO22301 مدیریت تداوم کسب و کار و ISO20000 مدیریت سرویس و اخذ گواهینامه‌های مرتبط با آنها از شرکت‌های معتبر بین‌المللی مرجع صدور گواهینامه
  • انجام برنامه‌ریزی‌‌‌هایی جهت مهاجرت به آخرین نسخه‌های استانداردهای بین‌المللی در صورتی ‌که نسخه‌های قدیمی این استانداردها در شبکه‌های بانکی، پیاده‌سازی شده باشد.
  • ایجاد زیرساخت‌های ارزیابی و ممیزی امنیت سامانه‌ها و شبکه‌های بانکی

پیوست: تعریف الزامات مرتبط

  • استاندارد EMV
    کلمه EMV مخفف نام سه شرکت Europay، MasterCardو Visa است که این استاندارد را ایجاد کرده‌اند. در حال حاضر این استاندارد توسط EMVCo. مدیریت می‌شود. موضوع اصلی EMV، بحث احراز هویت ابزار پرداخت است؛ اینکه ابزار پرداخت واقعی باشد و جعل نشود. استاندارد EMV، استاندارد فنی کارت‌های پرداخت هوشمند و پایانه‌های پرداخت و دستگاه خودپرداز است. کارت‌های EMV، کارت‌های هوشمندی هستند که اطلاعات را روی تراشه به جای نوار مغناطیسی ذخیره می‌کنند. بزرگ‌ترین تاثیر پیاده‌سازی این استاندارد ارتقای امنیت و کاهش تعداد برداشت‌های غیرمجاز از طریق روش‌هایی مانند تقلب است. برای افزایش قابلیت و ویژگی‌های امنیتی لازم است این استاندارد در هر دو قسمت کارت و پایانه پیاده‌سازی شود.
  • مجموعه استانداردهای PCI
    این استاندارد شامل الزامات امنیتی برای حفظ و نگهداری اطلاعات کارت است.
  • استاندارد PCI-PTS
    این استاندارد، مجموعه‎ای از نیازمندی‎های ارزیابی است که توسط شورای استانداردهای امنیتی صنایع پرداخت کارت، برای پایانه‎های POI پذیرنده PIN ارائه شده است.
  • استاندارد PA-DSS
    استانداردی است برای فروشندگان نرم‌افزار و توسعه‌دهندگان برنامه‌های پرداخت که اطلاعات صاحب کارت یا داده‌های حساس احراز هویت را ذخیره، پردازش و منتقل می‌کنند، کاربرد‌پذیر است.
  • استاندارد PCIDSS
    استاندارد امنیت داده (DSS) صنایع پرداخت کارت (PCI) به منظور ترغیب و پیشبرد امنیت اطلاعات صاحبان کارت تدوین شده است.
  • SDP Program
    به منظور انطباق با استاندارد PCI DSS شرکت مسترکارت برنامه(Site Data Protection Program) SDP را پیشنهاد داده است. در این مستند، الزامات استاندارد PCI DSS با جزئیات توضیح داده شده است

نظر بگذارید

اولین نفری باشید که نظر میگذارد

اعلان برای
avatar
wpDiscuz