به گزارش ایران اکونومیست، افشین لامعی درباره وضعیت شبکه پرداخت ایران در مقایسه با استانداردهای بینالمللی اظهارداشت: در شبکه پرداخت کشور شرکت شاپرک از سال ۹۲ الزامات امنیتی شرکتهای پرداخت را تدوین و ابلاغ کرده و از همان زمان بازرسی و ممیزی ادواری براساس این الزامات بومی انجام شده است.
وی افزود: گزارشها و آمار درخصوص انطباق شبکه پرداخت ما با این الزامات رشد بسیار خوبی را طی ۴ سال گذشته نشان میدهد. نکته اینجاست که الزامات امنیت شاپرک، با بررسی دقیق استانداردهای بینالمللی، تجربیات کشورهای مختلف، الزامات و اسناد بالادستی از جمله در بانک مرکزی و مرکز مدیریت راهبردی افتای ریاست جمهوری، تدوین شده است. این الزامات کاملاً در راستای الزامات PCI و در برخی موارد بهدلیل نیازهای داخلی، سختگیرانهتر هستند. لذا شبکه پرداخت کشور به نسبت شاخصهای بین المللی امنیت در وضعیت خوبی قرار دارد.
مدیر امنیت شرکت شاپرک ادامه داد: در حوزه سختافزار نیز همان الزامات PCI-PTS برای تمام پایانه های فروش و پرداخت موبایلی در نظر گرفته شده که باید شرکتها پیش از به کارگیری این ابزارها تأییدیه شاپرک را اخذ کنند و در بحث پرداخت های موبایلی الزامات خاصی وجود دارد که بعد از تأییدیه سختافزار، توسط شاپرک بررسی میشود.
لامعی تصریح کرد: همچنین ما در مرحله نهایی بازبینی و بهروزرسانی الزامات امنیت شاپرک برای شرکت های PSP هستیم. نسخه فعلی این الزامات در سال ۱۳۹۲ تدوین شده است، لذا با توجه به بازخورد دریافتی از PSP ها در طول سالهای اخیر و نیز تغییرات انجام شده در استانداردهای بینالمللی، این بهروزرسانی انجام گرفته است.
وی درباره شرایط تأییدیه شاپرک برای پرداخت های موبایلی گفت: پرداخت های موبایلی بحث جدیدی است که در آن ما علاوه بر رعایت الزامات PCI-PTS، که صرفاً مربوط به خود سختافزار پرداخت های موبایلی است، الزامات دیگری را تدوین کردیم که کل راهکار بهصورت واقعی تست امنیتی شود.
لامعی تاکید کرد: درواقع، شرکتی که بخواهد مجوز بهکارگیری پرداخت های موبایلی را دریافت کند، ابتدا باید تأییدیه سختافزاری خاص راهکار خود را دریافت کند و سپس راهکار کلی خود شامل سختافزار پرداخت موبایل، برنامه کاربردی موبایل، درگاه پرداخت و همبندی کلی این اجزا با یکدیگر را بهصورت عملیاتی در جلسات ارزیابی شاپرک مورد سنجش و تأیید شاپرک قرار دهد. هدف این است که مطمئن شویم اطلاعات حساس مردم در معرض تهدید قرار ندارد.
وی درباره مطابقت استانداردهای ایران با دنیا نیز افزود: برای انطباق کامل با استانداردهای روز دنیا ما مسیری طولانی پیش رو داریم ولی الزامات شاپرک آمادگی مناسبی را به اجزای اصلی شبکه پرداخت ما داده که مسیر پیش رو را هموارتر کرده است. با این حال، برای اینکه به طور رسمی با استانداردهای دنیا نظیر PCI منطبق شویم فرآیندهای خاصی را باید طی کنیم. بهطور مثال در استاندارد PCI-PTS کلاً ۸ آزمایشگاه در دنیا وجود دارد که مورد تأیید PCI است و اگر تولید کنندهای بخواهد یک پایانه فروش یا ابزارهای مشابه را وارد شبکه پرداخت کند باید گواهینامه رسمی یکی از آن ۸ آزمایشگاه را داشته باشد.
مدیر امنیت شرکت شاپرک خاطرنشان کرد: اگر قرار باشد شبکه ما منطبق با الزامات PCI باشد، باید آزمایشهای دورهای سختافزاها مبتنی بر PCI-PTS در طول دوره حیات آن سخت افزار در شبکه پرداخت انجام شود، که با توجه به موضوع تحریمها و هزینه این آزمایشها، چالش مهمی است. بحث دیگری که در PCI مطرح است مدیریت آسیبپذیریهای امنیتی و اسکنها و ارزیابیهای امنیتی در اجزای مختلف شبکه است.
لامعی ادامه داد: طبق استاندارد PCI-DSS شما باید از نرمافزارها و اسکنرهایی استفاده کنید که این قابلیت را دارند که برخی الزامات PCI را در حوزه مدیریت آسیب پذیری چک کنند، بنابراین شما مجبورید از نرمافزارهای تجاری تأیید شده استفاده کنید که میتواند خروجیهای مدنظر PCI را به شما بدهد. برای دسترسی به اینگونه نرمافزارها نیز با چالشهایی روبرو هستیم.
وی افزود: علاوه بر اینها، محدوده یا Scope پیاده سازی استانداردهای PCI، در شرکتهای پرداخت خلاصه نمیشود. بلکه هر سازمانی که درگیر پردازش اطلاعات حساب (شامل اطلاعات دارنده کارت و یا اطلاعات تصدیق اصالت کارت) است، در این قلمرو قرار میگیرد. بنابر این تولید کنندگان برنامههای موبایلی و غیر موبایلی پرداخت، اپراتورهای تلفن همراه و غیره از این جمله هستند که بسته به نحوه مشارکتشان در خدمات پرداخت، ممکن است در قلمرو الزامات امنیت پرداخت قرار گیرند.
مدیر امنیت شرکت شاپرک تاکید کرد: برای انطباق کامل شبکه پرداخت ما و اجزای مرتبط با آن با استانداردهای بینالمللی و اتصال آن به شبکههای جهانی اقدامات دیگری نیز باید انجام شود ولی میتوان گفت مقدمات و آمادهسازی نسبی آن به خصوص در بدنه اصلی شبکه پرداخت، انجام پذیرفته است.
وی درباره اقدامات شاپرک در بحث امنیت نیز گفت: در بحث امنیت، کاری که در حوزه تدوین و اجرای الزامات امنیت در طول چهار سال گذشته در شاپرک انجام شد، ازحیثِ کیفیت و جامعیت، قطعاً یک نوآوری در صنعت پرداخت کشور و فراتر از آن، در بازار امنیت کشور به حساب میآید. همچنین ما در پروژههای جاری امنیت شاپرک به این موضوع توجه ویژهای داریم.
لامعی یادآور شد: بهتازگی SOC یا مرکز عملیات امنیت شبکه پرداخت را افتتاح کردیم که ازنظر مأموریت تعریف شده، معماری و مقیاس پیادهسازی، دارای ویژگیهای نوآورانه است. همچنین برنامههایی در دست اقدام داریم و قصد داریم با افرادی که در حوزه امنیت پرداخت فعال هستند، تعامل بهتری برقرار کنیم، چهبسا همین حالا هم این تعامل وجود دارد و افرادی که در حوزه موضوعات امنیتی فعال هستند، به ما گزارشها یا ایدههایی میدهند و ما این نکات را در صورت لزوم تا حصول نتیجه پیگیری میکنیم، ولی به طور قطع با برنامه های دردستاقدام، این تعامل اثربخشتر خواهد شد.