PDA

View Full Version : بانکداری الکترونیکی (E-Banking)از دیدگاه امنیت و اعتماد



Identifier
شنبه 13 اسفند 1384, 08:35 صبح
بانکداری الکترونیکی (E-Banking)از دیدگاه امنیت و اعتماد

گرد آورنده : حامد ذوالقدری


مقدمه
تجارت الکترونیک یک اصطلاح وسیعی است که برای فعالیتهایی بکار می رود که در ارتباط با انتقال کالا یا سرویسها در قبال پرداخت وجهی از طریق شبکه های کامپیوتری یا هر نوع سیستم الکترونیکی می باشد . همانند شرکت کنندگان بزرگ در این بازار، مراکز مالی نیز در امر الکترونیکی کردن فعالیتهای بانکی که شامل سیتم های بازاریابی پیچیده ، انجام امور بانکی از راه دور و برنامه های برای ارزش ذخیره شده وغیره می باشد بسیار فعال شده اند. این زمینه بدلیل گسترش روزافزن فن آوریهای جدید بسیار پویا و متغییر می باشد. سیستم های الکترونیکی دربانکها روز به روز بر اهمیتشان افزوده میشود که از دلایل آن می توان به موارد زیر اشاره کرد :
_ گسترش رقابت میان شرکت های مالی غیر بانکی و میان صنایع ارتباطات و تولید کنندگان نرم افزار
_ تقاضا برای سرویسهای کاراتر و راحت تر
_ افزایش فاصله میان سیستم های با قابلیت الکترونیکی و دیگر سیستمهای قدیمی از نظر هزینه ها.
وجود چنین فرصتهایی البته ریسک های مهمی را نیز برای یک موسسه مالی بهمراه دارد . البته ریسک ها را می توان با اتخاذ یک برنامه مدیریت ریسک (Risk management program ) توانا و داشتن یک طرح استراتژی خوب کمتر کرد. حوزه برنامه مدیریت ریسک یک موسسه مالی مالی باید متناسب باپیچیدگی فعالیتهایی که درگیر آن است باشد. برای مثال بانک هایی که فقط سیستم اطلاع رسانی روی وب ارائه می دهند برنامه مدیریت ریسکشان با بانکی که سرویسهای پیچیده روی وب ارائه می دهد متفاوت است .




محیط شبکه ای

یک شبکه کامپیوتری بطور ساده کامپیوترهای متعددی است که برای نقل وانتقال اطلاعات، برنامه ها و اشتراک منابع بهم متصل شده اند . دسترسی به شبکه می تواند از طریق PC ها ،تلفن ها, سیستم بصری- محاوره ای, کارت های الکترونیکی که چیپهای کامپیوتری در آن تعبیه شده اند می تواند باشد . اتصالات عمدتا از طریق خطوط تلفن سیستم های کابلی و یا از طریق تکنولوژی های بدون سیم است.
بانکداری الکترونیکی بر یک محیط شبکه ای استوار است . قابل ذکر است که همه شبکه های کامپیوتری در رابطه با سطح امنیت و ریسک برابر نیستند. سیستم ها چه اطلاعاتی باشند و چه تراکنشی (transaction) حاوی تعامل میان کاربر و سیستم می باشند.
Phone banking یا سرویسهای banking pc و برنامه های ذخیره شده مهمترین نمونه ها از شبکه های الکترونیکی بانکی هستند که بر اساس ساختار واستانداردهای اینترنت پایه ریزی شده اند . اینترانت ها برخلاف اینترنت که در تمام دنیا گسترده است تنها قابل دسترسی پرسنل داخلی سازمان می باشد . اینترانت ها می توانند به دنیای خارج نیز برای استفاده مشتریها و دیگر افراد توسعه داده شود که درآن صورت به آن extranet گفته می شود.
امنیت شبکه های کامپیوتری : امنیت شبکه های کامپیوتری چه خصوصی و چه عمومی باید ارزیابی و بازنگری شود . حملات اینترنتی بسیار مخرب هستندزیرا پرسنل موسسه که می تواند شامل همه کارمندان موسسه باشد ،ممکن است به منابع حیاتی و مهمی دسترسی داشته باشند. با توجه به دانش کاملی که مربوط به فعالیتها و روالهای بانک می باشد یک مهاجم داخلی می تواند به سیستم انتقال ارزش بطور مستقیم دسترسی داشته باشد، یا روابط مهم میان سیستم های شبکه شده را استخراج کندتا به سطحی از دسترسی برسد که به مهاجم اجازه دهد تا کنترلهای امنیتی را از کار بیاندازد.
امنیت شبکه های عمومی : استفاده از شبکه های عمومی حاوی ریسک های بیشتری نسبت به شبکه های داخلی است ، استفاده از خطوط خصوصی ممکن است این تصور را ایجاد کند که امنیت برقرار شده است , ولی باید گفت که همین خطوط اختصاصی نیز از ساختار شبکه های عمومی نیز بهره میگیرد و لذا با تکنیک هایی چون line tapping (گرفتن اتصال از خط) و … داده ها قابل دسترسی می شوند. داده های محرمانه که از شبکه های عمومی می گذرد ممکن است توسط افرادی که مجوز ندارند و داده ها مربوط به آنان نمی باشد، قابل دسترسی باشد . بنابراین رمزگذاری داده ها بسیار الزامی است.


قابلیتهای الکترونیکی
چند سالی است که موسسه های مالی قابلیت های الکترونیکی فراهم آورده اند ، برای مثال phone banking ATM(Automated teller machines), ها نمونه هایی از این قابلیت ها هستند ،بعلاوه پیشرفتهای تکنولوژی سیستم های پیچیده تری را ارایه کرده است. سیستم های تلفن پیچیده و برنامه های کامپیوتری روی اینترنت دسترسی ها را افزایش داده اند . محصولات و سرویس های قدیمی می توانند توسط کانالهای جدید ارائه شوندیا سرویسهای جدیدی توسعه یابند. برای مثال در کنار دادن وام ، امر مربوط به حسابها و بانک می تواند برنامه های پرداخت پول را پشتیبانی کند و از پول الکترونیکی حمایت کند . سیستمهای الکترونیکی برای بانک را می توان به سه سطح اصلی تقسیم کرد. سطح اول سیستم هایی که فقط اطلاعات ارائه می دهند و احتمالا حاوی یک نامه الکترونیکی غیر حساس هستند .سطح دوم سیستمهایی که به کاربران اجازه می دهند که اطلاعات حساس را به اشتراک بگذارندو با هم ارتباط داشته باشند و سطح سوم سیستمهایی که انتقالات پول و تراکنش های مالی راپشتیبانی می کنند می باشد .بسیاری از سیستمها ترکیبی از این فعالیتها را دارند.

Identifier
شنبه 13 اسفند 1384, 08:38 صبح
سیستم اطلاعاتی محض(سطح یک) Information only system

سیستمهای اطلاعاتی محض سیستمهایی هستند که اجازه دسترسی به اطلاعات بازاری ودیگر سیستمهای اطلاعاتی عمومی را فراهم می آورند و یا حاوی انتقالات نامه های غیر حساس می باشند. در اینگونه سیستمها منتشر کننده (بانک ) اطلاعاتی را که قابل ارائه باشد تعریف می کند. در این رابطه اطلاعاتی که قبلا حاصل شده و یا بر روی دیگر رسانه ها موجود است جمع آوری و ارائه می شود . قالب الکترونیکی اطلاعات یک کانال بصرفه را فراهم می آورد که بسیار منعطف تر از دیگر قالب -هاست .

اگرچه این سایتها معمولا بازارگرا هستند هر کدام حاوی کمی یا مقداری از اطلاعات که منتشر کننده تمایل دارد می باشدو یا حاوی link هایی به دیگر سایتها می باشند. این سایت در امر بازاریابی و فروش بسیار مفید است.


سیستم انتقال اطلاعات الکترونیکی Electronic information transfer system

سیستم های انتقال اطلاعات الکترونیکی سیستمهای محاوره ای هستند که قابلیتهایی جهت انتقال پیامهای حساس، متنها یا فایلها میان موسسه های مالی و کاربران ارائه می دهند. این کلاس از سیستمها حاوی سیستم نامه الکترونیکی است که پیامهای حساس و اطلاعات محرمانه را می توان از طریق آن رد و بدل کرد . یک وب سایت بانک که به مشتریها اجازه می دهد که فرم وام گرفتن و … را down load و یا submit کنند نمونه هایی از اینگونه سیستمها هستند.
امنیت ارتباطات مولفه حیاتی این سیستم هاست.برای مثال اینترنت ذاتا ناامن است زیرا اطلاعات از طریق شبکه های متعدد و بیگانه انتقال می یابند .ریسک های امنیتی حاوی مواردی چون امنیت داده ها ،محرمانه بودن داده ها، جامعیت داده ها ، احراز هویت، عدم انکار و طراحی سیستم دسترسی می باشدبرای برطرف کردن یا کمتر کردن چنین ریسک هایی باید از جدیدترین تکنولوژیها و استانداردها و … استفاده نمود.


سیستمهای اطلاعاتی کاملا عملیاتی Fully transactioned information system

این گونه سیستمها قابلیت های دو سیستم قبلی بهمراه پرسو جو ها از حساب ، انتقال پول میان حسابها ،پرداخت پول و دیگر سرویسهای بانکی را ارائه می دهند. این قابلیتها از طریق محاوره کاربر از طریق کامپیوتر یا هر وسیله دیگر با شبکه بانکی انجام می شود. بنابراین این سیستمها بالاترین درجه قابلیت الکترونیکی را دارند .


سیستم های پرداخت الکترونیکی

سیستمهای پرداخت الکترونیکی مانند سیستم های قدیمی است زیرا هر دو از یک مدل پولی مشترک استفاده می کنند. سیستم های الکترونیکی ابزارهای جدیدی برای روش بانکداری قدیمی و محصولات و سرویسهای مربوط به آنها هستند . هر دو باید قدمهای یکسانی را در چرخه پرداخت میکنند تا به پرداخت انتها برسند : وجه دریافتی ، واریز، توزیع در همه موارد اطمینان در طرفین و محرمانه ماندن پروسه برای درستی و ارائه کار یک سیستم حیاتی است .
این فاکتورها موسسات بانکی را در راس سیستم های پرداخت قرار داده است . علاوه بر اطمینان و رازداری کاربران سیستم های پرداخت را با مشخصه های زیر ارزیابی می کنند:
_ امنیت برای کاربر
_ درستی عملیات ، امنیت، عدم انکار کار انجام شده
_ هزینه، کارایی و وابستگی سیستم
_ راحتی و رضایت بازرگان.
سیستم های پرداخت الکترونیکی بر اساس مولفه ها ، متودولوژی پروسس ها و ساختار سیستم در دسته های مختلف و وسیعی طبقه بندی میشوند. ترکیب مشخصه ها در درجه بالایی مقدار ریسک لازم برای سیستم خاص را تامین میکنند.البته ریسک بیشتر بستگی به مدیریت ، پیاده سازی سیستم و کنترلی که توسط طرفین و شرکت کنندگان اعمال می شود دارد.


نقش بانک ها در سیستم های پرداخت الکترونیکی
طرفین در یک سیستم الکترونیکی شامل کاربران، موسسات مالی ،پردازنده ها در نقش شخص ثالث و بانک های مرکزی باپشتیبانی دولت می باشند . اگر چه قابلیت های الکترونیکی چهارچوب سیستم پرداخت را تغییر داده اند ، موسسات مالی در نقشهای مختلفی در کار دخیل هستند، در حالی که موسسات مالی با بسیاری از نقش ها آشنا هستنداما محیط پویا تلاشهای جدید و ریسک های جدیدی را می طلبد.نقش بانک ها در این سیستم ها می تواند در شکلهای زیر باشد:
_ دارنده یا سرمایه گذار
بانکها ممکن است سهم خود یا سهم های مشابه را در سیستم های پرداخت داشته باشند که می تواند بصورت سرمایه گذاری در سهام ، شرکت مستقیمو مبادرت در راس کار و یا عضو شدن در ائتلاف باشد.
_ توسعه دهنده سیستم
توسعه سیستم ممکن است بصورت داخلی یا بصورت توافق میان شرکا انجام شود . در هر مورد امور تو.سعه ریسک های مالی سیستمی ، شهرت و استراتژیکی را وارد می کند.
_ توزیع کننده / بازخرید کننده :
این گونه نقش ها ارزش ذخیره شده را پشتیبانی می کنند که ارزش را توزیع یا باز خرید می کنند . مسولیت ها ممکن است فردی باشد یا اینکه با ظرفیت دو برابر ترکیب شود .
_ پردازنده و ترکیب کننده عملیات
این نقش مثل مقدمات یک کارت اعتباری است در حالی که عملیات توسط سیستم پرداخت تایید می شود قبل از اینکه خاتمه یابد.
_ ذخیره کننده و آرشیو کننده عملیات
اگر چه این نقش کاملا اجرایی بنظر می رسد ولی نقشی برای بازرسی و تایید محاورات طرفین کار را با خود دارد .
_ شخص ثالث مورد اعتماد
یک مو سسه مالی ممکن است در نقش یک تایید کننده تراکنش الکترونیکی باشد .در این حالت موسسه مالی هویت طرفین را برای انجام عملیات بررسی و تایید می کند .
_ دیگر نقش ها
چون اکثر سیستم ها سیستم پرداخت یا برداشت هستند بانکها نیز ممکن است در نقش قدیمی خود ظاهر شوند : فراهم آوردن کارهای پردازشی داده ها مانند کارهای قدیمی بانک یا ذخیره سازی اطلاعات از نقش هایی است که بانک می تواند داشته باشد.


ریسک ها
بدون توجه به سطح پیچیدگی کار ، ریسک هادرهرسرویس الکترونیکی وجود دارد.برای مثال،یک
سایت که فقط اطلاعات دراختیار قرار می دهد،برای مقا صدتبلیغاتی است ممکن است مورد

دسترسی

افراد ناصالح قرار می گیرد.نامه های الکترونیکی مهم ممکن است بصورت اشتباه توزیع شوند . شبکه بانکی ممکن است مورد دستیابی افراد بدخواه قرار کیرد . خرابی های سیستم که ناشی از قطع برق یا دیگر دلایل ممکن است هر زمان رخ دهد.
سیستم های پرداختن الکترونیکی ریسک های بیشتری را با خود دارند. علاوه بر ریسک های جدید ، زیسک های قدیمی نیزمانند آنچه در فعالیتهای بانکی به شکلی مرسوم است دیده می شود .برای نمونه اگر یک بانک عملیات وام دهی یا دریافت پول را مدیریت می کنند که از طریق کانال الکترونیکی است ، ریسکهای اعتبار و برگشت سرمایه وجود دارند.


ریسکهای خاص سیستمهای الکترونیکی

ریسکهای منحصر بفردی که توسط کانالهای الکترونیکی تحمیل میشوند در 6 زمینه اساسی تقسیم می شوندبعضی از ریسکها البته نه همه آنها ، نشان دهنده سرعت وقوع عملیات یا گستردگی دسترسی به کانال یاد برده شده هستند تکیه بر شخص ثالث برای تکنولوژی و عدم قطعیت در قوانین نیز ریسک های منحصر بفردی را با خود دارند. زمینه های ریسک عبارتند از:
_ طرح ریزی و استقرار سیستم جدید
تصمیمات نامناسب در مرحله طراحی، تاثیر هزینه تکنولوژی در تصمیمات،وضعیت کشور در تصمیمات طراحی سیستم ممکن است همه نیازهای مشتری را مورد توجه قرار نداده باشد
_ سیاست ها و روالهای عملیاتی
نادرستی مدیریتی و فنی نسبت به قابلیت های الکترونیکی عدم احراز رازداری در سیستم های کنترلی موجود.
_رسیدگی
نقش بازرسی و رسیدگی ممکن است ناقص باشد.
_قوانین حاکم
عدم قطعیت در قوانین ، مسائل امنیتی کاربران ، عدم قطعیت در پذیرش متن های الکترونیکی و …
_عوامل اجرایی
خرابی نرم افزار یا سخت افزار، نادرستیپایگاه داده ها یا سیستم ، ظرفیت ناکافی سیستم ، امنیت ناتمام در سیستم و …
_ فروشندگان و منابع
تکیه بر صلاحیت فروشنده برای انجام عملیاتهای مهم ، عدم پشتیبانی از سیستم توسط گروه فروشندگان و…


مدیریت ریسک ها

برنامه های مدیریت ریسک ها باید مطابق با نیازهای و مسائل جدید بازنگری و سازگار شوند . مسائل و دیدهای جدید تلاشهای جدیدی برای ساختن سیستم های مدیریتی که نظارت روی فعالیتها داشته باشند را می طلبد . برای مثال فعالیتهای قابل پرس و جو کهکه بصورت الکترونیکی انجام می شود بصورت روشهای گذشته قابل انجام نیست . مدیریت ریسک یک پروسه همیشگی است که ریسک های بالقوه را شناسایی ، اندازه گیری ،نظارت و مدیریت می کند.در مورد ارائه الکترونیکی و سیستم های پرداخت ، پروسه مدیریت ریسک باید شامل همه زمینه های مهم ریسک – عملیاتی, حقوقی ، اعتباری – باشد. متناسب با سطح فعالیت باید به موارد زیر توجه کرد :
_ نظارت عمومی که با طرح ریزی و تحلیل ، روالها و سیستها ، جوابگویی ،چهارچوب قانونی ، منابع انسانی و بازرسی تایید همراه باشد.
_ پردازش عملیاتهای بانکی که در احراز هویت کاربر ، جامعیت اطلاعات ، تباه نشدن عملیات و امنیت داده ها دیده می شود.
_ مدیریت سیستم که با درخواست منابع ، امنیت سیستم ،قابل اعتماد بودن سیستم ، ظرفیت سیستم و کنترل تجهیزات سیستم همراه باشد.
نتایج یک پروسس مدیریت ریسک باید در موارد زیر مجتمع شود:
_ تحلیل امکان سنجی و طرح ریزی استراتژیک
_ نظارت مدیریتی و کنترلهای داخلی
_ روال ها و سیاستهای عملیاتی
_ امنیت سیستم و عملیات های سیستم
_ بازنگری مداوم توسعه های تکنولوژیکی و افزایش توانمندیها


مراجع

[1] Electronic Banking Safety & Soundness , Federal Deposit Insurance Corporation ,2000
[2] WWW.Albassera.net/ (http://www.Albassera.net/)

پایان

m.attar
شنبه 16 شهریور 1387, 12:48 عصر
اطلاعات جالبی در اختیارمان قرار دادی . اما یک سوال برای من پیش آمد
چگونه به سایتی که اجازه خرید اینترنتی به ما میدهد میتوان اعتماد کرد یا بهتر است بگویم چگونه از صحت اطلاعات داده شده در مورد محصول و همچنین در مورد قانونی بودی سایت میتوان اطلاعات کسب کرد.
آیا مرجعی وجود دارد که در آن بتوانیم لیست سایتهای خرید اینترنتی را در آن چک کنیم

لطفا جواب را هم در سایت و هم به milad748@gmail.com بفرستید .

با تشکر
میلاد عطار