09 فروردين 1397 - 10:05
مدیر امنیت شرکت شاپرک خبر داد؛

بروزرسانی الزامات امنیتی شرکت‌های پرداخت در گام پایانی

مدیر امنیت شرکت شاپرک گفت: بازبینی و بروزرسانی الزامات امنیت شاپرک برای شرکت‌های PSP در مرحله نهایی قرار دارد.
کد خبر : ۸۳۶۵۰
بانکداری الکترونیک

افشین لامعی در گفتگو با خبرنگار ایبِنا درباره وضعیت شبکه پرداخت ایران در مقایسه با استانداردهای بین‌المللی اظهارداشت: در شبکه پرداخت کشور شرکت شاپرک از سال ۹۲ الزامات امنیتی شرکت‌های پرداخت را تدوین و ابلاغ کرده و از همان زمان بازرسی و ممیزی ادواری براساس این الزامات بومی انجام شده است.


وی افزود: گزارش‌ها و آمار درخصوص انطباق شبکه پرداخت ما با این الزامات رشد بسیار خوبی را طی ۴ سال گذشته نشان می‌دهد. نکته اینجاست که الزامات امنیت شاپرک، با بررسی دقیق استانداردهای بین‌المللی، تجربیات کشورهای مختلف، الزامات و اسناد بالادستی از جمله در بانک مرکزی و مرکز مدیریت راهبردی افتای ریاست جمهوری، تدوین شده است. این الزامات کاملاً در راستای الزامات PCI و در برخی موارد به‌دلیل نیازهای داخلی، سخت‌گیرانه‌تر هستند. لذا شبکه پرداخت کشور به نسبت شاخص‌های بین المللی ‌امنیت در وضعیت خوبی قرار دارد.


مدیر امنیت شرکت شاپرک ادامه داد: در حوزه سخت‌افزار نیز همان الزامات PCI-PTS برای تمام پایانه های فروش و پرداخت موبایلی در نظر گرفته شده که باید شرکت‌ها پیش از به‌ کارگیری این ابزارها تأییدیه شاپرک را اخذ کنند و در بحث پرداخت های موبایلی الزامات خاصی وجود دارد که بعد از تأییدیه سخت‌افزار، توسط شاپرک بررسی می‌شود.


لامعی تصریح کرد: همچنین ما در مرحله نهایی بازبینی و به‌روزرسانی الزامات امنیت شاپرک برای شرکت های PSP هستیم. نسخه فعلی این الزامات در سال ۱۳۹۲ تدوین شده است، لذا با توجه به بازخورد دریافتی از PSP ها در طول سال‌های اخیر و نیز تغییرات انجام‌ شده در استانداردهای بین‌المللی، این به‌روزرسانی انجام گرفته است.


وی درباره شرایط تأییدیه شاپرک برای پرداخت های موبایلی گفت: پرداخت های موبایلی بحث جدیدی است که در آن ما علاوه بر رعایت الزامات PCI-PTS، که صرفاً مربوط به خود سخت‌افزار پرداخت های موبایلی است، الزامات دیگری را تدوین کردیم که کل راهکار به‌صورت واقعی تست امنیتی شود.


لامعی تاکید کرد: درواقع، شرکتی که بخواهد مجوز به‌کارگیری پرداخت های موبایلی را دریافت کند، ابتدا باید تأییدیه سخت‌افزاری خاص راهکار خود را دریافت کند و سپس راهکار کلی خود شامل سخت‌افزار پرداخت موبایل، برنامه کاربردی موبایل، درگاه پرداخت و هم‌بندی کلی این اجزا با یکدیگر را به‌صورت عملیاتی در جلسات ارزیابی شاپرک مورد سنجش و تأیید شاپرک قرار دهد. هدف این است که مطمئن ‌شویم اطلاعات حساس مردم در معرض تهدید قرار ندارد.


وی درباره مطابقت استانداردهای ایران با دنیا نیز افزود: برای انطباق کامل با استانداردهای روز دنیا ما مسیری طولانی پیش رو داریم ولی الزامات شاپرک آمادگی مناسبی را به اجزای اصلی شبکه پرداخت ما داده که مسیر پیش رو را هموارتر کرده است. با این حال، برای اینکه به طور رسمی با استانداردهای دنیا نظیر PCI منطبق شویم فرآیندهای خاصی را باید طی کنیم. به‌طور مثال در استاندارد PCI-PTS کلاً ۸ آزمایشگاه در دنیا وجود دارد که مورد تأیید PCI است و اگر تولید کننده‌ای بخواهد یک پایانه فروش یا ابزارهای مشابه را وارد شبکه پرداخت کند باید گواهینامه رسمی یکی از آن ۸ آزمایشگاه را داشته باشد.


مدیر امنیت شرکت شاپرک خاطرنشان کرد: اگر قرار باشد شبکه ما منطبق با الزامات PCI باشد، باید آزمایش‌های دوره‌ای سخت‌افزاها مبتنی بر PCI-PTS در طول دوره حیات آن سخت افزار در شبکه پرداخت انجام شود، که با توجه به موضوع تحریم‌ها و هزینه این آزمایش‌ها، چالش مهمی است. بحث دیگری که در PCI مطرح است مدیریت آسیب‌پذیری‌های امنیتی و اسکن‌ها و ارزیابی‌های امنیتی در اجزای مختلف شبکه است.


لامعی ادامه داد: طبق استاندارد PCI-DSS شما باید از نرم‌افزارها و اسکنرهایی استفاده کنید که این قابلیت را دارند که برخی الزامات PCI را در حوزه مدیریت آسیب پذیری چک کنند، بنابراین شما مجبورید از نرم‌افزارهای تجاری تأیید شده استفاده کنید که می‌تواند خروجی‌های مدنظر PCI را به شما بدهد. برای دسترسی به اینگونه نرم‌افزارها نیز با چالش‌هایی روبرو هستیم.


وی افزود: علاوه بر اینها، محدوده یا Scope پیاده سازی استانداردهای PCI، در شرکت‌های پرداخت خلاصه نمی‌شود. بلکه هر سازمانی که درگیر پردازش اطلاعات حساب (شامل اطلاعات دارنده کارت و یا اطلاعات تصدیق اصالت کارت) است، در این قلمرو قرار می‌گیرد. بنابر این تولید کنندگان برنامه‌های موبایلی و غیر موبایلی پرداخت، اپراتورهای تلفن همراه و غیره از این جمله هستند که بسته به نحوه مشارکتشان در خدمات پرداخت، ممکن است در قلمرو الزامات امنیت پرداخت قرار گیرند.  


مدیر امنیت شرکت شاپرک تاکید کرد: برای انطباق کامل شبکه پرداخت ما و اجزای مرتبط با آن با استانداردهای بین‌المللی و اتصال آن به شبکه‌های جهانی اقدامات دیگری نیز باید انجام شود ولی می‌توان گفت مقدمات و آماده‌سازی نسبی آن به خصوص در بدنه اصلی شبکه پرداخت، انجام پذیرفته است.


وی درباره اقدامات شاپرک در بحث امنیت نیز گفت: در بحث امنیت، کاری که در حوزه تدوین و اجرای الزامات امنیت در طول چهار سال گذشته در شاپرک انجام شد، ازحیثِ کیفیت و جامعیت، قطعاً یک نوآوری در صنعت پرداخت کشور و فراتر از آن، در بازار امنیت کشور به حساب می‌آید. همچنین ما در پروژه‌های جاری امنیت شاپرک به این موضوع توجه ویژه‌ای داریم.


لامعی یادآور شد: به‌تازگی SOC یا مرکز عملیات امنیت شبکه پرداخت را افتتاح کردیم که ازنظر مأموریت تعریف شده، معماری و مقیاس پیاده‌سازی، دارای ویژگی‌های نوآورانه است. همچنین  برنامه‌هایی در دست اقدام داریم و قصد داریم با افرادی که در حوزه امنیت پرداخت فعال هستند، تعامل بهتری برقرار کنیم، چه‌بسا همین حالا هم این تعامل وجود دارد و افرادی که در حوزه موضوعات امنیتی فعال هستند، به ما گزارش‌ها یا ایده‌هایی می‌دهند و ما این نکات را در صورت لزوم تا حصول نتیجه پیگیری می‌کنیم، ولی به طور قطع با برنامه های دردست‌اقدام، این تعامل اثربخش‌تر خواهد شد.


ارسال‌ نظر
فیلم و پخش زنده
بیشتر