عناصر اصـلی یـک فرآینـد مـوثر ایمنـی در بانکداری الکترونیک عبارتند از :
– مشخص کردن مسئولیت روشن بـرای مدیریت وپرسنل در نظارت برتعیین و حفظ سیاستهای امنیتی شرکت
-برقراری کنترل های فیزیکی کافی به منظــور اجتنــاب از دسترســی غیرمجــاز بــه محیط کامپیوتری
– در نظرگرفتن کنترلهای منطقی کافی بــه منظــور اجتنــاب از دسترســی غیرمجــاز داخلی و خارجی به کاربری ها و پایگاههای اطلاعات بانکداری الکترونیک
– بررسی منظم و آزمایش کنتـرلهـای ایمنی ازجمله ردگیری مـداوم پیـشرفتهای ایمنــی ایــن صــنعت و ارتقــاء ســطح نــرم افزارهای مناسب ، بسته های ارائه خـدمات و نیز سایر تدابیر لازم .
– ضــمیمه یــک دربرگیرنــده شــماری تدابیر مناسب اضافی به منظـور اطمینـان از امنیت بانکداری الکترونیک است .
آیا میخواهید برنامه تحت وب یا سایت خویش را امن کنید و کدهای سایت PHP را خود آنالیز و تجزیه و تحلیل کنید و سایت خویش را توسعه و برنامه نویسی و در کل طراحی سایت را میخواهید یاد بگیرید ؟ راه حل خرید بسته آموزش کاربردی طراحی سایت اختصاصی mortezasaheb.ir می باشد.
درگاه پرداخت ePayBank.ir امن ترین درگاه بانکی کشور در زمینه ارایه درگاه بانکداری الکترونیک
آیا میخواهید فروش محصولات خودتان را افزایش دهید؟ راه حل، درج آگهی در MyCityAd.ir هست.
اصل ٣ ـ هیأت مـدیره و مـدیریت ارشد باید یک فرآیند نظارتی و پشت کار منظم و مداوم برای مدیریت روابط با منابع بیرونی بانک و یا سایر وابستگی ها به اشخاص ثالث که بانکداری الکترونیک را پشتیبانی میکنند ، داشته باشند . اتکــا روبــه افــزون بــه شــرکا و ارائــه دهندگان ثالث خدمات برای انجام کارهـای حیاتی بانکداری الکترونیک کنترل مـستقیم مدیریت بانک را کاهش می دهد . از همین رو اتخاذ فرآیند جـامعی بـرای مدیریت ریسک های مرتبط با منابع بیرونی و ســایر وابــستگی هــا بــه اشــخاص ثالــث ضرورت دارد . این فرآیند باید فعالیـت هـای طرفهـای ثالث از جمله شرکا و ارائه دهندگان بیرونی خــدمات و حتــی پیمانکــاران فرعــی را کــه ممکـــن اســـت تأثیرمـــادی روی بانـــک داشته باشد ، در بربگیرد . از لحاظ تاریخی ، منـابع بیرونـی اکثـراً محدود به یک ارائه دهنـده واحـد خـدمات برای یک کار معین میشود ولی در سالهای اخیر روابط منـابع بیرونـی بانکهـا از لحـاظ مقیــاس و پیچیــدگی بخــاطر پیــشرفتهای تکنولــوژی اطلاعــات و ظهــور بانکــداری الکترونیک ، زیاد شده است . به این پیچیدگی باید این حقیقت را نیز افــزود کــه ارائــه دهنــدگان منــابع بیرونــی خدمات بانکداری الکترونیک ، ممکـن اسـت به صورت پیمانکاری انجام برخی از کارها را به پیمانکاران فرعی دیگری واگذار کننـد یـا اینکه این فعالیت ها در یک کشور خـارجی انجام شود . عــلاوه بــرآن کــاربری هــا و خــدمات بانکداری الکترونیـک از لحـاظ تکنولوژیـک بسیارپیشرفته، به لحاظ اهمیت استراتژیک، رشد کرده است .
برخــی زمینــه هــای ثابــت بانکــداری الکترونیــک بــه شــمار انــدکی فروشــندگان متخــصص بــه عنــوان اشــخاص و ارائــه دهندگان ثالث خدمات، متکی است . ایــن پیــشرفتها تمرکــز بیــشتری روی ریسک هایی به وجود مـی آورد کـه هـم از نقطــه نظــر یــک صــنعت و هــم بــه لحــاظ سیستمیک ، باعث جلب توجه می شود . همه این فاکتورها نیاز به یـک ارزیـابی جامع و مداوم را از روابط با منابع بیرونـی و سایر نقاط اتکاء، از جمله آنهائیکه مرتبط بـا معضلات وضعیت ریسک بانک هستند و نیز توانائیهـــای نظـــارتی مـــدیریت ریـــسک ، مطرح میکند .
نظارت هیأت مدیره و مدیریت ارشد بـرروابط با منابع بیرونـی و اشـخاص ثالـث بـهطور خاص باید روی اطمینان از مـوارد زیـر باشد :
– مطالعــه و پیگیــری مناســبی بــرایبررســی توانمنــدی و قــدرت زیــست مــالیهرگونه ارائه کننده ثالث خدمات یا شـریکقبل از آنکه وارد مرحله عقـد قـرارداد بـرایارائه خـدمات بانکـداری الکترونیـک شـود ، انجام گیرد .
– در قرار داد ، قابلیت حـسابدهی همـهطرفهای منابع بیرونی یا شراکتی بایستی بهروشنی تعریف شود. بـه عنـوان مثـال بایـدتعریف روشنی از مسئولیت های مربـوط بـهارائـــه اطلاعـــات و دریافـــت اطلاعـــات ازارائه کننده خدمات به عمل آید .
– تمـام سیــستم هـای عمــل بانکــداریالکترونیـک مــرتبط بـا منــابع بیرونـی تــابعمدیریت ریسک و سیاستهای امنیتـی و نیـزحفـــظ حـــریم خـــصوصی افـــراد ، طبـــقاستانداردهای خود بانک هستند .
– بایــستی از عملیــات منــابع بیرونــی ،حسابرسی های مقطعی داخلی یـا خـارجی انجام گیرد . این حسابرسی دست کـم بایـددر همــان محــدوده و انــدازه ای باشــد کــه گــویی انجــام عملیــات توســط خــود بانــک صورت میگرفت .
– طرحهای مناسب برای هر نوع حادثـه محتمل الوقوع برای فعالیت هـای بانکـداری الکترونیـک مــرتبط بــا منــابع بیرونــی بایــد وجود داشته باشد .
ضمیمه ٢ شماری از رویه های مناسب دیگر برای مدیریت سیستم هـای بانکـداری الکترونیــک مــرتبط بــا منــابع بیرونــی ووابــستگی بــه اشــخاص ثالــث را فهرســت میکند.
ب ـ کنترل های ایمنی ( اصول ۴ تا ١٠)
درحالیکه هیأت مدیره مسئولیت دارد تا اطمینان حاصل کند که فرآیندهای کنتـرل ایمنی مناسـب بـرای بانکـداری الکترونیـک وجود دارد ، ماهیت این فرآیندها بـه توجـه مدیریتی ویژه ای نیاز دارد ، زیرا چالشهای ایمنــــی پیــــشرفته ای را در بانکــــداری الکترونیک به وجود میآورند . مسایل زیر به ویژه در این زمینـه حـائز اهمیت هستند :
* احراز
* عدم پذیرش
* یکپارچگی داده ها و معاملات
* جداسازی وظایف
* کنترل های مجوز
* نگهداری سرنخ حسابرسی
محرمانه نگه داشتن اطلاعات کلیدی بانک
اصل ۴ـ بانک ها باید تدابیر مناسب را به منظور احراز هویت و تأئید مشتریهایی که با آنها در اینترنت کـار مـی کننـد ، اتخاذکنند .
دربانکداری ضروری است که درخواست یک ارتباط یا دسترسی به معاملات از لحاظ قانونی بودن تأئید شود . بنابراین بانکها باید شـیوه هــای قابــل اطمینـانی را بــرای تأئیــد هویت و مجوز دهی به مشتریان جدید و نیز تصدیق هویت و تأئید مـشتریان قبلـی کـه قصد شروع عملیـات الکترونیـک را دارنـد ،مورد استفاده قراردهند .
احراز هویت مشتریان هنگام ریشه یابی حساب در کاهش ریسک سرقت هویت و به کارگیری حساب جعلی و پول شـویی مهـم است .
کوتاهی بانک به لحاظ عدم توجه کـافی به احراز هویت مشتریان منجـر بـه آن مـی شــود تــا اشــخاص غیرمجــاز بــه حــسابهای بانکهـای الکترونیـک دسترسـی پیـدا کننـد وبــدین ترتیــب خــسارت مــالی و تخریــب شهرت بانک را به وجود آورد . البته این امـر می تواند از طریق تقلب و افـشای اطلاعـات محرمانــه یــا ســهواً درقالــب یــک فعالیــت مجرمانه صورت گرفته باشد .
احــراز هویــت و صــدور مجــوز بــرای دسترسی به سیـستم هـای بـانکی در یـک محیط شبکه ای کاملاً باز و الکترونیک کـار مشکلی است .
اعطای مجوز قانونی به کاربر می تواند از طریق تکنیک های گوناگونی کـه اصـطلاحاً ” SPOOFING “ نام دارد ، تحریـف شود .
نفــوذگران نیــز مــی تواننــد از طریــق استفاده از دسـتگاههای ”SNIFFER “ روی ارتباط های قـانونی تـأثیر گذاشـته تـا فعالیت های مجرمانه یا موذیانه انجام دهند .
فرآیندهای کنترل احراز هویت علاوه بر این مـی تواننـد از طریـق ایجـاد تغییـر در پایگاههای اطلاعـاتی احـراز هویـت ، دچـار آسیب شوند.
بنابراین حیاتی اسـت کـه بانکهـا بـرای شناسایی مناسب و اطمینان از اینکـه احـراز هویت و مجوزها به هرفرد ، عامل یا سیستم به درستی و از طریق به کارگیری روشـهای منحصر بفردی صورت میگیـرد کـه عملـی هستند و سیستم ها یا افراد غیرمجـاز را در برنمــــــــــــــــی گیرنــــــــــــــــد، سیاستها و رویه های رسمی اتخاذ کنند. بانکها می تواننـد روشـهای متفـاوتی را از جمله PIN ( شماره شناسایی شخصی )، رمزواژه ، کارتهای هوشمند ، سیـستم هـای زیست سـنجی (BIOMETRICS) و گواهینامه های دیجیتال ، برای احراز هویت، در نظر بگیرند .
این روش ها می تواننـد یـا یـک عامـل مجرد و یا چند عامل باشند ( هم استفاده از رمزواژه وهم تکنولوژی زیست سنجی بـرای احراز هویت ). در کــــل اســــتفاده از روش احــــراز چنــدعاملی ، اطمینــان قــویتری بــه وجــود میآورد .
بانک باید تعیین کند کدام روش احـراز را برپایه ارزیابی مدیریت از خطـری کـه در کل یا بوسیله عناصـر فرعـی متوجـه نظـام بانکداری الکترونیک اسـت ، مـورد اسـتفاده قرار دهد .
تحلیل خطر بایـد توانائیهـای عملیـاتی نظام بانکداری الکترونیک را ( ازقبیل انتقال وجه ، پرداخت صورت حساب ، ریشه یـابی وام ، تجمــع حــساب و غیــره ) از لحــاظ حساسیت و ارزش اطلاعـات ذخیـره شـده، همراه با راحتی مشتریان و استفاده از روش احراز هویت ، مورد ارزیابی قرار دهد . فرآینــدهای قــوی احــراز و شناســایی مــشتری ، بــه ویــژه در مــورد بانکــداری الکترونیــک فرامــرزی اهمیــت دارد و ایــن اهمیت ناشی از مشکلات اضـافی اسـت کـه میتواند هنگام انجام تجارت الکترونیـک بـا مشتریان فرامرزی رخ دهد ، ضمن آنکـه در این زمینه ، خطر بیشتر تجسم سازی هویت و مــشکل بیــشتر در انجــام بررســی هــای اعتبــاری مــوثر روی مــشتریان بــالقوه هــم اهمیت دارد .
توصـیه مــی شــود بــه همــان نحــو کــه شیوه های احراز هویت تکامل پیدا میکنند
بانکها نیر به بررسی و اتخاذ رویه درست صنعتی در این زمینه بپردازند تا مطمئن شوندکه:
پایگاههای اطلاعات مربوط بـه احـراز هویت که به حسابهای مـشتری بانکـداری الکترونیک دسترسـی پیـدا مـی کننـد یـا سیــــستم هــــای حــــساس، از لحــــاظ آسیب پذیری و فساد محافظت می شوند.
هرگونه آسیب پذیری در ایـن زمینـه، بایــد قابــل کــشف باشــد و ســرنخ هــای حسابرسی بایـستی بـه عنـوان مـستندات چنین تلاشهایی وجود داشته باشند .
هرگونه اضـافه ، حـذف یـا تغییـر در پایگاه اطلاعات احراز هویت فرد ، عامل یـا سیستم بایـستی کـاملاً بـا مجـوز مراجـع صلاحیت دار باشد .
باید تدابیر لازم به منظور کنترل روابـط در سیــستم بانکــداری الکترونیــک وجــود داشته باشد . این کنترل باید بـه گونـه ای باشد تا اشخاص ثالـث ناشـناخته نتواننـد مشتریان شناخته شده را جابجا کنند .
نشست های مربوط به احراز هویـت بانکــداری الکترونیــک بایــستی در تمــام مـدت برگــزاری جلـسه کــاملاً محرمانــه باشد . در صورت وقوع هـر گونـه رخنـه امنیتی ، نشـستهـا بایـد احـراز هویـت مجدد کنند .
اصل ۵ ــ بانکها باید روش هایی را برای احراز هویت معاملات مورد استفاده قرار دهند کـه باعـث ارتقـاء پـذیرش ( NON- REPUDIATION) می شود و قابلیــت حــسابرسی بــرای معــاملات بانکداری الکترونیک به وجود میآورد . پذیرش در برگیرنده اثبات بیشتر منـشأ یا تحویل اطلاعـات الکترونیـک بـه منظـور حفاظت ارسال کننده در برابر تکذیب کاذب گیرنده اطلاعات برای دریافت آن اطلاعـات است یا برای حفاظـت از گیرنـده در برابـر تکذیب دروغین ارسال کننـده ، مبنـی بر آن است که اطلاعات ارسال شده است . ریسک مربوط به عدم پذیرش معـاملات هم اکنون به عنوان یک معضل در معاملات متعــارف از قبیــل کارتهــای اعتبــاری یــامعاملات اوراق بهادار مطرح است .
هرچنــد بانکــداری الکترونیــک، ایــن ریسک را بـه واسـطه مـشکلات مربـوط بـه احراز مثبت هویت ها و صلاحیت طرفهـایی که عملیات را شـروع مـی کنننـد ، عوامـل بــالقوه ای کــه ســعی در تغییــر یــا ربــایش معاملات الکترونیـک دارنـد و نیـز کـاربران بالقوه بانکداری الکترونیک که ادعا میکنند، عملیات به شیوه تقلـب آمیـزی تغییـر داده شده است ، افزایش میدهد .
– به منظور غلبـه بـر ایـن نگرانیهـای افزایشیافته ، بانکها نیاز دارند تـا تلاشـهای معقولی را متناسب با مادیت و نوع معاملات بانکداری الکترونیک به منظـور اطمینـان از موارد زیر به عمل آورند :
– سیــستم بانکــداری الکترونیــک بــه گونهای طراحی شـود تـا هرگونـه احتمـالی مبنــی بــر آنکــه کــاربران مجــاز معــاملان ناخواستهای را شـروع کننـد ، کـاهش و یـا اینکــه مــشتریان را کــاملاً متوجــه خطــرات مرتبط با هرگونه عملیـاتی کنیـد کـه آنهـا انجام میدهند .
– تمــامی طرحهــای مــرتبط بــا ایــن عملیات باید از لحـاظ مثبـت بـودن، احـراز هویــت شــوند و کنتــرل روی کانــال احــراز هویت شده به عمل آید.
– اطلاعــات عملیــات مــالی از لحــاظ تغییــر محافظــت و هرگونــه تغییــری قابــل کشف باشد . بانکهــا تکنیــک هــای گونــاگونی را بــه کــار مـیگیرنــد تــا بــه ایجــاد پــذیرش کمــک و اطمینان به وجود آورد که محرمانه بـودن و یکپارچگی عملیات بانکداری الکترونیـک بـا استفاده از گواهینامه های دیجیتالی در زیـر ساختهای کلیدی عمومی صورت می گیرد . بانک ممکن است گواهینامـه دیجیتـالی برای یک مشتری یا طرف مقابل بـه منظـور شناسایی و احراز هویت منحـصر بفـرد آنهـا صادر کند وبه این وسیله باعث کاهش عـدم پذیرش عملیات شود . گرچه در برخی کشورها حقوق مشتری برای رد یک ادعا در مورد معاملات ، تحـت چارچوب قانونی خاصی قرار می گیـرد ولـی قوانینی در محاکم ملی معین تصویب شـده تا امـضاءهای دیجیتـالی از لحـاظ قـانونی ، لازم الاجرا شوند .
احتمــال مــی رود ، پــذیرش قــانونی گسترده تر این تکنیک ها در سـطح جهـان با تکامل تکنولوژی روبه افزایش رود .
اصل ۶ ـ بانکها باید اطمینـان حاصـل کنند که تـدابیر مناسـب بـرای ارتقـاء جداسازی کافی وظایف نظامهای بانکداری الکترونیک ، پایگاههای داده ها و کاربری ها وجود دارد .
جــدا ســازی وظــایف یــک تــدبیر پایــه کنترل داخلی است کـه بـه منظـور کـاهش ریسک تقلـب در سیـستمهـا و فرآینـدهای عملیــاتی و اطمینــان نـــسبت بــه آنکـــه داراییهای شرکت و معـاملات بـه درسـتی مجــوز داده ، ثبــت و حفاظــت مــیشــوند ، طراحی شده است .
جداسازی وظایف ، امـری حیـاتی بـرای اطمینان از صحت و یکپارچگی داده هاسـت و به منظور جلوگیری از اعمال جعل و تقلب بوسیله یک شخص صورت میگیرد .
چنانچــه وظــایف بــه انــدازه کــافی از یکدیگر تفکیک شده باشند ، ارتکـاب جعـل فقط از طریق تبانی امکان پذیر خواهد بود . خدمات بانکـداری الکترونیـک نیـاز بـه بهینــه ســازی راههــایی دارد کــه درآنهــا جداسازی وظایف انجام و حفظ شده باشـد ، زیرا عملیات در سیستم های الکترونیـک در جــایی صــورت مــی گیــرد کــه هویــت هــا میتوانند نقابدار و جعل شوند .
علاوه بر این ، در کاربری های بانکداری الکترونیک،کارهــای عملیــاتی ومعــاملاتی در بسیاری اوقات،بیشترفشرده و یکپارچه میشوند ازهمین رو کنترل هاییکه درشیوه سنتی برای جداسازی وظـایف بـه کـارمیرود، بـه منظور اطمینان از اعمال سـطح مناسـبی از کنترل ، باید مورد بررسی مجدد قرارگیرد . از آنجــا کــه دسترســی بــه پایگاههــای دادههایی که از لحاظ امنیتی ضعیف باشـند به راحتی از طریق شـبکه هـای داخلـی یـا خــارجی امکــان پــذیر اســت ، از همــین رو روش های مجـوز دهـی و شناسـایی بـسیار دقیق ، ایمن و بـی عیبـی همـراه بـا حفـظ سرنخ های حسابرسی باید مورد تأکیدباشد. رویه های متداول بـرای انجـام و حفـظ جداســازی وظــایف در محــیط بانکــداری الکترونیک شامل موارد زیر است :
طراحی فرآیندهای عملیات ، معاملات و سیستم هـا بایـد بـه گونـه ای باشـد تـا اطمینان حاصل شود که هـیچ کارمنـد یـا ارائـه دهنــده بیرونــی خــدمات نتوانــد بــه تنهایی داخل شود ، کـسب مجـوز کنـد و یک معامله را به انجام برساند .
جداسازی باید برای داده هایی شـروع شــود کــه اســتاتیک باشــند . (ازجملــه محتـــوای صـــفحهWEB) و آنهائیکـــه مسئولیت تأئید یکپارچگی را دارند.
سیستم های بانکداری الکترونیک باید از لحاظ آنکه وظایف جداسازی نمـیتوانـد میــان بــر (BYPASS) شــود ، مــورد آزمایش قرار گیرند .
جداسازی وظایف باید ، هم برای آنهایی که سیستم هـای بانکـداری الکترونیـک را اعمال و هم آنهایی که این سیـستم هـا را مدیریت می کنند، برقرارشود.
اصل ٧ ـ بانکها باید اطمینان پیداکنند که کنترل های مناسـب مجـوز دهـی و امتیازات دسترسـی بـرای سیـستم هـا ، پایگاههای داده ها و کاربریهای بانکداری الکترونیک وجود دارند .
بــه منظــور انجــام وظــایف جداســازی ، بانکها احتیاج به آن دارند تـا دسترسـی بـه مجوز دهی را کاملاً و به طور دقیق کنترل کنند. عدم اعمال کنترل های کافی مجوزدهی میتواند شـرایطی فـراهم آورد تـا افـراد بـه تغییر مجـوز خـود بپردازنـد و بـا نفـوذ بـه فرآیند جداسازی سیستم ها،به پایگاهدادهها و کاربریهــایی کــه مجــوز آنهــا را ندارنــد ، دسترسی پیدا کنند .
در سیستمهـای بانکـداری الکترونیـک ، حقوق دسترسی و مجوز دهی می توانـد یـا به صورت تمرکز یافته ویا به روش تـوزیعی دردرون پایگاه دادههای بانک ذخیره شـود ، از همــین رو حفاظــت از ایــن پایگاههــا بــه لحاظ رخنـه یـا فـساد در راسـتای کنتـرل دقیق مجوز دهی ضروری است .
ضمیمه ٣ ، شماری رویه هـای مناسـب را به منظور کمک به اعمال کنترل مناسـب روی مجــوز دهــی و حقــوق دسترســی بــه سیــستم هــا و نیزکــاربری هــای بانکــداری الکترونیک ، مشخص می کند.
اصل ٨‐بانک ها باید اطمینان پیداکنند کــه تــدابیر مناســب بــرای حفاظــت از یکپارچگی داده ها در معاملات، سوابق و اطلاعات بانکداری الکترونیک وجود دارد. یکپارچکی اطلاعات به ایـن امـر اطـلاقمیشود که اطلاعات در حـال عبـور یـا بـه صــورت ذخیــره، بــدون مجــوز تغییــری پیدانکند.
عدم حفظ یکپارچگی اطلاعات معاملات و ســوابق مــی توانــد بانــک را در معــرض خسارت های مالی و نیز ریسک هـای قابـل توجه حقوقی و شهرتی قرار دهد.
ماهیت اینترنت از لحاظ فرآیندهایی که در بانکــداری الکترونیــک مــستقیماً عمــل میکنند به گونه ای است که برنامـه ریـزی برای تـشخیص اشـتباهات یـا فعالیـتهـای اخلال گرانـه را از لحـاظ کـشف در مراحـل اولیه کار مشکل میکند. بنــابراین مهــم اســت کــه بانــک هــا فرآیندهای مستقیم را به گونه ای به مرحله اجرا بگذارند که از یکپارچگی و بـی عیـب و نقص بودن داده ها، اطمینان حاصل شود. چــون بانکــداری الکترونیــک از طریــق شبکه های عمومی انتقال پیدا مـی کنـد، از همـــین رو عملیـــات در معـــرض تهدیـــد مضاعفی از فساد اطلاعـاتی ، سـوء اسـتفاده ونیز ایجاد اختلال در سوابق قرار میگیرد. بنابراین بانک ها بایـد اطمینـان حاصـل کنند که تدابیر کافی به منظور اطمینـان از درســتی کــار آنهــا ، کامــل بــودن قابلیــت اطمینــان عملیــات بانکــداری الکترونیــک ، سوابق و اطلاعات، در نظر گرفته شده است. در مورد اطلاعات ، این حصول اطمینان باید نسبت به اطلاعاتی باشد که خـواه روی اینترنت ارسال شده است، خواه در پایگاه داده های داخل بانک وجـود دارد ویا ازسـوی یک ارائه کننـده ثالـث خـدمات بـه نماینـدگی ازسوی بانک مخابره یا ذخیره شده است.
رویه های معمول مـورد اسـتفاده بـرای حفـــظ یکپـــارچگی اطلاعـــات در محـــیط بانکداری الکترونیک ، شامل مواردزیرهستند:
– معاملات بانکداری الکترونیک باید به گونهای انجام شوند که کاملاً آنهـا را در برابر آسیب پذیری در سراسر و کل فرآیند ، مقاوم کند.
– سوابق بانکداری الکترونیک باید به گونهای ذخیره و قابلیت دسترسی به آنهـا ایجاد و بهینـه شـود کـه آنهـا را در برابـر آسیبپذیری کاملاً مقاوم کند .
– عملیــات بانکــداری الکترونیــک و فرآیندهای کنترل سوابق باید به گونـه ای طراحی شوند کـه آنهـا را از لحـاظ ایجـاد مانع بر سر راه کشف تغییرات غیر مجـاز ، غیر ممکن کند.
– تغییر کافی در سیاست های کنترل از جمله روش های بررسی و آزمـایش بایـد در محــل وجــود داشــته باشــد تــا بتوانــد بانکداری الکترونیـک را در برابـر هـر گونـه تغییرات که ممکن است به اشـتباه یـا غیـر عمد در کنترلها یا قابلیت اطمینان داده ها رخ دهد، محافظت کند.
– هر گونه رخنه در سوابق بانکداری الکترونیــک بایــد بوســیله فرآینــدهای عملیاتی،رسیدگی وحفظ سوابق،کشف شود.
اصل ٩‐ بانک ها بایـداطمینان پیـدا کنند که سرنخ های حـسابرسی شـفاف برای همه عملیات بانکداری الکترونیک ، وجوددارد.
در ارائه خدمات مالی روی اینترنت برای بانک ها مشکل است تا کنترلهـای داخلـی را اعمال و سرنخ های حسابرسی روشـنی را حفظ کنند، چنانچه ایـن تـدابیر بـا محـیط بانکداری الکترونیک تطبیق داده نشود. بانک ها نه تنها برای اطمینان از کنترل مؤثر داخلی در محیط های کـاملاً خودکـار با چالش مواجه هستند، بلکه این کنترل ها مــی توانــد بــه ویــژه بــرای تمــام وقــایع و کاربریهــای حیــاتی بانکــداری الکترونیــک ، حسابرسی شوند. محیط کنترل داخلـی بـرای یـک بانـک چنانچه نتواند سرنخ های حسابرسی روشنی را برای فعالیـتهـای بانکـداری الکترونیـک حفظ کند، ممکن است ضعیف شود. این امر از آن روست که بیـشتر اگـر نـه همه، سوابق و شواهد مربوط به پشتیبانی از معاملات بانکـداری الکترونیـک بـه صـورت الکترونیک هستند.
در تصمیمگیری روی این نکتـه کـه تـا کجــا ایــن ســرنخ هــای حــسابرسی رابایــد حفظ کرد ، انواع معاملات زیر در بانکـداری الکترونیک ، باید ملاحظه شوند:
* گــشایش ، بهبــود و مــسدود کــردن حساب مشتری
* هر گونه معاملـه ای کـه نتـایج مـالی داشته باشد.
* هــر گونــه اعطــای مجــوزی کــه بــهمشتری اجازه می دهد تا از محدوده خاصی بالاتر رود.
* هر گونه اعطای مجوز ، بهبود یـا لغـو حقوق و امتیازات دسترسی به سیستم ها
ضمیمه ۴‐چند رویـه مناسـب را بـرای کمــک بــه اطمینــان از اینکــه ســرنخ هــای حسابرسی روشنی برای عملیـات بانکـداری الکترونیــــک وجــــود داشــــته باشــــند، مشخص میکند.
اصل ١٠‐ بانک ها باید تدابیر مناسب را بــه منظــور حفــظ محرمانــه بــودن اطلاعات کلیدی بانکداری الکترونیک اتخاذ کنند.این تدابیر باید با حساسیت اطلاعاتی که مخابره یا در پایگـاه هـای اطلاعـات ذخیره می شود، متناسب باشد.
محرمانه بودن به منظور اطمینان از این نکته است که اطلاعات کلیـدی فقـط بـرای بانک نگهداری می شوند و قابل ملاحظه یـا استفاده توسط مراجع غیر مجاز نیست. ســوء اســتفاده یــا افــشای غیــر مجــاز اطلاعـات، بانـک را در معـرض هـم ریـسک حقوقی وهم ریسک شهرتی قرار میدهد. ظهور بانکداری الکترونیـک ، چالـشهای امنیتی اضافی را بـرای بانـک هـا بـه میـان میآورد، زیرا این بحث را تقویت میکند که اطلاعات مخابره شده روی شـبکه عمـومی یا ذخیره شـده در پایگـاه اطلاعـات ممکـن اســت بوســیله اشــخاص غیرمجــاز قابــل دسترسی باشد ، یـا اینکـه بـه طریقـی کـه مشتری در ارائه اطلاعات قـصد نداشـت تـا همه بدانند، مورد استفاده قرار گیرد. عـــلاوه بـــر آن ، اســـتفاده روزافـــزون ارائه کنندگان خدمات ممکن است اطلاعات کلیـــدی بـــانکی را در دســـترس دیگـــران قراردهد.
برای رفع چالش های مربوط بـه حفـظمحرمانه بودن اطلاعات کلیـدی ، بانـک هـا نیاز به آن دارند تا اطمینان حاصل کنندکه:
تمــام اطلاعــات و ســوابق محرمانــه فقط توسط افراد، عوامل یا سیستم هایی که صــلاحیت و مجــوز لازم را دارنــد، قابــل دستیابی است.
تمام اطلاعات محرمانه بانکی در وضع ایمنی نگهداری و دربرابر رویت غیر مجـاز یا دستکاری هنگام ارسال در شـبکه هـای عمــومی، خــصوصی یــا داخلــی، حفاظــت میشوند.
استاندارد و کنترل های بانک ها برای استفاده از اطلاعـات و حفاظـت ، بایـستی هنگامی که اشخاص ثالث امکان دسـتیابی به داده ها از طریق روابط یا منابع بیرونـی را دارند، کاملاً رعایت شود.
تمام دستیابی ها به اطلاعات محرمانه قفل شوند و تـلاش هـای مناسـبی بـرای اطمینان از اینکه قفـل هـای دسـتیابی در برابر رخنه مقاوم هستند ،به عمل آید. شهرتی(اصول ١١تا ١۴) & ج‐مــدیریت ریــسک حقــوقی و حفاظت خـاص مـشتری و مقـررات و قوانین مربوط به حریم آنها در یـک مرجـع قضایی با مرجع قضایی دیگر فرق می کند. با این حال بانک هـا در کـل مـسئولیت روشــنی دارنــد تــا راحتــی لازم را درمــورد افــشای اطلاعــات ، حفاظــت از اطلاعــات خصوصی مشتری و ارائه اطلاعات بازرگانی ، برای مشتریان خود فراهم آورند.
این راحتـی بایـد متناسـب بـا سـطحی باشد که آنهـا مـی داشـتند، چنانچـه داد و ستد معاملاتی آنها از طریق کانالهای توزیـع بانکی سنتی انجام می شد.
اصل ١١‐ بانک ها باید اطمینان حاصل کنند که اطلاعات کافی در وب سایت آنها وجود دارد تا به مشریان بـالقوه اجـازه دهد تایک نتیجه گیری آگاهانه درباره وضعیت شناسایی ومقررات بانک قبل از آنکه وارد مراحل بانکـداری الکترونیـک شوند، بدست آورند.
به منظور کاهش ریسک هـای قـانونی و شهرت مـرتبط بـا فعالیـت هـای بانکـداری الکترونیک که هم در داخـل و هـم در ورای مرزهــا صــورت مــی گیــرد، بانــک هــا بایــد اطمینان حاصل کنند که اطلاعات کافی در وب سایت آنها وجود دارد تـا بـه مـشتریان اجازه دهد قبـل از وارد شـدن بـه عملیـات بانکــداری الکترونیــک بــه نتیجــه گیــری آگاهانه تر برسند.
مثالهایی از ایـن اطلاعـات کـه در کـل، وضعیت شناسایی و هویت بانک را در بر می گیرد ، از این قرار است:
نــام بانــک و محــل اداره مرکــزی آن (ادارات محلی در صورتی که نیاز باشد)
شناسه مرجع یا مراجع نظارتی اصـلی بانک, مسئول نظارت در اداره مرکزی بانک
چطور مشتریان مـی تواننـد بـا مرکـز خدمات مـشتری بانـک در مـورد مـشکلات مربوط بـه ارائـه خـدمات، شـکایات و سـوء استفاده های مشکوک از حساب ها و غیـره تماس بگیرند.
چطور مشتریها می تواننـد بـه برنامـه طــــــــرح شــــــــکایت مــــــــشتری (OMBUDSMAN)دسترســی داشــته و آن را مورد استفاده قرار دهند.
چطور مشتریها می توانند به اطلاعات مربوط به درخواست غرامت ملـی ، پوشـش بیمه ودیعه در سطح حفاظتی که آنها تـوان آنرا دارند یا پیوند به وب سـایت هـایی کـه اینگونــه اطلاعــات را در اختیــار آنهــا مــی گذارد، دسترسی داشته باشند.
سایر اطلاعاتی که مناسب است و می تواند مورد نیاز مراجع قضایی باشد.
اصل ١٢‐ بانک ها باید تدابیر مناسب را به منظور اطمینان از تبعیت با نیازهای خصوصی مشتری مرتبط با مراجع قضایی کــه در آن بانــک تولیــدات و خــدمات بانکداری الکترونیک را ارائه مـی دهـد، اتخاذ کنند.
حفــظ اطلاعــات مربــوط بــه حــریم خصوصی مـشتری یـک مـسئولیت کلیـدی برای بانک به شمار می آید. سوء استفاده یـا افشای غیر مجاز اطلاعات محرمانه مشتری، بانک را در معرض ریسک حقوقی و شهرتی قرار می دهد.
برای رفع این چالش ها ، در مورد حفظ حریم خصوصی اطلاعات مشتری ، بانک هـا بایــد تــلاش هــای معقــولی را بــه منظــور اطمینان از اتخاذ تدابیر زیر به عمل آورند:
سیاستهای حـریم خـصوصی مـشتری بانـک و اســتانداردهایی کـه در ایــن زمینــه رعایت میشود باید کـاملاً مطـابق بـا همـه مقررات حفظ حریم و قوانین مربوط بـه آن در مراجع قضایی باشد که در آن تولیدات و خدمات بانکداری الکترونیک ، ارائه میشود.
مــشتریها بایــد در مــورد سیاســتهای مربوط به حفظ اطلاعات خـصوصی بانـک و مسایل مرتبط با آن در استفاده از خدمات و تولیــدات بانکــداری الکترونیــک ، اطــلاع پیداکنند.
مشتریها ممکن است تمـایلی نداشـته باشند تا اجازه دهند که بانک هـا اطلاعـات شخصی مربوط به آنها را در زمینه هـایی از قبیل نیازهای شخـصی ، علایـق ، وضـعیت مالی یا فعالیت بانکی ، به منظـور بازاریـابی متقابل در اختیار شخص ثالث قرار دهند.
اطلاعات مشتری نباید برای مقاصدی ورای آنچه به طـــور مشخـــــص مجاز شمرده شده یا بـرای مقاصـدی ورای آنچـه مــشتری مجــاز مــی دانــد ، مــورد اســتفاده قرارگیرد.
استانداردهای بانـک بـرای اسـتفاده از اطلاعات مـشتری بایـد زمـانی کـه شـخص ثالث به اطلاعات مشتری از طریق روابط بـا منــابع بیرونــی دسترســی پیــدا مــی کنــد، رعایت شود.
ضــمیمه پــنج، چنــد سیاســت کــاری مناسب را به منظور حفـظ حـریم اطلاعـات خصوصی مشتری در بانکداری الکترونیـک ، معرفی می کند.
اصل ١٣‐بانک ها باید ظرفیت مؤثر ، تداوم داد و ستد و برنامه ریزی وضعیت اضطراری داشته باشـند تـا بدینوسـیله بتوانند از عملکرد من اسب سیستم هـا و خدمات بانکـداری الکترونیـک اطمینـان حاصل کنند.
به منظـور حفاظـت بانـک هـا در قبـال ریــسک هــای شــهرت، قــانونی و تجــاری ، خــدمات بانکــداری الکترونیــک بایــد طبــق انتظــارات مــشتری، بــه صــورت مــستمر و به موقع انجام شود.
برای نیل به این هدف ، بانک بایـد ایـن قابلیت را داشته باشد تا خـدمات بانکـداری الکترونیکرابه مصرفکنندگان نهایی ازطریق منابع دست اول(مانندسیستمهاوکاربریهای داخلی خود بانک)یا از طریـق منـابع دسـت دوم (ماننــد سیــستم هــا و کــاربری هــای ارائه دهندگان خدمات)،برساند. در همین حال باید سیستم های یـدک اضــطراری از لحــاظ تعمیــر و نگهــداری، همواره در وضعیت آماده باشند تـا هنگـامی که مشکلی برای سیـستم اصـلی بـه وجـود میآید یا موقعی که بحرانی، اخـلال در کـار را سبب می شود، قطع سیستم رخ ندهد یـا به حداقل کاهش پیدا کند.
چالش های مربوط به حفظ و دسـتیابی مداوم به سیستم ها و کاربریهای بانکداری الکترونیک ، به ویـژه هنگـام تقاضـای زیـاد بــرای اســتفاده از سیــستم در زمــان اوج میتواند قابل ملاحظه باشد.
علاوه بر آن ، انتظارات بالای مشتری در مــورد زمــان کوتــاه پــردازش عملیــات و دسترسی مداوم ٢۴ ساعته و ٧روز در هفته، به نوبه خود اهمیت در نظر گرفتن ظرفیـت کافی، تداوم تجارت و برنامه ریزی اضطراری را افزایش داده است . برای آنکه تداوم ارائه خدمات بانکـداری الکترونیک به مشتریها تـا آن حـد کـه آنهـا انتظاردارند، حفظ شود ، بانکهـا نیـاز بـه آن دارند تا اطمینان حاصل کنند که:
ظرفیت سیستم بانکداری الکترونیـک فعلی و پیش بینی مقدار مورد نیاز بـرای آن در آینده براساس پویایی کلی بـازار تجـارت الکترونیک و نرخ جذب مـشتری ایـن گونـه تولیــــدات و خــــدمات مــــورد تحلیــــل قرارمیگیرد.
تخمــین هــای مربــوط بــه ظرفیــت پردازش معاملات بانکداری الکترونیک بایـد مرتــب انجــام و آزمــایش هــای تــنش بــه عملآید ، ضمن آنکه همه این ها هـر چنـد وقت یکبار دوباره ملاحظه شوند.
تداوم تجارت مناسـب و برنامـه هـای اضـــطراری بـــرای فرآینـــدهای بانکـــداری الکترونیـــک در زمـــان بحرانـــی واینکـــه سیستمهای تحویـل بایـد موجـود باشـند و مرتب آزمایش شوند.
ضمیمه ۶‐چند ظرفیت مطلوب مربـوط به تداوم تجارت و برنامه ریزی اضـطراری را مشخص میکند.
اصل ١۴‐ بانک ها باید برنامه هـای مناسبی را برای پاسخ به حوادث داشـته باشند تا در صورت وقوع رویداد هـای غیرمترقبه ، (به عنوان مثال حملات داخلی و خارجی کـه ممکـن اسـت مـانع ارائـه سیستم ها و خدمات بانکداری الکترونیک شود) بتوانند اثرات آنها را کاهش و بر آنها فائق آیند.
مکــانیزم مــؤثر پاســخ بــه حــوادث در کــاهش ریــسک هــای حقــوقی ، شــهرت و عملیــاتی ناشــی از حــوادث غیــر مترقبــه از قبیــل حمــلات داخلــی و خــارجی کــه ممکن است بر عملکرد سیستم ها و خدمات بانکداری الکترونیک اثر نـامطلوب بگـذارد ،حیاتی هستند.
بانک ها باید نقشه های مناسـبی بـرای پاســـخ بـــه حـــوادث تهیـــه و از جملـــه استراتژیهای ارتباطی مؤثری را تدوین کنند. تدوین این استراتژیها برای اطمینان نـسبت به تداوم تجارت، کنتـرل ریـسک شـهرت و محدود کردن تعهدات مرتبط بـا اخـلال در خدمات بانکداری الکترونیک از جمله زمانی که از سیستم ها و عملیـات منـابع بیرو نـی ریشه میگیرد، انجام میشود. برای اطمینان از پاسخ مؤثر بـه حـوادث پیش بینی نشده ، بانک ها باید بوجودآورند:
نقشه های مربوط به پاسخ به حادثه برای بازگردانیدن خـدمات و سیـستم هـای بانکـداری الکترونیـک تحـت ســناریوها ، در نقـاط جغرافیــایی و وضـعیت هــای تجــاری گونــاگون –تجزیــه و تحلیــل ســناریو بایــد احتمال ریسکی را که اتفاق میافتدوتأثیرآن بربانک را هم شامل شود.سیستمهای بانکـداری الکترونیک که به منابع بیرونی وارائه دهندگان ثالث خدمات مربوط میشوند، جزء لاینفـک این برنامه ها به شمار می روند.
مکانیزم هـای شناسـایی حادثـه یـا بحران به محض آنکـه روی بدهـد ،ارزیـابی چند و چون آنهـا . کنتـرل ریـسک شـهرت ناشی از اخلال در ارائه خدمات.
این یـک اسـتراتژی ارتبـاطی بایـد به اندازه کافی بازار بیرونی و نگرانی رسانهها را مد نظر داشته باشـد. نگرانـی کـه ممکـن اســت ناشــی از رخنــه امنیتــی و حمــلات مــستقیم یــا از کــار افتــادن سیــستم هــای بانکداری الکترونیک باشد.
یک فرآیند روشن برای خبر کـردن ســریع مراجــع قــانون گــذاری مربــوط در صــورت وقــوع رخنــه امنیتــی یــا رخ دادن حوادث منجر به اخلال در سیستم ها.
تیم های پاسخ به حادثه با قدرت و اختیار آنکه در شرایط اضطراری عمل کننـد و به اندازه کافی در زمینه تجزیـه و تحلیـل سیستم های پاسخ کـشف و اهمیـت بـازده مربوطه ، آموزش دیده باشند .
یک زنجیره روشن از فرماندهی کـه هم عملیات مربوط به منابع بیرونـی و هـم منابع درونی راکنترل می کند. ایـن کنتـرل به منظور اطمینان از این امر انجام میشودکه اقدام فوری متناسب با اهمیت حادثه به عمل آید. علاوه بر آن ، روش های ارتباطی داخلی مناسبی باید به این منظور طراحی کرد کـه از جمله در صورت لزوم آگاه کـردن هیـأت مدیره را در برمی گیرد.
فرآیندهایی که اطمینان مـیدهـد، تمــام طرفهــای خــارجی مربــوط، از جملــه مشتریان بانک طرفهای متقابل ورسانه ها به نحو مطلـوب و در مـدت زمـان کافــــی از اخلال در سیـستم هـا و تحـولات ناشـی از راه انــدازی مجــدد سیــستم ، اطــلاع پیــدا میکنند.
فرآیندی برای گردآوری وحفظ شواهد قانونی به منظور تسهیل در بررسیهای بعد از حادثه بانکداری الکترونیـک و نیـز کمـک در محاکمه حمله کنندگان.
• ضمیمه١‐ رویه های کنترل ایمنی مناسب برای بانکداری الکترونیک:
١‐ترتیبات امنیتی بایـد ایجـاد و حفـظ شود و در چـارچوب آن اعطـای مجوزهـای لازم به همه کاربران سیـستم و کاربریهـای بانکداری الکترونیک، شامل همه مـشتریان ، کــاربران داخلــی بانــک و ارائــه دهنــدگان بیرونی خدمات صورت گیرد. کنترل های منطقی دستیابی به منظـور پشتیبانی از جداسازی مناسب وظـایف نیـز باید اعمال شود.
٢‐اطلاعـات و سیـستم هـای بانک دارید الکترونیک باید طبق حساسیت اهمیت آنهـا طبقه بندی حفاظتی شود.مکـانیزم مناسـب از قبیــل رمــز گــذاری،کنترل دسترســی و برنامه های بازیافت داده ها ،برای حفاظت از همه سیستم هـای حـساس و پـر مخـاطره بانکداری الکترونیک از قبیل سـرورها،پایگاه داده ها و کاربری ها،در نظر گرفته شود.
٣‐ذخیــره داده هــای پــر مخــاطره یــا حساس در کامپیوترهای رومیزی و روپـایی (DESKTOP-LAPTOP)بایــد بــه حداقل کاهش یافتـه و بـه نحـو مناسـبی از طریـــق رمزگـــذاری ،کنتـــرل دسترســـی برنامه های بازیافت اطلاعات حفاظت شوند.
۴‐کنترلهای فیزیکی کافی باید به منظور ممانعت ازدسترسی غیرمجاز بـه سیـستمهـای حیــاتی بانکــداری الکترونیک،ســرورها ،پایگــاه داده ها و کاربری ها وجود داشته باشند.
۵‐تکنیک های مناسب باید به منظورکاهش تهدیدهای خارجی بر سیستم های بانکداری الکترونیک،از جمله استفاده از موارد زیر در نظر گرفته شوند:
نرم افزار جـاروب ویـروس در همـه نقــاط حیــاتی ورودی (از قبیــل ســرورهای دسترسی از راه دورـ سرورهای PROXY مربــوط بــه پــست الکترونیــک)روی همــه کامپیوترهای رومیزی.
نــرم افــزار کــشف رخنــه، ســایر ابزارهای ارزیابی ایمنی باید به طور متنـاوب به بررسی شـبکه هـا، سـرورها و دیوارهـای آتش ،برای تشخیص نقاط ضـعف یـا تجـاوز به حریم های امنیتی و کنترل ها،بپردازند.
آزمایش نفوذ شبکه های داخلی وخارجی
۶‐ فرآینـد انجـام بررسـی هـای شـدیدامنیتی بایستی برای همـه کارکنـان و ارائـهکنندگان خدماتی که پـست هـای حـساس دارند،اعمال شود.
• ضمیمه ٢‐ رویه های مناسـب برای اداره سیستم ها و خدمات بانکداری الکترونیک ارائه شده از سوی منابع بیرونی.
١‐بانک هـا بایـد تـدابیر مناسـب بـرای ارزیابی تصمیمات اتخاذ شده از سـوی ارائـه دهنـــدگان بیرونـــی خـــدمات بانکـــداری الکترونیک را در نظر بگیرند.
مدیریت بانک باید به روشنی هدفهای استراتژیک ،امتیازات و هزینه هـای مربـوط به استفاده از منابع بیرونی وطرحهای ثالـث برای بانکداری الکترونیک را شناسایی کند.
تصمیم مربوط به واگذاری یک کـار کلیـــدی یـــا انجـــام خـــدمات بانکـــداری الکترونیــک بــه منبــع بیرونــی بایــد بــا استراتژیهای تجاری بانک سازگار و بر اساس یک نیاز تجاری تعریف شـده اسـتوار باشـد، ضمن آنکه ریسک خاص مربـوط بـه منبـع بیرونی را هم در نظر بگیرد.
تمامی زمینه های متأثر بانک بایـددریابند که چگونه ارائه دهندگان خدمات از اســتراتژی بانکــداری الکترونیــک بانــک هــا حمایت به عمل آورده و با ساختار عملیـاتی آن متناسب می شوند.
بانک ها بایـد قبـل از انتخـاب یـک ارائــه دهنــده بیرونــی خــدمات بانکــداری الکترونیک و نیز درفواصـل مناسـب بعـد از آن، تحلیل ریسک داشته باشند.
بانکهــا بایــد فرآینــدهایی را بــرای انتخاب پیشنهادها از میان چند ارائه دهنده خــدمات بانکــداری الکترونیــک طراحــی و معیار انتخاب از میان پیشنهادهای مختلـف را مورد ملاحظه قرار دهند.
زمانی که یک ارائـه دهنـده، بـالقوه خدمات شناسایی شد،بانک باید یک بررسی جامع، از جمله تحلیل ریسک از قدرت مالی ارائه دهنده خدمات ، شهرت، سیاست هـا و کنترل های مدیریت ریـسک و نیـز قابلیـت انجام تعهدها داشته باشند.
پس از آن بانـک هـا بایـد بـه طـور مرتــب و بــه طریــق مناســب بررســی هــای مستمری را انجام دهند و قابلیت ارائه کننده خدمات را بـرای انجـام خـدمات و تعهـدات مــدیریت ریــسک در طــول مــدت قــرارداد، مدنظر قرار دهند.
بانک ها باید اطمینان حاصل کننـد که منابع کافی برای نظارت بر فعالیت منابع بیرونـــی پـــشتیبانی کننـــده از بانکـــداری الکترونیک وجود دارد.
مسئولیت های نظارت بـر ترتیبـات منابع بیرونی بانکداری الکترونیـک بایـد بـه روشنی مشخص شود.
یــک اســتراتژی مناســب خــروج از لحاظ مدیریت ریسک باید برای بانک وجود داشته باشد ، زمانیکه ضرورت خاتمـه دادن به قرارداد روابط با منابع بیرونی مطرح شود.
٢ـ بانک ها باید روش هـای مناسـبی را به منظـور اطمینـان از کفایـت قراردادهـای حــــاکم بــــر بانکــــداری الکترونیــــک اتخاذکنند.قراردادهای حاکم بر فعالیت های بانکداری الکترونیک منابع بیرونی به عنـوان مثال باید موارد زیر را در نظر بگیرد:
تعهدات قراردادی طرفهای درگیر و مسئولیت های مربوط به تـصمیم گیـری از جمله تعهد قراردادهای فرعی مادی، باید به روشنی تعریف شده باشند.
مسئولیت ارائه اطلاعـات و دریافـت اطلاعات از ارائه کنندگان خدمات بایـد بـه روشنی تعریف شوند. اطلاعـات دریـافتی از ارائه دهنده خدمات باید بـه موقـع و جـامع باشد تا بتواند به بانک این اجازه را بدهد که به اندازه کافی سطوح خدمات و ریـسک هـا را مورد ارزیابی قرار دهـد.روش هـای مـورد استفاده برای آگاهی رسانی در مورد اختلال در ارائه خدمات بانک، نقض امنیتی و سـایر اتفاقاتی که می تواند یک خطر مادی بـرای بانک به وجود آورد ،باید مشخص شود.
مقرراتی که به ویـژه بـرای پوشـش بیمه ای به وجود می آید ،مالکیت اطلاعـات ذخیــره شــده در ســرورها یــا پایگــاه هــای داده های ارائه کنندگان خدمات و حق بانک برای بازیافت اطلاعات درپی سپری شدن یا اتمام قرارداد، باید به روشنی تعریف شود.
انتظــارات عملکــرد تحــت هــردو شــرایط عمــومی و اضــطراری بایــد تعریــف شوند.
وســایل و ضــمانت هــای کــافی بــه عنوان نمونـه از طریـق اعمـال شـیوه هـای حسابرسی باید تعریف شوند تا اطمینان بـه
بـــرای ترتیبـــات منـــابع بیرونـــی فرامـرزی، تعیــین ایـن نکتــه کـه قــوانین و مقررات کدام کشور از جمله آنهائیکه مربوط به حریم خـصوصی و سـایر حفاظـت هـای مشتری هستند با آنهـا مطابقـت مـیکنـد، ضروری است .
حق بانک برای بررسـی مـستقل یـا حــسابرسی امنیتی،کنتــرل هــای داخلــی ، تداوم تجارت و برنامـه هـای اضـطراری بـه روشنی تعریف شوند.
٣ـ بانک ها باید اطمینان پیدا کنند کـه حــسابرسی خــارجی و داخلــی مــستقل و متناوب از عملیات منابع بیرونی، حـداقل در همان سطحی که مورد نیـاز مـی شـود، در صورتیکه چنین عملیاتی در سـطح داخلـی انجام شود، به عمل آید.
برای روابط با منابع بیرونـی کـه در برگیرنده خدمات و کاربری های حیاتی و به لحـــاظ تکنولـــوژی پیـــشرفته بانکـــداری الکترونیک، بانک ها نیاز به آن دارنـد تـا بـه بررســیهای متنــاوب دیگــری بپردازنــد کــه بوسیله اشخاص ثالث مستقل وبرخـوردار از دانش فنی کافی ، انجام می شود.
۴ـ بانک هـا بایـد طرحهـای اضـطراری مناسب برای فعالیت های بیرونی بانکـداری الکترونیک داشته باشند.
بانک ها نیاز بـه آن دارنـد تـا بـرای همــه سیــستم هــا و خــدمات بانکــداری الکترونیــک خــود کــه بــه منــابع بیرونــی و طرفهای ثالث واگذار می شود، برنامـه هـای اضطراری داشته و آنهـا رابـه طـور متنـاوب آزمایش کنند.
طرحهــای اضــطراری بایــد بــدترین سناریو ها را در نظر گیرد تـا بتوانـد در هـر شرایطی تداوم خدمات بانکداری الکترونیک را در صورت وقـوع هـر گونـه اختلالـی کـه تحــت تــأثیر منــابع بیرونــی روی دهــد، حفظ کنند.
بانک ها باید تـیم مـستقلی داشـته باشند که آن تیم مسئول مدیریت بازیافت و ارزیــابی اثــر مــالی اخــتلال در خــدمات بانکداری الکترونیک منابع بیرونی است .
۵ـ بانک هـایی کـه خـدمات بانکـداری الکترونیــــک رابــــه اشــــخاص ثالــــث واگذارمیکنند، باید اطمینان داشـته باشـند که عملیات ، مسئولیت و تعهـدات آنهـا بـه انــدازه کــافی روشــن اســت تــا نهادهــای خدمترسان بتوانند بررسـیهای خـود را بـا پشتکار و به گونه مؤثری انجـام دهنـد و بـر روند کار نظارت داشته باشند.
بانک ها مسئولیت دارند تا اطلاعات لازم در خـــصوص شناســـایی، کنتـــرل و رسیدگی به ریسک های مرتبط بـا خـدمات بانکداری الکترونیک را دراختیـار نهادهـایی بگذارندکه این گونه خدمات دراختیـار آنهـا قرارمی گیرد.
• ضمیمه٣‐رویه های مناسب صدور مجوز برای کاربریهای بانکداری الکترونیک
١‐صدور مجوز و امکان دسترسی شامل همــه اشــخاص، عوامــل یــا سیــستم هــایی میشود کـه فعالیـت بانکـداری الکترونیـک انجام میدهند.
٢‐همـــه سیـــستم هـــای بانکـــداری الکترونیک باید به گونه ای ساخته شود کـه آنها با یـک پایگـاه داده هـای معتبـر دارای مجوز ، در تعامل باشند.
٣‐هیچ عامل یا سیستم نباید به تنهایی اختیار تغییـر صـلاحیت خـود را در پایگـاه داده های صدور مجوز بانکداری الکترونیـک پیدا کند.
۴‐هر گونه افزایشی در افـراد ، عوامـل، سیــستم یــا تغییــر امتیــاز دسترســی در مجوزدهـی بـه پایگـاه داده هـای بانکـداری الکترونیک باید از سـوی یـک منبـع کـاملاً معتبر باشد.منبعی که به قـدر کـافی دارای اختیار و برخوردار از سرنخ های حـسابرسی باشد و بتوان فعالیـت هـای وی را بـه نحـو صحیحی و به موقع نظارت کرد.
۵‐تدابیر لازم باید وجود داشته باشد تـا بتوان مجوز دهی بانکداری الکترونیک را بـه نحو معقولی در برابر رخنه مقاوم کرد.هرگونه رخنه ای باید از طریـق فرآینـدهای مـداوم کنترل و بررسی قابل کشف باشد.سرنخهای حسابرسی کافی،باید وجود داشته باشـد تـا بتواند هر گونه اخلالی را مستند کرد.
۶‐هر گونه پایگاه داده هایی کـه در آن رخنــه شــده باشــد ، نبایــد مــورد اســتفاده قرارگیرد تا اینکه بـا یـک پایگـاه دادههـای معتبر تعویض شود.
٧‐کنترل هایی باید وجود داشته باشـد تا از تغییرات در سـطوح مجـوزدهی هنگـام انجام عملیات بانکداری الکترونیک اجتنـاب شود.هر گونه تلاشی برای تغییر مجـوزدهی بایستی قفل شود و به اطلاع مدیریتبرسد.
•ضمیمه ۴‐ رویه هـای مربـوط بـه سـرنخ هـای حـسابرسی دقیـق بــرای سیستمهای بانکداری الکترونیک
١‐باید سوابق کافی برای تمام معاملات بانکداری الکترونیک در نظر گرفته شـود تـا یک سرنخ حسابرسی روشن ایجاد و به حـل اختلاف کمک کند.
٢‐سیـستم هـای بانکـداری الکترونیــک باید به گونه ای طراحی و نـصب شـوند تـا بتوانند شواهد قـانونی را جـذب و نگهـداری کنند .این امر باید طوری صـورت گیـرد تـا بتوان شواهد را کنترل ، از رخنه جلـوگیری و شواهد کاذب را گردآوری کرد.
٣‐در مواقعی که سیستم های پـردازش و ســـرنخ هـــای حـــسابرسی مربـــوط در مسئولیت یک ارائـه کننـده ثالـث خـدمات قراردارد.
بانک باید اطمینان حاصل کند که بـه اطلاعات مربوط به فعالیت های حـسابرسی مربــوط کــه توســط ارائــه کننــده خــدمات نگهداری می شود، دسترسی دارد.
سرنخ های حسابرسی نگهداری شـده توســط ارائــه کننــده خــدمات بایــد بــا استانداردهای بانک مطابقت کند.
•ضمیمه ۵‐ رویه های مناسب بـرای حفظ خصوصی بودن اطلاعات بانکداری الکترونیک مشتری
١‐بانک ها باید تفکیک های رمز نگاری مناســب، پروتکــل هــای خــاص یــا ســایر کنترلهای ایمنی را به منظـور اطمینـان از محرمانــه نگهداشــتن اطلاعــات بانکــداری الکترونیک به کار گیرند.
٢‐بانک ها باید روش ها و کنترل هـای مناسبی را بـرای ارزیـابی گـاه بـه گـاه زیـر ســاخت امنیتــی مــشتری و پروتکــل هــای بانکداری الکترونیک ، مورد توجه قراردهند.
٣‐بانک ها باید اطمینان حاصـل کننـد که ارائه کنندگان ثالث خدمات سیاستهای محرمانه نگه داشتن و حفظ حریم خصوصی را که سازگار باخودشانباشد،اعمالمیکنند.
۴‐بانک ها بایـد گـام مناسـب را بـرای آگاهی رسانی به مشتریان بانکداری الکترونیک دربــاره محرمانــه بــودن وحفــظ اطلاعــات خصوصی افراد بردارند.این گام ها عبارتنداز:
اطلاع رسانی به مـشتریان در مـورد سیاست حفظ حریم خصوصی افراد از سوی بانک ، حتـی الامکـان از طریـق وب سـایت بانک.در این زمینه استفاده از زبان روشـن و فــشرده توصــیه مــی شــود تــا اطمینــان حاصل شود که مشتری کاملاً سیاست مـورد بحــث را درک مــی کنــد.توضــیحات بلنــد حقوقی، هر چقـدر هـم دقیـق باشـد بطـور معمول توسط اکثر مشتریها خوانده نمیشود.
آموزش به مشتریها در مورد لزوم حفاظت ازرمز واژه هـا،شـماره هـای شناسـایی شخـصی یا سایر دادههای شخصی و بانکی خودشان
در اختیار نهادن اطلاعات مربـوط بـه امنیــت عمــومی کامپیوترهــای شخــصی مشتریها، از جمله مزایای استفاده از نرم افزار محافظت در قبـال ویـروس ، کنتـرل هـای دستیابی فیزیکی و دیوارهای آتش شخـصی بـــرای اتـــصالات ایـــستایی(STATIC) اینترنت
• ضمیمه ۶‐ ظرفیت مناسب، تـداوم تجــارت و رویــه هــای برنامــه ریــزی اضطراری برای بانکداری الکترونیک
١‐تمـــام خـــدمات و کـــاربری هـــای بانکــداری الکترونیــک، از جملــه آنهائیکــه توسط ارائـه کننـدگان ثالـث خـدمات داده میشود ، بایستی بـه لحـاظ حیـاتی بـودن، شناسایی و تحت آزمایش قرار گیرند.
٢‐بــرای همــه خــدمات و کاربریهــای حیاتی بانکداری الکترونیک ، از جمله موارد بالقوه اخـــــــلال تجاری در مورد خطرات اعتباری،بازاری،نقدینگی ، حقوقی، عملیـاتی و شهرتی بانک، باید ارزیابی خطر انجام شود.
٣‐معیار عملکرد برای همه خـدمات و کــاربری هــای بانکــداری الکترونیــک بایــد تعریف شود و سطح خدمات در برابر چنـین معیاری کنترل شود. تدابیر مناسب بایـد بـه منظــور اطمینــان از ایــن نکتــه کــه همــه سیستمهای بانکـداری الکترونیـک قـادر بـه انجــام معــاملات کوچــک و بــزرگ هــستند اتخاذشـود و اینکـه عملکـرد سیـستم هـا و ظرفیتها با انتظارت آتی بانک برای رشد در زمینه بانکداری الکترونیک سازگاری دارد.
۴‐ملاحظـــاتی بایـــد بـــرای توســـعه روشهــای پــردازش اطلاعــات بــه صــورت جانشین در نظر گرفته شود تا بتـوان زمـانی که سیستم های بانکداری الکترونیک به نظر می رسند به ظرفیت های تعریف شده خـود رسیده اند، آنها را اداره کرد.
۵‐برنامه های تداوم تجارت بانکـداری الکترونیک باید به گونه ای تـدوین شـود تـا بتوان برنامه های اتکـاء بـه ارائـه کننـدگان ثالث خدمات و سایر وابستگی های خـارجی مورد نیاز را تنظیم کرد.
۶‐برنامــه هــای اضــطراری بانکــداری الکترونیک باید فرآیندهایی را بـه منظـور از ســرگیری یــا جانــشین کــردن قابلیتهــای پــردازش عملیــات بانکــداری الکترونیــک، بازســازی اطلاعــات معــاملاتی پــشتیبان در صورت وقوع اختلال تجاری ، در برگیرد. این فرآیندها از جملـه بایـد اتخـاذ تـدابیری بـه ویژه، برای از سرگیری فعالیت سیستم هـا و کار بررسی های حیاتی بانکداری الکترونیک را شامل شود