حفظ حریم خصوصی در بانکداری ابری
امروزه به کارگیری الگوی رایانش ابری یا Cloud Computing که به روز ترین و پیشرفته ترین فناوری در زمینه زیرساخت های فناوری اطلاعات به شمار می رود، با برخورداری از قابلیت های پویای خویش، معمول ترین روش برای اشتراک گذاری و مدیریت منابع فناوری اطلاعات است که در کشورهای توسعه یافته جهان، زیرساخت های آن در حال توسعه بوده و خدمات مبتنی بر ابر نیز با سرعت، رو به گسترش است. در این مطلب، پس از تعریف مفاهیم مهم و اساسی رایانش ابری، مسایل مرتبط با امنیت سیستم ها و تجهیزات بانکی، حفظ حریم خصوصی مشتریان و دست اندرکاران امور بانکداری، دسترسی و مدیریت امن حساب های بانکی، براساس استانداردهای ایزو 27001 و 27002 بررسی شده است.
در صورتیکه میخواهید افزایش فروش و بازدید داشته باشید در MyCityAd.ir آگهی خود را منتشر کنید و در صورتیکه درگاه پرداخت بانکی میخواهید میتوانید در ePayBank.ir برای درگاه بانکی عضویت یابید
رایانش ابری، یک فناوری جدید و به عبارتی بهتر، یک نگرش صحیح در پروژه های سرمایه گذاری فناوری اطلاعات است که علاوه بر کاهش هزینه ها، عملکرد بهتر و قابلیت های فراوانی را به ارمغان آورده است. این فناوری، راهی برای تغییر مدل های کسب و کار نبوده، بلکه همچون پدیده اینترنت، انقلابی در زیرساخت های فناوری اطلاعات قلمداد می وشد که معماری نوینی را در توسعه، استقرار، اجرا و ارائه خدمات به همراه داشته است.
هم اکنون، شرکت های بزرگی مثل مایکروسافت، گوگل و آمازون، علاوه بر ارائه نرم افزارهای مبتنی بر ابر، اعلام کرده اند که اهداف آتی آنها، انتقال برنامه های کاربردی به محیط های ابری خواهد بود. برنامه هایی که بر روی ابر ها مستقر شده و به راحتی، همچون ابر، بر روی سرورهای پیشرفته شناور هستند. پایگاه های داده ابری، تحول بزرگی را در تمرکز داده ها و اطلاعات ایجاد نموده اند.
با گسترش روز افزون خدمات مبتنی بر ابر، بانک ها و موسسات مالی نیز به دلیل ماهیت ساختاری خویشف تمایل دوچندانی به بهره گیری از مزایای این فناوری پیدا کرده اند. به فراخور این گرایش، ایجاد یک محیط امن بانکداری در بسترهای ابری که مورد تایید کارشناسان بانکی و همچنین متخصصان امنیت فناوری اطلاعات باشد، بیش از پیش نمایان است. توجه به بانکداری ابری، به خصوص در چشم انداز فراگیر دیجیتالی خدمات بانکداری الکترونیک برای بهبود ایمنی، کیفیت خدمات و کاهش هزینه های بانکداری ضروری است. بنابراین نگاه جدی به این مقوله، ضمن ایجاد تعامل مناسب میان بانک ها باعث می شود تا نظام بانکی کشور، به پتانسیل های لازم جهت تحول در ارایه خدمات نوین بانکداری با کیفیت بالا و هزینه های مقرون به صرفه نایل شود.
رایانش ابری در صنعت بانکداری
از مهمترین ضعف های نظام بانکداری بهش یوه سنتی، میتوان به هزینه زیاد و بهره وری پایین در استفاده از امکانات اشاره نمود که ضمن تحمیل هزینه های گزاف به بانک ها، امکان بهره مندی از آن بسیار پایین بوده و در عمل، در بسیاری از موارد، علی رغم تلاش های بسیار، شکایات زیادی را از سوی مشتریان به همراه داشته است.
در رایانش ابری، بانک ها میتوانند ضمن کاهش هزینه ها، از طریق ادغام سیستم ها و تجهیزات سخت افزاری و به شاتراک گذاری آنها براساس نیاز کاربران، یک محیط پویا را رد ارائه خدمات بانکداری ایجاد نمایند که علاوه بر مالکیت سیستم، هزینه های تعمیر و نگهداری آن، تهیه نسخه های پشتیبان از اطلاعات و استخدام کارشناسان فنی، به ارائه دهندگان خدمات ابری واگذار می شود.
همزمان با رشد و گسترش این فناوری، استانداردهای مخصوص به آن نیز در حوزه بانکداری، در حال تدوین و اجراست که هدف آنها بیشتر بر روی چگونگی نگهداری سوابق تراکنش مالی، نحوه نظارت بر مشتریان و کاربران، مدیریت حساب های بانکی و نحوه همکاری موسسات مالی برای ارائه خدمات بانکی کارآمد و موثر و همچنین تحلیل و بررسی قاعده مند داده های نظام بانکداری الکترونیک متمرکز شده است.
پیش بینی می شود با حرکت و انتقال نرم افزارهای بانکی به الگوهای مبتنی بر رایانش ابری و مدیریت آنها از طریق ابرها، انقلابی در ارائه خدمات بانکداری به وقوع بپیوندد که نتایج آن، امکان دسترسی به این خدمات را برای همگان و در همه جا فراهم ساخته و علاوه بر کاهش شدید هزنیه ها، گام های اساسی برای بهره مندی از نظام الگومند بانکداری فراهم شود که جهت رفاه حال مشتریان، با فناوری ادغام ، همگام و همسو شده است.
امنیت در مدل های بانکداری ابری
براساس مدلهای سرویس های ابری، ارائه دهندگان خدمات بانکداری ابری به سه دسته تقسیم می شوند:
- برنامه های کاربردی در ابر ( نرم افزار به عنوان یک سرویس – SaaS) : در این مدل، برنامه های بانکی از طریق یک رابط کاربری سبک مانند مرورگر وب، بر روی زیرساخت های ابری، اجرا می شوند. در این نوع از خدمات ابری، امنیت و حفاظت از حریم خصوصی، به عنوان بخشی جدایی ناپذیر از SaaS، به ردیافت کنندگان خدمات ارائه می شود.
- سیستم عامل در ابر ( پلت فرم به عنوان سرویس PaaS): این مدل، توانایی استقرار یا به دست آوردن برنامه های نشوته شده با استفاده از زبان های برنامه نویسی و ابزارهای پشتیبانی آن را توسط ارائه دهندگان خدمات ابری، به دریافت کنندگان ارائه می دهد. در این مدل، برنامه های کاربردی مورد استفاده، قابل پیکربندی و کنترل بوده و تلاش می شود تا با مکانیزم های امنیتی اساسی در ارائه خدمات ابری مانند رمز نگاری اطلاعات، تایید هویت و مجوزهای لازم و همچنین در سطح برنامه های کاربردی، با تعیین میزان دسترسی و کنترل آن، سازوکار حفاظتی لازم برای تامین امنیت و حفظ حریم خصوصی به عمل آید.
- زیرساخت در ابر ( زیرساخت به عنوئان سرویس IaaS): در این مدل، پردازش، ذخیره سازی، کنترل محدود امور شبکه ای ( مانند فایروال ها )، بعضی از منابع محاسباتی، اجرا و کنترل نرم افزارهای دلخواه شامل سیستم عامل و برنامه های کاربردی، توسط دریافت کنندگان خدمات ابری، توسعه دهندگان نرم افزارهای بانکی، مسئول کامل حفاظت از امنیت و حفظ حریم خصوصی دریافت کنندگان خدمات، به شمار می روند.
حفظ حریم خصوصی در بانکداری ابری
در چند سال گذشته، تحقیقات فراوانی بر روی مسایل امنیتی و حفظ حریم خصوصی در سیستم های اطلاعاتی بانک ها انجام شده است. انجمن های ملی و بین المللی مختلفی نیز برای بررسی مسایل مرتبط با حفاظت از داده ها و امنیت در محیط های مالی تشکیل شده اند که به طور عمده، بر روی امنیت در سیستم های بانکی و ارائه راه حلهای امنیتی مشترک، متمرکز شده اند. این انجمن ها، طیف گسترده ای از مسایل امنیتی در خدمات بانکداری را مورد بررسی قرار داده و دستورالعملهای عملی برای ایجاد و ارایه خدمات بانکداری امن منتشر کرده اند.
از آنجا که امنیت و حفظ حریم خصوصی و همچنین حفاظت از اطلاعات مشتریان، در دسترسی امن به داده های مالی در ابراز بالاترین درجه اهمیت برخوردار است، میتوان سه اصل مهم را برای اطمینان از حفظ حریم خصوصی، صحت محتوا و قابلیت اعتماد، در نظر گرفت.
- تمامی تراکنش ها و ارتباطات مالی باید از طریق رمزنگاری توسط مالکان آنها، کنترل، محافظت، ذخیره سازی، انتقال و مورد دسترسی امن قرار گیرند.
- در ایجاد و نگهداری اطلاعات باید اصالت محتوا و جامعیت داده ها با توجه به امکان سفارشی ساختن حفظ حریم خصوصی مشتریان در فرایند های ادغام حساب های بانکی در نظر گرفته شود.
- دسترسی و به اشتراک گذاری اطلاعات مالی باید زا طریق امضای دیجیتال و فرایندهای صدور گواهینامه، جهت جلوگیری از تغییرات غیرمجاز در محتوای اطلاعات حساس مالی، صورت گیرد.
الزامات امنیتی
اگر چه بعضی از نیازهای امنیتی و حفظ حریم خصوصی در برنامه های بانکداری ابری به مدل سرویس یا استقرار ابر مورد استفاده، بستگی دارد، در زیر به برخی از مهم ترین موارد اشاره می شود:
- دسترسی به اطلاعات حساب ها باید از طریق یک روال کنترل شده و براساس مجوزهای لازم صورت گیرد.
- ممکن است یک بانک، مشتریانی در بانک های مختلف داشته باشد، لازم است از طریق مکانیزم های احراز هویت، دسترسی آن به مدارک مشتریان امکان پذیر شود. صحت اطلاعات نیزف پس از پایان بررسی حساب مشتری، باید به تایید بانک برسد.
- در مواردی که اطلاعات مالی در بانکهای مختلف به اشتراک گذشاته می شود، باید مالکیت این اطلاعات به صورت دقیق و شفاف مشخص بوده و مالک آن، تمامی الزامات امنیتی را در این خصوص به عمل اورد.
- استفاده از گواهینامه های SSL و پروتکل های رمزنگاری اطلاعات برای تامین امنیت داده های در حال انتقال در طول شبکه های عمومی نظیر اینترنت، تسوط بانک ها باید اجرا شود.
- با استفاده از روش هایی همچون امضای دیجیتال و رمزگذاری اطلاعات، باید مانع انکار اطلاعات توسط افراد دخیل در امر خدمات بانکداری شد.
- در سیستم خدمات بانکداری، اطلاعات باید از یکپارچگی و جامعیت به معنای حفظ دقت، صحت و قوام داده ها برخوردار بوده و از دستکاری غیرمجاز، مضمون بمانند. همچنین محرمانگی این اطلاعات نیز طبق استاندارد ایزو 27001 تضمین می شود که این امر نیز، به کمک روش های رمزنگاری امکان پذیر است.
- سیستم های خدمات بانکداری، در فواصل زمانی معین جهت اطمینان از صحت عملکرد و رعایت نکات امنیتی لحاظ شده، توسط کارشناسان مربوطه، مورد ممیزی قرار گیرند.
- تهیه نسخه های پشتیبان از اطلاعات، براساس قواعد مشخص، توسط بانک ها صورت پذیرد.
- کنترل های امنیتی لازم برای هنگامی که یکی از کاربران سیستم بانکی، تغییر شکل یافته و یا از سازمان اخراج می گردد، اعمال گردد تا از افشا یا تغییرات ناخواسته و نامجاز در سیستم جلوگیری شود.
- امضای دیجیتال یک ابزار مفید برای ارایه صحت، صداقت و عدم انکار است. باید از هویت امضا کننده جهت استراق سمع و موارد دیگر، حفاظت های لازم توسط بانک ها به عمل آید.
- لازم است که اطلاعات مالی در فرمت های خاصی تهیه شوند که قابل استفاده در تمام سیستم های بانکی بوده و مشکلی به نام عدم انطباق اطلاعات در فرایندهای بانکی، هرگز به وقوع نپیوندد.
- دسترسی به اطلاعات رمزنگاری شده در سیستم های بانکی، از طریق مکانیزم های رمز گشایی مبتنی بر هویت و اخذ مجوز براساس کلیدهای خصوصی صورت می گیرد.
- سرورها باید در مکان های ایمن نگهداری شوند که کنترل دسترسی به آنها به صورت امن صورت می پذیرد.
- رمز نگاری داده ها در حین ذخیره سازی و انتقال اطلاعات همواره در جریان باشد و هیچ فردی، قادر به دخالت در این امر نباشد.
- دسترسی ها، براساس مجموعه ای از کنترلهای مبتنی بر نقش و یا سیاست های مبتنی بر ویژگی شکل گرفته و اعمال شوند.
- سیاست های امنیتی لحاظ شده در بانکداری ابری، توسط پارامترهای قابل سنجش، در فواصل زمانی مشخص ارزیابی گردند.
- تمامی ارتباطات و فرایندهای میان بانک ها باید به صورت امنی از طریق الگوریتم های رمز نگاری، پروتکل ها و گواهینامه های امنیتی همچون SSL TLS و IPSEC حاصل می شود، صورت بگیرد تا اطمینان حاصل شود که اطلاعات در حال انتقال، از شنود و دستکاری غیرمجاز در شبکه های عمومی محفوظ هستند.