فرآینـد مـوثر ایمنـی در بانكداری الكترونیك

عناصر اصـلی یـك فرآینـد مـوثر ایمنـی در بانكداری الكترونیك عبارتند از :

–  مشخص كردن مسئولیت روشن بـرای مدیریت وپرسنل در نظارت برتعیین و حفظ سیاستهای امنیتی شركت

-برقراری كنترل های فیزیكی كافی به منظــور اجتنــاب از دسترســی غیرمجــاز بــه محیط كامپیوتری

– در نظرگرفتن كنترلهای منطقی كافی بــه منظــور اجتنــاب از دسترســی غیرمجــاز داخلی و خارجی به كاربری ها و پایگاههای اطلاعات بانكداری الكترونیك

–   بررسی منظم و آزمایش كنتـرلهـای ایمنی ازجمله ردگیری مـداوم پیـشرفتهای ایمنــی ایــن صــنعت و ارتقــاء ســطح نــرم افزارهای مناسب ، بسته های ارائه خـدمات و نیز سایر تدابیر لازم .

–  ضــمیمه یــك دربرگیرنــده شــماری تدابیر مناسب اضافی به منظـور اطمینـان از امنیت بانكداری الكترونیك است .

آیا میخواهید برنامه تحت وب یا سایت خویش را امن کنید و کدهای سایت PHP را خود آنالیز و تجزیه و تحلیل کنید و سایت خویش را توسعه و برنامه نویسی و در کل طراحی سایت را میخواهید یاد بگیرید ؟ راه حل خرید بسته آموزش کاربردی طراحی سایت اختصاصی mortezasaheb.ir می باشد.

درگاه پرداخت ePayBank.ir امن ترین درگاه بانکی کشور در زمینه ارایه درگاه بانکداری الکترونیک

آیا میخواهید فروش محصولات خودتان را افزایش دهید؟ راه حل، درج آگهی در MyCityAd.ir هست.

اصل ٣ ـ هیأت مـدیره و مـدیریت  ارشد باید یك فرآیند نظارتی و پشت كار منظم و مداوم برای مدیریت روابط با  منابع بیرونی بانك و یا سایر وابستگی ها  به اشخاص ثالث كه بانكداری الكترونیك  را پشتیبانی میكنند ، داشته باشند .  اتكــا روبــه افــزون بــه شــركا و ارائــه دهندگان ثالث خدمات برای انجام كارهـای حیاتی بانكداری الكترونیك كنترل مـستقیم مدیریت بانك را كاهش می دهد .  از همین رو اتخاذ فرآیند جـامعی بـرای مدیریت ریسك های مرتبط با منابع بیرونی و ســایر وابــستگی هــا بــه اشــخاص ثالــث ضرورت دارد .  این فرآیند باید فعالیـت هـای طرفهـای ثالث از جمله شركا و ارائه دهندگان بیرونی خــدمات و حتــی پیمانكــاران فرعــی را كــه ممكـــن اســـت تأثیرمـــادی روی بانـــك داشته باشد ، در بربگیرد .  از لحاظ تاریخی ، منـابع بیرونـی اكثـراً  محدود به یك ارائه دهنـده واحـد خـدمات  برای یك كار معین میشود ولی در سالهای اخیر روابط منـابع بیرونـی بانكهـا از لحـاظ  مقیــاس و پیچیــدگی بخــاطر پیــشرفتهای تكنولــوژی اطلاعــات و ظهــور بانكــداری الكترونیك ، زیاد شده است .  به این پیچیدگی باید این حقیقت را نیز افــزود كــه ارائــه دهنــدگان منــابع بیرونــی خدمات بانكداری الكترونیك ، ممكـن اسـت به صورت پیمانكاری انجام برخی از كارها را به پیمانكاران فرعی دیگری واگذار كننـد یـا اینكه این فعالیت ها در یك كشور خـارجی انجام شود .  عــلاوه بــرآن كــاربری هــا و خــدمات بانكداری الكترونیـك از لحـاظ تكنولوژیـك بسیارپیشرفته، به لحاظ اهمیت استراتژیك، رشد كرده است .

برخــی زمینــه هــای ثابــت بانكــداری الكترونیــك بــه شــمار انــدكی فروشــندگان متخــصص بــه عنــوان اشــخاص و ارائــه دهندگان ثالث خدمات، متكی است .  ایــن پیــشرفتها تمركــز بیــشتری روی ریسك هایی به وجود مـی آورد كـه هـم از  نقطــه نظــر یــك صــنعت و هــم بــه لحــاظ سیستمیك ، باعث جلب توجه می شود .  همه این فاكتورها نیاز به یـك ارزیـابی جامع و مداوم را از روابط با منابع بیرونـی و  سایر نقاط اتكاء، از جمله آنهائیكه مرتبط بـا معضلات وضعیت ریسك بانك هستند و نیز توانائیهـــای نظـــارتی مـــدیریت ریـــسك ، مطرح میكند .

نظارت هیأت مدیره و مدیریت ارشد بـرروابط با منابع بیرونـی و اشـخاص ثالـث بـهطور خاص باید روی اطمینان از مـوارد زیـر باشد :

– مطالعــه و پیگیــری مناســبی بــرایبررســی توانمنــدی و قــدرت زیــست مــالیهرگونه ارائه كننده ثالث خدمات یا شـریكقبل از آنكه وارد مرحله عقـد قـرارداد بـرایارائه خـدمات بانكـداری الكترونیـك شـود ، انجام گیرد .

– در قرار داد ، قابلیت حـسابدهی همـهطرفهای منابع بیرونی یا شراكتی بایستی بهروشنی تعریف شود. بـه عنـوان مثـال بایـدتعریف روشنی از مسئولیت های مربـوط بـهارائـــه اطلاعـــات و دریافـــت اطلاعـــات ازارائه كننده خدمات به عمل آید .

– تمـام سیــستم هـای عمــل بانكــداریالكترونیـك مــرتبط بـا منــابع بیرونـی تــابعمدیریت ریسك و سیاستهای امنیتـی و نیـزحفـــظ حـــریم خـــصوصی افـــراد ، طبـــقاستانداردهای خود بانك هستند .

– بایــستی از عملیــات منــابع بیرونــی ،حسابرسی های مقطعی داخلی یـا خـارجی انجام گیرد . این حسابرسی دست كـم بایـددر همــان محــدوده و انــدازه ای باشــد كــه گــویی انجــام عملیــات توســط خــود بانــك صورت میگرفت .

– طرحهای مناسب برای هر نوع حادثـه محتمل الوقوع برای فعالیت هـای بانكـداری الكترونیـك مــرتبط بــا منــابع بیرونــی بایــد وجود داشته باشد .

ضمیمه ٢ شماری از رویه های مناسب دیگر برای مدیریت سیستم هـای بانكـداری الكترونیــك مــرتبط بــا منــابع بیرونــی ووابــستگی بــه اشــخاص ثالــث را فهرســت میكند.

ب ـ كنترل های ایمنی ( اصول ٤ تا ١٠)

درحالیكه هیأت مدیره مسئولیت دارد تا اطمینان حاصل كند كه فرآیندهای كنتـرل ایمنی مناسـب بـرای بانكـداری الكترونیـك وجود دارد ، ماهیت این فرآیندها بـه توجـه مدیریتی ویژه ای نیاز دارد ، زیرا چالشهای ایمنــــی پیــــشرفته ای را در بانكــــداری الكترونیك به وجود میآورند .  مسایل زیر به ویژه در این زمینـه حـائز اهمیت هستند :

* احراز

* عدم پذیرش

* یكپارچگی داده ها و معاملات

* جداسازی وظایف

* كنترل های مجوز

* نگهداری سرنخ حسابرسی

محرمانه نگه داشتن اطلاعات كلیدی بانك

اصل ٤ـ بانك ها باید تدابیر مناسب را  به منظور احراز هویت و تأئید مشتریهایی  كه با آنها در اینترنت كـار مـی كننـد ، اتخاذكنند .

دربانكداری ضروری است كه درخواست یك ارتباط یا دسترسی به معاملات از لحاظ قانونی بودن تأئید شود . بنابراین بانكها باید شـیوه هــای قابــل اطمینـانی را بــرای تأئیــد هویت و مجوز دهی به مشتریان جدید و نیز تصدیق هویت و تأئید مـشتریان قبلـی كـه  قصد شروع عملیـات الكترونیـك را دارنـد ،مورد استفاده قراردهند .

احراز هویت مشتریان هنگام ریشه یابی حساب در كاهش ریسك سرقت هویت و به كارگیری حساب جعلی و پول شـویی مهـم است .

كوتاهی بانك به لحاظ عدم توجه كـافی به احراز هویت مشتریان منجـر بـه آن مـی  شــود تــا اشــخاص غیرمجــاز بــه حــسابهای بانكهـای الكترونیـك دسترسـی پیـدا كننـد وبــدین ترتیــب خــسارت مــالی و تخریــب شهرت بانك را به وجود آورد . البته این امـر می تواند از طریق تقلب و افـشای اطلاعـات محرمانــه یــا ســهواً درقالــب یــك فعالیــت مجرمانه صورت گرفته باشد .

احــراز هویــت و صــدور مجــوز بــرای دسترسی به سیـستم هـای بـانكی در یـك  محیط شبكه ای كاملاً باز و الكترونیك كـار مشكلی است .

اعطای مجوز قانونی به كاربر می تواند از طریق تكنیك های گوناگونی كـه اصـطلاحاً  ” SPOOFING “ نام دارد ، تحریـف شود .

نفــوذگران نیــز مــی تواننــد از طریــق استفاده از دسـتگاههای ”SNIFFER “  روی ارتباط های قـانونی تـأثیر گذاشـته تـا فعالیت های مجرمانه یا موذیانه انجام دهند .

فرآیندهای كنترل احراز هویت علاوه بر این مـی تواننـد از طریـق ایجـاد تغییـر در پایگاههای اطلاعـاتی احـراز هویـت ، دچـار  آسیب شوند.

بنابراین حیاتی اسـت كـه بانكهـا بـرای  شناسایی مناسب و اطمینان از اینكـه احـراز هویت و مجوزها به هرفرد ، عامل یا سیستم به درستی و از طریق به كارگیری روشـهای منحصر بفردی صورت میگیـرد كـه عملـی هستند و سیستم ها یا افراد غیرمجـاز را در برنمــــــــــــــــی گیرنــــــــــــــــد، سیاستها و رویه های رسمی اتخاذ كنند.  بانكها می تواننـد روشـهای متفـاوتی را از جمله PIN ( شماره شناسایی شخصی )، رمزواژه ، كارتهای هوشمند ، سیـستم هـای  زیست سـنجی (BIOMETRICS) و گواهینامه های دیجیتال ، برای احراز هویت، در نظر بگیرند .

این روش ها می تواننـد یـا یـك عامـل  مجرد و یا چند عامل باشند ( هم استفاده از رمزواژه وهم تكنولوژی زیست سنجی بـرای احراز هویت ).  در كــــل اســــتفاده از روش احــــراز چنــدعاملی ، اطمینــان قــویتری بــه وجــود میآورد .

بانك باید تعیین كند كدام روش احـراز را برپایه ارزیابی مدیریت از خطـری كـه در كل یا بوسیله عناصـر فرعـی متوجـه نظـام  بانكداری الكترونیك اسـت ، مـورد اسـتفاده قرار دهد .

تحلیل خطر بایـد توانائیهـای عملیـاتی نظام بانكداری الكترونیك را ( ازقبیل انتقال وجه ، پرداخت صورت حساب ، ریشه یـابی  وام ، تجمــع حــساب و غیــره ) از لحــاظ حساسیت و ارزش اطلاعـات ذخیـره شـده، همراه با راحتی مشتریان و استفاده از روش احراز هویت ، مورد ارزیابی قرار دهد .  فرآینــدهای قــوی احــراز و شناســایی مــشتری ، بــه ویــژه در مــورد بانكــداری الكترونیــك فرامــرزی اهمیــت دارد و ایــن اهمیت ناشی از مشكلات اضـافی اسـت كـه میتواند هنگام انجام تجارت الكترونیـك بـا مشتریان فرامرزی رخ دهد ، ضمن آنكـه در این زمینه ، خطر بیشتر تجسم سازی هویت و مــشكل بیــشتر در انجــام بررســی هــای اعتبــاری مــوثر روی مــشتریان بــالقوه هــم اهمیت دارد .

توصـیه مــی شــود بــه همــان نحــو كــه شیوه های احراز هویت تكامل پیدا میكنند

بانكها نیر به بررسی و اتخاذ رویه درست صنعتی در این زمینه بپردازند تا مطمئن شوندكه:

پایگاههای اطلاعات مربوط بـه احـراز هویت كه به حسابهای مـشتری بانكـداری الكترونیك دسترسـی پیـدا مـی كننـد یـا  سیــــستم هــــای حــــساس، از لحــــاظ آسیب پذیری و فساد محافظت می شوند.

هرگونه آسیب پذیری در ایـن زمینـه، بایــد قابــل كــشف باشــد و ســرنخ هــای حسابرسی بایـستی بـه عنـوان مـستندات چنین تلاشهایی وجود داشته باشند .

هرگونه اضـافه ، حـذف یـا تغییـر در پایگاه اطلاعات احراز هویت فرد ، عامل یـا سیستم بایـستی كـاملاً بـا مجـوز مراجـع  صلاحیت دار باشد .

باید تدابیر لازم به منظور كنترل روابـط در سیــستم بانكــداری الكترونیــك وجــود داشته باشد . این كنترل باید بـه گونـه ای باشد تا اشخاص ثالـث ناشـناخته نتواننـد  مشتریان شناخته شده را جابجا كنند .

 نشست های مربوط به احراز هویـت بانكــداری الكترونیــك بایــستی در تمــام مـدت برگــزاری جلـسه كــاملاً محرمانــه باشد . در صورت وقوع هـر گونـه رخنـه امنیتی ، نشـستهـا بایـد احـراز هویـت مجدد كنند .

اصل ٥ ــ بانكها باید روش هایی را  برای احراز هویت معاملات مورد استفاده  قرار دهند كـه باعـث ارتقـاء پـذیرش  ( NON- REPUDIATION) می شود  و قابلیــت حــسابرسی بــرای معــاملات   بانكداری الكترونیك به وجود میآورد .  پذیرش در برگیرنده اثبات بیشتر منـشأ یا تحویل اطلاعـات الكترونیـك بـه منظـور  حفاظت ارسال كننده در برابر تكذیب كاذب گیرنده اطلاعات برای دریافت آن اطلاعـات است یا برای حفاظـت از گیرنـده در برابـر تكذیب دروغین ارسال كننـده ، مبنـی بر آن است كه اطلاعات ارسال شده است .  ریسك مربوط به عدم پذیرش معـاملات هم اكنون به عنوان یك معضل در معاملات متعــارف از قبیــل كارتهــای اعتبــاری یــامعاملات اوراق بهادار مطرح است .

هرچنــد بانكــداری الكترونیــك، ایــن ریسك را بـه واسـطه مـشكلات مربـوط بـه  احراز مثبت هویت ها و صلاحیت طرفهـایی كه عملیات را شـروع مـی كنننـد ، عوامـل  بــالقوه ای كــه ســعی در تغییــر یــا ربــایش معاملات الكترونیـك دارنـد و نیـز كـاربران  بالقوه بانكداری الكترونیك كه ادعا میكنند، عملیات به شیوه تقلـب آمیـزی تغییـر داده  شده است ، افزایش میدهد .

– به منظور غلبـه بـر ایـن نگرانیهـای  افزایشیافته ، بانكها نیاز دارند تـا تلاشـهای معقولی را متناسب با مادیت و نوع معاملات بانكداری الكترونیك به منظـور اطمینـان از موارد زیر به عمل آورند :

– سیــستم بانكــداری الكترونیــك بــه گونهای طراحی شـود تـا هرگونـه احتمـالی  مبنــی بــر آنكــه كــاربران مجــاز معــاملان ناخواستهای را شـروع كننـد ، كـاهش و یـا  اینكــه مــشتریان را كــاملاً متوجــه خطــرات مرتبط با هرگونه عملیـاتی كنیـد كـه آنهـا  انجام میدهند .

– تمــامی طرحهــای مــرتبط بــا ایــن عملیات باید از لحـاظ مثبـت بـودن، احـراز  هویــت شــوند و كنتــرل روی كانــال احــراز هویت شده به عمل آید.

– اطلاعــات عملیــات مــالی از لحــاظ تغییــر محافظــت و هرگونــه تغییــری قابــل كشف باشد . بانكهــا تكنیــك هــای گونــاگونی را بــه كــار مـیگیرنــد تــا بــه ایجــاد پــذیرش كمــك و اطمینان به وجود آورد كه محرمانه بـودن و یكپارچگی عملیات بانكداری الكترونیـك بـا استفاده از گواهینامه های دیجیتالی در زیـر ساختهای كلیدی عمومی صورت می گیرد .  بانك ممكن است گواهینامـه دیجیتـالی برای یك مشتری یا طرف مقابل بـه منظـور شناسایی و احراز هویت منحـصر بفـرد آنهـا صادر كند وبه این وسیله باعث كاهش عـدم پذیرش عملیات شود .  گرچه در برخی كشورها حقوق مشتری برای رد یك ادعا در مورد معاملات ، تحـت  چارچوب قانونی خاصی قرار می گیـرد ولـی قوانینی در محاكم ملی معین تصویب شـده تا امـضاءهای دیجیتـالی از لحـاظ قـانونی ، لازم الاجرا شوند .

احتمــال مــی رود ، پــذیرش قــانونی گسترده تر این تكنیك ها در سـطح جهـان  با تكامل تكنولوژی روبه افزایش رود .

اصل ٦ ـ بانكها باید اطمینـان حاصـل  كنند كه تـدابیر مناسـب بـرای ارتقـاء  جداسازی كافی وظایف نظامهای بانكداری  الكترونیك ، پایگاههای داده ها و كاربری ها  وجود دارد .

جــدا ســازی وظــایف یــك تــدبیر پایــه كنترل داخلی است كـه بـه منظـور كـاهش ریسك تقلـب در سیـستمهـا و فرآینـدهای عملیــاتی و اطمینــان نـــسبت بــه آنكـــه داراییهای شركت و معـاملات بـه درسـتی مجــوز داده ، ثبــت و حفاظــت مــیشــوند ، طراحی شده است .

جداسازی وظایف ، امـری حیـاتی بـرای اطمینان از صحت و یكپارچگی داده هاسـت و به منظور جلوگیری از اعمال جعل و تقلب بوسیله یك شخص صورت میگیرد .

چنانچــه وظــایف بــه انــدازه كــافی از یكدیگر تفكیك شده باشند ، ارتكـاب جعـل فقط از طریق تبانی امكان پذیر خواهد بود .  خدمات بانكـداری الكترونیـك نیـاز بـه بهینــه ســازی راههــایی دارد كــه درآنهــا جداسازی وظایف انجام و حفظ شده باشـد ، زیرا عملیات در سیستم های الكترونیـك در جــایی صــورت مــی گیــرد كــه هویــت هــا میتوانند نقابدار و جعل شوند .

علاوه بر این ، در كاربری های بانكداری الكترونیك،كارهــای عملیــاتی ومعــاملاتی در بسیاری اوقات،بیشترفشرده و یكپارچه میشوند  ازهمین رو كنترل هاییكه درشیوه سنتی برای جداسازی وظـایف بـه كـارمیرود، بـه منظور اطمینان از اعمال سـطح مناسـبی از كنترل ، باید مورد بررسی مجدد قرارگیرد .  از آنجــا كــه دسترســی بــه پایگاههــای دادههایی كه از لحاظ امنیتی ضعیف باشـند به راحتی از طریق شـبكه هـای داخلـی یـا  خــارجی امكــان پــذیر اســت ، از همــین رو روش های مجـوز دهـی و شناسـایی بـسیار دقیق ، ایمن و بـی عیبـی همـراه بـا حفـظ  سرنخ های حسابرسی باید مورد تأكیدباشد.  رویه های متداول بـرای انجـام و حفـظ  جداســازی وظــایف در محــیط بانكــداری الكترونیك شامل موارد زیر است :

 طراحی فرآیندهای عملیات ، معاملات و سیستم هـا بایـد بـه گونـه ای باشـد تـا اطمینان حاصل شود كه هـیچ كارمنـد یـا ارائـه دهنــده بیرونــی خــدمات نتوانــد بــه تنهایی داخل شود ، كـسب مجـوز كنـد و  یك معامله را به انجام برساند .

 جداسازی باید برای داده هایی شـروع شــود كــه اســتاتیك باشــند . (ازجملــه محتـــوای صـــفحهWEB) و آنهائیكـــه مسئولیت تأئید یكپارچگی را دارند.

سیستم های بانكداری الكترونیك باید از لحاظ آنكه وظایف جداسازی نمـیتوانـد میــان بــر (BYPASS) شــود ، مــورد آزمایش قرار گیرند .

جداسازی وظایف باید ، هم برای آنهایی كه سیستم هـای بانكـداری الكترونیـك را اعمال و هم آنهایی كه این سیـستم هـا را  مدیریت می كنند، برقرارشود.

اصل ٧ ـ بانكها باید اطمینان پیداكنند  كه كنترل های مناسـب مجـوز دهـی و  امتیازات دسترسـی بـرای سیـستم هـا ،  پایگاههای داده ها و كاربریهای بانكداری  الكترونیك وجود دارند .

بــه منظــور انجــام وظــایف جداســازی ، بانكها احتیاج به آن دارند تـا دسترسـی بـه  مجوز دهی را كاملاً و به طور دقیق كنترل كنند.  عدم اعمال كنترل های كافی مجوزدهی میتواند شـرایطی فـراهم آورد تـا افـراد بـه  تغییر مجـوز خـود بپردازنـد و بـا نفـوذ بـه  فرآیند جداسازی سیستم ها،به پایگاهدادهها و كاربریهــایی كــه مجــوز آنهــا را ندارنــد ، دسترسی پیدا كنند .

در سیستمهـای بانكـداری الكترونیـك ، حقوق دسترسی و مجوز دهی می توانـد یـا  به صورت تمركز یافته ویا به روش تـوزیعی دردرون پایگاه دادههای بانك ذخیره شـود ، از همــین رو حفاظــت از ایــن پایگاههــا بــه لحاظ رخنـه یـا فـساد در راسـتای كنتـرل  دقیق مجوز دهی ضروری است .

ضمیمه ٣ ، شماری رویه هـای مناسـب را به منظور كمك به اعمال كنترل مناسـب روی مجــوز دهــی و حقــوق دسترســی بــه سیــستم هــا و نیزكــاربری هــای بانكــداری الكترونیك ، مشخص می كند.

اصل ٨‐بانك ها باید اطمینان پیداكنند كــه تــدابیر مناســب بــرای حفاظــت از یكپارچگی داده ها در معاملات، سوابق و اطلاعات بانكداری الكترونیك وجود دارد. یكپارچكی اطلاعات به ایـن امـر اطـلاقمیشود كه اطلاعات در حـال عبـور یـا بـه صــورت ذخیــره، بــدون مجــوز تغییــری پیدانكند.

عدم حفظ یكپارچگی اطلاعات معاملات و ســوابق مــی توانــد بانــك را در معــرض خسارت های مالی و نیز ریسك هـای قابـل توجه حقوقی و شهرتی قرار دهد.

ماهیت اینترنت از لحاظ فرآیندهایی كه در بانكــداری الكترونیــك مــستقیماً عمــل میكنند به گونه ای است كه برنامـه ریـزی  برای تـشخیص اشـتباهات یـا فعالیـتهـای اخلال گرانـه را از لحـاظ كـشف در مراحـل اولیه كار مشكل میكند.  بنــابراین مهــم اســت كــه بانــك هــا فرآیندهای مستقیم را به گونه ای به مرحله اجرا بگذارند كه از یكپارچگی و بـی عیـب و نقص بودن داده ها، اطمینان حاصل شود.  چــون بانكــداری الكترونیــك از طریــق شبكه های عمومی انتقال پیدا مـی كنـد، از همـــین رو عملیـــات در معـــرض تهدیـــد مضاعفی از فساد اطلاعـاتی ، سـوء اسـتفاده ونیز ایجاد اختلال در سوابق قرار میگیرد.  بنابراین بانك ها بایـد اطمینـان حاصـل كنند كه تدابیر كافی به منظور اطمینـان از درســتی كــار آنهــا ، كامــل بــودن قابلیــت اطمینــان عملیــات بانكــداری الكترونیــك ، سوابق و اطلاعات، در نظر گرفته شده است.  در مورد اطلاعات ، این حصول اطمینان باید نسبت به اطلاعاتی باشد كه خـواه روی اینترنت ارسال شده است، خواه در پایگاه داده های داخل بانك وجـود دارد ویا ازسـوی یك ارائه كننـده ثالـث خـدمات بـه نماینـدگی ازسوی بانك مخابره یا ذخیره شده است.

رویه های معمول مـورد اسـتفاده بـرای حفـــظ یكپـــارچگی اطلاعـــات در محـــیط بانكداری الكترونیك ، شامل مواردزیرهستند:

– معاملات بانكداری الكترونیك باید به گونهای انجام شوند كه كاملاً آنهـا را در برابر آسیب پذیری در سراسر و كل فرآیند ، مقاوم كند.

– سوابق بانكداری الكترونیك باید به گونهای ذخیره و قابلیت دسترسی به آنهـا ایجاد و بهینـه شـود كـه آنهـا را در برابـر  آسیبپذیری كاملاً مقاوم كند .

– عملیــات بانكــداری الكترونیــك و فرآیندهای كنترل سوابق باید به گونـه ای طراحی شوند كـه آنهـا را از لحـاظ ایجـاد  مانع بر سر راه كشف تغییرات غیر مجـاز ،  غیر ممكن كند.

– تغییر كافی در سیاست های كنترل از جمله روش های بررسی و آزمـایش بایـد  در محــل وجــود داشــته باشــد تــا بتوانــد بانكداری الكترونیـك را در برابـر هـر گونـه  تغییرات كه ممكن است به اشـتباه یـا غیـر  عمد در كنترلها یا قابلیت اطمینان داده ها رخ دهد، محافظت كند.

– هر گونه رخنه در سوابق بانكداری الكترونیــك بایــد بوســیله فرآینــدهای عملیاتی،رسیدگی وحفظ سوابق،كشف شود.

اصل ٩‐ بانك ها بایـداطمینان پیـدا  كنند كه سرنخ های حـسابرسی شـفاف  برای همه عملیات بانكداری الكترونیك ،  وجوددارد.

در ارائه خدمات مالی روی اینترنت برای بانك ها مشكل است تا كنترلهـای داخلـی را اعمال و سرنخ های حسابرسی روشـنی را حفظ كنند، چنانچه ایـن تـدابیر بـا محـیط  بانكداری الكترونیك تطبیق داده نشود.  بانك ها نه تنها برای اطمینان از كنترل مؤثر داخلی در محیط های كـاملاً خودكـار با چالش مواجه هستند، بلكه این كنترل ها مــی توانــد بــه ویــژه بــرای تمــام وقــایع و كاربریهــای حیــاتی بانكــداری الكترونیــك ، حسابرسی شوند.  محیط كنترل داخلـی بـرای یـك بانـك چنانچه نتواند سرنخ های حسابرسی روشنی را برای فعالیـتهـای بانكـداری الكترونیـك حفظ كند، ممكن است ضعیف شود.  این امر از آن روست كه بیـشتر اگـر نـه همه، سوابق و شواهد مربوط به پشتیبانی از معاملات بانكـداری الكترونیـك بـه صـورت الكترونیك هستند.

در تصمیمگیری روی این نكتـه كـه تـا كجــا ایــن ســرنخ هــای حــسابرسی رابایــد حفظ كرد ، انواع معاملات زیر در بانكـداری الكترونیك ، باید ملاحظه شوند:

* گــشایش ، بهبــود و مــسدود كــردن حساب مشتری

* هر گونه معاملـه ای كـه نتـایج مـالی داشته باشد.

* هــر گونــه اعطــای مجــوزی كــه بــهمشتری اجازه می دهد تا از محدوده خاصی بالاتر رود.

* هر گونه اعطای مجوز ، بهبود یـا لغـو حقوق و امتیازات دسترسی به سیستم ها

ضمیمه ٤‐چند رویـه مناسـب را بـرای كمــك بــه اطمینــان از اینكــه ســرنخ هــای حسابرسی روشنی برای عملیـات بانكـداری الكترونیــــك وجــــود داشــــته باشــــند، مشخص میكند.

اصل ١٠‐ بانك ها باید تدابیر مناسب  را بــه منظــور حفــظ محرمانــه بــودن  اطلاعات كلیدی بانكداری الكترونیك اتخاذ  كنند.این تدابیر باید با حساسیت اطلاعاتی  كه مخابره یا در پایگـاه هـای اطلاعـات  ذخیره می شود، متناسب باشد.

 محرمانه بودن به منظور اطمینان از این نكته است كه اطلاعات كلیـدی فقـط بـرای بانك نگهداری می شوند و قابل ملاحظه یـا استفاده توسط مراجع غیر مجاز نیست.  ســوء اســتفاده یــا افــشای غیــر مجــاز اطلاعـات، بانـك را در معـرض هـم ریـسك حقوقی وهم ریسك شهرتی قرار میدهد.  ظهور بانكداری الكترونیـك ، چالـشهای امنیتی اضافی را بـرای بانـك هـا بـه میـان  میآورد، زیرا این بحث را تقویت میكند كه  اطلاعات مخابره شده روی شـبكه عمـومی یا ذخیره شـده در پایگـاه اطلاعـات ممكـن اســت بوســیله اشــخاص غیرمجــاز قابــل دسترسی باشد ، یـا اینكـه بـه طریقـی كـه  مشتری در ارائه اطلاعات قـصد نداشـت تـا  همه بدانند، مورد استفاده قرار گیرد.  عـــلاوه بـــر آن ، اســـتفاده روزافـــزون ارائه کنندگان خدمات ممكن است اطلاعات كلیـــدی بـــانكی را در دســـترس دیگـــران قراردهد.

برای رفع چالش های مربوط بـه حفـظمحرمانه بودن اطلاعات كلیـدی ، بانـك هـا نیاز به آن دارند تا اطمینان حاصل كنندكه:

 تمــام اطلاعــات و ســوابق محرمانــه فقط توسط افراد، عوامل یا سیستم هایی كه صــلاحیت و مجــوز لازم را دارنــد، قابــل دستیابی است.

 تمام اطلاعات محرمانه بانكی در وضع ایمنی نگهداری و دربرابر رویت غیر مجـاز یا دستكاری هنگام ارسال در شـبكه هـای عمــومی، خــصوصی یــا داخلــی، حفاظــت میشوند.

 استاندارد و كنترل های بانك ها برای استفاده از اطلاعـات و حفاظـت ، بایـستی هنگامی كه اشخاص ثالث امكان دسـتیابی به داده ها از طریق روابط یا منابع بیرونـی را دارند، كاملاً رعایت شود.

 تمام دستیابی ها به اطلاعات محرمانه قفل شوند و تـلاش هـای مناسـبی بـرای  اطمینان از اینكه قفـل هـای دسـتیابی در برابر رخنه مقاوم هستند ،به عمل آید. شهرتی(اصول ١١تا ١٤) & ج‐مــدیریت ریــسك حقــوقی و  حفاظت خـاص مـشتری و مقـررات و قوانین مربوط به حریم آنها در یـك مرجـع  قضایی با مرجع قضایی دیگر فرق می كند. با این حال بانك هـا در كـل مـسئولیت روشــنی دارنــد تــا راحتــی لازم را درمــورد افــشای اطلاعــات ، حفاظــت از اطلاعــات خصوصی مشتری و ارائه اطلاعات بازرگانی ، برای مشتریان خود فراهم آورند.

این راحتـی بایـد متناسـب بـا سـطحی باشد كه آنهـا مـی داشـتند، چنانچـه داد و ستد معاملاتی آنها از طریق كانالهای توزیـع بانكی سنتی انجام می شد.

اصل ١١‐ بانك ها باید اطمینان حاصل كنند كه اطلاعات كافی در وب سایت آنها  وجود دارد تا به مشریان بـالقوه اجـازه دهد تایك نتیجه گیری آگاهانه درباره وضعیت شناسایی ومقررات بانك قبل از آنكه وارد مراحل بانكـداری الكترونیـك شوند، بدست آورند.

به منظور كاهش ریسك هـای قـانونی و شهرت مـرتبط بـا فعالیـت هـای بانكـداری الكترونیك كه هم در داخـل و هـم در ورای مرزهــا صــورت مــی گیــرد، بانــك هــا بایــد اطمینان حاصل كنند كه اطلاعات كافی در وب سایت آنها وجود دارد تـا بـه مـشتریان  اجازه دهد قبـل از وارد شـدن بـه عملیـات  بانكــداری الكترونیــك بــه نتیجــه گیــری آگاهانه تر برسند.

مثالهایی از ایـن اطلاعـات كـه در كـل،  وضعیت شناسایی و هویت بانك را در بر می گیرد ، از این قرار است:

نــام بانــك و محــل اداره مركــزی آن (ادارات محلی در صورتی كه نیاز باشد)

شناسه مرجع یا مراجع نظارتی اصـلی بانك, مسئول نظارت در اداره مركزی بانك

چطور مشتریان مـی تواننـد بـا مركـز خدمات مـشتری بانـك در مـورد مـشكلات مربوط بـه ارائـه خـدمات، شـكایات و سـوء  استفاده های مشكوك از حساب ها و غیـره تماس بگیرند.

چطور مشتریها می تواننـد بـه برنامـه طــــــــرح شــــــــكایت مــــــــشتری (OMBUDSMAN)دسترســی داشــته و آن را مورد استفاده قرار دهند.

چطور مشتریها می توانند به اطلاعات مربوط به درخواست غرامت ملـی ، پوشـش بیمه ودیعه در سطح حفاظتی كه آنها تـوان آنرا دارند یا پیوند به وب سـایت هـایی كـه  اینگونــه اطلاعــات را در اختیــار آنهــا مــی گذارد، دسترسی داشته باشند.

سایر اطلاعاتی كه مناسب است و می تواند مورد نیاز مراجع قضایی باشد.

اصل ١٢‐ بانك ها باید تدابیر مناسب را به منظور اطمینان از تبعیت با نیازهای  خصوصی مشتری مرتبط با مراجع قضایی كــه در آن بانــك تولیــدات و خــدمات  بانكداری الكترونیك را ارائه مـی دهـد،  اتخاذ كنند.

حفــظ اطلاعــات مربــوط بــه حــریم خصوصی مـشتری یـك مـسئولیت كلیـدی برای بانك به شمار می آید. سوء استفاده یـا افشای غیر مجاز اطلاعات محرمانه مشتری، بانك را در معرض ریسك حقوقی و شهرتی قرار می دهد.

برای رفع این چالش ها ، در مورد حفظ حریم خصوصی اطلاعات مشتری ، بانك هـا بایــد تــلاش هــای معقــولی را بــه منظــور اطمینان از اتخاذ تدابیر زیر به عمل آورند:

سیاستهای حـریم خـصوصی مـشتری بانـك و اســتانداردهایی كـه در ایــن زمینــه رعایت میشود باید كـاملاً مطـابق بـا همـه  مقررات حفظ حریم و قوانین مربوط بـه آن  در مراجع قضایی باشد كه در آن تولیدات و خدمات بانكداری الكترونیك ، ارائه میشود.

مــشتریها بایــد در مــورد سیاســتهای مربوط به حفظ اطلاعات خـصوصی بانـك و مسایل مرتبط با آن در استفاده از خدمات و تولیــدات بانكــداری الكترونیــك ، اطــلاع پیداكنند.

مشتریها ممكن است تمـایلی نداشـته باشند تا اجازه دهند كه بانك هـا اطلاعـات  شخصی مربوط به آنها را در زمینه هـایی از  قبیل نیازهای شخـصی ، علایـق ، وضـعیت  مالی یا فعالیت بانكی ، به منظـور بازاریـابی متقابل در اختیار شخص ثالث قرار دهند.

اطلاعات مشتری نباید برای مقاصدی ورای آنچه به طـــور مشخـــــص مجاز شمرده شده یا بـرای مقاصـدی ورای آنچـه مــشتری مجــاز مــی دانــد ، مــورد اســتفاده قرارگیرد.

استانداردهای بانـك بـرای اسـتفاده از اطلاعات مـشتری بایـد زمـانی كـه شـخص ثالث به اطلاعات مشتری از طریق روابط بـا منــابع بیرونــی دسترســی پیــدا مــی كنــد، رعایت شود.

ضــمیمه پــنج، چنــد سیاســت كــاری مناسب را به منظور حفـظ حـریم اطلاعـات خصوصی مشتری در بانكداری الكترونیـك ، معرفی می كند.

اصل ١٣‐بانك ها باید ظرفیت مؤثر ،  تداوم داد و ستد و برنامه ریزی وضعیت  اضطراری داشته باشـند تـا بدینوسـیله  بتوانند از عملكرد من اسب سیستم هـا و  خدمات بانكـداری الكترونیـك اطمینـان  حاصل كنند.

به منظـور حفاظـت بانـك هـا در قبـال  ریــسك هــای شــهرت، قــانونی و تجــاری ، خــدمات بانكــداری الكترونیــك بایــد طبــق انتظــارات مــشتری، بــه صــورت مــستمر و به موقع انجام شود.

برای نیل به این هدف ، بانك بایـد ایـن قابلیت را داشته باشد تا خـدمات بانكـداری الكترونیكرابه مصرفكنندگان نهایی ازطریق منابع دست اول(مانندسیستمهاوكاربریهای داخلی خود بانك)یا از طریـق منـابع دسـت دوم (ماننــد سیــستم هــا و كــاربری هــای ارائه دهندگان خدمات)،برساند.  در همین حال باید سیستم های یـدك اضــطراری از لحــاظ تعمیــر و نگهــداری، همواره در وضعیت آماده باشند تـا هنگـامی كه مشكلی برای سیـستم اصـلی بـه وجـود  میآید یا موقعی كه بحرانی، اخـلال در كـار را سبب می شود، قطع سیستم رخ ندهد یـا به حداقل كاهش پیدا كند.

چالش های مربوط به حفظ و دسـتیابی مداوم به سیستم ها و كاربریهای بانكداری الكترونیك ، به ویـژه هنگـام تقاضـای زیـاد  بــرای اســتفاده از سیــستم در زمــان اوج میتواند قابل ملاحظه باشد.

علاوه بر آن ، انتظارات بالای مشتری در مــورد زمــان كوتــاه پــردازش عملیــات و دسترسی مداوم ٢٤ ساعته و ٧روز در هفته، به نوبه خود اهمیت در نظر گرفتن ظرفیـت كافی، تداوم تجارت و برنامه ریزی اضطراری را افزایش داده است . برای آنكه تداوم ارائه خدمات بانكـداری الكترونیك به مشتریها تـا آن حـد كـه آنهـا انتظاردارند، حفظ شود ، بانكهـا نیـاز بـه آن دارند تا اطمینان حاصل كنند كه:

ظرفیت سیستم بانكداری الكترونیـك فعلی و پیش بینی مقدار مورد نیاز بـرای آن در آینده براساس پویایی كلی بـازار تجـارت الكترونیك و نرخ جذب مـشتری ایـن گونـه تولیــــدات و خــــدمات مــــورد تحلیــــل قرارمیگیرد.

تخمــین هــای مربــوط بــه ظرفیــت پردازش معاملات بانكداری الكترونیك بایـد مرتــب انجــام و آزمــایش هــای تــنش بــه عملآید ، ضمن آنكه همه این ها هـر چنـد وقت یكبار دوباره ملاحظه شوند.

 تداوم تجارت مناسـب و برنامـه هـای اضـــطراری بـــرای فرآینـــدهای بانكـــداری الكترونیـــك در زمـــان بحرانـــی واینكـــه سیستمهای تحویـل بایـد موجـود باشـند و  مرتب آزمایش شوند.

ضمیمه ٦‐چند ظرفیت مطلوب مربـوط به تداوم تجارت و برنامه ریزی اضـطراری را مشخص میكند.

اصل ١٤‐ بانك ها باید برنامه هـای  مناسبی را برای پاسخ به حوادث داشـته  باشند تا در صورت وقوع رویداد هـای  غیرمترقبه ، (به عنوان مثال حملات داخلی  و خارجی كـه ممكـن اسـت مـانع ارائـه  سیستم ها و خدمات بانكداری الكترونیك  شود) بتوانند اثرات آنها را كاهش و بر  آنها فائق آیند.

مكــانیزم مــؤثر پاســخ بــه حــوادث در كــاهش ریــسك هــای حقــوقی ، شــهرت و عملیــاتی ناشــی از حــوادث غیــر مترقبــه از قبیــل حمــلات داخلــی و خــارجی كــه ممكن است بر عملكرد سیستم ها و خدمات بانكداری الكترونیك اثر نـامطلوب بگـذارد ،حیاتی هستند.

بانك ها باید نقشه های مناسـبی بـرای پاســـخ بـــه حـــوادث تهیـــه و از جملـــه استراتژیهای ارتباطی مؤثری را تدوین كنند.  تدوین این استراتژیها برای اطمینان نـسبت به تداوم تجارت، كنتـرل ریـسك شـهرت و  محدود كردن تعهدات مرتبط بـا اخـلال در خدمات بانكداری الكترونیك از جمله زمانی كه از سیستم ها و عملیـات منـابع بیرو نـی ریشه میگیرد، انجام میشود.  برای اطمینان از پاسخ مؤثر بـه حـوادث پیش بینی نشده ، بانك ها باید بوجودآورند:

 نقشه های مربوط به پاسخ به حادثه برای بازگردانیدن خـدمات و سیـستم هـای بانكـداری الكترونیـك تحـت ســناریوها ، در نقـاط جغرافیــایی و وضـعیت هــای تجــاری گونــاگون –تجزیــه و تحلیــل ســناریو بایــد احتمال ریسكی را كه اتفاق میافتدوتأثیرآن بربانك را هم شامل شود.سیستمهای بانكـداری الكترونیك كه به منابع بیرونی وارائه دهندگان ثالث خدمات مربوط میشوند، جزء لاینفـك این برنامه ها به شمار می روند.

 مكانیزم هـای شناسـایی حادثـه یـا بحران به محض آنكـه روی بدهـد ،ارزیـابی  چند و چون آنهـا . كنتـرل ریـسك شـهرت ناشی از اخلال در ارائه خدمات.

 این یـك اسـتراتژی ارتبـاطی بایـد به اندازه كافی بازار بیرونی و نگرانی رسانهها را مد نظر داشته باشـد. نگرانـی كـه ممكـن اســت ناشــی از رخنــه امنیتــی و حمــلات مــستقیم یــا از كــار افتــادن سیــستم هــای بانكداری الكترونیك باشد.

 یك فرآیند روشن برای خبر كـردن ســریع مراجــع قــانون گــذاری مربــوط در صــورت وقــوع رخنــه امنیتــی یــا رخ دادن حوادث منجر به اخلال در سیستم ها.

 تیم های پاسخ به حادثه با قدرت و اختیار آنكه در شرایط اضطراری عمل كننـد و به اندازه كافی در زمینه تجزیـه و تحلیـل سیستم های پاسخ كـشف و اهمیـت بـازده  مربوطه ، آموزش دیده باشند .

 یك زنجیره روشن از فرماندهی كـه هم عملیات مربوط به منابع بیرونـی و هـم  منابع درونی راكنترل می كند. ایـن كنتـرل به منظور اطمینان از این امر انجام میشودكه اقدام فوری متناسب با اهمیت حادثه به عمل آید. علاوه بر آن ، روش های ارتباطی داخلی مناسبی باید به این منظور طراحی كرد كـه از جمله در صورت لزوم آگاه كـردن هیـأت مدیره را در برمی گیرد.

 فرآیندهایی كه اطمینان مـیدهـد، تمــام طرفهــای خــارجی مربــوط، از جملــه مشتریان بانك طرفهای متقابل ورسانه ها به نحو مطلـوب و در مـدت زمـان كافــــی از  اخلال در سیـستم هـا و تحـولات ناشـی از  راه انــدازی مجــدد سیــستم ، اطــلاع پیــدا میكنند.

فرآیندی برای گردآوری وحفظ شواهد قانونی به منظور تسهیل در بررسیهای بعد از حادثه بانكداری الكترونیـك و نیـز كمـك در محاكمه حمله كنندگان.

• ضمیمه١‐ رویه های كنترل ایمنی مناسب برای بانكداری الكترونیك:

١‐ترتیبات امنیتی بایـد ایجـاد و حفـظ شود و در چـارچوب آن اعطـای مجوزهـای لازم به همه كاربران سیـستم و كاربریهـای بانكداری الكترونیك، شامل همه مـشتریان ، كــاربران داخلــی بانــك و ارائــه دهنــدگان بیرونی خدمات صورت گیرد. كنترل های منطقی دستیابی به منظـور پشتیبانی از جداسازی مناسب وظـایف نیـز باید اعمال شود.

٢‐اطلاعـات و سیـستم هـای بانک دارید الكترونیك باید طبق حساسیت اهمیت آنهـا طبقه بندی حفاظتی شود.مكـانیزم مناسـب از قبیــل رمــز گــذاری،كنترل دسترســی و برنامه های بازیافت داده ها ،برای حفاظت از همه سیستم هـای حـساس و پـر مخـاطره  بانكداری الكترونیك از قبیل سـرورها،پایگاه داده ها و كاربری ها،در نظر گرفته شود.

٣‐ذخیــره داده هــای پــر مخــاطره یــا حساس در كامپیوترهای رومیزی و روپـایی (DESKTOP-LAPTOP)بایــد بــه حداقل كاهش یافتـه و بـه نحـو مناسـبی از طریـــق رمزگـــذاری ،كنتـــرل دسترســـی برنامه های بازیافت اطلاعات حفاظت شوند.

٤‐كنترلهای فیزیكی كافی باید به منظور ممانعت ازدسترسی غیرمجاز بـه سیـستمهـای حیــاتی بانكــداری الكترونیك،ســرورها ،پایگــاه داده ها و كاربری ها وجود داشته باشند.

٥‐تكنیك های مناسب باید به منظوركاهش تهدیدهای خارجی بر سیستم های بانكداری الكترونیك،از جمله استفاده از موارد زیر در نظر گرفته شوند:

 نرم افزار جـاروب ویـروس در همـه نقــاط حیــاتی ورودی (از قبیــل ســرورهای دسترسی از راه دورـ سرورهای PROXY مربــوط بــه پــست الكترونیــك)روی همــه كامپیوترهای رومیزی.

 نــرم افــزار كــشف رخنــه، ســایر ابزارهای ارزیابی ایمنی باید به طور متنـاوب به بررسی شـبكه هـا، سـرورها و دیوارهـای  آتش ،برای تشخیص نقاط ضـعف یـا تجـاوز به حریم های امنیتی و كنترل ها،بپردازند.

آزمایش نفوذ شبكه های داخلی وخارجی

٦‐ فرآینـد انجـام بررسـی هـای شـدیدامنیتی بایستی برای همـه كاركنـان و ارائـهكنندگان خدماتی كه پـست هـای حـساس دارند،اعمال شود.

• ضمیمه ٢‐ رویه های مناسـب برای اداره سیستم ها و خدمات بانكداری  الكترونیك ارائه شده از سوی منابع بیرونی.

١‐بانك هـا بایـد تـدابیر مناسـب بـرای ارزیابی تصمیمات اتخاذ شده از سـوی ارائـه دهنـــدگان بیرونـــی خـــدمات بانكـــداری الكترونیك را در نظر بگیرند.

 مدیریت بانك باید به روشنی هدفهای استراتژیك ،امتیازات و هزینه هـای مربـوط به استفاده از منابع بیرونی وطرحهای ثالـث برای بانكداری الكترونیك را شناسایی كند.

 تصمیم مربوط به واگذاری یك كـار كلیـــدی یـــا انجـــام خـــدمات بانكـــداری الكترونیــك بــه منبــع بیرونــی بایــد بــا استراتژیهای تجاری بانك سازگار و بر اساس یك نیاز تجاری تعریف شـده اسـتوار باشـد، ضمن آنكه ریسك خاص مربـوط بـه منبـع بیرونی را هم در نظر بگیرد.

 تمامی زمینه های متأثر بانك بایـددریابند كه چگونه ارائه دهندگان خدمات از اســتراتژی بانكــداری الكترونیــك بانــك هــا حمایت به عمل آورده و با ساختار عملیـاتی آن متناسب می شوند.

 بانك ها بایـد قبـل از انتخـاب یـك ارائــه دهنــده بیرونــی خــدمات بانكــداری الكترونیك و نیز درفواصـل مناسـب بعـد از آن، تحلیل ریسك داشته باشند.

 بانكهــا بایــد فرآینــدهایی را بــرای انتخاب پیشنهادها از میان چند ارائه دهنده خــدمات بانكــداری الكترونیــك طراحــی و معیار انتخاب از میان پیشنهادهای مختلـف را مورد ملاحظه قرار دهند.

 زمانی كه یك ارائـه دهنـده، بـالقوه خدمات شناسایی شد،بانك باید یك بررسی جامع، از جمله تحلیل ریسك از قدرت مالی ارائه دهنده خدمات ، شهرت، سیاست هـا و كنترل های مدیریت ریـسك و نیـز قابلیـت انجام تعهدها داشته باشند.

 پس از آن بانـك هـا بایـد بـه طـور  مرتــب و بــه طریــق مناســب بررســی هــای مستمری را انجام دهند و قابلیت ارائه كننده خدمات را بـرای انجـام خـدمات و تعهـدات مــدیریت ریــسك در طــول مــدت قــرارداد،  مدنظر قرار دهند.

 بانك ها باید اطمینان حاصل كننـد كه منابع كافی برای نظارت بر فعالیت منابع بیرونـــی پـــشتیبانی كننـــده از بانكـــداری الكترونیك وجود دارد.

 مسئولیت های نظارت بـر ترتیبـات منابع بیرونی بانكداری الكترونیـك بایـد بـه روشنی مشخص شود.

 یــك اســتراتژی مناســب خــروج از لحاظ مدیریت ریسك باید برای بانك وجود داشته باشد ، زمانیكه ضرورت خاتمـه دادن به قرارداد روابط با منابع بیرونی مطرح شود.

٢ـ بانك ها باید روش هـای مناسـبی را به منظـور اطمینـان از كفایـت قراردادهـای حــــاكم بــــر بانكــــداری الكترونیــــك اتخاذكنند.قراردادهای حاكم بر فعالیت های  بانكداری الكترونیك منابع بیرونی به عنـوان مثال باید موارد زیر را در نظر بگیرد:

 تعهدات قراردادی طرفهای درگیر و مسئولیت های مربوط به تـصمیم گیـری از جمله تعهد قراردادهای فرعی مادی، باید به روشنی تعریف شده باشند.

 مسئولیت ارائه اطلاعـات و دریافـت اطلاعات از ارائه كنندگان خدمات بایـد بـه روشنی تعریف شوند. اطلاعـات دریـافتی از ارائه دهنده خدمات باید بـه موقـع و جـامع باشد تا بتواند به بانك این اجازه را بدهد كه به اندازه كافی سطوح خدمات و ریـسك هـا را مورد ارزیابی قرار دهـد.روش هـای مـورد استفاده برای آگاهی رسانی در مورد اختلال در ارائه خدمات بانك، نقض امنیتی و سـایر اتفاقاتی كه می تواند یك خطر مادی بـرای بانك به وجود آورد ،باید مشخص شود.

 مقرراتی كه به ویـژه بـرای پوشـش بیمه ای به وجود می آید ،مالكیت اطلاعـات ذخیــره شــده در ســرورها یــا پایگــاه هــای داده های ارائه كنندگان خدمات و حق بانك برای بازیافت اطلاعات درپی سپری شدن یا اتمام قرارداد، باید به روشنی تعریف شود.

 انتظــارات عملكــرد تحــت هــردو شــرایط عمــومی و اضــطراری بایــد تعریــف شوند.

 وســایل و ضــمانت هــای كــافی بــه عنوان نمونـه از طریـق اعمـال شـیوه هـای  حسابرسی باید تعریف شوند تا اطمینان بـه

 بـــرای ترتیبـــات منـــابع بیرونـــی فرامـرزی، تعیــین ایـن نكتــه كـه قــوانین و مقررات كدام كشور از جمله آنهائیكه مربوط به حریم خـصوصی و سـایر حفاظـت هـای  مشتری هستند با آنهـا مطابقـت مـیكنـد، ضروری است .

 حق بانك برای بررسـی مـستقل یـا حــسابرسی امنیتی،كنتــرل هــای داخلــی ، تداوم تجارت و برنامـه هـای اضـطراری بـه  روشنی تعریف شوند.

٣ـ بانك ها باید اطمینان پیدا كنند كـه حــسابرسی خــارجی و داخلــی مــستقل و متناوب از عملیات منابع بیرونی، حـداقل در همان سطحی كه مورد نیـاز مـی شـود، در  صورتیكه چنین عملیاتی در سـطح داخلـی انجام شود، به عمل آید.

 برای روابط با منابع بیرونـی كـه در برگیرنده خدمات و كاربری های حیاتی و به لحـــاظ تكنولـــوژی پیـــشرفته بانكـــداری الكترونیك، بانك ها نیاز به آن دارنـد تـا بـه بررســیهای متنــاوب دیگــری بپردازنــد كــه بوسیله اشخاص ثالث مستقل وبرخـوردار از دانش فنی كافی ، انجام می شود.

٤ـ بانك هـا بایـد طرحهـای اضـطراری  مناسب برای فعالیت های بیرونی بانكـداری الكترونیك داشته باشند.

 بانك ها نیاز بـه آن دارنـد تـا بـرای همــه سیــستم هــا و خــدمات بانكــداری الكترونیــك خــود كــه بــه منــابع بیرونــی و طرفهای ثالث واگذار می شود، برنامـه هـای اضطراری داشته و آنهـا رابـه طـور متنـاوب  آزمایش كنند.

 طرحهــای اضــطراری بایــد بــدترین سناریو ها را در نظر گیرد تـا بتوانـد در هـر شرایطی تداوم خدمات بانكداری الكترونیك را در صورت وقـوع هـر گونـه اختلالـی كـه  تحــت تــأثیر منــابع بیرونــی روی دهــد، حفظ كنند.

 بانك ها باید تـیم مـستقلی داشـته باشند كه آن تیم مسئول مدیریت بازیافت و  ارزیــابی اثــر مــالی اخــتلال در خــدمات بانكداری الكترونیك منابع بیرونی است .

٥ـ بانك هـایی كـه خـدمات بانكـداری  الكترونیــــك رابــــه اشــــخاص ثالــــث واگذارمیكنند، باید اطمینان داشـته باشـند كه عملیات ، مسئولیت و تعهـدات آنهـا بـه  انــدازه كــافی روشــن اســت تــا نهادهــای خدمترسان بتوانند بررسـیهای خـود را بـا  پشتكار و به گونه مؤثری انجـام دهنـد و بـر روند كار نظارت داشته باشند.

 بانك ها مسئولیت دارند تا اطلاعات لازم در خـــصوص شناســـایی، كنتـــرل و رسیدگی به ریسك های مرتبط بـا خـدمات بانكداری الكترونیك را دراختیـار نهادهـایی بگذارندكه این گونه خدمات دراختیـار آنهـا قرارمی گیرد.

• ضمیمه٣‐رویه های مناسب صدور مجوز برای كاربریهای بانكداری الكترونیك

١‐صدور مجوز و امكان دسترسی شامل همــه اشــخاص، عوامــل یــا سیــستم هــایی میشود كـه فعالیـت بانكـداری الكترونیـك انجام میدهند.

٢‐همـــه سیـــستم هـــای بانكـــداری الكترونیك باید به گونه ای ساخته شود كـه آنها با یـك پایگـاه داده هـای معتبـر دارای  مجوز ، در تعامل باشند.

٣‐هیچ عامل یا سیستم نباید به تنهایی اختیار تغییـر صـلاحیت خـود را در پایگـاه  داده های صدور مجوز بانكداری الكترونیـك پیدا كند.

٤‐هر گونه افزایشی در افـراد ، عوامـل،  سیــستم یــا تغییــر امتیــاز دسترســی در مجوزدهـی بـه پایگـاه داده هـای بانكـداری الكترونیك باید از سـوی یـك منبـع كـاملاً معتبر باشد.منبعی كه به قـدر كـافی دارای اختیار و برخوردار از سرنخ های حـسابرسی باشد و بتوان فعالیـت هـای وی را بـه نحـو  صحیحی و به موقع نظارت كرد.

٥‐تدابیر لازم باید وجود داشته باشد تـا بتوان مجوز دهی بانكداری الكترونیك را بـه نحو معقولی در برابر رخنه مقاوم كرد.هرگونه رخنه ای باید از طریـق فرآینـدهای مـداوم  كنترل و بررسی قابل كشف باشد.سرنخهای حسابرسی كافی،باید وجود داشته باشـد تـا بتواند هر گونه اخلالی را مستند كرد.

٦‐هر گونه پایگاه داده هایی كـه در آن رخنــه شــده باشــد ، نبایــد مــورد اســتفاده قرارگیرد تا اینكه بـا یـك پایگـاه دادههـای معتبر تعویض شود.

٧‐كنترل هایی باید وجود داشته باشـد تا از تغییرات در سـطوح مجـوزدهی هنگـام انجام عملیات بانكداری الكترونیك اجتنـاب شود.هر گونه تلاشی برای تغییر مجـوزدهی بایستی قفل شود و به اطلاع مدیریتبرسد.

•ضمیمه ٤‐ رویه هـای مربـوط بـه  سـرنخ هـای حـسابرسی دقیـق بــرای  سیستمهای بانكداری الكترونیك

١‐باید سوابق كافی برای تمام معاملات بانكداری الكترونیك در نظر گرفته شـود تـا یك سرنخ حسابرسی روشن ایجاد و به حـل اختلاف كمك كند.

٢‐سیـستم هـای بانكـداری الكترونیــك باید به گونه ای طراحی و نـصب شـوند تـا بتوانند شواهد قـانونی را جـذب و نگهـداری كنند .این امر باید طوری صـورت گیـرد تـا  بتوان شواهد را كنترل ، از رخنه جلـوگیری و شواهد كاذب را گردآوری كرد.

٣‐در مواقعی كه سیستم های پـردازش و ســـرنخ هـــای حـــسابرسی مربـــوط در مسئولیت یك ارائـه كننـده ثالـث خـدمات  قراردارد.

بانك باید اطمینان حاصل كند كه بـه اطلاعات مربوط به فعالیت های حـسابرسی مربــوط كــه توســط ارائــه كننــده خــدمات نگهداری می شود، دسترسی دارد.

سرنخ های حسابرسی نگهداری شـده توســط ارائــه كننــده خــدمات بایــد بــا استانداردهای بانك مطابقت كند.

•ضمیمه ٥‐ رویه های مناسب بـرای  حفظ خصوصی بودن اطلاعات بانكداری  الكترونیك مشتری

١‐بانك ها باید تفكیك های رمز نگاری مناســب، پروتكــل هــای خــاص یــا ســایر كنترلهای ایمنی را به منظـور اطمینـان از محرمانــه نگهداشــتن اطلاعــات بانكــداری الكترونیك به كار گیرند.

٢‐بانك ها باید روش ها و كنترل هـای مناسبی را بـرای ارزیـابی گـاه بـه گـاه زیـر ســاخت امنیتــی مــشتری و پروتكــل هــای بانكداری الكترونیك ، مورد توجه قراردهند.

٣‐بانك ها باید اطمینان حاصـل كننـد كه ارائه كنندگان ثالث خدمات سیاستهای  محرمانه نگه داشتن و حفظ حریم خصوصی را كه سازگار باخودشانباشد،اعمالمیكنند.

٤‐بانك ها بایـد گـام مناسـب را بـرای  آگاهی رسانی به مشتریان بانكداری الكترونیك دربــاره محرمانــه بــودن وحفــظ اطلاعــات خصوصی افراد بردارند.این گام ها عبارتنداز:

 اطلاع رسانی به مـشتریان در مـورد سیاست حفظ حریم خصوصی افراد از سوی بانك ، حتـی الامكـان از طریـق وب سـایت  بانك.در این زمینه استفاده از زبان روشـن و فــشرده توصــیه مــی شــود تــا اطمینــان حاصل شود كه مشتری كاملاً سیاست مـورد بحــث را درك مــی كنــد.توضــیحات بلنــد حقوقی، هر چقـدر هـم دقیـق باشـد بطـور  معمول توسط اكثر مشتریها خوانده نمیشود.

آموزش به مشتریها در مورد لزوم حفاظت ازرمز واژه هـا،شـماره هـای شناسـایی شخـصی یا سایر دادههای شخصی و بانكی خودشان

در اختیار نهادن اطلاعات مربـوط بـه امنیــت عمــومی كامپیوترهــای شخــصی مشتریها، از جمله مزایای استفاده از نرم افزار محافظت در قبـال ویـروس ، كنتـرل هـای  دستیابی فیزیكی و دیوارهای آتش شخـصی بـــرای اتـــصالات ایـــستایی(STATIC)  اینترنت

• ضمیمه ٦‐ ظرفیت مناسب، تـداوم  تجــارت و رویــه هــای برنامــه ریــزی اضطراری برای بانكداری الكترونیك

١‐تمـــام خـــدمات و كـــاربری هـــای بانكــداری الكترونیــك، از جملــه آنهائیكــه توسط ارائـه كننـدگان ثالـث خـدمات داده  میشود ، بایستی بـه لحـاظ حیـاتی بـودن،  شناسایی و تحت آزمایش قرار گیرند.

٢‐بــرای همــه خــدمات و كاربریهــای حیاتی بانكداری الكترونیك ، از جمله موارد بالقوه اخـــــــلال تجاری در مورد خطرات  اعتباری،بازاری،نقدینگی ، حقوقی، عملیـاتی و شهرتی بانك، باید ارزیابی خطر انجام شود.

٣‐معیار عملكرد برای همه خـدمات و كــاربری هــای بانكــداری الكترونیــك بایــد تعریف شود و سطح خدمات در برابر چنـین معیاری كنترل شود. تدابیر مناسب بایـد بـه منظــور اطمینــان از ایــن نكتــه كــه همــه سیستمهای بانكـداری الكترونیـك قـادر بـه انجــام معــاملات كوچــك و بــزرگ هــستند اتخاذشـود و اینكـه عملكـرد سیـستم هـا و  ظرفیتها با انتظارت آتی بانك برای رشد در زمینه بانكداری الكترونیك سازگاری دارد.

٤‐ملاحظـــاتی بایـــد بـــرای توســـعه روشهــای پــردازش اطلاعــات بــه صــورت جانشین در نظر گرفته شود تا بتـوان زمـانی كه سیستم های بانكداری الكترونیك به نظر می رسند به ظرفیت های تعریف شده خـود رسیده اند، آنها را اداره كرد.

٥‐برنامه های تداوم تجارت بانكـداری الكترونیك باید به گونه ای تـدوین شـود تـا  بتوان برنامه های اتكـاء بـه ارائـه كننـدگان  ثالث خدمات و سایر وابستگی های خـارجی مورد نیاز را تنظیم كرد.

٦‐برنامــه هــای اضــطراری بانكــداری الكترونیك باید فرآیندهایی را بـه منظـور از ســرگیری یــا جانــشین كــردن قابلیتهــای پــردازش عملیــات بانكــداری الكترونیــك، بازســازی اطلاعــات معــاملاتی پــشتیبان در صورت وقوع اختلال تجاری ، در برگیرد. این فرآیندها از جملـه بایـد اتخـاذ تـدابیری بـه  ویژه، برای از سرگیری فعالیت سیستم هـا و كار بررسی های حیاتی بانكداری الكترونیك را شامل شود