مروری بر استانداردهای بانکداری و پرداخت الکترونیک؛ از ایزو تا بازل

عصر بانک؛*بهمن رضایت؛مفهوم لغوی استاندارد به معنای، نمونه، قاعده، اصل، مقیاس تصویب شده، و هر چیزی که به عنوان مبنایی برای مقایسه پذیرفته شود، است.

استانداردهای بانکداری و پرداخت الکترونیک

باتوجه به مفاهیم مذکور، مطابقت کالا، خدمات، آیین کار، سیستم کیفیت یا هر امری با استاندارد، بدین معناست که در آن موارد قواعد، اصول و مقررات ویژه ای رعایت شده است.

سطوح استاندارد:

استانداردها بر حسب گستردگی دامنه تحت پوشش، دارای پنج سطح کارخانه‌ای، شرکتی (جامعه‌ای)، ملی، منطقه‌ای و بین‌المللی هستند. استاندارد کارخانه‌ای توسط یک کارخانه برای استفاده در همان واحد تدوین می‌شود. البته گاهی کارخانجات، شرکتها یا تشکیلاتی که در یک زمینه خاص فعالیت می‌کنند، از طریق ایجاد یک جامعه یا انجمن، استانداردهای خاص خود را تدوین می‌کنند مانند انجمن جوشکاری آمریکا (AWS) استاندارد ملی توسط مؤسسه استاندارد در یک کشور با توجه به تمام شرایط خاص همان کشور مانند شرایط اقتصادی، اجتماعی، علمی و فنی تهیه می‌شود.

استانداردهای منطقه‌ای توسط کشورهای عضو یک پیمان منطقه‌ای خاص تهیه می‌شود مانند کمیته استاندارد اروپایی.

استاندارد بین‌المللی توسط سازمانهای مربوطه به منظور قابلیت استفاده بین‌المللی تهیه می‌شوند. مانند استانداردهای تهیه شده توسط سازمان بین‌المللی استاندارد(ایزو)، کمیسیون بین‌المللی الکتروتکنیک (IEC)

سازمان بین المللی استاندارد(ایزو)

ایزو ‌مخفف سازمان بین‌المللی استاندارد (International Standard Organization) است.

ایزو یک فدراسیون بین‌المللی متشکل از نهادهای ملی استاندارد است. تعداد این نهادها بیش از 140 عدد است که هر یک از آن‌ها متعلق به یک کشور هستند. ایزو یک سازمان غیردولتی(NGO) است که در سال1947 میلادی  تاسیس شد. وظیفه ایزو ارتقای توسعه استانداردسازی و فعالیت‌های مربوط به آن در دنیاست.

تمامی این امور برای ایجاد تسهیلات در زمینه صادرات و واردات کالاها، فن‌آوری‌ها و خدمات است. مجموع فعالیت‌های ایزو قراردادهای بین‌المللی است که به‌عنوان استانداردهای بین‌المللی انتشار پیدا می‌کند.

استانداردهای بانکی:

بانک‌ها بویژه در کشور ما با تعداد زیادی از سامانه های نرم افزاری و برنامه‌های کاربردی داخلی که بعضاً موجب سردرگمی کاربران نیز می گردد عملیات بانکی و بین بانکی خود را انجام می دهند. در گذشته تعامل بین بانکها در یک کشور و یک منطقه جغرافیایی و بین المللی نسبت به عصر حاضر بسیار اندک بوده است ولی امروزه بانکها نیازمند استانداردها و رویه های یکسانی برای گفتگو و تعامل با یکدیگر می باشند.

در دهه های گذشته هرچند صنعت بانکداری دارای استانداردهایی بوده است، اما به‌غیر از استثنایی همچون استانداردهای رایج سوئیفت، سایر استانداردهای بانکی بکار رفته بیشتر به ‌منظور طراحی و ایجاد ارتباط تراکنش‌های داخلی سیستم‌های خاص مانند دریافت و پرداخت یا پایاپای شکل گرفتند.

به‌تدریج با توجه به گسترش ارتباطات جهانی و ایجاد پارادایم‌های جدید کسب‌وکار، گسترش ارتباطات موسسات مالی و بانک‌ها به‌ منظور ایجاد بستر مناسب برای مبادلات مالی در سطح دنیا و همچنین به دلیل وجود رقابت در صنعت مالی، اهمیت یکپارچه‌سازی راه‌حل‌های بانکی اهمیت زیادی پیدا کرد.

اما به دلیل نبود استاندارد‌ها و همچنین متفاوت بودن معماری سیستم‌های بانکی، یکپارچگی آن‌ها همراه با صرف زمان و هزینه بالایی همراه بود. لذا وجود استاندارد‌ها در موسسات مالی و بانک‌ها اهمیت بالایی پیدا کرد.

در ادامه به معرفی تعدادی از استانداردهای بانکی در حوزه پرداخت می پردازیم:

ISO 8583:

استاندارد ایزو 8583 تدوین شده توسط سازمان ISO برای انتقال پیام‌های الکترونیکی تراکنش های مالی ایجاد شده توسط کارت‌های پرداخت می باشد که یک ساختار پیام و یک جریان ارتباطاتی را تعریف می کند لذا سیستم های مختلف می توانند این تراکنش ها را از طریق سوئیچ های بانکی و شتاب مبادله کنند.

بانک‌ها با پیاده سازی نسخه هفتم شتاب الزاماً استاندارد ISO8583 را به نسخه 2003 ارتقا داده که این امر در ارتباط با شبکه بین المللی پرداخت مورد استفاده قرار می گیرد.

برخی از ویژگیهای حاصل از پیاده سازی این استاندارد در شتاب 7 عبارتند از:

• ایجاد تراکنش‌های مرتبط با کیف پول الکترونیکی

• ایجاد خلاصه صورت‌حساب 10 تراکنش آخر

• ایجاد تراکنش انتقال از کارت به حساب

• ایجاد تراکنش پرداخت اقساط و لغو خرید

• افزودن الگوریتم های امنیتی قوی تر

ISO 7810:

استاندارد بین‌المللی ISO/IEC 7810 استانداردی است برای تعیین و تعریف مشخصات عمومی کارت‌های پلاستیکی که در آن فرآیندهایی معین برای مشخصات مشترک کارت‌ها ارایه گردیده است. این فرایندها گویای روند چگونگی استفاده از کارت در مبادلات بین‌المللی است. استاندارد حاضر تعیین‌کننده مشخصات فیزیکی کارت‌های شناسایی(ID Card)اعم از مواد کارت، ساختار، مشخصات و ابعاد مورد نظر در خصوص انواع کارت‌ها است.

PCI DSS:

یک استاندارد امنیت اطلاعات است که هر کسب و کاری با هر حد و اندازه، برای استفاده از کارت های پرداخت و همچنین ذخیره سازی، پردازش و یا ارسال اطلاعات صاحب کارت باید آن را دریافت نماید.

این ملزومات، یک چارچوب کاری برای محیط امن پرداخت کارتی را تعریف می کند که عبارتند از:

• ایجاد و حفظ یک شبکه امن

• حفاظت از اطلاعات دارنده کارت

• استفاده از برنامه های مدیریت آسیب پذیری

• اعمال تمهیدات قوی در کنترل دسترسی ها

• پایش و ارزیابی مداوم شبکه

• اتخاذ یک سیاست امنیت اطلاعات

اکثر بانکها در حال پیاده سازی و بهره برداری بخش هایی از این استاندار می باشد.

استاندارد EMV:

کلمه EMV مخفف نام سه شرکت Europay، MasterCardو Visa است که این استاندارد را ایجاد کرده‌اند. در حال حاضر این استاندارد توسط EMVCo. مدیریت می‌شود. موضوع اصلی EMV، بحث احراز هویت ابزار پرداخت است؛ اینکه ابزار پرداخت واقعی باشد و جعل نشود. استاندارد EMV، استاندارد فنی کارت‌های پرداخت هوشمند و پایانه‌های پرداخت و دستگاه خودپرداز است. کارت‌های EMV، کارت‌های هوشمندی هستند که اطلاعات را روی تراشه به جای نوار مغناطیسی ذخیره می‌کنند. بزرگ‌ترین تاثیر پیاده‌سازی این استاندارد ارتقای امنیت و کاهش تعداد برداشت‌های غیرمجاز از طریق روش‌هایی مانند تقلب است. برای افزایش قابلیت و ویژگی‌های امنیتی لازم است این استاندارد در هر دو قسمت کارت و پایانه پیاده‌سازی شود.

سایر استانداردهای ایزو:

• ایزو 7811 مربوط به استانداردهای کارتهای مالی – همچنین کارتهای اعتباری

• ایزو 7816 مربوط به کارتهای هوشمند

• ایزو 9564 مربوط به بانکداری – شماره شناسایی فردی یا پین کد در دستگاه‌های خودپرداز

• ایزو 1-8583 مربوط به کارتهای مبادلاتی اقتصادی – قسمت دوم، پیغام، عناصر داده‌ها

• ایزو 2-8583 مربوط به کارتهای مبادلاتی اقتصادی – مربوط به روال ثبت کدهای شناسایی موسسه‌ها و نهادها

• ایزو 3-8583 مربوط به کارتهای مبادلاتی اقتصادی – قسمت سوم

• ایزو 21188  چارچوبی برای زیرساخت کلید عمومی (PKI) در سرویس‌های مالی تعیین می‌کند. همچنین راه‌حل‌های مبتنی بر گواهی‌های امنیتی را در زمینه‌ی بانکداری اینترنتی بیان می نماید.

• ایزو 13616 استاندارد سازی شماره حساب ها(IBAN): یک سیستم شماره حساب استاندارد مهمترین بخش از محیط بانکداری بهینه در هر کشوری می باشد. لذا درخصوص تسهیل پردازش پرداختهای برون مرزی در راستای افزایش فعالیت پردازش مستقیم، سرعت بخشیدن به انتقالات پرداختی و ایجاد هزینه های سرویس دهی کمتر، نیاز به تعریف استاندارد (شماره حسابهای بانکی بین المللی) میباشد که بر مبنای ISO13616  پایه گذاری شده است.

به دلیل حفظ امنیت و ارتقای آن در شبکه‌های بانکی کشور بهتر است قبل از اتصال به شبکه‌های بین‌المللی، به موارد زیر نیز توجه شود:

• پیاده‌سازی سیستم مدیریت تقلب و ضدپول‌شویی

• پیاده‌سازی الزامات استانداردهای ISO27001 سیستم مدیریت امنیت اطلاعات، ISO31000 مدیریت ریسک، ISO22301  مدیریت تداوم کسب و کار و ISO20000 مدیریت سرویس و اخذ گواهینامه‌های مرتبط با آنها از شرکت‌های معتبر بین‌المللی مرجع صدور گواهینامه.

• انجام برنامه‌ریزی‌‌‌هایی جهت مهاجرت به آخرین نسخه‌های استانداردهای بین‌المللی در صورتی ‌که نسخه‌های قدیمی این استانداردها در شبکه‌های بانکی، پیاده‌سازی شده باشد.

• ایجاد زیرساخت‌های ارزیابی و ممیزی امنیت سامانه‌ها و شبکه‌های بانکی

باید توجه کرد که در دوران لغو تحریم‌ها، بانکداری حرفه‌ای یک ضرورت است و باید با استاندارد بین‌المللی و ابزارهای روز دنیا مطابقت داشته باشد.

به گفته رئیس کل بانک مرکزی ، پایین بودن استاندارد بانک‌های ایرانی و نگرانی از تحریم‌های آمریکا ، دو دلیل عدم همکاری برخی بانک‌های جهانی با بانک‌های ایرانی می باشند.

وی همچنین به این نکته اشاره دارد که در مدت تحریم‌ها، تحولات بسیاری در صنعت بانکداری جهان روی داده است و ما از استانداردهای روز جهانی عقب افتاده ایم و اینکه برخی بانک‌های جهانی تمایل به همکاری با بانک‌های ما ندارند، به دلیل استانداردهای پایین بانک‌های کشورمان است.

انطباق نظام پرداخت الکترونیکی کشور با استانداردهای روز دنیا در حوزه پرداخت و رعایت آنها در کنار سایر استانداردهای مالی و بانکی، زمینه ساز توسعه مراودات بین المللی و پیشرفت صنعت بانکداری در کشورمان خواهد شد.

*کارشناس فناوری اطلاعات بانک مسکن