آغازی نو و پرخروش در پایانه‌های فروش!

POS عالی و …

اهمیت پیادهسازی فراگیر و منسجم استاندارد PCI در جهت تأمین امنیت پایانه‌های فروش (POS)

زمانی که گروهی از تبهکاران سایبری به رهبری آلبرت گنزالس، طی سال های ۲۰۰۵ تا ۲۰۰۸ با ربودن اطلاعات بیش از ۹۰ میلیون کارت اعتباری و نقدی از طریق پایانه های فروش، نخستین حمله امنیتی گسترده از این نوع را رقم زدند، شاید کمتر کسی تصور می کرد بعدها دامنه این حملات چنان افزایش پیدا کند که سال ها بعد، شرکت امنیتی «ترندمایکرو» ۲۰۱۴ را سال بدافزارهای  POS Scraper RAM بنامد. این نفوذ ویران گر اولین حمله بزرگ و هدف مند به سامانه های POS قلمداد شد، اما هرگز آخرین آن ها نبود و نیست. مجله وایرد در سال ۲۰۱۴ فهرستی از ۱۰ حمله بانکی بزرگ تاریخ را گردآوری کرد و زیرکانه، جایگاه دهم را برای بزرگ ترین یورش بعدی کنار گذاشت؛ زیرا این داستان ادامه دارد…

از گذشته های دور و حتی زمانی که داد و ستدهای گوناگون به صورت پایاپای و با تبادل اجناس صورت می گرفت، اعتمادپذیری کلیدی ترین عامل انجام تعاملات محسوب می شد. در واقع طرفین معامله همیشه اصرار داشته اند که از انطباق چیزی که دریافت می کنند با شرایط مورد توافق اطمینان پیدا کنند. در زمان تبادل های پایاپای این کار با مشاهده و بررسی کالای دریافتی انجام می شد. با اختراع پول، این فرآیند به اطمینان از اصالت و مقدار مبلغ دریافتی تغییر یافت. اما ورود به عصر بانکداری الکترونیکی در کنار مزایای بی شمارش چالش های فراوانی را هم به همراه آورد که یکی از مهم ترین موارد آن، عدم آشنایی کاربران با نحوه کار این سیستم ها بود. تجربه ثابت کرده است که هر مکانیزم جدید مالی با چالش پذیرش در بین مردم همراه خواهد بود. به عنوان مثالی آشکار می توان به امتیازهایی که بانک های اروپایی برای راضی کردن مشتریان خود در تغییر واحد حساب هایشان به یورو ارایه کردند و یا دوره نسبتا طولانی پذیرش چک های بانکی در کشور خودمان اشاره کرد. این وضعیت در مورد استفاده از کارت های بانکی خصوصا در کشور ما بیشتر خودنمایی می کند زیرا کاربران با ساختار و مکانیزمی روبه رو هستند که اساسا از آن سر در نمی آورند. این نکته کار کسب وکارهای متمرکز بر کارت های بانکی را به مراتب دشوارتر می کند زیرا کوچک ترین نشانه ای از عدم اعتمادپذیری می تواند باعث فاصله گرفتن کاربران از یک سیستم و در نهایت شکست عملکرد آن شود.

malware

همین نکته کلیدی باعث شده است امروزه تامین یک راه کار پرداخت امن به یکی از ملزومات کسب وکارهای گوناگون تبدیل شود. به طور طبیعی هر کسب وکاری که با پذیرش، پردازش و ذخیره سازی اطلاعات حساس کارت های بانکی سر و کار داشته باشد، به طور جدی نگران حفظ امنیت سیستم خود خواهد بود. در واقع سه علت ساده موجب می شود تا هر کسب وکاری در خصوص امنیت راه کارهای پرداخت خود نگران باشد:

۱- ناکامی در امن سازی سیستم ها می تواند هزینه سنگینی را به کسب وکار تحمیل کند

عدم موفقیت یک کسب وکار در حفظ امنیت سیستم های پرداخت می تواند با زیان های مالی سنگینی همراه باشد. این خسارات مالی می توانند از بازپرداخت خسارات مشتریان گرفته تا جرایم مختلف و هزینه های جانبی رویه های حقوقی را شامل شوند. به رغم تلاش های جدی که در حوزه امن سازی امنیت سیستم های پرداخت صورت می گیرد، داده ها نشان می دهند که هزینه رخنه های امنیتی در حال افزایش هستند. بر اساس نتایج یک مطالعه که در سال ۲۰۱۵ توسط شرکت آی بی ام و نظرسنجی از بیش از ۱۵۰۰ متخصص این حوزه انجام شد، متوسط هزینه کلی افشای داده ها در این سال به ۳٫۸ میلیون دلار می رسید که نسبت به سال ۲۰۱۳ افزایشی ۲۳ درصدی را نشان می داد. همین مطالعه نشان می داد هزینه هر رکورد حساس سرقت شده معادل ۱۵۴ دلار است (در مقایسه با ۱۴۵ دلار در سال ۲۰۱۳).

۲- ناکامی در تامین یک سیستم امن می تواند اعتبار کسب وکار شما را به خطر بیاندازد

اگر سیستم های مالی شما امن نباشند و دچار رخنه ای امنیتی شوید، تقریبا بدون تردید اعتبار نام تجاری شما و همچنین اعتماد مشتریان تان با آسیبی جدی مواجه خواهد شد. توجه داشته باشید که مطالعات مختلف نشان می دهند تنها ۲۵ درصد از کاربران اعتقاد دارند که شرکت ها امنیت داده های مشتریان خود و حفاظت از آن ها را واقعا جدی می گیرند. در عین حال با گذشت زمان، کاربران بیش از پیش به اهمیت حفظ امنیت داده های حساس خود پی می برند و اگر احساس کنند شرکتی در مورد اطلاعات آن ها رفتار غیرمسئولانه ای دارد، به سرعت از آن فاصله می گیرند.

۳- ناکامی در امن سازی سیستم ها می تواند مشتریان شما را به سمت رقبا هدایت کند

کافی است مشتریان شما احساس کنند که رقبای شما عملکرد بهتری در زمینه حفاظت از داده های مشتریان دارند و می توانند آسودگی خیال بیشتری را برای آن ها تامین کنند؛ در این وضعیت به سادگی شاهد مهاجرت مشتریان خود به سمت شرکت های رقیب خواهید بود. این وضعیت خصوصا زمانی خودنمایی می کند که کسب وکار شما یک رخنه امنیتی را تجربه کرده باشد. مطالعه ای که توسط شرکت SafeNet بر روی بیش از ۴۵۰۰ کاربر بالغ انجام شد نشان می دهد که ۶۵ درصد این افراد هرگز حاضر نیستند دوباره به خرید یا داد و ستد با شرکتی بپردازند که یک رخنه امنیتی منتهی به سرقت اطلاعات مالی یا داده های کارت بانکی را تجربه کرده است.

انطباق با PCI

اکنون که همه چیز بر لزوم حفظ امنیت سیستم های پرداخت مالی تاکید دارد، نوبت به بررسی راه کارهای موجود برای دستیابی به این هدف می رسد. در ابتدا شرکت های ارایه کننده کارت های بانکی برنامه های مختلف و جداگانه ای را برای حفاظت از اطلاعات مشتریان خود راه اندازی کردند، اما در نهایت شورایی تحت عنوان انجمن استانداردهای امنیتی صنعت کارت پرداخت، به اختصار PCI SSC ، تشکیل شد
که مسئولیت هماهنگ سازی فعالیت های شرکت های عضو را بر عهده داشت. نتیجه فعالیت انجمن مذکور، استاندارد امنیت داده های صنعت کارت پرداخت یا DSS PCI بود که اولین نسخه مشخصات آن در دسامبر سال ۲۰۰۴ منتشر شد و توسعه آن تا امروز و نسخه ۳٫۲ (که در آوریل سال ۲۰۱۶ منتشر شد) ادامه دارد. با گذشت زمان، استانداردهای مرتبط دیگری مانند PCI PTS و PCI PA-DSS و PCI P2PE نیز توسط این انجمن منتشر شد.

انطباق با PCI به معنای تبعیت از دستورالعمل هایی است که طراحی شده اند تا احتمال وقوع کلاهبرداری ها و سرقت اطلاعات حساس در رابطه با کارت های بانکی را به حداقل برسانند. دستورالعمل های مذکور با بهره گیری از بهترین تجربیات و رهنمودهای شرکت های عمده ارایه کننده کارت های بانکی تهیه شده اند. تمام کسب وکارهایی که با سطوح مختلفی از تعاملات مالی مبتنی بر کارت بانکی سر و کار دارند، ملزم به انطباق با استاندارد PCI هستند. شاید در ابتدا کسب وکارهای نسبتا کوچکتر توجه کمتری به انطباق با استاندارد PCI داشتند و گاهی اوقات از پذیرش ملزومات آن سر باز می زدند، اما با گذشت زمان انجمن استانداردهای امنیتی قوانین سختگیرانه تر و جرایم سنگین تری را برای چنین شرایطی در نظر گرفته است که باعث می شود آشنایی و انطباق با آخرین ملزومات استاندارد برای همه کسب وکارها اهمیت زیادی داشته باشد.

به طور کلی می توان گفت، PCI-DSS یک استاندارد امنیتی چندوجهی است که ملزومات مرتبط با مدیریت امنیت، خط مشی ها، رویه ها، معماری شبکه و سایر معیارهای محافظتی حیاتی را در بر می گیرد. این استاندارد جامع طراحی شده است تا به کسب وکارها در محافظت از داده های حساس مشتریان کمک کند. معرفی و بررسی این استاندارد خود مقاله ای مفصل و مجزا را طلب می کند. اما اگر بخواهیم نمایی کلی از استانداردهای PCI را در اختیار داشته باشیم، می توانیم به مولفه های زیر اشاره کنیم:

– ایجاد و نگهداری یک شبکه و سیستم های امن: محافظت از داده های کارت پرداخت با بهره گیری از یک فایروال؛ عدم استفاده از کلمات عبور و تنظیمات پیش فرضی که همراه چیدمان اولیه ارایه می‌شوند.

– محافظت از داده های صاحب کارت: محافظت از داده های حساس صاحب کارت با رمزنگاری آن ها در هر زمانی که روی سیستم شما منتقل می شوند.

– حفظ یک برنامه مدیریت آسیب پذیری: نگهداری تمام سیستم ها با به روز نگهداشتن آن ها و اطمینان از این که عاری از انواع آسیب پذیری های ویروسی یا بدافزاری هستند. در اکثر قریب به اتفاق موارد، این کار با بهره گیری از یک راه کار آنتی ویروس که به صورت محلی نصب شده است یا یک فایروال گیت وی انجام می شود.

– پیاده سازی معیارهای قدرتمند کنترل دسترسی: دسترسی به داده های صاحب کارت بایستی در یک سطح حداقل مطلق نگهداشته شود. در عین حال، این دسترسی باید منوط به تایید شناسایی کاربر باشد.

– نظارت منظم و آزمایش شبکه ها: سیستم های امنیتی باید همیشه مورد آزمایش قرار گیرند تا تضمین شود که توابع دسترسی سیستم به همان صورتی که باید، عمل می کنند.

– حفظ یک خط مشی برای امنیت اطلاعات: اطمینان از این موضوع که تمام کارکنان از خط مشی امنیتی آگاهی دارند و همچنین اطمینان از این که خط مشی امنیتی خصوصا انطباق و امنیت اطلاعات را مورد توجه قرار می دهد.

در اولین نسخه از استاندارد PCI (و ضمایم آن)، بخش اعظم تمرکز روی معیارهای امنیتی بود. در دومین نسخه مشخصات نیز این رویه ادامه پیدا کرد، البته با اضافه شدن مواردی مانند کارت خوان های رمزنگاری شده. با این حال نسخه سوم مشخصات، وجوه تازه ای را به دیدگاه های استاندارد اضافه کرد. در میان تغییرات کلیدی نسخه ۳ مشخصات در مقایسه با نسخه پیشین آن می توان به موارد زیر اشاره کرد:

۱- هوشیاری آموزشی:

انطباق با PCI جنبه ای حیاتی از پردازش پرداخت امن است. با این حال، بسیاری از کسب وکارها از اهمیت یا کاربرد PCI آگاهی ندارند. نسخه ۳ با کمک به برقراری یک «فرهنگ امنیتی » از طریق آموزش مسئولیت پذیری، پاسخگویی و محافظت در برابر کلاهبرداری ها، این مشکل را برطرف می کند. برای دستیابی به هدف مذکور، رهنمودهای جدید، ساده و موثر شده و به زبان قابل فهم تری نوشته شده اند تا در شناخت فرآیند انطباق با PCI به کسب وکارها کمک کنند.

۲- ادغام «کسب‌وکار طبق معمول»:

نسخه سوم مشخصات، مجموعه ای از بهترین شیوه ها را برای پیاده سازی در بر می گیرد تا به تبدیل شدن انطباق با PCI به یک بخش یکپارچه از هر عملیات تجاری، کمک کند. به جای ترتیب دادن تمرینات سالیانه اعتبارسنجی پیش از انجام ممیزی های امنیتی، شرکت ها ترغیب می شوند تا این شیوه ها را به طور منظم به کار بگیرند تا انطباق کاملی را بدون دردسرهای گذشته و به صورت یکپارچه تامین کنند.

۳- هدف‌گذاری و آزمایش‌های واضح‌تر:

در نسخه دوم مشخصات، کسب وکارها می توانستند از زیر عدم آزمایش نفوذ سیستم های امنیت داده خود شانه خالی کرده و از نظر فنی به عنوان یک کسب وکار منطبق تایید شوند. نسخه سوم ملزومات دقیق تر و سختگیرانه تری را اضافه کرده است تا تضمین کند که کسب وکارها فرآیند اسکن آسیب پذیری ها را با رویکردی انجام می دهند که با روح مورد نظر این آزمایش های نفوذ اجباری سازگاری بیشتری دارد.

۴- مسئولیت مشترک:

نسخه سوم در عین حال بخش عمده ای از سردرگمی های مربوط به این موضوع را که نهایتا چه کسی مسئول جلوگیری از کلاهبرداری های زمان پرداخت است، از بین می برد. PCI 3.0 کاملا تصریح می کند که تمام طرف های درگیر در زنجیره تامین سرویسپرداخت شامل کسب وکارها، تامین کننده سرویس یا صادر کننده کارت باید به صورت فعالانه در زمینه محافظت از اطلاعات کارت بانکی در برابر هکرها و سارقان مشارکت کنند. به این ترتیب، دیگر هیچ یک از طرف ها نمی تواند مسئولیت پاسخ گویی را به دیگری بسپارد.

نسخه ۳٫۲ آخرین بازنگری منتشر شده از این استاندارد است که در آوریل ۲۰۱۶ منتشر شد. این نسخه جنبه های کامل تری را به مشخصات قبلی اضافه کرده است.

با وجود آن که انطباق با استانداردهای امنیتی سیستم پرداخت مبتنی بر کارت برای خود کسب وکارها نیز از اهمیت حیاتی برخوردار است، اما ماهیت های نظارت کننده با در نظر گرفتن ضرورت محافظت از اطلاعات حساس مشتریان که از سرویس های گوناگون این کسب وکارها استفاده می کنند، جرایم و محدودیت های سنگینی را برای مجموعه هایی که با آخرین استاندارد اجباری انطباق پیدا نکرده اند، در نظر می گیرند. در واقع عدم انطباق با PCI می تواند جریمه ماهیانه ای مابین ۵۰۰۰ تا ۱۰۰۰۰۰ دلار در ماه به همراه داشته باشد.

وضعیت پایانه‌های فروش در کشور

در حال حاضر بیش از ۶٫۵ میلیون POS فعال در ایران وجود دارد. از سوی دیگر، تنها در سه ماهه نخست سال ۹۶ بیش از ۴ میلیارد تراکنش در سراسر کشور انجام شده است. این آمار از یک سو ظرفیت بالقوه سیستم پرداخت مبتنی بر کارت و از سوی دیگر سطح ریسک موجود در فعالیت سیستم مذکور را نشان می دهد. به عبارت دیگر، رویکرد موجود نشان می دهد که کاربران ایرانی به سمت استفاده از روش های پرداخت مبتنی بر کارت رو آورده اند که بیانگر فرصتی فوق العاده برای کسب وکارهای درگیر با سیستم های مذکور است. با یک حساب ساده، تنها رقم کارمزد این حجم از تراکنش ها بر اساس نرخ حداقل و حداکثری (۵۰۰ تا ۲۵۰۰ ریال) بین ۲۰۰ تا ۱۰۰۰ میلیارد تومان خواهد بود، آن هم تنها در مدت سه ماه. بنابراین به سادگی می توان دید که ارزش کلی تراکنش های مذکور رقم بسیار چشمگیری است. اما یک ناکامی در زمینه تامین اعتماد مشتریان می تواند تمام این معادلات را بر هم بزند. کاربران ایرانی هنوز کاملا برای بازگشت به انجام معاملات با روش های سنتی تر آمادگی دارند و اگر احساس کنند استفاده از راه کارهای مدرن الکترونیکی می تواند با ریسک از دست دادن دارایی های مالی یا سرقت اطلاعات حساس آن ها همراه باشد، در این بازگشت تردید نخواهند کرد.

متاسفانه ساختار پایانه های فروش در کشور با سطح استانداردهای روز جهان فاصله زیادی دارد و این در حالی است که حتی ساده ترین مقررات تعیین شده از سوی ارایه کنندگان پایانه های فروشگاهی (مانند لزوم جانمایی POS به صورتی که هنگام انجام تراکنش برای مشتری قابل رویت و دسترسی باشد) در بسیاری از موارد نادیده گرفته می شود. این آسیب پذیری ها از ریشه های زیرساختار پرداخت مبتنی بر کارت در کشور تا سرشاخه های آن یعنی پایانه های فروش، باعث می شود تا احتمال وقوع رخنه های امنیتی به طور نمایی افزایش پیدا کند که به طور طبیعی برای کل بدنه کسب‌وکارهای مرتبط با آن زیان آور خواهد بود.

در چنین شرایطی تنها راه کار عملی، انطباق و همگام شدن با استانداردهای روز دنیا است تا به این ترتیب، حداقل، سطح ریسک را به شرایطی معادل هر نقطه دیگری از جهان برسانیم. مواردی مانند خبر سرقت اطلاعات تعداد زیادی از حساب های یک بانک و یا مشکلات مربوط به موسسات اعتباری شکست خورده هنوز کاملا در ذهن همه ما پررنگ هستند. چنین رویدادهایی به رغم آن که مستقیما با موضوعاتی مانند سیستم پرداخت مبتنی بر کارت ارتباط ندارند، باعث برانگیخته شدن و بدبینی مشتریان می شوند. تردیدی وجود ندارد که آمار ۴ میلیارد تراکنش در مدت سه ماه یک شبه به دست نیامده است و کسب‌وکارهای مرتبط با این حوزه راه درازی را برای رسیدن به آن طی کرده اند، اما خبر بد این است که این آمار می تواند یک شبه واژگون شود. طبیعی است که در نظر گرفتن تمهیدات مقتضی و انطباق با استانداردهای روز جهان می تواند از چنین واقعه ای جلوگیری کند. این در حالی است که افزایش احتمالی برخی از هزینه ها برای رسیدن به سطح استانداردهای روز با توجه به فضای رشد موجود در سیستم پرداخت های کشور به سادگی جبران خواهد شد.