خلاصه

پیش از ایجاد شاپرک، پرداخت الکترونیکی در کشور ایران، دارای مشکلات و معضلاتی بود که در سال ۱۳۹۰، چاره آن در ایجاد یک بازوی نظارتی و کنترلی برای بانک مرکزی ج.ا.ا. با نام شاپرک دیده شد. بدین منظور، در شرکت شاپرک، مدیریت امنیت و نظارت تشکیل شد که به تدوین الزامات فنی و امنیت اطلاعات پرداخته و به اجرای آنها توسط شرکتهای پرداخت الکترونیک، نظارت کند. لذا، ابتدا وضعیت موجود شبکه پرداخت الکترونیکی کشور مورد بررسی و مطالعه قرار گرفت و همچنین مطالعهای تطبیقی با نمونههای موفق جهانی (مانند ویزا و مسترکارت) انجام شد. در نقشه راهی که از این طریق به دست آمد، پرداختن به تدوین الزامات و مقررات، و نیز ابلاغ و نظارت بر اجرای آنها، مهمترین فعالیت امنیتی و نظارتی شبکه پرداخت الکترونیکی کشور بیان شده است. بدین منظور، اقداماتی در زمینههای سیاستگذاری فنی و امنیت اطلاعات و هم چنین نظارت بر اجرا و نگهداری این چارچوبهای الزامی در طی حدود دو سال گذشته در شاپرک صورت گرفت. نتایج کلی حاصل از این اقدامات، فارغ از بومیسازی و نهادینه کردن استانداردهای حوزه پرداخت در کشور، ارتقاء سطح انطباق شرکتها با استانداردها از میزان متوسط %۳۹,۱ به میزان %۹۶,۵ را نشان میدهد.

در این مقاله، تجربه موفق دوساله شاپرک در حوزه سیاستگذاری، راهبری، و نظارت بر شبکه پرداخت الکترونیکی کشور بیان شده و علاوه بر ترسیم مسیر طی شده، به نتایج کیفی و کمی حاصله پرداخته میشود.
واژههای کلیدی: سیاستگذاری، نظارت، الزامات، انطباق

اهداف
به صورت کلی میتوان اهداف کلان امنیتی و نظارتی شاپرک در بازار پرداخت الکترونیکی کارت را در موارد زیر خلاصه نمود:
• کاهش احتمال وقوع حوادث کلان امنیت اطلاعات (مانند پایداری سرویس یا محرمانگی اطلاعات)

• ارتقاء سطح امنیت اطلاعات

• ایجاد مرکزی واحد برای هماهنگی امنیت اطلاعات
• ساماندهی کیفیت خدمت از نگاه مشتری نهایی و افزایش رضایتمندی

• ارتقاء کارآیی و بهرهوری خدمات شرکتهای پرداخت (PSP)
• ایجاد یکپارچگی و وحدت رویه در عملیات و خدمات شرکتهای پرداخت

• بهرهوری مطلوب و حداکثری از منابع و سرمایههای کشور

اقدامات امنیتی و نظارتی صورت گرفته

در ابتدای تاسیس شاپرک، با بهرهگیری از تجارب نخبگان حوزهی پرداخت و بررسی شبکههای پرداخت بینالمللی مانند ویزا، نقشه راهی به منظور نظارت بر شبکه پرداخت در شاپرک ترسیم شد که دو فعالیت اصلی آن، همانند آن چه در شبکه ویزا انجام میشود، ابلاغ الزامات و استانداردهای لازم و نظارت بر اجرای دقیق آنها است. در این بخش، مراحل طی شده در این نقشه راه، تشریح خواهد شد.

مطالعه وضعیت موجود

بهمنظور تهیه الزامات فنی و امنیت اطلاعات و برنامهریزی برای رفع مشکلات، در ابتدا باید مشکلات و نقاط آسیبپذیر و ضعف شبکه پرداخت الکترونیکی کارت در سطح کشور شناسایی میشد. در این خصوص، طی بررسیهای صورت گرفته از شرکتهای پرداخت و اخذ نظر صاحبنظران این حوزه، مسایل و مشکلات کلان ذیل، مشاهده شد:

• ضعف امنیت اطلاعات در سطح شبکه شرکتهای پرداخت

• ضعف امنیت اطلاعات در حفاظت از دادههای شرکتهای پرداخت
• ضعف امنیتی سیستمها و نرمافزارهای مرتبط با پرداخت کارت در شرکتهای پرداخت

• ضعف ساختار و نیروی انسانی در زمینههای فنی و امنیت اطلاعات شرکتهای پرداخت
• ضعف آموزش و آگاهیرسانی نیروی انسانی در زمینههای فنی و امنیت اطلاعات در شرکتهای پرداخت

• ضعف مستندسازی و شفافیت فرآیندهای کلان شرکتهای پرداخت

• عدم وجود برنامه مناسب در بهکارگیری ابزارها و پایانههای فروش در شرکتهای پرداخت و نیاز به ساماندهی
• فقدان تحلیل و آمار دقیق و صحیح از تراکنشهای پرداخت