برای مشاهده یافته ها از کلید Enter و برای خروج از کلید Esc استفاده کنید.

امنیت بانکداری باز

مهم‌ترین دغدغه‌ی بانکداری باز، حفاظت از اطلاعات کاربران است. زیرا کاربران بانک‌ها، همواره نگران امنیت اطلاعات خود هستند و علاقه‌ای ندارد که اطلاعات‌شان در دسترس دیگران قرار گیرد. در همین راستا، در این نوشته به بررسی ابعاد مختلف امنیت اطلاعات در بانکداری باز خواهیم پرداخت.

تبادل اطلاعات با اجازه مشتری

مشتریان باید بتوانند در مورد اشتراک‌گذاری اطلاعات خود، تصمیم‌گیری کنند. مثلاً اگر اپلیکیشنی در رابطه با مدیریت سرمایه وجود دارد، برای ارائه خدمات خود باید به اطلاعات مشتریان دسترسی داشته باشد. حتی اگر بانک‌ به این اپلیکیشن اجازه استفاده از سرویس‌های بانکداری باز را از طریق وب سرویس‌های بانکی داده باشد؛ مادامی که کاربران به این اپلیکیشن اجازه ندهند، نمی‌تواند به اطلاعات مالی آن‌ها دسترسی یابد و هیچ اطلاعاتی بدون اجازه مشتری مبادله نمی‌شود. بنابراین شرکت‌ها برای ارائه خدمات مبتنی بر بانکداری باز، هم به اجازه مشتری و هم به اجازه بانک نیاز دارند.

بانک‌ها به کمک تست‌های امنیتی، به کارگیری قوانین حفاظت از اطلاعات و همچنین ارزیابی ایمن بودن محصولات شرکت‌ها، اجازه دسترسی به وب‌ سرویس‌های بانکی را به شرکت‌ها واگذار می‌کنند. و به دنبال آن زمانی که یک کاربر به محصولی اعتماد کرد، می‌تواند اجازه دسترسی به اطلاعات مالی خود را به آن بدهد. لازم به ذکر است در بانکداری باز و اپلیکیشن‌های مبتنی بر خدمات آن، به هیچ عنوان از کاربر، کلمه عبور حساب‌های کاربری‌اش درخواست نمی‌شود.

هم اکنون کسب و کارهای متصل به سرویس‌های مالی بانک‌ها، با استفاده از تکنولوژی Screen-Scraping اطلاعات را دریافت می‌کنند. به برخی از اطلاعات حساس کاربرها (از جمله کلمه عبور) دسترسی دارند. این می‌تواند زمینه‌ساز شکل‌گیری تخلفات زیادی شود، مثلاً آن‌ها با استفاده از این تکنولوژی می‌توانند به جای کاربر پرداخت انجام دهند.

وب‌ سرویس‌های بانکی راهی برای تبادل امن

با استفاده از وب‌ سرویس‌های بانکی، کاربران مستقیماً به حساب بانکی خود متصل می‌شوند. بنابراین دیگری نیازی نیست تا اطلاعات مالی و بانکی خود را با شرکت‌ها و افراد دیگر به اشتراک بگذارند، تا بتوانند از خدمات مشخصی استفاده کنند. همچنین شرکت‌های استفاده کننده از خدمات بانکداری باز، به هیچ وجه وارد حساب کاربران نمی‌شوند، بلکه فقط اطلاعات خاصی از حساب کاربری مشتریان در اختیار آنها قرار می‌گیرد تا به سرویس‌دهی بهتر به مشتریان منجر شود. و نهایتاً اشاره به این نکته ضروری است که در بانکداری باز اختیار و کنترل دسترسی به اطلاعات، در دست کاربر است و هر زمان که بخواهد، می‌تواند جلوی دسترسی به اطلاعات خود را بگیرد.

با توجه به ریسک‌های امنیتی که متوجه روش  Screen-Scraping است، هم اکنون بیشتر سازمان‌ها از وب‌ سرویس‌های بانکی برای به اشتراک گذاری اطلاعات استفاده می‌کنند، زیرا:

۱) اپلیکیشن مورد استفاده کلمه عبور کاربر را ذخیره نمی‌کند.

۲)  کاربر مجبور نیست تمام اطلاعات حساب بانکی خود را در اختیار اپلیکیشن قرار دهد. بلکه می‌تواند اجازه دسترسی به بخشی از اطلاعات حساب بانکی خود را صادر کند.

۳)  درصورت تمایل، کاربر می‌تواند دسترسی اپلیکیشن را به اطلاعات حساب بانکی خود، محدود کند.

قوانین بین المللی برای حفاظت از اطلاعات کاربران

پیشرفت تکنولوژی سبب شده تا کسب و کارها به اطلاعات مالی نیاز روز افزون داشته باشند، حتی در سال‌های اخیر، کسب و کارها در راستای همین موضوع (به دست آوردن اطلاعات مالی) به موسسات مالی اعلام نیاز کرده‌اند. بنابراین قوانین و دستورالعمل‌های تصویب شده است تا با تبعیت از آن‌ها، امنیت اطلاعات کاربران حفظ شود.

در همین راستا قوانین بین المللی مختلفی برای حفاظت از اطلاعات وجود دارد که همه شرکت‌های وابسته به وب سرویس‌ها بانکداری باز باید این قوانین را به کار بگیرند. قانون GDPR اتحادیه اروپا (قانون حفاظت از اطلاعات و حریم شخصی) و قانون FCA در انگلستان، برای حفاظت از امنیت داده و اطلاعات کاربران مورد استفاده قرار می‌گیرند. همچنین قانون PSD2 (دستورالعمل دوم خدمات پرداخت که در اروپا و آمریکا رایج است) برای آن تصویب شده تا به اشتراک گذاشتن اطلاعات بین بانک‌ها و کسب و کارها را تحت یک پروتکل خاص گرد آورد و اطمینان حاصل کند که از اطلاعات کاربران و مؤسسات مالی محافظت می‌شود.

معماری وب سرویس‌های بانکی برای تامین امنیت

خواه ناخواه، بانکداری باز موجب افزایش تعداد تراکنش‌ها می‌شود و این می‌تواند ریسک‌های امنیتی خاص خود را به همراه داشته باشد. در همین راستا، شکل زیر نشان می‌دهد که بانک‌ها چگونه باید وب سرویس‌های بانکی خود را به اشتراک بگذارند تا بتوانند این ریسک‌های امنیتی را کاهش دهند.

روش Sound Architectural باعث می‌شود تا بانک‌ها بتوانند فرایندهای امنیتی خود را بر اساس نیاز واقعی کسب و کارها طراحی کنند. زیرا در این معماری فرایندهای امنیتی بر اساس مسیرهای رفت و برگشت اطلاعات، که قرار است وب سرویس بانکی در آن قرار بگیرد، طراحی می‌شوند.

یکی از مهم‌ترین مسائل در اجرای بانکداری باز، تامین امنیت وب سرویس‌ها است. معمولاً وب سرویس‌ها بر پایه‌ اعتماد دوطرفه بین دو کسب و کار تعریف می‌شوند و کنترل روی آن‌ها به اندازه سرویس‌هایی که مستقیماً مشتریان از آن‌ها استفاده می‌کنند اهمیت ندارد. اما حساسیت بالای تراکنش‌ها در بانکداری باز، سبب شده تا طرحی امنیت وب‌ سرویس‌های بانکی بر پایه‌ی بی‌اعتمادی باشد، نه اعتماد به طرف مقابل!

بر همین اساس، طراحی وب سرویس بانکی باید بر اساس چهار مشخصه زیر باشد:

۱) حد دسترسی

اینکه چه کسی و تا چه حدی به سرویس‌های فعال دسترسی داشته باشد، باید کنترل و بررسی شود.

۲) تشخیص خطرات و تهدیدها

اشخاص ثالث باید مشکلاتی که از سمت آن‌ها، خطر محسوب می‌شود را به خوبی شناسایی کنند و در جهت حل و فصل این تهدیدات، اقداماتی را انجام دهند.

۳) محرمانه بودن اطلاعات

باید از به اشتراک گذاشتن اطلاعات کاربران، کسب و کارها و همچنین بانک‌ها، بین یکدیگر جلوگیری کرد.

۴) یکپارچه بودن

اگر ارتباط میان سرویس‌های توزیع شده و نوع دسترسی اشخاص ثالث به این سرویس‌ها، یکپارچه‌تر و منسجم‌تر باشد، راه‌های نفوذ کم می‌شود.

در راستای این معماری، طراحی وب‌ سرویس‌ های بانکی باید به گونه‌ای باشد که توانایی مقاومت در برابر حملات DDoS را داشته باشد. هر چند که این حملات نوعی تهدید است، اما می‌تواند فرصت نیز باشد! زیرا سیستم‌هایی که بر پایه‌ی Open API کار می‌کنند، نمونه‌ای از پروژه Greenfield هستند و بنابراین شرکت‌ها مجبورند سرویسی خلق کنند که از ابتدا در برابر این تهدید‌ها مقاوم باشد.

راهکارهایی برای افزایش امنیت بانک داری باز

۱) احراز هویت و اجازه دسترسی

می‌توان از وب سرویس بانکی برای احراز هویت در اپلیکیشن استفاده کرد.

۲) حملات محتوایی

باید در برابر انواع حملات محتوا محور (مثل Malford XML و Malford JSON ) مقاومت کرد.

۳) رمزگذاری داده‌ها

هر نوع پیامی که از طریق وب سرویس‌های بانکی مبادله می‌شود باید رمزگذاری شود.

۴) ردیابی هویت

برای اینکه بتوان هویت کاربران را ردیابی کرد، اطلاعات آنان یا ID اپلیکیشن ها باید در سیستم وارد شود.

۵) اعتبار سنجی پیام‌ها

می‌توان برای پنهان سازی اطلاعات حساس، از قوانین پنهان سازی داده‌ها استفاده کرد.

۶) مدیریت ترافیک

می‌توان از قوانین مدیریت ترافیک برای جلوگیری از در هم شکستن زیرساخت‌ها استفاده کرد. همچنین می‌توان سیستم محدود کردن پاسخ دهی به درخواست‌ها در زمانی مشخص را نیز پیاده کرد.

بانک‌ها با در نظر گرفتن این موارد امنیتی و آگاهی یافتن از اهمیت داده‌ها، ضمن استفاده از پلتفرم بانکداری باز، امنیت کاملی برای اطلاعات مشتریان نیز رقم زده‌اند.