بانکداری الکترونیک
مقدمه
این مقاله یکی از مقاله های راهنمای آزمون فناوری اطلاعات FFIECاست که آزمونگران و موسسه های مالی را در شناسایی و کنترل ریسکی که با فعالیت های بانکداری الکترونیک در ارتباط است راهنمایی می کند. این کتابچه در ابتدا به ریسک های بانکداری الکترونیک از جنبه ی خدمات و یا محصولاتی که مشتریان ارائه می دهند می پردازد. این کتابچه با دیگر کتابچه ها که در مورد ریسک از منظر تکنولوژی و سیستمهایی که از پردازش اطلاعات مکانیزه شده پشتیبانی می کنند متفاوت است. برای دوری از تکرار این کتابچه به منظور توضیحات بیشتر در مورد یک تکنولوژی خاص و خواننده را به دیگر کتابچه ها مرجوع می کند.
ازمون گران ممکن است از این روش آزمونی استفاده کنند و خواهان آن کلمه به ترتیب حروف الفبا باشند که در این کتابچه ضمیمه ی A شامل آن است و به بازپردازی ریسک های ارائه الکترونیکی نتایج مالی و خدمات می پردازد. این روش ها ، آدرس ها ، خدمات و نتایج و محصولات پیچیدگی های گوناگونی دارند. آزمونگر ها باید روش ها را هر جا که مناسب است برای /ازمون و شکل دادن ریسک موسسات تطبیق دهند و تعدیل کنند. روش ها ممکن است مستقلا استفاده شود و یا با ترکیب دیگر کتابچه های راهنما و یا از کتابچه راهنمای آژانس هایی که تحت پوشش فناوری اطلاعات نیستند.
تعریف بانکداری الکترونیک
در این کتابچه بانکدار ی الکترونیک به عنوان ارائه ی مکانبزه و خودکار محصولات و خدمات جدید و قدیمی که مشتری می تواند از طریق کانال های ارتباطی الکترونیکی و فعل و انفعالی با آن در ارتباط باشد مطرح شده است. بانکداری الکترونیک شامل سیستم هایی می شود که مشتریان مالی موسسات ، چه حقیقی باشد چه حقوقی ، را قادر می سازد که به حساب ها دسترسی داشته باشند، که در کسب و کار معامله کنند ، یا در مورد محصولات پولی و مالی از طریق شبکه های عمومی و یا خصوصی اطلاعات کسب کنند که شامل اینترنت هم می شود. مشتریان از طریق وسیله ی الکترونیک هوشمندی مثل کامپیوتر شخصی و یا PDA و یا دستگاه عابر بانک ATM و یا از طریق تلفن به خدمات بانکداری الکترونیک دست یابند. با این حال که ریسک و کنترل ان برای کانالهای گوناگون دسترسی به بانکداری الکترونیک مشابه است این کتابچه بیشتر بر ارائه ی خدمات بر پایه اینترنت متمرکز شده است . چرا که اینترت یکی از شبکه هایی است که برای عموم بیشتر قابل دسترس است. بر این مبنا این کتابچه با بحث در مورد دو نوع وب سایت اصلی شروع می کند: اطلاعاتی و فعل و انفعالی
وب سایت های اطلاعاتی
این وب سایت ها دسترسی به اطلاعات عمومی در مورد موسسات مالی و خدما ت و محصولاتشان را به مشتری ارائه می دهد. آزمون گران با موضوع ریسک هنگامی که سایت های اطلاعاتی را بررسی می کنند باید این موارد را در نظر بگیرند :
- پتانسیل تعهد و خطا مصرف کننده در ارائه ی اطلات ناقص و نادرست در مورد محصولات و خدمات و در صد قیمت گذاری شده در وب سایت
- پتانسیل دسترسی به اطلاعات محرمانه ی موسسات و یا اطلاعات مشتری اگر که وب سایت به طور مناسب از موسسات مالی شبکه های داخلی ایزوله نشده است.
- پتانسیل میزان تعهد در مقابل منتشر شدن ویروس و یا دیگر کد ها ی ویروس گونه در کامپیوتر هایی که با وب سایت موسسه در ارتباطند.
- احساس منفی عموم که اگر خدمات آن لاین موسسه شکسته شود و یا وب سایت از بین برود و یا به صورت دیگر چیز های نامناسب ارائه دهد.
وب سایت های تراکنشی
وب سایت های تراکنشی این امکان را به کاربر می دهد که تراکنش ها را از طریق وب سایت موسسه ی مالی تراکنشی بانکی را آغاز کند و یا محصولات بخرد و خدمات بگیرد. تراکنش های بانکی می تواند بررسی و متعادل کردن یک حساب جزئی تا انتقال پول از یک کسب و کار به کسب و مار دیگر را شامل شود. خدمات بانکداری الکترونیک همچون دیگر خدمات که از کانال های دیگر ارائه می شوند، به طور نمونه ای به مشتریان بستگی دارد که آنها پشتیبانی می کنند. جدول زیر بعضی از خدمات جزئی و کلی راکه موسسات مالی ارئه می دهند را لیست کرده است.
جدول1 : خدمات معمول بانکداری الکترونیک
|
خدمات کلی فروشی |
خدمات جزئی فروشی |
|
مدیریت حساب |
مدیریت حساب |
|
مدیریت نقدینگی |
پرداخت و نمایش قبوض |
|
درخواست وام های کوچک کسب و کار، موافقت آن و یا پیشرفت آن |
افتتاح حساب جدید |
|
انتقالات مخابره ای کاربر |
|
|
انتقالات تجاری مخابره ای |
خدمات و سود سرمایه گذاری |
|
پرداخت های کسب و کار به کسب و کار |
درخاست وام و موافقت |
|
پرداخت حقوق و مزایای کارمندان |
تراکم حساب |
چون وب سایت های تراکنشی نوعا قادرند مبادله ی الکترونیک اطلاعات محرمانه ی مشتری را انجام دهند و انتقال پول ، خدمات که از طریق این وب سایت ها ارائه می شود موسسات مالی را در برابر ریسک بیشتری نسبت به وب سایت های اطلاعاتی پایه قرار می دهد. سیستم های کلی فروشی بانکداری الکترونیک نوعا موسسات مالی را در بالاترین حد ریسک در طی تراکنش قرار می دهد، چرا که تراکنش های تجاری معمولا پول بیشتری را در بر دارند. به علاوه ی ریسک های مرتبط با سایت های اطلاعاتی ، آزمون گران دربررسی خدمات بانکداری الکترونیک تراکنشی باید مطالب زیر را نیز در نظر بگیرد:
- کنترل های امنیتی به منظور محافظت کردن از اطلاعات مشتری
- فرایند های قانونی لازم برای بررسی ابتدایی خصوصیات مشتریان جدید و اعتبار دادن به مشتریان فعلی که به خدمات بانکداری الکترونیک دسترسی دارند
- میزان تعهد نسبت به تراکنش های غیر مجاز
- ضرر ناشی از سوء استفاده اگر موسسه ای بررسی ویژگی افراد و یا کسب و کار ها را که درخواست حساب جدید یا اعتبار آن لاین را دارند رد کند.
- تجاوزات ممکن به قانون و یا مقرراتی که به حریم خصوصی مشتری، ضد پول شویی، ضد تروریسم، و یا ظرفیت ، زمان یا افشا کردن مسائل مربوط به ارائه به مشتری مربوط می شود .
- درک منفی عموم، نارضایتی مشتری و پتانسیل تعهد ناشی از رد انجام فرآیند پرداخت های شخص ثالث در یک زمان مشخص ، فقدان موجودیت خدمات آن لاین ، یا دسترسی غیر مجاز به اطلاعات محرمانه ی مشتری در طی انتقال و یا ذخیره .
اجزا بانکداری
سیستم های بانکداری الکترونیک می تواند به طور مهمی در در پیکربندی خود با تکیه بر تعداد عوامل متفاوت باشند .موسسات مالی باید پیکربندی بانکداری الکترونیک خود را انتخاب کنند که شامل روابط برون منبعی می شود که بر چهار عامل بنا شده است
- هدفی استرتژیک برای بانکداری الکترونیک
- محدوده مقیاس و پیچیدگی تجهیزات ، سیستم ها و فعالیت ها
- و نیاز به کنترل داخلی و امنیت
موسسات مالی ممکن است از خدمات بانکداری خود به صورت داخلی پشتیبانی کنند. موسسات مالی می توانند متناوبا هر جنبه ای از سیستم بانکداری الکترونیک خود را برای شخص ثالث برون منبعی کنند. این نهاد های در ذیل آمده می توانند خدمات مرتبط با بانکداری الکترونیک را برای موسسات مالی مهیا و یا میزبانی کنند. ( برای مثال به درخواست ها این اجازه را دهند که در سرور مربوطه مستقرر شود.):
- موسسه مالی دیگر
- مرکز ارائه دهنده ی خدمات اینترنت ISP
- سازندگان و یا فروشندگان نرم افزار های بانکداری
- فروشندگان و یا سازندگان درونی و هسته ای بانک
- سرویس دهنده خدمات امنیتی مدیریت شده
- سروویس دهنده ی پرداخت قبوض
- قسمت اعتبارات
- شرکت اعتبار و امتیاز دهنده
سیستم های بانکداری الکترونیک بر تعدادی اجزا و یا مرحله و فرایند معمول تکیه دارد. لیست ذیل شامل بسیاری از اجزا و فرایند های پتانسیلی است که در موسسات نوعی دیده می شود:
- طرح وب سایت و میزبانی آن
- پیکر بندی دیوار آتشین و مدیریت آن
- سیستم بازرسی نفوذ یا IDS
- اداره ی شبکه
- مدیریت امنیت
- خدمات دهنده ی بانکداری اینترنتی
- سیستم فرایند های مرکزی
- برنامه ریزی پشتیبانی
- سیستم های پشتیبانی تصمیم مکانیزه
این اجزا با هم برای ارئه ی خدمات بانکی کار می کنند. هر جزء نقطه ی کنترلی دارد که باید آن را در نظر گرفت.
مدیریت هنگام تصمیم گیری کلی برای پیکر بندی سیستم برای انتخاب اجزا گوناگون یک سیستم بانکداری الکترونیک چاره های زیادی از طریق ترکیب راه حل های داخلی و برون منبعی دارد. با این حال به خاطر سادگی این کتابچه تنها دو گونه ی پایه را شرح می دهد. اول اینکه یک سرویس دهنده خدمات فناوری و یا بیشتر می تواند میزبان متقاضی بانکداری الکترونیک و اجزای شبکه ای بیشماری که در زیر به تصویر کشیده شده است باشد. در این پیکر بندی ارائه دهندگان خدمات موسسات میزبان وب سایت موسسه ، سرویس دهنده ی بانکداری اینترنتی ، دیوار اتشین و سیستم بازرسی نفوذ می شوند. حال آنکه موسسه دیگر مجبور نیست که آن ها را به طور روزانه مدیریت کند و هیئت مدیره فقط مسئول ظرفیت ، اجرا و امنیت سیستم بانکداری الکترونیک می شود.
دوم اینکه موسسه می تواند کل و یا قسمتی از سیستم بانکداری الکترونیک خود را به طور داخلی میزبانی کند. نمونه ای از خدمات بانکداری الکترونیک داخلی در زیر به تصویر کشیده شده است . در این مورد سرویس دهنده ای بین دیترسی به اینترنت و سیستم مرکزی فرایندی موسسه ی مالی وجود ندارد. بنابراین موسسه مسئولیت روز به روز برای مدیریت و اداره ی سیستم دارد.
خدمات پشتیبانی بانکداری الکترونیک
علاوه بر خدمات و محصولات بانکداری سنتی ، موسسات مالی می توانند خدمات گوناگونی که برای پشتیبانی از تجارت الکترونیک طراحی و سازگار شده است را ارائه دهند. مدیریت باید این خدمات و ریسک هایی که برای موسه به دنبال دارد را شناسایی کند. در این قسمت به بحث در مورد معمول ترین سرویس های پشتیبانی می پردازیم: وب لینکینگ ، تراکم حساب ، اعتبار دهی الکترونیک، میزبانی وب سایت، پرداخت های مرتبط با تجارت الکترونیکی و فعالیت های بی سیم بانکی.
وب لینکینگ
بسیاری از موسسات مالی سایت هایی در شبکه ی جهانی وب دارند. بعضی از سایت ها اکیدا اطلاعی هستند در حالی که دیگر سایت ها این توانایی را به مشتری می دهد تا تراکنش های مالی خود را مانند پرداخت قبوضو یا جا بجایی پول بین حساب ها انجام دهد.
به طور مجازی هر وب سایت شامل "وب لینک " هایی است . یک وب لینک یک کلمه ، عبارت یا تصویر بر روی صفحه ی وب است که دارای کد هایی است که مشاهده گر را فقط با یک کلیک ماوس به 41قسمتی دیگر از وب سایت یا کلا به وب سایتی دیگر می برد. با این حال که وب لینک ها وسیله ای مناسب و پذیرفته شده در طراحی وب سایت ها هستند، استفاده از آن ها می تواند ریسک های خاصی را در بر داشته باشد. عموما ریسک های عمده ای که توسط وب لینکینگ مطرح می شود ابن است که کاربر اشتباه می کند که وب سایت کدام موسسه را میبیند و چه کسی مسئول اطلاعات ف محصولات و خدماتی است که در وب سایت موجود است. تکنیک های متفاوت مدیریت ریسک وجود دارد که موسسات باید از آن ها برای کم کردن این ریسک ها از آن ها استفاده کند. این تکنیک های مدیریت ریسکبه همان اندازه برای آن موسساتی است که توسعه یافته اند و وب سایت مخصوص خود را دارند که برای مئسساتی که از ارئه دهنده ی خدمات شخص ثالث برای این کار استفاده می کنند. 1نمایندگان و آژانس ها راهنمایی را در رابطه با وب لینکینگ منتشر کردند که جزئیات را در مورد ریسک و تکنیک های مدیریت آن که موسسات باید در نظر بگیرند را توضیح داده است.
تراکم حساب
تراکم حساب سرویسی است که اطلاعات را از وب سایت های گوناگون جمع آوری می کند، اطلاعات را با فرمت یکی شده به مشتری نشان می دهد و در بعضی موارد به مشتری اجازه می دهدعملیاتی را در حساب های متراکم انجام دهد. اطلاعاتی که جمع و یا متراکم می شوند می توانند اطلاعات موجود آشکار تا اطلاعات شخصی حساب را در بر گیرد.( برای مثال کارت اعتباری ، کارمزد، و داده های بانکی ). خدمات متراکم می توانند رضایت مشتری را از طریق دوری از ورود های متعدد و ارائه ی دسترسی به ابزاری که مشتری را در آنالیز و مدیریت حساب های گوناگون سهام یاری کند ، جلب کنند. بعضی از اگرگیتور ها ( جمع کننده های اطلاعات) برای مشتریان نام کاربری و رمز عبوری را برای ورود او به عنوان مشتری ارائه می دهند. بار اول که مشتری به حسابش دسترسی پیدا کرد اگرگیتور ها اطلاعات شخصی حساب را از وب سایت برای نشان دادن آن در سایت جمع آوری کننده کپی می کنند. ( مثل بریدن تکه ای از یک کتاب یا روزنامه و ...) . دیگر اگرگیتور ها مستقیما از مقررات داده ها از وب سایت اپراتور یا دیگر شرکت ها برای بدست آوردن اطلاعات مشتری استفاده می کنند.
عموما استفاده ی مستقیم از اطلاعات به نظر می رسد که از حمایت قانونی بیشتری نسبت به جمع اوری تکه ای اطلاعات خوردار است.
موسسات مالی چه به عنوان اگرگیتور وچه به عنوان اهداف تراکم هر دو شامل تراکم حساب می شوند. مدیریت ریسک به این نتیجه رسیده است که ازمون گران هنگامی که خدمات تراکمی را بررسی می کنند باید این موارد را در نظر بگیرند:
- محافظت از رمز عبور و نام کاربری مشتریان
- افشا میزان پتانسیل تعهد مشتری اگر مشتری اطلاعات مستندخود را ( مثل رمز عبور و یا نام کاربری) با شخص ثالث در میان بگذارد.
- تضمین درستی و کامل بودن اطلاعات باز یافته از سایت های جمع اوری کننده که شامل فاش سازی های لازم می شود.
اطلاعات بیشتر در رابطه با موضوع مدیریت ریسک در تراکم را می توانید در ضمیمه ی D بیابید.
تعیین اعتبار الکترونیک
بررسی کردن ویژگی های مشتریان و اختیار دادن غعالیت های بانکداری الکترونیک بخش جدا ناپذیر خدمات مالی بانکدری الکترونیک است. به علت این که کاغذ بازی های سنتی و متد های ویژگی های مستند به نفسه سرعت و بازدهی تراکنش های الکترونیک را می گیرد، موسسات مالی روشی چاره ساز و قانونی اتخاذ کردند، که عبارت است از:
- رمزها و اعداد شناسایی شخصی (PIN)
- گواهی نامه ی دیجیتالی که تز ساختار کلید همگانی استفاده می کند PKI))
- وسایلی که بر پایه ی میکروچیپ ها هستند مثل کارت های هوشمند یا دیگر نمونه های اجازه ی ورود
- مقایسه بر اساس پایگاه داده
- شناساگران بیومتریک
روش های قانونی که در بالا آمد در سطح امنیت و میزان اطمینانی که تامین می کنند و در قیمت و پیچیدگی در زیر ساخت هایشان با هم متفاوتند. انتخاب هر تکنیک برا ی استفاده بایدبا ریسک هایی که در محصولات وخدمات برای هر کنترلی که دسترسی دارند متناسب باشد. اطلاعات بیشتر در رابطه با تکنیک های اعتبار دادن به مشتری در همین کتابچه زیر سر فصل اعتبار دادن به مشتریان بانکداری الکترونیک یافت می شود.
امضا های الکترونیکی در تجارت ملی و جهانی (e-sign ) قوانین فدرال یکسانی ر ا به وجود اورده است که با پایگاه قانونی امضا های الکترونیک و سوابق در تراکنش های تجاری و مشتری مدار به منظور ایجاد اطمینان قانونی بیشتر و پرورش و رشد تجارت الکترونیک در ارتباط است. *
میزبانی وب سایت
بعضی از موسسات مالی به همان خوبی که برای دیگر کسب و کار ها میزبان سایت می شوند برای خود نیز میزبانند. موسسات مالی که میزبان وب سایت کسب وکار مشتریان می شوند معمولا فایل های الکترونیکی که وب سایت را تشکیل می دهد را ذخیره می کنند و یا آن را برای ذخیره و نگه داری سازماندهی می کنند. این فایل ها در سرور و یا بیشتر که ممکن است بر مبنای موسسه ی مالی میزبان قرار گرفته باشد. وب سایت ها میزبان خدماتی می شوند که نیازمند مهارت بسیار در شبکه سازی ، امنیت، و برنامه ریزی است. فناوری و نرم افزار به سرعت در حال تغییر است. موسساتی که در حال توسعه ی وب سایت هستند بایدبر لزوم برای اتخاذ استاندارد ارتباط نرم افزار سخت افزار جدیدو پروتوکل هایی مثل XML برای اسان سازی مبادله اطلاعات در میان ازدحام کاربران متنوع کامپیوترنظارت کنند.
ریسک هایی که ازمون گران باید هنگام بررسی وب سایت های میزبان خدمات باید در نظر بگیرند که شامل لطمه زدن به اعتبار و شهرت ، از دست دادن مشتری ، و یا پتانسیل تعهد ناشی از :
- زمان از کار افتادگی ( زمان هایی که وب سایت در دسترس نیست ) یا قادر نبودن در پیوستن به سطوحی از خدمات که خاص قراردادهاست.
- مندرجات نادرست سایت ( برای مثال محصولات ، قیمت گذاری ) ه ناشی از فعالیت کارمندان موسسه و یا تغییرات غیر مجاز توسط شخص ثالث ( برای مثال هکر ها )
- افشاگری های غیر مجاز اطلاعات محرمانه که ناشی از تجاوز به تعهدات امنیتی است
- اسب دیدن سیستم های کامپیوتری از طریق بازدید کنندگان سایت با پخش شدن کد های دشمن ( ویروس ها کرم ها و ... ) در سایت موسسه ای که میزبان سایت هاست صورت می گیرد.
پرداخت برای تجارت الکترونیک
بسیاری از کسب و کار ها انواع مدل های پرداخت الکترونیک را برای محصولات وخدماتشان می پذیرند. موسسات مالی نقش مهمی را در سیستم های پرداخت الکترونیک توسط ساخت و تعمیم دادن ابزار ها ی پرداخت الکترونیک ، پذیرفتن ابزارهای پرداخت مشابه ، پردازش آن پرداخت ها و شرکت در تهاتر بانکی و حل و فصل سیستم ها، بازی می کند. با این حال موسسات مالی به طور افزایشی با گروه های دیگر در ارائه ی خدمات پشتیبانی برای سیستم های پرداخت تجارت الکترونیک رقابت می کند. در میان مکانیزم های پرداخت الکترونیک که موسسات مالی برای تجارت الکترونیک ارائه می دهند حانه ی مکانیزه شده ی تهاتر بانکی (ACH) بدهی و اعتبار از طریق اینترنت ، پرداخت الکترونیک قبوض ، چک های الکترونیک ، ایمیل کردن پول و پرداخت کارت اعتباری الکترونیک وجود دارند. اطلاعات بیشتر در مورد سیستم های پرداخت را می تئان در بخش دیگر کتابچه ی IT یافت.
پرداخت قبوض و نمایش آن
خدمات پرداخت قبوض به مشتریان اجازه می دهد تا به موسسسه مالی خود به صورت الکترونیک دستور دهند تا پول را در تاریخ معین شده در آینده به حساب کسب و کار واریز کند. مشتریان می توانند یک باره پرداخت کنند و یا بر مبنای گردشی با کارمزدی که به طور ماهانه و یا به صورت دیگر ارزیابی و تعیین می شود. در پاسخ به دستور العمل پرداخت الکترونیک مشتریان موسسه ی مالی ( ویا سرویس دهنده ی پرداخت قبوض آن ) تراکنش، اعتبار و یا چکی کاغذی را به وجود آورده است _ معمولا خانه ی مکانیزه ی تهاتر بانکی ( ACH)_ که به مشتری داده می شود. برای این که امکان انتقال بر پایه کاغذ مجاز باشد موسسات مالی نوعا به مشتریان پیشنهاد می دهند تا 3_7 روز قبا از تاریخ قبض مبلغ را پرداخت کنند.
مدیریت پول بر مبنای اینترنت نسخه ای تجاری از پرداخت قبوض خرده فروشی و جزئی است. مشتریان کسب و کاری از سیستم برای پرداخت به شخص ثالث و یا انتقال پول بین حساب شرکت ها استفاده می کنند. خدمات مدیریت پول همچنین شامل کمترین مانده حساب نگهداشته شده ، انتقالات گردشی بین حساب ها و اصلاح ان لاین حساب ها می شود. کسب و کار ها نوعا کنترل های قوی تری را نیاز دارند که شامل توانایی اجرا امنیت و کنترل تراکنش در میان کاربران مختلف در کسب و کار ها می شود.
این کتابچه در مورد کنترل های نهایی، ذخیره و ارسال پرداخت قبض اسبق به ورودی آنها در خرده فروشی صنعت سیستمهای پرداخت چ که با شروع کار در ارتباط هستند بحث می کند. کتابچه ی دستی IT " کتابچه ی سیستم های پرداخت جزئی" اطلاعات بیشتری شامل تراکنش های مختلف الکترونیک که شامل برنامه ی پشتیبانی برای فرایند پرداخت قبوض است. اندازه ی عملیات کنترل نهایی که مستقیما زیر کنترل موسسه ی مالی است با پیکر بندی سیستم متفاوت است. بعضی از مثال های نوعی پیکر بندی به منظور افزایش پیچیدگی با پتانسیل نظارت کنترل در زیر لیست شده است .
- موسسات مالی که خدمات پرداخت قبوض را ارائه نمی دهند، ولی ممکن است مشتریان ر ا به انتخاب از میان ارائه دخندگان پرداخت قبوض بی ارتباط راهنمایی کنند.
- توجه کنید که مشتریان با در نظر گرفتن امنیت و حریم در طول استفاده ی آن لاین افشا یا ، محافظه کاری بیشتر تئافقات بانکی.
- موسسات مالی که بر ارائه دهندگان شخص ثالث پرداخت، شامل ارائه دهندگان بانکداری اینترنتی که با اشخاص ثالث قرارداد دارند قبوض تکیه دارند
- تعیین دلار و میزان سر حد و بررسی تراکنش های پرداخت قبوض برای فعالیت های مشکوک
- بدست اوردن استقلال در اطمینان بازبینی فرایند کنترل ارائه ی خدمات پرداخت قبوض
- محدود کردن توسط قرارداد فروشندگان و شناسایی استفاده ی هر مقاطعه کار فرعی که با درخواست پرداخت قبوض برای اشتباه عملکرد و موجودیت سیستم متضمن پرداخت قبوض در ارتباط است.
- ارزیابی شایستگی و سندیت روش ها یی که از ریسک بالا تری در ارتباط با مقدورات انتقال وجه نسبت به دیترسی پایه به حساب برخوردار است .
- در نظر گرفتن راهنمایی های بیشتر که در کتابچه ی IT " اطلاعات امنیت" ، " سیتسم های پرداخت جزئی" و کتابچه های " خدمات فناوری برون منبعی" آمده است.
- موسسات مالی که از نرم افزار های دیگر برای میزبانی کاربرد های داخلی پرداخت قبوض
- تعیین استقلال هر قسمت از ارزیابی یا گواهینامه امنیت کارکرد کد منبع
- تضمین این که نرم افزار به طور کافی تست های مقدماتی را به منظور برای نسب به سیستم اصلی پشت انجام داده است.
- تضمین دیترسی فروشندگان برای نگهداری نرم افزار کنترل و نظارت می شود.
- موسسات مالی که سیستم پرداخت قبوض مخصوص خود را توسعه، پشتیبانی و میزبانی می کنند.
- راهنمایی بیشتر را در کتابچه های " توسعه و استفاده" بیابید.
موسسات مالی می توانند خدمات پرداخت قبوض را به عنوان یک سرویس خود کفا و یا با ترکیب با نمایش قبض ارائه دهند. مقدمات نمایش قبوض به کسب و کار اجازه می دهد تا قبض مشتری را به شکل الکترونیک آن به موسسه ی مالی مشتری تسلیم کند. مشتریان می توانند قبض خود را با کلیک بر روی لینک ها در صفحه یا لیست حساب بانکی الکترونیک خود مشاهده کنند. بعد از مشاهده ی صورت حساب و یا قبض مشتری می تواند وارد قسمت پرداخت قبض شود و یا کانال های دیگر را برای این کار انتخاب کند.
به علاوه بعضی از کسب و کار ها شروع به ارائه ی نمایش قبوض مستقیما از وب سایت خود کرده ان تا اینکه از طریق لینک ها در صفحات بانکداری الکترونیک موسسات مالی . تحت نظام خاصی مشتریان می توانند وارد سایت کسب کار شوند تا صورت حساب دوره ای خود را مشاهده کنند. سپس اگر مایل بودند می توانند این اختیار را به کسب و کار دهند که صورت حساب را از حسابشان بر دارد. سپس پرداخت به عنوان بدهی ACH ناشی از موسسه ی مالی مشتری در زیر رسید و گزارش پرداخت درج می شود. موسسات باید تایید مالی کسب و کاری را که اجازه ی استفاده از فناوری پرداختACH را داده است به منظور پرداخت از حساب مشتری را تضمین کند.
کاربرد های مدیریت پول شامل نظارت های کنترل مشابهی است که در بالا آمده است ، اما موسسات باید کنترل بیشتری را داشته باشند چرا که از ریسک بالا تری از تراکنش های تجاری بر خوردارند. شایستگی و سندیت روش ها دارای اولویت بیشتری هستند و به دلیل حجم بالای پول در حال تراکنش نیازمند تضمین بیشتر ی هستند. موسسات باید کنترل بیشتری را در تضمین بستن قرار داد هایی با مشتریان تجاری در نظر بگیرند. علاوه بر این سیستم های مدیریت پول باید امنیت اجرایی کافی را برای قادر ساختن صاحبان کسب و کار به منظور محدود کردن حق دسترسی و محدودیت های دلار در رابطه با دسترسی کاربران مختلف به حساب هایشان داشته باشند.
پرداخت شخص فرد به فرد
پرداخت های الکترونیک فرد به فرد همچنین با عنوان پول ایمیلی به مشتریان اجازه می دهد تا پول را برای هر شخص و یا کسب و کار از طریق ادرس ایمیل ارسال کنند. تحت این شرایط مشتری می تواند به صورت الکترونیک خدمات پرداخت فرد به فرد را برای انتقال پول به فردی دیگر بیاموزد. سپس سذویس پرداخت ایمیلی را برای آگاه کردن فرد می فرستد که پول هم اکنون موجود است و آن فرد را از روش های موجود برای دسترسی به پول آگاه می کند که شامل در خواست چک، انتقال پول به یک حساب موسسه ی تضمین شده و یا فرستادن مجدد آن به شخص دیگری می شود. پرداخت های فرد به فرد نوعا از طریق شارژ های کارت های اعتباری و یا از طریق انتقال ACH از موسسه مالی مشتری پستیبانی مالی می شود.به این دلیل که نه گیرنده و نه فرستنده ی پول نباید در تراکنش حسابی با خدمات پرداخت داشته باشند این خدمات ممکا است توسط موسسات مالی تضمین شود ولی بیشتر مواقع توسط دیگر کسب و کار ها به خوبی ارائه می شود.
ریسک هایی که ازمئن گران باید هنگام بررسی پرداختو نمایش صورتحساب و قبض و خدمات پول ایمیلی در نظر بگیرند عبارت است از:
- پتانسیل تعهد نسبت به تاخیر در پرداخت به علت قطع سرویس.
- تعهد نسبت به راهنمای پرداخت قبض که از کسی غیر از صاحب حساب سپرده سر چشمه می گیرد.
- ضرر از پرداخت فرد به فرد که از انتقال پول از کارت اعتباری و یا حساب سپرده به دریافت کننده که صلاحیت امضا را ندارد نشات می گیرد.
- ضرر از اختلاس و دستبرد کارمند به پول هایی که ایمیل های آن ها معوق است و هنوز به مقصد نرسیده است
- پتانسیل تعهد که پرداخت را مستقیما به اطلاعات موجود به ایمیل اشتباه راهنمایی می کند ویا آزاد کردن پول در جواب به ایمیل از شخص دیگری غیر از گیرنده ی مورد نظر
بانکداری الکترونیک بی سیم
بانکداری بی سیم کانالی ارتباطی ایت که می تواند دسترسی را توسعه دهد و راحتی محصولات وخدمات بانکداری اینترنتی را تسهیل کند. بانکداری بی سیم هنگامی اتفاق می افتد که مشتریان با استفاده از تلفن همراه ، پیجرو PDA از طریق شبکه های شرکت های مخابراتی به شبکه ی موسسه ی مالی دسترسی داسته باشند. بانکداری بی سیم در ایالات متحده نوعا مکمل خدمات و محصولات بانکداری الکترونیک موسسات مالی است.
وسایل بی سیم دارای محدودیت هایی در افزایش ریسک های امنیتی تراکنش های بر مینای بی سیم است و ممکن است به طور منفی بر درصد پذیرش مشتری تاثیر بگذارد. محدودیت های ابزار و وسیله کاهش سرعت پردازش، طول عمر کوتاه باتری ، اندازه ی کوچک صفحه ، فرمت ورودی اطلاعات متفاوت و حجم محدود برای نگه داری و و انتقال سوابق را در بر می گیرد. این محدودیت ها دست به دست هم دادند تا شناخته شده ترین زبان اینترنت HTML (Hypertext Markup Language) برای ارائه ی محتوا به وسایل بی سیم بلا استفاده شد. WML ( Wireless Markup Language ) به عنوان یکی از معدود زبان های استاندارد معمول به منظور توسعه ی محتوای وسایل بی سیم به وجود آمد.WAP (wireless application protocol ) به عنوان استاندارد منتقل کنننده ی داده برای انتقال محتوای WML به وجود آمد.
سازندگان لوازم بی سیم سعی دلرند تا کارایی آن ها را بالا ببرند و ویژگی های آن را برای خدمات نسل سوم افزایش دهند. ترقی و پیشرفت لوازم بی سیم قابل پیشبینی است که شامل صفحه ی بزرگ تر ، صفحه نماسش های رنگی ، کاربرد های تشخیص صدا ، فناوری شناسایی موقعیتو افزایش ظرفیت باتری.
این پیشرفت ها در جهت پذیرش مشتری و استفاده ی او حرکت می کنند. افزایش سرعت ارتباطات و بهبود ابزار ها در سال های اخیر باید به ادامه ی افزایش اشتراک بی سیم پیش رود.
از هنگامی که موسسات شروع به ارائه ی خدمات بانکداری بی سیم به مشتریان نموده اند، باید ریسک ها و لزوم کنترل و مدیریت ریسک را برای امنیت ادرس ، سندیت، و پذیرش در نظر بگیرند. بعضی از عاملان منحصر به فرد ریسک با بانکداری الکترونیک در ارتباط هستند که می تواند تراکنش های استراتژیک،اعتبار ، و پذیرش ریسک موسسات مالی را افزایش دهددر ضمیمه ی E بحث شده است.
ریسک های بانکداری الکترونیک
ریسک های تراکنش/ عملیات
ریسک های تراکنش / عملیات از سوء استفاده، اشتباهات فرآیندی ، قطع سیستم و یا دیگر اتفاقات غیر قابل پیش بینی که منجر به ناتوانی موسسه در ارسال محصولات و خدمات می شود نشات می گیرد. این ریسک در هر محصول یا سرویسی ک هارائه می شود وجود دارد. سطح ریسک تراکنش تحت تاثیر ساختار محیط پردازش موسسه است که شامل انواع خدماتی که ارائه می شود و پیجیدگی پردازش و تکنولوژی پشتیبانی ی شود.
در بسیاری از نمونه ها ، بانکداری الکترونیک پیچیدگی فعالیت های موسسه و کمیت ریسک تراکنش/ عملیات آن موسسه را افزایش خواهد داد به خصوص زمانی که موسسه خدمات جدیدی را ارائه می دهد که هنوز استاندارد نشده اند. به ددلیل این که مشتریا انتظار دارند که بانکداری الکترونیک 24 ساعت روز و هفت روز هفته موجود و در دسترس باشد ، موسسات مالی باید زیر ساخت های بانکداری الکترونیک خود را که شامل ظرفیت کافی و جلوگیری از تکرار و خرابی به منظور افزایش اطمینان به دسترسی خدمات تضمین کنند. حتی موسساتی که بانکداری الکترونیک را به عنوان یک سرویس مهم و بحرانی مالی به دلیل کانال های پردازش موجود در نظر نمی گیرند، باید انتظارات مشتری و تاثیر قطع سیستم بر رضایت و وفاداری مشتری را با دقت در نظر بگیرند.
کلید کنترل ریسک تراکنش در در اختیار داشتن نظم دهندگان و پلیس ، طرز عمل ، موثر و کنترل برای رویارویی با قرار گرفتن در ریسک های جدید که با بانکداری الکترونیک به وجود امدند قرار دارد. کنترل های داخلی اولیه شامل تفکیک وظایف ، کنترل دوگانه ، اصلاحات مهم می مانند. کنترل امنیت اطلاعات به طور خاص به صورت مهمتر درامدند که نیاز مند پردازش ، ابزارها ، تخصص، و ازمایش بیشتری است. موسسات باید سطح مناسبی از کنترل امنیت را که بر پایه ی ارزیابی حساسیت اطلاعات برای مشتری و موسسه و سطح تحمل ریسک موسسه بنا شده است اتخاذ کنند. کنترل های امنیت در این کتابچه در بخش " مدیریت ریسک فعالیت های بانکداری الکترونیک " زیر سر فصل " برنامه ی امنیت اطلاعات" آمده است.
ریسک اعتبار
عموما ریسک اعتبار موسسه ی مالی با این حقیقت محض که وام از از طریق کانال های بانکداری الکترونیک ناشی می شود افزایش پیدا نمی کند. با این حال مدیریت باید هنگام آغاز و موافقت با یک وام به صورت الکترونیکی احتیاط لازم را داشته باشند که شامل سیستم اطلاعات مدیریتی متضمن است که به طور موثر عملکرد دارایی را که از طریق کانال های بانکداری الکترونیک ایجاد می شود ردیابی می کند می شود.
جنبه های وام های آن لاین ایجاد شده و موافقت شده که در زیر امده به چالشی تر کردن مدیریت ریسک فرایند وام دادن گرایش دارند. اگر به طور مناسب مدیریت نشود، این جنبه ها می توانند به طور جدی ریسک اعتبار را بالا ببرند.
- بررسی شخصیت مشتری برای کارکرد های اعتباری آن لاین و اجرا قرارداد های قابل اجرا.
- نظارت و کنترل پیشرفت ، قیمت گذاری ، استاندارد های متعهد شده و کیفیت اعتبار در حال پیشرفت وام ایجاد شده از طریق کانال های بانکداری الکترونیک
- نظارت و اشتباهات سهوی کسانی که در حال انجام کار با عنوان نماینده هستند یا حقی از طرف موسسه ی مالی دارند. ( برای مثال سایت ایجاد کننده ی وام اینترنتی و یا پردازشگر پرداخت الکترونیک)
- ارزشیابی وثیقه و تکمیل حق تصرف بالقوه بر منطقه ی جغرافیایی وسیع تر
- نظارت بر هر افزایش، مقدار از بیرون از منطقه ی وام داده شده و یا تراکم ممکن درون
نقدینگی ، نرخ بهره ، ریسک وضع قیمت در انحصاری
تامین وجه و ریسک های مربوط به سرمایه گذاری می تواند با ابتکار در بانکداری الکترونیک موسسه وابسته به تغییر پذیری و قیمت گذاری سپرده ی به دست آمده افزایش یابد. اینترنت برای موسسات این توانایی را به وجود آورده است که به صورت جهانی محصولات و خدماتشان را بفروشند. برنامه های تبلیغات بر پایه ی اینترنت می تواند به صورت موثر با سرمایه گذارانی که بر بازده با عایدی بالقوه ی بالا متمرکزند رقابت کند. ولی سپرده های اینترنتی این پتانسیل را دارند که مشتریانی را که به طور اجرایی بر درصد ها متمرکز می شوند و ممکن است منبع تامین وجهی را با ریسک ویژه همانند سپرده های واسطه ارائه دهند. موسسات می توانند این پتانسیل تغییر پذیری را کنترل کنندو دسترسی جغرافیایی خود را از طریق قرارداد سپرده و افتتاح حسابی که شامل ملاقات رو در رو یا مبادلهاز طریق مکاتبات کاغذی می شود، توسعه دهند. این موسسات باید سیاست های خود را در صورت لزوم برای نشان دادن موضوعات سرمایه گذاری بانکداری الکترونیک زیر تعدیل کنند:
- پتانسیل افزایش استقلال در سرمایه واسطه ای دیگر سپرده های درصد بالا
- چتانسیل کسب سود از بازار های سرمایه گونه که موسسات مالی حق درگیری بانکی در آن ها را ندارند، مخصوصا اگر موسسه محدودیت های جغرافیایی را تاسیس، فاش و اجرا نمی کند.
- پتاانسیل تاثیر افزایش و رشد وام و یا سپرده از یک بازار وسیع اینترنتی ، که شامل تاثیر چنین رشد هایی بر سهم سرمایه می شود.
- پتانسیل افزایش در تغییر پذیری سرمایه باید مشکلات امنیتی بانکداری الکترونیک به طور منفی بر رضایت مشتری یا درک بازار از موسسه تاثیر بگذارد
ریسک مقبول/ مجاز
موضوع ریسک مقبول و مجاز از رشد سریع در استفاده از بانکداری الکترونیک و تفائت بین پردازش الکترونیک و کاغذ مبنا سر چشمه می گیرد. بانکداری الکترونیک یک کانال انتقال جدید است که قوانین و مقررات انتقال و ارسال که سرویس و خدمات الکترونیک موسسه ی مالی خاصی را که ممکن است مبهم باشد و یا هنوز در حال استنتاج کنترل می کنند. نظم دهنده و چالش های قانئنی خاص شامل است از:
- عدم اطمینان در مورد قئانین حوزه ی قضایی یا اینکه قوانین کدام ایالت یا کشور تراکنش خاصی از بانکداری الکترونیک را منترل می کند.
- فاش سازی و یا توجه در ارتباط با ارسال اعتبار و سپرده توط قانون یا ترتیب خاص در صورت نیاز
- ضبط مستند سازی مقبول در صورت نیاز برای تبلیغات، کارکرد ها ، افشاگری ها و آگهی های آن لاین
- برقراری قرارداد های الزامی قانونی
قوانین و مقرراتی که ترکنش مشتری را کنترل می کند نیازمند انواع خاصی از فاش سازی ، آگهی ، یا لوازم نگهداری سوابق است. این شرایط لازم برای بانکداری الکترونیک و آژانس های بانکداری فدرال که برای به روز کردن قوانین و مقررات به منظور بازتاب تاثیر بانکداری الکترونیک و روابط آن لاین مشتریان جریان دارند به کار بسته می شود. بعضی از شرایط قانونی لازم و راهنمایی های با قاعده که مرتبا در محصولات و خدمات بانکداری الکترونیک به کار می روند عبارتند از:
- درخواست ، جمع اوری و گزارش اطلاعات نظارت دولت بر کارکرد ها و وام ها به همان میزان
- شرایط لازم تبلیغات ، افشا سازی مشتری ، یا آگهی های لازم توسط قانون توافق طرز عمل مستغلات، صداقت در وام دهی ، صداقت در امانت و نگه داری و قوانین عادلانه ی خانه سازی
- نمایش واضح و مناسب آگهی بیمه ی FDIC یا NCUA
- وب سایت واضح که نشان دهنده ی انواع خاصی از سرمایه گذاری ، کارمزدو محصولات تضمین شده که ارائه می شود و ریسک های مرتبطی داردو شامل بیمه ی سپرده ی فدرال(ّFDIC یا NCUA ) نمی شود
- برنامه و دستور العمل شناسایی مشتری برای نگهداری سوابق ، و شرایط اعلام مشتری که توسط قانون امنیت بانکی نیاز می شود.
- فر ایند شناسایی مشتری برای اتخاذ این تصمیم که ایا تراکنش ها توسط اداره ی کنترل دارایی های خارجیOFAC)) تحریم شده است *
- ارسال پیام وانتخاب آگهی به صورت دستی، ایمیلی و یا از طریق دانش بر قبوض و رسید هی الکتزونیک مشتری
- بررسی شخصیتی مشتری، گزارش ، و نگهداری و ضبط شرتیط لازم قانون امنیت بانکBSA))، که شامل شراط لازم برای بایگانی گزارشات فعالیت های مشکوک( SAR )
- ضبط شرایط لازم برای قانون فرصت اعتبار و مقررات قانون گزارش اعتبار عادلانه
موسساتی که خدمات بانکداری الکترئنیک ارائه می دهند ،چه اطلاعاتی و چه تراکنشی، سطح بالا تری از ریسک مقبول را به دلیل طبیعت تغییر پذیر تکنولوژی ، سرعت تکرار اشتباهات، و تغییرات مداوم ادرس ها در موضوع بانکداری الکترونیک بر عهده می گیرند. پتانسیل خطا با احتیاج به تضمین هماهنگی بین تبلیغات و افشا گری ها و آگهی های کاغذی و الکترونیک بیشتر بالا رفته است. اطلاعات بیشتر در مورد شرایط مقبول برای بانکداری الکترونیک را می توان در وب سایت آژانس ها و منابعی که در ضمیمه ی C آمده یافت.
ریسک استراتژیک
هیئت انا و مدیریت یک موسسه س مالی باید ریسک ها یی را که با خدمات بانکداری الکترونیک کهستند درک کند و نتیجه ی هزینه ی مدیریت ریسک را در برابر پتانسیل بازگشت سرمایه گذاری مقدم بر ارائه ی خدمات بانکی را ارزشیابی کند. برنامه ریزی و تصمیم به سرمایه گذاری ضعیف می تواند ریسک استراتژیک موسسات مالی را بالا ببرد. اولین اقتباس کنندگان خدمات بانکداری الکترونیک می توانند خود را به عوان مبدعی که نییاز های مشتریان را پیش بینی کرد معرفی کنند، ولی این کار ممکن است هزینه ی بالایی را در بر داشته باشد و پیچیدگی را در عملیتشان افزایش دهد. بالعکس اقتباس کنندگان اخیر می توانند از هزینه های بالا و افزایش پیچیدگی دوری کنند. اما انجام چنین کاری با ریسک این که با مشتریان برخورد نداشته باشی نیازمند افزایش خدمات و محصولات است. در مدیریت ریسک استراتژیک مرتبط با خدمات بانکداری الکترونیک ، موسسات مالی باید اهداف واضح بانکداری الکترونیک خود را توسط موسسه ای که بتواند موفقیت استراتژی بانکداری الکترونیک خود را ارزشیابی کندتوسعه دهند . به خصوص موسسات باید به موارد زیر توجه داشته باشند:
- کفایت سیستم مدیریت اطلاعات (MIS) برای دنبال کردن استفاده از بانکداری الکترونیک و درامد زایی آن
- هزینه های که شامل نظارت بر فعالیت های بانکداری الکترونیک می شود و یا هزینه هایی که خرج سرپرستی فروشندگان و ارائه دهندگان سرویس های تکنواوژی می شود.
- طراحی ، ارسال و قیمت گذاری سرویس هایی که برای رفع نیاز های مشتری کفایت می کنند
- ضبط قرارداد های وام الکترونیکی و دیگر قرار دااد ها یی که در قالب قانونی و قضایی قابل قبول و اجرا باشند.
- هزینه و موجودیت کارمند برای ارائه ی پشتیبانی فنی به منظور مبادلاتی که شامل سیستم های عملیاتی چندگانه ، وب برازر، و ابزار های ارتباطی می شود.
- رقابت با دیگر ارائه دهندگان بانکداری الکترونیک
- · شایستگی پشتیبانی فنی ، عملیاتی ، قانونی و یا بازاری برای محصولات و خدمات بانکداری الکترونیک
ریسک اعتبار
تصمیم یک موسسه برای ارائه ی خدمات بانکداری الکترونیک مخصوصا تراکنش های پیچیده تر به طور جدی سطح ریسک اعتبار را بالا می برد. بعضی از روش هایی که موسسات می توانند اعتبار موسسه ای راتحت تاثیرقرار دهد عبارت است از :
- نبود اعتماد به دلیل فعالیت های غیر مجاز در حساب مشتری
- افشا و یا دزدی اطلاعات محرمانه ی مشتری بری اشخاص غیر مجاز
- قصور در اجرای مطالبه ی بازاری
- قصور در ارئه ی خدمات قابل ااطمینان به دلیل قطع متناوب و مداوم سرویس
- شکایت مشتری در مورد دشواریاستفاده از بانکذاری الکترونیک و ناکارامدی بخش پشتیبانی کمک موسسات برای حل مشکلات
- اغتشاش بین خدماتی که توسط موسسه ارائه می شو د و خدماتی که توسط دیگر کسب و کار ها ارائه می شود که توسط سایت اینترنتی به هم لینک شده و متصل است.
مدیریت ریسک فعالیت های بانکداری الکترونیک
همانطور که در بخش های اولیه اشاره شد ، بانکداری الکترونیک مشخصه های منحصر به فردی دارد که می تواند فرم ریسک کلی موسسه و ریسک هایی که با خدمات سنتی مالی به خصوص ریسک های استراتژیک ، عملیاتی ، قانونی و اعتباری را بالا ببرد. این مشخصه های منحصر به فرد بانکی عبارتند از:
- سرعت تغییرات تکنولوژی
- تغییر انتظارات مشتریان
- افزایش امکان دسترسی عموم به شبکه ها ( برای مثال اینترنت)
- تقابل رو در روی کمتر با مشتریان موسسات مالی
- نیاز به یکپارچه سازی با سیستم های کامپیوتری ترکه ی موسسات
- وابستگی به دیگران برای تخصص های فنی لازم
- و افزایش تهدید ها و اسیب پذیری ها در دسترسی عمومی به شبکه ها
مدیریت باید هر کدام از فرایند هایی را که در این بخش بحث می شود را برای وفق دادن و توسعه تکنیک های مدیریت ریسک بررسی کند .* با این حال که این فرایند ها فرایند های بحثشده در دیگر کتابچه ها را بازتاب می کند ، این فرایند ها که در زیر با چشم انداز بانکداری الکترونیک بحث شده اند. برای اطلاعات جزئی تر در مورد هر کدام از فرایند ها خواننده باید کتابی مشابه این کتابچه IT را بررسی کند.
اشتباهات نظری هیئت امنا و مدیریت
|
خلاصه ی عملکرد هیئت مدیره و مدیران ارشد مسئول توسعه استراتژی بانکداری الکترونیک موسسه هستند، که باید شامل شود از:
|
استراتژی های بانکداری الکترونیک
مدیریت موسسه مالی باید سطح خدمات بانکداری الکترونیک ارائه شده را برای بخش های مشتری مدار که بر مبنای نیاز های مشتری و نظارت بر ارزیابی ریسک استوار است انتخاب کند . موسسات باید از طریق موافقت هیئت مدیره با این استراتژی بانکداری الکترونیک که عاملانی مثل نیاز مشتری ، رقابت ، تخصص ، هزینه های اجرایی، هزینه های نگهداری، و حمایت مالی در نظر می گیرد برسند. بعضی از موسسات ممکن است خدمات بانکدازی الکترونیک و یا محدود کردن خدمات بانکی به یک سایت اطلاعاتی را انتخاب نکنند. موسسات مالی باید به صورت دوره ای این تصمیمات را برای تضمین و اطمینان از مناسب ماندن برای استرتژی کلی کسب کار موسسه ارزشیابی کنند.موسسات می توانند موفقیت را در روش های بسیاری شامل رشد در سهم بازار، گسترش روابط مشتریان، کاهش قیمت، و یا در آمد جدید تعریف کنند. اگر موسسات مالی تصمیم بگیرند که وب سایت تراکنشی مناسب است ، تصمیم بعدی تعیین دامنه ی خدمات و محصولاتی است ک قرار است به صورت الکترونیکی به مشتریان ارائه شود. برای اجرا ی این خدمات و محصولات موسسه ی مالی می تواند بیش از یک وب سایت و یا صفحات مختلف در یک وب سایت برای خط های مختلف کسب و کار داشته باشد.
تحلیل هزینه- سود و ارزیابی ریسک
موسسات مالی باید هر تصمیمی را برای اجرا ی خدمات و محصولات بانکی بر پایه ی تحلیل هزینه سود مرتبط با چنین فعالیت هایی اخذ کنند.
بعضی از دلایلی که موسسات خدمات بانکداری الکترونیک ارائه دهند عبارتند از:
- هزینه ی عملیاتی کمتر
- پوشش جغرافیایی بالا تر
- بهبود بخشیدن و تقویت موقعیت رقابتی
- افزایش نیاز مشتری به خدمات
- فرصت های جدید در امد
افرادی که به صورت فردی هزینه سود ر ا بررسی می کنند باید به طور کامل و واضح در مورد ریسکمرتبط با بانکداری الکترونیک بدانند بنابرین آن نظارت بر هزینه در کنترل کم کردن ریسک شرکت می کند. بدو ن چنین تخصصی ، تحلیل هزینه سود بیشتر شبیه تخمین کم زمان و منابع مورد نیاز سرپرستی مناسب فعالیتهای بانکداری الکترونیک است مخصوصا سطح تخصص فنی مورد نیاز برای ارائه ی از نظر افتادگی شایسته در خانه یا فعالیت های بیرون منبعی است. علاوه بر هزینه مشخصی که برای پرسنل ، سخت افزار ، نرم افزار و ارتباطات مورد نیاز است تحلیلگران باید این ها را نیز در نظر بگیرند:
- تغییرات در سیاست ها ، شیوه ی کار و تکنیک ها
- تاثیر بر فرایند های کنترل برای سیستم های غیر قابل جایگزین
- معماری مناسب شبکه ،تخصص در امنیت ، و ابزار های نرم افزاری برای موجود نگه داشتن سیستم و حمایت و پاسخ به سعی در دسترسی غیر مجاز موسسه
- کارمندان ماهر برای پشتیبانی و خدمات بانکداری الکترونیک بازار در طی ساعات و جغرافیای بیشتر
- متخصصین بیشتر و MIS مورد نیاز برای نظارت بر فروشندگان بانکداری الکترونیک و یا ارائه دهندگان خدمات فناوری
- سطح بالا تری از پذیرش قانونی و بازبینی متخصص که برای از سرویس های وابسته به تکنولوژی نیاز است.
- گسترش MIS برای نظارت بر امنیت، استفاده ، درامد زایی و برای اندازه گیری بانکداری الکترونیک موفقیت استراتژی بانکداری الکترونیک موسسه
- هزینه ی پوشش بیمه برای فعالیت های بانکداری الکترونیک
- پتانسیل درامد تحت سناریو های قیمت گذاری متفاوت
- پتانسیل ضرر به علت تقلب
- هزینه ی فرصت ها ی در ارتباط با اختصاص سرمایه به تلاش های بانکداری الکترونیک
نظارت و پاسخ گویی
یک بار که موسسه ای استراتژی بانکداری الکترونیک خود را اجرا کرد، هیئت امنا و مدیریت باید به صورت دوره ای تاثیر استراتژی را ارزیابی کنند. نکته ی کلیدی چنین ارزیابی هایی مقایسه ی پذیرش و عملکرد بانکداری الکترونیک فعلی با اهداف و انتظارات موسسات است. بخشی از مواردی که موسسات می توانند آن ها را برای نظارت بر موفقیت و هزینه ی اثر بخشی استراتژی بانکداری الکترونیک به کار بگیرند، عبارت است از:
- درآمد زایی
- درصد در دسترس بودن سایت
- حجم سرویس دهی به مشتریان
- تعداد مشتریانی که به صورت فعال از خدمات بانکداری الکترونیک استفاده می کنند
- درصد حساب هایی که برای خدمات بانکداری الکترونیک افتتاح شده است
- هزینه بابت هر از پرداخت های قبوض که به وجود می اید
مدیریت بدون اهداف مشخص و تعریف شده اگر خدمات بانکداری الکترونیک در برابر نیاز مشتریان به اندازه ی رشد موسسه و انتظار درامد قرار بگیرد نمی تواند تصمیم گیری کند .
در ارزیابی اثر بخشی استراتژی بانکداری الکترونیک ، هیئت مدیره باید این را نیز در نظر بگیرد که آیا سیا ست ها و طرز عمل ها موثر هستند و ایا ریسک ها به طور مناسب کنترل می شوند. بدون تاسیس و پایه گذاری استراتژی های اولیه ی واضح پاسخ گویی برای تویعه ی سیاست و کنترل ، هیئت مدیره قادر به تشخیص این نخواهد بود که ببیند کجا . چرا اشکال در فرآیند کنترل ریسک اتفاق افتاده است.
بازبینی
جزء مهمی از نظارت عملکرد بازبینی مناسب است. موسسات مالی که خدمات و محصولات بانکداری الکترونیک را ارائه می دهند باید پوشش بازبینی خود رابا فزایش در پیچیدگی و ریسک اصلی در فعالیت های بانکداری الکترونیک گسترش دهند. موسسات مالی که خدمات بانکداری الکترونیک را ارائه می دهند باید گسترش برنامه ی بازبینی خود را برای موارد زیر تضمین کنند:
- دامنه و پوشش، شامل کل فرایند بانکداری الکترونیک در صورت قابل اجرا بودن
- پرسنل با تخصص فنی کافی برای ارزیابی تهدید های امنیتی و کنترل ها در شبکه ای باز
- افراد و یا شرکت های مستقل بدون مخالفت با بانکداری الکترونیک و یا نقش امنیتی که بازبینی را اداره و هدایت می کنند.
مدیریت روابط برون منبعی
|
خلاصه ی عملکرد هیئت مدیره و مدیران ارشد باید نظارت موثری را بر فروشندگان دیگری که خدمات و پشتیبانی بانکداری الکترونیک را ارائه می دهند داشته باشند. نظارت موثر نیازمند این است که موسسات تکنیک های زیر را تضمین کنند:
|
برنامه ریزی دقیق برای راه حل های برون منبعی
قیمت کلیدی در در آماده سازی تحلیل هزینه سود بانکداری الکترونیکی این است که ایا موسسه ی مالی از خدمات بانکداری الکترونیک در خانه و یا برون سازمان برای یک شخص یا اشخاص دیگر پشتیبانی می کند. بانکداری الکترونیکی تراکنشی نوعا یک سیستم نهیی است که بر برنامه ریزی لینک تکیه دارد و به یک واسط فرمان می دهداطلاعات را انتقال دهد و بین سیستم بانکداری الکترونیک و عملکرد پردازش هسته ای موسسه تراکنش کند. چنین واسط هایی می توانند بین سیستم های خانگی ، سیستم های برون سازمانی ، یا ترکیب هر دوی آنها باشند. این انعطاف پذیری به موسسات اجازه می دهد تا سرویس و محصولاتی را انتخاب کنند ککه بهترین سازگاری را با نیاز های بانکداری الکترونیکشان داشته باشد، ولی این می تواند فرایند نظارت بر فروشندگان را هنگامی که چندین فروشنده وجود دارد پیچیده کند. انتخاب استفاده از خدمات یک TSP و یا بیشتر می تواند به موسسات در مدیریت هزینه ، به دست اوردن تخصص مورد نیاز ، گسترش ارائه ی خدمات به مشتریان، و بهبود کیفیت امنیت کمک کند. با این حال این انتخاب ها موسسات مالی را از فهم و مدیریت ریسک های مرتبط با سرویس های TSP از بین نمی برد. در واقع ارائه دهندگان خدمات ممکن است ریسک های اضافه و اتکا مقابل که مو سسات مالی باید انها را درک و مدیریت کنند معرفی می کند.
جدول 2 زیر بعضی از فایده ها و ضرر های پشتیبانی محصولات و خدمات بر مبنای تکنولوژی در خانه را در مقابل قرارداد برای پشتیبانی با TPS را خلاصه کرده است. قطع نظر از این که ایا خدمات بانکداری الکترونیک موسسه برون سازمانی است یا در خانه پردازش می شود ، موسسه باید به طور دوره ای بررسی کند که ایا این نظم برای رویا رویی با نیاز های جاری و یا نیاز های پیشبینی شده ی اینده ادامه یابد.
|
ضرر ها |
فواید
|
نرم افزار کاربردی |
سخت افزار پردازشگر |
|
هزینه ی تو سعه و نگهداری سیستم |
سیستم های طراحی شده برای نیاز های خاص موسسات تئانایی ارائه ی محصولات و خدمات منحصر به فرد نظارت مستقیم بر ریسک |
توسعه یافته در خانه |
خریداری شده در خانه و یا استیجاری |
|
هزینه ی تخصص برای نگهداری سیستم ، اصلاح نرم افزار مشتریان و یکپارچه سازی به روز کردن نرم افزار فروشندگان
|
ارزان تر از نوع توسعه یافته در خانه در حالی که توانایی سازش و نظارت مستقیم بر ریسک را دارد |
خریداری شده همراه با تغییرات در خانه |
|
|
محدودیت در توانایی تغییر محصولات و خدمات و ارائه ی محصول منحصر به فرد |
نیازمند سطح پایین تری از تخصص برای حفظ سیستم ها و عملکزد آن است نظارت مستقیم بر ریسک |
خریداری شده در خانه بدون تغییرات |
|
|
دارای بهره ی مالکیتی نیست
محدودیت در توانایی تغییر محصولات و خدمات و ارائه ی محصول منحصر به فرد نیاز به نظارت بر ریسک های برون سازمانی |
کمترین نیاز به تخصص فنی افزایش در سرعت اجرا هزینه ی راه اندازی کمتر |
برون سازمانی شده برای TSP |
برون سازمانی شده برای TSP |
قرارداد ها برای خدمات شخص ثالث
با همه ی خدمات مالی برون سازمانی ، موسسات باید با TPS ها قرارداد رسمی داشته باشند که که به طور ئاضح وظایف و مسئولیت ها ی افراد مختلف در آن ادرس دهی شده باشد. در گذشته بعضی از موسسات انتظارات امنیتی غیر رسمی را لز فروشندگان نرم افزار و ارائه دهندگان دسترسی به اینترنت داشتند که هیچ گاه اقدام به نوشتن آن نکردند. نبود مسئولیت های واضح و معین و توافق عام باعث شکست در کنترل داخلی می شد و به وقایع امنیتی اجازه ی وقوع می داد. کتابچه ی IT " خدمات تکنولوژی برون سازمانی" پیشنهادات قرارداد برای TSP ها را با جزئیات لیست کرده است موسسات در صورت لزوم باید این پیشنهادات را برای خدمات بانکداری الکترونیک بررسی و متناسب کنند . مثال های خاص در مورد موضوع قرارداد های بانکداری الکترونیک عبارتند از:
- محدودیت در استفاده از اطلاعات غیر عمومی مشتری که توسط TSP جمع اوری یا ذخیره شده است.
- نیاز به کنترل مناسب به منظور امنیت اطلاعات مشتری که توسط TSP نگهداری می شود.
- سطح استاندارد خدماتی چون زمان فعال بودن وب سایت ، عملکرد هایپرلینک، زمان های پاسخ به مشتری و ...
- برنامه ریزی پاسخ مناسب ، شامل یاد اوری مسئولیت ها برای پاسخ گویی نسبت به قطع، خراب شدن، و یا دسترسی غیر مجاز و یا کد های مزاحم وب سایت
- استمرار طرح های کسب و کار برای خدمات الکترونیک شامل خط های پردازش چاره ساز، سرور های پشتیبانی ، عملکرد اجرایی اورژانسی و ...
- عملکرد و دسترسی به ارزیابی ، آزمون های نفوذ ، و بازبینی مالی و عملیاتی شکستگی
- محدودیت در قرارداد های فرعی خدمات ، چه داخلی چه بین المللی
- انتخاب قانون و حوزه ی قضایی برای رفع اختلاف نظر و دسترسی به اطلاعات از طریق موسسات مالی و تنظیم کنندگان آ«
- برای غروشندگان و یا ارائه دهندگان خدمات خارجی ، ب علاوه ی موارد بالا اختیارات و موارد قرارداد با افزایش ریسک به علت اقتصاد مغایر یا توسعه های اقتصادی در در کشور ان ها همراه است
نظارت و کنترل شخص ثالث
موسسات مالی که پشنیبانی فنی خود را لز بیرون سازمان تامین می کنند باید نظارت کافی بر فعالیت های ارائه دهندگان خدمات داشته باشند تا ریسک های ناشی را کنترل و شناسایی کنند. کلید نظارت خوب نوعا در MIS موثر قرار دارد. با این حال برای این که MIS موثر باشد موسسه مالی نخست باید انتظارات عملکرد واضحی را بنا کند. هر کجا که ممکن است این انتظارات باید به طور واضح در قرارداد خدمات و یا در الحاقیه مستند شوند . MIS موثر و به موقع می تواند موسسه ی سرویس داده شده را برای توسعه ی سرویس ، مسائل مالی و یا امنیتی مربوط به فروشندگان اگاه کند.
نوع و تکرار گزارشات نظارت نیازمند تغییرات است که به پیچیدگی سرویسی که ارائه می شود و تقسیم مسئولیت ها بین موسسه و ارائه دهندگان سرویس آن است بستگی دارد. سرویس دهندگان می توانند توانایی MIS در حوزه های مدیریتی عملکرد، ارائه ی گزارش آن لاین ، خود به و جود آورند و یا می توانند گزارشات کتبی دوره ای دهند. مثال هایی از موارد که می تواند با گزارشات نظارت بانکداری الکترونیک درگیر شود در زیر لیست شده است:
موجودیت خدمات بانکداری الکترونیک. گزارشات ممکن است شامل امار در موضوع تکرار و قطح دوره ای سرویس باشد که شامل دلایلی برای هر نوع از قطع سیستم می شود. درصد زمان آماده بودن و زمان توقف وب سایت و خدمات بانکداری الکترونیک و حجم و نوع مشکلات دسترسی به وب سایت که توسط مشتریان گزارش شده است.
سطوح فعالیت و حجم سرویس دهی . گزارشات می توانند شامل تعداد حساب هایی که سرویس دهی شده اند، تعداد و درصد حساب های جدید، فعال و غیر فعال .*
کارایی عملکرد و اجرا. گزارشات می توانند شامل زمان های متوسط پاسخ در طول روز؛ فعایت پرداخت صورت حساب در برابر ACH ؛ ظرفیت مورد استفاده ی سرور؛ قرارداد های خدماتی مشتری همراه با رسیدگی و زمان تصمیم گیری ؛ خسارات ناشی از اشتباهات، تقلب و یا موارد منکر شده می شود.
وقایع امنیتی . گزارشات می توانند شامل حجم سعی ورود هایی که پذیرفته نشده است و بازنشاندن رمز عبور ، نفوذ های سعی شده و موفق ، تعداد و انواع ویروس های گرفتار شده ، و هر نقض امنیت دیگر
تضمین کیفیت. گزارشات عمکرد، نتایج بازبینی ، آزمون های نفوذ ، و ارزیابی برای شکستگی ، شامل فعالیت سرویس دهنده برای شناساندن هر کمبود
برنامه ی امنیت اطلاعات
|
خلاصه ی عملکرد بانکداری الکترونیک چالش های مدیریت ریسک های امنیت اطلاعاتی را ارائه می کند. هدایت کنندگان موسسات مالی و مدیرا ن ارشد باید برنامه ی امنیت اطلاعات را تضمین کنند که که این چالش ها را به وجود می آورد:
|
امنیت اطلاعات برای توانایی موسسه ی مالی در اجرای خدمات بانکداری الکترونیک ، محافظت از درستی و محرمانه بودن اطلاعات مشتری و تضمین پاسخ گویی برای تغییرات در اطلاعات و پردازش و سیستم های اطلاعاتی امری بسیار حیاتی است. بسته به اندازه ی تکنولوژی داخلی ، یک سیستم بانکداری الکترونیک موسسه ی مالی می تواند امنیت اطلاعات را با موضوعات کنترل و شبکه یندی بی شمار مختلط کند. کتابچه ی IT " امنیت ا طلاعات " امنیت را با جزئیات بیشتر توضیح داده است . برای اطلاعات بیشتر در مورد امنیت به ان کتابچه مراجعه کنید.
راهبرد های امنیتی
موسسات مالی باید از "راهبرد های استاندارد تاسیس شده برای حفاظت از اطلاعات مشتری"اجابت کنند . هنگامی که موسسات مالی بانکداری الکترونیک و یا سرویس مشابه آن را معرفی می کنند مدیریت باید تاثیر بر اطلاعات مشتری را تحت GLBA بررسی کند. راهبرد ها نیازمند موسسات مالی هستند برای :
- تضمین امنیت و محرمانه بودن اطلاعات مشتری
- پشتیبانی در مقابل هر تهدید پیش بینی شده یا به خطر افتادن امنیت یا درستی چنین اطلاعاتی
- جلوگیری از دسترسی غیر مجاز و یا استفاده از چنین اطلاعاتی که می تواند موجب خسارات قابل توجه و یا نارضایتی مشتری شود.
راهبرد ها میزان هیی را طرح ریزی می کنند که موسسات باید ان ها را در بر نامه هایتکمیلی امنیت خود در نظر بگیرند. این میزان ها عبارت ان از:
- شناسایی و ارزیابی ریسکی که می تواند اطلاعات مشتری را تهدید کند.
- ساخت طرحی کتبی که شامل سیاست ها و شیوه های عمل برای مدیریت و کنترل این ریسک ها می شود.
- اجرا و آزمون طرح
- وفق دادن طرح با مبنا ی جاری برای محاسبه ی تغییرات تکنولوژی ، حساسیت اطلاعات مشتری ، و تهدید های داخلی و خارجی در امنیت اطلاعات
همچنین راهبرد ها طرح کلی مسئولیت ها ی مدیریت برای نظارت بر حفاظت از امنیت اطلاعات مشتری را طرح ریزی می کند که عبارت است از نگهداری از اطلاعات مشتری و یا پردازش توسط سرویس دهندگان
کنترل امنیت اطلاعات
تهدید های امنیتی می تواند از طریق اسیب پذیری های بسیاری بر موسسه ی مالی تاثیر بگذارد. هیچ کنترلی و یا ابزار امنیتی به قدر کافی از سیستمی که به شبکه ی عمومی متصل شده است حفاظت کند. امنیت اطلاعات موثر فقط از لایه های قانون گذار شیوه های مختلف کنترل ، نظارت و ازمون می اید. حال ان که جزئیات هر کنترل و تاثیر آن بر کاهش ریسک به عامل های بسیاری بستگی دارد ، در کل هر موسسه ی با ارتباط خارجی باید به صورت داخلی و یا در TSP شان کنترل موجود را تضمین کنند.
- دانش فعلی از منابع ، سناریو ها و تکنیک های یورشی. موسسات مالی باید اگاهی خود را در مقابل تهدید های حمله از طریق اعضای وارد شده از طریق نهاد های اشتراک اطلاعات
- تجهیزات به روز موجودی کالا و نقشه های شبکه . موسسات مالی باید موجودی کالایی از ماشین ها و نرم افزار های کافی برای پشتیبانی به موقع از به روز کردن امنیت و بازبینی تجهیزات و نرم افزار های مجاز داشته باشند. به علاوه موسسات باید ارتباط بین اجزاء مختلف شبکه شامل کاربران دور از دسترس ، پایگاه داده ی داخلی ، سرور های دروازه ای برای شخص ثالث، را درک و مستند کنند. موجودی کالای سخت افزار و نرم افزار برای هر سیستم می تواند پاسخ گویی موسسه به اسیب پذیری های جدید کشف شده و پشتیبانی شناسایی پیش از فعالیت وسایل و یا نرم افزار های غیر مجاز سرعت خود را افزایش دهند.
- توانایی پاسخگویی سریع به واکنش های کشف اسیب پذیری های اخیر. موسسات مالی باید فرایند قابل اعتمادی برای اگاهی از اسیب پذیری های اخیر و در صورت ضرورت واکنش برای کاهش ریسکی که توسط این کشف به وجود امده است داشته باشند. نرم افزار ها به ندرت بی نقص هستند . بعضی از این نقص ها ممکن است اسیب های امنیتی را موجب شود و موسه ی ما لی ممکن است نیاز به تصحیح کد نرم افزار دارد که به طور موقت تمیر سده است و بعضی مواقع Patch نامیده می شود. *
- کنترل دسترسی شبکه بر ارتباطات بیرونی. موسسات مالی باید با دقت دسترسی بیرونی از طریق کانال هایی شامل شماره گیری از دور دست ، اتصالات خصوصی شبکه ای مجازی ، سرور های دروازه ای ، یا نقاط دسترسی بی سیم را کنترل کنند را کنترل کنند. به طور نمونه دیواره های اتشین برای اجرا سیاست های موسسات مالی بر ترافیک ورودی به شبکه های موسسه ی مالی است . دیواره های اتشین برای ایجاد بافر های منطقی، نیز به کار می رود .
- سخت گردانی سیستم . موسسات مالی باید سیستم هایشان را قبل از قرار دادن در محیط محصول سخت کنند. لوازم کامپیوتری و نرم افزار ها به طور مداوم از سازنده با رمز عبور و پیکر بندی اولیه که برای امنیت محیط موسسه کافی نیست انتقال می یابد. سخت گردانی فرایند حذف یا غیر فعال سازی سرویس ها و فایل های غیر ضروری و بی امنیت است .
- کنترل برای جلوگیری از کد های مزاحم. موسسات مالی باید ریسک هایی را که توسط کد های مزاحم ایجاد می شود را با اموزش کارمندان در تمرین های امن ، نسب نرم افزار های ضد ویروس بر سرور و میز های کار ، نگهداری فایل های تعریف ویروس های به روز، پیکر بندی سیستم ها برای جلوگیری از اجرا ی خودکار کد های بدخواه و مزاحم.*
- ردیابی نفوذ سریع و عملکرد پاسخگویی. موسسات مالی باید مکانیزم هایی برای کاهش ریسک نفوذ به سیستم های ردیابی نشده داشته باشد. محاسبه ی سیستم ها هیچ گاه به طور کامل امن نیست. هنگامی که قصور در امنیت اتفاق می افتد و متجاوزان در سیستم موسسه هستند ، تنها ردیابی و عکس العمل سریع متواند هر خسارتی را که ممکن است اتفاق بافتد را کاهش دهد.
- امنیت فیزیکی محاسبه ی لوازم. موسسات مالی باید ریسک موجب شده توسط دسترسی فیزیکی غیر مجاز به ابزار های کامپیوتری از طریق بعضی از تکنیک ها مثل قرار دادن سرور ها و ابزار های شبکه در منطقه ای که تنها کارمندان مجاز و دسترسی اجرایی مشروط به ماشین ها در آن منطقه ی محدود قرار دارد را کاهش دهند. یک مهاجم دسترسی فیزیکی به لوازم کامپیوتر و شبکه می تواند تمام کنترل های امنیتی را رمز یابی کند. کامپیوتر هایی که توسط فروشندگان و کارمندان برای دسترسی به سیستم های موسسه استفاده می شوند نیز موضوعی برای رمز یابی هستند. موسسات مالی باید این کامپیوتر ها را با شرایط امنیتی و پیکر بندی قطع نظر از کنترل هایی که دسترسی دور را حمایت می کنند تضمین کند.
- ثبت نام کاربر ، تغییرات و انقضاء طرز عمل ها. موسسات مالی باید سیاستی قوی و طرز عملی با مدیریت خوب برای شناسایی مثبت کاربرات هنگام دادن دسترسی مقدماتی سیستم و پس از ان برای محدود کردن وسعت دسترسی آنها داشته باشند .
- سیاست های استفاده ی مجاز . هر موسسه ی مالی باید سیاستی داشته باشد که کاربران مختلف که می توانند دسترسی داشته باشند، فعالیت هایی که مجاز به اجرای آن هستند ، را راهنمایی کند. همهی کاربران سیستم داخلی و پیمانکاران باید در مورد قئانینی که بر آن ها در استفاده از سیستم های موسسه حکومت نیکند آموزش ببینند
- اموزش. موسسات مالی باید فرایندی برای شناسایی ، نظارت و راهنمایی نیاز های آموزشی داشته باشد. هر موسسه ی مالی باید پرسنل خود را در مورد فناوری مورد استفاده ی آن ها و قوانین حاکم بر آن فناوری آموزش دهد . اموزش فنی برای کسانی که بر کنترل های کلیدی مثل دیوار آتشین، پیکر بندی لوازم نظارت دارند امری مهم است. اموزش اگاهی امنیت برای همه ی کاربران مهم است .
- ازمون های مستقل . موسسات مالی باید برنامه ای آزمایشی که اهداف کنترلی را مشخص کند داشته باشند. تضمین اصلاح نقدی عملکرد جایی که کمبود ها شناسایی می شوند. و ارائه ی بیمه ی مستقل برای سازگاری با سیاست های امنیتی. ازمایش های امنیتی برا ی شناسایی کمبود ها ضروری است . برنامه ی آزمایش موثر کنترل های کلیدی را شناسایی می کند سپس این کنترل ها را در ریسک هایی این کنترل ها عملکرد ندارند آزمایش می کند.
مشتریان معتبر بانکداری الکترونیک
بانکداری الکترونیک مشتری را به عنوان کاربر مستقیم تکنولو/زی موسسه در نظر می گیرد. مشتریان باید وارد سیستم موسسه شوند و از آن استفاده کنند. بنابرین موسسه ی مالی باید دسترسی آن ها را کنترل کند و /ان ها را از مسئولیت های منیتی خود آگاه کند. با این حال که کنترل های قانونی نقش مهمی را در امنیت داخلی یک سازمان ایفا می کند ، این بخش از کتابچه در مورد اعتباری بحث خواهد کرد که تنها به بانکداری الکترونیک مرتبط است .
تصدیق مشتریان جدید
بررسی و شناسایی مشتری به خصوص مشتری جدید جزء لاینفک خدمات مالی است . مطابق با قانون USA PATRIOT ، هر موسسه ی مالی باید برنامه ی شناسایی مشتری(CIP) را توسعه و اجرا کند. CIP باید کتبی باشد و در قانون امنیت موسسه و برنامه های ضد پول شویی به کار رود.
موسسه ی مالی ممکن است بر دیگران برای شناسایی درخاست کننده در برای تحقق استفاده کند. موسسه ی مالی در تضمین این که شخص ثالث از سطح مناسبی از تحقق عملکرد برای تصدیق شخصیت مشتری استفاده می کند مسئول است. درخواست های جدید آنلاین سختی شناسایی اطلاعات درخواست را بالا می برد. بسیاری از موسسات سعی می کنند تا مشتری را برای تکمیل فراین افتتاح حساب به اداره اصلی و یا شعب آن بکشانند. موسساتی که کل فرایند افتتاح حساب از طریق ایمیل و یا آنلاین را اداره می کنند باید استفاده ی شخص ثالث از پایگاه داده را برای ارائه در نظر بگیرند:
- ارزیابی مثبت. اطمینان پیدا کردن از این که اطلاعات ارائه شده توسط خواستار با اطلاعات موجود از منابع دیگر
- ارزیابی منطقی. اطمینان پیدا کردن از این که اطلاعات ازائ شده به طور منطقی قابل قبول هستند
- ارزیابی منفی. اطمینان از این که اطلاعا ت ارائه شده قبلا با فعالیتی متقلبانه در ارتباط است .
تصدیق مشتریان موجود
علاوه بر ارزیابی مقدماتی شناسایی مشتری، موسسات مالی باید مشتریانش را هر گاه که می خواهند به اطلاعات آنلاین محرمانه ی خود دسترسی پیدا کنند نیز شناسایی و تصدیق کند. روش های تصدیق که یک موسسه ی مالی برای استفاده در یک عملیت بانکداری الکترونیک خاص انتخاب می کند باید مناسب و از نظر اقتصادی منطقی باشد. این که یک شیوه از نظر سیستم اقتصادی معقول است به ارزیابی شرایط بستگی دارد. موسسات مالی باید شیوه های اعتبار دهی را ا ز نظر هزینه بررسی کنند. چه چیزی یک سیستم معقول اقتصادی را تشکیل می دهد می تواند تحت تاثیر تغییر تکنولوژی و استاندارد ها تغییر کند.
متد های اعتبار دهی شامل سه عامل می شود:
- چیزی که فقط کاربر باید بداند مثل رمز عبور و یا PIN
- چیزی که کاربر با آن به پردازش مب چرددازد مثل کارت عابر بانک، کارت هوشمند
- چیزی که کاربر هست مثل مشخصه ی زیستی مثل اثر انگشت
روش های اعتبار دهی که به بیش از یک عامل بستگی دارند نوعا سخت تر از سیستم های یک عاملی رمز گشایی می شود بنابرین اعتماد بیشتری در اعتبار دهی را به خود اختصاص می دهد. اعتبار دهی های یک عاملی به تنهایی نمی توانند برای ارتباطات حساس ، تراکنش های پولی حجم بالا و یا مزیت دترسی کاربر کافی باشند. در این موارد تکنیک ها ی چند عاملی مورد استفاده است .
مدیریت رمز عبور
با وجود اینکه واحد های بازرگانی در موضوع سندیت تک عاملی ، بسیاری از خدمات بانکداری الکترونیک هنور نام کاربری و رمز عبور مشتری برای قانونی کردن وجود مشتری تکیه دارند. بعضی از متخصصان امنیت رمز عبور را نقد می کنند.نرم افزار های نفوذ در رمز عبور و برنامه های آغازگر می توانند رمز عبور را حدس بزنند قطع نظر از استفاده از رمز ان. پذیرش عموم از این گونه از سندیت برای سهولت در استفاده و سازش پذیری با زیر ساخت های موجود است.
موسسات مالی که به مشتریان اجازه ی استفاده از رمز عبور با حروف کوتاه را می دهند ممکن است در معرض ریسک های زیادی شامل تهدید های امنیتی از طرف هکر ها و یا کارمندان داخلی متقلب قرار بگیرند . امنیت قوی تر در ساختار رمز عبور و اجرا ی آن می تواند به کاهش این ریسک ها کمک کند .راه دیگر برای کاهش ریسک این است که نام کاربری را تصادفی تر کنید نه بر اساس هر قالب ساده و یا اطلاعات معمول موجود. سه جنبه از رمز عبور وجود دارد که با امنیتی که ارائه می دهند هم بخشی می کند.: امنیت رمز عبور، طول و ترکیب آن و منترل های مدیریتی.
امنیت رمز عبور. امنیتی که توسط سیستم های رمز عبوری ارائه می شود به امنیت رمز عبور بستگی دارد. اگر شخص دیگری رمز عبور را به دست اورد ، مب تواند تراکنش های مشابهی را که فرد اصلی انجام می داهد را امجام دهد. رمز عبور می تواند به دلیل رفتار مشتری و یا روش هایی که رمز عبور را هنگام جا به جایی در اینترنت ضبط می کند آورد رمز گشایی شود . همچنین مهاجم ها می توانند از نقطه ضعف ها برای دسترسی به سیستم های مرتبط با اینترنت موسسه ی مالی و رسیدن به فایل های رمز عبور استفاده کنند. به دلیل این اسیب پذیری ها فایل های رمز و رمز ها هنگام نگهداری و یا انتقال بر شبکه های بازب چون اینترنت باید رمز گذاری شوند. سیستم بایدهر کاربر را شامل مدیر امنیت یا سیستم از مشاهده و یا چاپ فایل های رمز گذاری نشده منع کند. به علاوه مدیرران امنیت فایل های رمز عبور را تضمین کند. به این علت که اگر توسط مهاجم دزدیده شوند می توانند رمز گشایی شوند. مسسات مالی نیازمندند تا به مشتریان اهمیت حفاظت از محرمانه بودن رمز عبورشان را تاکید کنند. مشتریان باید تشویق شوند تا از کامپیوتر های خود کار که برای دسترسی به بانکداری آن لاین استفاد همی شوند خارج شوند به خصوص اگر برای دسترسی عموم استفاده می شوند مثل کتابخانه ها ؛ کافی نت ها و ...
طول و ترکیب رمز عبور. مناسب بودن طول و ترکیب رمز عبور به ارزش و حساسیت داده های مورد حمایت رمز عبور و توانایی کاربر برای نگهداری رمز عبور به عنوان رمزی اشتراکی بستگی دارد.موارد شناسایی شده ی معمول نباید به عنوان رمز عبور استفاده شوند . استاندارد های ترکیب رمز عبور که نیاز مند سمبل ها و اعداد در رشته ی رمز عبور است ، در ترکیب عطفی با کاراکتر های الفبایی در برابر برنامه های دزدی رمز عبور محکمترین دفاع است. انتخاب حروفی که کلمه ای عمومی را نسازد ولی در ذهن چیزی را به یاد آورد می تواند رمز عبوری را بسازد که سخت کرک شود.
سیستم هایی که با شبکه های باز در ارتباطند در معرض افراد بیشتری برای رمز گشایی سیستم هستند . مهاجمان ممکن است از برنامه های خودکار برای فهمیدن رمز عبور مشتریان استفاده کنند.
کنترل های مدیریتی رمز عبور . هنگامی که سیستم بانکداری الکترونیک رمز عبور مدار را ارزیابی می کنیم باید رد نظر بگیریم که ایا توانایی کنترل سیستم های اعتباری با سیاست های موسسه ی مال یسازگار است . این شامل ارزیابی حوزه هایی مثل شرایط طول و ترکیب رمز عبور ، تحریم ورود نادرست، منقضی شدن رمز عبور ، استفاده ی مکرر از رمز عبور ، و شرایط رمز گشایی می شود.
هر موسسه ی مالی باید ریسک مرتبط با روش های قانونی را که به طبیعت تراکنش ها و دسترسی به اطلاعات مربوط است ارزیابی کند. موسسا مالی که ریسک را ارزیابی می کنند و تصمیم به تکیه بر رمز عبور می گیرند باید استاندارد های مدیریت رمز عبور قوی را اجرا کنند.
کنترل اجرایی
|
خلاصه ی عملکرد بانکداری الکترونیک شرایط کنترل اجرایی جدیدی را ارائه داده است و به طور بالقوه اهمیت وجود کنترل را افزایش داده است. مدیریت باید کنترل های اجرایی خود را برای افزایش موجودیت و یکپارچگی سیستم های بانکداری الکترونیک خود ارزیابی کند. اطلاعات بانکداری الکترونیک می تئاند از دزدی هویت هم برای سو استفاده از عنوان و هم برای ایجاد حساب های متقلابانه در دیگر موسسات پشتیبانی کند. موسسات باید کفایت کنترل های زیر را در نظر بگیرند:
|
فعالیت های بانکداری الکترونیک مثل فرایند های دیگر بانک ها موضوع ریسک ها ی مشابه است . با این حال فرایند هایی که برای نظارت و کنتزل این ریسک ها استفاده می شود ممکن است متفاوت باشد چرا که استناد سنگین بانکداری الکترونیک بر سیستم های مکانیزه و دسترسی مستقیم مشتری به شبکه ی کامپیوتری موسسه. بعضی از کنترل هایی که به تضمین و یک پارچگی سیستم های بانکداری الکترونیک کمک می کنند در زیر بحث شده اند.
کنترل داخلی
تفکیک وظایف. حمایت بانکداری الکترونیک به کارمندان عملیات ارائه ی خدمات، کارمندان در دفتر اداری، خدمات مشتری ، مدیریت شبکه ، یا مناطق امنیت اطلاعات بستگی دارد. با این حال هیچ کدام از کارمندان نبااید قادر به انجام تراکنشی از ابتدا تا انتها باشند. مدیران موسسه باید منطقه هایی را که برخورد وظایف باعث ایجاد فرصت برای کارمند داخلی برای تقلب و سو استفاده می شود را شناسایی کنند و کاهش دهند. برای مثال مدیران شبکه که مسئول پیکر بندی سرور ها و دیوار های اتشین هستند نباید تنها کسانی باشند که برقراری سیاست های انیتی مرتبط با دسترسی شبکه ای را پک می کنند. کارمندان خدمت به مشتری با دسترسی به اطلاعات محرمانه ی حساب مشتری نباید مسئول تطابق روزانه ی تراکنش های بانکی باشند.
کنتزل دوگانه. بعشی از تراکنش های حساس بیش از یک کارمند برای موافقت با تصویب تراکنش ایجاب می کند. انتقال و یا دسترسی به پول زیاد کلید های رمزی مثالی از دو فعالیت بانکداری الکترونیک است که نوعا کنترل دوگانه را گواهی می کند.
تطبیق. سیستم های بانکداری الکترونیک باید گزارشات مناسب حسابداری برای مجاز بودن کارمندان در تطبیق تراکنش های فردی در مجموع تراکنش های روزانه ارائه دهند.
فعالیت های مشکوک. موسسات مالی باید کنترل های ردیابی تقلب را که می تواند بررسی و گزارشات فعالیتهای مشکوک بیشتری را برانگیزاند اجرا کنند. بعضی از واحد های اقتصادی بالقوه بر در نظر گرفتن داشتن اطلاعات عملکرد نادرست و نامعقول، چک های سپرده ی بزرگ در حساب های جدیدبانکداری الکترونیک ، انتقال حجم و یا اندازه ی پول منتقل شده، چندین حساب با اطلاعات همانند و یا ناشی از یک ادرس اینترنتی و فعالیت غیر معمول حسابی که از ادرس ایمترنتی خارجی باز شده است تمرکز می کنند.
نام مشابه وب سایت. موسسات مالی در انتخاب نام خود باید به منظور کاهش اغتشاش ممکن با سایت های دیگر اینترنت نهایت احتیاط را داشته باشند. موسسات مالی باید به صورت دوره ای اینترنت را برای شناسایی نام های مشابه و و هر چیزی را که با نام موسسه مطرح شده است وارسی کنند. سایت های مشکوک باید به مراجع قانونی و رسیدگی به جرائم مناسب گزارش شوند.
چک کردن اشتباهات. فعالیت های بانکداری الکترونیک فرصت سوال و روشن کردن تمایلات مشتری در موضوع تراکنشی خاص را محدود می کند. موسسات می تواننند گیج دن مشتری و پتانسیل برای تراکنش های نا خواسته را با لازم داشت قرارداد مکتوب که حقوق و مسئولیت ها را توضوح می دهد، با ارائه ی افشا گری ها و دستور العمل های آ لاین و یا ایفا کمک، با شرکت در تایید های غعالیت مدار در تراکنش فراینداغازین.
راهنمایی های آن لاین، طرح های کمکی ، و تایید های فعالیت مدار نوعا قسمتی از طرح اصلی سیستم بانکداری الکترونیک هستند و باید به عنوان بخشی از فرایند برنامه ریزی ذقیق اغرازین ارزیابی شود. فرم های آن لاین می توانند شامل بازبینی غلط برای شناسایی اشتباهات رایج در زمینه های مختلف باشند. تاییدیه های فعالیت مدار می توانند مشتریان را نیازمند تایید حساب هایشان قبل از این که تراکنش برای پردازش پذیرفته شود کند.*
کانال های متناوب تایید. موسسات مالی باید این نیاز مشتری را برای تایید تراکنش های حساس مثل ثبت نام در یک سرویس آن لاین جدید، انتقال پول زیاد، تغییرات در نگهداری حساب، یا فعالیت مشکوک حساب در نظر بگیرند. تایید مثبت برای تراکنش های ان لاین حساس به مشتریان این فرصت کمک در دستگیری فعالیت های متقلبانه را می دهد. موسسات مالی می تئانند مشاریان را در شرکت در ردیابی تقلب تشویق کنند و با ارسال تاییده های فعالیت های با ریسک بالا از طریق کانال های ارتباطی دیگر مثل تلفن، ایمیل ، و یا پست سنتی رضایت مشتری را افزایش دهند.
کنترل استمرار کسب و کار
مشتریان بانکداری الکترونیک معمولا انتظار موجودیت 24 ساعته دارند. قطع سرویس می تواندد به طور جدی بر مشتری اثر بگذارد اگر که موسسه بیش از سرئیس های اولیه ارائه دهد. برای مثال تراکنش پرداخت صورت حساب و قبوض مشتری نمی تواند به موقع باشد . موسسات مالی به دلیل اثر بالقوه بر مشتریان و خدمات مشتری باید تاثیر قطع سرویس دهی به وشتری را تحلیل کند و مراحلی را برای کاهش امکان قطع و کم کردن زمان استرداد اگر یکی از ان ها واقع شد ؛ طی کند. بعضی از ملاحظات عبارت است از:
- هدایت تحلیل تاثیر اقتصادی خدمات بانکداری الکترونیک که کمترین سطح خدمات را نیاز دارد و زمان استرداد را پایه گذاری می کند
- ساخت رداندنسی در اجزا مهم شبکه برای جلوگیری از حتی یک قصور
- به روز کردن برنامه های مستمر اقتصادی را برای ادرس دهی بانکداری الکترونیک
- توسعه ی ارتباط طرح های ارتباط با مشتری قبل از قطعی
- بررسی سازگاری برنامه های کلیدی مستمر سوم شخص
- بررسی مستمر توانایی برای تصمیم این که اگر اهداف قابل اجرا باشند
بر اسا حجم فعالیت ها ، تعداد مشتریان موثر، و موجوئیت کانال های متناوب ، بعضی موسسات ممکن است خدمات بانکداری الکترونیک را به عنوان "ماموریت مهم " که تقدم بالایی را در طرح های مستمر اقتصادی خود حمایت می کند در نظر نگیرند. مدیریت باید به صورت دوره ای این تصمیمات را برای تضمین و پشتیبانی مبنای کار که به منظور رشد واقعی و شکوفایی در خدمات بانکداری الکترونیک بررسی دوباره کنند.
قانونی و مورد قبول بودن
|
خلاصه ی عملکرد به دلیل این که بانکداری الکترونیک تقابل رو در رو و مبادله ی اطلاعات کاغذ مدار را با مشتریان محدود کرده است، بانکداری الکترونیک ریسک های قانونی و مقبول جدیدی را معرفی می کند. موسسات باید:
|
موسسات مالی باید با همه ی شرایط قانونی مرتبط با بانکداری الکترونیک شامل مسئولیت ارائه ی خدمات بانکداری الکترونیک مناسب به مشتریان و محافظت از دادده ها آن ها مطابق باشد. قصور در مطابقت با این مسئولیت ها می تواند موجب ریسک قانونی یا اعتباری جدی برای موسسات مالی شود.
نام های تجاری در اینترنت
موسسا مالی می توانند نامی متفاوت از نام قانونی خود در عملیات های بانکداری الکترونیک انتخاب کنند. به دلیل این که این نام های تجاری پعنوان اداری و حقوقی موسسه نیست ، اطلاعات روی وب سایت باید به طور واضح نام قانونی موسسه و موقعیت فیزیکی آن را مشخص کند. ابن به طور خاص برای وب سایت هایی مهم است که درخواست سچرده می کنند به این دلیل که اشخاص می توانند به طور سهوی از محدودیت های بیمه ای سپرده تجاوز کنند. تکنیک های مدیریت ریسک موسسات مالی باید بر اساس "صورت وضعیت وساطت برای زشته ی نام ها " استفاده شود.
موسسات مالی که نام های تجاری برای عملیات بانکداری الکترونیک خود استفاده می کنند باید:
- به صورت واضح و مشهود در علائم، تبلیغات و چیز های شبیه به این اشکارا بین کنند که تسهیلات یک قسمت و یا بخش عملیاتی از یک موسسه ی تضمین شده است
- استفاده از نام قانونی موسسه ی تضمین شده در اسناد قانونی، گواهینامه های سپرده ، امضا کارت ها ، موافقت با وام ، صورت وضعیت حساب، چک ها ، پیش نویس ها، و اسناد دیگر این چنین
- اموزش کارمندان موسسه ی تضمین شده در مورد امکان در گیج شدن مشتری راجع به بیمه ی سپرده
افشا سازی باید واضح برجسته و قابل فهم باشد. *
محتوای وب سایت
موسسات مالی می توانند مراحلی را برای دوری از گیج شدن مشتری به خاطر محتوای سایت طی کنند. بعضی از مثال ها برای اطلاعاتی که یک موسسه ی مالی می تواند به مشتریان در وب سایتش ارائه دهد عبارت است از:
- نام موسسه ی مالی و موقعیت دفتر کار اصلی آن
- معرفی صاحب اختیار اصلی موسسه ی مالی که مسئول سرپرستی اداره ی اصلی موسسه ی مالی است.
- راهنمایی در مورد این که مشتریان چطور می توانند با مرکز خدمات موسسه ی مالی در رابطه با مشکلات خدمات، شکایات، ظن به سوء استفاده از حساب ، ارتباط برقرار کنند.
- راهنمایی برای بدست اوردن اطلاعات بر پوشش بیمه ی سپرده و سطح حمایتی که بیمه متعهدمی شود. که عبارتند از لینک به وب سایت های FDIC یا NCUA
حریم ومشتری و محرمانگی
نگهداری حریم اطلاعات مشتری یکی از بنیاد هایی است که که در سیستم بانکداری ایالات متحده بنا شده است . سو استفاده و یا افشا غیر مجاز داده های محرمانه ی مشتری می تواند موسسه ی مالی را در مقابل تعقیب قانونی و یا اقدام توسط آژانس های قانونی قرار می دهد. برای اشنایی با انتظارات در موضوع حریم اطلاعات مشتری ، موسسات مالی باید تضمین کنند که سیاست ها و استاندارد های اختفا و محافظت آن ها با قوانین و مقررات محافظت قابل اجرا مطابقت دارد ، به خصوص شرایط حفاظتی که توسط GLBA منتشر شده است. قوانینی که شرایط GLBA را اجرا می کند ، استاندارد های افشا گری الکترونیک را نیز تعریف می کند.
نظارت تراکنشی و افشا سازی مشتری
شرایط کلی و کنترل های مورد نیاز که در تراکنش های کاذ مدار به کار می رود، در خدمات مالی الکترونیک نیز کاربرد دارد. قوانین خرمات مالی مشتری عموما نیازمند این است که موسسات افشا سازی ها را برای مشتریت ارسال، اماده ، و اجرا کنند . موسسات مالی اجازه دارند چنین افشا سازی هایی را رد صورت موافقت مشترب به صورت الکترونیک اارائه دهند* . هیئت مدیره ی فرعی فدرال قوانین موقتی را منتشر کرده است راهنمایی لازم در مورد این که چطور قوانین ورود الکترونیکی در مورد خدمات مالی مشتری به کار می رود و قوانین و مقررات عادلانه که توسط هیئت مدیره وضع شده است. با این حال ایجاب اجباری با قوانین موقتی در زمان چاپ این کتابچه نمی گنجد. موسست مالی می توانند افشا سازی الکترونیکی را تحت سیاست ها وتکنیک های خود، ارائه دهند و یا از قوانین موقت تا زمانی که هیئت مدیره قوانین کلی را منتشر کنند پیروی کنند.
هنگامی که نیاز شد تا افشا سازی ها در نوشته ها موجود باشد ، قانون ورود الکترونیکی نیازمند این است که موسسات به طور عمومی باید رضایت تصدیق امیز مشتری را برای ارائه ی افشا سازی به صورت الکترونیکی به دست اورند. تحت قانون ورود الکترونیکی مشتری باید در میان ارائه ی دیگر چیز ها مثل موافقت الکترونیکی و در حالتی که به طور معقول اثبات شود که مشتری می تواند به سوابق الکترونیکی در قالبی که مورد استفاده ی موسسه است دسترسی داشته باشد. به علاوه موسسات باید به مشتریان حق برداشت از حسابشان را به ان ها و رضایتشان در افشا سازی الکترونیکی را به ان ها یاد اور شوند و هر شرایط، اثر ونتیجه ، هر مالیاتی که در صورت پس گرفتن رضایت ناشی می شود ر ا برای مشتری توضیح دهد.
