أكد البنك المركزي المصري، أن تقديم خدمات الدفع باستخدام الهاتف المحمول تتضمن تداول بيانات سرية، مثل كلمات السر الخاصة بخدمات الدفع باستخدام الهاتف المحمول والمعاملات المالية عبر تطبيقات الهاتف المحمول والشبكة الداخلية للبنك؛ لذلك يجب على البنوك استخدام الأساليب المناسبة للحفاظ على سرية وسلامة المعلومات المتداولة عبر الشبكات الداخلية والخارجية للبنك.
وأوضح البنك المركزي المصري، كيف ستقوم البنوك بتأمين تطبيقات خدمة الإقراض والادخار عبر المحمول؟
وأشار إلي أنه يتم استخدام تكنولوجيا التشفير لحماية سرية وسلامة المعلومات التي تتسم بالحساسية، ويجب على البنوك اختيار تكنولوجيا التشفير التي تتناسب مع حساسية وأهمية المعلومات ودرجة الحماية المطلوبة.
أقرأ أيضًا| البنك المركزي: 3 حسابات مصرفية عبر المحمول لكل عميل
وأوصى البنك المركزي، البنوك المقدمة لهذه الخدمة باستخدام التكنولوجيا التشفير التي تستخدم طرق التشفير المتعارف عليها دوليا حيث يجب أن تكون مصنفه على أنها قوية ولا يوجد لها أي ثغرات أو نقاط ضعف معروفة، وتخضع نقاط القوة في هذه الطرق لاختبارات شاملة.
وينبغي أن تطبق البنوك الممارسات السليمة لإدارة مفاتيح التشفير اللازمة لحماية هذه المفاتيح، كما يجب على البنوك أيضأ تنفيذ ضوابط أخرى بخلاف أساليب التشفير، وذلك للحفاظ على سرية وسلامة المعلومات التي يتم تداولها عبر نظم خدمات الدفع باستخدام الهاتف المحمول.
تأمين تطبيقات خدمات الدفع باستخدام الهاتف المحمول
ويتضمن الضوابط وأعمال التدقيق المدرجة بتطبيقات خدمات الدفع باستخدام الهاتف المحمول للتأكد من سلامة تسوية أرصدة العملاء بعد تنفيذ المعاملات بالإضافة إلى التأكد من سلامة البيانات التي يتم نقلها بين الأنظمة المختلفة.
ويشمل مراقبة المعاملات غير المعتادة بما في ذلك المعاملات محل الاشتباه الخاصة بخدمات الدفع باستخدام الهاتف المحمول أو السجلات التي يشتبه التلاعب فيها، ويجب على البنوك تشفير العملية بداية من الهاتف المحمول المستخدم لإجراء العملية وصولا إلى أجهزة الخادم Servers الخاصة بتنفيذ أمر الدفع.
وينبغي على البنك تطبيق سياسة الفصل بين المهام، وذلك للتأكد من عدم إمكانية قيام أي موظف داخل البنك بأي عمل غير مصرح له وإخفائه، ويتضمن هذا على سبيل المثال لا الحصر، إدارة حساب المستخدم وتنفيذ المعاملات وحفظ وإدارة مفاتيح الشفرة الخاصة بالنظام وإدارة النظام System Administration وتشغيله.
عدة إجراءات لضمان سلامة سرية المعلومات
وأضاف البنك المركزي، أنه يجب عدم السماح لموظف واحد فقط بالقيام بإنشاء حساب مستخدم الخدمات الدفع باستخدام الهاتف المحمول والتصريح بالموافقة عليه وإلغائه دون مشاركة موظفين آخرين بالبنك للتحقق من سلامة تصرفات هذا الموظف، كما يجب على البنك تصميم الإجراءات الخاصة بتعاملات الدفع باستخدام الهاتف المحمول بما يضمن عدم انفراد أحد الأشخاص بإنشاء التعاملات والموافقة عليها وتنفيذها على النظام مما قد يدعم عملية احتيال أو إخفاء تفاصيل خاصة بتلك المعاملات.
ويجب أن تنفذ جميع عمليات التحقق من الصلاحيات المتاحة للمستخدم Authorization Checks وكذلك القواعد المنظمة لعمليات التحويل على جانب الخادم، أي في النظم الخلفية بالبنك، قبل إتمام العملية المطلوبة (مثال: تنفيذ عمليات التحويل بسبب عدم التحقق من صلاحيات المستخدم والتي قد تمكن مستخدم النظام من إضافة الأموال إلى حساب هاتفه المحمول بدلا من الخصم عليه).
وأشار البنك المركزي، إلي ضرورة أن تتأكد البنوك من توفير مستوی مناسب من تأمين التطبيقات الخاصة بخدمات الدفع باستخدام الهاتف المحمول مع أخذ الممارسات السليمة، ويجب على البنوك عند اختيار أدوات تطوير النظام أو لغات البرمجة من أجل تطوير التطبيقات الخاصة بخدمات الدفع باستخدام الهاتف المحمول أن تقيم الخصائص الأمنية التي يمكن أن توفرها الأدوات أو اللغات المختلفة لضمان إمكانية تنفيذ الحماية الفعالة للتطبيقات.
كما يجب إجراء عملية تحقق شاملة وفعالة حول صحة المدخلات - بما في ذلك البيانات المدخلة من قبل المستخدم والاستعلام من خلال قواعد البيانات التي قد يقوم المستخدم بطلب تنفيذها - وذلك من خلال خوادم الشبكة، ويمنع هذا نظام الدفع باستخدام الهاتف المحمول من معالجة المعطيات غير الصحيحة التي يتم إدخالها بطريقة متعمدة، الأمر الذي قد يؤدي الى الوصول غير المصرح به إلى البيانات، أو تنفيذ الأوامر الواردة في هذه المعطيات، أو حدوث هجمات تؤدي إلى تجاوز سعة الذاكرة.
كلمات السر المستخدمة بتطبيق الهاتف
وأشار إلي ضرورة أن تعمل أنظمة خدمات الدفع باستخدام الهاتف المحمول بأقل الصلاحيات الممكنة الخاصة بإدارة النظام، كذلك يجب منع استخدام كلمات السر المعروفة أو كلمات السر الموحدة التي تعد مع نشأة النظام، كما يجب ألا تكشف رسائل الأخطاء التي تصدر من النظام لعملاء خدمات الدفع باستخدام الهاتف المحمول عن معلومات دقيقة خاصة بالنظام ويجب تسجيل الأخطاء بشكل مناسب.
وشدد البنك المركزي، على ضرورة أن تقوم البنوك باتخاذ الإجراءات اللازمة لعلاج أي نقاط ضعف بنظام الدفع باستخدام الهاتف المحمول يتم اكتشافها، وذلك استنادا إلى الإجراءات الأمنية المتبعة في البنك.
وفي حال إطلاق البنك لإصدار جديد لتطبيق الدفع باستخدام الهاتف المحمول Mobile Application يتعلق بأمن وسرية المعلومات فيجب على البنك اتخاذ الاجراءات التي تلزم العميل بتحميل الإصدار الجديد قبل استخدام التطبيق، كما يجب على البنوك عمل الترتيبات الأمنية المناسبة لبعض الخدمات التي تتضمن اتصالات مع الشبكات العامة - كخدمات البريد الإلكتروني للتواصل مع عملاء خدمات الدفع باستخدام الهاتف المحمول - لتجنب الهجمات على أنظمة تطبيقات خدمات الدفع باستخدام الهاتف المحمول من خلال هذه الخدمات.
تأمين تشفير التطبيقات بشكل شامل
وأوضح ضرورة التزام البنك بأن يقوم بتأمين عملية تشفير شاملة على مستوى طبقة التطبيقات Application Layer للبيانات المرسلة عبر الهاتف المحمول، حتى لا يتم كشف الأرقام السرية وكلمات السر الخاصة بمستخدم النظام في أي مرحلة وسيطة لتداول البيانات بين التطبيقات وخادم الاستضافة Host، حيث يتم التحقق من أرقام التعريف الشخصية PIN وكلمات السر، ويجب على البنوك القيام بالاختبارات اللازمة للتأكد من عدم إمكانية تجاوز عملية التصديق أو إغفالها للدخول على النظام التطبيق.
ولفت إلي أنه عندما يتم نشر تطبيق الدفع عن طريق الهاتف المحمول على مخازن البرامج Applications Stores، يجب نشرها من خلال الحساب الرسمي للبنك مع العلامة التجارية المناسبة، ويمكن إتاحة الرابط الخاص بتحميل التطبيق من مخازن البرامج على الموقع الإلكتروني الخاص بالبنك. كما يجب على البنوك إجراء البحث عن تطبيقات الهواتف المحمولة المزيفة الموجودة في متاجر ومواقع توزيع التطبيقات من أجل الحد من مخاطر البرمجيات الخبيثة Malware التي تستخدم للحصول على بيانات مستخدم النظام الخاصة بالدخول على خدمات الدفع باستخدام الهاتف المحمول.
وتابع أنه يجب التأكد من توفير ضوابط أمنية كافية عند استخدام مكونات/أجزاء تطبيقات جاهزة مقدمة من طرف ثالث Third Party Library لبناء تطبيق الدفع باستخدام الهاتف المحمول، وألا تعرض تطبيقات الدفع باستخدام الهاتف المحمول أي خدمة لتطبيق طرف ثالث يعمل على نفس الجهاز أو قادم من أي مصدر خارجي آخر باستثناء الأنظمة الخلفية للبنك.
وأشار إلي أنه نظرا لسهولة الوصول إلى قواعد البيانات ذات الحماية الضعيفة من خلال الشبكات الداخلية والخارجية، لذا يجب التشديد على إجراءات صارمة بشأن تحديد الهوية والصلاحيات للدخول على الأنظمة وقواعد البيانات، فضلًا عن تصمیم آمن وسليم لعمليات النظام System Processes، بجانب مسارات تدقيق ملائمة. Audit Trails، بالإضافة إلي استخدام أدوات حماية متعددة لحماية قواعد البيانات من الهجمات الخارجية أو الداخلية، كما يجب الحد من تخزين بيانات على الذاكرة الداخلية للهاتف المحمول، وفي حالة الاحتفاظ بأي بيانات على الهاتف المحمول - للضرورة القصوى - يجب استخدام الوسائل المناسبة لحماية ما تم تخزينه.
ويجب منع تطبيق الدفع باستخدام الهاتف المحمول من حفظ أو عرض كلمات السر السابق إدخالها من مستخدم النظام، ويجب إنهاء تسجيل الدخول على تطبيقات الدفع باستخدام الهاتف المحمول تلقائيا بعد فترة من الوقت - يقوم البنك بتحديده، في حال عدم وجود أي نشاط على النظام التطبيق، إلا إذا تم إعادة تصديق بيانات مستخدم النظام مرة أخرى، الأمر الذي يمنع أي مخترق من الإبقاء على التطبيق مفتوح على الهاتف المحمول إلى أجل غير محدد.
ويوصى بأن يقوم تطبيق الدفع باستخدام الهاتف المحمول بتنفيذ آليات کشف كافية تضمن أن الهاتف المحمول ليس عرضة للمخاطر مثل Jailbroken Rooted مثال: يقوم المخترق بتحميل برنامج على الجهاز المحمول يمكنه من الدخول إلى الملفات السرية الخاصة بالمستخدم، كما يوصى بأن يتم حماية التطبيق الخاص بالهواتف الذكية من الهندسة العكسية(Code Obfuscation:JL Reverse Engineeringـ، ويوصي بأن يتم حماية تطبيقات الدفع باستخدام الهاتف المحمول ضد أي لقطات تلقائية Screenshotsوالتي يمكن أن تتم عن طريق برامج تجسس تعمل على نفس جهاز الهاتف المحمول.
وشدد البنك المركزي، على ضرورة خضوع أنظمة خدمات الدفع باستخدام الهاتف المحمول إلى اختبارات متعددة قبل التشغيل للتأكد من قدرتها على القيام بالمهام الموكلة لها.
