بسترهای نرم افزاري تجارت و بانکداری الکترونیک

 

دكتر بيژن بيدآباد[1]             محمود الهياري فرد[2]

 

 

 

 

چکیده

اجرای تجارت و بانکداری الکترونیک مستلزم بسترهای مختلفي از جمله بسترهاي نرم‌افزاري است. وابسته نبودن برنامه‌های تحت وب به سكو و قابل اجرا بودن آن در اینترنت در تمام نقاط موجب كاهش هزينه‌هاي سربار ناشي از مجازی‌سازی سيستم‌ها است. رونق برنامه‌های سرویس‌دهنده و سرویس گیرنده و همچنین گسترش بانکهای اطلاعاتی قدرتمند در سرویس‌دهنده‌ها با توانائی يكپارچه‌سازي و بكارگيري روشهاي رمزنگاري پيشرفته و همچنين استفاده پروتوكل‌هاي امن و فايروال‌ها جهت امنيت اطلاعات و قابلیتهای تهیه پشتیبان خودکار از اطلاعات، موجب آسودگی مشتریان و بانکداران شده است. شركتهاي بزرگ نرم‌افزاري بيش از پيش به مقوله امنيت در توليد سيستم‌هاي عامل و برنامه‌هاي تحت وب انديشيد‌ه‌اند، بطوريكه در قرن 21 به جاي افزايش كمّي نرم‌افزارها ارتقاء كيفي مدّ نظر قرار داشته است. آنچه كه در سالهاي اخير مورد توجه توليدكنندگان نرم‌افزارهاي تجارت و بانكداري الكترونيك قرار گرفته، رعايت استانداردهاي بين‌المللي است، بطوريكه بتوان نرم افزارها را با كمترين هزينه‌هاي‌ سرمايه‌گذاري توسعه داد و يا اينكه قابليتهاي تعاملي دوسويه و يا چندسويه را با ساير سيستمهاي اطلاعاتي فراهم نمود. طرح و استفاده از استانداردهاي عمومي از زمينه‌هاي مهم جهاني شدن كسب و كارها است و در عملكرد سيستم‌ بانكداري ايران اين نگرش در حركت آغازين طرحهاي جامع مكانيزاسيون تعامل و يكپارچه‌سازي در معماري سيستم‌هاي اطلاعاتي كمتر مورد توجه قرار گرفته و در اكثر حالات بانكها به رغم دولتي بودن مانند جزايري جدا از هم در جهت بهبود و توسعه سيستم‌‌هاي بانكداري الكترونيك خود كوشيده‌اند. ضروري است جهت هماهنگي نظام‌مند و تدوين و اجراي سياستهاي يكپارچه سازي استانداردهاي اطلاعات بانكي يك اطاق مشترك بين بانكي فعال جهت انجام اين مهم ايجاد شود.       

تجارت الكترونيك

تجارت الكترونيك فرآيندي است كه بوسيله آن كليه محصولات اعم از محسوس يا نا‌محسوس از طريق شبكه‌هاي ارتباطي رايانه‌اي، مخابراتي و يا هر دو خريد و فروش مي‌شود. تجارت الكترونيك مفهوم گسترده‌اي دارد و تنها محدود به مبادلات و تراكنشهاي انجام شده بر روي اينترنت نمي‌شود، بلكه كليه تراكنشهاي مالي كه از طريق شبكه‌هاي مخابراتي و ارتباطي رايانه‌اي را فرا مي‌گيرد.

مبادله الكترونيكي داده‌ها(EDI)

از مبادله الكترونيكي داده‌ها مي‌توان براي مخابره الكترونيكي مدارك و اسناد مانند سفارشات خريد، فاكتور، اعلاميه حمل، تاييديه وصول كالا و ساير مكاتبات استاندارد و بازرگاني بين طرفين تجاري استفاده نمود. موضوع مبادله الكترونيكي داده‌ها (EDI) از دهه 1960مطرح شد و به بيان چگونگي مبادله اطلاعات بين شركتها و ادارات پرداخت. در ارتباطات تجاري سنتي بر پايه كاغذ، وارد نمودن مكرر يك رشته اطلاعات يكسان و واحد مي‌تواند موجب بروز مشكلاتي گردد، ولي با استفاده از مبادله الكترونيكي داده‌ها اين مشكلات بطور قابل ملاحظه‌اي كاهش مي‌يابد، اين مشكلات بطور كلي عبارتند از:

در فن‌آوري مبادله الكترونيكي داده‌ها براي اسناد تجاري عادي مانند استعلام قيمت، سفارش خريد، اصلاحيه سفارش خريد، بارنامه، اعلاميه وصول، فاكتور و مدارك نظير آنها قالبهاي استاندارد پيام الكترونيكي تهيه شده است. اين مجموعه‌هاي الكترونيكي، رايانه يك سازمان را قادر مي‌سازد كه بدون تهيه و توليد مدارك كاغذي با رايانه واقع در يك سازمان ديگر ارتباط برقرار نمايد. به اين ترتيب، تلاشي كه بوسيله انسان براي خواندن، طبقه‌بندي و حمل فيزيكي اين گونه اسناد صرف مي‌گردد، حذف مي‌شود. اسنادي كه براي آنها قالب استاندارد الكترونيكي تهيه شده يا در دست تهيه مي‌باشد. 85 درصد از مكاتبات رسمي تجاري بين شركتها، مؤسسات دولتي، نهادهاي آموزشي و سازمانهاي غيرانتفاعي دركشورهاي صنعتي را تشكيل مي‌دهد. [3]

سه جزء اصلي در ارسال ودريافت پيامهاي مبادله الكترونيكي داده‌ها عبارتندار:

مبادله اسناد تجاري به شكل پيش ساخته و مورد توافق طرفين مورد معامله ايجاد مي‌شود و استاندارهايي براي اين منظور تدوين شده است. استانداردهاي مبادلات الكترونيكي اساساً مبتني بر داده‌هاي ديجيتال مي‌باشند، زيرا تركيب و مفهوم داده‌هاي مورد مبادله را تعيين مي‌نمايند. بعضي ازاين استانداردها عبارتنداز:

 

 

 

مدل فرآيند تجاري در تجارت الكترونيك

تجارت الكترونيك بطور عام و مبادله الكترونيكي داده‌ها بطور خاص، به عنوان ابزاري براي ايجاد تغيير در شيوه‌هاي عملياتي سازمانها طراحي و پيش‌بيني شده‌‌اند. در اين فرآيند تنها حذف معاملات كاغذي مطرح نيست، بلكه همچنين ايجاد تحول در نحوه انجام معاملات سازمانها با طرفهاي تجاري و نيز پاسخگويي به معاملات در مبادله الكترونيكي داده‌ها نيز مورد نظر مي‌باشد و اين خود موجب بازسازي فرآيندهاي درون سازماني مي‌شود. در حقيقت بالاترين سطح بهره‌وري و كارايي زماني حاصل مي‌شود كه اين فن‌آوري پس از بررسي‌هاي كامل و تجزيه و تحليل فرآيندهاي درون سازماني  اجرا شود و پس از برقراري آن نيز فرآيندها بطور مداوم مورد بازنگري و بازسازي قرار گيرند. بعبارت ديگر مهندسي مجدد فرآيندها[7] (BPR) در سازمان بطور دائم اجرا شوند.

مهندسي مجدد فرآيندهاي عملياتي به عنوان ضابطه‌اي جهت ترويج صحيح تجارت الكترونيك در فرآيندهاي جديد ظهور كرده است. براي ايجاد يك مدل فرآيند تجارت الكترونيك راههاي مختلفي وجود دارد. طبق نظريه «راجر كلارك»[8] يكي از اين مدل‌ها، مدلي است كه بر پايه پنج مرحله متداول در معاملات عادي قرار دارد. اين مراحل پنجگانه به شرح زير است:

تجارت الكترونيك را در پايين‌ترين سطح آن مي‌توان تنها براي خودكار كردن فرآيندهاي موجود به كار برد ولي با اجراي بازسازي روشهاي كاري نحوه انجام كارها را مي‌توان منطقي ساخت. اين اقدام اثراتي روي ساختار سازماني دارد و موجب كاهش هزينه‌ها، افزايش سرعت و بهبود كيفيت خدمات مي‌شود. از آنجا كه خودكار كردن فعاليتهاي سازمان الزاماً طرفهاي تجاري سازمان را نيز تحت تأثير قرار مي‌دهد، لذا عمليات مربوط به خودكار كردن فعاليتها و منطقي ساختن و تغيير و مهندسي مجدد فرآيندهاي انجام كار تنها محدود به ساختار و فرآيندهاي درون سازماني نمي‌شود. بلكه ممكن است بدليل نياز به مشاركت در منابع اطلاعاتي سيستمها از چارچوب سازماني فراتر رفته و سراسر يك صنعت يا بخش را فرا گيرد.

براي تجارت الكترونيكي چهار مرحله متفاوت و كلي به شرح زير وجود دارد:

هدف از بكارگيري شيوه‌هاي تجارت الكترونيك، ايجاد سازمانهاي الكترونيكي است. اين روش‌ها موجب خواهد شد تا  فرآيندهاي عملياتي، نظارتي و مديريتي  بدون استفاده از كاغذ را در ميان بخش‌هاي تجاري از طريق سيستم‌هاي برنامه‌ريزي منابع سازماني[19] (ERP)، مديريت ارتباط با مشتري (CRM)، مديريت زنجيره‌اي تامين[20] (SCM)، سيستم اجرائي ساخت[21] (MES)، مديريت منابع انساني[22] (HRM) و مديريت گردش كار[23] (WFM)رواج يابند.  بنابراين مقصود از خودكار كردن گردش كار، حذف فرآيندهاي مبتني بر كاغذ در داخل سازمان مي‌باشد. بر اين اساس فن‌آوري گردش كار بايد به نحو مناسبي با تجارت الكترونيك تلفيق شود تا راه حل جامعي براي ايجاد يك محيط تجاري بدون فرايندهاي مبتني بر كاغذ فراهم نمايد.

سيستمهاي مبتني بر فن‌آوري اطلاعات و ارتباطات براي كامل شدن فرآيندهاي عملياتي خودكار تجارت و بانكداري الكترونيك ضروري است، بطوريكه هريك از سيستم‌ها وظائفي براي اجرا و نهائي شدن فرآيندهاي عملياتي، نظارتي و مديريتي بنگاه بعهده خواهند داشت.   

ضرورت تعامل بنگاه اقتصادي با ساير بنگاه‌ها بمنظور توليد يك محصول يا خدمت و يكپارچكي و به مشاركت گذاشتن منابع اطلاعاتي دليلي روشن بر ايجاد سيستم‌هاي برنامه‌ريزي منابع سازماني (ERP) است. سيستم‌هاي مديريت با مشتري (‍CRM) در جهت هدف استراتژيك مشتري مداري و تكميل كننده نارسائيها و محدوديتهاي كانالهاي ديجيتالي توزيع محصولات و خدمات به مشتريان است. از طرفي توليد يك كالا يا خدمت در برگيرنده عوامل توليد است كه توسط ساير بنگاه‌ها فراهم مي‌شود بنابراين تعامل بين توليدكننده كالاها وخدمات واسطه‌اي و توليد كننده نهائي از طريق سيستم مديريت زنجيره‌اي تامين (SCM) صورت مي‌پذيرد. سيستم اجرائي ساخت (MES) يكي ديگر از سيستم‌هاي مبتني بر فن‌آوري اطلاعات در لايه‌ اجرائي است كه نشان دهنده اطلاعات فرآيندهاي توليد يك كالا از ابتدا تا انتهاي خط توليد خواهد بود. و نهايت اينكه  نقش نيروي انساني بعنوان عامل كليدي در توسعه و گسترش بنگاه بر كسي پوشيده نيست، ازاينرو بروز بودن و در دسترس بودن جزئي‌ترين اطلاعات كاركنان از طريق سيستم‌هاي نوين و يكپارچه مديريت منابع انساني (HRM) صورت ميپذيرد. سيستم مديريت گردش كار (WFM)، قواعد پردازش و مديريت مسيريابي پيامها و اطلاعات را معين مي‌كند و به اين ترتيب امكان مي‌دهد كه نقش شركت‌كنندگان مشخص شود. ممكن است نقش‌هايي به شركت‌كنندگان واگذار و قواعد مناسبي براي مسيريابي اطلاعات و پيامها بين افراد و پايگاههاي اطلاعاتي تعيين گردد. نرم‌افزارهاي گردش كار، معمولاً همراه با رابط‌هاي كاربردي، برنامه‌نويسي و ابزار توسعه كاربرد، و زبان نوشتاري عرضه مي‌شوند تا نقشها و قواعد مسيريابي مشخص شود. مديران مي‌توانند با استفاده از ويژگيهاي رديابي نرم‌افزار، از وضعيت كار با خبر شوند. زمينه‌هايي كه در آنها سيستمهاي گردش كار با سيستم تجارت الكترونيك با موفقيت تلفيق شده‌اند عبارتند از: تداركات، تهيه صورتحساب، امور پشتيباني، فروش، سفارش و غيره. انتظار مي‌رود روند ادغام سيستمهاي داخلي گردش كار با سيستم‌هاي خارجي تجارت الكترونيك به علت كوچكتر شدن شركتها و افزايش كارايي آنان جنبه عمومي پيدا كند. در بعضي موارد، طرفهاي تجاري، استفاده از مبادله الكترونيكي داده‌ها را به سازمان تحميل مي‌كنند. چنين سازمان‌هايي بايد لزوماً فرآيندهاي داخلي خود را بازسازي كنند و در صورت امكان فن‌آوري گردش كار را با تجارت الكترونيك كه در حيطه سازماني آنها اجرا مي‌شود، ادغام كنند. گردش كار را مي‌توان بطور كامل با تجارت الكترونيك ادغام كرد، چرا كه معامله بازرگاني خود نوع خاصي از گردش كار است.

اينترنت 

اينترنت عموماً به مجموعه‌اي از شبكه‌ها گفته مي‌شود كه اولاً بصورت فيزيكي به هم متصل‌اند. ثانياً مي‌توانند با يكديگر ارتباط برقرار كنند و منابع اطلاعاتي را با هم به اشتراك بگذارند و ثالثاً تحت پروتکل واحد ویا پروتکلهای سازگار با هم  بصورت يك شبكه واحد عمل نمايند.

براي اينكه چنين شبكه‌اي بتواند برقرار شود، شبكه‌ها و رايانه‌هاي موجود در اينترنت بايد به يكي از، دو طريق زير عمل كنند:

اينترنت براي كاربران خود امكان دسترسي به انواع اطلاعات مورد نياز بصورت متن، صوت، تصوير، نرم‌افزارها و… را فراهم مي‌كند. كاربران با استفاده از اينترنت مي‌توانند با يكديگر ارتباط برقرار كنند. اين تسهيلات با استفاده از مجموعه‌اي از سرويس‌ها و ابزارهاي متنوع ارتباطي و مبادله كننده اطلاعات صورت مي‌گيرد.

پست الكترونيك، انتقال فايل، پايانه راه دور، تور جهان گستر[24]تنها گوشه‌اي از اين سرويس‌ها مي‌باشد.

نحوه شناسایی یک ایستگاه کاری بصورت سرویس گیرنده یا سرویس دهنده درمحیط شبکه محلی، شهری و یا جهانی میتواند به اشکال زیر باشد:

گ‍ستره اينترنت

یکی از شاخص‌هائی که میتوان میزان توسعه و گسترش تجارت و بانکداری الکترونیک در یک کشور و یا منطقه را بوسیله آن سنجید، میزان نفوذ اینترنت است، بنحویکه میتوان بر حسب سهم جمعیتی و میزان نفوذ اینترنت، کشورها و مناطق را در ارتباط با میزان توسعه و گسترش تجارت و بانکداری الکترونیک به طبقات مختلف "بالا"، "متوسط" و" پایین" تقسیم نمود. شكي نيست كه گسترش  اينترنت و افزايش تعداد كاربران موجب گسترش تجارت الكترونيكي گرديده است، اما اين بدان معني نيست كه افزايش تعداد كاربران به همان ميزان موجب افزايش تجارت الكترونيكي گردد. در كشورهاي در حال توسعه كاربران اينترنتي كه در فعاليتهاي تجارت الكترونيكي دخالت دارند كمتر از سطح ميانگين اين شاخص قرار دارند. شايد اين امر به دليل بازدهي كم سرمايه و پايين بودن سطح استفاده از كارتهاي اعتباري و فقدان محصولات و خدمات و يا پشتيباني ضعيف باشد.

امنيت در اينترنت

ارتباطات اينترنتي مبتني بر TCP/IP به عنوان يك پروتكل زيربنايي است ولي TCP/IP و HTTP با در نظر گرفتن مسائل امنيتي طراحي نشده‌اند و بدون استفاده از نرم‌افزارهاي خاص تمام ترافيك اينترنت به صورت قابل رويت منتقل مي‌شود و هر كسي كه ترافيك را مانيتور كند مي‌تواند آن را بخواند. مرتكب شدن چنين حمله‌اي با استفاده از نرم‌افزارهاي پي برنده به بسته[28]موجود، نسبتاً ساده است. اين بدين علت است كه اينترنت رسماً يك شبكه باز است[29]. براي مثال شماره كارتهاي اعتباري افراد هنگامي كه از آنها براي خريد از طريق اينترنت استفاده شود به سادگي مي‌تواند در دسترس ديگران قرار گيرد مگر آنكه تدبيري براي محافظت از آنها اتخاذ شود و اطلاعات آنها به صورت امن منتقل شود. براي يك ارسال امن بايد نكات زير رعايت شود:

 

 

 

براي رسيدن به اهداف فوق لازم است از روشهاي رمزنگاري، گواهينامه‌هاي ديجيتال و پروتكلهاي امنيتي استفاده كرد. در اين مقاله روشهاي رمزنگاري، گواهينامه‌هاي ديجيتال، امضاي ديجيتال، مراجع صدور گواهينامه ديجيتال و همچنين پروتكلهاي امنيتي  بطور خلاصه مي‌پردازيم.

محافظت از داده‌ها با رمزنگ‍اري

رمزنگاري در ساده‌ترين شكل، بطور سيستماتيك ترتيب عناصر يك پيغام (كلمات، حروف) را تغيير مي‌دهد تا براي همه به جز گيرنده مورد نظر غيرقابل درك شود. روشهاي رمزنگاري و محصولات گوناگوني كه ويژه كاربردهاي خاصي مانند پست الكترونيك يا معاملات كارت اعتباري هستند، وجود دارند.

·     رمزنگاری متقارن: در این روش اطلاعات توسط فرستنده و گیرنده توسط کلیدی واحد رمزنگاری و رمزگشائی میشود، از اینرو به این نوع از الگوریتمهای رمزنگاری رمزنگاری متقارن می گویند. یکی از معایب این نوع رمزنگاری در ارسال کلید محرمانه برای گیرنده پیغام جهت رمزگشائی آن است، زیرا ممکن است این کلید در بین راه توسط افرادی غیر از گیرنده واقعی همراه با پیغام ارسالی سرقت شده و آنگاه اطلاعات رمزگشائی شود. محدودیت دیگر در روش رمزنگاری با کلید واحد در عدم امکان تصدیق و مسئله قابل انکار بودن فرستنده پیغام میباشد، بعبارت دیگر با این روش چنانچه پیغام اصلی توسط فرد غیر مجاز تغییر یابد و همچنین منشاء ارسال پیغام را نمیتوان تشخیص داد.

·    رمزنگاری نا متقارن: با توجه به محدودیتهای امنیتی روش رمزنگاری متقارن، در این روش برای رمزنگاری و رمزگشائی از یک جفت کلید عمومی و خصوصی استفاده میشود، بطوریکه، پیغام بعد از رمزنگاری توسط فرستنده بهمراه کلید عمومی برای شخص مقابل ارسال میگردد. گیرنده با استفاده از کلید عمومی فرستنده وکلید خصوصی که نزد خود میباشد اقدام به رمزگشائی پیغام مینماید.

در این بخش جهت آشنائی بیشتر  با هر کدام از روشهای رمزنگاری مواردی از انواع رمزنگاری را بطور مختصر توضیح میدهیم.

1- (Data Encryption standard) DES

DES از يك رشته الفبا- عدد[35]به عنوان كليد استفاده مي‌كند تا پيغام را رمزنگاري و رمزگشايي كند. اين روش در سال 1977 ابداع و به عنوان يك استاندارد پذيرفته شد. در يك سيستم تك كليدي (متقارن) مانند DES، فرستنده و گيرنده هر دو از يك كليد براي رمزگذاري و رمزگشايي استفاده مي‌كنند. اين كمبودها باعث ابداع يك روش دو كليدي با نام RSA شد. این روش بدلیل مشکلات امنیتی مورد استفاده قرار نمیگیرد و جای خود را به نسل جدیدتر خود بنام 3DES[36] داده است.

2-RSA و رمزنگ‍اري با دو كليد عمومي و خصوصي

Adi Shamir, Len Adelman , Ron Rivest Drs يك روش نامتقارن به نام RSA  را ابداع كردند كه به جاي استفاده از يك كليد خصوصي براي رمزنگاري و رمزگشايي پيغامها، از يك كليد خصوصي[37]و يك كليد عمومي[38]متناظر آن استفاده مي‌كند. هر كدام از اين دو كليد براي رمزنگاري و رمزگشايي پيغامها به كار مي‌روند.

هر شخصي براي رمزنگاري پيغام از كليد عمومي گيرنده پيغام استفاده مي‌كند. اين كليد عمومي از طريق پست الكترونيك يا سرور كليدهاي عمومي قابل دسترسي است و چون تنها براي رمزنگاري و نه رمزگشايي پيغامهايي كه به گيرنده فوق ارسال مي‌شوند، استفاده مي‌شود، تبادل آن بدين طريق مانعي ندارد. پيغامي كه با كليد عمومي گيرنده رمزنگاري شود با كليد خصوصي وي كه تنها در دست خود اوست قابل رمزگشايي است. بنابراين از مجموعه اين كليدها مي‌توان استفاده كرد تا پيغامهاي امن را با هر كسي و بدون مشكل تبادل اين كليد رد و بدل كرد. اين روش حفاظت از داده‌ها را به خوبي انجام مي‌دهد ولي هنوز كاري براي تصديق هويت انجام نمي‌دهد. براي اطمينان از ارسال درست كليدهاي عمومي مي‌توان از گواهينامه‌هاي ديجيتال استفاده كرد كه در بخش گواهينامه هاي ديجيتال توضيح داده مي‌شوند. روش رمزنگاري جديدتري به نام PGP براي رسيدن به هدف صحت اطلاعات از امضاهاي ديجيتال نيز استفاده مي‌كند.

3- (Pritty Good Privacy) PGP

اين روش توسط Phil Zimmerman ابداع شد و تركيبي از روشهاي IDE, RSA[39] مي‌باشد. PGP همچنين مي‌تواند براي ايجاد امضاهاي ديجيتال از طريق رمزنگاري كاراكترهايي كه در انتهاي پيغام اضافه مي‌شوند، استفاده كند. اين كار اجازه مي‌دهد گيرنده پيغام را با امضاي آن مطابقت دهد و در صورتيكه حتي يك كاراكتر از پيغام عوض شده باشد اين مطابقت وجود نخواهد داشت و مشخص مي‌شود كه پيغام در مسير دستكاري شده است.

در حال حاضر PGP هم نام يك استاندارد رمزنگاري و رمزگشايي مي‌باشد و هم نام يك محصول نرم‌افزاري خاص براي پست الكترونيكي مي‌باشد[40]. اين نرم‌افزار براي سيستم عاملهاي متداول تهيه شده است و پس از نصب plugin آن برنامه پست الكترونيكي موجود روي رايانه اضافه مي‌شوند. سپس مي‌توان بعد از يك بار توليد كدهاي عمومي و خصوصي، ارسال ايمن پيغامها را به راحتي آغاز كرد. آنچه كه PGP را منحصر به فرد مي‌كند اين است كه يك پيام مي‌تواند داراي چندين امضاي ديجيتال باشد يعني يك نامه مي‌تواند توسط بيش از يك شخص امضا شود و هر شخص ميزان اطمينان خود را بيان كند.

گ‍واهينامه‌هاي ديجيتال[41]

گواهينامه ديجيتال، ضميمه‌اي است كه به يك پيغام الكترونيكي اضافه مي‌شود و براي مسائل امنيتي استفاده مي‌گردد. براي مثال گواهينامه ديجيتال مي‌تواند تصديق كند كه فرستنده پيام همان كسي است كه ادعايش را مي‌كند يا مي‌تواند براي تأمين وسيله‌اي كه گيرنده بتواند با آن پاسخش را رمزگذاري[42]كند، به كار رود. روش كار گواهينامه ديجيتال بدين صورت است كه فردي كه مي‌خواهد يك پيام رمز شده ارسال كند، از يك مرجع گواهينامه[43](CA) تقاضاي يك گواهينامه ديجيتال مي‌كند. سپس CA يك گواهينامه ديجيتال رمز شده صادر مي‌كند كه شامل كليد عمومي متقاضي و برخي اطلاعات شناسايي ديگر است. CA كليد عمومي خودش را از طريق انتشارات كاغذي يا اينترنت در اختيار همگان قرار مي‌دهد.

گيرنده پيغام رمز شده از كليد عمومي استفاده مي‌كند تا گواهينامه ديجيتالي چسبيده شده به پيغام را رمزگشايي كند و تعيين كند كه توسط CA صادر شده است و سپس كليد عمومي فرستنده و اطلاعات شناسايي نگهداري شده در گواهينامه را بدست مي‌آورد. با اين اطلاعات گيرنده مي‌تواند يك پاسخ رمز شده بفرستد.

مسلماً نقش CA در اين فرآيند اساسي است زيرا به عنوان واسطه‌اي در ارتباطات دو گروه عمل مي‌كند. در شبكه بزرگ و پيچيده‌اي مانند اينترنت، اين مدل سه گروهه لازم است زيرا دو گروه خاص ممكن است نتوانند به تنهايي در مورد يك روش مورد اعتماد به توافق برسند ولي با اين وجود بخواهند يك ارتباط مطمئن داشته باشند. بنابراين هر دو گروه به CA اعتماد مي‌كنند و CA هويت و صداقت هر دو گروه را با امضا كردن گواهينامه‌هاي آنها تصديق مي‌كند و هر گروه بطور ضمني به گروه ديگر اعتماد مي‌كند.

·        امضاي ديجيتال:

امضاي ديجيتال به اين صورت تعريف شده است. "داده اي كه به يك پيام پيوست شده است به نحوي كه گيرنده بتواند هويت منبع و صحت و جامعيت پيام را احرازكند". كميسيون EU  در پيشنهادهايي كه در مورد امضاي ديجيتال داده است، آن را اينگونه تعريف ميكند. "يك امضا در شكل ديجيتال يا شكل الصاقي يا منطقي كه با داده‌اي تركيب، متصل يا داخل شده باشد به نحوي كه آن داده توسط صاحب امضا براي موافقت با محتويات آن داده‌ها ارائه شده باشد و خواسته هاي زير را در برگيرد:

الف) يكتا و منحصر به صاحب امضاء باشد

ب) توانايي تاييد هويت صاحب امضا را داشته باشد

ج) از اطلاعاتي ساخته شده باشد كه صاحب امضاء بتواند روي منحصر به فرد بودن آن كنترل داشته باشد.

د) با داده‌هايي پيوند خورده باشد كه بتوان با آنها و از طريق يك روش مشخص، هرگونه تغيير در داده‌ها را كشف كرد.

براي اطمينان بيشتر، يك امضاي ديجيتال نه تنها بايد نشان دهنده فرستنده منحصر به فرد آن باشد، بلكه بايد بتواند نشان دهد پيام مورد دستكاري قرارگرفته است يا خير. براي اينكه تمامي شرايط امضاي ديجيتال محقق شود، لازم است افراد مشخص كنند الزامات قانوني نوشتن يك امضاء چيست؟ و چگونه قانوني مي‌شود؟. امضاي الكترونيك بايد بر مبناي يك گواهينامه رسمي كنترل شده باشد. يعني گواهي بايد توسط يك مرجع تاييدكننده تهيه شده و به ضميمه امضاء باشد، تا بتوان هويت شخص را تاييد كند، و اينكه اين گواهي براي چه دوره زماني معتبر است، ودر ضمن منحصر به فرد باشد و محدوديتهاي استفاده از گواهي و مسئوليت مراجع تاييد كننده را بيان كند. اين موضوع امكان اعتماد هر كس را به گواهي تعيين هويت تماس گيرنده فراهم مي‌كند. و در نهايت مشخص مي‌شود كه فردي كه در حال استفاده از اسم مستعار تاييد شده‌اي است، قابل شناسايي مي‌باشد. اين گواهي ممكن است اطلاعاتي را نيز ارائه كند. بعنوان مثال اجازه ديدن تعهدات مالي را بدهد و يا از طرف كارفرما اجازه شركت در قرارداد را داشته باشد.

در مجموع براي آنكه يك امضاي ديجيتال برسميت شناخته شود لازمست توسط يك مرجع تاييدكننده با مشخصات زير مورد گواهي قرارگيرد:

·         مراجع صدور گواهينامه ديجيتال(CA):

به رغم رمزنگاري اطلاعات توسط فرستنده و ارسال كليد عمومي جهت رمزگشائي، يكي از نقاط ضعف كليد عمومي در اينست كه هويت فرد ارسال كننده پيغام قابل تشخيص نمي‌باشد بطوريكه پيغام ممكن است در مسير ارسال به سرقت رفته و اطلاعات مورد نظر رمزگشائي و مورد سوء استفاده قرار گيرند. و يا اينكه اطلاعات ديگري را براي گيرنده ارسال نمايد. از اينرو فلسفه وجودي مراجع صدور گواهينامه ديجيتال در جهت افزايش ضريب ايمني در محيط اينترنت مي‌باشد. مراجع صدور گواهي ديجيتال قبلا از طريق كانال امني كليد عمومي را در اختيار افراد و سازمانها قرار مي‌دهند، و هرگاه  پيغام رمز شده همراه با كليد عمومي فرستنده به مرجع صدور گواهي ارسال گردد،  آنگاه هويت فرد صادر كننده كليد عمومي تشخيص و صحت اطلاعات تاييد و آنرا امضاء مي‌كند كه اين فرآيند را گواهي مي‌گويند، از اينرو گيرنده اطلاعات هويت فرستنده ، صحت و اصيلت پيغام را تشخيص مي‌دهد.گواهي ديجيتال مي‌بايست از استانداردي بنام  X509 پيروي نمايد. هر گواهي داراي اطلاعات شماره سريال، تاريخ اعتبار، اطلاعات كاربر، كليد عمومي و .........مي‌باشد.

انواع مراكز صدور گواهينامه ديجيتال :

      مراكز صدور گواهي ديجيتال مي‌بايست مانند دفترخانه‌هاي اسناد رسمي داراي مجوز از قوه قضائي باشند.

لايه سوكتهاي امن (SSL) و HTTP امن (S-HTTP)

بسياري از توليدكنندگان بزرگ محصولات اينترنت، توافق كرده‌اند كه از يك پروتكل رمزنگاري به نام پروتكل لايه سوكتهاي امن[44] (SSL) كه توسط Netsacpe براي ارسال اسناد محرمانه از طريق اينترنت ايجاد شده بود، استفاده كنند. SSL از يك كليد خصوصي براي رمزنگاري داده‌هايي كه از طريق اتصال SSL ارسال مي‌شوند، استفاده مي‌كند. Internet explorer , Netscape Navigator هر دو از SSL پشتيباني مي‌كنند و بسياري از وب سايتها از اين پروتكل براي گرفتن اطلاعات محرمانه از كاربر مانند شماره كارتهاي اعتباري استفاده نمايند.

اين پروتكل كه بين لايه‌هاي پروتكل سطح Application مانندhttp  و پروتكل لايه Transport يعني TCP/IP قرار مي‌گيرد، براي جلوگيري از استراق سمع، تحريف كردن و جعل پيغام طراحي شده است. چون SSL در زير پروتكل لايه Application قرار مي‌گيرد، مي‌تواند براي ساير پروتكلهاي لايه Application مانند FTP نيز به كار رود.

پروتكل ديگري براي ارسال ايمن داده‌ها روي وب، HTTP امن [45](S-HTTP) مي‌باشد كه نسخه تغيير يافته‌اي از پروتكل HTTP استاندارد مي‌باشد.  S-HTTP توسط شركت Enterprise integration technologies طراحي شد كه در سال 1995 شركت Verifone آن را خريداري كرد. در حاليكه SSL يك اتصال مطمئن بين يك مشتري (Client) و يك سرور ايجاد مي‌كند كه در طول آن هر مقدار داده مي‌تواند بطور امن منتقل شود، S-HTTP طوري طراحي شده است كه پيغامهاي جداگانه را بصورت ايمني ارسال مي‌كند. بنابراين SSL و S-HTTP را مي‌توان به ديد تكنولوژيهاي مكمل و نه رقيب يكديگر نگاه كرد.

اين پروتكلها به مشتري و سرور اجازه مي‌دهند يكديگر و اطلاعات امني را كه بطور پياپي بين آنها جريان دارد، تصديق كنند. با استفاده از روشهاي رمزنگاري و امضاهاي ديجيتال اين پروتكلها:

يك عنصر كليدي در برقراري ارتباطات امن در اينترنت از طريق پروتكلهاي SSL يا S-HTTP، گواهينامه‌هاي ديجيتال مي‌باشد كه در واقع بدون گواهينامه‌هاي ديجيتال پروتكلهايي مانند SSL و S-HTTP نمي‌توانند هيچ امنيتي را تضمين كنند. پروتكلهاي SSL و S-HTTP به منظور تبادل ايمن اطلاعات بين يك مشتري و يك سرور طراحي شده‌اند. مثلاً هنگاميكه يك مشتري مي‌خواهد از طريق اينترنت يك حساب بانكي جديد نزدبانك افتتاح كند، اطلاعاتي در مورد خود مانند نام، نام خانوادگي، آدرس، تلفن و غيره را به فرم الكترونيكي كه سرور بانك در اختيار وي قرار مي‌دهد، به بانك ارسال مي‌كند. واضح است كه اين اطلاعات  بايد محرمانه باقي بمانند و براي اين كار از پروتكلهاي بالا استفاده مي‌شود. در حاليكه پروتكلهاي SSL و S-HTTP به منظور تبادل ايمن اطلاعات از هر نوعي بين يك مشتري و يك سرور طراحي شده‌اند پروتكلهاي STT و SET ويژه انجام عمليات بانكي و معاملات با كارت اعتباري طراحي شده‌اند.

مبادلات الكترونيكي امن (SET) و تكنولوژي مبادلات امن (STT):

پروتكل مبادلات الكترونيكي امن[46] (SET) يك استاندارد باز براي پردازش معاملات كارتهاي اعتباري روي اينترنت مي‌باشد كه با همكاري Netscape، Microsoft، Visa، Mastercard، GTE، SAIC،System Tersia و Version ايجاد شده است. هدف SET اين است كه معاملات با كارت اعتباري روي اينترنت با همان سادگي و ايمني كه در فروشگاهها انجام مي‌گيرند، باشد. براي حفظ محرمانه بودن معاملات طوري تقسيم مي‌شود كه فروشنده به اطلاعات كالاي مورد تقاضا، قيمت آن و اينكه آيا پرداخت آن تاييد مي‌شود، دسترسي دارد، ولي دسترسي به اطلاعات نحوه پرداخت مشتري راندارد، بطورمشابه صادركننده كارت اعتباري دسترسي به قيمت كالا را دارد ولي دسترسي به اطلاعاتي درباره نوع كالا را ندارد. SET از گواهينامه‌هاي ديجيتال براي تصديق كردن صاحب كارت، تصديق اينكه فروشنده با موسسه اعتباري ارتباط دارد و غيره استفاده مي‌كند.

 نرم افزارهای مورد نياز درتجارت و بانكداري الكترونيك

يكي از زيرساختهاي مهم و اساسي براي بانكداري الكترونيك ايجاد برنامه‌اي كاربردي است. توانمندي و قابليتهاي برنامه‌هاي كاربردي مستلزم تجزيه و تحليل درست نيازها و شناخت وضع موجود در فرآيند عملياتي و محدوديتها و بهبود روشها مي‌باشد. هرچند در طراحي موفق يك برنامه كاربردي، تجزيه و تحليل درست فرآيند عملياتي و بهبود روشها لازم مي‌باشد، اما موفقيت يك برنامه كاربردي مستلزم قابليت و توانايي بالاي نرم‌افزار در توليد برنامه كاربردي مورد استفاده قرار مي‌گيرد، مي‌باشد. تواناييها و قابليتهاي نوع سيستم عامل[47]و بانك اطلاعاتي[48]نيز بعنوان اركان اصلي در تشكيل برنامه‌هاي كاربردي محسوب مي‌شوند. در ارتباط با نرم‌افزارهاي مورد نياز بانكداري الكترونيك نيز مي‌توان به نرم‌افزارهاي بخش داخلي و بخش خارجي بانك نيز اشاره نمود. نرم‌افزارهاي بخش داخلي بانك به در سه گروه زبانهاي برنامه نويسي در ايجاد برنامه‌هاي كاربردي و نمونه‌هايئ از برنامه‌هاي كاربردي، بانكهاي اطلاعاتي و سيستم‌هاي عامل طبقه‌بندي مي‌شوند. نرم‌افزارهاي مورد نياز بخش خارجي بانك (مشتريان) بطور مختصر در اين قسمت اشاره خواهيم نمود.

نرم‌افزارهاي مورد نياز بخش خارجي بانك: مشتريان مي‌توانند از طريق ايجاد ارنباط با Website بانك به تمامي بخشهاي مورد نياز دسترسي داشته باشند. تنها نرم‌افزار مورد نياز مشتريان، يك نرم‌افزار مرورگر وب[49]مانند Internet Explorer (محصول شركت ميكروسافت كه همرا سيستم عامل Windows ارائه مي‌شود)يا Netscape (محصول شركت ميكروسان) است كه ميبايست از رمزنگاري 128بيتي پشتيباني كند.

زبانهاي برنامه‌نويسي مورد استفاده در توليد برنامه‌هاي كاربردي

تمام زبانهاي برنامه‌نويسي كه اخيراً مورد توجه قرار گرفته‌اند از نوع شي‌گرا[50] مي‌باشند. هر شي داراي ماهيتي است و رفتار هر شي بوسيله عملياتي كه بر روي آن انجام مي‌شود تعريف شده و بالعكس. هر شي در واقع نمونه‌اي از كلاس معيني از شي‌ها است. زبانهاي برنامه‌نويسي كه شي‌گرا هستند عبارتند از: delphi, c⁺⁺, java و اخيراً. [51]C≠  

در طراحي برنامه‌هاي كاربردي بوسيله زبانهاي برنامه‌نويسي شي‌گرا مي‌توان با قرار دادن  قطعات مختلف تحت عنوان Activex یا Class، برنامه كاربردي را ايجاد نمود. برنامه‌هاي كاربردي بانكداري الكترونيك با توجه به اينكه بايد در سطح اينترنت و يا اينترانت قابل اجرا باشند، مي‌بايست بدون هيچگونه وابستگي به سخت‌افزار و نوع سيستم عامل (plateform) و بصورت سرويس‌گيرنده و سرويس‌دهنده قابل اجرا باشند.

در طراحي صفحات web بصورت پويا از زبانهاي اسكريپت[52] مانند javascript استفاده مي‌شود. اخيراً پلت فرم جديدي تحت عنوان .net توسط شركت مايكروسافت توليد شده است كه امكان طراحي تمامي برنامه‌هاي كاربردي تحت web با قابليتهاي فراوان از جمله طراحي برنامه‌هاي كاربردي جهت رديابي و امكان وصل شدن تلفن‌هاي همراه به اينترنت از اين طريق فراهم شده است. در طراحي برنامه‌هاي كاربردي بانكداري الكترونيك سعي شده است كه از اين پلت فرم استفاده شود. در اين قسمت نيز به نمونه‌هائي از برنامه‌هاي كاربردي مورد استفاده در بانكداري الكترونيك اشاره خواهد شد:

·    JAVA: جاوا را بايد زبان منحصر بفرد برنامه‌نويسي قرن بيست و يكم دانست كه توسط شركت ميكرو سيستم به سرپرستي جيمزگاسلينگ[53] كانادائي با نام Oak در سال 1991 طراحي و در سال 1995 به جاوا (Java)  تغيير نام يافت ودر اختيار عموم قرار گرفت. عدم وابستگي به سكو، ساخت‌يافته و همچنين شي‌گرا بودن از جمله خصوصيات اين زبان مي‌باشد[54].

·   ASP.NET: مایکروسافت با ارائه ASP و زبانهای قدیمی‌تر خود بصورت .NET در قرن بیست و یکم قدم مهمی به سوی برنامه نویسی کاملا حرفه‌ای Online برداشته است. ASP.NET که از VB.NET بهره میبرد، اکنون به برنامه ای کاملا کارآزموده و شی گرا برای تولید نرم افزارهای وب تبدیل شده و بهبودهای زیادی را موجب گردیده است. زبانهائی که از گذشته به ارث رسیده اند، نمی توانند به اندازه .NET ابتکار عملی داشته باشند ، به همین علت مایکروسافت زبان جدیدی تحت عنوان C# برای چارجوب .NET تهیه نمود.(ASP.NET Web Developer's Guide,2002).

بانكهاي اطلاعاتي

يكي از اركان مهم در توليد موفق برنامه‌هاي كاربردي بانكداري الكترونيك قابليتهاي بانك اطلاعاتي مي‌باشد. نوع بانك اطلاعاتي مورد استفاده در برنامه‌هاي كاربردي در سطح اينترنت و يا اينترانت بصورت بانك اطلاعاتي مبتني بر «سرويس دهنده»[55]مي‌باشد، بطوريكه بانك اطلاعاتي در يك «سرويس دهنده» قرار مي‌گيرد و تمامي پرس و جوها[56] از سوي «سرويس گيرنده‌ها» به سمت «سرويس دهنده» هدايت مي‌شود. و از طريق مديريت بانك اطلاعاتي عمليات پردازش شده و آخرين اطلاعات به بانك اطلاعاتي افزوده مي‌شود.  اين نوع از بانكهاي اطلاعاتي از نوع رابطه‌اي (RDBMS)[57]مي‌باشند. يكي ديگر از ويژگيهاي اين نوع از بانكهاي اطلاعاتي مربوط است به يكپارچگي داده‌ها[58]به نحويكه مانع از ذخيره سازي داده‌هاي تعريف نشده[59] در آن مي‌شود. انواع بانكهاي اطلاعاتي مورد استفاده در طراحي سيستمهاي سرويس دهنده و سرويس گيرنده[60]عبارتند از: informix, Db2, Oracle, SQL server

بانك اطلاعاتي SQL SERVER:

شيوه كاربرد عملي SQL بانك اطلاعاتي SQL SERVER يكي از قديمي‌ترين بانكهاي اطلاعاتي مي‌باشد كه امروزه در سطح دنيا بكار مي‌رود. اين بانك محصول شركت ميكروسافت مي‌باشد. بسياري از پروژه‌هايي كه در محيط ويندوز با استفاده از نرم‌افزارهاي ميكروسافت پياده سازي مي‌شوند و اطلاعات زيادي بايد نگهداري و بازيابي شوند. اين بانك براي كار در شبكه‌ها طراحي شده است بطوري كه براي هر بانك اطلاعاتي موجود در آن و يا هر جدول، view و… موجود در آن بانك و يا هر فيلد و ركورد خاص در جداول آن كاربرد خاصي تعريف و يا به كاربرهاي موجود اجازه‌هايي خاصي براي اعمال تغييرات از جمله اضافه، تغيير، حذف مي‌دهد. براي اين منظور مي‌توان هم از كاربرهاي تعريف شده در سطح سيستمهاي عامل NT و يا ويندوز 2000 استفاده كرد و يا از كاربرهايي كه درون خود محيط SQL SERVER ايجاد مي‌گردند استفاده كرد.

بانك اطلاعاتي SQL SERVER صرفاً يك محيط براي طراحي اجزاي مختلف بانك اطلاعاتي و مديريت آن مي‌باشد و براي ايجاد يك برنامه كاربردي با آن بايد رابط كاربر را با يك زبان برنامه‌سازي تحت ويندوز مانند ويژوال بيسيك، ويژوال C⁺⁺،  Visual interdev، دلفي، .NET و… ايجاد كرد و براي ارتباط با بانك اطلاعاتي از طريق اين زبانها از امكاناتي مانند ODBC و ADO استفاده كرد كه در ادامه اصطلاحات مورد نياز شرح داده خواهند شد و سپس اجزاي يك بانك اطلاعاتي در SQL SERVER بيان مي‌شوند.

نوع ارتباط بين رابط گرافيكي (GUI) و بانك اطلاعاتي به صورتهاي مختلف از جمله آنها مي‌توان به ADO[61] ، ODBC[62]، [63]JDBC و همچنين ADO.NET اشاره نمود. در اين قسمت به توضيح  دو مورد بسنده مي‌كنيم.

رابط ODBC

برقراري ارتباط بانكهاي اطلاعاتي راه دور (Back- end) را از طريق يك نرم‌افزار (front- end) فراهم مي‌كند. يك برنامه كاربردي توابع ODBC را فرا مي‌خواند و يك مدير نيز نرم‌افزار راه‌اندازي ODBC را بارگذاري مي‌كند. راه اندازي ODBC پردازش فراخواني را بر عهده مي‌گيرد و درخواست SQL را ارائه مي‌دهد و نتايج را از بانك اطلاعاتي برمي‌گرداند. ODBC توسط محصولاتي چون power builder، فاكس پرو، ويژوال C++، ويژوال بيسيك، دلفي بورلند، Microsoft Access و محصولات ديگر مورد استفاده قرار مي‌گيرد.[64]

رابط ADO

روش ADO براي ارتباط با انواع بانكهاي اطلاعاتي اعم از بانكهاي رابطه‌اي، شبكه‌اي، شي گرا و… بكار مي‌رود و نسبت به ODBC سريعتر و بهينه‌تر مي‌باشد و يادگيري آن آسانتر است و محدوديت ODBC را كه تنها مي‌توانست با بانكهاي رابطه‌اي ارتباط داشته باشد ندارد. ADO بعنوان استانداردي براي ارتباط با بانكهاي اطلاعاتي از طريق web و اينترنت نيز پذيرفته شده است.

سيستمهاي عامل[65] (OS)

سيستم عامل (OS) بعنوان رابط بين برنامه‌هاي كاربردي و سخت‌افزار مي‌باشد و بعنوان اساسي‌ترين بخش در اجراي عمليات پردازش اطلاعات در رايانه محسوب مي‌شود. انتخاب نوع سيستم عامل (OS) و بررسي امنيت آن جهت اجراي بانكداري الكترونيك بسيار ضروري است. زيرا هسته مركزي در طراحي يك شبكه «سرويس دهنده» و «سرويس گيرنده» و همچنين نحوه تخصيص و مديريت منابع در اختيار سيستم عامل (OS) مي‌باشد. از مهمترين سيستمهاي عامل كه مي‌توانند در محيط شبكه‌هاي اينترنت و اينترانت مورد استفاده قرار گيرند عبارتند از:

الف- سيستم عامل Windows 2000 family

انواع سيستمهاي عامل windows 2000 family كه محصول شركت ميكروسافت مي‌باشند عبارتند از:

1-windows 2000 professional

2-windows 2000 server

3-windows 2000 advanced server

4-windows 2000 datacenter server

به استثناي windows 2000 professional كه در رايانه‌هاي «سرويس گيرنده»مورد استفاده قرار مي‌گيرد ساير محصولات فوق بعنوان سيستمهاي عاملي هستند كه در «سرويس دهنده» نصب مي‌شوند.

تفاوت هر‌كدام از اين سيستمهاي عامل در قابليتها و تواناييهاي آنها از نظر تعداد رايانه‌هاي تحت پوشش در شبكه و ميزان آدرس دهي فضاي ديسك سخت و همچنين تعداد پردازشگرهاي مركزي كه مي‌تواند بطور همزمان عمليات پردازش را انجام دهند، مي‌باشند. كه مي‌توان بر اساس اولويت در ميزان تواناييهاي آن به ترتيب advance server, datacenter server و server ياد كرد.

هر چند كه نحوه كار كردن با اين سيستمهاي عامل به دليل استفاده كردن از رابط گرافيكي (GUI)[67]براي كاربران راحت  (user friendly) وليكن از نظر امنيت و نفوذ پذيري اين نوع از سيستمهاي عامل با ترديد و شك مورد استفاده قرار مي‌گيرند.

ب- سيستم عامل Linux

اين سيستم عامل توسعه Open Source سيستم عامل unix مي‌باشد، بنحويكه اين سيستم عامل براحتي بومي سازي شده و اكثر كشورهائي كه مايل به برقراري ارتباط تجاري با امريكا ندارند و يا از سوي اين كشور تحريم اقتصادي شده‌اند و يا در جهت افزايش امنيت سيستم‌ها وشبكه خود حاضر به استفاده از سيستم‌هاي عامل متعارف نيستند به اين سيستم عامل رو مي‌آورند. مزيت این سیستم عامل در این است که در انحصار هیچ شرکتی نبوده و بعبارت دیگر تولید کننده خاصی نداشته و این سیستم عامل تکامل یافته متخصصان مختلف می‌باشد. بطو كلي مزاياي سيستم عامل Linux را مي‌توان بطور اختصار در موارد زير برشمرد:

 

 

 

بسترهاي حقوقي

در طي سالهاي اخير سازمانهاي متعدد بين‌المللي و محلي سعي درتعريف، ايجاد و تبيين قوانين و قراردادهاي تجارت الكترونيكي نموده‌اند. در سال 1996 آنسيترال قانون تجارت الكترونيك را تصويب كرد، و در سال 2001 قانون اعضاي الكترونيكي تصويب شد، آنسيترال به كشورهاي مختلف توصيه كرده كه براي يكپارچه كردن قواعد مربوطه به تجارت الكترونيك از اين قوانين نمونه الگو برداري كنند، در كنار اين قوانين راهنماهايي را منتشر كرده است تا اگر كشوري خواست چنين قانوني را وضع كند از آنها بهره گيرد. درسال 1988 اطاق بازرگاني بين‌المللي (ICC)[68] قواعد همسان براي تبادل داده‌هاي الكترونيكي از راه دور را انتشار داد. يك نمونه قرارداد از جمله اين موارد را شامل مي‌شد:

مراقبت لازم براي ارسال و دريافت پيامها با تشخيص هويت طرفهاي تجاري،گواهي دريافت پيام، بررسي صحت پيام دريافت شده، حمايت از پيامهاي مبادله شده، نگهداري ركوردها و سوابق و ذخيره سازي داده‌ها. ازجمله مسائل حقوقي كه در تجارت الكترونيكي براي طرفين تجاري حائز اهميت است عبارتند از:تعيين رابطه حقوقي و قراردادها، حقوق بين‌المللي در موارد اختلاف بين‌المللي، حريم خصوصي و حمايت از داده‌ها، حمايت از مصرف‌كننده، مسئوليت مدني و قراردادي، نقش مراجع گواهي الكترونيكي در ابعاد ملي و فراملي، مسائل مربوط به آيين دادرسي مدني و تجاري و ادله اثبات‌، پرداختهاي الكترونيك شامل پول الكترونيكي و كارتهاي اعتباري، سوء‌استفاده از كارتهاي بانكي‌، نفوذ بر حسابهاي بانكي ديگران، تخريب اطلاعات، بازاريابي و تبليغات و رقابت مشروع شركتها، ارتكاب تخلفات عمدي ازجمله جعل و سرقت داده‌ها، مسائل مرتبط با ماليات، گمركات، حمل و نقل بيمه و……..

كنوانسيون بين‌المللي مبارزه با جرائم رايانه‌اي و اينترنتي كه در اواخرسال 2001 ميلادي در شهر بوداپست به امضاي اعضاي اتحاديه اروپا و چهار كشور صنعتي ديگر جهان رسيد  شامل  اهداف زير مي‌باشد:

1) هماهنگ كردن اركان تشكيل دهنده جرم درحقوق جزايي ماهوي داخلي كشورها و وسايل مربوطه در بخش جرايم سايبر اسپيس[69]

2) فراهم آوردن اختيارات لازم  در آيين دادرسي كيفري داخلي براي جرايمي كه با استفاده از سيستم‌هاي رايانه‌اي ارتكاب مي يابند يا مدرك مرتبط با جرم به شكل الكترونيكي است.

3) تدوين سيستم سريع و موثر همكاري بين‌المللي.

اين كنوانسيون شامل چهار فصل مي‌باشد:

1) استفاده از اصلاحات

2) اقدامات داخلي كشورهاي عضو كه در اين فصل مسائل و موضوعات قانون ماهوي، هم جرم انگاري و هم ساير مسائل مربوطه درحوزه جرائم رايانه‌اي يا مربوط به رايانه را شامل مي‌شود. اين جرائم شامل دسترسي غير قانوني، اختلال در داده‌ها، جعل مرتبط با رايانه، جرائم مربوط به حقوق پديدآورندگان، جرائم ارتكاب يافته با سيستم رايانه‌اي يا ادله رايانه‌اي كه به شكل الكترونيك است و…. مي‌باشد.

3) همكاري متقابل بين‌المللي در خصوص جرائم سنتي و رايانه‌اي علاوه بر مقررات مربوط به استرداد مي‌باشد. فصل سوم حاوي مبحثي پيرامون نوع خاصي از دستيابي فرامرزي به داده‌هاي رايانه‌اي ذخيره شده است كه نياز به همكاري متقابل ندارد و راه‌اندازي يك شبكه جهت اطمينان از همكاري فوري ما‌بين كشورهاي عضو را فراهم مي‌آورد.

4) موضوعات پاياني كه با يك سري استثنائات خاص، موضوعات استاندارد در معاهدات شوراي اروپا را تكرار مي‌كند.

در بخشي از اين مواد آمده است”موارد پي‌جويي جرايم ارتكاب يافته در ارتباط با سيستم رايانه‌اي، داده ترافيك سرنخي براي جمع آوري مدارك بيشتر و رديابي مبداُء ارتباط و بعنوان بخشي از مدارك جرم محسوب مي‌شود.

نرم‌افزار در بانكداري الكترونيك ايران

سيستم‌هاي عامل مورد استفاده

سيستم‌هاي عامل مورد استفاده در شبكه‌هاي محلي شعب بانكهاي ايراني  با توجه به سيتم‌هاي بانكداري نيمه‌مكانيزه و اينترانتي (سيستم‌هاي يكپارچه)، از تنوع برخوردار است، كه مي‌توان از DOS[70] براي ايستگاههاي كاري[71] وNovel براي سرويس‌دهنده و همچنين مي‌توان از سيستم‌هاي عامل OS2،Unix، Linux، DB2 ،Windows2000 Professional وWindows 2000 Server نام برد. نكته حائز اهميت در سيستم‌هاي عامل مستقر در بانكهاي ايراني حتي در مورد بانكهاي دولتي سازگاري در استقرار سيستم‌هاي عامل مورد استفاده جهت كاهش هزينه‌هاي  سربار ناشي از نگهداري و ايجاد يك سيستم تعاملي در بين آنها وجود ندارد. وجود يك سازمان ناظر مانند بانك مركزي بر بخشهاي فن‌آوري مكانيزاسيون كه فقط جنبه ارشادي نباشد ضروري است.

 

بانكهاي اطلاعاتي مورد استفاده

بانكهاي اطلاعاتي مورد استفاده در برنامه‌هاي كاربردي شعب بانكها در اكثر مواقع از نوع                                  DBF[72] (در شبكه‌هاي داخلي) مي‌باشد، و در سيستمهاي متمركز از بانكهاي اطلاعاتي مورد استفاده در رايانه‌اي بزرگ مانند  DB2استفاده مي‌شود، اخيرا  از بانكهاي اطلاعاتي رابطه‌اي ([73]RDBMS)جهت افزايش قابليتهاي مديريت بانك اطلاعاتي مانند  Oracleو SQLSERVER نيز كه مبتني برسرويس‌دهنده مي‌باشد استفاده شده است. آنچه  بطور مسلم در سيستم‌هاي بانكهاي ايراني مشاهده مي‌شود، به رغم تسهيلات فني شبكه شتاب در ارتباط  با تعامل بين سيستم‌هاي اطلاعاتي و انتقال اطلاعات و وجوه در بين سرويس‌دهنده‌هاي بانكها، عدم هماهنگي در انتخاب يك راه‌حل كلي و جامع مكانيزاسيون در بين بانكهاي ايراني مشاهده مي‌شود.

برنامه‌هاي كاربردي

برنامه‌هاي كاربردي مورداستفاده در بانكهاي ايراني رامي‌توان به دو دسته تقسيم نمودكه عبارتنداز:

1) برنامه‌هاي كاربردي جهت نصب در شبكه‌هاي داخلي :

اين نوع برنامه‌هاي كاربردي اكثرا توسط كارشناسان  تجزيه وتحليل سيستم و برنامه نويسان داخلي بانك و يا شركتهاي داخلي طراحي شده است. بيشتر زبانهاي برنامه نويسي مورد استفاده جهت ايجاد اين نوع برنامه‌ها عبارتند از فاكس پرو، C، پاسكال[74]، ويژال بيسيك،ASP [75]. وابسته بودن به سكوي رايانه‌اي (وابسته به سخت‌افزار، سيستم عامل، فايلهاي اجراي و ساير فايلهاي برنامه) از ويژگي اين برنامه‌هاي كاربردي مي‌باشد.

2) برنامه‌هاي كاربردي مورد استفاده در سيستم‌هاي اينترانتي (سيستم‌هاي تمركز)

اين نوع از برنامه‌هاي كاربردي بصورت يك بسته نرم‌افزاري[76] توسط يك شركت واسطه داخلي  براساس سفارش بانكها خريداري شده است و بدليل در اختيار داشتن Source برنامه، پس از بومي نمودن و اعمال اصلاحات، تغييرات، و افزودن به امكانات برنامه توسط كارشناسان داخلي، در اختيار بانكها قرارمي‌گيرد. بدليل تحريم تجاري آمريكا و انحصاري بودن شركتهاي آمريكائي در توليدات نرم‌افزاري و سخت‌افزاري و از طرفي عدم پشتيباني محصولات نرم‌افزاري توليدي شركتهاي آمريكائي (مانندميكروسافت) در ايران، جهت استفاده از اين محصولات، موجب نگرانيهاي از سوي بانكها شده است. لذا بانكها با قدرت انتخاب كمتري در استفاده ازفن‌آوريهاي روز روبرو مي‌باشند، از سوي ديگر نيز محدوديت در برنامه‌هاي كاربردي خريداري شده بانكهاي خارجي موجب مشكلات فراوان فني در جهت توسعه اتوماسيون بانكها شده است.

بسترهاي حقوقي در بانكداري الكترونيك ايران

ايجاد بسترهاي حقوقي مورد نياز فعاليت  تجارت و بانكداري و ايجاد اطمينان و اعتماد به مشتريان همگ‍ام با ايجاد بسترهاي فني، مخابراتي و فرهنگي از جمله اركان موفقيت اجراي تجارت و بانكداري الكترونيك محسوب مي‌شود. نخستين لايحه قانوني تجارت الكترونيك در تاريخ ديماه 1382 در مجلس مطرح و در 79 ماده و چهار فصل مورد تصويب قرار گرفت و جهت اجرا به دولت ابلاغ گرديد. به رغم تصويب اولين قانون تجارت الكترونيك در كشور و قابل استناد بودن آن در مراجع قضائي كشور تا اجرائي شدن كامل آن به قوانين بيشتري نياز است. يكي از تنگناههاي جرائم الكترونيك مربوط است به تعدد و گسترش آن در طول زمان كه  حوزه قضائي نيز مي‌بايست  به تناسب به تربيت قضات متخصص در امور تجارت و بانكداري الكترونيك بپردازد. مسئله ديگر در بيان و تفسير واژه‌ها و اصطلاحات تخصصي در ابعاد جرائم رايانه‌اي و الكترونيك است، كه مي‌بايست به تبع از استانداردهاي و قوانين بين‌المللي در اين حوزه پيروي نمايد

نتيجه‌گيري و توصيه‌هاي سياستي:

يكي از بسترهاي مهم در راستاي تحقق تجارت و بانكداري الكترونيك بسترهاي نرم‌افزاري است. بانكها همگام با فن‌آوريهاي روز اطلاعاتي و ارتباطي سعي در ارائه خدمات مبتني بر فن‌آوري دارند. در اين راستا هزينه‌هاي سرمايه‌گذاري كلان توسط بانكها صورت مي‌گيرد، ولي با اين وجود ايجاد خدمات مبتني بر فن‌آوري و ارزش افزوده هزينه‌هاي سربار را كاهش داده و اهداف استراتژيك بانكها را پوشش مي‌دهد. بيشتر دغدغه‌هاي بانكها قبل از ايجاد بسترهاي نرم‌افزاري، ايجاد يكپارچه‌سازي در منابع اطلاعاتي، صحت اطلاعات و همچنين امنيت اطلاعات مي‌باشد، زيرا دارائيهاي بانكهاي نوين همان اطلاعات مربوط به مشتريان مي‌باشد. استاندارد بودن نرم‌افزارهاي خريداري شده در بانكها از اهميت فوق‌العاده‌اي برخوردار است زيرا موجب كاهش هزينه‌هاي سرمايه‌گذاري مجدد مي‌گردد و از طرفي  براحتي مي‌توانند سيستم‌هاي اطلاعاتي خود را توسعه و يا از منابع اطلاعاتي شركاي تجاري و كسب و كارهاي ديگر بطور مكانيزه استفاده كنند. بانكهاي ايراني هرچند كه گامهائي را در جهت مكانيزاسيون فرآيندها برداشته و برخي از محصولات و خدمات خود را از طريق كانالهاي ديجيتالي ارائه مي‌نمايند، با اين وجود عدم نظارت بر سرمايه‌گذاريهاي انجام شده در ابعاد نرم‌افزاري و عدم سازگاري در اين سيستم‌ها و همچنين عدم قابليت توسعه بعنوان تنگناهها و چالشهاي روياروي بانكها بشمار مي‌آيد. در اين راستا توصيه‌هاي سياستي مشروح در زير شايد بعنوان بخشي از راهكارها در ارتباط با ايجاد بسترهاي نرم‌افزاري تجارت و بانكداري الكترونيك محسوب مي‌شود.         

 

منابع و ماخذ

·     الهياري فرد، محمود،"خدمات بانكداري الكترونيك ونيازهاي اجرائي آن در مقايسه تطبيقي هزينه عملياتي خدمات مختلف بانكي"،پژوهشكده پولي ويانكي بانك مركزي،1384

·         الهياري فرد،محمود،"ارزيابي بانكداري الكترونيك در كشورهاي اسلامي با تاكيد بر كشور مالزي"، نشريه تازه‌هاي اقتصاد، شماره 103

·     الهیاری فرد، محمود، "بررسی مقایسه ای خدمات بانکداری ستنی و بانکداری الکترونیک در ایران"، شهریور 82، پایان‌نامه کارشناسی ارشد، دانشگاه آزاد اسلامی واحد تهران مرکز، دانشکده حسابداری و اقتصاد

·         الهیاری فرد، محمود"بانکداری الکترونیک در روسیه"،نشریه بانک ملی ایران ، شماره 92

·         الهیاری فرد، محمود"بانکداری الکترونیک در هندوستان"، نشریه بانک ملی ایران، شماره 93

·         لهیاری فرد، محمود"بانکداری الکترونیک در استرالیا"،نشریه بانک ملی ایران، شماره 94

·         "از مبادله الكترونيكي اطلاعات (EDI) تا تجارت الكترونيك"، موسسه مطالعات و پژوهشهاي بازرگاني، 1376

·         "مجموعه مقالات اولين همايش بانكداري الكترونيكي "، بانك توسعه صادرات، 1379

·        "سرويس‌هاي شركت مخابرات ايران"آدرسهاي وب سايت،

http://www.Irantelecom.org

http://www.DCI.com

·   http://www.IranIT.com

·    “E_commerce and Development Report 2002”, http://www.unctad.org/ecommerce/docs/edr01_en/edr01_en.pdf

·   “An Exploratory Investigation Of Global Prespective On E_Commerce ,Internet and Digital Economy” ,Web Site at  http://www.ecommerce.or.the/nceb2002/paper/4200/investigation.pdf

·   “Dynamics Of  Banking  Technology Adoption An Application To Internet Banking , Web Sites at www.warwick.ac.uk/~ecrgt/jobmarket.pdf

·   “E_Commerce in Europe Results of  the pilot surveys carried out in 2001” Web Sits at www.researchandmarkets.com/reports/479/479.pdf

·   “The Emergence of ebanking in russia” Web Sites www.sseru.org/DocFiles/wp01-101R1.doc

·   “banking Adaption and Dot.com viability a comparison of Australian and Indian experiences in the banking sector” Web Sites www.deakin.edu.au/infosys/docs/workingpapers/archive/ _Working_Papers_2001/2001_14_Unnithan.pdf   dot .com

·   ”Networking essentials” ,Microsoft press,1997

·   ”S.W.I.F.T Annual Report ” ,2001,2002

·   Balachandher Krishnan Guru, Multimedia university,"An Evaluation Of Internet Banking Sites In Islamic Countries" 2003, http://www.arraydev.com/commerce/JIBC/0311-01.htm