Fa En چهارشنبه 29 خرداد 1398 ساعت 18 و 26 دقیقه

مدلسازی اعتماد در بانکداری اینترنتی

فرض کنید مشتری قصد دارد تراز حساب وعملیات بانکی خود را از طریق اینترنت به صورت آنلاین انجام دهد و بانک نیز مشخصات اعتباری آنها ،  نظیرکلمه عبور و نام کاربری آنها را ایجاد کرده است ، روندگردش کار به صورت زیرخواهد بود‌] 19[:

  • مشتریان یک جلسه یا session با سرویس دهنده بانک آغاز می کنند پروتکلی که این جلسه را کنترل می کند SSL می باشد.
  • کانال ارتباطی سرویس دهند SSL ساخته می شود که تمام مراحل بعدی را پوشش می دهد.
  • مشتری اطلاعات لازمه را نظیر نام ،شماره حساب وPIN‌ را درصفحه ورود به سیستم وارد می کند.
  • سرویس دهنده تصدیق اصالت و احرار هویت (Authentication server) این مشخصات اعتباری کاربر را تایید می کند .
  • سرویس دهنده وب صفحه خوش آمد گویی و منویی  از تمام مواردی که کاربر می تواند انتخاب  و انجام دهد را نمایش می دهد.
  • موارد انتخاب شده به صورت یک درخواست به سمت سرویس دهنده برنامه کاربردی بانکداری فرستاده می شود.
  • سرویس دهنده برنامه بانکداری اینترنتی یک درخواست به سمت سرویس دهنده مربوط به کنترل حق دسترسی جهت بررسی حق دسترسی گزینه های انتخاب شده می فرستند.
  • سرویس دهند کنترل حق دسترسی بر اساس قوانین تعریف شده موجود، یک پاسخ به سرویس دهنده برنامه کاربردی ارسال می کند . مثلا اجازه  دسترسی دارد.
  • سرویس دهنده برنامه کاربردی بانکداری از سرویس دهنده پایگاه داده می  خواهد که کلیسه رکوردهای مربوط به درخواست آن حساب خاص را بدست آورد.
  • سرویس دهنده پایگاه داده ، رکوردها را به سمت سرویس دهنده برنامه کاربردی بر می گرداند.
  • سرویس دهند برنامه کاربردی اطلاعات را به فرمت دلخواه درآورده و آن را به  سمت سرویس دهند وب جهت نمایش به مشتری ارسال می کند.

 

 

شکل (1): گردش اطلاعات در بانکداری اینترنتی

 

توجه کنید که  SSL‌تمام این جریان داده ها را از مشتری به سرویس دهنده و از سرویس دهنده به سمت مشتری را  رمز گذاری می کند.

در این تراکنش صورت گرفته دو نوع داده پردازش می شود:

  1. اطلاعات مربوط به احراز هویت وتصدیق اصالت مشتری (تام، شماره حساب وPIN) .
  2. اطلاعات حساب مشتری (تراز حساب).

یک آنالیز کامل، نیازمند بررسی نوع داده پردازش شده در هر نقطه  اعتماد (Trust point)، شناسایی انواع تهدیداتی که آن نقاط را تحت تاثیرقرار میدهند و راه کارهای مقابله با آنها است.

برای کسب این هدف ابتدا سرویس دهنده های مختلف را شناسایی می کنیم که شامل:

Data base server, Application server, Web service server, Authentication server, SSL server, Authorization server  می باشد . سپس کانالهای ارتباطی و نقاط اعتماد( point Trust) ، که گردش اطلاعات در راستای آنها صورت می گیرد، را شناسایی می کنیم .  هر کدام ازنقاط اعتماد یک نقطه مستعد برای حمله نیز می باشد، و از دست رفتن امنیت در هریک از انها باعث آسیب  زیادی می شود . ریسک از بین رفتن امنیت در بانکداری اینترنتی بسیار زیاد است زیرا داده های حساس مالی در حال نگهداری و رد وبدل شدن می باشند .

پروسه برآورد ریسک باید شامل مراحل زیر باشد :

  • تشخیص تمام تراکنشها و سطوح دسترسی مرتبط با برنامه  و سرویسهای تحت وب مشتری.
  • تشخیص و دسترسی به تکنیکهای کاهش ریسک ، شامل متد های تصدیق اصالت واحراز هویت ، که برای هر نوع تراکنش و سطوح دسترسی بکار گرفته می شود.
  • وجود توانایی لازم جهت قضاوت در مورد کارایی تکنیک های موجود ، کاهش ریسک و تغییر فاکتورهای ریسک برای هر نوع تراکنش و سطوح دسترسی.

ریسکها وتهدیداتی که از این گردش اطلاعات استخراج می شود عبارتند از:

  • دسترسی افراد به غیر از صاحبان حساب (افراد غیر مجاز) به اطلاعات.
  • صاحبان حساب اطلاعاتی بیشتر از آنچه که مجاز به مشاهد ان هستند را ببینند.
  • صاحبان حساب یا دیگران توانایی انجام تراکنشها و اعمال غیر مجاز را داشته باشند.
  • صاحب حساب تراکنشی را انجام دهد اما بعدا منکر آن شود، ویا بانکها انکار کنند که چنین تراکنشی انجام شده است .
  • حملات ناشی از ویروسها ، ورمها و سایر کدهای مخرب.
  • رکوردهای اطلاعاتی  در جریان تبادل اطلاعات ویا از روی سرویس دهنده بانکهای اطلاعاتی، به سادگی میتواند توسط افراد غیر مجاز دزدیده شوند، تغییر یابند و یا هر گونه پردازش غیر مجازی روی آنها صورت گیرد.
  • کلمه و رمز عبور در جریان تبادل اطلاعات ویا از روی سرویس دهنده ها به سادگی میتواند توسط افراد غیر مجاز(با تدارک دیدن حملات مختلف)  دزدیده و جهت انجام حملات تکرار، تراکنشهای غیر مجاز مالی و دیگر فعالیتهای غیر مجاز استفاده شوند.
  • حمله DOS به هر یک از سرور های فوق: ارسال درخواستهای بیش از حد به سرویس دهنده های مورد نظر،  در کار آنها اختلال ایجاد کرده و باعث می شود که نتوانند به درخواستهای مجاز پاسخ دهند.

تمام موارد  ذکر شده از جنبه های تکنیکی تهدیدات و ریسکهای وارد بر بانکداری اینترنتی می باشند که از آنالیز  گردش اطلاعات استخراج شده است. علاوه بر آنها ریسکهای دیگری نیز از جانب خود بانکها، مشتریان را تهدید می کند که شامل موارد زیر است ‌]10[ :

  • سوء استفاده از اطلاعات  شخصی مشتریان: اطلاعات مشتریان زمانی که برروی وب سایت وارد شد به راحتی قابل ویرایش است . مشتریان بیشتر اوقات مجبورند اطلاعاتی نظیر آدرس، سن، جنس و حتی بعضی مواقع سطوح در آمد را در وب سایتهای مربوط به بانکداری اینترنتی وارد کنند . این اطلاعات به راحتی می تواند به صورت غیر قانونی مورد سوء استفاده قرار گیرد و یا ممکن است به شرکتهای ثالث غیر مجاز داده شود.
  • عدم تکمیل صحیح تراکنشهای بانکی توسط بانکها: زمانی که بانکها  تراکنشهای آنلاین بانکی را آن چنان که متعهد شده اند، انجام ندهند و هیچ گونه  پشتیبانی از خدمات خود نداشته باشند. مثل نقص در ارائه 24 ساعته و 7 روزه هفته خدمات بانکی ‍، انکار  بانکها ازانجام تراکنش توسط مشتری، خطا ، کوتاهی وناتوانی در انجام تراکنش با مشتری و یا  وجود نقص در نرم افزارها و برنامه های بانکداری اینترنتی که همگی موجب کاهش خوش نامی بانکها و در نتیجه اعتماد مشتریان می شود.
  • تجاوز به نظم، قوانین و استانداردهای اخلاقی توسط بانکها: این ریسک باعث کاهش شهرت، خوش نامی بانکها، درآمد و شانس تجاری واعتماد مشتریان آنها می شود. لازم است که بانکها، قوانین موجود بر بانکداری اینترنتی را تفسیر و درک کنند و خود را باسایر بانکها و سایر شعب هماهنگ و سازگار کنند . این ریسک زمانی واقع می شودکه تراکنش بانکها و مشتریان در بیشتر از یک کشور اتفاق بیافتد ، اختلاف در قوانین و ملزومات مالی ریسک ایجاد می کند.
  • ریسک تبادلات ارزی: بانکداری اینترنتی باعث میشودکه سایر کشورها با واحد پولی خودشان بتوانند با بانکها به صورت آنلاین تراکنش کنند. که این خود باعث سادگی و کاهش هزینه مبادلات می شود.  اگر مشتریان مجبور باشند با و احد پولی غیر از واحد پولی خود تبادلات مالی گسترده ای انجام دهد این نوع ریسک افزایش می یابد.

موجودیتهای مختلفی از جمله بانکها‍‌، مشتریان و طرفهای ثالث در انجام تراکنشهای بانکی از طریق اینترنت دخالت دارند. دراینجا نقش هر یک را در یک مدل ساده بانکداری اینترنتی تشریح ودر مورد چگونگی ایجاد اعتماد در این زمینه، که پایه آن وب است، بحث خواهیم کرد.

 نگاهی به بانکداری اینترنتی

استفاده از سرعت و سادگی منحصر به فرد اینترنت در انجام تراکنشهای بانکی را اصطلاحا بانکداری اینترنتی گویند. در این راستا مشتریان سرویس مورد نیاز خود یا هر گونه تراکنش با بانک را از طریق وب سایت بر روی اینترنت انجام می دهند. از سوی دیگر بانک نیز سرویس هایی خود را روی وب سایت قرار می دهند . شرکت های ثالث نیز با فراهم سازی تکنولوژی ، سیستم های بانکداری تحت وب در بانکداری اینترنتی سهیم می باشند.

برای انجام عملیات بانکی تحت وب لازم است مشتریان دانشی در مورد بانک مربوطه ، سرویسهای مورد نیاز و مشخصات آن ها داشته باشند .  بانکها نیز همچنانکه ازفعالیت ها و استراتژی های تجاری بهره می برند ، از زیر ساختهای تکنولوژی جهت پشتیبانی از وب سایتهایشان استفاده می کنند (نظیر سرورها، سیستمهای اطلاعاتی، پایگاه داده ،سیستمهای پرداخت و مکانیسم های امنیت و محرمانگی ). برخی از خدمات پایه مثل نمایش اطلاعات بانکی ، پروسه انجام تراکنشهای بانکی و پشتیبانی از مشتریان (قبل، در طول و بعد از انجام فعالیت بانکی) باید از طریق وب سایتها فراهم شوند.

مدلهای مختلفی از بانکداری اینترنتی وجوددارد ‌]10[:

  • اطلاعاتی(informational) : تنها اطلا عاتی درمورد خدمات بانکی ، که به صورت سنتی در حال انجام است را ارئه می دهد . این نوع بانکداری اینترنتی دارای ریسک کمتری است.
  • اطلاع رسانی (communicative): اطلاعات مربوط به حسابهای بانکی را ارائه می کند، و درصورت امکان عمل به روز رسانی اطلاعات ایستا مثل آدرس مشتریان را نیز انجام می دهد .  در این نوع بانکداری اینترنتی زمانی که دسترسی به سیستم اصلی بانک مجاز باشد، ریسک مسئله ساز است.
  • تراکنشی(transactional): به مشتریان اجازه اجرای ترا کنشهای مالی را میدهد و بیشترین ریسک را متحمل میشود بعضی از مدلهای تراکنشی ریسک بیشتری در بردارد . مثل وقتیکه مشتری تا بحال شعبه ای را در راستای روابط خود ندیده و می خواهند که تمام تراکنشهای خودرا از راه دور انجام دهد.

اعتماد در بانکداری اینترنتی

اعتماد بسته به دامنه کاربرد آن دارای تعاریف مختلفی است به صورت عمومی اعتماد را این گونه تعریف می کنند : با اطمینان تکیه کردن بر روی شخصیت ، توانایی، قدرت، حقیقت وراستی هر فرد یا هر چیزی و یا اطمینان و اعتماد به مشخصات و ویژگی های یک شیء یا فرد ویا حقیقت و حالت آن . بعضی نگرشها آن را به عنوان یک پاسخ درونی و شخصی می پندارند عده ای دیگر آن را تنها به عنوان یک ارزیابی منطقی از قابلیت اطمینان فرض می کنند.

بر اساس TTU-T X.509 ، بخش 303054 اعتماد (Trust) این گونه تعریف می شود : .به صورت معمول زمانی میتوان گفت یک موجودیت به موجود دوم اعتماد دارد که موجود نخست فرض کند موجود دوم رفتارش مطابق، با انتظار موجود نخست است ‌]19[.

اعتماد (Trust)  به عنوان یک فاکتور ضروری در معرفی یک محصول یا سرویس جدید در حیطه تکنولوژی اطلاعات (مثل بانکداری اینترنتی) می باشد‌]11[ . اعتماد در بانکداری اینترنتی انتظاراتی است که یک سرویس یا محصول بانکداری اینترنتی باید بر آورده کند یا تعهداتی است که باید انجام دهد. در این تعریف انتظارات کاربران بر پایه چیزهای بسیاری استوار است مثل:

  • تجربیاتی که از خدمات وبرنامه های قبلی و سنتی بانک داشته، دربرابر تجربیاتش نسبت به بانکداری اینترنتی .
  • تجربیاتی که از تکنولوژی جدید بانکداری اینترنتی دارد.
  • شهرت، خوش نامی ارائه کنندگان خدمات بانکداری برروی اینترنت .
  • دانش کاربر نسبت به بانکداری اینترنتی .
  • اعتماد یا عدم اعتماد به عامل و نماینده ای که خدمات بانکداری اینترنتی را ارائه می دهد.

سطح اعتماد افراد با تغییر در انتظاراتشان تغییر می کند.

مدل اعتماد(Trust model) ، فرایندی است برای تشخیص تهدیدات و ریسک ها بر اساس آنالیز گردش اطلاعات در هر سیستم اطلاعاتی،که  نتیجتاَ مکانیسم هایی را  برای پاسخ به یک تهدید خاص لازم و ضروری است را شناسایی می کند ‌]19[.

بنابراین هدف از مدل اعتماد پاسخ به یک دسته مشخص از تهدیدها و آسیب پذیری هایی است که از طریق نمودارهای آنالیز گردش اطلاعات موجود در هر سیستمی مثل سیستم با نکداری اینترنتی بدست می آید . مدلسازی سطح اعتماد درهر سازمان و موقعیتی، با سازمان و موقعیت دیگرفرق دارد. بنابراین عناصر موجود در مدل اعتماد برای هر موقعیت راه حل مناسبی برای همه موقعیت ها نمی باشند.مسئله اساسی در تعریف اعتماد (Trust)  و پارامترهای آن اساسا به احراز هویت و تصدیق اصالت از طریق کلید عمومی(public key) توجه دارد‌]12[.

Trust model‌ وپارامترهای مربوط به سیستمهای (Public Key Infrastructure) به احراز هویت وتصدیق اصالت بین فروشنده وگیرنده، صحت پیام و محرمانگی پیام اشاره دارد. اینها همگی جنبه هایی از یک مدل امنیت)  Security model ( است. به همین دلیل گاهی اوقات مدل امنیت و مدل اعتماد جای یکدیگر استفاده می شوند. از دید کاربران، امنیت از مسائل مهم در اعتماد آنها به این مسئله است که تکنولوژی اطلاعات و کامپیوتر قادر باشد اعمال درخواستی آنها را بدرستی انجام دهد. اما از دید کاربران، فاکتورهایی غیراز امنیت نیز در ایجاد  اعتماد مهم هستند . از جمله قابلیت استفاده (بدرد بخوری)، قابلیت اطمینان، در دسترس بودن، محرمانگی و امن بودن است که جنبه روان شناسی دارند]11[. بنابراین به طور کلی هم جنبه روان شناسی وهم جنبه فنی و تکنیکی در توسعه یک مدل اعتماد مناسب ضروری می باشند . علاوه بر این ، مدل اعتماد باید توسط کاربران مختلف با ویژگی  های متفاوت قابل استفاده باشد.

مدل اعتماد همچنین ارتباط بین بررسی صحت چیزی(verification) و اعتماد نسبت به آن (trust) را نیز بازبینی خواهد کرد. مثال های مختلف این ارتباط شامل اعتماد پنهان (اعتماد بدون بررسی صحت)‍،  ‍‌اعتماد همراه با بررسی صحت، اعتماد بر اساس تجربه قبلی، اعتماد بر اساس دانش و اعتماد بین مدیران و نمایندگان (انتشار اعتماد) می باشد ]11[.

مکانیسم های رمز نگاری مثل امضاهای دیجیتالی، مکانیسم تصدیق اصالت، احراز هویت، صحت داده، محرمانگی از نیازمندی های مدل اعتماد (Trust model) در بانکداری اینترنتی می باشد.

براساس تهدیدها وریسک های بدست آمده از آنالیز گردش اطلاعات و ریسکهای ناشی از رویکرد تجاری خود بانکها می توان مدلی را جهت ایجاد و حفظ اعتماد در بانکداری اینترنتی ایجاد کرد.

اگر چه اکثر سایتهای بانکداری اینترنتی اشاره دارد که آنها قابل اعتماد هستند و مشتریان باید تراکنشهای مالی با بانک خود را بدون هیچ گونه ترسی انجام دهند، اما ادعای بانکها به تنهایی برای این که آنها تراکنش مالی انجام دهد کافی نیست. تجربه گذشته مشتری بر روی آن وب سایت یا وب سایتهای مشابه، دانش آنها درمورد  بانک و یا خدمات و محصولات مورد علاقه آنها و احساسات آنها نسبت به آنچه که برروی صفحه وب می بینند همگی در انجام تراکنش مالی به صورت آنلاین تاثیر دارد.

بنابراین چگونه یک وب سایت مشتری را متقاعد می کند که قابل اعتماد است؟ در این قسمت اجزاء مختلف را که باعث افزایش اعتماد در وب سایتهای بانکداری اینترنتی می شود چه از نظر تکنیکی و فنی و چه از نظر تجاری و روانشناسی مرور می کنیم.تراکنش مشتری و بانک:

دربانکداری اینترنتی وقتی مشتری وب سایت مربوطه را مشاهد می کند اولین چیزی که با آن مواجه می شود وبر او تاثیر می گذارد وباعث اعتماد او می شود واسطه کاربر(User Interface) آن وب سایت است.

 مواردی مثل محلی سازی، قابلیت کنترل کاربر و خدمات پشتیبانی مشتری دارای تاثیر زیادی بر روی ایجاد اعتماد و رضایت مشتریان ازخدمات بانکی است. تمام فاکتورهای موثر برتراکنش مشتری و بانک در زیر لیست شده است:

ساختار ومحتوای اطلاعاتی سایت

ساختار نامرتب و محتوای ناقص و غیر ساخت یافته یک سایت که نشانه بی دقتی صاحبان آن می باشد،  اعتماد بازدید کنندگان آنرا کم می کند . اما برعکس درصورتی که محتوا، محصولات و خدمات یک وب سایت به روز، صحیح وقابل فهم باشد، باعث ایجاد حس اعتماد و استقلال در مشتریان می شود. ‌]2[.

بنابراین جهت ایجاد اعتماد نسبت به ساختار اطلاعاتی هر سایت باید به جنبه های زیر توجه کنیم]9[ .

  • دیدکلی و هدف سایت درآن مطرح شده باشد.
  • نوع و منبع اطلاعات، بینندگان آن و تاریخ آن دقیقا مشخص شده باشد.
  • سرویسها و اطلاعات ارائه شده در سایت باید به خوبی تشریح شده باشند.
  • دستورالعملهایی برای استفاده از وب سایت و امکانات آن موجود باشد.
  • نمایش هشدارهای مناسبی در صورتی که کاربر نخواهد به اطلاعات غیر مجاز دسترسی یابد.
  • مالک و صاحب دارایی وب سایت و شرایط استفاده از لینکها و اطلاعات بروی سایت ذکر شده باشد.
  • محتوای وب سایت متناسب با هدف بانک ونیاز مشتریان باشد و نشانگر تعصبات بیجا نباشد.
  • محتوا تنها شامل اطلاعت ضروری و مفید باشد ومقدار آن متناسب باشد.
  • بیشتر شامل اطلاعات مستقیم باشد تا غیر مستقیم و مبهم.
  • زبان وب سایت واضح، ثابت و متناسب با مشتریان باشد.
  • محتوای سایت به روز باشد.
  • حداکثر هر سه ماه یک بار صفحات مورد بازنگری قرار گیرد.
  • تاریخ آخرین به روز رسانی و بازنگری در سایت مشخص باشد.

محلی سازی سایت

مشتریان معمولا خصوصیاتی مثل جنس، سن، علایق، زبان و شغل خود را در سایتهای بانکداری اینترنتی وارد می کنند . بانکها با استفاده از این خصوصیات قادربه شناسایی جمعیت مورد نظر خود خواهند بود و در نتیجه با توجه به خصوصیات و دیدگاه مشتریان خاص ، محتوا و ساختار وب سایت را متناسب با آن طراحی می کنند .

ساختار سایت بر مبنای مشتری به بانکها این اجازه را می دهد که بر روی محتوا ، گزینه های انتخابی و حتی بنرهای تبلیغاتی مرتبط با مشتری و شخصی سازی شده توجه داشته باشند و با پیش بینی پاره ای از خصوصیات و اخلاقیات آنها ، بهتر بتواند احتیاجات مشتریان را برآورده کنند ‌]1[ .

در صورتیکه سایت به صورت مشتری محوری طراحی شود ، ناوبری سایت را آسان کرده و رضایت مشتریان را افزایش میدهد که خود باعث افزایش اعتبار بانکها و ایجاد اعتماد در مشتریان نسبت به آنها می شود.

کنترل کاربری:

حجم اطلاعات قابل دسترس و دسترسی به آن اطلاعات بر روی وب سایت ،  نکته مهمی جهت تعیین چگونگی کنترل تراکنشهای بانکی از جانب مشتریان میباشد . هر چه یک وب سایت کنترل کاربری بیشتری را در اختیار مشتریان قرار دهد آنها احساس اعتماد بیشتری می کنند . بعضی از عناصر که احساس کنترل مشتریان و در نتیجه اعتماد آنها را افزایش می دهد در زیر لیست شده است :

دسترسی به اطلاعات Access to information

سرعت و راحتی دسترسی به اطلاعات مرتبط با مشتریان در یک وب سایت ،  برروی حس کنترل مشتریان در وب سایت تاثیر دارد. گزینه های مربوطه جهت آشنایی مشتریان به وب سایت مثل : لغتنامه متناسب با بازدیدکنندگان، اطلاعاتی که در طول تراکنش بانکی از سوی بانک در اختیارشان قرار می گیرد ، جواب به  سوالات متداول (FAQ)و یا امکاناتی که باعث آسان تر شدن ناوبری سایت برای مشتریان کم تجربه و یا حرفه ای می شود ، همگی عموما در راستای مشتریان طراحی شوند ]3[ .

کنترل اطلاعات شخصی(Control personal data)

دسترسی به اطلاعات شخصی برای بازدیدکندگان سایت بسیار مهم است . مشتریان باید بتوانند میزان اطلاعات شخصی که نزد بانکها نگهداری می شود را تعیین کنند و زمانیکه نیاز بدانند آنها را تغییر دهند . همچنین آنها باید تعیین کنند که اطلاعاتشان به صورت پیش فرض چه موقع می تواند در اختیار طرفهای ثالث قرار گیرد .

به عنوان مثال وب سایتها معمولا در طول فرآیند ثبت نام از آنها سوال می کنند که آیا تمایل دارند اطلاعات آنها را جهت ارسال مطالب و محصولات مورد علاقه آنها در اختیار بانک قرار دهند یا خیر. مشتریان مختارند آنرا انتخاب نکنند، زیرا آنها معمولا احساس می کنند که امکان استفاده غیر مجاز از آن اطلاعات از سوی بانکها وجود دارد . بنابراین پیش بینی محتوایی که مشتریان قادرند دریافت کنند ممکن است اعتماد آنها را در رابطه با سایتهای بانکداری اینترنتی تحت تاثیر قرار داده و باعث کاهش تمایل آنها به انجام امور بانکی از طریق اینترنت شود.

آشکار سازی همه جنبه های روابط بین بانک و مشتری

مشتریان باید به صورت آشکار از تمامی مراحل لازم جهت تکمیل تراکنش با سایت مورد نظر اطلاع کافی داشته باشند . به علاوه هرگونه اطلاعات مربوط به انجام تراکنشهای بانکی نظیر قابلیت اعتماد و سیاستهای بانکی باید صادقانه قبل از تکمیل هرگونه تراکنشی به صورت آشکار از سوی بانکها بیان شود.

قابلیت شخصی سازی

وجود قابلیت شخصی سازی روی ظاهر سایت نیز باعث افزایش حس کنترل و اعتماد در مشتری می شود ، زیرا  آنها می دانند که چه میخواهند و کجا می خواهند بروند و چگونه می خواهند بروند . وب سایتها  به آنها اجازه میدهند بر اساس مشخصات فردی ، تنظیمات پیش فرض را تغییر دهند. مثلا زبان ، محتوا و یا هر واحد ارزیابی که  متناسب با ویژگی های شخصی آنهاست می تواند انتخاب شود ]3[ .

باز خورد (Feed back)

اعلام تایید از جانب سایت به مشتری پس از انجام موفق هر تراکنش بانکی، مثل ارسال ایمیل یا ارسال یک پیام به عنوان تاییدیه بعد از تکمیل هر تراکنش. علاوه بر آن  اعلام خطا و ارائه راه حل آن  در صورت بروز مشکل نیز بسیار سودمند می باشد  . کاهش ابهام وخطا در سمت مشتری، در  تصمیم گیری مشتری بسیار کارا خواهد بود و باعث افزایش حس کنترل و اعتماد  در طول عملیات بانکی از طریق سایت می شود.

تکمیل عملیات بانکی

بانکهای اینترنتی باید به صورت آشکار مشخص کنند که چگونه تراکنشها تکمیل می شوند و چگونه در زمان بروز مشکل ، مشتریان را یاری می دهند . علاوه بر آن زمانیکه یک تراکنش انجام شد ، یک پیغام اضافی مثل ایمیل یا فاکس می تواند انجام صحیح این تراکنش را تایید کند و یک شماره  به او بدهد تا مشتری بتواند از  آن جهت پی گیری تراکنش مورد نظر در بانک واقعی نیز استفاده کند]2[ .

پشتیبانی از مشتریان

بعضی مواقع لازم است که مشتریان در مورد خصوصیات محصولات و خدمات بانکی مورد نظر خود سوال کنند، و یا اطلاعاتی راجع به حریم خصوصی و محرمانگی کسب کنند، و یا ممکن است بخواهند در مورد قابلیت محلی شدن بعضی از گزینه ها مطلع شوند .

مشتریان انتظار دارند که جواب این سوالات به صورت موثر،  سریعا در سایت درج شده باشد وگرنه آنها از بانک دیگری استفاده خواهند کرد. بعضی از این خدمات مشتری که باید در سایت بانکداری اینترنتی درج شده باشد شامل موارد زیر است:

  • وجود کمکهای مستتر که به صورت پیش فرض درون خود سایت جای دارند، مثل وجود توضیح و مقادیر پیش فرض برای هر فیلد ، که به نوبه خود بعضی ابهامات و سوالات مشتری را حل می کند.
  • وجود پشتیبان اتوماتیک که به صورت آنلاین جهت کمک به کاربرانی می باشد که می خواهندگمنام بمانند ، یا آنهایی که دارای مهارت کافی بر روی برنامه های کاربردی نیستند، و یا برای انهایی که نسبت به زبان سایت مورد نظر دچار مشکل هستند .
  • ایجاد امکان تماس با پرسنل بانک توسط ایمیل، چت و یا تلفن یک راه حل سریع برای مشکلات مشتریان میباشد،  در هر زمانی که آنها با سایت روبرو می شوند .
  • پاسخ به سوالات متداول مشتریان در قسمت FAQ یا سوالات متداول .

تکنولوژی

جهت پشتیبانی از  تراکنشهای بینندگان بر روی وب سلیت ، وب سایت بانکها باید از زیرساختهای تکنولوژی(یعنی مجموعه ای از سخت افزارها و نرم افزارها) استفاده کنند ، برای اینکه بتوانندگستره وسیعی از پروسسها را اجرا کنند . مواردی مثل امنیت،کارایی، مقیاس پذیری ، سازگاری و قابلیت اطمینان بیشتر توسط زیرساختهای تکنولوژی مورد استفاده در سایت تعیین می شوند (همراه  با تنظیمات و خصوصیات سیستمهای مشتری). همه این موارد  باید  بر اساس خصوصیات بانکها ، مشخصات تراکنشهایی که آنها حمایت میکنند و نیازمندیها و مشخصات مشتریان مورد انتظار باشند تا بتوانند یک محیط امن و مناسبی را در طول عملیات بانکی آنلاین ایجاد کنند.

امنیت

 به صور عمومی امنیت شامل دور نگهداشتن افراد غیر مجاز از دسترسی و اجازه دادن به افراد مجاز جهت دسترسی به دارایی های با ارزش  می باشد] 2[.

سایتهای بانکداری اینترنتی نیازمند توسعه و استفاده از مکانیسمهای امنیتی مناسب جهت محافظت از مشتری و بانک میباشد. بدلیل حرکت اطلاعات روی اینترنت، افراد غیر مجاز ممکن است به اطلاعات حساس در حین انتقال و یا بر روی سرویس دهنده های بانک دسترسی پیدا کنند، آنها را تغییر دهند و یا حذف کنند . لذا  باید مکانیسمی جهت ضمانت انجام هر تراکنش بانکی که در آن داده های حساس مالی نیز ردو بدل می شود وجود داشته باشد .برای رسیدن به این امر مهم ، روشهایی مثل رمز عبور ، مکانیسمهای رمزنگاری ، امضاهای الکترونیکی و دیوارهای آتش (firewalls) استفاده میشوند.

در این قسمت موارد مختلفی که برای توسعه زیرساختهای امنیتی سایتهای بانکداری الکترونیکی باید مورد توجه قرار گیرد بحث میشود مانند : حریم خصوصی (privacy) و محرمانگی(confidentiality) ، صحت اطالاعات (Integrity) ، دردسترس بودن (Availability) ، احراز هویت و تصدیق اصالت Authentication ، کنترل دسترسی(Authorization) ، حسابرسی (Accountability) ، انکار ناپذیری (Non-repudiation)  ، و نهایتا نظارت  و گزارشگیری(monitoring and report) .

حریم خصوصی و محرمانگی :

حریم خصوصی یعنی صاحب اطلاعات قادر به کنترل اطلاعات خود می باشد . بر عکس محرمانگی به معنای پنهان بودن است یعنی تنها گیرندگان مورد نظر یک پیام می توانند آنرا بخوانند] 6   [.  در هر تراکنش بر روی اینترنت، اطلاعات مشتریان تنها باید توسط افراد مجاز قابل دسترس باشد، یعنی این اطلاعات باید محرمانه و خصوصی باقی بماند] 13[. مشتریان لازم است مطمئن شوند که هنگام استفاده و یا ایجاد تغییر در اطلاعات، داده های حساس نباید در معرض طرفهای ثالث واقع شوند و یا  بدون کسب اجازه آنها را به طرفهای ثالث بدهند.

رمزنگاری ، پایه و اساس بیشتر روشهای ایجاد امنیت در داده های موقت (مثل کوکی های موجود در کامپیوتر کاربران یا فایل ثبت وقایع موجود در سرویس دهنده وب) و در داده های دائمی (مثل مشخصات حساب مشتریان موجود در سرویس دهنده ها) می باشد. روشهای مختلفی برای تراکنشهای امن در اینترنت وجود دارد که همگی بر پایه رمزنگاری میباشند مثل SSL و TLS که هر دو برای حفاظت از تبادل رمز عبور و نام کاربری در حین عملیات احراز هویت و تصدیق اصالت طراحی شده اند] 14 [.

زیر ساختهای حریم خصوصی دسترسی کاربران به وب سایت ها را محدود تر می کند و در صورتیکه ملاحظات مربوط به حریم خصوصی کاربران با آن سازگار نباشد ، به صورت خود کار به کاربر هشدار داده می شود] 15 [.

در دسترس بودن:

در دسترس بودن یعنی نگهداشتن هر سیستم به صورت فعال و در حال کار ] 6[.  در سایت بانکداری اینترنتی در دسترس بودن هم به دسترسی بموقع مشتریان به اطلاعات اشاره دارد و هم به حفظ دسترسی در برابر قطع شدن سرویس مورد استفاده آنها  اشاره دارد . این امر مهم هم توسط نرم افزار (برنامه های مقیاس پذیر و با تحمل خطا ) و هم سخت افزار (مثل دیسکها و سرویس دهنده های مضاعف ، اتصالات با پهنای باند زیاد به اینترنت و پردازنده های موازی) محقق می شود .

صحت داده :

اطلاعات دریافت شده توسط گیرنده دقیقا باید با اطلاعات ارسالی برابر باشند . اطلاعات موجود بر روی سرویس دهنده وب یا کوکی های موجود در کامپیوتر مشتری نباید توسط افراد غیر مجاز تغییر کنند . تنها افراد مجاز اجازه تغییر اطلاعات را دارند که شامل نوشتن ، تغییر ، تغییر وضعیت ، حذف و ایجاد داده جدید میباشد] 6  [. به عنوان مثال در مورد داده های داخل دستور پرداخت نظیر هویت مشتری و بانکها ، محتوای پرداخت ، مبلغ و شماره حساب همگی باید به صورت امن جابجا شوند.  توابع در هم ساز(hash function) ، کارت هوشمند ، امضای دیجیتالی و گواهی های دیجیتال از تکنیکهای مورد  استفاده در ایجاد صحت داده می باشند ، که از الگوریتم رمزنگاری نامتقارن و الگوریتمهای درهم ساز(hash algorithms) استفاده میکنند] 6   [.

احراز هویت و تصدیق اصالت:

افراد شرکت کننده در بانکداری اینترنتی (مشتری ، بانکها و شرکتهای ثالث ) نیاز دارند که به هویت سایر موجودیتها دخیل در بانکداری اینترنتی اعتماد داشته باشند . تعیین هویت مثبت همراه با سطوحی از اطمینان باید قبل از صدور مجوز حقوق و امتیازات مشخص به هر موجودیت قابل دسترس باشد ] 7   [.

یک برنامه احراز هویت و تصدیق اصالت موثر بر پایه ریسک باید طوری پیاده سازی شود که مطمئن شود کنترلها و روشهای احراز هویت برای تمام محصولات و خدمات اینترنتی بانکها مناسب می باشد و با افشای حداقل اطلاعات طرفین عمل احراز هویت و تصدیق اصالت صورت گیرد. جهت ماکزیمم کردن قابلیت همکاری با سایر خدمات بانکی ، عمل احراز هویت و تصدیق اصالت باید با استراتژی کلی بانک در مورد بانکداری اینترنتی و سرویسهای مشتریان در تجارت الکترونیک سازگار باشد. روش تصدیق اصالت واحراز هویت استفاده شده دریک برنامه تحت وب خاص باید مناسب ریسکهای پیش بینی شده در آن برنامه باشد. بدلیل اینکه استائدارد های پیاده سازی یک سیستم بانکداری اینترنتی با تغییر در تکنولوژی تغییر می کند موسسات مالی و بانکها برای اینکه مطمئن شوند که تغییرات مناسب اعمال شده است، باید یک پروسه مداومی را جهت بازبینی تکنولوژی تصدیق اصالت واحراز هویت توسعه دهند.

بانکهایی که تنها از یک فاکتور جهت احراز هویت استفاده می کنند در برابر ریسکهای جدید یا تغییر یافته ای مانند دسترسی به اطلاعات حساس مشتریان، کدهای مخرب و سایر تکنیکهای مخرب قرار می گیرند. بنابراین ارزیابی ریسک نشاندهنده این واقعیت است که یک فاکتور جهت تصدیق اصالت واحراز هویت کفایت نمی کند و موسسات مالی و بانکها باید از چند فاکتور پیاده سازی تصدیق اصالت واحراز هویت(مثل  pin code و روشهای بیومتریک به صورت همزمان) ، معماری لایه لایه امنیت و سایر کنترلها جهت کاهش ریسک استفاده کنند .

با رشد بانکداری اینترنتی و تجارت الکترونیکی، موسسات مالی باید روشهای قابل اعتمادی را جهت ایجاد حساب برای مشتریان آنلاین استفاده کند. در این راستا، احراز هویت مشتریان در طول ایجاد حساب  ضروری می باشد، و در کاهش ریسک سرقت هویت، تهدیدات مربوط به برنامه حسابهای بانکی و موافقت نامه ها حیاتی می باشد . .به صورت بالقوه زمانیکه یک بانک یا موسسه مالی یک مشتری جدید از طریق اینترنت یا سایر کانالهای الکترونیکی پذیرش می کند، ریسکهای پایه ای آن افزایش می یابد. یک روش تشخیص هویت مشتریان ارائه اعتبار و هویت اثبات شده آنها از طریق طرف سوم قابل اعتماد می باشد. به طور مشابه ، جهت ایجاد اعتبار برای یک تجارت خاص و یا توانایی یک شخص در انجام تراکنشهایی که بر عهده اوست، بانکها مواد قانونی شرکت یا شخص، گزارشات اعتباری، راه حل هیئت مدیره در شناسایی مامورین و امضاکنندگان مجاز و سایر اعتبارات تجاری را مورد بازبینی قرار می دهد. به هر حال در بانکداری اینترنتی ، اتکا به فرمهای سنتی احراز هویت کاغذی اساسا کاهش می یابد. بنابراین موسسات مالی نیازمند استفاده از روشهای قابل اطمینان  دیگر میباشند] 18[ .

استفاده از گواهی های دیجیتالی (Digital Certificate)  روشی است که به صورت گسترده برای احراز هویت و تصدیق اصالت اعمال میشود . بانکها و مشتریان می توانند توسط این گواهی ها و کلید های مخفی که توسط طرفین معامله استفاده می شوند، قانونی بودن و اعتبار هر یک از طرفین معامله را از طریقCA (Certification Authority) تعیین و تصدیق کنند . به عنوان مثال (Secure Electronic Transaction) SET ، یک پروتکل باز و چند طرفه است که پرداختهای بانکی توسط کارت را از طریق یک شبکه باز منتقل می کند . این پروتکل برای اینکه به طرفین معامله اجازه دهد که هویت یکدیگر را تایید کنند ، از گواهی های دیجیتالی استفاده می کند ] 7   . [شناسه و رمز عبور ‌،کارت هوشمند (حاوی کلید خصوصی) و گواهی های دیجیتالی(حاوی کلید عمومی) از رایجترین روشهای احراز هویت و تصدیق اصالت می باشد که از الگوریتم رمزنگاری نامتقارن استفاده می کنند] 6   [ .

 

کنترل دسترسی:

در انجام هر تراکنش مالی هر مشتری باید بتواند در حدی که مجاز است تراکنش مالی انجام دهد . به عنوان مثال هیچ پولی به مشتری پرداخت نشود مگر اینکه کاملا مطمئن شویم که  تمام شرایط پرداخت بر اساس هویتی که قبلا شناسایی شده است را دارا می باشد، و مجاز به برداشت حجم معینی است که از قبل برا ی او تعریف شده است.کنترل دسترسی معمولا به صورت جداول کنترل دسترسی برای هر مشتری بر اساس سیاستهای بانک مورد نظر تعیین میشود] 6[.

انکار ناپذیری:

در هر تراکنشی طرفین معامله باید جهت انجام معامله، مورد حسابرسی قرار گیرند یعنی آنها نباید قادر باشند حضور خود را در آن معامله انکار کنند. بر عکس ، همانگونه که موجودیتها نباید بتوانند حضور شان را در معامله انکار کنند ، در صورتیکه واقعا در معامله ای شرکت نکرده اند، باید قادر باشند عدم حضور خود را نیز اثبات کنند. انکار ناپذیری قدرت انکار را مینیمم می کند  ولی باعث کاهش گمنامی ، افزایش ریسکهای مربوط به شکسته شدن حریم خصوصی میشود ] 16و17 .  [توابع در هم ساز(hash function) ، کارت هوشمند ، امضای دیجیتالی، گواهی های دیجیتال و سیستمهای ثبت وقایع از تکنیکهای ایجاد انکارناپذیری می باشند، که از الگوریتم رمزنگاری نامتقارن و درهم ساز(hash algoritms) استفاده میکنند] 6 [.

نظارت  و گزارشگیری:

سیستمهای مربوط به نظارت(monitoring) میتوانند دسترسی های غیر مجاز به سیستمهای کامپیوتری و حسابهای مشتری را تشخیص دهند. یک سیستم احراز هویت ، تشخیص اصالت و انکارناپذیری  مناسب باید شامل امکانات بازرسی  و حسابرسی  نیز باشد ، که بتواند به تشخیص تهاجمات ، شستشوی پولی ، به خطر افتادن رمز عبوز ، و سایر فعالیتهای غیر مجاز کمک کند. ثبت و نگهداری وقایع (audit log) باعث تشخیص فعالیتهای غیر  مجاز، تشخیص نفوذ ، بازسازی وقایع و ترفیع حسابرسی کارمندان و کاربران می شود .علاوه بر این موسسالت مالی باید بتوانند فعالیتهای مشکوک را به نمایندگی های قانونی گزارش کنند. موسسات مالی باید بر روی لایه های چند گانه کنترل برای جلوگیری از کلاهبر داری و حفاظت از اطلاعات مشتریان تکیه کنند. بیشتر این کنترلها مستقیما بر پایه تصدیق اصالت واحراز هویت نمی باشند. به عنوان مثال یک موسسه مالی می تواند فعالیت مشتریانش را  برای تشخیص الگوهای مشکوک آنالیز کند . مکانیسم گزارشگیری مناسب برای اطلاع رسانی به مدیران نیز لازم میباشد .خصوصا، اگر سیستمها و فرآیندهای حساس به شرکتهای ثالث داده شود، مدیران باید اطمینان حاصل کنند که توابع نظارت و گزارشگیری مناسب در حال اجرا می باشد و فعالیتهای غیر مجاز و مشکوک در زمانهای بخصوصی با بانک ارتباط ندارند، و یک عضو غیر وابسته (مثل بازرسهای داخلی و خارجی )گزارشات فعالیت را بازبینی و عملکرد مدیران امنیتی را جهت اعمال کنترلهای لازم و توازن سیستم مدیریت امنیتی ثبت کند] 18 ، 6    [.

چنانچه مشاهده میکنید روشهای ایجاد اعتمادی که بر پایه امنیت است بر پایه و اساس PKI و CA استوار است .

کارایی

وقتی یک برنامه کاربردی در یک محیط عملیاتی مثل اینترنت اجرا می شود ،عملکردش با آنچه که در طول ایجاد برنامه مشاهده می شود تفاوت می کند .

وقتی که تعداد زیادی از کاربران تلاش می کنند که به وب سایت دسترسی داشته باشند ، بدلیل افزایش تقاضا برای پهنای باند و منابع سرویس دهنده کارایی پایین می آید . هنگامیکه در سمت سرویس دهنده مصرف منابع تا سطوحی که در طول طراحی ملاحظه نشده افزایش یابد، در سمت مشتری زمان پاسخ ( کل زمانیکه طول می کشد از لحظه ای که مشتری بر روی موس کلیک می کند تا زمانیکه صفحه وب  کاملا برروی صفحه نمایش داده می شود)مساله قابل بحثی خواهد شد ] 8 .  [ بانکها باید مطمئن شوند که صفحات وبشان بر روی اینترنت به خوبی کار می کند .برای رسیدن به یک کارایی مورد قبول ،  فاکتورهایی مثل متوسط سرعت بارگذاری و بالا گذاری یک وب سایت ، شرایط ایجاد ترافیک ، دسترسی به پایگاه داده ، زمان پردازش ، بهینه سازی منابع سرویس دهنده و سرعت اتصال قابل قبول برای مشتریان باید با دقت زیاد مطالعه و آزمایش شوند .

مقیاس پذیری

زمانیکه تعداد زیاد کاربران همزمان بخواهند به وب سایت دسترسی پیدا کنند ، ممکن است یک یا تعداد بیشتر منابع مربوط به آن سرویس دهنده اشباع شده ، جلسه فعال آن سرویس دهنده با مشتری قطع و یا آن سرویس دهنده از سرویس خارج شود. در نتیجه وب سایت قادر نخواهد در خواست کاربران را  به خوبی پردازش کند، و متوسط زمان پاسخ افزایش می یابد] 8 [. زمانیکه چنین اتفاقی می افتد ، مشتریان تفکر خود را نسبت به سایت تغییر داده و آنرا به قصد سایتهای رقیب ترک می کنند .  بنابر این برای هر وب سایت این مسئله مهمی است که بتواند از تغییرات ایجاد شده در تعداد کاربران همزمان پشتیبانی کند.

یک وب سایت برای اینکه بتواند تمام درخواستهای مشتریان به صورت تراکنشهای امن انجام دهد و یا اینکه از هر گونه تغییری در تعداد کاربران همزمان پشتیبانی کند ، منابع محاسباتی به زیرساختهای تکنولوژی خود اضافه می کند  که این قابلیت را مقیاس پذیری می نامند ] 5  [.

روش دیگری نیز وجود دارد که در 11 سپتامبر سال 2001 در بیشترسایتهای خبری از آن استفاده می شد، در این روش ولی حدکثر ظرفیت و بازده سایت را  به ازای هر کاربر و یا به ازای هر دسترسی کاهش می دهند : ساختار ظاهری سایت بسیار راحت است ، عناصری مانند فریم ها ، عکسهای حجیم و محتوایی که خارج از سایت اجرا می شوند  را حذف می کنند . سایر تکنیکها ، مثل انتقال حجم کاری سرویس دهنده ( انتقال  پردازشها  از سرویس دهنده به  سمت مشتری) و زمانبندی کردن تراکنشها بر اساس مواقعیکه سرویس دهنده در دسترس است ، نیز می تواند به وب سایتها کمک کند تا تغییرات ایجاد شده در حجم کار سرویس دهنده را اداره کنند. بانکها می توانند از هر یک از این روشها یا تر کیبی از این روشها جهت سرویس دهی به تعداد متغییر مشتریان بالقوه سایتشان استفاده کنند.

سازگاری

 ظاهر و عملکرد مناسب و هماهنگ یک سایت بانکداری اینترنتی از ضروریات موفقیتش می باشد. وجود مشکلات و ناهماهنگی در سایت از عملکرد صحیح آن جلوگیری کرده و در نتیجه  رضایت مشتریان و اعتماد به وب سایت مورد نظر را کاهش می دهد  ]8 [.

 وقتیکه یک وب سایت بانکداری اینترنتی تنها برای تعداد خاصی از مشتریان با مشخصات خاص طراحی شده باشد ، مشکلات مربوط به هماهنگی و سازگاری بروز خواهد کرد.این مشکلات زمانی اتفاق می افتد که بینندگان از کاوشگرهایی(ویا نسخه های متفاوت کاوشگر) استفاده کنند که در طول طراحی تست نشده اند . یا زمانیکه برای اجرای وب سایتها باید نرم افزارهایی بروی کامپیوتر مشتری نصب شود  .بنابراین ، وب سایتها به صورت کلی باید توسط مجموعه مختلفی از نرم افزارها و سخت افزارها مورد بررسی قرار گیرند ، تا بتوانند یک تجربه قابل قبول برای مشتری ایجاد کنند ، مشکلاتشان را کاهش دهند و به ایجاد فضای اعتماد کمک کنند.

روشهای پرداخت:

روشهای متفاوتی برای پرداخت روی اینترنت وجود دارد. به صورت کلی می توان آنها را به دو دسته online (مثل debit cart)و offline( مثل کارت اعتباری و چک اعتباری) تقسیم بندی کرد. به دلیل درگیر بودن طرف های متعدد در پرداخت اینترنتی، امکان استراق سمع افراد غیر مجاز حین انجام دستور پرداخت و احتمال حمله هکرها به سیستمهای پرداخت همواره امکان فعالیتهای کلاهبرداری و دزدی و یا از کار انداختن سیستمهای پرداخت وجود دارد . دسترسی آنلاین به سرور حق دسترسی بانک ، استفاده از پروتکهای امنیتی رمزگذاری و احراز هویت ، امضاو پاکتهای دیجیتالی به هنگام ارسال دستورهای پرداخت ،  برای جلوگیری از هرگونه کلاهبرداری و پرداخت غیر مجاز ضرورت دارد . در سیستمهای offline به دلیل عدم دسترسی آنلاین به سرور حق دسترسی احتمالات تقلب و کلاهبرداری بسیار افزایش می یابد.

البته در سیستمهای پرداخت الکترونیکی مشکلاتی مانند احتمال کپی کردن اسناد مالی دیجیتالی ، احتمال ایجاد امضای دیجیتالی جعلی و یا الحاق اطلاعات هویتی شخص پرداخت کننده به تراکنش مالی نیز وجود دارد . علیرغم چنین زیانهایی که شامل حال مشتریان و بانکها می شود ، وجود روشهای پرداخت متعدد بر روی وب  ، انعطاف پذیری و امکان انتخاب های متعدد امنیتی و محرمانگی  برای  مشتریان وجود خواهد داشت. بنابراین جهت افزایش اعتماد مشتریان ، سیستمهای پرداخت باید شامل موارد زیر باشد ]20 [:

  • استفاده از نظامهای پرداختی که اطلاعات اصلی مانند نام درآنها مشخص نباشندتا پرداخت کنندگان گمنام بمانند (Anonymity).
  • استفاده از نظامهایی که در آن  محل انجام تراکنش پرداخت قابل شناسایی نباشد (Location Untraceability) .
  • استفاده از نظامهایی برای اینکه دو تراکنش مالی نتواند با یک مشتری برقرار شود (Payment transaction Untraceability)  .
  • استفاده از تکنیکهای رمزنگاری و محرمانگی  که به صورت انتخابی و دلخواه از افشای داده های مربوط به تراکنش پرداختی جلوگیری کند.
  • استفاده از سرویسهای انکار ناپذیری در دستورهای پرداخت جهت جلوگیری از انکار آنچه واقعا رخ داده است .
  • امکان تازه سازی پیامهای مربوط به دستور پرداخت جهت جلوگیری از حملات تکرار.

شرح کامل فعالیت بانکها به مشتریان

یک بانک تحت وب مسئول تمام اطلاعاتی که بر روی وب سایتش گرد آوری کرده می باشد ، همچنانکه مسئول انجام هر تراکنشی می باشد که بر روی آن انجام میشود. یک بیننده متوجه نخواهد شد که آیا آنچه که او از وب سایت بدست آورده حقیقت داشته یا نه ، آیا بانک واقعا قصد دارند  آن تعهداتی را که در سایت بیان کرده اند  انجام دهند ، یا آیا اطلاعاتی که مشتری در سایت درج کرده محرمانه باقی می ماند. برای مینیمم کردن ریسک  مشتریان نسبت به سایت و ایجاد اعتماد ، وب سایت، بانکها باید تمام شرایط و عملکردهای خود را در سایت درج کنند که شامل موارد زیر می باشد :

شرایط پرداخت و انجام تراکنشهای مالی: که در آن تمام شرایط انواع پرداخت های بانکی و انجام هرگونه تراکنشی از سوی مشتریان  باید به وضوح بیان شده باشد.

شرایط ضمانت: جبران زیان مشتریان، در صورت ایجاد هرگونه ضرر و زیان از سوی بانکها .

سیاستهای حریم خصوصی: بانکها باید به صورت کاملا واضح مقصد تمام اطلاعات شخصی که از مشتری بر روی وب سایت جمع آوری می کنند را مشخص کنند.

امکان مشورت : اگر بانکها بخواهند هر استفاده اضافه ای از اطلاعات مشتریان داشته باشند (مثلا آنرا در اختیار طرفهای ثالث قرار دهند) ، باید جهت کسب اجازه از مشتریان سوال شود و آنها را از عواقب کار آگاه کنند. 

اعتبارAuthority) CA :(Certification  اطلاعات کافی در مورد اعتبار CA ای که  بانک مورد نظر جهت گواهی ها  و امضای دیجیتالی و تمامی مسائل مربوط به محرمانگی و رمزنگاری  از آن استفاده می کنند ،در سایت موجود  باشد .

شهرت و اعتبار بانک

شهرت را می توان به عنوان اعتقاد مشتریان همراه  با  سطحی معینی از رضایت نسبت به یک شرکت ، سازمان و یا محصولات و خدمات آن تعریف کرد ، که یکی از مهمترین عوامل در ایجاد اعتماد در مشتریان نسبت به آن شرکت ، سازمان یا محصولات و خدمات می باشد.

 در صورتیکه بانک مورد نظر در دنیای واقعی صاحب خوش نامی ، اعتبار و سوابق مالی مناسب باشد ، انتقال این اعتبار  بر روی وب کار ساده ای می باشد ، مخصوصا زمانیکه مشتری برای اولین بار به سایت مورد نظر مراجعه میکند .  در مواقعیکه هیچ بانکی در عالم واقعی وجود ندارد ، آنها نیز می توانند برای وب سایت خود بر روی وب اعتبار ایجاد کنند و خدمات متنوع با همان کیفتی که در بانک سنتی وجود دارد را ارائه دهند . هرچند این کار وقت گیر و پیچیده ای است می توان آنرا از طریق طرفهای سوم مورد اعتماد و ایجاد زیر ساختهای کلید عمومی (CA/PKI) میسر کرد.

آگاه سازی مشتریان (Customer awareness )

موسسات مالی باید تلاش خود را در جهت آموزش مشتریان ادامه دهند ،زیرا آگاه سازی مشتریان کلید اساسی دفاع در برابر کلاهبرداری ها و سرقت هویت میباشد . مدیران باید برنامه ا ی را جهت آموزش مشتریان ایجاد و به صورت مداوم کارایی آنرا ارزیابی کنند. از روشهای ارزیابی می توان پیگیری تعداد مشتریانی که جهت دستیابی به کلمه و رمز عبور ، کلاهبرداری را گزارش می کنند ، تعداد کلیکها بر روی لینکهای مربوط به امنیت اطلاعات در وب سایت ، و مقدار پولی که در اثر سرقت هویت از دست می رود را نام برد ]18 [.

برای انجام هر نوع تراکنش بانکی، برروی اینترنت نیاز است که کاربران مقداری اطلاعات شخصی خود نظیر آدرس، شماره تلفن، ایمیل و اطلاعات مربوط به کارت اعتباری خود را بر روی اینترنت وارد کنند . بدلیل گمنامی ذاتی موجود در اکثر وب سایت ها و عدم وجود شناخت و تعامل کافی با مردم، بیشتر مردم نسبت به فاش شدن اطلاعات شخصی شان که  از طریق اینترنت در اختیار بانک ها قرار داده اند،  ابراز نگرانی می کنند. بیشتر آنها احساس می کنند که نمی توانند هیچ کنترلی برروی عملکرد بانک ها نسبت به این اطلاعات داشته باشند و بانک ها می توانند به راحتی و به صورت غیر مجاز آن اطلاعات را در اختیار شرکتهای ثالث قرار دهند. علاوه بر این همیشه این ریسک وجود دارد که هکرها اطلاعات را در زمان انتقال ویا از روی سرویس دهنده بانک ها سرقت کنند .  به دلیل حساسیت های موجود در اطلاعات مالی تمام این مسائل باعث کاهش اعتماد مشتری بانک ها در بانک داری اینترنتی  می شود.

بنابراین کمبود اعتماد نسبت به امنیت و محرمانگی تراکنش های بانکی از طریق اینترنت یکی از موانع مهم در استفاده گسترده مردم از بانکداری اینترنتی می باشد. از آنجا که موفقیت و سود بانکداری اینترنتی اساسا به جذب  مشتریان جدید وحفظ مشتریان فعلی وابسته است، اعتماد مشتریان از مسائل اساسی در بقاء بانکداری اینترنتی میباشد. در نتیجه ایجاد و نگهداری اعتماد (trust) در بانکداری اینترنتی امری بسیار مهم می باشد. . برای این امر مهم فرموله کردن مدلی به نام مدل اعتماد (model trust) به عنوان قسمتی از متدلوژی امنیت، و آنالیز و بررسی ریسکها و تهدیدات موجود درسیستم بانکداری اینترنتی و کاهش تهدیدات وریسکهای شناسایی شده جهت ایجاد اعتماد را دنبال می کنیم . این مقاله شامل تعریف trust و انواع آن، نگاهی بر بانکداری اینترنتی، ایجاد و نگهداری مدل اعتماد در بانکداری اینترنتی و نهایتا  نتیجه گیری می باشد.

نویسندگان:محمود درودچی-آزاده ایرانمهر

 

   [1]      Entrust Technologies Limited. The Concept of Trust in Network Security.

    URL: http://www.entrust.com/resources

   [2]      Entrust Technologies Limited. Building Trusted and Loyal Mobile Customer e-Business Relationships.

    URL: http://www.entrust.com/resources

   [3]      Forian N.Egger. Affective Design of E-Commerce User Interfaces: How to Maximize Perceived Trustworthiness. In Martin G Helander, Halimahtum M. Khalid, and Ming Po Tham, Editors, Proceedings of The International Conference on Affective Human Factors Design, pages 317-324, London, UK, June 2001. Asean Academic Press.

   [4]      Forian N.Egger. ‘Trust Me, I’m an Online Vendor’: Toward a model of Trust For E-Commerce System Design.. In G. Szwillus and T.Turner, editors, CHI2000 Extended Abstracts: Conference on Human Factors in Computing Systems, pages 101-102, The Hague, The Netherlands, April 2000.

   [5]      Linda Jean Camp. Trust & Risk in Internet Commerce.MIT Press, Cambridge, MA, USA, 2000

   [6]      Janes Michaei Stewart, Ed Tittel, Mike Chapple. CISSP.3rd edition, 2005, San Francisco.

   [7]      Qntony Ferrqro :Electronic Commerce: The Issue and challenge to creating Trust and positive Image in Consumer Sales on the WWW,june 2003

   [8]      ELFRIEDE Dustin. Jeff Rashka, and Douglas Mc Diarmid, Quallity Web Systems: Performance, Security, and Usability. Addison-Wesley, 2002

   [9]      Alastair G.Smith, Applying Evaluation Criteria to New Zealand Government Websites ,International Journal of Information Management ,pages 137-149, 2001

[10]      Ganesh Ramkrishnan ,Risk Management for Internet Banking

[11]      Lance J. Hoffman, Kim Lawson-Jenkins, Jermey Blum, Trust Beyond Security: An Expanded Trust Model, Communication of The ACM, July 2006/Vol.49, No.7

[12]      Manchala, D.W. Trust metric models, and protocols for electronic commerce transactions. In Proceeding of the 18th International Conference on Distributed Computing Systems (May 1998).

[13]      William Stallings. Data & Computer Communications. Prentice-Hall, Inc.Upper Saddle River , NJ , USA , 6th edition,2000

[14]      Ting Yu, Marianne Winslett, and Kent E. Seamons. Interoperable Strategies in Automated Trust Negotiation. In Proceedings of the 8th ACM Conference on Computer and Communications Security, pages 146-155, New York, NY, USA, 2001. ACM Press.

[15]      Sarah Spiekerann , Jens Grossklags , and Bettina Berendt . E-privacy in 2nd Generation E-Commerce: Privacy Preferences versus actual Behavior. In Proceeding of EC’01: Third ACM Conference on Electronic Commerce, pages 38-47, New York, NY, USA, October 2001. ACM Press.

[16]      Batya Friedman . Jr. Peter H. Kahn, and Daniel C .Howe. Trust Online. Communications of the ACM, 43(12):34-40, December 2000.

[17]      Alberto Leon-Garcia and Indra Widjiaja. Communication Networks: Fundamental Concepts and Key Architectures. The McGraw-Hill Companies, Inc.2000.

[18]      Authenitication in an Internet Banking Enviroment.

    URL: http://www.ffiec.gov

[19]      Donna Andert, Robin Wakefield, and Joel Weise. Trust Modeling for Security Architecture Development. Sun Microsystems Blueprints, December 2002.

[20]      Wen-Chen Hu, Chung-wei Lee, Weidong Kou. Advance in Security and Payment Methods. Idea Group Publishing, London, Melbourne, Singapore, 2005.

 

در این مقاله بانکداری اینترنتی به عنوان ابزاری برای انجام تراکنش مالی مشتریان از طریق وب سایت بر روی اینترنت بحث شده است . قبل ، بعد و در طول تراکنش های بانکداری اینترنتی مشتریان  به خاطر ماهیت تراکنشی که انجام می دهند با مخاطرات زیادی روبروهستند. این ریسکها به ریسکهای مربوط به تکنولوژی و  ریسکهای تجاری تقسیم بندی می شوند. ما همچنین موارد کلیدی که مشتریان و بانکها برای ایجاد اعتماد بر روی سایتهای بانکداری اینترنتی مد نظر دارند را بیان کردیم : تراکنشهای بین بانک و مشتری ، تکنولوژی ، روشهای پرداخت ،  شرح کامل فعالیت بانکها به مشتری ، خوش نامی و آگاه سازی مشتریان . ما در مورد هر کدام فاکتورهای متعددی  را مطرح کردیم و چگونگی تاثیر اعتماد مشتریان را بررسی کردیم.

این مساله مهمی است که مشتریان بتوانند به تمام عناصر ایجاد اعتماد بحث شده در این مقاله منصوب گردند ، وهمچنین بتوان همه فاکتورهایی که در ایجاد اعتماد بلند مدت و نخستین آنها تاثیر دارند را در نظر گرفت. بعلاوه ، باید الگوهای بخصوص برای استفاده چنین عناصری برای افرادی با پیش زمینه یکسان یا متفاوت و یا برای وب سایتهایی با خصوصیات معمول مشخص شناسایی کرد .

علاوه بر این ، می توان مجموعه ای از راهبردهای مفهومی و یا ابزارهایی برای ایجاد اعتماد در وب سایتهای بانکداری اینترنتی ایجاد نمود ، تا  طراحان وب با استفاده از این راهبردها سایتهای بانکداری اینترنتی مناسبی طراحی کنند و پرسشنامه هایی نیز جهت ارزیابی سطح اعتماد بازدیدکنندگان سایت بانکداری اینترنتی ایجاد کنند.

وجود زیر ساختهای کلید عمومی (PKI) و مراکز اعتماد ((CA در ایجاد گواهی های الکترونیکی ( به عنوان ابزاری جهت تولید امضای دیجیتالی و مکانیسمهای رمزنگاری متقارن و نامتقارن)  از مهمترین عناصر ایجاد اعتماد در بانکداری اینترنتی می باشد . علاوه برنقش CA در ایجاد زیرساختهای امنیتی اعتماد ، وجود CA در کشور جهت اتصال بانکهای داخلی به سیستم بانکداری الکترونیکی جهانی ضرورت دارد . بنابراین راه اندازی زیر ساختهای کلید عمومی (PKI) و مراکز اعتماد ((CA مهمترین قدم در ایجاد یک سیستم بانکداری اینترنتی جهانی و قابل اعتماد میباشد .

ثبت نظر

ارسال