مقاله پيشِ روي شما، نوشته(Charlie Demerjian)، با به انتقاد گرفتن سيستم حاكم بر صنعت كارتهاي اعتباري، ادعا كردهاست كه برندهاي كارت اعتباري بهطور خودخواسته و با لابيگري، قوانين را بهگونهاي وضع كردهاند كه در صورت هك شدن كارتها، نه تنها مسئوليتي متوجهشان نباشد بلكه از اينراه و با دريافت مبالغ گوناگون از جمله بهعنوان جبران خسارت، سالانه درآمد كلاني كسب كنند. باتوجه به ماهيت نسبتا پيچيده سازوكارهاي مالي و بهويژه روابط و قوانين حاكم بر عرصه كارتهاي اعتباري، در نوشتار زير ضمن ترجمه اصل مقاله، هرگاه كه لازم مينمود توضيحهاي كوتاهي نيز درون پرانتز و بهصورت پانويس بهآن افزوده شدهاست تا مطلب گوياتر باشد. علاوه بر اين، بخش جداگانهاي نيز با عنوان «نهادهاي موجود در صنعت كارتهاي اعتباري و ارتباط ميان آنها» در نظر گرفته شدهاست كه درباره نهادهاي مرتبط در اين صنعت توضيحهاي كوتاه اما مفيدي را ارائه دادهاست و بهخوانندگان گرامي پيشنهاد ميشود حتماً پيش از خواندن اصل مقاله آنرا مطالعه كنند.
چرا شمار بسيار زيادي از شركتهاي بزرگ «هك» ميشوند و فهرست اطلاعات كارتهاي اعتباري آنها بهسرقت ميرود؟ معلوم است، زيرا صنعت كارتهاي اعتباري از هر سرقتي كه روي ميدهد پول به جيب ميزند و براي پيشگيري از اين هكها هيچ كاري انجام نميدهد. ميدانم مسخره بهنظر ميرسد، اما اين دقيقاً همان چيزي است كه اتفاق ميافتد.سرقتهاي گسترده از كارتهاي اعتباري بهوسيله رخنهگري، هك، كارشكني خوديها، يا موارد ديگر براي برندهاي كارت اعتباري عوايد مالي خيلي خوبي دارد. بههمين علت، آنها با لابيگري قوانيني را وضع كردهاند كه آنها را از هرگونه مسئوليتي مصون ميدارد و در اين ميان، همه سختيها را صادركننده كارت، فروشنده يا مشتري بهجان ميخرد. اين سيستم نقص دارد.
نخست بياييد به ريشه اين ماجرا، يعني همان مجموعه استانداردهايي كه آنرا پيسيآي PCI، (سرنام Payment Card Industry) مينامند، نگاهي بياندازيم. پيسيآي توسط شبكهها يا همان برندهاي بزرگ كارت اعتباري توسعه داده شده است و بيشتر مردم فكر ميكنند اين قوانين وضع شدهاند تا اطمينان دهند يك فروشنده در عمل امنيت را جدي ميگيرد. اين شبيه همان ترفندهايي است كه حزبها بهكار ميبندند تا مردم باورشان كنند. متاسفانه پيسيآي درباره امنيت واقعاً كاري انجام نميدهد يا دستكم فقط بهصورت جزيي بهآن ميپردازد.
اگر در اينباره وبسايتها و ديگر مطالب مرتبط را مطالعه كنيد، ميبينيد نوشتهاند كه پيسيآي با برقراري صحيح امنيت سروكار دارد؛ اين استانداردها شامل گزارش كارها، كنشهاي پيشنهادي و چيزهايي است كه ميتوانيد انجام دهيد تا عمليات پردازش كارت اعتباري خود را «امن» كنيد. بهطور خلاصه چيزي در مايههاي بهترين رهنمودهاي صنعتي كه در شكل ابتدايياش اينگونه است. ريشه مشكل همين است.
آنچه كه رهنمودها يا دستورهاي مندرج در پيسيآي انجام ميدهد اين است كه از هر كسي كه با كارتهاي اعتباري سروكار دارد، ميخواهد تا يكسري راهكارهاي پيشنهادي را رعايت كند. اين رهنمودها بسته به وسعت كار، مشكلات پيشين و بسياري موارد ديگر ميتواند بهصورت گستردهتري طبقهبندي شود و هرچه كسبوكارتان بزرگتر باشد، بايد كارهاي بيشتري انجام دهيد (موارد بيشتري را رعايت كنيد). اين چيزها تا وقتي كه روي كاغذ هستند عالي بهنظر ميرسند، هر چه ميزان ريسك بالاتر باشد، شما هم بايد كارهاي بيشتري انجام دهيد، و آنها حتي يك چكليست هم بهشما ميدهند تا طبق آن سازوكارهاي خود را تنظيم و كنترل كنيد.
اما متأسفانه اين فهرست راهنما چنان گنگ و سست است كه شركتها ميتوانند تقريباً هر كاري انجام دهند و همچنان از آنها تأييد بگيرند. ما چندين نفر را ميشناسيم كه مدتها براساس استانداردهاي پيسيآي كارهاي خود را اداره ميكردهاند و همه آنها فرآيند يادشده را، دستكم تا جايي كه به امنيت واقعي مربوط ميشود، يك شوخي دانستهاند. تنها كاري كه پيسيآي انجام ميدهد اين است كه يك چكليست در اختيار شركتها ميگذارد. شركتها نيز ميتوانند آنرا مدنظر قرار دهند و سپس ادعا كنند قوانين، يعني همان «بهترين رهنمودهاي صنعتي»، را رعايت كردهاند. يعني مجموعه رهنمودهاي پيسيآي به امنيت واقعي تقريباً هيچ ربطي ندارد.
در اين صنعت قدرت در يكجا متمركز شدهاست و آن برندها يا همان شبكههاي كارت اعتباري و شركتهاي مربوطهشان است. آنها ميتوانند قوانين يكسويه و دلخواه خودشان را وضع كنند تا در برابر هيچچيز پاسخگو نباشند.
اگر موضوع تا اين اندازه مسخره است، پس چرا صنعت كارتهاي اعتباري هنوز آنرا دنبال ميكند؟ اگر پيسيآي هيچ كاري انجام نميدهد، پس چرا اصلاً بهآن اهميت ميدهند؟ پاسخ اين پرسش نخستين كليد تمام اين داستان است. پيسيآي براي كساني كه از آن پيروي كنند خيلي كارها انجام ميدهد، اما آنچه انجام ميدهد به امنيت هيچ ارتباطي ندارد. مزيت پيسيآي اين است كه يكسري مقررات ارائه ميكند، چيزيكه ارزش آن در جهان مدرن خيلي بيشتر از امنيت واقعي است.
اين مجموعه مقررات، به زبان ساده راهي را فراروي شركتها قرار ميدهند تا آنها با بهكار بردن اصطلاحهاي حقوقي بگويند: «هرآنچه ميتوانستيم، انجام داديم تا امنيت را تضمين كنيم»، درحاليكه شايد تمام كاري كه انجام دادهاند، رعايت حداقلهاي لازم براي گذر از تستها و گرفتن تاييديه باشد. گفتني است، كسي كه وضعيت پيسيآي اين شركتها را تست ميكند، يك نهاد حسابرس طرف سوم (third party) است كه هزينه و دستمزدش از جيب فروشندگان پرداخت ميشود (منظور از فروشندگان، همان فروشگاههاي كوچك و بزرگي است كه پول كالاها و سرويسهاي فروختهشده به مشتريان را توسط كارتهاي اعتباري دريافت ميكنند). يك لحظه دربارهاش فكر كنيد، حدس ميزنيد پولي كه بايد به اين حسابرسها دادهشود كجا است؟ ضمن اينكه اين تاييدها فقط رعايت يا عدم رعايت مقررات گفتهشده را بررسي ميكنند و نه امنيت واقعي را.
پس پيسيآي چيزي جز يك سپر قانوني (براي شبكههاي كارت اعتباري) نيست؛ گواهينامهاي در قاب طلايي كه (بهآنها) ميگويد اگر كلاهبرداري رخ داد، ميتوانيد خودتان را كنار بكشيد. بهطور خلاصه، مهر تأييدي است كه اين صنعت قبولش دارد و با اتكا بهآن خود را در برابر دادخواستهايي كه ممكن است پس از حملههاي هك مطرح شوند، مصون نگاه ميدارد. پيسيآي راه گريز اين شركتها از دادخواهيهاي پس از وقوع هك است. در مواردي هم كه نتوانند از زير بار مسئوليت شانه خالي كنند، كاري ميكنند كه اين دادخواستها ارزش مطرح شدن پيدا نكنند. پيسيآي براي امنيت كاري انجام نميدهد. مگر اينكه سود خالص شركتهاي بيعرضه و بيمبالات را امنيت واقعي قلمداد كنيد. البته كه اين رويه، برنامهريزيشده است و هدفش اين است كه چارهجوييهاي قانوني مشتريان را خنثي كند و اين كار را خيلي هم خوب انجام ميدهد.
اگر چنين است، چرا شركتهاي كارت اعتباري اقدامي نميكنند تا سازوكارها واقعاً امن شود؟ اينهمان مشكل بعدي است و بستگي دارد منظورتان از شركتهاي كارت اعتباري چه كسي باشد؟ عبارت «شركت كارت اعتباري» ممكن است به چند نهاد متفاوت اشاره داشتهباشد. ممكن است منظور يك نفر از شركت كارت اعتباري، برند كارت مانند ويزا و امريكن اكسپرس باشد، يا منظورش بانك صادركنندهاي باشد كه در واقع ميتوانيد كارت را از آن دريافت كنيد، يا منظور آن فروشندگاني باشد كه آن كارتها را دريافت ميكنند. در پايينترين سطح اين تل نيز مشتري قرار دارد كه كارتي را كه برايش صادر شدهاست ميگيرد. (پيكان اين مقاله، مورد نخست را نشانه رفتهاست؛ يعني برندهاي كارت اعتباري مانند ويزا، مستركارد و...)
در اين صنعت قدرت در يكجا متمركز شدهاست و آن برندها يا همان شبكههاي كارت اعتباري و شركتهاي مربوطهشان است. آنها ميتوانند قوانين يكسويه و دلخواه خودشان را وضع كنند تا در برابر هيچچيز پاسخگو نباشند. ميتوانند هرگاه كه خواستند دوشاخه را از پريز شركتهاي صادركننده كارت بكشند و اين بخش بزرگي از كسبوكار آنها است. فروشندهاي كه عضو اين زنجيره باشد و بخواهد با شبكههاي كارت اعتباري مبارزه كند، بايد خيلي خوششانس باشد كه بتواند پيروز شود، او هيچ شانسي ندارد. و مشتريان؟ خب، آنها مثل قربانيان جادهاي اين ماجرا هستند. آنها جز در چند ايالت معدود كه قوانين نصفه و نيمهاي بهتصويب رسيده است، هيچ حق و حقوقي ندارند. تازه لابيگران آن قوانين نصفه و نيمه را هم تا اندازه زيادي بياثر كردهاند و درنتيجه آن قوانين هم بيارزش هستند. در اين زنجيره فقط حلقه بالانشين است كه قدرت را در دست دارد.
شنبه ۰۲ اردیبهشت ۹۶ ۱۵:۳۶
۲۳۶ بازديد
تا كنون نظري ثبت نشده است