بسترهای نرم افزاري تجارت و بانکداری الکترونیک در ايران

دكتر بيژن بيدآباد[1]             محمود الهياري فرد[2]

چکیده

اجرای تجارت و بانکداری الکترونیک نیازمند وجود بسترهای مختلفي است که از جمله آنها مسائل مهم در اين بخش نرم‌افزار است كه در زمينه‌هاي مختلف مسائل تجارت و بانكداري الكترونيك مطرح مي‌باشد. وابسته نبودن برنامه‌های تحت وب به Platform و قابل اجرا بودن آن در اینترنت در تمام نقاط موجب رونق گرفتن مجازی سازی جهت کاهش هزینه‌ها شده است. رونق گرفتن برنامه‌های سرویس‌دهنده و سرویس گیرنده و همچنین گسترش بانکهای اطلاعاتی قدرتمند نصب شده در سرویس‌دهنده‌ها با توانائی ایجاد دومیلیون جدول و امن بودن اطلاعات با توجه به قابلیتهای تهیه پشتیبان خودکار از اطلاعات موجب آسودگی مشتریان و بانکداران شده است. شركتهاي بزرگ نرم‌افزاري بيش از پيش به مقوله امنيت در توليد سيستم‌هاي عامل و برنامه‌هاي توليد كننده      Web Applications انديشيدند، و در قرن 21 به جاي افزايش كمي نرم‌افزارها در جهت ارتقاء كيفي كوشيدند زيرا بخوبي مي‌دانستند كه تجارت و بانكداري الكترونيك به سرعت در حال رشد و توسعه است بنابراين مي‌بايست بسترهاي آنرا فراهم نمايند. بسترهاي نرم‌افزاري بطور خلاصه مي‌توان در ابعاد فني ، فرهنگي، آموزش و حقوقي مورد توجه قرار داد. بعد فني بسترهاي نرم‌افزاري را مي‌توان در فناوريهاي ايجاد شده در زمينه‌هاي سيستم‌هاي عامل، مرورگرهاي وب، زبانهاي برنامه‌نويسي توليد كننده‌هاي برنامه‌هاي تحت وب، بانكهاي اطلاعاتي مبتني بر سرويس‌دهنده مورد بررسي قرارداد. علاوه بر بعد فني در بسترهاي نرم‌افزاري ابعاد آموزشي، فرهنگي و حقوقي نيز در پذيرش تجارت و بانكداري از اهميت فراواني برخوردار است. عدم توجه به وضعيت آموزشي، فرهنگي و عدم بسترهاي حقوقي مناسب  در يك كشور موجب شكست تجارت و بانكداري الكترونيك خواهد شد.         


تجارت الكترونيك

تجارت الكترونيك فرآيندي است كه بوسيله آن كليه محصولات اعم از محسوس يا نا‌محسوس از طريق يك شبكه‌هاي ارتباطي رايانه‌اي، مخابراتي و يا هر دو خريد و فروش مي شود. تجارت الكترونيك مفهوم گسترده‌اي دارد و تنها محدود به مبادلات و تراكنشهاي انجام شده بر روي اينترنت نمي شود، بلكه كليه تراكنشهاي مالي كه از طريق شبكه‌هاي مخابراتي و ارتباطي رايانه‌اي انجام مي‌گيرد را شامل مي‌شود.

مبادله الكترونيكي داده‌ها(EDI)

از مبادله الكترونيكي داده‌ها مي‌توان براي مخابره الكترونيكي مدارك و اسناد مانند سفارشات خريد، فاكتور، اعلاميه حمل، تاييديه وصول كالا  و ساير مكاتبات استاندارد و بازرگاني بين طرفين تجاري استفاده نمود. موضوع مبادله الكترونيكي داده‌ها (EDI) از دهه 1960مطرح شد و به بيان چگونگي مبادله اطلاعات بين شركتها و ادارات پرداخت.

در ارتباطات تجاري سنتي بر پايه كاغذ، وارد نمودن مكرر يك رشته اطلاعات يكسان و واحد مي‌تواند موجب بروز مشكلاتي گردد، ولي با استفاده از مبادله الكترونيكي داده‌ها اين مشكلات بطور قابل ملاحظه‌اي كاهش مي يابد، اين مشكلات بطور كلي عبارتند از:

صرف زمان بيشتر

دقت كمتر

هزينه بالاي نيروي كار

در فن آوري مبادله الكترونيكي داده‌ها براي اسناد تجاري عادي مانند استعلام قيمت، سفارش خريد، اصلاحيه سفارش خريد، بارنامه، اعلاميه وصول، فاكتور و مدارك نظير آنها قالبهاي استاندارد پيام الكترونيكي تهيه شده است. اين مجموعههاي الكترونيكي، رايانه واقع در يك سازمان را قادر مي‌سازد كه بدون تهيه و توليد مدارك كاغذي با رايانه واقع در يك سازمان ديگر ارتباط برقرار نمايد. به اين ترتيب، تلاشي كه بوسيله انسان براي خواندن، طبقه بندي و حمل فيزيكي اين گونه اسناد صرف مي‌گردد، حذف مي‌شود.

اسنادي كه براي آنها قالب استاندارد الكترونيكي تهيه شده يا در دست تهيه مي‌باشد. 85درصد از مكاتبات رسمي تجاري بين شركتها، مؤسسات دولتي، نهادهاي آموزشي و سازمانهاي غيرانتفاعي دركشورهاي صنعتي را تشكيل مي‌دهد. [3]

سه جزء اصلي در ارسال ودريافت پيامهاي مبادله الكترونيكي داده‌ها عبارتندار:

استانداردهاي مبادله الكترونيكي داده‌ها

نرم‌افزار مبادله الكترونيكي داده‌ها

شبكه‌هاي طرف ثالث جهت برقراري ارتباط

مبادله اسناد تجاري به شكل پيش ساخته و مورد توافق طرفين مورد معامله ايجاد مي‌شود كه استاندارهايي براي اين منظور تدوين شده است. استانداردهاي مبادلات الكترونيكي اساسا استانداردهاي مبتني بر داده‌هاي ديجيتال مي‌باشد، زيرا تركيب و مفهوم داده‌هاي مورد مبادله را تعيين مينمايند. بعضي ازاين استانداردها عبارتنداز:

استاندارد مربوط به قسمت حمل ونقل درايالات متحده آمريكا

استاندارد ارتباطات يكنواخت (UCS)[4]

استاندارد مبادله داده‌هاي تجاري (TDI)[5]

مدل فرايند تجاري در تجارت الكترونيك

تجارت الكترونيك بطور عام و مبادله الكترونيكي داده‌ها بطور خاص، به عنوان ابزاري براي ايجاد تغيير در شيوه‌هاي عملياتي سازمانها طراحي و پيش‌بيني شده‌‌اند. در اين فرايند تنها حذف معاملات كاغذي مطرح نيست، بلكه همچنين ايجاد تحول در نحوه انجام معاملات سازمانها با طرفهاي تجاري و نيز پاسخگويي به معاملات در مبادله الكترونيكي داده‌ها نيز مورد نظر مي‌باشد و اين خود موجب بازسازي فرايندهاي درون سازماني مي‌شود.

در حقيقت بالاترين سطح بهره‌وري و كارايي زماني حاصل مي‌شود كه اين فن‌آوري پس از بررسي‌هاي كامل و تجزيه و تحليل فرايندهاي درون سازماني پياده شود و پس از برقراري آن نيز فرايندها بطور مداوم مورد بازنگري و بازسازي قرار گيرند.

بازسازي فرايندهاي عملياتي به عنوان ضابطه‌اي جهت ترويج صحيح تجارت الكترونيك در فرايندهاي جديد ظهور كرده است. براي ايجاد يك مدل فرايند تجارت الكترونيك راههاي مختلفي وجود دارد. طبق نظريه «راجر كلارك» يكي از اين مدل‌ها، مدلي است كه بر پايه پنج مرحله متداول در معاملات عادي قرار دارد. اين مراحل پنجگانه به شرح زير است:

1-  مرحله پيش از قرارداد: اين مرحله مربوط به جمع‌آوري اطلاعات در مورد كالاها يا خدماتي است كه خريد يا فروش آنها مورد نظر مي‌باشد.

2-  مرحله قرارداد: در اين مرحله يك رابطه رسمي بين خريدار و فروشنده بوجود مي‌آيد و شرايط حاكم بر قرارداد مشخص مي‌شود.

3-  مرحله سفارش و پشتيباني: در اين مرحله سفارش خريد داده و پردازش مي‌شود، كالاها يا خدمات حمل يا ارائه مي‌شوند و امور پس از تحويل مانند بازرسي و قبول موضوع قرارداد انجام مي‌شود.

4-    مرحله تسويه حساب: در اين مرحله تهيه فاكتور، صدور دستور پرداخت، پرداخت و اعلاميه حواله صورت مي‌پذيرد.

5-    مرحله پس از پردازش: اين مرحله شامل جمع‌آوري و گزارش اطلاعات مديريتي، انبارداري و تجزيه و تحليل آمار تجاري است.

تجارت الكترونيك را در پايين‌ترين سطح آن مي‌توان تنها براي خودكار كردن فرايندهاي موجود به كار برد ولي با اجراي بازسازي روشهاي كاري نحوه انجام كارها را مي‌توان منطقي ساخت. اين اقدام اثراتي نيز روي ساختار سازماني دارد و موجب كاهش هزينه‌ها، افزايش سرعت و بهبود كيفيت خدمات مي‌شود. از آنجا كه خودكار كردن فعاليتهاي سازمان الزاماً طرفهاي تجاري سازمان را نيز تحت تأثير قرار مي‌دهد، لذا عمليات مربوط به خودكار كردن فعاليتها و منطقي ساختن و تغيير و طراحي مجدد شيوه‌هاي انجام كار تنها محدود به ساختار و فرايندهاي درون سازماني نمي‌شود. بلكه ممكن است از چارچوب سازماني فراتر رفته و سراسر يك صنعت يا بخش را فراگيرد.

براي تجارت الكترونيكي چهار مرحله متفاوت و كلي به شرح زير وجود دارد:

  1) در مرحله ارتباط، ‌اينترنت رابطي است كه از طريق آن ارتباط تجاري صورت ميگيرد.

 2) در مرحله تبادل اطلاعات با مشتريان رابط گرافيكي (GUI)[6] تحت وب تسهيلات تبادل اطلاعات را فراهم مي‌نمايد.

3) مرحله در اختيار قراردادن نحوه اجراي معاملات و طبقه بندي آنها.  

4) مرحله‌ايجاد ارتباط دو سويه از طريق  پويا كردن صفحات وب در اينترنت بطوريكه امكان تبادل اطلاعات با مشتريان فراهم آيد.

هدف از بكارگيري شيوه‌هاي تجارت الكترونيك، ايجاد سازمانهاي الكترونيكي است. گرچه اين روش‌ها، مطالعات بدون استفاده از كاغذ را ميان بخش‌هاي تجاري رواج مي‌دهد، ليكن غالباً كارهاي كاغذي درون يك سازمان يعني نامه‌ها، درخواست‌هاي خريد و فرمها، ناديده گرفته مي‌شوند. با توجه به اين امر، مقصود از خودكار كردن گردش كار، حذف كاغذ در داخل سازمان مي‌باشد. بر اين اساس فن‌آوري گردش كار بايد به نحو مناسبي با تجارت الكترونيك تلفيق شود تا راه حل جامعي براي ايجاد يك محيط تجاري بدون كاغذ فراهم گردد. تمركز و تأكيد اين دو فن‌آوري بر روان ساختن فرايندهاي تجاري، يعني طراحي مجدد آنان از طريق بازسازي روشهاي كاري قراردارد. اين دو فن‌آوري مكمل يكديگرند. در حقيقت مطالعات نشان داده است كه اجراي سيستمهاي گردش كار ممكن است پذيرش سيستمهاي تجارت الكترونيك را آسان‌تر كند.

نرم‌افزار گردش كار، قواعد پردازش و مديريت مسيريابي پيامها و اطلاعات را معين مي‌كند و به اين ترتيب امكان مي‌دهد كه نقش شركت‌كنندگان مشخص شود. ممكن است نقش‌هايي به شركت‌كنندگان واگذار و قواعد مناسبي براي مسيريابي اطلاعات و پيامها بين افراد و پايگاههاي اطلاعاتي تعيين شود. معمولاً يك فرم مجازي به كاربران اجازه مي‌دهد كه فرمهاي سنتي و آشناي مبتني بر كاغذ را روي صفحه رايانه خود ببينند. كاربران بايد اين فرمها را در ايستگاههاي كاري خود با رابطهاي گرافيكي كه كاربردشان نيز آسان است پر كنند. اين كار به آنان كمك خواهد كرد تا وارد محيط الكترونيكي شوند. نرم‌افزارهاي گردش كار، معمولاً همراه با رابط‌هاي كاربردي، برنامه‌نويسي و ابزار توسعه كاربرد، و زبان نوشتاري عرضه مي‌شوند تا نقشها و قواعد مسيريابي مشخص شود. مديران مي‌توانند با استفاده از ويژگيهاي رديابي نرم‌افزار، از وضعيت كار باخبر شوند.

زمينه‌هايي كه در آنها سيستمهاي گردش كار با سيستم تجارت الكترونيك با موفقيت تلفيق شده‌اند عبارتند از: تداركات، تهيه صورتحساب، امور پشتيباني، فروش، سفارش و غيره. انتظار مي‌رود روند ادغام سيستمهاي داخلي گردش كار با سيستم‌هاي خارجي تجارت الكترونيك به علت كوچكتر شدن شركتها و افزايش كارايي آنان جنبه عمومي پيدا كند. در بعضي موارد، طرفهاي تجاري، استفاده از مبادله الكترونيكي داده‌ها را به سازمان تحميل مي‌كنند. چنين سازمان‌هايي بايد لزوماً فرايندهاي داخلي خود را بازسازي كنند و در صورت امكان فن‌آوري گردش كار را با تجارت الكترونيك كه در حيطه سازماني آنها اجرا مي‌شود، ادغام كنند. گردش كار را مي‌توان بطور كامل با تجارت الكترونيك ادغام كرد، چرا كه معامله بازرگاني خود نوع خاصي از گردش كار است.

فن‌آوري ديگري كه بايد بخشي از سيستم اطلاعاتي يكپارچه سازمان را در چارچوب گردش كار تشكيل دهد، خط نماد است. خط نماد به كنترل كار و جريان اطلاعات در سازمان طرف تجاري نيز كمك مي‌كند. مزاياي واقعي مبادله الكترونيكي داده‌ها در مديريت كارآمد زنجيره عرضه، از طريق استفاده از خط نماد در تجارت كالاها تحقق مي‌يابد. در زمينه استاندارد، «كميته كد تجاري يكنواخت» ايالات متحده و «موسسه اروپايي شماره‌گذاري كالا » سيستم‌هاي خود را هماهنگ مي‌كنند تا فن‌آوري خط نماد از سازگاري لازم برخوردار شود.

اينترنت 

اينترنت عموماً به مجموعه‌اي از شبكه‌ها گفته مي‌شود كه اولاً بصورت فيزيكي به هم متصل‌اند. ثانياً مي‌توانند با يكديگر ارتباط برقرار كنند و منابع اطلاعاتي را با هم به اشتراك بگذارند و ثالثاً در كنار يكديگر بصورت يك شبكه واحد عمل نمايند.

براي اينكه چنين شبكه‌اي بتواند كار كند، شبكه‌ها و رايانه هاي موجود در اينترنت بايد به يكي از دو طريق زير عمل كنند:

بكارگيري زبان يكسان براي برقراري ارتباط با يكديگر

بكارگيري مترجم و مفسر مناسب براي درك زبان يكديگر

اينترنت براي كاربران خود امكان دسترسي به انواع اطلاعات مورد نياز بصورت متن، صوت، تصوير، نرم‌افزارها و… را فراهم مي‌كند. كاربران با استفاده از اينترنت مي‌توانند با يكديگر ارتباط برقرار سازند. اين تسهيلات با استفاده از مجموعه‌اي از سرويس‌ها و ابزارهاي متنوع ارتباطي و مبادله كننده اطلاعات صورت مي‌گيرد.

پست الكترونيك، انتقال فايل، پايانه راه دور، تور جهان گستر[7]تنها گوشه‌اي از اين سرويس‌ها مي‌باشد.

گ‍ستره اينترنت

امروزه اينترنت تقريباً تمام كره زمين را پوشش مي‌‌دهد و انواع شبكه‌هاي كوچك و بزرگ محلي و منطقه‌اي را دربر مي‌گيرد. تمام خدمات و سرويس‌هاي موجود، اين شبكه‌ها را بصورت يكپارچه به كاربران خود ارائه مي‌كنند.

شكي نيست كه گسترش  اينترنت و افزايش تعداد كاربران موجب گسترش تجارت الكترونيكي گرديده است، اما اين بدان معني نيست كه افزايش تعداد كاربران به همان ميزان موجب افزايش تجارت الكترونيكي گردد.

بر اساس مطالعه‌اي كه بر روي 12 كشور انجام گرفته است بيش از 50 درصد فعاليتهاي اينترنتي در هر كدام از اين كشورها در شش ماه گذشته در ارتباط با پست الكترونيكي[8] بوده است.

اين فرض درست مي‌باشد كه در كشورهاي در حال توسعه كاربران اينترنتي كه در فعاليتهاي تجارت الكترونيكي دخالت دارند كمتر از سطح ميانگين اين شاخص قرار دارند. شايد اين امر به دليل بازدهي كم سرمايه و پايين بودن سطح استفاده از كارتهاي اعتباري و فقدان محصولات و خدمات و يا پشتيباني ضعيف باشد.

امنيت در اينترنت

ارتباطات اينترنتي مبتني بر TCP/IP به عنوان يك پروتكل زيربنايي است ولي TCP/IP و HTTP با در نظر گرفتن مسائل امنيتي طراحي نشده‌اند و بدون استفاده از نرم‌افزارهاي خاص تمام ترافيك اينترنت به صورت قابل رويت منتقل مي‌شود و هركسي كه ترافيك را مانيتور كند مي‌تواند آن را بخواند. مرتكب شدن چنين حمله‌اي با استفاده از نرم‌افزارهاي پي برنده به بسته[9]موجود، نسبتاً ساده است. اين بدين علت است كه اينترنت رسماً يك شبكه باز است[10]. براي مثال شماره كارتهاي اعتباري افراد هنگامي كه از آنها براي خريد از طريق اينترنت استفاده شود به سادگي مي‌تواند در دسترس ديگران قرار گيرد مگر آنكه تدبيري براي محافظت از آنها اتخاذ شود و اطلاعات آنها به صورت امن منتقل شود. براي يك ارسال امن بايد نكات زير رعايت شود:

v                  اطلاعات تنها و قابل دسترسي براي فرستنده و گيرنده باشد. ( محرمانه بودن[11])

v                  اطلاعات در طول زمان ارسال تغيير نكرده باشد. (صحت[12])

v                  گيرنده مطمئن شود كه اطلاعات از فرستنده مورد نظر رسيده است. (اصليت[13])

v                  فرستنده مطمئن شود كه گيرنده حقيقي و موثق است. (غير ساختگي بودن[14])

v                  فرستنده نتواند منكر ارسال اطلاعاتي كه مي‌فرستد بشود. (غيرقابل انكار بودن[15])

براي رسيدن به اهداف فوق لازم است از روشهاي رمزنگاري، گواهينامه‌هاي ديجيتال  و پروتكلهاي امنيتي استفاده كرد. در اين مقاله روشهاي رمزنگاري پايه و گواهينامه‌هاي ديجيتال بطور خلاصه توضيح داده مي‌شوند سپس پروتكلهاي امنيتي جديد كه براي انجام معاملات بانكي الكترونيكي امن ايجاد شده‌اند، بررسي مي‌شوند.

محافظت از داده‌ها با رمزنگ‍اري

رمزنگاري در ساده‌ترين شكل، بطور سيستماتيك ترتيب عناصر يك پيغام (كلمات، حروف) را تغيير مي‌دهد تا براي همه به جز گيرنده مورد نظر غيرقابل درك شود. روشهاي رمزنگاري و محصولات گوناگوني كه ويژه كاربردهاي خاصي مانند پست الكترونيك يا معاملات كارت اعتباري هستند، وجود دارند كه در اينجا از بين آنها روشهاي DES، RSA و PGP به اختصار توضيح داده مي‌شوند.

1- (Data Encryption standard) DES

DES از يك رشته الفبا عددي[16]به عنوان كليد استفاده مي‌كند تا يك پيغام را رمزنگاري و رمزگشايي كند. اين روش در سال 1977 ابداع شد و به عنوان يك استاندارد پذيرفته شد. در يك سيستم تك كليدي (متقارن) مانند DES، فرستنده و گيرنده هر دو از يك كليد براي رمزگذاري و رمزگشايي استفاده مي‌كنند. يكي از مشكلات اين روش چگونگي رساندن كليد محرمانه به دست طرف مقابل مي‌باشد زيرا ممكن است كليد در طول ارسال بدست ديگران بيفتد. بعلاوه سيستمهاي تك كليدي براي اهداف تصديق فرستنده و مسئله غيرقابل انكار بودن كه قبلاً توضيح داده شد، كمكي نمي‌كند. يعني با رمزنگاري تك كليدي به تنهايي راهي براي شناسايي كسي كه احتمالاً از كليد براي تغيير پيغام استفاده كرده است وجود ندارد. اين كمبودها باعث ابداع يك روش دو كليدي با نام RSA شد.

2-RSA و رمزنگ‍اري با دو كليد عمومي و خصوصي

adi shamir, Len adelman , ron rivest Drs يك روش نامتقارن به نام RSA  را ابداع كردند كه به جاي استفاده از يك كليد خصوصي براي رمزنگاري و رمزگشايي پيغامها، از يك كليد خصوصي[17]و يك كليد عمومي[18]متناظر آن استفاده مي‌كند. هر كدام از اين دو كليد براي رمزنگاري و رمزگشايي پيغامها به كار مي‌روند.

هر شخصي براي رمزنگاري پيغام از كليد عمومي گيرنده پيغام استفاده مي‌كند. اين كليد عمومي از طريق پست الكترونيك يا سرور كليدهاي عمومي قابل دسترسي است و چون تنها براي رمزنگاري و نه رمزگشايي پيغامهايي كه به گيرنده فوق ارسال مي‌شوند، استفاده مي‌شود، تبادل آن بدين طريق مانعي ندارد. پيغامي كه با كليد عمومي گيرنده رمزنگاري شود با كليد خصوصي وي كه تنها در دست خود اوست قابل رمزگشايي است. بنابراين از مجموعه اين كليدها مي‌توان استفاده كرد تا پيغامهاي امن را با هر كسي و بدون مشكل تبادل اين كليد رد و بدل كرد. اين روش حفاظت از داده‌ها را به خوبي انجام مي‌دهد ولي هنوز كاري براي تصديق هويت انجام نمي‌دهد. براي اطمينان از ارسال درست كليدهاي عمومي مي‌توان از گواهينامه‌هاي ديجيتال استفاده كرد كه در بخش گواهينامه هاي ديجيتال توضيح داده مي‌شوند. روش رمزنگاري جديدتري به نام PGP براي رسيدن به هدف صحت اطلاعات از امضاهاي ديجيتال نيز استفاده مي‌كند.

3-(Pritty Good Privacy) PGP

اين روش توسط Phil Zimmerman ابداع شد و تركيبي از روشهاي IDE, RSA[19] مي‌باشد. PGP همچنين مي‌تواند براي ايجاد امضاهاي ديجيتال از طريق رمزنگاري كاراكترهايي كه در انتهاي پيغام اضافه مي‌شوند، استفاده كند. اين كار اجازه مي‌دهد گيرنده پيغام را با امضاي آن مطابقت دهد و در صورتيكه حتي يك كاراكتر از پيغام عوض شده باشد اين مطابقت وجود نخواهد داشت و مشخص مي‌شود كه پيغام در مسير دستكاري شده است.

در حال حاضر PGP هم نام يك استاندارد رمزنگاري و رمزگشايي مي‌باشد و هم نام يك محصول نرم‌افزاري خاص براي پست الكترونيكي مي‌باشد[20]. اين نرم‌افزار براي سيستم عاملهاي متداول تهيه شده است و پس از نصب plugin آن برنامه پست الكترونيكي موجود روي رايانه اضافه مي‌شوند. سپس مي‌توان بعد از يك بار توليد كدهاي عمومي و خصوصي، ارسال ايمن پيغامها را به راحتي آغاز كرد.

آنچه كه PGP را منحصر به فرد مي‌كند اين است كه يك پيام مي‌تواند داراي چندين امضاي ديجيتال باشد يعني يك نامه مي‌تواند توسط بيش از يك شخص امضا شود و هر شخص ميزان اطمينان خود را بيان كند.

گ‍واهينامه‌هاي ديجيتال[21]

گواهينامه ديجيتال، ضميمه‌اي است كه به يك پيغام الكترونيكي اضافه مي‌شود و براي مسائل امنيتي استفاده مي‌گردد. براي مثال گواهينامه ديجيتال مي‌تواند تصديق كند كه فرستنده پيام همان كسي است كه ادعايش را مي‌كند يا مي‌تواند براي تأمين وسيله‌اي كه گيرنده بتواند با آن پاسخش را رمزگذاري[22]كند، به كار رود. روش كار گواهينامه ديجيتال بدين صورت است كه فردي كه مي‌خواهد يك پيام رمز شده ارسال كند، از يك مرجع گواهينامه[23](CA) تقاضاي يك گواهينامه ديجيتال مي‌كند. سپس CA يك گواهينامه ديجيتال رمز شده صادر مي‌كند كه شامل كليد عمومي متقاضي و برخي اطلاعات شناسايي ديگر است. CA كليد عمومي خودش را از طريق انتشارات كاغذي يا اينترنت در اختيار همگان قرار مي‌دهد.

گيرنده پيغام رمز شده از كليد عمومي استفاده مي‌كند تا گواهينامه ديجيتالي چسبيده شده به پيغام را رمزگشايي كند و تعيين كند كه توسط CA صادر شده است و سپس كليد عمومي فرستنده و اطلاعات شناسايي نگهداري شده در گواهينامه را بدست مي‌آورد. با اين اطلاعات گيرنده مي‌تواند يك پاسخ رمز شده بفرستد.

مسلماً نقش CA در اين فرايند اساسي است زيرا به عنوان واسطه‌اي در ارتباطات دو گروه عمل مي‌كند. در شبكه بزرگ و پيچيده‌اي مانند اينترنت، اين مدل سه گروهه لازم است زيرا دو گروه خاص ممكن است نتوانند به تنهايي در مورد يك روش مورد اعتماد به توافق برسند ولي با اين وجود بخواهند يك ارتباط مطمئن داشته باشند. بنابراين هر دو گروه به CA اعتماد مي‌كنند و CA هويت و صداقت هر دو گروه را با امضا كردن گواهينامه‌هاي آنها تصديق مي‌كند و هر گروه بطور ضمني به گروه ديگر اعتماد مي‌كند.

لايه سوكتهاي امن (SSL) و HTTP امن (S-HTTP)

بسياري از توليدكنندگان بزرگ محصولات اينترنت، توافق كرده‌اند كه از يك پروتكل رمزنگاري به نام پروتكل لايه سوكتهاي امن[24] (SSL) كه توسط Netsacpe براي ارسال اسناد محرمانه از طريق اينترنت ايجاد شده بود، استفاده كنند. SSL از يك كليد خصوصي براي رمزنگاري داده‌هايي كه از طريق اتصال SSL ارسال مي‌شوند، استفاده مي‌كند.

Internet explorer , Netscape Navigator هر دو از SSL پشتيباني مي‌كنند و بسياري از وب سايتها از اين پروتكل براي گرفتن اطلاعات محرمانه از كاربر مانند شماره كارتهاي اعتباري استفاده نمايند.

اين پروتكل كه بين لايه‌هاي پروتكل سطح Application مانند http  و پروتكل لايه Transport يعني TCP/IP قرار مي‌گيرد، براي جلوگيري از استراق سمع، تحريف كردن و جعل پيغام طراحي شده است. چون SSL در زير پروتكل لايه Application قرار مي‌گيرد، مي‌تواند براي ساير پروتكلهاي لايه Application مانند FTP نيز به كار رود.

پروتكل ديگري براي ارسال ايمن داده‌ها روي وب، HTTP امن [25](S-HTTP) مي‌باشد كه نسخه تغيير يافته‌اي از پروتكل HTTP استاندارد مي‌باشد.  S-HTTP توسط شركت Enterprise integration technologies طراحي شد كه در سال 1995 شركت Verifone آن را خريداري كرد. در حاليكه SSL يك اتصال مطمئن بين يك مشتري (Client) و يك سرور ايجاد مي‌كند كه در طول آن هر مقدار داده مي‌تواند بطور امن منتقل شود، S-HTTP طوري طراحي شده است كه پيغامهاي جداگانه را بصورت ايمني ارسال مي‌كند. بنابراين SSL و S-HTTP را مي‌توان به ديد تكنولوژيهاي مكمل و نه رقيب يكديگر نگاه كرد.

اين پروتكلها به مشتري و سرور اجازه مي‌دهند يكديگر و اطلاعات امني را كه بطور پياپي بين آنها جريان دارد، تصديق كنند. با استفاده از روشهاي رمزنگاري و امضاهاي ديجيتال اين پروتكلها:

v                  به مشتري و سرور اجازه مي‌دهند يكديگر را تصديق كنند.

v                  به دارندگان سايتهاي وب اجازه مي‌دهد دسترسي به سرورها، دايركتوريها، فايلها يا سرويسهاي خاصي را محدود سازند.

v        اجازه مي‌دهند اطلاعات حساس (براي مثال شماره كارتهاي اعتباري) بين مشتري و سرور مبادله شوند در حاليكه براي افراد ديگر غيرقابل دسترسي ميباشند.

v        تضمين مي‌كنند كه داده‌هاي تبادل شده بين مشتري و سرور قابل اعتماد هستند (يعني نمي‌توانند بدون اينكه معلوم شود، بطور عمدي يا غيرعمدي تغيير كنند يا خراب شوند)

يك عنصر كليدي در برقراري ارتباطات امن در اينترنت از طريق پروتكلهاي SSL يا S-HTTP، گواهينامه‌هاي ديجيتال مي‌باشد كه در واقع بدون گواهينامه‌هاي ديجيتال پروتكلهايي مانند SSL و S-HTTP نمي‌توانند هيچ امنيتي را تضمين كنند.

پروتكلهاي SSL و S-HTTP به منظور تبادل ايمن اطلاعات بين يك مشتري و يك سرور طراحي شده‌اند. مثلاً هنگاميكه يك مشتري مي‌خواهد از طريق اينترنت يك حساب بانكي جديد نزدبانك افتتاح كند، اطلاعاتي در مورد خود مانند نام، نام خانوادگي، آدرس، تلفن و غيره را به فرم الكترونيكي كه سرور بانك در اختيار وي قرار مي‌دهد، به بانك ارسال مي‌كند. واضح است كه اين اطلاعات  بايد محرمانه باقي بمانند و براي اين كار از پروتكلهاي بالا استفاده مي‌شود.

در حاليكه پروتكلهاي SSL و S-HTTP به منظور تبادل ايمن اطلاعات از هر نوعي بين يك مشتري و يك سرور طراحي شده‌اند پروتكلهاي STT و SET ويژه انجام عمليات بانكي و معاملات با كارت اعتباري طراحي شده‌اند.

مبادلات الكترونيكي امن (SET) و تكنولوژي مبادلات امن (STT):

پروتكل مبادلات الكترونيكي امن[26] (SET) يك استاندارد باز براي پردازش معاملات كارتهاي اعتباري روي اينترنت مي‌باشد كه با همكاري Netscape، Microsoft، Visa، Mastercard، GTE، SAIC،System Tersia و Version ايجاد شده است. هدف SET اين است كه معاملات با كارت اعتباري روي اينترنت با همان سادگي و ايمني كه در فروشگاهها انجام مي‌گيرند، باشد. براي حفظ محرمانه بودن معاملات طوري تقسيم مي‌شود كه فروشنده به اطلاعات كالاي مورد تقاضا، قيمت آن و اينكه آيا پرداخت آن تاييد مي‌شود، دسترسي دارد، ولي دسترسي به اطلاعات نحوه پرداخت مشتري راندارد، بطورمشابه صادركننده كارت اعتباري دسترسي به قيمت كالا را دارد ولي دسترسي به اطلاعاتي درباره نوع كالا را ندارد. SET از گواهينامه‌هاي ديجيتال براي تصديق كردن صاحب كارت، تصديق اينكه فروشنده با موسسه اعتباري ارتباط دارد و غيره استفاده مي‌كند.

 نرم افزارهای مورد نياز درتجارت و بانكداري الكترونيك

يكي از زيرساختهاي مهم و اساسي براي بانكداري الكترونيك ايجاد برنامه‌اي كاربردي است. توانمندي و قابليتهاي برنامه‌هاي كاربردي مستلزم تجزيه و تحليل درست نيازها و شناخت وضع موجود در فرآيند عملياتي و محدوديتها و بهبود روشها مي‌باشد. هرچند در طراحي موفق يك برنامه كاربردي، تجزيه و تحليل درست فرآيند عملياتي و بهبود روشها لازم مي‌باشد، اما موفقيت يك برنامه كاربردي مستلزم قابليت و توانايي بالاي نرم‌افزار در توليد برنامه كاربردي مورد استفاده قرار مي‌گيرد، مي‌باشد. تواناييها و قابليتهاي نوع سيستم عامل[27]و بانك اطلاعاتي[28]نيز بعنوان اركان اصلي در تشكيل برنامه‌هاي كاربردي محسوب مي‌شوند. در ارتباط با نرم‌افزارهاي مورد نياز بانكداري الكترونيك نيز مي‌توان به نرم‌افزارهاي بخش داخلي و بخش خارجي بانك نيز اشاره نمود. نرم‌افزارهاي بخش داخلي بانك به در سه گروه زبانهاي برنامه نويسي در ايجاد برنامه‌هاي كاربردي و نمونههايئ از برنامه‌هاي كاربردي، بانكهاي اطلاعاتي و سيستم‌هاي عامل طبقه‌بندي مي‌شوند. نرم‌افزارهاي مورد نياز بخش خارجي بانك (مشتريان) بطور مختصر در اين قسمت اشاره خواهيم نمود.

نرم‌افزارهاي مورد نياز بخش خارجي بانك: مشتريان مي‌توانند از طريق ايجاد ارنباط با Website بانك به تمامي بخشهاي مورد نياز دسترسي داشته باشند. تنها نرم‌افزار مورد نياز مشتريان، يك نرم‌افزار مرورگر وب[29]مانند Internet Explorer (محصول شركت ميكروسافت كه همرا سيستم عامل Windows ارائه مي‌شود)يا Netscape (محصول شركت ميكروسان) است كه ميبايست از رمزنگاري 128بيتي پشتيباني كند.

زبانهاي برنامه‌نويسي مورد استفاده در توليد برنامه‌هاي كاربردي

بيشتر زبانهاي برنامه‌نويسي كه اخيراً مورد توجه قرار گرفته‌اند از نوع شي‌گرا[30] مي‌باشند. هر شي داراي ماهيتي است و رفتار هر شي بوسيله عملياتي كه بر روي آن انجام مي‌شود تعريف شده و بالعكس. هر شي در واقع نمونه‌اي از كلاس معيني از شي‌ها است. زبان هاي برنامه‌نويسي كه شي‌گرا هستند عبارتند از: delphi, visual c, visual baseic, c++, java و اخيراً.NET, [31]C≠.

در طراحي برنامه‌هاي كاربردي بوسيله زبانهاي برنامه‌نويسي شي‌گرا مي‌توان قطعات مختلف كه تحت عنوان Activex است در كنار يكديگر قرار داد و برنامه كاربردي را ايجاد نمود. برنامه‌هاي كاربردي بانكداري الكترونيك با توجه به اينكه بايد در سطح اينترنت و يا اينترانت قابل اجرا باشند، مي‌بايست به زبانهاي HTML [32]و يا DHTML [33]و يا ASP [34]باشند. عدم وابستگي برنامه‌هاي كاربردي به سخت‌افزار و نوع سيستم عامل (plateform) يكي از خصوصيات برنامه‌هاي تحت اينترنت و اينترانت محسوب مي‌شود.

در طراحي صفحات web بصورت پويا از زبانهاي اسكريپت[35] مانند javascript و يا vbscript استفاده مي‌شود. اخيراً زبان برنامه‌نويسي جديدي تحت عنوان Visual.net توسط شركت مايكروسافت توليد شده است كه امكان طراحي تمامي برنامه‌هاي كاربردي تحت web با قابليتهاي فراوان از جمله طراحي برنامه‌هاي كاربردي جهت رديابي و امكان وصل شدن تلفن‌هاي همراه به اينترنت از اين طريق فراهم شده است. در طراحي برنامه‌هاي كاربردي بانكداري الكترونيك سعي شده است كه از اين زبانهاي برنامه‌نويسي استفاده شود. در اين قسمت نيز به نمونههائي از برنامه‌هاي كاربردي مورد استفاده در بانكداري الكترونيك اشاره خواهد شد:

· ASP.NET: مایکروسافت با ارائه ASP و زبانهای قدیمی‌تر خود بصورت .NET در قرن بیست و یکم قدم مهمی به سوی برنامه نویسی کاملا حرفه‌ای Online برداشته است. ASP.NET که از VB.NET بهره میبرد، اکنون به برنامه ای کاملا کارآزموده و شی گرا برای تولید نرم افزارهای وب تبدیل شده و بهبودهای زیادی را موجب گردیده است. زبانهائی که از گذشته به ارث رسیده اند، نمی توانند به اندازه .NET ابتکار عملی داشته باشند ، به همین علت مایکروسافت زبان جدیدی تحت عنوان C# برای جارجوب .NET تهیه نمود.(ASP.NET Web Developer's Guide,2002)

· Macromedia Cold Fusion Server: اين نرم‌افزار جهت انجام عمليات گزارش‌گيري، محاسبات و ديگر عمليات محاسباتي توسط Cold Fusion Script است. اين نرم‌افزار براساس كليد ويژه عملياتي مورد نياز در تجارت‌ الكترونيك و برنامه‌هاي كاربردي تحت Webرا مي‌تواند در اختيار قرار دهد و آنگاه با امنيت و سرعت بالا مي‌تواند عمل نمايد.

· درايور ODBCبراي IBM DB2: اين نرم‌افزار بر روي  Web Serverنصب مي‌شود تا ارتباط بين  Cold Fusionرا با بانك اطلاعاتي رايانه هاي بزرگ را فراهم نمايد. رايانه هاي شخصي مشتريان نيز مي بايست به  نرم‌افزار LivePerson.Com نيز مجهز باشد.

بانكهاي اطلاعاتي

يكي از اركان مهم در توليد موفق برنامه‌هاي كاربردي بانكداري الكترونيك قابليتهاي بانك اطلاعاتي مي‌باشد. نوع بانك اطلاعاتي مورد استفاده در برنامه‌هاي كاربردي در سطح اينترنت و يا اينترانت بصورت بانك اطلاعاتي مبتني بر «سرويس دهنده»[36]مي‌باشد، بطوريكه بانك اطلاعاتي در يك «سرويس دهنده» قرار مي‌گيرد و تمامي پرس و جوها[37] از سوي «سرويس گيرنده‌ها» به سمت «سرويس دهنده» هدايت مي‌شود. و از طريق مديريت بانك اطلاعاتي عمليات پردازش شده و آخرين اطلاعات به بانك اطلاعاتي افزوده مي‌شود.  اين نوع از بانكهاي اطلاعاتي از نوع رابطه‌اي (RDBMS)[38]مي‌باشند. يكي ديگر از ويژگيهاي اين نوع از بانكهاي اطلاعاتي مربوط است به يكپارچگي داده‌ها[39]به نحويكه مانع از ذخيره سازي داده‌هاي تعريف نشده[40] در آن مي‌شود. انواع بانكهاي اطلاعاتي مورد استفاده در طراحي سيستمهاي سرويس دهنده و سرويس گيرنده[41]عبارتند از: informix, Db2, Oracle, SQL server

بانك اطلاعاتي SQL SERVER:

شيوه كاربرد عملي SQL بانك اطلاعاتي SQL SERVER يكي از قديمي‌ترين بانكهاي اطلاعاتي مي‌باشد كه امروزه در سطح دنيا بكار مي‌رود. اين بانك محصول شركت ميكروسافت مي‌باشد. بسياري از پروژه‌هايي كه در محيط ويندوز با استفاده از نرم‌افزارهاي ميكروسافت پياده سازي مي‌شوند و اطلاعات زيادي بايد نگهداري و بازيابي شوند معمولاً از اين بانك بعنوان محيطي امن و مناسب استفاده مي‌كنند. اين بانك براي كار در شبكه‌ها طراحي شده است بطوري كه براي هر بانك اطلاعاتي موجود در آن و يا هر جدول، view و… موجود در آن بانك و يا هر فيلد و ركورد خاص در جداول آن كاربرد خاصي تعريف و يا به كاربرهاي موجود اجازه‌هايي خاصي براي اعمال تغييرات از جمله اضافه، تغيير، حذف مي‌دهد. براي اين منظور مي‌توان هم از كاربرهاي تعريف شده در سطح سيستمهاي عامل NT و يا ويندوز 2000 استفاده كرد و يا از كاربرهايي كه درون خود محيط SQL SERVER ايجاد مي‌گردند استفاده كرد.

آخرين نسخه SQL SERVER نسخه 2000 مي‌باشد كه نسبت به نسخه قبلي آن يعني SQL SERVER بهينه شده است. نسخه 6 و 5 تنها بر روي سيستمهاي عامل NT برنامه سرويس دهنده آن قابل نصب بود بطوريكه نسخه 7 آن بر روي سيستم عاملهاي ويندوز 98 به بعد و Windows 2000 قابل نصب و اجرا مي‌باشد.

بانك اطلاعاتي SQL SERVER صرفاً يك محيط براي طراحي اجزاي مختلف بانك اطلاعاتي و مديريت آن مي‌باشد و براي ايجاد يك برنامه كاربردي با آن بايد رابط كاربر را با يك زبان برنامهسازي تحت ويندوز مانند ويژوال بيسيك، ويژوال C++، ويژوال J++، Visual interdev، دلفي، .NET و… ايجاد كرد و براي ارتباط با بانك اطلاعاتي از طريق اين زبانها از امكاناتي مانند ODBC و ADO استفاده كرد كه در ادامه اصطلاحات مورد نياز شرح داده خواهند شد و سپس اجزاي يك بانك اطلاعاتي در SQL SERVER بيان مي‌شوند.

نوع ارتباط بين رابط گرافيكي (GUI) و بانك اطلاعاتي به دو صورت امكان پذير مي‌باشند كه عبارتند از: رابط ODBC و رابط ADO .

رابط ODBC [42]برقراري ارتباط بانكهاي اطلاعاتي راه دور (Back- end) را از طريق يك نرم‌افزار (front- end) فراهم مي‌كند. يك برنامه كاربردي توابع ODBC را فرا مي‌خواند و يك مدير نيز نرم‌افزار راهاندازي ODBC را بارگذاري مي‌كند. راه اندازي ODBC پردازش فراخواني را بر عهده مي‌گيرد و درخواست SQL را ارائه مي‌دهد و نتايج را از بانك اطلاعاتي برمي‌گرداند.

ODBC توسط محصولاتي چون power builder، فاكس پرو، ويژوال C++، ويژوال بيسيك، دلفي بورلند، Microsoft Access و محصولات ديگر مورد استفاده قرار مي‌گيرد.[43]

رابط ADO [44]

روش ADO براي ارتباط با انواع بانكهاي اطلاعاتي اعم از بانكهاي رابطه‌اي، شبكه‌اي، شي گرا و… بكار مي‌رود و نسبت به ODBC سريعتر و بهينه‌تر مي‌باشد و يادگيري آن آسانتر است و محدوديت ODBC را كه تنها مي‌توانست با بانكهاي رابطه‌اي ارتباط داشته باشد ندارد. ADO بعنوان استانداردي براي ارتباط با بانكهاي اطلاعاتي از طريق web و اينترنت نيز پذيرفته شده است.

سيستمهاي عامل[45] (OS)

سيستم عامل (OS) بعنوان رابط بين برنامه‌هاي كاربردي و سخت‌افزار مي‌باشد و بعنوان اساسي‌ترين بخش در اجراي عمليات پردازش اطلاعات در رايانه محسوب مي‌شود. انتخاب نوع سيستم عامل (OS) و بررسي امنيت آن جهت اجراي بانكداري الكترونيك بسيار ضروري است. زيرا هسته مركزي در طراحي يك شبكه «سرويس دهنده» و «سرويس گيرنده» و همچنين نحوه تخصيص و مديريت منابع در اختيار سيستم عامل (OS) مي‌باشد. از مهمترين سيستمهاي عامل كه مي‌توانند در محيط شبكه‌هاي اينترنت و اينترانت مورد استفاده قرار گيرند عبارتند از:

الف) سيستمهاي عامل Windows 2000 family

ب) سيستم عامل Linux

الف- سيستم عامل Windows 2000 family

انواع سيستمهاي عامل windows 2000 family كه محصول شركت ميكروسافت مي‌باشند عبارتند از:

1-windows 2000 professional

2-windows 2000 server

3-windows 2000 advanced server

4-windows 2000 datacenter server

به استثناي windows 2000 professional كه در رايانه‌هاي «سرويس گيرنده»مورد استفاده قرار مي‌گيرد ساير محصولات فوق بعنوان سيستمهاي عاملي هستند كه در «سرويس دهنده» نصب مي‌شوند.

تفاوت هركدام از اين سيستمهاي عامل در قابليتها و تواناييهاي آنها از نظر تعداد رايانه‌هاي تحت پوشش در شبكه و ميزان آدرس دهي فضاي ديسك سخت و همچنين تعداد پردازشگرهاي مركزي كه مي‌تواند بطور همزمان عمليات پردازش را انجام دهند، مي‌باشند. كه مي‌توان بر اساس اولويت در ميزان تواناييهاي آن به ترتيب advance server, datacenter server و server ياد كرد.

هر چند كه نحوه كار كردن با اين سيستمهاي عامل به دليل استفاده كردن از رابط گرافيكي (GUI)[46]براي كاربران راحت  (user friendly) وليكن از نظر امنيت و نفوذ پذيري اين نوع از سيستمهاي عامل با ترديد و شك مورد استفاده قرار مي‌گيرند.

ب- سيستم عامل Linux

اين سيستم عامل نگارش جديد سيستم عامل unix مي‌باشد. بدليل اينكه اين سيستم عامل مبتني بر دستورات[47] مي‌باشد و هيچگونه رابط گرافيكي (GUI) در آن در نظر گرفته نشده است، لذا كاربران رغبت لازم براي كاركردن با اين سيستم عامل را ندارند و از سويي ديگر بدليل امنيت بالايي كه اين سيستم عامل داراست از اينرو در اكثر شبكه‌هاي اينترنت و اينترانت بخصوص زمانيكه امنيت اطلاعات براي صاحبان سازمان مهم مي‌باشد از اين نوع سيستم عامل استفاده مي‌شود. مزیت این نوع سیستم عامل در این است که در انحصار هیچ شرکتی نبوده و بعبارت دیگر تولید کننده خاصی نداشته و این سیستم عامل تکامل یافته متخصصان مختلف می‌باشد و بدلیل دسترسی به source، برنامه قابل تغییر می‌باشد.

بسترهاي حقوقي

برقراري يك روش تجارت الكترونيكي كارآمد، مستلزم وجود قوانين متعدد حقوقي (وجزائي) است. مسائل حقوقي ناشي از رابطه تجاري بوسيله EDI با قراردادهاي قبلي تنظيم مي‌شود، يعني طرفهائي كه مايلند مبادلات اطلاعات تجاري را الكترونيكي كنند طي قراردادي حقوق و تكاليف خود را معين مي‌كنند بعبارت ديگر موافقت‌نامه تبادل اطلاعات بطور معمول مواردي چون موضوع و هدف قرارداد، تعاريف،حوزه فعاليت، استانداردهاي تبادل، ايمني، گواهيها وگواهينامه ها، نحوه دريافت و ارسال پيامها، ذخيره سازي، انجام حسابرسي، تعهدات، بيمه‌نامه‌ها، تبادلات بين بانكي، تبادلات در سطح بانكداري خرد، قوانين حل اختلاف و…….. در بر ميگيرد.

در طي سالهاي اخير سازمانهاي متعدد بين‌المللي و محلي سعي درتعريف،ايجاد و تبيين قوانين و قراردادهاي تجارت الكترونيكي نموده‌اند. در همين راستا درسال 1988 اطاق بازرگاني بين‌المللي (ICC)[48] قواعد همسان براي تبادل داده‌هاي الكترونيكي از راه دور را انتشار داد. يك نمونه قرارداد از جمله اين موارد را شامل مي‌شد:

مراقبت لازم براي ارسال و دريافت پيامها با تشخيص هويت طرفهاي تجاري،گواهي دريافت پيام، بررسي صحت پيام دريافت شده، حمايت از پيامهاي مبادله شده، نگهداري ركوردها و سوابق و ذخيره سازي داده‌ها. ازجمله مسائل حقوقي كه در تجارت الكترونيكي براي طرفين تجاري حائز اهميت است عبارتند از:تعيين رابطه حقوقي و قراردادها، حقوق بين‌المللي در موارد اختلاف بين‌المللي، حريم خصوصي و حمايت از داده‌ها، حمايت از مصرف‌كننده، مسئوليت مدني و قراردادي، نقش مراجع گواهي الكترونيكي در ابعاد ملي و فراملي، مسائل مربوط به آيين دادرسي مدني و تجاري و ادله اثبات‌، پرداختهاي الكترونيك شامل پول الكترونيكي و كارتهاي اعتباري، سوء‌استفاده از كارتهاي بانكي‌، نفوذ بر حسابهاي بانكي ديگران، تخريب اطلاعات، بازاريابي و تبليغات و رقابت مشروع شركتها، ارتكاب تخلفات عمدي ازجمله جعل و سرقت داده‌ها، مسائل مرتبط با ماليات، گمركات، حمل و نقل بيمه و……..

در هر معامله(عمل تجاري)چند عنصر ضروري وجود دارد، نخست قصد طرفين از معامله شامل تعهدات و منافعي كه هريك در مقابل ديگري دارد كه معمولا در تبادل اسناد و اطلاعات دو جانبه مواردي ازجمله موضوع، تعداد، زمان، قيمت و ساير اطلاعات مربوطه مشخص شده است. عنصر دوم، پذيرش و تصديق طرفين نسبت به محتوا و مندرجات سند است كه با امضا (مهر) خود در مراحل مختلف تاييد كرده‌اند. و به اين طريق مسئوليت تعهدات خود را پذيرفته‌اند. البته صرف وجود اين دو عامل براي اثبات انجام معامله كافي نيست زيرا هريك از طرفين مي‌توانند در اصالت اسناد ترديد كنند. مراجع ثبت اسناد رسمي براي تاييد مندرجات اسناد پديد آمده‌اند تا موجب استحكام مبادلات گردند.

مفهومي كه از امنيت تبادل داده‌هاي الكترونيكي و تجارت متبادر در ذهن تداعي مي‌شود بايد شامل فرآيندي شود كه همه عناصر اصلي تشكيل دهنده يك مبادله تجاري را بطور كامل و مطمئن محافظت كند. يعني دريافت كننده مطمئن باشد كه اطلاعات ارسالي توسط فرد مورد نظر ارسال شده است و پس از ارسال از طريق دسترسيهاي غيرمجاز دچار تغيير نشده باشد، و ارسال‌كننده نيز از صحت پيام ارسالي مطمئن باشد، در ضمن بتوان اطلاعات را بدون هيچ تغييري نگهداري كرد تا  در هر زمان كه لازم باشد بتوان اصل آن را به مراجع رسيدگي كننده تحويل نمود. بديهي است توسعه بانكداري الكترونيك و تجارت الكترونيك منوط به اعتماد و اطمينان مشتريان از عملكرد و قابليتهاي آن است، بطوريكه در صورت برقراري قوانين و حقوق مبتني بر فعاليتهاي الكترونيك لازمالاجرا بوده و متخلف از آن، موجب پيگرد قانوني قرارگيرد.

امضاي ديجيتال:

امضاي ديجيتال به اين صورت تعريف شده است. "داده اي كه به يك پيام پيوست شده است به نحوي كه گيرنده بتواند هويت منبع و صحت و جامعيت پيام را احرازكند". كميسيون EU  در پيشنهادهايي كه در مورد امضاي ديجيتال داده است، آن را اينگونه تعريف ميكند. "يك امضا در شكل ديجيتال يا شكل الصاقي يا منطقي كه با داده‌اي تركيب، متصل يا داخل شده باشد به نحوي كه آن داده توسط صاحب امضا براي موافقت با محتويات آن داده‌ها ارائه شده باشد و خواسته هاي زير را در برگيرد:

الف) يكتا و منحصر به صاحب امضاء باشد

ب) توانايي تاييد هويت صاحب امضا را داشته باشد

ج) ازاطلاعاتي ساخته شده باشد كه صاحب امضاء بتواند روي منحصر به فرد بودن آن كنترل داشته باشد.

د)با داده‌هايي پيوند خورده باشد كه بتوان با آنها و از طريق يك روش مشخص، هرگونه تغيير در داده‌ها را كشف كرد.

براي اطمينان بيشتر، يك امضاي ديجيتال نه تنها بايد نشان دهنده فرستنده منحصر به فرد آن باشد، بلكه بايد بتواند نشان دهد پيام مورد دستكاري قرارگرفته است يا خير. براي اينكه تمامي شرايط امضاي ديجيتال محقق شود، لازم است افراد مشخص كنند الزامات قانوني نوشتن يك امضاء چيست و چگونه قانوني مي‌شود. امضاي الكترونيك بايد بر مبناي يك گواهينامه رسمي كنترل شده باشد. يعني گواهي بايد توسط يك مرجع تاييدكننده تهيه شده و به ضميمه امضاء باشد، تا بتوان هويت شخص را تاييد كند، مشخص كند كه اين گواهي براي چه دوره زماني معتبر است، منحصر به فرد باشد و محدوديتهاي استفاده از گواهي و مسئوليت مراجع تاييد كننده را بيان كند. اين موضوع امكان اعتماد هر كس را به گواهي تعيين هويت تماس گيرنده فراهم مي كند. و در نهايت مشخص مي‌شود كه فردي كه در حال استفاده از اسم مستعار تاييد شده‌اي است، قابل شناسايي مي‌باشد. اين گواهي ممكن است اطلاعاتي را نيز ارائه كند. بعنوان مثال اجازه ديدن تعهدات مالي را بدهد و يا از طرف كارفرما اجازه شركت در قرارداد را داشته باشد.

در مجموع براي آنكه يك امضاي ديجيتال برسميت شناخته شود لازمست توسط يك مرجع تاييدكننده با مشخصات زير مورد گواهي قرارگيرد:

الف ) قابليت اطمينان آن اثبات شود

ب ) سريع فعاليت كند و امكان لغو آن محفوظ باشد

ج) هويت را گواهي كند و تعداد اشخاص مورد تائيد مشخص باشد

د)كارمندان صاحب صلاحيت، كارآزموده و منظم داشته باشد

ه ) از سيستمهاي امنيت و ضد تقلب و جعل استفاده كند

و) صاحب اعتبار باشد

ز)سوابق تمامي تاييد صلاحيت شدگان را براي دوره هاي زماني مشخص نگهداري كند

رديابي الكترونيكي افراد:

رديابي تروريسم و تبهكاري و كشف آنها قبل از وقوع جرم يكي از اقدامات مهم جهت اطمينان دادن به مشتريان در تبادلات الكترونيكي بخصوص در بانكداري الكترونيك محسوب مي‌شود. به گزارش سي. ان. ان "دانشمندان سرگرم دستگاههاي الكترونيكي براي رديابي انسانهاي جنايتكارهستند اين دستگاه‌ها قادر خواهند بود از طريق پايگاه اطلاعاتي و تكنولوژي ارتباطات جديد كه بي نظير است اعمال افراد را در سراسر جهان نظارت كنند و به مسئولان ذيربط گزارش لازم را ارسال نمايند اين دستگاه‌‌ها قادرند به ارتباطات مخابراتي و الكترونيكي نفوذ و از آنها اطلاع پيدا كنند.

كنوانسيون بين‌المللي مبارزه با جرائم رايانه‌اي و اينترنتي كه در اواخرسال 2001 ميلادي در شهر بوداپست به امضاي اعضاي اتحاديه اروپا و چهار كشور صنعتي ديگر جهان رسيد  شامل  اهداف زير مي‌باشد:

1) هماهنگ كردن اركان تشكيل دهنده جرم درحقوق جزايي ماهوي داخلي كشورها و وسايل مربوطه در بخش جرايم سايبر اسپيس[49]

2) فراهم آوردن اختيارات لازم  در آيين دادرسي كيفري داخلي براي جرايمي كه با استفاده از سيستم‌هاي رايانه‌اي ارتكاب مي يابند يا مدرك مرتبط با جرم به شكل الكترونيكي است.

3) تدوين سيستم سريع و موثر همكاري بين‌المللي.

اين كنوانسيون شامل چهار فصل مي‌باشد:

1) استفاده از اصلاحات

2) اقدامات داخلي كشورهاي عضو كه در اين فصل مسائل و موضوعات قانون ماهوي، هم جرم انگاري و هم ساير مسائل مربوطه درحوزه جرائم رايانه‌اي يا مربوط به رايانه را شامل مي‌شود. اين جرائم شامل دسترسي غير قانوني، اختلال در داده‌ها، جعل مرتبط با رايانه، جرائم مربوط به حقوق پديدآورندگان، جرائم ارتكاب يافته با سيستم رايانه‌اي يا ادله رايانه‌اي كه به شكل الكترونيك است و…. مي‌باشد.

3) همكاري متقابل بين‌المللي در خصوص جرائم سنتي و رايانه‌اي علاوه بر مقررات مربوط به استرداد مي‌باشد. فصل سوم حاوي مبحثي پيرامون نوع خاصي از دستيابي فرامرزي به داده‌هاي رايانه‌اي ذخيره شده است كه نياز به همكاري متقابل ندارد و راه‌اندازي يك شبكه جهت اطمينان از همكاري فوري مابين كشورهاي عضو را فراهم ميآورد.

4) موضوعات پاياني كه با يك سري استثنائات خاص، موضوعات استاندارد در معاهدات شوراي اروپا را تكرار ميكند.

در بخشي از اين مواد آمده استموارد پيجويي جرايم ارتكاب يافته در ارتباط با سيستم رايانه‌اي، داده ترافيك سرنخي براي جمع آوري مدارك بيشتر و رديابي مبداُء ارتباط و بعنوان بخشي از مدارك جرم محسوب مي‌شود

نرم‌افزار در بانكداري الكترونيك ايران

سيستم‌هاي عامل مورد استفاده

سيستم‌هاي عامل مورد استفاده در شبكه‌هاي محلي شعب، سيستم عامل DOS[50] براي ايستگاههاي كاري[51] وNovel براي سرويس‌دهنده ميباشد. سيستم عامل در سيستم‌هاي متمركز و شبكه‌هاي WAN نيز از نوع سيستم عامل DB2 است. در حال حاضر هيچكدام از بانكها از سيستم‌هاي عامل لينوكس و يا گروه ويندوزهاي 2000 استفاده نمي‌شود (البته بانك سامان در راه اندازي بانكداري اينترنتي خود از سيستم عامل لينوكس بهره برده است).

بانكهاي اطلاعاتي مورد استفاده

بانكهاي اطلاعاتي مورد استفاده در برنامه‌هاي كاربردي شعب بانكها در اكثر مواقع از نوع                                  DBF[52] (در شبكه‌هاي داخلي) مي‌باشد، و در سيستمهاي متمركز از بانكهاي اطلاعاتي مورد استفاده در رايانه‌اي بزرگ مانند  DB2استفاده مي‌شود، هرچند كه اخيرا  از بانكهاي اطلاعاتي رابطه أي ([53]RDBMS)جهت افزايش قابليتهاي مديريت بانك اطلاعاتي مانند اوراكل نيز كه مبتني برسرويس‌دهنده مي‌باشد استفاده شده است. هرچند كه در تهيه بعضي از برنامه‌هاي كاربردي مورد استفاده دربخش ستادي جهت تهيه گزارشهاي مديريتي از بانكهاي اطلاعاتي با قابليتهاي بالا مانند SQLSERVER  استفاده مي‌شود ولي از اين نوع بانكهاي اطلاعاتي در سيستم‌هاي متمركز و يا در طراحي سيستم‌هاي مديريت اطلاعات (MIS[54]) استفاده نشده است.

برنامه‌هاي كاربردي

برنامه‌هاي كاربردي مورداستفاده در بانكهاي ايراني رامي‌توان به دو دسته تقسيم نمودكه عبارتنداز:

1) برنامه‌هاي كاربردي جهت نصب در شبكه‌هاي داخلي :

اين نوع برنامه‌هاي كاربردي اكثرا توسط كارشناسان  تجزيه وتحليل سيستم و برنامه نويسان داخلي بانك و يا شركتهاي داخلي طراحي شده است. بيشتر زبانهاي برنامه نويسي مورد استفاده جهت ايجاد اين نوع برنامه‌ها عبارتند از فاكس پرو،   C، پاسكال [55]، ويژال بيسيك،ASP [56]. اكثر اين گروها از برنامه‌هاي كاربردي با فاكس‌پرو نوشته و طراحي شده است. وابسته بودن به سكوي رايانه‌اي (وابسته به سخت‌افزار، سيستم عامل، فايلهاي اجراي و ساير فايلهاي برنامه) از ويژگي اين برنامه‌هاي كاربردي مي‌باشد. در ايجاد اين نوع از برنامههاي كاربردي بندرت از برنامه‌هاي شي گرا[57]و برنامه هاي تحت Web استفاده شده است.

2)برنامه‌هاي كاربردي مورد استفاده در شبكه‌هاي (WAN)(سيستم‌هاي متمركز)

اين نوع از برنامه‌هاي كاربردي بصورت يك بسته نرم‌افزاري[58] توسط يك شركت واسطه داخلي (اكثر مواقع توسط شركت خدمات انفورماتيك) براساس سفارش بانكها خريداري شده است و بدليل اينكه كل اسناد و منابع برنامه همراه با برنامه خريداري شده است، لذاپس از بومي نمودن برنامه و اعمال اصلاحات، تغييرات، و افزودن به امكانات برنامه توسط كارشناسان داخلي، در اختيار بانكها قرارميگيرد. بدليل تحريم تجاري آمريكا و انحصاري بودن شركتهاي آمريكائي در توليدات نرم‌افزاري و سخت‌افزاري و از طرفي عدم پشتيباني محصولات نرم‌افزاري توليدي شركتهاي آمريكائي (مانندميكروسافت) مورد استفاده در ايران موجب نگرانيهاي در استفاده از محصولات نوين (مانند .NET) از سوي بانكها شده است. لذا بانكها با قدرت انتخاب كمتري در استفاده ازفن آوريهاي روز روبرو ميباشند، از سوي ديگر نيز محدوديت در برنامه‌هاي كاربردي خريداري شده بانكهاي خارجي موجب چالشهاي فراوان فني در جهت توسعه اتوماسيون بانكها شده است.

بسترهاي حقوقي در بانكداري الكترونيك ايران

در ايران نيز مانند بيشتر كشورهاي ديگ‍ر بسترهاي فني، حقوقي، فرهنگي مورد نياز اجراي بانكداري الكترونيك و همچنين تجارت الكترونيك فراهم نشده است. ايجاد بسترهاي حقوقي مورد نياز فعاليت بانكداري و ايجاد اطمينان و اعتماد به مشتريان همگ‍ام با ايجاد بسترهاي فني، مخابراتي و فرهنگي از جمله اركان موفقيت اجراي بانكداري الكترونيك محسوب مي‌شود. بطور كلي براي تمامي فعاليتهاي بانكي در ايران قانون مشخص و معيني وجود ندارد، بخصوص در ارتباط با ارائه خدمات نوين بانكداري از جمله ارائه خدمات كارت و همچنين ارائه خدمات بانكداري اينترنتي بانكها با خلاء قانوني روبرو هستند. هر چند كه در راستاي دولت الكترونيكي و تجارت الكترونيكي اخيرا در مجلس شوراي اسلامي لايحههايي به تصويب رسيده است، ولي منابع و ماخذ حقوقي فعاليتهاي الكترونيك در سطح جزئي بخصوص در زمينه بانكداري الكترونيك كافي نمي‌باشد. اجراي احكام تخلفات الكترونيكي منوط است به وجود قانون، ايجاد دادگاههاي تخصصي و همچنين قضائي متخصص. در حال حاضر از فقدان هر سه عامل مهم  بعنوان محدوديتهاي حقوقي بانكداري الكترونيكي مي‌توان ياد كرد. قانون حمايت از حقوق پديدآورندگان برنامه‌هاي كاربردي كه در جلسه علني 14/10/1379 مجلس شوراي اسلامي تصويب جهت اجرا به مراجع قانوني ابلاغ شده بود را مي‌توان اولين اقدام حقوقي در فعاليتهاي الكترونيكي در ايران ياد كرد.

 


منابع و ماخذ

·     "از مبادله الكترونيكي اطلاعات (EDI) تا تجارت الكترونيك"، موسسه مطالعات و پژوهشهاي بازرگاني، 1376

·     "مجموعه مقالات اولين همايش بانكداري الكترونيكي "، بانك توسعه ضادرات، 1379

·   الهیاری فرد، محمود، "بررسی مقایسه ای خدمات بانکداری ستنی و بانکداری الکترونیک در ایران"، شهریور 82، پایاننامه کارشناسی ارشد، دانشگاه آزاد اسلامی واحد تهران مرکز، دانشکده حسابداری و اقتصاد

·     الهیاری فرد، محمود"بانکداری الکترونیک در روسیه"،نشریه بانک ملی ایران ، شماره 92، آبانماه 1382

·     الهیاری فرد، محمود"بانکداری الکترونیک در هندوستان"، نشریه بانک ملی ایران، شماره 93، آذرماه 1382

·     الهیاری فرد، محمود"بانکداری الکترونیک در استرالیا"،نشریه بانک ملی ایران، شماره 94، ديماه 1382

·     "ويژه نامه بانكداري"،شماره 138

·     "سرويسهاي شركت مخابرات ايران"آدرسهاي وب سايت،

·     http://www.Irantelecom.org

·     http://www.DCI.com

·     آمارهاي بانك ملي در پايان 1379،1380،1381  

·     http://www.IranIT.com

·     Essinger, James,”The Virtual Banking Revolution”, Thomson business press,1999

·     “E_commerce and Development Report 2002”, http://www.unctad.org/ecommerce/docs/edr01_en/edr01_en.pdf

·      “An Exploratory Investigation Of Global Prespective On E_Commerce ,Internet and Digital Economy”,  http://www.ecommerce.or.the/nceb2002/paper/4200/investigation.pdf

·      “Dynamics Of  Banking  Technology Adoption An Application To Internet Banking , Web Sites at www.warwick.ac.uk/~ecrgt/jobmarket.pdf

·      “E_Commerce in Europe Results of  the pilot surveys carried out in 2001” Web Sits at www.researchandmarkets.com/reports/479/479.pdf

·     “The Emergence of ebanking in russia” Web Sites www.sseru.org/DocFiles/wp01-101R1.doc

·     “banking Adaption and Dot.com viability a comparison of Australian and Indian experiences in the banking sector”. www.deakin.edu.au/infosys/docs/workingpapers/archive/ _Working_Papers_2001/2001_14_Unnithan.pdf   dot .com

·     ”Networking essentials” ,Microsoft press,1997

·     ”S.W.I.F.T Annual Report ” ,2001,2002

·     Garret,Chris,"ASP.NET Web Developer's Guide",Syngress,2002

 



[1] عضو هیئت علمی پژوهشی و مدیر گروه ارزی پژوهشکده پولی و بانکی bijan_bidabad@msn.com

[2] کارشناس 2 اقتصادی اداره تحقیقات و برنامه‌ریزی بانک ملی ایران m_1347_8maf@yahoo.com

[3] به كتاب "از مبادله الكترونيكي داده‌ها تا تجارت الكترونيك" ترجمه  انتشارات مؤسسه مطالعات و پژوهشهاي بازرگاني (1378 ) مراجعه شود.

Uniform Communication Standard[4]

Trade Data Interchange[5]

[6] Graphical user interface

[7] Word wide web (www)

[8] E-Mail

[9] packet sniffing

[10] Open network

[11] Privacy

[12] Integrity

[13] Authenticity

[14] Non- fabrication

[15] Non- reputation

[16] Alpha numeric

[17] private key

[18] public key

2International Data Encryption      

4. اين نرم‌افزار براي استفاده‌هاي غير تجاري بطور رايگان در دسترس همگان قرار دارد و مي‌‌توان آخرين نسخه آن را از آدرس http:\\www.pgpi.org\ تهيه كرد.

[21] digital certificates

[22] encode

[23] certificate Authority

[24] Secure socket layer

[25] Secure-http

[26] Secure Electronic Transactions

[27] Operating system

[28] Database

3Web browser    

[30] Object oriented programming

[31] مايكروسافت  با ارائه چارچوب كاري .NET زبان جديدي را نيز براي قرن بيست و يكم تحت عنوان C و .NET  عرضه كرد و بر تمامي انتقادهاي وارد شده غلبه كرد و روشي كاملا جديد براي بررسي نرم‌افزارها و وب فراهم ساخته است. شايد بتوان گفت كه ميكروسافت با ايجاد اين زبان در مقابل زبان JAVA محصول ميكرو سان سيستم اعلان جنگ نمود.

[32] Hyper text markup language

[33] Dynamic hypertext markup language

[34] Active server page

[35] script

[36] data base server

[37] query

[38] Relational database management system

[39] data integrity

[40] invalid data

[41] client integrity

[42] Open data base connectivity

[43] بانك اطلاعاتي راه دور بانك اطلاعاتي است كه بر روي سرويس دهنده‌اي بغير از سرويس دهنده‌هايي كه به آن متصل هستند قرار گرفته است.

[44] Activex data object

[45] operating system

[46] Graphical user interface

[47] command base

International Chamber of Commerce[48]

[49] منظور از بخش جرايم  Cyber space  جرايم در بخش رايانه‌اي و اينترنتي است بعبارت ديگر تمامي جرائم ديجيتالي را شامل مي شود.

Disk Operating System[50]

Workstations[51]

Database of Foxpro[52]

Relational Database Management System[53]

Management Information System[54]

Pascal[55]

Active Server Page[56]

Object Oriented Programming[57]

Package[58]