مدیریت ریسک اصول بانکداری الکترونیک

“كمیته بازل“ اصولی مربوط به مدیریت ریسك در بانكداری الكترونیك را شناسایی كرده كه می‏تواند برای نهادهای بانكی در گسترش بینش آنها نسبت به سیاستها و فرآیندهای بانكداری الكترونیك سودمند باشد . از آنجا كه وضعیت هر بانك با بانك دیگر متفاوت است ، از همین رو هر بانك شیوه خاص مناسب با مقیاس عملیات بانكداری الكترونیك خودش را لازم دارد . این گزارش دربرگیرنده ضمائمی است كه در آن برخی مثالها در مورد رویه های مربوط به كاهش ریسك در قلمرو بانكداری الكترونیك به عنوان پشتیبانی كننده اصول مدیریت ریسك می‏آید . امید است این رویه ها منطبق با نیازهای خاص ملی و وضعیت ریسك هر مورد، در جائیكه لازم باشد، به مورد اجرا گذاشته شود و راه حل های فنی توسط موسسات و نهادهای تعیین كننده استاندارد، همگام با تكامل تكنولوژی ارائه شون
مدیریت خطر (ریسك) ، اصول بانكداری الكترونیك
&#۶۱۵۳۵; خلاصه اجرایی :
ویرایش ژوئیه ۲۰۰۳
ادامه نوآوری تكنولوژیك و رقابت میان سازمانهای بانكداری موجود و سازمانهایی كه قصد ورود به این حرفه را دارند ، این امكان را به وجود آورده تا طیف گسترده‏ای از انواع تولیدات و خدمات بانكی، قابل دسترس و ارائه به مشتریان كوچك و بزرگ باشد . امكانی كه از طریق كانال توزیع الكترونیك فراهم می شود و روی هم رفته به آن بانكداری الكترونیك می‏گویند . در این میان ، البته ، توسعه سریع قابلیت‏های بانكداری الكترونیك هم مخاطرات و هم سودمندیهایی را همراه‎دارد.
كمیته بازل در مورد نظارت بانكی انتظار دارد ، چنین مخاطراتی به طور مستمر از طریق نهادهای بانكی طبق مشخصات پایه و چالشهای مربوط به ارائه خدمات بانكداری الكترونیك تشخیص ، بیان و در مورد آنها چاره‏جویی شود . این مشخصات ، سرعت غیرمنتظره تغییرات مربوط به ابداعات تكنولوژیك در زمینه ارائه خدمات به مشتری ، ماهیت جهانی شبكه های الكترونیك باز ، یكپارچه شدن كاربردهای بانكداری الكترونیك با سیستم های كامپیوتری و وابستگی رو به افزایش بانكها به طرفهای ثالث كه تكنولوژی اطلاعات لازم را فراهم می‏كنند ، را دربرمی‏گیرد .
در حالیكه عوامل بالا ذاتاً مخاطرات جدیدی به وجود نمی آورند ، كمیته خاطر نشان می‏كند كه این ویژگیها ، باعث افزایش و بهینه سازی برخی از ریسك های سنتی مرتبط با فعالیتهای بانكداری ، به ویژه عملیات استراتژیك ، قانونی و به لحاظ شهرت شده است و از همین رو، روی وضعیت كلی ریسك های مربوط به بانكداری تأثیر می گذارد .
بر اساس این نتایج ، كمیته این نكته را در نظر می گیرد كه گرچه اصول مدیریت ریسك موجود می تواند قابلیت كاربرد در فعالیتهای بانكداری الكترونیك داشته باشد، با اینحال بهتر است چنین اصولی را به وجود آورد ، تطبیق و در برخی موارد گسترش داد تا بتوان برچالش‏های مدیریت ریسك ویژه ناشی از فعالیت های بانكداری الكترونیك فائق آمد .
از همین رو كمیته اعتقاد دارد كه بر هیأت مدیره و مدیریت ارشد بانكها واجب است تا گام‌هایی را به منظور اطمینان از این موضوع بردارند كه مؤسسات متبوع آنها، در جاهائیكه لازم است ، سیاست‏های مدیریت ریسك موجود را بازنگری‎و‎بهینه‎سازی كنند تافعالیت های بانكداری‎الكترونیك‎برنامه‎ریزی ‎شده ‎یا ‎جاری‎ را ‎هم ‎دربرگیرد . كمیته همچنین اعتقاد دارد كه باید كاربردهای بانكداری الكترونیك با سیستم‌های‎قدیمی‎درهم‎آمیخته‎و بدینوسیله ‎مدیریت‎ریسك‎یكپارچه‌‌ای‎طراحی‎شود . به منظور تسهیل این فرآیند ، كمیته چهارده اصول مربوط به مدیریت ریسك در بانكداری الكترونیك را شناسایی كرده است كه می‌تواند برای نهادهای بانكی در گسترش بینش آنها نسبت به سیاستها و فرآیندهای بانكداری الكترونیك ، سودمند باشد . این اصول مربوط به مدیریت ریسك به عنوان نیازهای مطلق یا حتی بهترین رویه‌ها مطرح نمی شوند . كمیته بر این باور است كه تعیین جزئیات نیازهای مربوط به مدیریت ریسك در زمینه بانكداری الكترونیك می تواند ضد تولید باشد ، زیرا خیلی زود مطالب به واسطه سرعت تغییرات مربوط به ابداعات تكنولوژیك، در عرصه ارائه خدمات به مشتری ، كهنه می‌شوند . از همین رو كمیته ترجیح می دهد تا انتظارات نظارتی و راهنمایی را در قالب اصول مدیریت ریسك به منظور ارتقاء سطح ایمنی و سلامت فعالیتهای بانكداری الكترونیك مطرح و قابلیت انعطاف لازم در اجرا را نیز در نظر گیرد . علاوه بر این ، كمیته این موضوع را مورد توجه قرارداده كه وضعیت هربانك با بانك دیگر متفاوت است و ازهمین رو،هربانك شیوه خاص مناسب با مقیاس عملیات بانكداری الكترونیك خودش را لازم دارد . به همین دلیل ، اصول مدیریت ریسك منتشر شده از سوی كمیته تلاش نمی كند تا راه حل های فنی مشخص یا استانداردهایی مربوط به بانكداری الكترونیك ارائه كند . راه حل های فنی باید توسط مؤسسات و نهادهای تعیین كننده استاندارد، همگام با تكامل تكنولوژی ارائه شوند .
با اینحال ، این گزارش در برگیرنده ضمائمی است كه در آن برخی مثالها در مورد رویه‏های مربوط به كاهش ریسك در قلمرو بانكداری الكترونیك به عنوان پشتیبانی كننده اصول مدیریت ریسك می‏آید .
در نهایت انتظار می رود اصول مدیریت ریسك و رویه‏های دقیق مشخص شده در گزارش به عنوان ابزارهایی مورد استفاده سرپرستان ملی قرار گیرد و منطبق با نیازهای خاص ملی و وضعیت ریسك هر مورد، در جائیكه لازم باشد، به مورد اجرا گذاشته شود .
در برخی موارد ، به اصولی اشاره شده كه در راهنما و دستورالعمل‏های قبلی مربوط به سرپرستی بانك نیز مورد توجه قرار داشته‏اند . هرچند برخی مسایل مانند مدیریت با منابع بیرونی ، كنترل‏های ایمنی و مدیریت ریسك قانونی و مبتنی برشهرت، به دلیل ویژگیهای منحصر بفرد كانال توزیع اینترنت ، نیاز به تشریح بیشتری دارند . اصول مدیریت ریسك به منظور شفافیت روی سه محور موضوعی گسترده ولی در عین حال هم پوشانی، به شرح زیر ، قرار می‏گیرند :
مراقبت مدیریت و هیأت مدیره
كنترل های ایمنی
مدیریت ریسك شهرتی و حقوقی
مراقبت مدیریت و هیأت مدیره:
از آنجاكه هیأت مدیره و مدیران ارشد مسئول تدوین استراتژی تجاری مؤسسه متبوع خود و ایجاد یك نقش مدیریتی موثر روی ریسك ها هستند ، از آنها انتظار می‌رود یك تصمیم استراتژیك شفاف، مستند و از روی آگاهی درباره این موضوع اتخاذ كنند كه بانك چگونه می‌خواهد خدمات بانكداری الكترونیك ارائه دهد . تصمیم اولیه باید برمبنای قابلیت‌های حسابرسی معین ، سیاست ها و كنترل‌ها به منظور فائق آمدن بر این ریسك‌ها باشد و مواردی را هم كه در جریان عملیات فرامرزی رخ می دهد نیز دربرگیرد . انتظار می رود ، مراقبت مدیریتی موثر ، شامل مرور و تصویب جنبه های كلیدی فرآیند كنترل ایمنی بانك از قبیل توسعه و نگهداری زیرساخت كنترل ایمنی باشد كه به نحو مطلوبی سیستم‌های بانكداری الكترونیك و داده‌های مربوط به هر دو تهدید درونی و بیرونی را محافظت می‌كنند. این مراقبت همچنین باید فرآیند جامع فائق آمدن بر ریسك های مرتبط با پیچیدگی رو به افزایش و اتكا روزافزون به روابط با منابع بیرونی و تكیه به شخص ثالث ، به منظور اجرای اعمال بانكداری الكترونیك دچار بحران را در برگیرد .
كنترلهای ایمنی :
درحالیكه هیأت مدیره مسئولیت دارد تا نسبت به وجود فرآیندهای كنترل ایمنی مناسب برای بانكداری الكترونیك اطمینان حاصل كند ، ماهیت این عملیات نیاز مدیریتی ویژه ای را در رابطه با چالشهای امنیتی تشدید شده ناشی از بانكداری الكترونیك بوجود می آورد .
این امر از طریق اعمال روش‌های مناسبی برای اعطای مجوزهای مربوط به احراز هویت و كنترل های فیزیكی و منطقی دستیابی انجام می‌گیرد . همچنین باید امنیت كافی برای زیرساختها به منظور حفظ قلمروهای مناسب و محدودیت‌های ناشی از فعالیت‌های كاربران بیرونی و درونی و نیز یكپارچگی اطلاعات و سوابق معاملات ، مورد توجه باشد . علاوه برآن باید از وجود سرنخ‌های حسابرسی روشن برای همه معاملات مربوط به بانكداری الكترونیك اطمینان حاصل كرد و نسبت به اتخاذ تدابیری برای نگهداری محرمانه اطلاعات كلیدی این نوع بانكداری متناسب با حساسیت چنین اطلاعاتی همت‌گماشت .
گرچه حفاظت از مشتری و قوانین حفظ حریم خصوصی افراد در مراجع قضایی گوناگون با یكدیگر فرق می‌كند با اینحال بانكها به طوركلی یك مسئولیت روشن دارند كه تا حد ممكن ، سطح معینی
از آرامش و راحتی را برای مشتریان خود در زمینه افشاء‌و حفاظت از اطلاعات مشتری فراهم آورند . این راحتی باید به همان میزانی باشد كه آنها هنگام فعالیت از طریق كانالهای توزیع سنتی بانكداری ، احساس می‌كنند . برای كاهش ریسك شهرتی و قانونی مرتبط با فعالیت های بانكداری الكترونیك كه هم در سطح داخلی و هم در سطح فرامرزی انجام می شود ، بانكها باید اطلاعات آشكار كافی در وب سایت خود قرار دهند و تدابیر لازم را به منظور اطمینان نسبت به رعایت حریم خصوصی مشتری در مراجع قضایی كه بانك در آنها ، خدمات بانكداری الكترونیك ، ارائه می‌دهد، فراهم كنند .مدیریت ریسك شهرتی و قانونی:
به منظور حفاظت از بانكها در قبال ریسك شهرتی ، قانونی و تجاری ، خدمات بانكداری الكترونیك باید برپایه زمان بندی دقیق و ثابتی در رابطه با انتظارات بالای مشتری استوار باشد تا بتوان به سرعت در صورت تقاضا، نیازهای مربوط به دسترسی به معاملات بالقوه زیاد را تأمین كرد . بانك باید توانایی ارائه خدمات بانكداری الكترونیك به همه كاربرهای نهایی را داشته باشد و باید بتواند چنین توانایی را درهمه شرایط ، حفظ كند . در نظر گرفتن مكانیزم های پاسخ موثر به حوادث نیز به منظور كاهش ریسك‌های شهرتی ، قانونی و عملیاتی ناشی از رویدادهای غیرمنتظره از قبیل حملات درونی و بیرونی كه ممكن است روی ارائه سیستم‏ها و خدمات بانكداری الكترونیك ، تأثیر بگذارد ، كاملاً حیاتی است . از همین رو به منظور تأمین نیازهای مشتریها ، بانكها باید ظرفیت ، تداوم كارو برنامه ریزی اضطراری موثری را داشته‌باشند .
بانكها همچنین باید برنامه ریزی‌های مناسبی را برای پاسخ به حوادث به عمل‌آورده و از جمله استراتژیهای ارتباطی معینی را تدوین كرده باشند . استراتژیهایی كه برمبنای آن‌ها تداوم كار ، كنترل ریسك شهرتی و محدود كردن مسئولیت‌های ناشی از بروز اختلال در خدمات بانكداری الكترونیك ، كاملاً در نظرگرفته می شود .
اصول مدیریت ریسك برای بانكداری الكترونیك :
سالهاست كه بانكها به ارائه خدمات بانكی به مشتریان خود از راه دور مشغول هستند . انتقال الكترونیكی وجوه ، ازجمله پرداخت‌های كوچك و نظامهای مدیریت نقدی شركتی و نیز ماشینهای خودكار قابل دسترسی توسط عامه مردم برای برداشت پول و مدیریت خرده حسابها جزو ساختارهای متعارف نظام بانكی جهانی است .
با اینهمه ، پذیرش روبه افزایش اینترنت درسطح جهان به عنوان یك كانال تحویل تولیدات و خدمات بانكی ، امكانات بازرگانی جدیدی را برای بانكها و امتیازات خدماتی برای مشتریان آنها به وجود می‌آورد .
این تولیدات و خدمات ضمن آنكه فعالیت‌های سنتی از قبیل دسترسی به اطلاعات مالی ، دریافت وام و گشایش حسابهای سپرده را شامل می شوند ، فعالیت‌های نسبتاً جدیدی از قبیل ارائه خدمات پرداخت الكترونیكی صورت حسابها، تأمین پایانه‌های شخصی مالی ، تجمع حسابها و ایجاد بازار الكترونیكی تبادل اطلاعات تجاری را هم دربرمی‌گیرند . با اینحال امتیازات مهم ابداعات تكنولوژیك و توسعه سریع توانائیهای بانكداری الكترونیك دربرگیرنده هم ریسك‌ها و هم امتیازاتی است . از همین رو لازم است كه بانكها با احتیاط این ریسك‌ها را شناسایی و اداره كنند. این پیشرفتها ، كمیته نظارت بربانكداری “‌بازل” را برآن داشت تا درسال ۱۹۹۸ یك مطالعه مقدماتی روی معضلات مدیریت ریسك بانكداری الكترونیك و پول الكترونیك ، انجام دهد .
مطالعه فوق نشان داد كه نیاز روشنی به كاربیشتر درقلمرو مدیریت ریسك بانكداری الكترونیك وجود دارد و از همین‌رو این مأموریت به یك گروه كاری متشكل از سرپرستان بانكها و بانكهای مركزی سپرده و بدین ترتیب “گروه بانكداری الكترونیك” ، در نوامبر ۱۹۹۹ تشكیل شد .
كمیته بازل در اكتبر ۲۰۰۰، گزارش “گروه بانكداری الكترونیك” خود را در مورد مدیریت ریسك مسایل نظارتی ناشی از توسعه بانكداری الكترونیك انتشار داد . این گزارش ریسك های اصلی مرتبط با فعالیتهای بانكـــداری الكترونیك را درقالب ریسك استراتژیك ، ریسك شهرت ، ریسك عملیاتی ( شامل ریسك امنیتی و ریسك حقوقی ) وریسك های اعتباری ، بازاری و نقدینگی، طبقه بندی می‌كند . “گروه بانكداری الكترونیك” از گزارش خود نتیجه می‌گیرد كه فعالیت‌های بانكداری الكترونیك مخاطراتی (ریسك‌هایی ) را شناسایی نكرد كه بیش از آن در كارهای كمیته بازل مطرح نشده‌باشد. با اینحال ، این گزارش تأكیدمی‌كند كه بانكداری الكترونیك برخی از این ریسك‌های سنتی را افزایش و بهینه می‌كند . از همین رو روی نظام بانكی، بویژه در ابعاد ریسك استراتژیك ، ریسك عملیاتی و ریسك شهرتی، تأثیر می گذارد؛ به گونه‌ای كه قطعاً‌گسترش سریع و پیچیده‌تر شدن تكنولوژی مربوط به بانكداری الكترونیك، این امر را برجسته می‌كند .
الف ـ چالشهای‌مدیریت‌ریسك:
گروه بانكداری الكترونیك در بررسی ویژگیهای پایه بانكداری الكترونیك ( و به عبارتی كلی تر تجارت الكترونیك )، شماری از چالش های مدیریت ریسك را به شرح زیر برمی‌شمرد :
سرعت تغییرات مربوط به ابداعات تكنولوژیك در ارائه خدمات به مشتری در بانكداری الكترونیك غیرمترقبه است .
از لحاظ تاریخی ، كاربردهای جدید بانكداری در مدت زمان نسبتاً‌طولانی و پس از آزمایشهای عمیقی كه روی آنها به وجودآمد ، به مورد اجرا گذاشته شد . اما امروز ، بانكها تحت فشار رقابتی برای ارائه كاربردهای تجاری جدید در چارچوب مدت زمانی بسیار فشرده قراردارند . مدت زمانی كه اغلب از ایده تا تولید ، چند ماه بیشتر به طول نمی‌انجامد. این رقابت چالشهای مدیریت را به منظور اطمینان از این نكته كه آیا به اندازه كافی ارزیابی استراتژیك ، تجزیه و تحلیل ریسك و مطالعات ایمنی ، قبل از اجرای موارد جدید از كاربری‌های مربوط به بانكداری الكترونیك به عمل آمده یا خیر ، را تشدید می‌كند . در این میان طبعاً وب سایت‌های معاملاتی بانكداری الكترونیك و روابط با كاربری‌های كلان و جزء ، تا حد ممكن با سیستم های كامپیوتری قدیمی یكپارچه می شود تا اجازه دهد پردازش الكترونیك عملیات به صورت مستقیم‌تری صورت‏گیرد. چنین پردازش خودكار و مستقیمی به نوبه خود باعث كاهش خطاهای انسانی و سوء استفاده ناشی از پردازش های دستی می‌شود ولی در عین حال وابستگی به طراحی سیستم هایی كه بتوانند به راحتی با یكدیگر عمل كنند ، را افزایش می‌دهد . بانكداری الكترونیك وابستگی بانكها را به تكنولوژی اطلاعات اضافه می‌كند و از همین رو برپیچیدگی فنی بسیاری از مسایل عملیاتی و امنیتی می افزاید و روند مربوط به مشاركت ، اتحاد و استفاده از منابع بیرونی و طرفهای ثالث را گسترش می‌دهد . اقداماتی كه بسیاری از آنها فاقد نظم و قانون معینی هستند . این پیشرفت باعث ایجاد مدلهای جدیدی شده كه بانكها و موسسات غیربانكی از قبیل ارائه دهندگان خدمات اینترنت ، شركتهای مخابرات و سایر شركتهای تكنولوژی را در برمی‌گیرد . اینترنت به نوبه خود ماهیت جهانی دارد و یك شبكه باز قابل دستیابی از هركجای دنیا به وسیله طرفهای ناشناس است كه پیامها را از طریق مكانهای نامشخص بوسیله وسایل بی سیم به سرعت رو به تكامل ، انتقال می‌دهد . از همین رو تاحدزیادی اهمیت كنترل‎های ایمنی ، تكنیك های احراز هویت مشتری ، حفاظت داده ها، روش‌های تهیه سرنخ های حسابرسی و استانداردهای حفظ حریم خصوصی مشتری را بیشتر می‌كند.
ب ـ اصول مدیریت ریسك :
بر اساس كارهای اولیه گروه بانكداری الكترونیك ، كمیته نتیجه گیری می‎كند ، هرچند اصول مدیریت ریسك بانكداری سنتی قابلیت كاربرد در فعالیتهای بانكـــداری الكترونیـــك را دارد ولـــــــــی خصوصیات پیچیده كانال تحویل اینترنت ایجاب می‎كند تا این كاربردها متناسب با بسیاری از فعالیت‎های بانكداری “ON-LINE” و چالشهای مربوط به مدیریت ریسك آنها ، طراحی شوند . از همین رو كمیته اعتقاد دارد كه این برعهده هیأت مدیره و مدیریت ارشد بانكهاست تا اطمینان پیداكنند كه نهادهای متبوع آنها درجایی كه لازم بوده ، سیاست‏های مدیریتی و فرآیندهای بانكداری الكترونیك برنامه ریزی شده یا جاری را مورد بررسی مجدد قرار داده و بهبود بخشیده اند . علاوه برآن ، از آنجا كه كمیته اعتقاد دارد كه بانكها باید روش مدیریت ریسك یكپارچه ای را برای همه فعالیت‏های بانكداری الكترونیك خود اعمال كنند ، به همین دلیل ، حیاتی است كه نظارت مدیریت ریسك مربوط به فعالیت های بانكداری الكترونیك در حد توان بانك ، به عنوان جزو لاینفك مدیریت كلی ریسك بانك قرار گیرد . برای تسهیل این پیشرفتها، كمیته از گروه بانكداری الكترونیك تقاضا كرد تا اصول كلیدی مدیریت ریسك را شناسایی كنند . اصولی كه می تواند به بانكها برای گسترش سیاستهای نظارتی موجود آنهــــــا و فرآیندهای لازم برای پوشش فعالیت‏های بانكداری الكترونیك و به نوبهٔ خود تحویل ایمن و بدون نقص تولیدات و خدمات بانكداری كمك كند . اصول مدیریت ریسك برای بانكداری الكترونیك كه در این گزارش شناسایی شده اند ، به عنوان نیازهای مطلق یا حتی بهترین رویه ها مطرح نمی‏شوند ، بلكه صرفاً به عنوان راهنمایی و به منظور ارتقاء سطح فعالیت‏های ایمن و بدون نقص بانكداری الكترونیك به میان می آیند.
كمیته بر این باور است كه تعیین جزئیات نیازهای مدیریت ریسك در حوزه بانكداری الكترونیك ، ممكن است ضد تولید باشد ، زیرا این احتمال می رود این جزئیات به واسطه سرعت تغییرات مربوط به ابداعات تكنولوژیك و تولیدات ، كهنه شود .
از همین رو اصولی كه در این گزارش گنجانیده شده فقط به بیان انتظارات نظارتی مربوط به كل فعالیت های نظارتی بانك به منظور اطمینان از ایمنی و عدم وجود نقص در نظام مالی می پردازد ، تا اینكه بخواهد مقررات دقیقی را مطرح كند .
كمیته این نظر را دارد كه چنین انتظارات نظارتی باید متناسب با كانال توزیع بانكداری الكترونیك طراحی و تطبیق داده شود ، گرچه نباید در اصول، با آنچه كه در سایر كانالهای توزیع مربوط به فعالیتهای بانكداری انجام می شود ، متفاوت باشد . بنابراین اصولی كه در زیرآمده تا حد زیادی برگرفته و در انطباق با اصول نظارتی قرار دارد كه پیش از این ، طی سالها از سوی كمیته یا سرپرستان ملی تجربه شده است . در برخی زمینه ها ، از قبیل مدیریت روابط با منابع بیرونی ، كنترل های ایمنی و مدیریت ریسك شهرتی و حقوقی ، مشخصات و ویژگیهای كانال توزیع اینترنت نیاز به اصول مشروح تری را نسبت به آنچه كه تاكنون مطرح شده ، به میان می آورد . كمیته تشخیص می دهد كه بانكها نیازدارند تا فرآیندهای مربوط به مدیریت ریسك را متناسب با وضعیت ریسك مربوط به خود ، ساختار عملیاتی و فرهنگ حاكم بر بنگاه و نیز طبق نیازمندیهای مدیریت ریسك ویژه و سیاستهای تعیین شده از سوی ناظران بانك در مراجع قضایی خاص ، توسعه دهند . علاوه بر این رویه های متعدد مدیریت ریسك بانكداری الكترونیك مشخص شده در این گزارش ، در عین حال كه نمایانگر رویه های مطلوب صنایع امروز است ، نباید به عنوان رویه هایی از هر جهت كامل و قطعی ، تلقی شوند ، زیرا بسیاری از كنترل های ایمنی و سایر تكنیك های مدیریت ریسك به سرعت و همگا م با تكنولوژیها و كاربردهای تجاری جدید ،‌دچار تكامل می شوند .
مسائل فنی نیاز به آن دارند تا به تدریج و همزمان با تكامل تكنولوژی هم توسط بانكها و هم نهادهای تعیین استاندارد ، حل و فصل شوند .
علاوه بر آن ، از آنجا كه صنعت ، به حل مسایل فنی بانكداری الكترونیك از جمله چالش های ایمنی آن اهتمام می ورزد ، احتمالاً‌ابداعات و راه حل های متنوع موثر و مقرون به صرفه ای مربوط به مدیریت ریسك ظهور پیدا خواهند كرد . این راه حل ها ، احتمالاً مسایل مربوط به این حقیقت را شامل می شوند كه بانكها در اندازه ، پیچیدگی و فرهنگ مدیریت ریسك با یكدیگر فرق می كنند و اینكه مراجع قضایی ،‌چارچوبهای قانونی و مقرراتی متفاوتی با یكدیگر دارند . به همین دلیل ، كمیته اعتقاد ندارد كه یك روش یكسان و تك اندازه مدیریت ریسك بانكداری الكترونیك مناسب است . از همین رو توصیه می كند تا رویه هاو استانداردهای خوب به منظور فائق آمدن بر ابعاد ریسكی اضافه ناشی ازكانال تحویل بانكداری الكترونیك ، با یكدیگر مبادله شوند . انتظار می رود ، همگام با این نسخه نظارتی ، اصول مدیریت ریسك و رویه های مناسبی كه در این گزارش به آنها اشاره رفته ، بتوانند به عنوان ابزارهایی در خدمت ناظران ملی ، مورد استفاده قرار گرفته تا به مورد اجرا گذاشته شوند و مطابق با نیازهای ملی ویژه در جائیكه لازم باشد ، انعكاس یابند تا بدینوسیله به انجام فعالیت ها و عملیات بانكداری الكترونیك امن و بی عیب و نقص كمك كند .كمیته تشخیص می دهد كه وضعیت ریسك هر بانك با دیگری متفاوت است و ازهمین رو نیاز به یك روش كاهش ریسك متناسب با مقیاس عملیات بانكداری الكترونیك همان بانك دارد ، ضمن آنكه مادیت ریسك های موجود و علاقمندی و توانایی آن نهاد در مدیریت این ریسك ها هم اهمیت پیدا می كند. اختلافات فوق ، نشان از این نكته دارد كه قصد آن بوده تا اصول مدیریت ریسك ارائه شده در این گزارش از قابلیت انعطاف كافی برای اجرا بوسیله تمام نهادهای مربوط، در همه مراجع قضایی، را دارا باشد. ناظران ملی ، مادیت ریسك های مرتبط با فعالیت های بانكداری الكترونیك را در یك بانك خاص مورد ارزیابی قرارمی‌دهند تا در یابند آیا به اندازه كافی اصول مدیریت ریسك مربوط به بانكداری الكترونیك در چارچوب مدیریت ریسك رعایت شده است .
&#۶۱۴۷۸; اصول مدیریت ریسك برای بانكداری الكترونیك :
اصول مدیریت ریسك مربوط به بانكداری الكترونیك شناسایی شده در این گزارش در سه زمینه موضوعی وسیع قرارمی‌گیرد كه اغلب با یكدیگر هم پوشانی دارند .
البته این اصول بوسیله نظم ترجیحی یا اهمیت ، وزن داده نمی شوند ، زیرا چنین وزنی به مرور زمان تغییر پیدا می كند . از همین رو ترجیح داده می شود تا بی طرف ماند و از چنین الویت بندی اجتناب كرد .
&#۶۱۵۵۳; الف ـ مراقبت مدیریت و هیأت مدیره (اصول ۱تا۳) :
۱ـ مراقبت موثر مدیریت در فعالیت‌های مربوط به بانكداری الكترونیك
۲ـ ایجاد یك فرآیند جامع كنترل ایمنی
۳ـ برخورداری از یك نظارت مدیریت و پشتكار دقیق و جامع در روابط با منابع بیرونی و سایر وابستگی ها به شخص ثالث
&#۶۱۵۵۳; ب ـ كنترل های ایمنی (اصول ۴تا۱۰) :
۴ـ احراز هویت مشتریان بانكهای الكترونیك
۵ـ پذیرش مسئولیت حسابدهی برای معاملات بانكداری الكترونیك
۶ـ تدابیر مناسب برای اطمینان از تفكیك وظایف
۷ـ ایجاد كنترل های مناسب برای صدور مجوز درون نظامهای بانكداری الكترونیك ، پایگاههای داده ها و كاربری ها
۸ ـ یكپارچگی داده ها در معاملات ، سوابق و اطلاعات بانكداری الكترونیك
۹ـ انجام حسابرسی های روشن از معاملات در بانكداری الكترونیك
۱۰ـ محرمانه بودن‌اطلاعات‌كلیدی‌بانك.
&#۶۱۵۵۳; ج ـ مدیریت ریسك شهرتی و قانونی (اصول ۱۱تا۱۴) :
۱۱ـ افشای مناسب خدمات بانكداری الكترونیك
۱۲ـ حفظ حریم خصوصی اطلاعات مشتریان
۱۳ـ ظرفیت سازی ، تداوم سبك و كار و نیزبرنامه ریزی اضطراری برای اطمینان از در دسترس بودن سیستم ها و خدمات بانكداری الكترونیك
۱۴ـ برنامه ریزی پاسخ به حوادث
&#۶۱۴۷۸; الف ـ مراقبت مدیریت و هیأت مدیره ( اصول ۱تا۳)
هیأت مدیره و مدیران ارشد مسئول تدوین استراتژی تجاری بانكداری هستند ، یك تصمیم استراتژیك روشن در این زمینه لازم است به این منظور اتخاذ شود كه آیا هیأت مدیره تمایل دارد تا بانك خدمات معاملات بانكداری الكترونیك را قبل از شروع ، ارائه دهد یا خیر ؟
به طور خاص هیأت مدیره باید اطمینان حاصل كند كه آیا برنامه های بانكداری الكترونیك به روشنی با اهداف استراتژیك بنگاه درهم آمیخته است ؟ و آیا یك تحلیل ریسك از فعالیت های بانكداری الكترونیك به عمل آمده و نیزآیا فرآیندهای مناسبی برای كاهش ریسك های مشخص درنظرگرفته شده است ؟ همچنین هیأت مدیره و مدیران ارشد باید مطالعات مستمری به منظور ارزیابی نتایج فعالیت های بانكداری الكترونیك در برابر برنامه ها و اهداف تجاری مؤسسه متبوع خود ، داشته باشند . علاوه بر این ، آنها باید اطمینان حاصل كنند كه ابعاد ریسك ایمنی و عملیاتی استراتژیهای تجاری بانكداری الكترونیك آن نهاد ، به نحو مناسبی مورد ملاحظه و توجه قرار گرفته‎اند .
در اختیار نهادن خدمات مالی از طریق اینترنت به نحو چشمگیری ریسك های بانكداری سنتی را اصلاح یا حتی افزایش می‎دهد (به عنوان مثال از لحاظ ریسك‎های استراتژیك ، شهرت ، عملیات ، اعتبار و نقدینگی ) از همین رو لازم است گامهایی به منظور اطمینان از این امر برداشته شود كه فرآیندهای موجود مدیریت ریسك از قبیل فرآیندهای كنترل امنیت ، پشت كار جدی و فرآیندهای مراقبتی برای روابط با منابع بیرونی به نحو درستی مورد ارزیابی قرار بگیرند و به منظور جای دادن خدمات بانكداری الكترونیك بهینه شوند . اصل یك ـ هیأت مدیره و مدیریت ارشد بایستی مراقبت مدیریتی موثری روی ریسك های مرتبط با فعالیت های بانكداری الكترونیك از قبیل تعبیه سیاستهای حسابرسی و كنترلی ویژه‌ای به منظور ‏فائق ‏آمدن‏ بر ‏این ‏ریسك‏ها ‏داشته‏باشد. مراقبت مدیریتی دقیق برای درنظرگرفتن كنترل های داخلی موثر روی فعالیت های مربوط به بانكداری الكترونیك ضروری است . علاوه بر ویژگیهای خاص كانال توزیع اینترنت كه در مقدمه روی آن بحث شد ، جنبه های زیر از بانكداری ممكن است چالش های قابل توجه ای را نسبت به فرآیندهای مدیریت ریسك سنتی‎ایجادكند.
&#۶۱۶۵۵; عناصر اصلی كانال تحویل (اینترنت و تكنولوژیهای مرتبط با آن) خارج از كنترل مستقیم بانك هستند.
&#۶۱۶۵۵; اینترنت ارائه خدمات را در چند مرجع قضایی ملی از جمله آنهایی را كه در محدوده های فیزیكی خدمت رسانی بانك قرار ندارند ، تسهیل می كند .
&#۶۱۶۵۵; پیچیدگی موضوعات مرتبط با بانكداری الكترونیك زبان و مفاهیم بسیار فنی را شامل می شوند كه در بسیـــــاری لوقات خارج از تجربه سنتی هیأت‌مدیره و مدیریت ارشد است .
&#۶۱۶۵۵; به لحاظ ویژگی منحصربفرد بانكداری الكترونیك ، پروژه های جدید این رشته كه ممكن است تأثیر مهمی روی وضعیت و استراتژی ریسك بانك داشته باشد ، باید بوسیله هیأت مدیره و مدیریت ارشد مورد بررسی قرار گرفته و یك استراتژی مناسب برمبنای تحلیل هزینه ـ فایده در نظرگرفته‌شود .
&#۶۱۶۵۵; بدون یك مطالعه استراتژیك به منظور ارزیابی مستمركار ، بانكها درمعرض ریسك برآورد پائین هزینه و یا تخمین بیش از اندازه بازگشت پول ناشی از ابتكارات بانكداری الكترونیك قرار دارند .
&#۶۱۶۵۵; علاوه بر آن ، هیأت مدیره و مدیریت ارشد باید اطمینان حاصل كنند كه بانك مادامیكه دانش و تجربه فنی لازم را برای مراقبت موثر و كارآمد از مدیریت ریسك پیدا نكرده وارد فعالیت های بانكداری الكترونیك جدید نشود و یا تكنولوژی های جدید را در اختیار نگیرد.
&#۶۱۶۵۵; تجربه فنی مدیریت و پرسنل بایستی با ماهیت فنی و پیچیدگی كار برای بانكداری الكترونیك و تكنولوژیهای دربرگیرنده آن ، متناسب باشد .
&#۶۱۶۵۵; در این زمینه ، تجربه فنی كافی بدون توجه به آنكه سیستم ها و خدمات بانكداری الكترونیك در درون بانك مدیریت می شود یا اینكه مدیریت آن با منابع بیرونی و اشخاص ثالث است ، ضرورت دارد .
&#۶۱۶۵۵; فرآیندهای مراقبت مدیریت ارشد باید پویا عمل كند تا اینكه بتواند به نحو موثری هنگام بروز مشكلات در سیستم های بانكداری الكترونیك یا نقض امنیتی از خود واكنش نشان دهند .
&#۶۱۶۵۵; ریسك شهرتی روبه ازدیاد مرتبط با الزامات بانكداری الكترونیك ، لزوم كنترل دقیق قابلیت عمل متقابل سیستم ها و رضایت مشتری همراه با گزارش مطلوب حوادث به هیأت مدیره و مدیریت ارشد را مطرح می كند .
&#۶۱۶۵۵; سرانجام هیأت مدیره و مدیریت ارشد باید اطمینان پیدا كنند كه فرآیندهای مدیریت ریسك برای فعالیت های بانكداری الكترونیك در چارچوب مدیریت ریسك كلی بانك قرار دارد .
&#۶۱۶۵۵; سیاستها و فرآیندهای موجود مدیریت ریسك باید مورد ارزیابی قرار گیرد تا اطمینان حاصل شود كه آیا آنها به اندازه كافی نیرومند هستند تا بتوانند ریسك های جدید ناشی از فعالیت های بانكداری الكترونیك برنامه ریزی شده یا جاری را پوشش دهند .
&#۶۱۶۵۵; در زمینه مدیریت ریسك باید گام های بیشتری به شرح زیر توسط هیأت مدیره و مدیریت ارشد برداشته شود :
&#۶۱۶۵۵; تعریف روشنی از اشتیاق ریسك سازمان در رابطه با بانكداری الكترونیك به عمل آید .
&#۶۱۶۵۵; تعیین نمایندگان كلیدی و مكانیزم‌های گزارشگری از جمله روش های بالا بردن ایمنی برای حوادثی كه ایمنی ، عملكرد بدون عیب و نقص یا شهرت بانك را تحت تأثیر قرار می دهد ( مسایلی از قبیل نفوذ به شبكه ، نقض امنیت كاركنان و هرگونه سوءاستفاده از تسهیلات كامپیوتری)
&#۶۱۶۵۵; باید هرگونه فاكتورهای منحصربفرد ریسك مرتبط ، به منظور اطمینان از اینكه امنیت ، یكپارچگی و دسترسی به تولیدات و خدمــات بانـكداری الكترونیـك حفـــظ می‏شود ، مورد توجه قرار گیرد در این زمینه برای طرفهای ثالث كه به عنوان منابع بیرونی ، سیستم ها و كاربری های كلیدی را در اختیار دارند نیز باید اقدام مشابهی انجام شود .
&#۶۱۶۵۵; قبل از آنكه بانك فعالیت های بانكداری الكترونیك فرامرزی خود را انجام دهد ،باید از اینكه پشتكارلازم برای آن كار وجود دارد و تحلیل ریسك نیز به عمل آمده ، اطمینان حاصل شود .
اینترنت تا حد زیادی توانایی بانك را برای توزیع تولیدات و خدمات در تقریباً یك قلمرو جغرافیایی نامحدود ورای مرزها تسهیل می‌كند .
چنین فعالیت های بانكداری الكترونیك فرامرزی ، بویژه چنانچه بدون حضور فیزیكی با مجوز در كشور میزبان باشد ، به طور بالقوه ای بانك را در معرض تهدید ناشی از ریسك های حقوقی ، مقرراتی و كشوری قرار می دهد ، زیرا تفاوت های قابل ملاحظه ای بین حوزه‌های قضایی گوناگون در این رابطه وجود دارد .بستگی به دامنه و پیچیدگی فعالیت‌های مربوط به بانكداری الكترونیك ، دامنه و ساختار برنامه های ریسك مدیریتی در سازمانهای بانكی گوناگون با یكدیگر متفاوت است . منابعی كه به این منظور به كار می آید تا برخدمات بانكداری الكترونیك نظارت كند ، بایستی با عملكرد حیاتی و عملیاتی سیستم ها ، قابلیت آسیب پذیری شبكه ها و حساسیت اطلاعات ارسالی ، سازگار باشد. اصل ۲ـ هیأت مدیره و مدیریت ارشد بایستی جنبه های كلیدی فرآیند كنترل ایمنی بانك را مورد بررسی قرار دهند و آنها را تصویب كنند . هیأت مدیره و مدیریت ارشد بایستی برتوسعه و حفظ تداوم یك زیرساخت كنترل ایمنی كه به نحو مناسبی سیستم‌های بانكداری الكترونیك و اطلاعات ناشی از خطرات درونی و بیرونی را حفاظت می‏كند، نظارت داشته باشد .
این امر باید ایجاد كنترل های مناسب برای مجوز دسترسی فیزیكی و منطقی و امنیت كافی زیر ساختی به منظور حفظ مناسب مرزها و محدودیت ها در حوزه فعالیت‌های داخلی و بیرونی كاربر را شامل شود . حفاظت از سرمایه های بانك یكی از وظایف مربوط به امانت داری هیأت مدیره و یكی ازمسئولیت های اساسی مدیریت ارشد است . با اینحال ، این امر بخاطر ریسك های پیچیده امنیتی مرتبط با عملیات درون شبكه عمومی اینترنت و به كارگیری تكنولوژیهای ابداعی ، یك وظیفه چالش برانگیز در محیط به سرعت روبه تكامل بانكداری الكترونیك به شمار می‌رود. به منظور اطمینان از كنترل های امنیتی مناسب برای فعالیت های مربوط به بانكداری الكترونیك ، هیأت مدیره و مدیریت ارشد نیاز دارد تا اطمینان حاصل كند كه آیابانك از یك فرآیندامنیتی جامع برخوردار است ؟ این فرآیند شامل سیاستهاو روشهایی می شود كه كلیه امنیت بالقوه موارد مربوط به خارجی ودرونی را از لحاظ جلوگیری از وقوع و پاسخ به حادثه ، در برمی گیرد .
عناصر اصلی یك فرآیند موثر ایمنی در بانكداری الكترونیك عبارتند از :
&#۶۱۶۵۵; مشخص كردن مسئولیت روشن برای مدیریت وپرسنل در نظارت برتعیین و حفظ سیاستهای امنیتی شركت
&#۶۱۶۵۵; برقراری كنترل های فیزیكی كافی به منظور اجتناب از دسترسی غیرمجاز به محیط كامپیوتری
&#۶۱۶۵۵; در نظرگرفتن كنترلهای منطقی كافی به منظور اجتناب از دسترسی غیرمجاز داخلی و خارجی به كاربری ها و پایگاههای اطلاعات بانكداری الكترونیك
&#۶۱۶۵۵; بررسی منظم و آزمایش كنترل‌های ایمنی ازجمله ردگیری مداوم پیشرفتهای ایمنی این صنعت و ارتقاء سطح نرم افزارهای مناسب ، بسته های ارائه خدمات و نیز سایر تدابیر لازم .
&#۶۱۶۵۵; ضمیمه یك دربرگیرنده شماری تدابیر مناسب اضافی به منظور اطمینان از امنیت بانكداری الكترونیك است .
اصل ۳ ـ هیأت مدیره و مدیریت ارشد باید یك فرآیند نظارتی و پشت كار منظم و مداوم برای مدیریت روابط با منابع بیرونی بانك و یا سایر وابستگی ها به اشخاص ثالث كه بانكداری الكترونیك را پشتیبانی می‌كنند ، داشته باشند .
اتكا روبه افزون به شركا و ارائه دهندگان ثالث خدمات برای انجام كارهای حیاتی بانكداری الكترونیك كنترل مستقیم مدیریت بانك را كاهش می دهد .
از همین رو اتخاذ فرآیند جامعی برای مدیریت ریسك های مرتبط با منابع بیرونی و سایر وابستگی ها به اشخاص ثالث ضرورت دارد .
این فرآیند باید فعالیت های طرفهای ثالث از جمله شركا و ارائه دهندگان بیرونی خدمات و حتی پیمانكاران فرعی را كه ممكن است تأثیرمادی روی بانك داشته باشد ، در بربگیرد .
از لحاظ تاریخی ، منابع بیرونی اكثراً محدود به یك ارائه دهنده واحد خدمات برای یك كار معین می‏شود ولی در سالهای اخیر روابط منابع بیرونی بانكها از لحاظ مقیاس و پیچیدگی بخاطر پیشرفتهای تكنولوژی اطلاعات و ظهور بانكداری الكترونیك ، زیاد شده است .
به این پیچیدگی باید این حقیقت را نیز افزود كه ارائه دهندگان منابع بیرونی خدمات بانكداری الكترونیك ، ممكن است به صورت پیمانكاری انجام برخی از كارها را به پیمانكاران فرعی دیگری واگذار كنند یا اینكه این فعالیت ها در یك كشور خارجی انجام شود .
علاوه برآن كاربری ها و خدمات بانكداری الكترونیك از لحاظ تكنولوژیك بسیارپیشرفته، به لحاظ اهمیت استراتژیك، رشد كرده است .
برخی زمینه های ثابت بانكداری الكترونیك به شمار اندكی فروشندگان متخصص به عنوان اشخاص و ارائه دهندگان ثالث خدمات، متكی است . این پیشرفتها تمركز بیشتری روی ریسك هایی به وجود می آورد كه هم از نقطه نظر یك صنعت و هم به لحاظ سیستمیك ، باعث جلب توجه می شود .
همه این فاكتورها نیاز به یك ارزیابی جامع و مداوم را از روابط با منابع بیرونی و سایر نقاط اتكاء، از جمله آنهائیكه مرتبط با معضلات وضعیت ریسك بانك هستند و نیز توانائیهای نظارتی مدیریت ریسك ، مطرح‌می‌كند .
نظارت هیأت مدیره و مدیریت ارشد بر روابط با منابع بیرونی و اشخاص ثالث به طور خاص باید روی اطمینان از موارد زیر باشد :
&#۶۱۶۵۵; مطالعه و پیگیری مناسبی برای بررسی توانمندی و قدرت زیست مالی هرگونه ارائه كننده ثالث خدمات یا شریك قبل از آنكه وارد مرحله عقد قرارداد برای ارائه خدمات بانكداری الكترونیك شود ، انجام گیرد .
&#۶۱۶۵۵; در قرار داد ، قابلیت حسابدهی همه طرفهای منابع بیرونی یا شراكتی بایستی به روشنی تعریف شود. به عنوان مثال باید تعریف روشنی از مسئولیت های مربوط به ارائه اطلاعات و دریافت اطلاعات از ارائه كننده خدمات به عمل آید .
&#۶۱۶۵۵; تمام سیستم های عمل بانكداری الكترونیك مرتبط با منابع بیرونی تابع مدیریت ریسك و سیاستهای امنیتی و نیز حفظ حریم خصوصی افراد ، طبق استانداردهای خود بانك هستند .
&#۶۱۶۵۵; بایستی از عملیات منابع بیرونی ، حسابرسی های مقطعی داخلی یا خارجی انجام گیرد . این حسابرسی دست كم باید در همان محدوده و اندازه ای باشد كه گویی انجام عملیات توسط خود بانك صورت می‌گرفت .
&#۶۱۶۵۵; طرحهای مناسب برای هر نوع حادثه محتمل الوقوع برای فعالیت های بانكداری الكترونیك مرتبط با منابع بیرونی باید وجود داشته باشد .
ضمیمه ۲ شماری از رویه های مناسب دیگر برای مدیریت سیستم های بانكداری الكترونیك مرتبط با منابع بیرونی و وابستگی به اشخاص ثالث را فهرست می‌كند.
&#۶۱۵۳۵; ب ـ كنترل های ایمنی ( اصول ۴ تا ۱۰)
درحالیكه هیأت مدیره مسئولیت دارد تا اطمینان حاصل كند كه فرآیندهای كنترل ایمنی مناسب برای بانكداری الكترونیك وجود دارد ، ماهیت این فرآیندها به توجه مدیریتی ویژه ای نیاز دارد ، زیرا چالش‏های ایمنی پیشرفته ای را در بانكداری الكترونیك به وجود می‏آورند .
مسایل زیر به ویژه در این زمینه حائز اهمیت هستند :
&#۶۱۶۹۲; احراز
&#۶۱۶۹۲; عدم پذیرش
&#۶۱۶۹۲; یكپارچگی داده ها و معاملات
&#۶۱۶۹۲; جداسازی وظایف
&#۶۱۶۹۲; كنترل های مجوز
&#۶۱۶۹۲; نگهداری سرنخ حسابرسی
&#۶۱۶۹۲; محرمانه نگه داشتن اطلاعات كلیدی بانك
اصل ۴ـ بانك ها باید تدابیر مناسب را به منظور احراز هویت و تأئید مشتریهایی كه با آنها در اینترنت كار می‌كنند ، اتخاذكنند .
دربانكداری ضروری است كه درخواست یك ارتباط یا دسترسی به معاملات از لحاظ قانونی بودن تأئید شود . بنابراین بانكها باید شیوه‏های قابل اطمینانی را برای تأئید هویت و مجوز دهی به مشتریان جدید و نیز تصدیق هویت و تأئید مشتریان قبلی كه قصد شروع عملیات الكترونیك را دارند ، مورد استفاده قراردهند . احراز هویت مشتریان هنگام ریشه یابی حساب در كاهش ریسك سرقت هویت و به كارگیری حساب جعلی و پول شویی مهم است .
كوتاهی بانك به لحاظ عدم توجه كافی به احراز هویت مشتریان منجر به آن می شود تا اشخاص غیرمجاز به حسابهای بانكهای الكترونیك دسترسی پیدا كنند وبدین ترتیب خسارت مالی و تخریب شهرت بانك را به وجود آورد . البته این امر می تواند از طریق تقلب و افشای اطلاعات محرمانه یا سهواً درقالب یك فعالیت مجرمانه صورت گرفته باشد .
احراز هویت و صدور مجوز برای دسترسی به سیستم های بانكی در یك محیط شبكه ای كاملاً باز و الكترونیك كار مشكلی است .
اعطای مجوز قانونی به كاربر می تواند از طریق تكنیك های گوناگونی كه اصطلاحاً “ SPOOFING ” نام دارد ، تحریف شود .
نفوذگران نیز می توانند از طریق استفاده از دستگاههای “ SNIFFER ” روی ارتباط های قانونی تأثیر گذاشته تا فعالیت های مجرمانه یا موذیانه انجام دهند .
فرآیندهای كنترل احراز هویت علاوه بر این می توانند از طریق ایجاد تغییر در پایگاههای اطلاعاتی احراز هویت ، دچار آسیب شوند.
بنابراین حیاتی است كه بانكها برای شناسایی مناسب و اطمینان از اینكه احراز هویت و مجوزها به هرفرد ، عامل یا سیستم به درستی و از طریق به كارگیری روشهای منحصر بفردی صورت می‌گیرد كه عملی هستند و سیستم ها یا افراد غیرمجاز را در برنمی گیرند، سیاست‌ها‏و‏رویه‏های‏رسمی‏اتخاذكنند. بانكها می توانند روشهای متفاوتی را ازجمله PIN ( شماره شناسایی شخصی ) ، رمزواژه ، كارتهای هوشمند ، سیستم های زیست سنجی (BIOMETRICS) و گواهینامه‌های دیجیتال ، برای احراز هویت، در نظر بگیرند . این روش ها می توانند یا یك عامل مجرد و یا چند عامل باشند ( هم استفاده از رمزواژه وهم تكنولوژی زیست سنجی برای احراز هویت ).
در كل استفاده از روش احراز چندعاملی ، اطمینان قویتری به وجود می‌آورد . بانك باید تعیین كند كدام روش احراز را برپایه ارزیابی مدیریت از خطری كه در كل یا بوسیله عناصر فرعی متوجه نظام بانكداری الكترونیك است ، مورد استفاده قرار دهد . تحلیل خطر باید توانائیهای عملیاتی نظام بانكداری الكترونیك را ( ازقبیل انتقال وجه ، پرداخت صورت حساب ، ریشه یابی وام ، تجمع حساب و غیره ) از لحاظ حساسیت و ارزش اطلاعات ذخیره شده، همراه با راحتی مشتریان و استفاده از روش احراز هویت ، مورد ارزیابی قرار دهد .فرآیندهای قوی احراز و شناسایی مشتری ، به ویژه در مورد بانكداری الكترونیك فرامرزی اهمیت دارد و این اهمیت ناشی از مشكلات اضافی است كه می‌تواند هنگام انجام تجارت الكترونیك با مشتریان فرامرزی رخ دهد ، ضمن آنكه در این زمینه ، خطر بیشتر تجسم سازی هویت و مشكل بیشتر در انجام بررسی های اعتباری موثر روی مشتریان بالقوه هم اهمیت دارد .
توصیه می شود به همان نحو كه شیوه‌های احراز هویت تكامل پیدا می‌كنند
بانكها نیر به بررسی و اتخاذ رویه درست صنعتی‏در‏این‏زمینه‏بپردازند‏تا‏مطمئن‏شوند‏كه:
&#۶۱۶۵۵; پایگاههای اطلاعات مربوط به احراز هویت كه به حسابهای مشتری بانكداری الكترونیك دسترسی پیدا می كنند یا سیستم های حساس، از لحاظ آسیب‏پذیری و فساد محافظت می شوند .
&#۶۱۶۵۵; هرگونه آسیب پذیری در این زمینه، باید قابل كشف باشد و سرنخ های حسابرسی بایستی به عنوان مستندات چنین تلاشهایی وجود داشته باشند .
&#۶۱۶۵۵; هرگونه اضافه ، حذف یا تغییر در پایگاه اطلاعات احراز هویت فرد ، عامل یا سیستم بایستی كاملاً با مجوز مراجع صلاحیت دار باشد .
&#۶۱۶۵۵; باید تدابیر لازم به منظور كنترل روابط در سیستم بانكداری الكترونیك وجود داشته باشد . این كنترل باید به گونه ای باشد تا اشخاص ثالث ناشناخته نتوانند مشتریان شناخته شده را جابجا كنند .
&#۶۱۶۵۵; نشست های مربوط به احراز هویت بانكداری الكترونیك بایستی در تمام مدت برگزاری جلسه كاملاً محرمانه باشد . در صورت وقوع هر گونه رخنه امنیتی ، نشست‌ها باید احراز هویت مجدد كنند .
اصل ۵ ¬ــ بانكها باید روش هایی را برای احراز هویت معاملات مورد استفاده قرار دهند كه باعث ارتقاء پذیرش (NON- REPUDIATION ) می شود و قابلیت حسابرسی برای معاملات بانكداری الكترونیك به وجود می‏آورد . پذیرش در برگیرنده اثبات بیشتر منشأ یا تحویل اطلاعات الكترونیك به منظور حفاظت ارسال كننده در برابر تكذیب كاذب گیرنده اطلاعات برای دریافت آن اطلاعات است یا برای حفاظت از گیرنده در برابر تكذیب دروغین ارسال كننده ، مبنی بر آن است كه اطلاعات ارسال شده است . ریسك مربوط به عدم پذیرش معاملات هم اكنون به عنوان یك معضل در معاملات متعارف از قبیل كارتهای اعتباری یا معاملات اوراق بهادار مطرح است . هرچند بانكداری الكترونیك، این ریسك را به واسطه مشكلات مربوط به احراز مثبت هویت ها و صلاحیت طرفهایی كه عملیات را شروع می كننند ، عوامل بالقوه ای كه سعی در تغییر یا ربایش معاملات الكترونیك دارند و نیز كاربران بالقوه بانكداری الكترونیك كه ادعا می‌كنند، عملیات به شیوه تقلب آمیزی تغییر داده شده است ، افزایش می‌دهد .
به منظور غلبه بر این نگرانیهای افزایش‌یافته ، بانكها نیاز دارند تا تلاشهای معقولی را متناسب با مادیت و نوع معاملات بانكداری الكترونیك به منظور اطمینان از موارد زیر به عمل آورند :
سیستم بانكداری الكترونیك به گونه‌ای طراحی شود تا هرگونه احتمالی مبنی بر آنكه كاربران مجاز معاملان ناخواسته‌ای را شروع كنند ، كاهش و یا اینكه مشتریان را كاملاً متوجه خطرات مرتبط با هرگونه عملیاتی كنید كه آنها انجام می‌دهند .
تمامی طرحهای مرتبط با این عملیات باید از لحاظ مثبت بودن، احراز هویت شوند و كنترل روی كانال احراز هویت شده به عمل آید.
اطلاعات عملیات مالی از لحاظ تغییر محافظت و هرگونه تغییری قابل كشف باشد .
بانكها تكنیك های گوناگونی را به كار می‌گیرند تا به ایجاد پذیرش كمك و اطمینان به وجود آورد كه محرمانه بودن و یكپارچگی عملیات بانكداری الكترونیك با استفاده از گواهینامه‌های دیجیتالی در زیر ساختهای كلیدی عمومی صورت می گیرد .
بانك ممكن است گواهینامه دیجیتالی برای یك مشتری یا طرف مقابل به منظور شناسایی و احراز هویت منحصر بفرد آنها صادر كند وبه این وسیله باعث كاهش عدم پذیرش عملیات شود .
گرچه در برخی كشورها حقوق مشتری برای رد یك ادعا در مورد معاملات ، تحت چارچوب قانونی خاصی قرار می گیرد ولی قوانینی در محاكم ملی معین تصویب شده تا امضاءهای دیجیتالی از لحاظ قانونی ، لازم الاجرا شوند .
احتمال می رود ، پذیرش قانونی گسترده تر این تكنیك ها در سطح جهان با تكامل تكنولوژی روبه افزایش رود .
اصل ۶ ـ بانكها باید اطمینان حاصل كنند كه تدابیر مناسب برای ارتقاء جداسازی كافی وظایف نظامهای بانكداری الكترونیك ، پایگاههای داده ها و كاربری ها وجود دارد .
جدا سازی وظایف یك تدبیر پایه كنترل داخلی است كه به منظور كاهش ریسك تقلب در سیستم‏ها و فرآیندهای عملیاتی و اطمینان نسبت به آنكه دارایی‏های شركت و معاملات به درستی مجوز داده ، ثبت و حفاظت می‏شوند ، طراحی شده است .
جداسازی وظایف ، امری حیاتی برای اطمینان از صحت و یكپارچگی داده‏هاست و به منظور جلوگیری از اعمال جعل و تقلب بوسیله یك شخص صورت می‏گیرد .
چنانچه وظایف به اندازه كافی از یكدیگر تفكیك شده باشند ، ارتكاب جعل فقط از طریق تبانی امكان پذیر خواهد بود .
خدمات بانكداری الكترونیك نیاز به بهینه سازی راههایی دارد كه درآنها جداسازی وظایف انجام و حفظ شده باشد ، زیرا عملیات در سیستم های الكترونیك در جایی صورت می گیرد كه هویت ها می‏توانند نقابدار و جعل شوند .
علاوه بر این ، در كاربری های بانكداری الكترونیك،كارهای‏عملیاتی‏ومعاملاتی‏در بسیاری‏‏اوقات‏،‏بیشتر‏فشرده‏و‏یكپارچه‏می‏شوند.
ازهمین‏رو كنترل هایی‏كه‏درشیوه سنتی برای جداسازی وظایف به كارمی‌رود، به منظور اطمینان از اعمال سطح مناسبی از كنترل ، باید مورد بررسی مجدد قرارگیرد .
از آنجا كه دسترسی به پایگاههای داده‏هایی كه از لحاظ امنیتی ضعیف باشند به راحتی از طریق شبكه های داخلی یا خارجی امكان پذیر است ، از همین رو روش های مجوز دهی و شناسایی بسیار دقیق ، ایمن و بی عیبی همراه با حفظ سرنخ های حسابرسی باید مورد تأكیدباشد.
رویه های متداول برای انجام و حفظ جداسازی وظایف در محیط بانكداری الكترونیك شامل موارد زیر است :
&#۶۱۶۵۵; طراحی فرآیندهای عملیات ، معاملات و سیستم ها باید به گونه ای باشد تا اطمینان حاصل شود كه هیچ كارمند یا ارائه دهنده بیرونی خدمات نتواند به تنهایی داخل شود ، كسب مجوز كند و یك معامله را به انجام برساند .
&#۶۱۶۵۵; جداسازی باید برای داده هایی شروع شود كه استاتیك باشند . ( ازجمله محتوای صفحه(WEB و آنهائیكه مسئولیت تأئید یكپارچگی را دارند.
&#۶۱۶۵۵; سیستم های بانكداری الكترونیك باید از لحاظ آنكه وظایف جداسازی نمی‎تواند میان بر (BYPASS) شود ، مورد آزمایش قرار گیرند .
&#۶۱۶۵۵; جداسازی وظایف باید ، هم برای آنهایی كه سیستم های بانكداری الكترونیك را اعمال و هم آنهایی كه این سیستم ها را مدیریت می كنند، برقرارشود.
اصل ۷ ـ بانكها باید اطمینان پیداكنند كه كنترل های مناسب مجوز دهی و امتیازات دسترسی برای سیستم ها ، پایگاههای داده ها و كاربریهای بانكداری الكترونیك وجود دارند .
به منظور انجام وظایف جداسازی ، بانكها احتیاج به آن دارند تا دسترسی به مجوز دهی را كاملاً‎و‎به‎طور‎دقیق‎كنترل‎كنند.
عدم اعمال كنترل های كافی مجوزدهی می‏تواند شرایطی فراهم آورد تا افراد به تغییر مجوز خود بپردازند و با نفوذ به فرآیند جداسازی سیستم ها،به پایگاه‎داده‎ها و كاربریهایی كه مجوز آنها را ندارند ،‌ دسترسی پیدا كنند .
در سیستم‎های بانكداری الكترونیك ، حقوق دسترسی و مجوز دهی می تواند یا به صورت تمركز یافته ویا به روش توزیعی دردرون پایگاه داده‎های بانك ذخیره شود ، از همین رو حفاظت از این پایگاهها به لحاظ رخنه یا فساد در راستای كنترل دقیق مجوز دهی ضروری است .
ضمیمه ۳ ، شماری رویه های مناسب را به منظور كمك به اعمال كنترل مناسب روی مجوز دهی و حقوق دسترسی به سیستم ها و نیزكاربری های بانكداری الكترونیك ، مشخص می كند.
اصل ۸-بانك ها باید اطمینان پیداكنند كه تدابیر مناسب برای حفاظت از یكپارچگی داده ها در معاملات، سوابق و اطلاعات بانكداری الكترونیك وجود دارد.
یكپارچكی اطلاعات به این امر اطلاق می‏شود كه اطلاعات در حال عبور یا به صورت ذخیره، بدون مجوز تغییری پیدانكند.
عدم حفظ یكپارچگی اطلاعات معاملات و سوابق می تواند بانك را در معرض خسارت های مالی و نیز ریسك های قابل توجه حقوقی و شهرتی قرار دهد.
ماهیت اینترنت از لحاظ فرآیندهایی كه در بانكداری الكترونیك مستقیماً عمل می‏كنند به گونه ای است كه برنامه ریزی برای تشخیص اشتباهات یا فعالیت‏های اخلال گرانه را از لحاظ كشف در مراحل اولیه كار مشكل می‏كند.
بنابراین مهم است كه بانك ها فرآیندهای مستقیم را به گونه ای به مرحله اجرا بگذارند كه از یكپارچگی و بی عیب و نقص بودن داده ها، اطمینان حاصل شود.
چون بانكداری الكترونیك از طریق شبكه های عمومی انتقال پیدا می كند، از همین رو عملیات در معرض تهدید مضاعفی از فساد اطلاعاتی ، سوء استفاده ونیز ایجاد اختلال در سوابق قرار می‏گیرد.
بنابراین بانك ها باید اطمینان حاصل كنند كه تدابیر كافی به منظور اطمینان از درستی كار آنها ، كامل بودن قابلیت اطمینان عملیات بانكداری الكترونیك ، سوابق و اطلاعات، در نظر گرفته شده است.
در مورد اطلاعات ، این حصول اطمینان باید نسبت به اطلاعاتی باشد كه خواه روی اینترنت ارسال شده است، خواه در پایگاه
داده‏های داخل بانك وجود دارد ویاازسوی‏ یك‏ارائه‏كننده‏ثالث‏خدمات‏به نمایندگی‏‎ از‏سوی‏بانك‏مخابره‏یا‏ذخیره‏شده‏است.
رویه های معمول مورد استفاده برای حفظ یكپارچگی اطلاعات در محیط بانكداری الكترونیك ، شامل‏مواردزیرهستند:
&#۶۱۶۵۵; معاملات بانكداری الكترونیك باید به گونه‏ای انجام شوند كه كاملاً آنها را در برابر آسیب پذیری در سراسر و كل فرآیند ، مقاوم كند.
&#۶۱۶۵۵; سوابق بانكداری الكترونیك باید به گونه‎ای ذخیره و قابلیت دسترسی به آنها ایجاد و بهینه شود كه آنها را در برابر آسیب‎پذیری كاملاً مقاوم كند .
&#۶۱۶۵۵; عملیات بانكداری الكترونیك و فرآیندهای كنترل سوابق باید به گونه ای طراحی شوند كه آنها را از لحاظ ایجاد مانع بر سر راه كشف تغییرات غیر مجاز ، غیر ممكن كند.
تغییر كافی در سیاست های كنترل از جمله روش های بررسی و آزمایش باید در محل وجود داشته باشد تا بتواند بانكداری الكترونیك را در برابر هر گونه تغییرات كه ممكن است به اشتباه یا غیر عمد در كنترل‎ها یا قابلیت اطمینان داده ها رخ دهد، محافظت كند.
&#۶۱۶۵۵; هر گونه رخنه در سوابق بانكداری الكترونیك باید بوسیله فرآیندهای عملیاتی، رسیدگی و حفظ‌سوابق،‌كشف‌شود.اصل ۹- بانك ها بایداطمینان پیدا كنند كه سرنخ های حسابرسی شفاف برای همه عملیات بانكداری الكترونیك ، وجوددارد.
در ارائه خدمات مالی روی اینترنت برای بانك ها مشكل است تا كنترل‎های داخلی را اعمال و سرنخ های حسابرسی روشنی را حفظ كنند، چنانچه این تدابیر با محیط بانكداری الكترونیك تطبیق داده نشود.
بانك ها نه تنها برای اطمینان از كنترل مؤثر داخلی در محیط های كاملاً خودكار با چالش مواجه هستند، بلكه این كنترل ها می تواند به ویژه برای تمام وقایع و كاربریهای حیاتی بانكداری الكترونیك ، حسابرسی شوند. محیط كنترل داخلی برای یك بانك چنانچه نتواند سرنخ های حسابرسی روشنی را برای فعالیت‏های بانكداری الكترونیك حفظ كند، ممكن است ضعیف شود. این امر از آن روست كه بیشتر اگر نه همه، سوابق و شواهد مربوط به پشتیبانی از معاملات بانكداری الكترونیك به صورت الكترونیك هستند.
در تصمیم‏گیری روی این نكته كه تا كجا این سرنخ های حسابرسی راباید حفظ كرد ، انواع معاملات زیر در بانكداری الكترونیك ، باید ملاحظه شوند:
&#۶۱۶۹۲; گشایش ، بهبود و مسدود كردن حساب مشتری
&#۶۱۶۹۲; هر گونه معامله ای كه نتایج مالی داشته باشد.
&#۶۱۶۹۲; هر گونه اعطای مجوزی كه به مشتری اجازه می دهد تا از محدوده خاصی بالاتر رود.
&#۶۱۶۹۲; هر گونه اعطای مجوز ، بهبود یا لغو حقوق و امتیازات دسترسی به سیستم ها
ضمیمه ۴-چند رویه مناسب را برای كمك به اطمینان از اینكه سرنخ های حسابرسی روشنی برای عملیات بانكداری الكترونیك وجود داشته باشند، مشخص می‏كند.
اصل ۱۰- بانك ها باید تدابیر مناسب را به منظور حفظ محرمانه بودن اطلاعات كلیدی بانكداری الكترونیك اتخاذ كنند.این تدابیر باید با حساسیت اطلاعاتی كه مخابره یا در پایگاه های اطلاعات ذخیره می شود، متناسب باشد.
محرمانه بودن به منظور اطمینان از این نكته است كه اطلاعات كلیدی فقط برای بانك نگهداری می شوند و قابل ملاحظه یا استفاده توسط مراجع غیر مجاز نیست.
سوء استفاده یا افشای غیر مجاز اطلاعات، بانك را در معرض هم ریسك حقوقی وهم ریسك شهرتی قرار می‏دهد.
ظهور بانكداری الكترونیك ، چالشهای امنیتی اضافی را برای بانك ها به میان می‏آورد، زیرا این بحث را تقویت می‏كند كه
اطلاعات مخابره شده روی شبكه عمومی یا ذخیره شده در پایگاه اطلاعات ممكن است بوسیله اشخاص غیرمجاز قابل دسترسی باشد ، یا اینكه به طریقی كه مشتری در ارائه اطلاعات قصد نداشت تا همه بدانند، مورد استفاده قرار گیرد.
علاوه بر آن ، استفاده روزافزون ارائه‌كنندگان خدمات ممكن است اطلاعات
كلیدی بانكی را در دسترس دیگران قراردهد.
برای رفع چالش های مربوط به حفظ محرمانه بودن اطلاعات كلیدی ، بانك ها نیاز به آن دارند تا اطمینان حاصل كنندكه:
&#۶۱۶۵۵; تمام اطلاعات و سوابق محرمانه فقط توسط افراد، عوامل یا سیستم هایی كه صلاحیت و مجوز لازم را دارند، قابل دستیابی است.
&#۶۱۶۵۵; تمام اطلاعات محرمانه بانكی در وضع ایمنی نگهداری و دربرابر رویت غیر مجاز یا دستكاری هنگام ارسال در شبكه های عمومی، خصوصی یا داخلی، حفاظت می‏شوند.
&#۶۱۶۵۵; استاندارد و كنترل های بانك ها برای استفاده از اطلاعات و حفاظت ، بایستی هنگامی كه اشخاص ثالث امكان دستیابی به داده ها از طریق روابط یا منابع بیرونی را دارند، كاملاً رعایت شود.
&#۶۱۶۵۵; تمام دستیابی ها به اطلاعات محرمانه قفل شوند و تلاش های مناسبی برای اطمینان از اینكه قفل های دستیابی در برابر رخنه مقاوم هستند ،به عمل آید.
&#۶۱۴۷۸; ج-مدیریت ریسك حقوقی و شهرتی(اصول ۱۱تا ۱۴)
حفاظت خاص مشتری و مقررات و قوانین مربوط به حریم آنها در یك مرجع قضایی با مرجع قضایی دیگر فرق می كند.
با این حال بانك ها در كل مسئولیت روشنی دارند تا راحتی لازم را درمورد افشای اطلاعات ، حفاظت از اطلاعات خصوصی مشتری و ارائه اطلاعات بازرگانی ، برای مشتریان خود فراهم آورند.
این راحتی باید متناسب با سطحی باشد كه آنها می داشتند، چنانچه داد و ستد معاملاتی آنها از طریق كانالهای توزیع بانكی سنتی انجام می شد.
اصل ۱۱- بانك ها باید اطمینان حاصل كنند كه اطلاعات كافی در وب سایت آنها وجود دارد تا به مشریان بالقوه اجازه دهد تایك نتیجه گیری آگاهانه درباره وضعیت شناسایی ومقررات بانك قبل از آنكه وارد مراحل بانكداری الكترونیك شوند، بدست آورند.
به منظور كاهش ریسك های قانونی و شهرت مرتبط با فعالیت های بانكداری الكترونیك كه هم در داخل و هم در ورای مرزها صورت می گیرد، بانك ها باید اطمینان حاصل كنند كه اطلاعات كافی در وب سایت آنها وجود دارد تا به مشتریان اجازه دهد قبل از وارد شدن به عملیات بانكداری الكترونیك به نتیجه گیری آگاهانه‎تر برسند.
مثالهایی از این اطلاعات كه در كل، وضعیت شناسایی و هویت بانك را در بر می گیرد ، از این قرار است:
&#۶۱۶۵۵; نام بانك و محل اداره مركزی آن (ادارات محلی در صورتی كه نیاز باشد)
&#۶۱۶۵۵; شناسه مرجع یا مراجع نظارتی اصلی بانك, مسئول نظارت در اداره مركزی بانك
&#۶۱۶۵۵; چطور مشتریان می توانند با مركز خدمات مشتری بانك در مورد مشكلات مربوط به ارائه خدمات، شكایات و سوء استفاده های مشكوك از حساب ها و غیره تماس بگیرند.
&#۶۱۶۵۵; چطور مشتریها می توانند به برنامه طرح شكایت مشتری (OMBUDSMAN)دسترسی داشته و آن را مورد استفاده قرار دهند.
&#۶۱۶۵۵; چطور مشتریها می توانند به اطلاعات مربوط به درخواست غرامت ملی ، پوشش بیمه ودیعه در سطح حفاظتی كه آنها توان آنرا دارند یا پیوند به وب سایت هایی كه اینگونه اطلاعات را در اختیار آنها می گذارد، دسترسی داشته باشند.
&#۶۱۶۵۵; سایر اطلاعاتی كه مناسب است و می تواند مورد نیاز مراجع قضایی باشد.
اصل ۱۲- بانك ها باید تدابیر مناسب را به منظور اطمینان از تبعیت با نیازهای خصوصی مشتری مرتبط با مراجع قضایی كه در آن بانك تولیدات و خدمات بانكداری الكترونیك را ارائه می دهد، اتخاذ كنند.
حفظ اطلاعات مربوط به حریم خصوصی مشتری یك مسئولیت كلیدی برای بانك به شمار می آید. سوء استفاده یا افشای غیر مجاز اطلاعات محرمانه مشتری، بانك را در معرض ریسك حقوقی و شهرتی قرار می دهد.
برای رفع این چالش ها ، در مورد حفظ حریم خصوصی اطلاعات مشتری ، بانك ها باید تلاش های معقولی را به منظور اطمینان از اتخاذ تدابیر زیر به عمل آورند:
&#۶۱۶۵۵; سیاستهای حریم خصوصی مشتری بانك و استانداردهایی كه در این زمینه رعایت می‏شود باید كاملاً مطابق با همه مقررات حفظ حریم و قوانین مربوط به آن در مراجع قضایی باشد كه در آن تولیدات و خدمات بانكداری الكترونیك ، ارائه می‏شود.
&#۶۱۶۵۵; مشتریها باید در مورد سیاستهای مربوط به حفظ اطلاعات خصوصی بانك و مسایل مرتبط با آن در استفاده از خدمات و تولیدات بانكداری الكترونیك ، اطلاع پیداكنند.
&#۶۱۶۵۵; مشتریها ممكن است تمایلی نداشته باشند تا اجازه دهند كه بانك ها اطلاعات شخصی مربوط به آنها را در زمینه هایی از قبیل نیازهای شخصی ، علایق ، وضعیت مالی یا فعالیت بانكی ، به منظور بازاریابی متقابل در اختیار شخص ثالث قرار دهند.
&#۶۱۶۵۵; اطلاعات مشتری نباید برای مقاصدی ورای آنچه به طـــور مشخـــــص مجاز
شمرده شده یا برای مقاصدی ورای آنچه مشتری مجاز می داند ، مورد استفاده قرارگیرد.
&#۶۱۶۵۵; استانداردهای بانك برای استفاده از اطلاعات مشتری باید زمانی كه شخص ثالث به اطلاعات مشتری از طریق روابط با منابع بیرونی دسترسی پیدا می كند، رعایت شود.
ضمیمه پنج، چند سیاست كاری مناسب را به منظور حفظ حریم اطلاعات خصوصی مشتری در بانكداری الكترونیك ، معرفی می كند.اصل ۱۳-بانك ها باید ظرفیت مؤثر ، تداوم داد و ستد و برنامه ریزی وضعیت اضطراری داشته باشند تا بدینوسیله بتوانند از عملكرد مناسب سیستم ها و خدمات بانكداری الكترونیك اطمینان حاصل كنند.
به منظور حفاظت بانك ها در قبال ریسك های شهرت، قانونی و تجاری ، خدمات بانكداری الكترونیك باید طبق انتظارات مشتری، به صورت مستمر و به موقع انجام شود.
برای نیل به این هدف ، بانك باید این قابلیت را داشته باشد تا خدمات بانكداری الكترونیك‏رابه مصرف‏كنندگان نهایی‏ازطریق منابع دست اول‏(مانند‏سیستم‏ها‏و‏كاربری‏های داخلی خود بانك)یا از طریق منابع دست دوم (مانند سیستم ها و كاربری های ارائه دهندگان خدمات)،‏برساند.
در همین حال باید سیستم های یدك اضطراری از لحاظ تعمیر و نگهداری، همواره در وضعیت آماده باشند تا هنگامی كه مشكلی برای سیستم اصلی به وجود می‏آید یا موقعی كه بحرانی، اخلال در كار را سبب می شود، قطع سیستم رخ ندهد یا به حداقل كاهش پیدا كند.
چالش های مربوط به حفظ و دستیابی مداوم به سیستم ها و كاربری‏های بانكداری الكترونیك ، به ویژه هنگام تقاضای زیاد برای استفاده از سیستم در زمان اوج می‏تواند قابل ملاحظه باشد.
علاوه بر آن ، انتظارات بالای مشتری در مورد زمان كوتاه پردازش عملیات و دسترسی مداوم ۲۴ ساعته و ۷روز در هفته، به نوبه خود اهمیت در نظر گرفتن ظرفیت كافی، تداوم تجارت و برنامه ریزی اضطراری را افزایش داده است .
برای آنكه تداوم ارائه خدمات بانكداری الكترونیك به مشتریها تا آن حد كه آنها انتظاردارند، حفظ شود ، بانكها نیاز به آن دارند تا اطمینان حاصل كنند كه:
&#۶۱۶۵۵; ظرفیت سیستم بانكداری الكترونیك فعلی و پیش بینی مقدار مورد نیاز برای آن در آینده براساس پویایی كلی بازار تجارت الكترونیك و نرخ جذب مشتری این گونه تولیدات و خدمات مورد تحلیل قرارمی‏گیرد.
&#۶۱۶۵۵; تخمین های مربوط به ظرفیت پردازش معاملات بانكداری الكترونیك باید مرتب انجام و آزمایش های تنش به عمل‏آید ، ضمن آنكه همه این ها هر چند وقت یكبار دوباره ملاحظه شوند.
&#۶۱۶۵۵; تداوم تجارت مناسب و برنامه های اضطراری برای فرآیندهای بانكداری الكترونیك در زمان بحرانی واینكه سیستم‏های تحویل باید موجود باشند و مرتب آزمایش شوند.
ضمیمه ۶-چند ظرفیت مطلوب مربوط به تداوم تجارت و برنامه ریزی اضطراری را مشخص می‏كند.
اصل ۱۴- بانك ها باید برنامه های مناسبی را برای پاسخ به حوادث داشته باشند تا در صورت وقوع رویداد های غیرمترقبه ، (به عنوان مثال حملات داخلی و خارجی كه ممكن است مانع ارائه سیستم ها و خدمات بانكداری الكترونیك شود) بتوانند اثرات آنها را كاهش و بر آنها فائق آیند.
مكانیزم مؤثر پاسخ به حوادث در كاهش ریسك های حقوقی ، شهرت و عملیاتی ناشی از حوادث غیر مترقبه از قبیل حملات داخلی و خارجی كه ممكن‏است بر عملكرد سیستم ها و خدمات بانكداری الكترونیك اثر نامطلوب بگذارد ، حیاتی هستند.
بانك ها باید نقشه های مناسبی برای پاسخ به حوادث تهیه و از جمله استراتژیهای ارتباطی مؤثری را تدوین كنند. تدوین این استراتژیها برای اطمینان نسبت به تداوم تجارت، كنترل ریسك شهرت و محدود كردن تعهدات مرتبط با اخلال در خدمات بانكداری الكترونیك از جمله زمانی كه از سیستم ها و عملیات منابع بیرونی ریشه می‏گیرد، انجام می‏شود.
برای اطمینان از پاسخ مؤثر به حوادث پیش بینی نشده ، بانك ها باید بوجودآورند:
&#۶۱۶۵۵; نقشه های مربوط به پاسخ به حادثه برای بازگردانیدن خدمات و سیستم های بانكداری الكترونیك تحت سناریوها ، در نقاط جغرافیایی و وضعیت های تجاری گوناگون –تجزیه و تحلیل سناریو باید احتمال ریسكی را كه اتفاق می‏افتدوتأثیر‏آن ‏بر‏بانك‏را هم‏شامل‏شود.سیستم‏های‏بانكداری ‏الكترونیك‏كه به منابع بیرونی‏و‏ارائه‏دهندگان ثالث خدمات مربوط می‏شوند، جزء لاینفك این برنامه ها به شمار می روند.
&#۶۱۶۵۵; مكانیزم های شناسایی حادثه یا بحران به محض آنكه روی بدهد ،ارزیابی چند و چون آنها . كنترل ریسك شهرت ناشی از اخلال در ارائه خدمات.
&#۶۱۶۵۵; این یك استراتژی ارتباطی باید به اندازه كافی بازار بیرونی و نگرانی رسانه‏ها را مد نظر داشته باشد. نگرانی كه ممكن است ناشی از رخنه امنیتی و حملات مستقیم یا از كار افتادن سیستم های بانكداری الكترونیك باشد.
&#۶۱۶۵۵; یك فرآیند روشن برای خبر كردن سریع مراجع قانون گذاری مربوط در صورت وقوع رخنه امنیتی یا رخ دادن حوادث منجر به اخلال در سیستم ها.
&#۶۱۶۵۵; تیم های پاسخ به حادثه با قدرت و اختیار آنكه در شرایط اضطراری عمل كنند و به اندازه كافی در زمینه تجزیه و تحلیل سیستم های پاسخ كشف و اهمیت بازده مربوطه ، آموزش دیده باشند .
&#۶۱۶۵۵; یك زنجیره روشن از فرماندهی كه هم عملیات مربوط به منابع بیرونی و هم منابع درونی راكنترل می كند. این كنترل به‏منظور اطمینان از این امر انجام‏می‏شود‏كه اقدام ‏فوری‏متناسب‏با‏اهمیت‏حادثه‏به‏عمل‏آید.
علاوه بر آن ، روش های ارتباطی داخلی مناسبی باید به این منظور طراحی كرد كه از جمله در صورت لزوم آگاه كردن هیأت مدیره را در برمی گیرد.
&#۶۱۶۵۵; فرآیندهایی كه اطمینان می‏دهد، تمام طرفهای خارجی مربوط، از جمله مشتریان بانك طرفهای متقابل ورسانه‌ها به نحو مطلوب و در مدت زمان كافـــی از اخلال در سیستم ها و تحولات ناشی از راه اندازی مجدد سیستم ، اطلاع پیدا می‏كنند.
&#۶۱۶۵۵; فرآیندی برای‏گردآوری‏وحفظ‏شواهد قانونی به منظور تسهیل در بررسی‏های بعد از حادثه بانكداری‏الكترونیك‏ ‏ و ‏نیز ‏كمك‏ در ‏محاكمه ‏حمله‏كنندگان.
• ضمیمه۱- رویه های كنترل ایمنی مناسب برای بانكداری الكترونیك:
۱-ترتیبات امنیتی باید ایجاد و حفظ شود و در چارچوب آن اعطای مجوزهای لازم به همه كاربران سیستم و كاربریهای بانكداری الكترونیك، شامل همه مشتریان ، كاربران داخلی بانك و ارائه دهندگان بیرونی خدمات صورت گیرد.
كنترل های منطقی دستیابی به منظور پشتیبانی از جداسازی مناسب وظایف نیز باید اعمال شود.
۲-اطلاعات و سیستم های بانكداری الكترونیك باید طبق حساسیت اهمیت آنها طبقه بندی حفاظتی شود.مكانیزم مناسب از قبیل رمز گذاری،كنترل دسترسی و برنامه های بازیافت داده ها ،برای حفاظت از همه سیستم های حساس و پر مخاطره بانكداری الكترونیك از قبیل سرورها،پایگاه داده ها و كاربری ها،در نظر گرفته شود.
۳-ذخیره داده های پر مخاطره یا حساس در كامپیوترهای رومیزی و روپایی (DESKTOP-LAPTOP)باید به حداقل كاهش یافته و به نحو مناسبی از طریق رمزگذاری ،كنترل دسترسی برنامه‎های بازیافت اطلاعات حفاظت شوند.
۴-كنترل‏های‏فیزیكی كافی‏بایدبه منظور ممانعت‏ازدسترسی‏غیرمجازبه‏سیستم‏های‏ حیاتی‏بانكداری‏الكترونیك،سروها ،پایگاه داده ها و كاربری ها وجود داشته باشند.

۵-تكنیك های مناسب باید به منظور كاهش تهدیدهای خارجی بر سیستم های بانكداری الكترونیك،از جمله استفاده از موارد زیر در نظر گرفته شوند:
&#۶۱۶۵۵; نرم افزار جاروب ویروس در همه نقاط حیاتی ورودی (از قبیل سرورهای دسترسی از راه دورـ سرورهای PROXY مربوط به پست الكترونیك)روی همه كامپیوترهای رومیزی.
&#۶۱۶۵۵; نرم افزار كشف رخنه، سایر ابزارهای ارزیابی ایمنی باید به طور متناوب به بررسی شبكه ها، سرورها و دیوارهای آتش ،برای تشخیص نقاط ضعف یا تجاوز به حریم های امنیتی و كنترل ها،بپردازند.
&#۶۱۶۵۵; آزمایش‏نفوذ‏شبكه‏های‏داخلی‏وخارجی
۶- فرآیند انجام بررسی های شدید امنیتی بایستی برای همه كاركنان و ارائه كنندگان خدماتی كه پست های حساس دارند،اعمال شود.
• ضمیمه ۲- رویه های مناسب برای اداره سیستم ها و خدمات بانكداری الكترونیك ارائه شده‏ازسوی‏منابع‏بیرونی.
۱-بانك ها باید تدابیر مناسب برای ارزیابی تصمیمات اتخاذ شده از سوی ارائه دهندگان بیرونی خدمات بانكداری الكترونیك را در نظر بگیرند.
&#۶۱۶۵۵; مدیریت‏بانك‏باید به روشنی‏هدفهای استراتژیك ،امتیازات و هزینه های مربوط به استفاده از منابع بیرونی وطرح‏های ثالث برای بانكداری الكترونیك را شناسایی كند.
&#۶۱۶۵۵; تصمیم مربوط به واگذاری یك كار كلیدی یا انجام خدمات بانكداری الكترونیك به منبع بیرونی باید با استراتژیهای تجاری بانك سازگار و بر اساس یك نیاز تجاری تعریف شده استوار باشد، ضمن آنكه ریسك خاص مربوط به منبع بیرونی را هم در نظر بگیرد.
&#۶۱۶۵۵; تمامی زمینه های متأثر بانك باید دریابند كه چگونه ارائه دهندگان خدمات از استراتژی بانكداری الكترونیك بانك ها حمایت به عمل آورده و با ساختار عملیاتی آن متناسب می شوند.&#۶۱۶۵۵; بانك ها باید قبل از انتخاب یك ارائه دهنده بیرونی خدمات بانكداری الكترونیك و نیز درفواصل مناسب بعد از آن، تحلیل ریسك داشته باشند.
&#۶۱۶۵۵; بانكها باید فرآیندهایی را برای انتخاب پیشنهادها از میان چند ارائه دهنده خدمات بانكداری الكترونیك طراحی و معیار انتخاب از میان پیشنهادهای مختلف را مورد ملاحظه قرار دهند.
&#۶۱۶۵۵; زمانی كه یك ارائه دهنده، بالقوه خدمات شناسایی شد،بانك باید یك بررسی جامع، از جمله تحلیل ریسك از قدرت مالی ارائه دهنده خدمات ، شهرت، سیاست ها و كنترل های مدیریت ریسك و نیز قابلیت انجام تعهدها داشته باشند.
&#۶۱۶۵۵; پس از آن بانك ها باید به طور مرتب و به طریق مناسب بررسی های مستمری را انجام دهند و قابلیت ارائه‏كننده خدمات را برای انجام خدمات و تعهدات مدیریت ریسك در طول مدت قرارداد، مدنظر قرار دهند.
&#۶۱۶۵۵; بانك ها باید اطمینان حاصل كنند كه منابع كافی برای نظارت بر فعالیت منابع بیرونی پشتیبانی كننده از بانكداری الكترونیك وجود دارد.
&#۶۱۶۵۵; مسئولیت های نظارت بر ترتیبات منابع بیرونی بانكداری الكترونیك باید به روشنی مشخص شود.
&#۶۱۶۵۵; یك استراتژی مناسب خروج از لحاظ مدیریت ریسك باید برای بانك وجود داشته باشد ، زمانیكه ضرورت خاتمه دادن به قرارداد روابط با منابع بیرونی مطرح‏شود.
۲ـ بانك ها باید روش های مناسبی را به منظور اطمینان از كفایت قراردادهای حاكم بر بانكداری الكترونیك اتخاذكنند.قراردادهای حاكم بر فعالیت های
بانكداری الكترونیك منابع بیرونی به عنوان مثال باید موارد زیر را در نظر بگیرد:
&#۶۱۶۵۵; تعهدات قراردادی طرفهای درگیر و مسئولیت های مربوط به تصمیم گیری از جمله تعهد قراردادهای فرعی مادی، باید به روشنی تعریف شده باشند.
&#۶۱۶۵۵; مسئولیت ارائه اطلاعات و دریافت اطلاعات از ارائه كنندگان خدمات باید به روشنی تعریف شوند. اطلاعات دریافتی از ارائه دهنده خدمات باید به موقع و جامع باشد تا بتواند به بانك این اجازه را بدهد كه به اندازه كافی سطوح خدمات و ریسك ها را مورد ارزیابی قرار دهد.روش های مورد استفاده برای آگاهی رسانی در مورد اختلال در ارائه خدمات بانك، نقض امنیتی و سایر اتفاقاتی كه می تواند یك خطر مادی برای بانك به وجود آورد ،باید مشخص شود.
&#۶۱۶۵۵; مقرراتی كه به ویژه برای پوشش بیمه‏ای به وجود می آید ،مالكیت اطلاعات ذخیره شده در سرورها یا پایگاه های داده‏های ارائه كنندگان خدمات و حق بانك برای بازیافت اطلاعات درپی سپری شدن یا اتمام قرارداد، باید به روشنی تعریف شود.
&#۶۱۶۵۵; انتظارات عملكرد تحت هردو شرایط عمومی و اضطراری باید تعریف شوند.
&#۶۱۶۵۵; وسایل و ضمانت های كافی به عنوان نمونه از طریق اعمال شیوه های حسابرسی باید تعریف شوند تا اطمینان به وجود آید كه برنامه های ارائه كننده خدمات با سیاست های بانك مطابقت دارد.
&#۶۱۶۵۵; برای ترتیبات منابع بیرونی فرامرزی، تعیین این نكته كه قوانین و مقررات كدام كشور از جمله آنهائیكه مربوط به حریم خصوصی و سایر حفاظت های مشتری هستند با آنها مطابقت می‏كند، ضروری است .
&#۶۱۶۵۵; حق بانك برای بررسی مستقل یا حسابرسی امنیتی،كنترل های داخلی ، تداوم تجارت و برنامه های اضطراری به روشنی تعریف شوند.
۳ـ بانك ها باید اطمینان پیدا كنند كه حسابرسی خارجی و داخلی مستقل و متناوب از عملیات منابع بیرونی، حداقل در همان سطحی كه مورد نیاز می شود، در صورتیكه چنین عملیاتی در سطح داخلی انجام شود، به عمل آید.
&#۶۱۶۵۵; برای روابط با منابع بیرونی كه در برگیرنده خدمات و كاربری های حیاتی و به لحاظ تكنولوژی پیشرفته بانكداری الكترونیك، بانك ها نیاز به آن دارند تا به بررسیهای متناوب دیگری بپردازند كه بوسیله اشخاص ثالث مستقل وبرخوردار از دانش فنی كافی ، انجام می شود.
۴ـ بانك ها باید طرحهای اضطراری مناسب برای فعالیت های بیرونی بانكداری الكترونیك داشته باشند.
&#۶۱۶۵۵; بانك ها نیاز به آن دارند تا برای همه سیستم ها و خدمات بانكداری الكترونیك خود كه به منابع بیرونی و طرفهای ثالث واگذار می شود، برنامه های اضطراری داشته و آنها رابه طور متناوب آزمایش كنند.
&#۶۱۶۵۵; طرحهای اضطراری باید بدترین سناریو ها را در نظر گیرد تا بتواند در هر شرایطی تداوم خدمات بانكداری الكترونیك را در صورت وقوع هر گونه اختلالی كه تحت تأثیر منابع بیرونی روی دهد، حفظ‏كنند.
&#۶۱۶۵۵; بانك ها باید تیم مستقلی داشته باشند كه آن تیم مسئول مدیریت بازیافت و ارزیابی اثر مالی اختلال در خدمات بانكداری الكترونیك منابع بیرونی است .۵ـ بانك هایی كه خدمات بانكداری الكترونیك رابه اشخاص ثالث واگذارمی‎كنند، باید اطمینان داشته باشند كه عملیات ، مسئولیت و تعهدات آنها به اندازه كافی روشن است تا نهادهای خدمت‎رسان بتوانند بررسیهای خود را با پشتكار و به گونه مؤثری انجام دهند و بر روند كار نظارت داشته باشند.
&#۶۱۶۵۵; بانك ها مسئولیت دارند تا اطلاعات لازم در خصوص شناسایی، كنترل و رسیدگی به ریسك های مرتبط با خدمات بانكداری الكترونیك را دراختیار نهادهایی بگذارندكه این گونه خدمات دراختیار آنها قرارمی گیرد. • ضمیمه۳-رویه‏های‏مناسب‏صدور‏‏مجوز‏ ‏برای‏كاربری‏های‏بانكداری‏الكترونیك
۱-صدور مجوز و امكان دسترسی شامل همه اشخاص، عوامل یا سیستم هایی می‏شود كه فعالیت بانكداری الكترونیك انجام می‏دهند.
۲-همه سیستم های بانكداری الكترونیك باید به گونه ای ساخته شود كه آنها با یك پایگاه داده های معتبر دارای مجوز ، در تعامل باشند.
۳-هیچ عامل یا سیستم نباید به تنهایی اختیار تغییر صلاحیت خود را در پایگاه داده های صدور مجوز بانكداری الكترونیك پیدا كند.
۴-هر گونه افزایشی در افراد ، عوامل، سیستم یا تغییر امتیاز دسترسی در مجوز‏دهی به پایگاه داده های بانكداری الكترونیك باید از سوی یك منبع كاملاً معتبر باشد.منبعی كه به قدر كافی دارای اختیار و برخوردار از سرنخ های حسابرسی باشد و بتوان فعالیت های وی را به نحو صحیحی و به موقع نظارت كرد.
۵-تدابیر لازم باید وجود داشته باشد تا بتوان مجوز دهی بانكداری الكترونیك را به نحو معقولی در برابر رخنه مقاوم‏كرد.هرگونه رخنه ای باید از طریق فرآیندهای مداوم كنترل و بررسی قابل كشف باشد.سرنخ‏های حسابرسی كافی،باید وجود داشته باشد تا بتواند هر گونه اخلالی را مستند كرد.
۶-هر گونه پایگاه داده هایی كه در آن رخنه شده باشد ، نباید مورد استفاده قرارگیرد تا اینكه با یك پایگاه داده‌های معتبر تعویض شود.
۷-كنترل هایی باید وجود داشته باشد تا از تغییرات در سطوح مجوزدهی هنگام انجام عملیات بانكداری الكترونیك اجتناب شود.هر گونه تلاشی برای تغییر مجوزدهی بایستی قفل شود و به اطلاع مدیریت‎برسد.
• ضمیمه ۴- رویه های مربوط به سرنخ های حسابرسی دقیق برای سیستم‏های بانكداری الكترونیك
۱-باید سوابق كافی برای تمام معاملات بانكداری الكترونیك در نظر گرفته شود تا یك سرنخ حسابرسی روشن ایجاد و به حل اختلاف كمك كند.
۲-سیستم های بانكداری الكترونیك باید به گونه ای طراحی و نصب شوند تا بتوانند شواهد قانونی را جذب و نگهداری كنند .این امر باید طوری صورت گیرد تا بتوان شواهد را كنترل ، از رخنه جلوگیری و شواهد كاذب را گردآوری كرد.
۳-در مواقعی كه سیستم های پردازش و سرنخ های حسابرسی مربوط در مسئولیت یك ارائه كننده ثالث خدمات قراردارد.
&#۶۱۶۵۵; بانك باید اطمینان حاصل كند كه به اطلاعات مربوط به فعالیت های حسابرسی مربوط كه توسط ارائه كننده خدمات نگهداری می شود، دسترسی دارد.
&#۶۱۶۵۵; سرنخ های حسابرسی نگهداری شده توسط ارائه كننده خدمات باید با استانداردهای بانك مطابقت كند.
• ضمیمه ۵- رویه های مناسب برای حفظ خصوصی بودن اطلاعات بانكداری الكترونیك مشتری
۱-بانك ها باید تفكیك های رمز نگاری مناسب، پروتكل های خاص یا سایر كنترل‏های ایمنی را به منظور اطمینان از محرمانه نگهداشتن اطلاعات بانكداری الكترونیك به كار گیرند.
۲-بانك ها باید روش ها و كنترل های مناسبی را برای ارزیابی گاه به گاه زیر ساخت امنیتی مشتری و پروتكل های بانكداری الكترونیك ، مورد توجه قراردهند.
۳-بانك ها باید اطمینان حاصل كنند كه ارائه كنندگان ثالث خدمات سیاست‏های
محرمانه نگه داشتن و حفظ حریم خصوصی را كه سازگار با‏خودشان‏باشد‏،‏اعمال‏می‏كنند.
۴-بانك ها باید گام مناسب را برای آگاهی‏رسانی‏به‏مشتریان‏بانكداری الكترونیك ‏درباره‏محرمانه‏بودن‏وحفظ‏ اطلاعات خصوصی افراد بردارند.این گام ها عبارتنداز:
&#۶۱۶۵۵; اطلاع رسانی به مشتریان در مورد سیاست حفظ حریم خصوصی افراد از سوی بانك ، حتی الامكان از طریق وب سایت بانك.در این زمینه استفاده از زبان روشن و فشرده توصیه می شود تا اطمینان حاصل‏شود كه مشتری كاملاً سیاست مورد بحث را درك می كند.توضیحات بلند حقوقی، هر چقدر هم دقیق باشد بطور معمول توسط‎اكثر‎مشتری‎ها‎خوانده‎نمی‏شود.
&#۶۱۶۵۵; آموزش‎به‎مشتریها‎درموردلزوم حفاظت‎ ازرمزواژه‎ها‎،شماره‎های‎شناسایی‎شخصی‎ یا‎سایر‎داده‎های‎شخصی‎و‎بانكی‎خودشان
&#۶۱۶۵۵; در اختیار نهادن اطلاعات مربوط به امنیت عمومی كامپیوترهای شخصی مشتریها، از جمله مزایای استفاده از نرم‏افزار محافظت در قبال ویروس ، كنترل های دستیابی فیزیكی و دیوارهای آتش شخصی برای اتصالات ایستایی(STATIC) اینترنت
• ضمیمه ۶- ظرفیت مناسب، تداوم تجارت و رویه های برنامه ریزی اضطراری برای بانكداری الكترونیك
۱-تمام خدمات و كاربری های بانكداری الكترونیك، از جمله آنهائیكه توسط ارائه كنندگان ثالث خدمات داده می‏شود ، بایستی به لحاظ حیاتی بودن، شناسایی و تحت آزمایش قرار گیرند.
۲-برای همه خدمات و كاربریهای حیاتی بانكداری الكترونیك ، از جمله موارد بالقوه اخـــــــلال تجاری در مورد خطرات
اعتباری‏،بازاری،نقدینگی ، حقوقی، عملیاتی و شهرتی بانك، باید ارزیابی خطر انجام‏شود.
۳-معیار عملكرد برای همه خدمات و كاربری های بانكداری الكترونیك باید تعریف شود و سطح خدمات در برابر چنین معیاری كنترل شود. تدابیر مناسب باید به منظور اطمینان از این نكته كه همه سیستم‏‎های بانكداری الكترونیك قادر به انجام معاملات كوچك و بزرگ هستند اتخاذ‏شود و اینكه عملكرد سیستم ها و ظرفیت‏ها با انتظارت آتی بانك برای رشد در زمینه بانكداری الكترونیك سازگاری دارد.
۴-ملاحظاتی باید برای توسعه روش‏های پردازش اطلاعات به صورت جانشین در نظر گرفته شود تا بتوان زمانی كه سیستم های بانكداری الكترونیك به نظر می رسند به ظرفیت های تعریف شده خود رسیده اند، آنها را اداره كرد.
۵-برنامه های تداوم تجارت بانكداری الكترونیك باید به گونه ای تدوین شود تا بتوان برنامه های اتكاء به ارائه كنندگان ثالث خدمات و سایر وابستگی های خارجی مورد نیاز را تنظیم كرد.
۶-برنامه های اضطراری بانكداری الكترونیك باید فرآیندهایی را به منظور از سرگیری یا جانشین كردن قابلیتهای پردازش عملیات بانكداری الكترونیك، بازسازی اطلاعات معاملاتی پشتیبان در صورت وقوع اختلال تجاری ، در برگیرد. این فرآیندها از جمله باید اتخاذ تدابیری به ویژه، برای از سرگیری فعالیت سیستم ها و كار بررسی های حیاتی بانكداری الكترونیك را شامل شود.