پایان نامه عوامل موثربر اعتماد مشتریان به خدمات بانکداری اینترنتی

حريم خصوصي و محرمانگي :

حريم خصوصي يعني صاحب اطلاعات قادر به کنترل اطلاعات خود مي باشد . بر عکس محرمانگي به معناي پنهان بودن است يعني تنها گيرندگان مورد نظر يک پيام مي توانند آنرا بخوانند.( , Janes Michaei Stewart2005) در هر تراکنش بر روي اينترنت، اطلاعات مشتريان تنها بايد توسط افراد مجاز قابل دسترس باشد، يعني اين اطلاعات بايد محرمانه و خصوصي باقي بماند(2000 ,Stallings). مشتريان لازم است مطمئن شوند که هنگام استفاده و يا ايجاد تغيير در اطلاعات، داده هاي حساس نبايد در معرض طرفهاي ثالث واقع شوند و يا بدون کسب اجازه آنها را به طرفهاي ثالث بدهند.

2-1-2)رمزنگاري ، پايه و اساس بيشتر روشهاي ايجاد امنيت در داده هاي موقت (مثل کوکي هاي موجود در کامپيوتر کاربران يا فايل ثبت وقايع موجود در سرويس دهنده وب) و در داده هاي دائمي (مثل مشخصات حساب مشتريان موجود در سرويس دهنده ها) مي باشد. روشهاي مختلفي براي تراکنشهاي امن در اينترنت وجود دارد که همگي بر پايه رمزنگاري ميباشند مثل SSL و TLS[1] که هر دو براي حفاظت از تبادل رمز عبور و نام کاربري در حين عمليات احراز هويت و تصديق اصالت طراحي شده اند. (2001 ,Ting Yu)

زير ساختهاي حريم خصوصي دسترسي کاربران به وب سايت ها را محدود تر مي کند و در صورتيکه ملاحظات مربوط به حريم خصوصي کاربران با آن سازگار نباشد ، به صورت خود کار به کاربر هشدار داده مي شود.(octobr 2001, Spiekerann)

2-1-3)در دسترس بودن:

در دسترس بودن يعني نگهداشتن هر سيستم به صورت فعال و در حال کار (استوارت ،2005)در سايت بانکداري اينترنتي در دسترس بودن هم به دسترسي بموقع مشتريان به اطلاعات اشاره دارد و هم به حفظ دسترسي در برابر قطع شدن سرويس مورد استفاده آنها اشاره دارد . اين امر مهم هم توسط نرم افزار (برنامه هاي مقياس پذير و با تحمل خطا ) و هم سخت افزار (مثل ديسکها و سرويس دهنده هاي مضاعف ، اتصالات با پهناي باند زياد به اينترنت و پردازنده هاي موازي) محقق مي شود .

2-1-4)صحت داده :

اطلاعات دريافت شده توسط گيرنده دقيقا بايد با اطلاعات ارسالي برابر باشند. اطلاعات موجود بر روي سرويس دهنده وب يا کوکي هاي موجود در کامپيوتر مشتري نبايد توسط افراد غير مجاز تغيير کنند . تنها افراد مجاز اجازه تغيير اطلاعات را دارند که شامل نوشتن ، تغيير ، تغيير وضعيت ، حذف و ايجاد داده جديد ميباشد(استوارت ،2005). به عنوان مثال در مورد داده هاي داخل دستور پرداخت نظير هويت مشتري و بانکها ، محتواي پرداخت ، مبلغ و شماره حساب همگي بايد به صورت امن جابجا شوند.

توابع در هم ساز[2]، كارت هوشمند ، امضاي ديجيتالي و گواهي هاي ديجيتال از تكنيكهاي مورد استفاده در ايجاد صحت داده مي باشند ،کهازالگوريتم رمزنگاري نامتقارن والگوريتمهايدرهم ساز[3]استفادهميکنند(استوارت ،2005)

 

2-1-5)احراز هويت و تصديق اصالت:

افراد شرکت کننده در بانکداري اينترنتي (مشتري ، بانکها و شرکتهاي ثالث ) نياز دارند که به هويت ساير موجوديتها دخيل در بانکداري اينترنتي اعتماد داشته باشند . تعيين هويت مثبت همراه با سطوحي از اطمينان بايد قبل از صدور مجوز حقوق و امتيازات مشخص به هر موجوديت قابل دسترس باشد(Ferrqro ،2003).

يک برنامه احراز هويت و تصديق اصالت موثر بر پايه ريسک بايد طوري پياده سازي شود که مطمئن شود کنترلها و روشهاي احراز هويت براي تمام محصولات و خدمات اينترنتي بانکها مناسب مي باشد و با افشاي حداقل اطلاعات طرفين عمل احراز هويت و تصديق اصالت صورت گيرد. جهت ماکزيمم کردن قابليت همکاري با ساير خدمات بانکي ، عمل احراز هويت و تصديق اصالت بايد با استراتژي کلي بانک در مورد بانکداري اينترنتي و سرويسهاي مشتريان در تجارت الکترونيک سازگار باشد. روش تصديق اصالت واحراز هويت استفاده شده دريک برنامه تحت وب خاص بايد مناسب ريسکهاي پيش بيني شده در آن برنامه باشد. بدليل اينکه استائدارد هاي پياده سازي يک سيستم بانکداري اينترنتي با تغيير در تکنولوژي تغيير مي کند موسسات مالي و بانکها براي اينکه مطمئن شوند که تغييرات مناسب اعمال شده است، بايد يک پروسه مداومي را جهت بازبيني تکنولوژي تصديق اصالت واحراز هويت توسعه دهند.

بانکهايي که تنها از يک فاکتور جهت احراز هويت استفاده مي کنند در برابر ريسکهاي جديد يا تغيير يافته اي مانند دسترسي به اطلاعات حساس مشتريان، کدهاي مخرب و ساير تکنيکهاي مخرب قرار مي گيرند. بنابراين ارزيابي ريسک نشاندهنده اين واقعيت است که يک فاکتور جهت تصديق اصالت واحراز هويت کفايت نمي کند و موسسات مالي و بانکها بايد از چند فاکتور پياده سازي تصديق اصالت واحراز هويت(مثلpin code و روشهاي بيومتريک[4] به صورت همزمان) ، معماري لايه لايه امنيت و ساير کنترلها جهت کاهش ريسک استفاده کنند .

با رشد بانکداري اينترنتي و تجارت الکترونيکي، موسسات مالي بايد روشهاي قابل اعتمادي را جهت ايجاد حساب براي مشتريان آنلاين استفاده کند. در اين راستا، احراز هويت مشتريان در طول ايجاد حساب ضروري مي باشد، و در کاهش ريسک سرقت هويت، تهديدات مربوط به برنامه حسابهاي بانکي و موافقت نامه ها حياتي مي باشد . .به صورت بالقوه زمانيکه يک بانک يا موسسه مالي يک مشتري جديد از طريق اينترنت يا ساير کانالهاي الکترونيکي پذيرش مي کند، ريسکهاي پايه اي آن افزايش مي يابد. يک روش تشخيص هويت مشتريان ارائه اعتبار و هويت اثبات شده آنها از طريق طرف سوم قابل اعتماد مي باشد. به طور مشابه ، جهت ايجاد اعتبار براي يک تجارت خاص و يا توانايي يک شخص در انجام تراکنشهايي که بر عهده اوست، بانکها مواد قانوني شرکت يا شخص، گزارشات اعتباري، راه حل هيئت مديره در شناسايي مامورين و امضاکنندگان مجاز و ساير اعتبارات تجاري را مورد بازبيني قرار مي دهد. به هر حال در بانکداري اينترنتي ، اتکا به فرمهاي سنتي احراز هويت کاغذي اساسا کاهش مي يابد. بنابراين موسسات مالي نيازمند استفاده از روشهاي قابل اطمينان ديگر ميباشند.

استفاده از گواهي هاي ديجيتالي[5] روشي است که به صورت گسترده براي احراز هويت و تصديق اصالت اعمال ميشود . بانکها و مشتريان مي توانند توسط اين گواهي ها و کليد هاي مخفي که توسط طرفين معامله استفاده مي شوند، قانوني بودن و اعتبار هر يک از طرفين معامله را از طريقCA[6] تعيين و تصديق کنند . به عنوان مثال[7] SET ، يک پروتکل باز و چند طرفه است که پرداختهاي بانکي توسط کارت را از طريق يک شبکه باز منتقل مي کند . اين پروتکل براي اينکه به طرفين معامله اجازه دهد که هويت يکديگر را تاييد کنند ، از گواهي هاي ديجيتالي استفاده مي کند .شناسه و رمز عبور ‌،كارت هوشمند (حاوي كليد خصوصي) و گواهي هاي ديجيتالي(حاوي كليد عمومي) از رايجترين روشهاي احراز هويت و تصديق اصالت مي باشد که از الگوريتم رمزنگاري نامتقارن استفاده مي کنند.(2005, Stewart)

2-1-6)کنترل دسترسي:

در انجام هر تراکنش مالي هر مشتري بايد بتواند در حدي که مجاز است تراکنش مالي انجام دهد . به عنوان مثال هيچ پولي به مشتري پرداخت نشود مگر اينکه کاملا مطمئن شويم که تمام شرايط پرداخت بر اساس هويتي که قبلا شناسايي شده است را دارا مي باشد، و مجاز به برداشت حجم معيني است که از قبل برا ي او تعريف شده است.کنترل دسترسي معمولا به صورت جداول کنترل دسترسي براي هر مشتري بر اساس سياستهاي بانک مورد نظر تعيين ميشود(2005, Stewart)

 

2-1-7)انکار ناپذيري:

در هر تراکنشي طرفين معامله بايد جهت انجام معامله، مورد حسابرسي قرار گيرند يعني آنها نبايد قادر باشند حضور خود را در آن معامله انکار کنند. بر عکس ، همانگونه که موجوديتها نبايد بتوانند حضور شان را در معامله انکار کنند ، در صورتيکه واقعا در معامله اي شرکت نکرده اند، بايد قادر باشند عدم حضور خود را نيز اثبات کنند. انکار ناپذيري قدرت انکار را مينيمم مي کند ولي باعث کاهش گمنامي ، افزايش ريسکهاي مربوط به شکسته شدن حريم خصوصي ميشود(2000,albert,2000, Friedman)

(Friedman، 2000) ( 2000,Leon)توابع در هم ساز، كارت هوشمند ، امضاي ديجيتالي، گواهي هاي ديجيتال و سيستمهاي ثبت وقايع از تكنيكهاي ايجاد انكارناپذيري مي باشند، که از الگوريتم رمزنگاري نامتقارن و درهم سازاستفاده ميکنند.

 

2-1-8)نظارت و گزارشگيري:

سيستمهاي مربوط به نظارت[8]ميتوانند دسترسي هاي غير مجاز به سيستمهاي کامپيوتري و حسابهاي مشتري را تشخيص دهند. يک سيستم احراز هويت ، تشخيص اصالت و انكارناپذيري مناسب بايد شامل امکانات بازرسي و حسابرسي نيز باشد ، که بتواند به تشخيص تهاجمات ، شستشوي پولي ، به خطر افتادن رمز عبوز ، و ساير فعاليتهاي غير مجاز کمک کند. ثبت و نگهداري وقايع[9](audit log) باعث تشخيص فعاليتهاي غير مجاز، تشخيص نفوذ ، بازسازي وقايع و ترفيع حسابرسي کارمندان و کاربران مي شود .علاوه بر اين موسسالت مالي بايد بتوانند فعاليتهاي مشکوک را به نمايندگي هاي قانوني گزارش کنند. موسسات مالي بايد بر روي لايه هاي چند گانه کنترل براي جلوگيري از کلاهبر داري و حفاظت از اطلاعات مشتريان تکيه کنند. بيشتر اين کنترلها مستقيما بر پايه تصديق اصالت واحراز هويت نمي باشند. به عنوان مثال يک موسسه مالي مي تواند فعاليت مشتريانش را براي تشخيص الگوهاي مشکوک آناليز کند . مکانيسم گزارشگيري مناسب براي اطلاع رساني به مديران نيز لازم ميباشد .خصوصا، اگر سيستمها و فرآيندهاي حساس به شرکتهاي ثالث داده شود، مديران بايد اطمينان حاصل کنند که توابع نظارت و گزارشگيري مناسب در حال اجرا مي باشد و فعاليتهاي غير مجاز و مشکوک در زمانهاي بخصوصي با بانک ارتباط ندارند، و يک عضو غير وابسته (مثل بازرسهاي داخلي و خارجي )گزارشات فعاليت را بازبيني و عملکرد مديران امنيتي را جهت اعمال کنترلهاي لازم و توازن سيستم مديريت امنيتي ثبت کند2005, Stewart)) ..

چنانچه مشاهده ميکنيد روشهاي ايجاد اعتمادي که بر پايه امنيت است بر پايه و اساس PKI و CA استوار است .[10]PKI عبارتست از تكنولوژي ، فرايند و خط مشي كه محيطي را براي تآمين امنيت بر اساس شناسايي ، محرمانه بودن ، امانت داري ، انكار ناپذيري و كنترل دسترسي فراهم مي سازد. این سیستم به بازرگانان اجازه می دهد از اینترنت استفاده کرده تا اطلاعات مهم تجاری آنان از رهگیری ، دخالت و دسترسی غیر مجاز در امان بماند. به عنوان مثال تركيب قانوني و امن ايميل و تبادلات مالي تحت اينترنت و انتقال خدمات تماماً در سايه PKI تحقق مي يابد.

 

3-)کارايي

وقتي يک برنامه کاربردي در يک محيط عملياتي مثل اينترنت اجرا مي شود ،عملکردش با آنچه که در طول ايجاد برنامه مشاهده مي شود تفاوت مي کند .

وقتي که تعداد زيادي از کاربران تلاش مي کنند که به وب سايت دسترسي داشته باشند ، بدليل افزايش تقاضا براي پهناي باند و منابع سرويس دهنده کارايي پايين مي آيد . هنگاميکه در سمت سرويس دهنده مصرف منابع تا سطوحي که در طول طراحي ملاحظه نشده افزايش يابد، در سمت مشتري زمان پاسخ ( کل زمانيکه طول مي کشد از لحظه اي که مشتري بر روي موس کليک مي کند تا زمانيکه صفحه وب کاملا برروي صفحه نمايش داده مي شود)مساله قابل بحثي خواهد شد(Dustin،2002) بانکها بايد مطمئن شوند که صفحات وبشان بر روي اينترنت به خوبي کار مي کند .براي رسيدن به يک کارايي مورد قبول ، فاکتورهايي مثل متوسط سرعت بارگذاري و بالا گذاري يک وب سايت ، شرايط ايجاد ترافيک ، دسترسي به پايگاه داده ، زمان پردازش ، بهينه سازي منابع سرويس دهنده و سرعت اتصال قابل قبول براي مشتريان بايد با دقت زياد مطالعه و آزمايش شوند.

4-)مقياس پذيري

زمانيکه تعداد زياد کاربران همزمان بخواهند به وب سايت دسترسي پيدا کنند ، ممکن است يک يا تعداد بيشتر منابع مربوط به آن سرويس دهنده اشباع شده ، جلسه فعال آن سرويس دهنده با مشتري قطع و يا آن سرويس دهنده از سرويس خارج شود. در نتيجه وب سايت قادر نخواهد در خواست کاربران را به خوبي پردازش کند، و متوسط زمان پاسخ افزايش مي يابد(شعبانی ،1391). زمانيکه چنين اتفاقي مي افتد ، مشتريان تفکر خود را نسبت به سايت تغيير داده و آنرا به قصد سايتهاي رقيب ترک مي کنند . بنابر اين براي هر وب سايت اين مسئله مهمي است که بتواند از تغييرات ايجاد شده در تعداد کاربران همزمان پشتيباني کند.

يک وب سايت براي اينکه بتواند تمام درخواستهاي مشتريان به صورت تراکنشهاي امن انجام دهد و يا اينکه از هر گونه تغييري در تعداد کاربران همزمان پشتيباني کند ، منابع محاسباتي به زيرساختهاي تکنولوژي خود اضافه مي کند که اين قابليت را مقياس پذيري مي نامند.( 2000,Jean Camp).

 

روش ديگري نيز وجود دارد که در 11 سپتامبر سال 2001 در بيشترسايتهاي خبري از آن استفاده مي شد، در اين روش ولي حدکثر ظرفيت و بازده سايت را به ازاي هر کاربر و يا به ازاي هر دسترسي کاهش مي دهند : ساختار ظاهري سايت بسيار راحت است ، عناصري مانند فريم ها ، عکسهاي حجيم و محتوايي که خارج از سايت اجرا مي شوند را حذف مي کنند . ساير تکنيکها ، مثل انتقال حجم کاري سرويس دهنده ( انتقال پردازشها از سرويس دهنده به سمت مشتري) و زمانبندي کردن تراکنشها بر اساس مواقعيکه سرويس دهنده در دسترس است ، نيز مي تواند به وب سايتها کمک کند تا تغييرات ايجاد شده در حجم کار سرويس دهنده را اداره کنند. بانکها مي توانند از هر يک از اين روشها يا تر کيبي از اين روشها جهت سرويس دهي به تعداد متغيير مشتريان بالقوه سايتشان استفاده کنند.

 

5-)سازگاري

ظاهر و عملکرد مناسب و هماهنگ يک سايت بانکداري اينترنتي از ضروريات موفقيتش مي باشد. وجود مشکلات و ناهماهنگي در سايت از عملکردصحيح آن جلوگيري کرده و در نتيجه رضايت مشتريان و اعتماد به وب سايت مورد نظر را کاهش مي دهد.

وقتيکه يک وب سايت بانکداري اينترنتي تنها براي تعداد خاصي از مشتريان با مشخصات خاص طراحي شده باشد ، مشکلات مربوط به هماهنگي و سازگاري بروز خواهد کرد.اين مشکلات زماني اتفاق مي افتد که بينندگان از کاوشگرهايي(ويا نسخه هاي متفاوت کاوشگر) استفاده کنند که در طول طراحي تست نشده اند . يا زمانيکه براي اجراي وب سايتها بايد نرم افزارهايي بروي کامپيوتر مشتري نصب شود .بنابراين ، وب سايتها به صورت کلي بايد توسط مجموعه مختلفي از نرم افزارها و سخت افزارها مورد بررسي قرار گيرند ، تا بتوانند يک تجربه قابل قبول براي مشتري ايجاد کنند ، مشکلاتشان را کاهش دهند و به ايجاد فضاي اعتماد کمک کنند.

6-Transport Layer Security

1-hash function

2- hash algorithms

1-Biometric

2-Digital Certificate

3-Certification Authority

4-Secure Electronic Transaction

1-monitoring

1-audit log

2-Public Key Infrastructure