خلأ قانون حفاظت از دادهها در بورس
به گزارش «دنیایاقتصاد» اهمیت حفظ اطلاعات مشتری، یکی از نیازهای اعتمادسازی برای فعالیتهای آنلاین و کسبوکارهای این حوزه است، اما خبرهای درج اطلاعات روی اینترنت و لو رفتن حریم شخصی «دادههای کاربری مشتریان» میتواند تمام بنیانهای یک فضای کسبوکار هر چقدر با پشتیبانی و سبقه عالی از لحاظ برندسازی را از بین ببرد.
با اوجگیری ویروس کرونا و هجوم مردم به کسبوکارهای مجازی، برخی رخنههای امنیتی باعث شده است موضوع امنیت مورد توجه رسانهها و مردم قرار بگیرند. خبر درز اطلاعات مشتریان سامانهها و پلتفرمهای آنلاین در روزهای اخیر خبرساز شد. دامنه درز اطلاعات به بازار سرمایه نیز رسید. میتوان به ماجرای افشای اطلاعات ۱۱ هزار کاربر کارگزاری آگاه اشاره کرد که مورد توجه کاربران و رسانهها قرار گرفت.
محسن احمدی، مدیرعامل سرمایهگذاری بانک ملت در گفتوگو با «دنیایاقتصاد» میگوید: شاخصترین اطلاعاتی که باید نزد کارگزاریها حفظ شود شامل اطلاعات شخصی افراد، اطلاعات شناسنامهای افراد و اطلاعات حساب بانکی مشتریان است. همچنین اطلاعات حساب مشتری که از ۴ بخش خرید، فروش، دریافت و پرداخت است، تشکیل میشود.
او اضافه میکند کارگزاریها از همان ابتدا امین مردم بوده و سعی کردهاند این اطلاعات را محرمانه نگه دارند. احمدی درخصوص نحوه حفظ اطلاعات توسط کارگزاریها میگوید: کارگزاریها روی یک سرور دیگر بک آپ نگه میدارند و بعضی از کارگزاریها نیز در هفته یکبار از اطلاعات مشتریان و سیستمهای کارگزاری بک آپ میگیرند و بهصورت فیزیکی نگه میدارند تا اگر اتفاقی برای سرورها رخ داد، این اطلاعات محفوظ بماند.
احمدی اعلام کرد: شرکتهای خدمات برخط بازار سرمایه (oms)ها، با اجازه سازمان بورس و اوراق بهادار، در یک سرور اطلاعات کلی مشتریان کارگزاریها را که عضو آن oms هستند، با حفظ محرمانگی اطلاعات نگهداری میکنند که اگر برای سرورهای اطلاعات مشکلی پیش آمد، آن اطلاعات در جای دیگر محفوظ باشد.
او درخصوص لو رفتن اطلاعات برخی از کارگزاریها میگوید: این اتفاق برای کارگزاریهایی ممکن است رخ دهد که omsهای جداگانه دارد، یعنی اینکه برای خود سیستمهای آنلاین جداگانه طراحی کردهاند.
احمدی میگوید: با احتمال اینکه این سیستم به بقیه سیستمها وصل نبوده و سرورها دچار نوسانات برق شده بودند، آن اتفاق برای یکی از کارگزاریها رخ داده بود.
احمدی در پاسخ به این سوال که مسوولیت لو رفتن اطلاعات با کدام بخش است، میگوید: اینکه کدام بخش مسوول است بستگی دارد که اطلاعات از کدام بخش لو رفته است؛ اگر از طریق کارگزاری باشد مسوولیت حقوقی آن با کارگزاری است و اگر توسط شرکتهای oms این اتفاق به وجود آمده، مقصر این شرکتها هستند.
حمیدرضا مهرآور، مدیرعامل کارگزاری بانک سامان نیز درباره اطلاعات حفاظت شده در گفتوگو با «دنیایاقتصاد» میگوید: این اطلاعات شامل اطلاعات کلی مشتری، اطلاعات شناسنامهای، اطلاعات حساب و... میشود.
او ادامه میدهد: بهصورت کلی دادههای ما نزد شرکتها oms است و این شرکتهای oms باید تمهیداتی بیندیشند که دادهها حفظ شوند. همچنین دستهای از دادههای معاملاتی هستند که در هسته معاملات و در شرکتهای فناوری اطلاعات بورس محافظت میشوند. مهرآور اضافه میکند: شرکتهای کارگزاری باید اطلاعات را از omsها بگیرند و این اطلاعات را در جای دیگر ذخیره کنند.
او با انتقاد از خلأ قانونی در سازمان بورس میگوید: سازمان بورس باید شرکتهای oms را ملزوم کند که به جای اینکه اطلاعات را در یک دیتاسنتر ذخیره کنند در چند دیتا سرور اطلاعات را ذخیره کنند؛ به این نحو بسیاری از ریسکهای افشاشدن اطلاعات کاهش پیدا میکند.
مدیرعامل کارگزاری بانک سامان با بیان اینکه متهم اصلی در افشا شدن اطلاعات شرکتهای oms هستند، میگوید: با وجود این متاسفانه سازمان بورس مقصر اصلی افشا شدن اطلاعات کاربران را کارگزاریها میداند؛ درحالیکه اینگونه نیست و کارگزاریها هیچ نقشی در گرفتن اطلاعات و افشای آن ندارند.
او ادامه میدهد: کارگزاری در لحظهای که اطلاعات را از مشتری میگیرد، مسوولیت آن را میپذیرید؛ ولی بعد از آنکه وارد هسته معاملات و شرکتهای oms شد، این اطلاعات در اختیار افراد و گروههای مختلف قرار میگیرد که هر کدام باید وظیفهشان را برعهده بگیرند.
فردین آقابزرگی، مدیرعامل کارگزاری بانک رفاه نیز میگوید: کارگزاریها اطلاعات کاربران خود را یا در خود دیتاسنترهای کارگزاری نگهداری میکنند یا آنها را به شرکتهای oms انتقال میدهند و وظیفه نگهداری آنها را به این شرکتها محول میکنند.
او با انتقاد از قراردادهایی که بین شرکتهای oms و کارگزاریها بسته میشود، میگوید: متاسفانه قراردادهای قبول مسوولیت بین کارگزاری و oms تا حالا پیشبینی نشده است.
آقابزرگی افزود: متاسفانه هیچ قانون و قواعدی برای قبول مسوولیت از مخدوش شدن اطلاعات توسط سازمان بورس وجود ندارد و تنها ابلاغیههایی است که هر از چند گاهی به شرکتهای کارگزاری ارسال میشود و بیان میکند مسوولیت مخدوش شدن اطلاعات با کارگزاریهاست.
