این مستند راهنمای اخذ مجوز راه اندازی یک محصول، سرویس یا پدیده ای نوظهور و تازه در بازار سرمایه ایران است. قبل از هر چیز لازمه که سروده زیر از عبدالحمید بلوچ رو یک بار با صدای بلند بخونی و سعی کنی اون رو حفظ کنی و همیشه تو ذهنت داشته باشی:
// مشکلی نیست که آسان نشود
// مرد خواهد که هراسان نشود
// زین حوادث باید گذر کرد
// مشکلات باید پشت سر کرد
// ممکن است پرت خونین شود
// خاطرت نباید غمگین شود ...
حالا باید بریم سر اصل مطلب. برای اینکه بتونی مجوزی برای فعالیت یک محصول یا خدمت جدید در بازار سرمایه داشته باشی و به صورت قانونمند تحت نظر نهادهای ذیربط در بیای باید مراحلی که در ادامه بهش اشاره شده رو انجام بدی.
این راهنما سعی میکنه صفر تا صد مواردی که برای این موضوع لازم داری رو در اختیارت قرار بده.
برای گرفتن مجوز به صورت مشخص لازمه که تاییدات زیر رو داشته باشی:
۱. تایید رویههای تجاری محصول ( یعنی نحوه ارتباط گرفتن کاربرها با محصول شما، تمام رویهها، اکشنها و اطلاعاتی که در محصول شما به کاربر نهایی منتقل میشه.) این قسمت متاسفانه استاندارد مدونی نداره و خیلی به فردی که شما رو ممیزی میکنه بستگی داره.
۲. تاییدیه امنیت محصول (یعنی عدم آسیب پذیری در برابر حمله یا نفوذهای احتمالی آینده) از یک شرکت یا آزمایشگاه که پروانه و مجوز خودش رو از مرکز مدیریت راهبردی افتا گرفته باشه. لیست این شرکتها رو از اینجا میتونید ببینید.
۳. تاییدیه پیاده سازی صحیح زیرساخت. یعنی اینکه سرورهای شما معماری صحیحی داشته باشه و حتی الامکان دسترسی این سرورها از شبکه محلی شما برقرار بشه و ...
۴. تاییدیه امنیت سرورها و سیستمعاملها و پایگاههای داده
لازمه بگم که این مراحل اصلا به ترتیب نیست و باید سعی کنید حتی الامکان به صورت موازی همه موارد رو باهم پیش ببرید تا کار با سرعت بیشتری جلو بره.
به همین خاطر امیدوارم حداقل، زمانی که این مستند رو میخونید در فرآیند توسعه محصولتون باشید نه انتهای اون.
تمامی این موارد بالا برای اینه که خاطر یه جایی به اسم مکنا رو از زندگی آتی این طفل تازه به دنیا اومده راحت کنی و تا حد خوبی تضمین کرده باشی اتفاق بدی براش نمیوفته.
برای اینکه کمی در خصوص امن سازی خود محصولتون مطمئن بشید، حتما موارد زیر رو در حین توسعه یا قبل از اینکه اقدامی برای دریافت مجوز بکنید، چک کنید:
خلاصه این مواردی که گفتم معمولا ممکنه سرمنشا خیلی از اتکها باشه. یه استاندارد درست و حسابی به اسم OWASP هست که خیلی مفصل در مورد امن سازی محصولات نرم افزاری توضیح داده. سعی کنید حتما یک بار مرورش کنید.
به اینجا که رسیدیم فرض میکنیم محصول شما توسعه داده شده و موارد امنیتی که در موردشون صحبت کردیم رو هم لحاظ کردید. حالا باید بچههای دواپس کار پیاده سازی رو انجام بدن.
برای اینکه مطمئن بشیم ماشینها ( سرورهای مجازی یا VMs)ی که استفاده میکنیم حفره یا مشکل امنیتی نداره یه استاندارد به اسم CIS (Center of Internet Security) هست که راهکار مفصلی برای هاردنینگ سرورها و تکنولوژیها ارائه کرده و باید بسته به نوع سیستمعامل، پایگاه داده یا وب سروری که استفاده کردید دستورالعملش رو یک بار مرور کنید و مواردی که برای امن سازی پیشنهاد داده رو خط به خط اجرا کنید. شک نکنید که اگر این قسمت رو درست انجام بدید در آینده هم خیلی خیلی بهتون کمک میکنه.
من چندتا از این دستورالعملها رو براتون این پایین گذاشتم ولی اگر نسخهای رو نیاز داشتین که اینجا نبود، به وب سایت رسمی CIS برید و از اونجا درخواست بدید که براتون ایمیل بشه.
وقتی که از هاردنینگ سیستمعامل و پایگاه داده و بقیه داستانها خاطرمون جمع شد باید بروبچههای آی تی با یک معماری صحیح ارتباط این ماشینها رو با هم برقرار کنن.
برای این موضوع هم استانداردی وجود نداره یا حداقل من خیلی متوجه نشدم که چه اصولی باید پیش گرفت. به همین خاطر من تجربه خودم رو برای گرفتن مجوز پینوست زمانی که به این مرحله رسیدیم رو براتون میگم. مواردی که ما بهش برخوردیم و توسط ممیز محترم به شدت روش پافشاری میشد اینا بود:
خب بعد از تمامی این داستانهای فنی فرض میکنیم که یه محصولی امن به لحاظ نرم افزار، سرور و شبکه داریم و باید این طفل کوچیک اما قوی رو به مسئولین سازمان بورس پرزنت کنید تا مجوز فعالیت شما رو صادر کنن. به همین خاطر این چندتا مرحله آخر هم که بیشتر نامه نگاری هست رو باید دنبال کنید:
اول از همه باید یک نامه بزنید به «مدیریت محترم فناوری اطلاعات سازمان بورس و اوراق بهادار» با موضوع: درخواست بررسی و تائید همکاری. و توی این نامه توضیح بدین که این محصول قرار هست با چه بخشی از بازار سرمایه و چه شکلی همکاری کنه. به همراه نامه باید این فرم هم تکمیل و پینوستش کنید تا به اصلاح درخواست شما گردش بخوره.
بعد از اینکه این نامه وارد سازمان بورس و مکنا شد، بسته به نوع و ماهیت محصول شما به یک بخش تخصصی ارجاع میشه تا رویههای تجاری محصول شما توسط اون بخش یا معاونت تخصصی، مورد ارزیابی قرار بگیره. در خصوص رویههای تجاری هم اول مقاله توضیح دادم که چیه و خروجی مورد نظر چی باید باشه.
اگر جواب ممیزی رویههای تجاری مثبت بود و محصول شما مشکلی نداشت در پاسخ به نامهای که ممیز دریافت کرده بود یک نامه میزنن به « اداره کل و نظارت فناوری اطلاعات» و میگن که کار این دوستان درسته و شما زحمت بقیه چک و ممیزی فنی و امنیتی رو بکشید. ( اگر هم تو محصول شما مشکلی وجود داشته باشه معمولا این موارد رو بهتون اعلام میکنن و یه فرصت میدن برای رفع کردنش و مجدد ارزیابی میکنن تا وقتی که هیچ ایرادی باقی نمونه)
کار نظارت و بررسیهای فنی و امنیتی هم با مرکز نظارت بر امنیت اطلاعات بازار سرمایه یا همون مکنا ست. این دوستان هم زیرساخت شبکه و سیستمعاملها و ... رو حسابی چک میکنن و اگر مشکلی رو مشاهده نکنن یه نامه میدن دست راستتون به اسم مجوز!
خلاصه اینکه ما برای شروع محصولمون (پینوست) تقریبا هیچکدوم از این مراحل پر پیچ و خم رو نمیدونستیم و همش به در بسته میخوردیم و دوباره کاری میشد. به همین خاطر سعی کردم یه مستند کامل براتون تهیه بکنم. اگر هم جایی نیاز به راهنمایی بیشتر داشتین میتونید از طریق لینکداین من باهم در ارتباط باشید.
موفق باشید و رو به جلو - کیانوش آریانفــــــر