10 ادوات وبرامج مجانية لادار...

قضايا امن المعلومات في ا لتجارة الاكترونية

المقدمة:

منذ القدم وحتى وقتنا الحاضر,ومهنة التجارة من أشهر المهن التي يزاولها البشر,والتي تلعب دورا” هاما” في النمو الاقتصادي للدول, فهي توفر للتجار جني الأموال و توفر للمستهلكين السلع والخدمات التي يطلبونها, ولكنها تواجه العديد من الصعوبات,حيث على التجار السفر لعقد صفقاتهم التجارية , وعلى المستهلكين كذلك التجول في الأسواق لأوقات طويلة للبحث عن السلعة التي يريدونها , أما الآن ومع التطور التقني الذي نشهده في هذا العصر, جاءت التجارة الإلكترونية التي تلاشت فيها كل تلك الصعوبات, فأصبح بإمكان المستثمر عقد صفقاته التجارية و إدارة أعماله وهو في منزله وبكل سهولة , ومكنت المستهلك كذلك من التجول في المواقع الإلكترونية والبحث عن ما يريد بأفضل المميزات و أقل الأسعار وفي وقت قصير.
وقامت العديد من دول العالم بوضع قوانين لتنظيم هذه المعاملات الإلكترونية, كقانون نظام مكافحة جرائم المعلوماتية الموجود في المملكة العربية السعودية,والذي يهدف إلى حماية تلك المعاملات من خلال سن عقوبات صارمة على أصحاب النفوس الدنيئة الذين يقومون بالتعدي على تلك المعاملات.

 

المستفيدون من المقالة:

مستخدمي مواقع التجارة الإلكترونية.
محتوى المقال التفصيلي:

مفهوم التجارة الإلكترونية:

هي عبارة عن إجراء العديد من المعاملات المالية,وتنفيذ المعاملات التجارية كالبيع والشراء,وتقديم الخدمات, بشكل إلكتروني من خلال شبكة الإنترنت.

و بالرغم من ما تقدمه التجارة الإلكترونية من مميزات وخدمات إلا أنها ما زالت حتى الآن تفتقر إلى الحماية الكاملة من سرقة المعلومات , وما زالت تعاني من الاختراقات الأمنية من قبل ضعاف النفوس الذين يسعون إلى الحصول على المال بأي طريقة.

ومن أشهر طرق الهجوم التي تتعرض لها التجارة الإلكترونية:

1-الهندسة الاجتماعية (social engineering):

تعتمد هذه الطريقة على خداع واستغلال الآخرين,ولا تحتاج أن يمتلك المهاجم خبرات تقنية عالية . ومن الأمثلة عليها:
أن يقوم المهاجم بالبحث عن أوراق تحتوي على كلمات مرور, وأسماء مواقع إلكترونية, وأي معلومات هامة قام صاحبها برميها في سلة المهملات, أو قام بوضعها بالقرب من جهازه الخاص , وذلك حتى يتمكن المهاجم من الدخول لتلك المواقع الإلكترونية والحصول على خدماتها, أو أن يقوم المهاجم باستغلال طيبة الآخرين عن طريق التحاور معهم ومعرفة معلومات كاسم الأم,وعدد أفراد الأسرة ,واسم المدرسة الثانوية, ثم استغلال هذه المعلومات في استرجاع كلمات المرور من المواقع التي توفر خدمة استرجاع كلمات المرور من معرفة الإجابة على هذه الأسئلة.
وبالرغم من ما تتمتع به هذه الطريقة من سهولة بالغة ,إلا أنها تعتبر من أكثر الطرق نجاحا”وفعالية في عملية الاختراق.

2-الاصطياد الإلكتروني(phishing):

يقوم المهاجم بإرسال رسائل بريد إلكترونية خادعة إلى المستخدمين , هذه الرسائل تتضمن روابط لمواقع إلكترونية مزيفة تدعي أنها تقدم سلع وخدمات, أو تكون لمواقع إلكترونية مزيفة تدعي أنها بنوك وتقدم خدمات بنكية, وبالتالي عندما يقوم المستخدم بالدخول لتلك المواقع فإنها تطلب منه معلومات مثل معلومات حسابه البنكي ,أو معلومات بطاقته الائتمانية. إن هذه المواقع الإلكترونية المزيفة تكون مصممة بطريقة تشبه فيها المواقع الإلكترونية الحقيقة ,فعلى سبيل المثال,تكون واجهة الموقع المزيف متماثلة مع واجهة الموقع الحقيقي من ناحية الألوان وأشكال خانات تعبئة المعلومات, وكذلك ممكن أن يكون عنوان صفحة الموقع المزيف, يختلف بحرف واحد فقط عن عنوان صفحة الموقع الحقيقي , ونتيجة لدرجة التشابه العالية , فإن المستخدم قد لا يستطيع التفريق بين الموقع المزيف والحقيقي.
وتواجه مواقع التجارة الإلكترونية نوع آخر من الهجوم , يتمثل في انتحال الشخصية, الذي أدى إلى خسارة مادية بالغة للعديد من ممارسي التجارة الإلكترونية , ومن أمثلة هذا النوع:

1-الهجمات على برتوكول التوثيق باعتراض البيانات (man in the middle attack):

حيث يكون المهاجم في منتصف عملية الاتصال بين المستخدم والموقع الإلكتروني , فعندما يرسل المستخدم رقم البطاقة الائتمانية أو كلمة المرور, فإنها تصل إلى المهاجم الذي إما أن يقوم بإرسالها دون تغيير إلى الموقع الإلكتروني وهذا يسمى (passive attack) , أو أن يقوم المهاجم بتغييرها قبل إرسالها للموقع الإلكتروني وهذا يسمى(active attack),ويتمكن المهاجم في كلا الحالتين من الحصول على معلومات هامة ككلمة المرور , أو رقم البطاقة الائتمانية ثم استخدامها للدخول للموقع الإلكتروني وانتحال شخصية المستخدم. وغالبا” هذا النوع من الهجوم يحدث عندما تكون الشبكة غير مشفرة, فعلى المستخدم التعامل مع المواقع الإلكترونية التي تشفر المعلومات , وهي المواقع الإلكترونية التي تستخدم بروتوكول طبقة المقابس الآمنة(secure socket layer(, ويستطيع المستخدم معرفة ذلك من خلال اتصاله معها عن طريق (https) , والتي توجد فيها صورة القفل في أعلى أو أسفل الصفحة.

 

تشفير المعلومات المتبادلة بين المستخدم وبنك سامبا,حيث توجد علامة القفل, والإتصال يتم عن طريق https
هذه الصورة يتضح من خلالها تشفير المعلومات المتبادلة بين المستخدم وبنك سامبا,حيث توجد علامة القفل, والإتصال يتم عن طريق https

2-هجوم إعادة الإرسال((replay attack:

يشبه الهجوم على برتوكول التوثيق باعتراض البيانات و بدرجة كبيرة جدا”, فالمهاجم في هذه الطريقة يقوم بالتقاط المعلومات المتبادلة بين المستخدم و خادم الموقع الإلكتروني كاسم المستخدم و كلمة المرور , ثم يقوم المهاجم بعد فترة بإعادة إرسال هذه المعلومات إلى خادم الموقع الإلكتروني حتى يتمكن من انتحال شخصية المستخدم , والدخول إلى الموقع الإلكتروني . ويوجد عدد من الطرق لتفادي هذا النوع من الهجوم, منها ختم الوقت(time stamping) ,وهي عبارة عن وجود تزامن بين المرسل والمستقبل, حيث بالإضافة إلى المعلومات المرسلة, فإنه يتم إرسال الوقت الذي تم فيه الإتصال, وكلها تكون مشفرة, حتى اذا حصل عليها المهاجم فإنه لا يستطيع تغيير الوقت واستخدامها مرة أخرى.
ولتضمن المؤسسات الضخمة إنشاء مواقع إلكترونية آمنة للمستخدمين ,فإنه يجب تطبيق العديد من الإجراءات الأمنية في تلك المواقع ,فيجب على الشركات عدم الإفشاء عن نوع برامج الحماية التي تستخدمها لحماية مواقعها الإلكترونية حتى لا تسهل على المهاجمين عملية اكتشاف نقاط ضعفها وثغراتها الأمنية ,و يجب أن يكون النظام قادر على تحديد هوية الشخص والتأكد من صحتها ,و أن تكون معلومات المستخدمين في عملية الاتصال مشفرة حتى لايتمكن أي شخص من الإطلاع عليها ,ويجب كذلك أن توفر للمستخدم القدرة على مراجعة مصروفاته بشكل دوري لكي يتمكن من التصدي لعمليات السرقة في وقت مبكر.
ومع تطور أساليب الاختراق والهجوم , قامت المؤسسات التي لها مواقع تجارة إلكترونية بتوفير العديد من وسائل الحماية ضد هجمات انتحال الشخصية, ومن هذه الوسائل:

1-تثقيف وتوعية المستخدمين بأحدث أساليب المخترقين وكيفية تجنبها والتصدي لها.

هذه صورة للتوجيهات التي وضعها بنك سامبا,لتثقيف المستخدمين ومساعدتهم على مواجهة الاحتيال الإلكتروني

2-توفير الأجهزة الصغيرة التي تولد رقم تعريف شخصي للاستخدام الفوري:

هي عبارة عن أجهزة صغيرة تعرف باسم أجهزة التعريف ((authentication token, وهي سهلة الحمل ,وتعمل على توليد رقم يسمى رقم التعريف الشخصي((PIN ,وهذا الرقم يتغير كل دقيقة تقريبا” وبشكل مستمر.
وغالبا” البنوك تقدم هذه الأجهزة للعملاء الذين يملكون محفظة بنكية تحتوي على أسهم تجارية; لأن المحافظ البنكية تحتاج إلى حماية عالية وهي أكثر عرضة لمحاولات الاختراق وسرقة الأموال , فهذه الأجهزة تمكن العميل من بيع وشراء الأسهم وإدارة محفظته البنكية بكل سهولة و أمان وهو في منزله,فعندما يريد المستخدم الدخول للنظام لإدارة محفظته التجارية فإن عليه إدخال الرقم الظاهر في شاشة الجهاز بالإضافة إلى كلمة مروره التقليدية .إن هذه الطريقة تسمى ((RSA SecurID , وهي تعتمد على توليد كلمات مرور فورية تستخدم لمرة واحدة(OTP)
(one time password(, وبالرغم مما تمتاز به هذه الأجهزة من قدرة على توفير حماية للمستخدم من عمليات الاصطياد الإلكتروني و الهجمات على بروتوكولات التوثيق ,إلا أنها تسبب بعض الإزعاج للمستخدمين حيث يتوجب على المستخدم حملها , وكذلك قد تتعرض هذه الأجهزة للسرقة, بالإضافة إلى تكلفة صناعتها.

هذه صورة لمجموعة من أجهزة التعريف الشخصي.

3-تطوير وسائل الدفع المالي:

توفر المواقع الإلكترونية العديد من وسائل الدفع مثل: البطاقة الائتمانية التي تعتبر أكثر وسائل الدفع أمانا”; وذلك لأن الشركات المصدرة لها تتحمل كافة المسؤولية عند حدوث أخطاء, وكذلك تصدر كشوف دورية للحسابات يستطيع من خلالها المستخدم مراجعة مصروفاته . وحتى يتسنى للمستخدم الشراء بأمان ,فقد وفرت البنوك البطاقة الائتمانية التي تكون مخصصة للتسوق الإلكتروني , ويقوم المستخدم بشحنها بقيمة مشترياته.وهذه هي أفضل طريقة حتى لا يتعرض رصيد المستخدم للسرقة.

4-خدمة الرسائل القصيرة المتضمنة لكلمات مرور فورية:

فعندما يريد المستخدم الدخول مثلا” إلى حسابه البنكي , فإنه يدخل اسم المستخدم الخاص به, وكلمة مروره التقليدية , ثم بعد ذلك تصله رسالة قصيرة من البنك على جهازه المحمول, تحتوي هذه الرسالة على كلمة مرور فورية تستخدم لمرة واحدة , يقوم المستخدم بإدخالها لإكمال إجراءات التحقق من هويته , ثم بعد ذلك يتمكن المستخدم من إدارة حسابه البنكي.
ولكن المشكلة التي تواجهها هذه الطريقة هي إمكانية تعرض شبكات اتصال الهواتف المحمولة للتجسس من قبل المهاجمين.

 

إرشادات لتجارة إلكترونية آمنة:

1-على المستخدم التعامل مع مواقع التجارة الإلكترونية التي تشفر المعلومات , وهي المواقع التي يتصل معها المستخدم عن طريق https , و التي توجد فيها صورة القفل في أعلى أو أسفل الصفحة.
2-الدفع المالي عن طريق البطاقة الائتمانية , وشحنها بقيمة المشتريات.
3-استخدام كلمة مرور قوية يصعب تخمينها ,بحيث تكون مكونة من 8 خانات على الأقل تشمل حروف وأرقام ورموز ولا تحتوي على معلومات معروفة عن الشخص وبالتالي يمكن توقعها بسهولة , وكذلك يجب أن تكون كلمة المرور تختلف من موقع لآخر حتى إذا تم اختراق حساب المستخدم في أحدها , لا يتم اختراق بقية الحسابات.
4-عدم إفشاء رقم البطاقة الائتمانية ورقم كلمة المرور لأي شخص, وتجنب كتابة تلك المعلومات على أوراق يستطيع أي شخص الحصول عليها, وكذلك عند رميها فإنه يجب تمزيقها حتى لا يتمكن أي شخص من الحصول عليها .
5- التعامل مع مواقع التجارة الإلكترونية من خلال الجهاز الخاص بالمستخدم, و تجنب أن يكون ذلك في مكان عام حتى لا يتمكن أحد من اختلاس النظر .
6-تفعيل جدار الحماية الخاص بجهاز المستخدم, واستخدام برامج مكافحة الفيروسات وتحديثها دائما”.
7-تجنب الدخول إلى الروابط الموجودة في الرسائل الإلكترونية و إجراء معاملات مالية من خلالها , وإنما على المستخدم كتابة عنوان الموقع بنفسه في شريط العنوان ليتأكد أنه يتعامل مع الموقع الحقيقي غير المزيف.
8-على المستخدم التعامل مع المواقع الإلكترونية المشهورة والمعروفة , وليتأكد المستخدم من ذلك, فإن عليه وضع اسم الموقع في محرك البحث (قوقل), فإذا لم يجد أي معلومات عنه فهذه إشارة إلى أن الموقع مزيف ويهدف إلى سرقة المال.
9-على المستخدم متابعة مصروفاته و مراجعة حساباته البنكية بصورة دورية ,ليتصدى لأي هجمات تهدف إلى التعدي على أمواله.
10-قراءة سياسة الموقع التي تتبعها أثناء إجراء معاملاتها الإلكترونية, ومن خلالها يستطيع المستخدم أن يحدد مستوى الأمان والخصوصية التي يقدمها الموقع , بالإضافة إلى معرفة المستخدم بالهيئات التي قامت بتصديق الموقع , وبالتالي يتفادى المستخدم التعامل مع المواقع الغير موثوقة.
 

الخاتمة:

يجب على مستخدمي مواقع التجارة الإلكترونية الحذر الشديد أثناء أداء معاملاتهم المالية, وإتباع تعليمات الحماية , ليتمتعوا بتجارة إلكترونية آمنة, وخالية من المخاطر.

 

نُشر في <a href="https://max4arab.com/category/%d8%a7%d9%85%d9%86-%d9%85%d8%b9%d9%84%d9%88%d9%85%d8%a7%d8%aa/" rel="category tag">امن معلومات</a> الموسومة <a href="https://max4arab.com/tag/%d8%a7/" rel="tag">ا</a>، <a href="https://max4arab.com/tag/%d8%a7%d9%84%d8%a7%d9%83%d8%aa%d8%b1%d9%88%d9%86%d9%8a%d8%a9/" rel="tag">الاكترونية</a>، <a href="https://max4arab.com/tag/%d8%a7%d9%84%d9%85%d8%b9%d9%84%d9%88%d9%85%d8%a7%d8%aa/" rel="tag">المعلومات</a>، <a href="https://max4arab.com/tag/%d8%a7%d9%85%d9%86/" rel="tag">امن</a>، <a href="https://max4arab.com/tag/%d9%81%d9%8a/" rel="tag">في</a>، <a href="https://max4arab.com/tag/%d9%82%d8%b6%d8%a7%d9%8a%d8%a7/" rel="tag">قضايا</a>، <a href="https://max4arab.com/tag/%d9%84%d8%aa%d8%ac%d8%a7%d8%b1%d8%a9/" rel="tag">لتجارة</a>

قضايا امن المعلومات في التجارة الالكترونية

نظرة عامة:

يطلقون عليها لقب أمل الفقراء! إنها التجارة الإلكترونية. بعد التقدم التكنولوجي الذي يشهده العالم، لم تعد التجارة الإلكترونية حلماً صعب المنال. فقد سهلت التكنولوجيا عملية تبادل السلع عبر الإنترنت، وافتتاح متاجر حول العالم تكون ذات فاعليه أكبر من المتاجر في البيئة التقليدية وذو تكلفة أقل. فقد أحدثت التجارة الإلكترونية تغيراً في الفكر الاقتصادي العالمي بعد أن شكك البعض في أهميتها والقدرة على الاستفادة المادية منها. لكن لازال هناك عوائق تجنب المستخدمين والتجار من الاستفادة من التجارة الإلكترونية. وتتنوع هذه العوائق من اجتماعيه وثقافيه مثل اللغة الإنجليزية التي تكون مستخدمه عادة في هذه المتاجر، وقضائية لصعوبة وضع تشريعات وضوابط قانونية تتلاءم مع التعاملات التجارية الإلكترونية. لاسيما في وسط التطور المستمر للتكنولوجيا، واختلاف الأنظمة التشريعية المحلية حول العالم. ولعل أبرز هذه العوائق فيما يخص العلاقة بين المستهلك والبائع هي الثقة والحماية بين المستهلك والمتجر الإلكتروني. ولعل أسهل الحلول وأكثرها فاعليه هي توعية المستخدمين بأخطار التجارة الإلكترونية وكيفية تجنب الوقوع كضحايا للجرائم الإلكترونية المتعلقة بالتجارة الإلكترونية.
وسوف يوضح هذا المقال بإذن الله أهم التهديدات التي تواجه السرية والخصوصية بالنسبة للمستخدم وطرق الحماية لأنظمة الدفع المستخدمة في التجارة الإلكترونية. كما سيتم توضيح بعض الإحصائيات المتعلقة بالتجارة الإلكترونية في المملكة العربية السعودية.

المقدمة:

مما يدل على أهمية التجارة الإلكترونية، أدى تطورها السريع وانتشارها المتزايد في العالم إلى حرص وقيام العديد من البلدان في العالم بتسهيل وتنظيم التعامل لهذا الشكل الجديد من أشكال التجارة، والذي يتميز بحدة المنافسة.
من الأهداف التي سيخرج بها القارئ من هذا المقال:
• أنواع التجارة الإلكترونية المستخدمة والمتعارف عليها.
• كيفية حماية المستهلك من عمليات النصب والاحتيال التي تقع عند محاولة الشراء من المتاجر الإلكترونية المزيفة.
• توعية التجار وأصحاب المتاجر بأهمية التجارة الإلكترونية في وقتنا الحالي وطرق الحماية للخصوصية وأنظمة الدفع المالي.
• .إحصائيات عن التجارة الإلكترونية في المملكة العربية السعودية
وستكون مشكلة المقال الأساسية هي عدم وجود الثقة والخوف من المصداقية بين المستخدم وصاحب المتجر الإلكتروني.
وستكون نتائج هذا المقال بإذن الله مساعده للمختصين بهذا المجال والمهتمين به من الطلبة والمستخدمين.

مفهوم التجارة الإلكترونية:

“تعتبر التجارة الإلكترونية واحدة من التعابير الحديثة والتي أخذت بالدخول إلى حياتنا اليومية حتى أنها أصبحت تستخدم في العديد من الأنشطة الحياتية والتي هي ذات ارتباط بثورة تكنولوجيا المعلومات والاتصالات. التجارة الإلكترونية تعبير يمكن أن نقسمه إلى مقطعين، حيث أن الأول، وهو “التجارة”، والتي تشير إلى نشاط اقتصادي يتم من خلال تداول السلع والخدمات بين الحكومات والمؤسسات والأفراد وتحكمه عدة قواعد وأنظمة يمكن القول بأنه معترف بها دولياً، أما المقطع الثاني “الإلكترونية” فهو يشير إلى وصف لمجال أداء التجارة، ويقصد به أداء النشاط التجاري باستخدام الوسائط والأساليب الإلكترونية مثل الإنترنت.” [1]
كما أن للتجارة الإلكترونية عدة أنواع، فهي تقوم على علاقة بين طرفين، وكل من هذين الطرفين يعبر عن نوع مختلف من التجارة يختلف عن غيرها.

 

:Business – to – Business علاقة الـ

أي علاقة التاجر لـ التاجر ويشغل هذا النوع معظم التعاملات التي تتم في نطاق التجارة الإلكترونية. وفي هذا النوع تتم التعاملات بين جهتين تجاريتين.

:Business – to – Consumer علاقة الـ

أي علاقة التاجر لـ المستهلك وهو النوع المتعارف عليه بالنسبة للمستهلكين العادين، ويقوم المتجر بخدمة المستهلكين الكترونياً. قد يكون للمتجر تواجد فعلي على أرض الواقع وقد لا يكون.

:Consumer – to – Business علاقة الـ

أي علاقة المستهلك لـ التاجر، ويكون استخدامها عادة في الإعلان. كأن يطلب التاجر من المستهلك عرض الإعلان في موقع الخاص مثلا.

:Consumer – to – Consumer علاقة الـ

أي علاقة المستهلك لـ المستهلك وفي هذا النوع يقوم المستهلكون بتبادل التعاملات الإلكترونية بينهم مباشره بدون الحاجة لتدخل منظمة أو جهة معينه.

التهديدات التي تواجه سرية وخصوصية المعلومات الإلكترونية الخاصة بالمستهلك:

من مميزات التجارة الإلكترونية، الفعالية والسهولة في الاستخدام للقيام بالتعاملات اللازمة لإكمال العملية التجارية، وتقديم الفرص لشركات الصغرى لزيادة ربحها المادي بطريقة سهله وسريعة. إلا أنها وبالمقابل لها مساوئها، مثل تعريض معلومات المستهلك ومعلومات المنشأة أو المتجر الإلكتروني للخطر. خصوصاً وأن الإنترنت هو بوابه مفتوحة للعالم أجمع. فالبعض يسيء استخدامه بهدف العبث والتخريب أو بغرض السرقات.
التهديدات المحيطة بالتجارة الإلكترونية والتعاملات الإلكترونية، هي أحد الأسباب التي تجعل البعض يعزفون عن تجربة التجارة الإلكترونية وتبادل المعلومات. فحماية المعلومات الخاصة بالمستهلك والمنشأة هي البوابة الرئيسية لفتح باب الثقة في التعاملات الإلكترونية بين المستهلك والمنشأة.

من هذه التهديدات:

الحوادث غير متعمده:

مثل أن يقوم أحد الموظفين بمسح ملفات أحد الزبائن.

الكوارث الطبيعية:

مثل الحرائق قد تؤثر على شركات خدمات الإنترنت، مما يسبب في تعطله وقد يتسبب هذا الأمر في ضياع بعض المعلومات.

التخريب:

تخريب للنظام لأي سبب كان.

السرقة:

سرقة المعلومات الخاصة بالمستهلك مثل أرقام بطاقات الاعتماد. تعتبر من أكبر المخاطر انتشارا.

الفيروسات:

كإصابة الخادم المقام عليه المتجر بفيروس يقوم بإتلاف المتجر وضياع المعلومات المخزنة.
وعلى المنشأة تطبيق أسس إدارة المخاطر والمجازفات وذلك للحد من هذه المخاطر والتهديدات وهي كالآتي:
– تحديد المخاطر والتهديدات.
– تحديد الحلول الممكنة لهذه المخاطر.
– تطبيق هذه الحلول على المخاطر الأكثر احتمالا والتهديدات الأكثر خطرا.
مراقبة وتقييم هذه المخاطر والتهديدات لتفاديها في المستقبل.

 

من الحلول التي قد تساعد في تفادي هذي التهديدات والمخاطر:

.(Firewall)التحكم بدخول المستخدمين باستخدام الجدار الناري –

– استخدام برامج مضادة للفيروسات وتحديثها باستمرار.
– إنشاء نسخ احتياطية من المعلومات العامة و الخاصة بالمستهلكين في المنشأة أو المتجر بحيث يمكن استرجاعها لو تم فقدها.

اختيار أنظمة الدفع المالي وطرق حمايتها:

إن العمل في مجال التجارة الإلكترونية، يحمل الكثير من المسؤوليات. من أهم هذه المسؤوليات هي حماية وأمان الموقع.
إن عدم تأمين الحماية الكافية للموقع يمكن أن ينتج الكثير من العواقب الوخيمة للمنشأة. هناك عدة خطوات عامة لحماية موقع المنشأة وهي كالتالي:

استخدام بروتوكولات أمن المعلومات:

من أهم البروتوكولات المستخدمة في التجارة الإلكترونية هي الـ (Secure Sockets Layer)SSL

. Netscapeوهو بروتوكول قامت ببرمجته وتطويره شركة

وتدعمه جميع متصفحات الإنترنت في وقتنا الحالي. من مهام هذا البروتوكول، هو عدم كشف أو تعديل أو تغير محتوى الرسالة. كما أنه يضمن هوية المستخدمين.
الإلكترونية وخصوصاً في تعاملات بطاقات الاعتماد.B2C ويستخدم هذا البروتوكول في معظم تعاملات الـ حيث أنه من السهل استخدامه بالنسبة للمستخدم العادي فلا حاجة لتنزيل برمجيات إضافية أو شهادات رقمية. ,(Public Key) أما من ناحية التحقق من هوية الشركة، فالشركة تكون موثوقه لأن مفتاحها المعلن
يكون مصدر من قبل شركة معتمدة. لحظة دخول المستخدم إلى الموقع يتم إعلامه بأنه سوف يتلقى معلومات عبر اتصال آمن، وعند استخدام تقنيات التشفير يتغير عنوان الموقع من
https:// إلى http://

.SSL دلالة على استخدام بروتوكول الـ

,VPN وتسمى التقنيات المعتمدة عليه بـ IPSecهناك بروتوكول آخر مستخدم وهو بروتوكول
أي الشبكات الافتراضية الخاصة. يوفر هذا البروتوكول مستويات أمان عاليه جداً ولكم من عيوبه أنه لا يمكن استخدامه مع جدار الحماية الناري لذلك يستخدم عادة في تعاملات الأعمال للأعمال.

إحصائيات التجارة الإلكترونية في العالم والمملكة العربية السعودية:

“لقد بلغ حجم التجارة الإلكترونية في العالم حوالي 3.8 تريليون دولار في عام 2003، وذلك وفقا لتقديرات الأمم المتحدة، وقد تضاعف الرقم ليصل إلى 6.8 تريليون دولار في نهاية عام 2004، وإن نحو 80% من حجم التجارة في العالم يتم في الولايات المتحدة الأمريكية، 155 في أوروبا الغربية، 5% في بقية دول العالم، معظمها أو نحو 4% منها يتم في اليابان. كما ويشكل حجم التجارة الإلكترونية بين مؤسسات الأعمال حوالي 80% من حجم التجارة الإلكترونية في العالم. وتراوحت قيمة التجارة بين مؤسسات الأعمال في الاتحاد الأوروبي بين 185 مليار دولار و200 مليار دولار في عام 2002، كما أن التجارة الإلكترونية بين مؤسسات الأعمال قد وصلت في أوروبا الوسطى والشرقية إلى حوالي 4 مليارات دولار في عام 2003. وقد نمت هذه التجارة بشكل متسارع في منطقة آسيا والمحيط الهادئ من حوالي 120 مليار دولار في عام 2002 إلى حوالي 300 مليار دولار بنهاية عام 2003. وفي أمريكا اللاتينية بلغت قيمة الصفقات التجارية بين مؤسسات الأعمال على الشبكة مباشرة 6.5 مليارات في عام 2002 وارتفعت لتصل إلى 12.5 مليار دولار في عام 2003.
إن نسبة مستخدمي الإنترنت الذين يشترون بواسطة الشبكة مباشرة كانت أعلى في الولايات المتحدة الأمريكية والمملكة المتحدة وشمال أوروبا الغربية خلال الفترة 2000-2001، إذ بلغت نسبت مستخدمي الشبكة بعمليات شراء على الشبكة مباشرة حوالي 38%، أما في المكسيك فقد بلغت النسبة أقل من 0.6%.” [٢]
“ارتفع حجم التجارة الإلكترونية إلى 7 مليار دولار في عام 2005. كما أنفق السعوديون على الإنترنت 2,12 مليار ريال عام 2007. السعودية تنفق 40% من حجم الإنفاق على سوق تقنية المعلومات في الشرق الأوسط. إيرادات قطاع الاتصالات وتقنية المعلومات في المملكة أكثر من 43 مليار عام 2007.1900000 عملية لبرنامج سداد حتى 1430هـ.” [3]

الخلاصة:

على الرغم من انتشار التجارة الإلكترونية في الوقت الحالي، وفوائدها العديدة على المستهلك والتاجر، إلا إنها لا تزال تحمل العديد من المخاطر. ولا تزال العديد من الدول إلى هذه اللحظة تحاول حماية المستهلك والتاجر من خلال إصدار العديد من التشريعات المناسبة لطبيعة هذي العمليات الإلكترونية. وتوعية المستهلك والتاجر بالمخاطر وطرق الحماية.

نُشر في <a href="https://max4arab.com/category/%d8%a7%d9%85%d9%86-%d9%85%d8%b9%d9%84%d9%88%d9%85%d8%a7%d8%aa/" rel="category tag">امن معلومات</a> الموسومة <a href="https://max4arab.com/tag/%d8%a7%d9%84%d8%a7%d9%84%d9%83%d8%aa%d8%b1%d9%88%d9%86%d9%8a%d8%a9/" rel="tag">الالكترونية</a>، <a href="https://max4arab.com/tag/%d8%a7%d9%84%d8%aa%d8%ac%d8%a7%d8%b1%d8%a9/" rel="tag">التجارة</a>، <a href="https://max4arab.com/tag/%d8%a7%d9%84%d9%85%d8%b9%d9%84%d9%88%d9%85%d8%a7%d8%aa/" rel="tag">المعلومات</a>، <a href="https://max4arab.com/tag/%d8%a7%d9%85%d9%86/" rel="tag">امن</a>، <a href="https://max4arab.com/tag/%d9%81%d9%8a/" rel="tag">في</a>، <a href="https://max4arab.com/tag/%d9%82%d8%b6%d8%a7%d9%8a%d8%a7/" rel="tag">قضايا</a>

طرق حماية التجارة الالكترونية

عنوان زاوية اليوم هو عنوان كتاب لمؤلفة الدكتور سليمان بن محمد الشدي القاضي بديوان المظالم، هذا الكتاب في أصله رسالة دكتوراه من قسم السياسة الشرعية بالمعهد العالي للقضاء، وهو دراسة في أنظمة المملكة العربية السعودية وبعض القوانين العربية والعالمية مقارنة بالفقه الإسلامي، ونشر في هذه العام 1428هـ الموافق 2007م. يقع الكتاب في 502 صفحة وقدم له صاحب السمو الأمير الدكتور بندر بن سلمان بن محمد آل سعود مستشار خادم الحرمين الشريفين ورئيس فريق التحكيم السعودي. وتهدف هذه الوقفة إلى التعريف بهذا الكتاب عن طريق تقديم عرض مختصر وموجز لمحتواه.

وقد عرف المؤلف مفهوم الحماية في الكتاب بأنها مجموعة الطرق الشرعية والقانونية التي تحمي أموال وحقوق التجارة الإلكترونية والمتعاملين فيها. أما التجارة الإلكترونية فتم تحديد مفهومها بأنها “التعاملات التجارية التي تتم باستخدام وسائط إلكترونية” وهو تعريف يحقق العموم والشمول.

تبرز أهمية هذا الكتاب مع تزايد العمليات التجارية الإلكترونية على مستوى العالم، والمستوي المحلي والتطور الكبير في الوسائل التقنية المستخدمة لحماية هذا النوع من التجارة، يركز الكتاب على الحماية التشريعية والقانونية لهذا النوع من التجارة وإيجاد الحلول المناسبة لها خصوصاً وأنه وحسب الكتاب فإن البيئة القانونية والتشريعية تمثل ما نسبته 15% من مقياس الاستعداد الإلكتروني للدول في العالم. وفي هذا الكتاب تم تناول حماية التجارة الإلكترونية بشكل موسع في كافة فروع القانون المختلفة كالجانب المدني والجنائي والقضائي والمالي والدولي الخاص.

وقد شمل الكتاب مدخل لمفهوم التعاملات والتجارة الإلكترونية والتعاقد الإلكتروني وشرعيته، وفي الباب الأول تم التطرق للطرق العامة لحماية التجارة الإلكترونية وتشمل الحماية من خلال القواعد النظامية، والحماية الجنائية، والقضائية للتجارة الإلكترونية. أما الباب الثاني فيشمل طرق حماية التجارة الإلكترونية بالإثبات والتوثيق الإلكتروني، وتشمل الإثبات في مجال التجارة الإلكترونية، والتوقيع الإلكتروني، وتشفير البيانات، وشهادة المصادقة. والباب الثالث يغطي مواضيع طرق حماية أطراف التجارة الإلكترونية والمستهلك. أما الباب الرابع والأخير فتطرق بالشرح لطرق حماية التجارة الإلكترونية عند الدفع إلكترونياً وعند انتهاء العقد.

وقد شملت خاتمة الكتاب على ملخص جيد للبحث وأهم التوصيات. أما الملاحق فهي عن أهم المصطلحات العلمية الواردة في الكتاب والخاصة بالتجارة الإلكتروني، وملحق خاص بالأشكال والرسومات والمعلومات التوضيحية، وملحق خاص بأهم القوانين الصادرة في التعاملات والتجارة الإلكترونية، وهي خاصة بالبحرين، وإمارة دبي، وتونس، وأخيراً تم ذكر فهرس المراجع والمصادر.

إن الدمج بين العلوم من أهم سمات هذا العصر، فرغم أننا في عصر التخصص الدقيق، إلا أن هناك تداخل كبيراً بين العلوم المختلفة وعلوم تقنية المعلومات. ولعل هذه الرسالة والبحث يكون مفتاح لبحوث أخرى في هذا المجال، إن التفاعل بين التخصصات والمتخصصين والتفكير في أبحاث غير تقليدية يثري العملية البحثية ويكسر الحواجز النفسية من التخوف من الخوض في مجالات جديدة نوعاً ما. 

نُشر في <a href="https://max4arab.com/category/%d8%a7%d9%85%d9%86-%d9%85%d8%b9%d9%84%d9%88%d9%85%d8%a7%d8%aa/" rel="category tag">امن معلومات</a> الموسومة <a href="https://max4arab.com/tag/%d8%a7%d9%84%d8%a7%d9%84%d9%83%d8%aa%d8%b1%d9%88%d9%86%d9%8a%d8%a9/" rel="tag">الالكترونية</a>، <a href="https://max4arab.com/tag/%d8%a7%d9%84%d8%aa%d8%ac%d8%a7%d8%b1%d8%a9/" rel="tag">التجارة</a>، <a href="https://max4arab.com/tag/%d8%ad%d9%85%d8%a7%d9%8a%d8%a9/" rel="tag">حماية</a>، <a href="https://max4arab.com/tag/%d8%b7%d8%b1%d9%82/" rel="tag">طرق</a>

تطبيقات امنة في عملية الدفع الالكتروني

كلمات مفتاحية:

مفهوم الدفع الالكتروني وأهميته ، أمن الدفع الالكتروني، سرقة معلومات البطاقة الائتمانية.

مقدمة:

لم يعد مفهوم الدفع الالكتروني جديداً ؛ لأن عصر المعلوماتية ساهم في خلق عمليات جديدة تتناسب مع طبيعة الانتشار الواسع للشبكة العنكبوتية واستخداماتها. ومع انتشار جرائم الدفع الالكتروني توجب إيجاد قوانين حماية وتطبيقات آمنة لتسهيل عملية تحويل الأموال إضافة إلى أن الدفع الالكتروني يُعتبر عامل أساسي في تنمية وتطوير خدمات الحكومة الالكترونية والتجارة الالكترونية.

في هذا المقال سنتطرق إلى:
1- مفهوم الدفع الالكتروني ودواعي الحاجة إليه.
2- أهمية أمن الدفع الالكتروني.
3- أشكال أنظمة الدفع الالكتروني.
4- تطبيقات آمنة في عمليات الدفع الالكتروني.

أولاً : مفهوم الدفع الالكتروني ودواعي الحاجة إليه :

مفهوم الدفع الالكتروني:

الدفع الالكتروني هو المال أو العملة التي تٌتبادل بصفة الكترونية ، يتضمن ذلك حوالات الأموال الالكترونية والدفع المباشر ويُسمى أيضاً النقود الالكترونية.
تكمن الحاجة إلى عمليات الدفع الالكتروني في تنفيذ الإجراءات الالكترونية ، مثل : تحويل الأموال بين البنوك والعملاء – الدفع للشراء عن طريق الانترنت مقابل الحصول على السلع أو الخدمات – تسديد مستحقات الدولة على المواطن مثل غرامات المخالفات وغيرها – تسديد الفواتير الخدمات الأساسية مثل الماء والكهرباء والهاتف وغيرها.

 

ثانياً : أهمية أمن الدفع الالكتروني:

انتشرت بكثرة عمليات السرقة والاحتيال الالكترونية خصوصاً في ظل وجود لصوص تقنيين خلقوا من السرقة من خلال الانترنت مصدر ممتاز للرزق وهذا ما تطلّب وجود قوانين حماية وتطبيقات آمنة لتسهيل عملية تحويل الأموال. قوانين الحماية هي التدابير التشريعية الصادرة عن هيئة الاتصالات وتقنية المعلومات وتضمن حقوق المستخدمين وخصوصاً المبتدئين منهم.

ثالثاً : أشكال أنظمة الدفع الالكترونية:

الدفع الالكتروني يتم في عمليات متصلة بشبكة إما عامة أو خاصة ، وعلى هذا الأساس فإن أنظمة الدفع الالكتروني تتم كأحد ثلاثة أشكال :

1. الدفع عن طريق نقاط البيع ( Point of Sale ):

في حالة عدم توفر النقد الورقي حال الشراء فإنه يمكن للمشتري الدفع عن طريق البطاقة البنكية أو الائتمانية ، تتم العملية عبر إمرار البطاقة على قارئ للشريط المغناطيسي الموجود خلف البطاقة ، بعد ذلك يتم إدراج المبلغ المطلوب ثم يُطلب من المشتري إدخال الرقم السري. تُنقل معلومات الشراء عبر شبكة آمنة تماماً ويحصل المشتري على إيصال يتضمن أهم المعلومات عن هذه العملية للرجوع إليه عند الضرورة.

2. الدفع عن طريق أجهزة الصراف الآلي ( ATM’s ) :

الصرافات الألية هي نظام معلومات متكامل يمكن عن طريقه السحب النقدي والقيام بعمليات مالية عديدة كالحوالات ونظام تسديد الفواتير أو المخالفات ، وهي أيضاً تتم من خلال شبكة آمنة لمزامنة العمليات حتى لا تحصل حوادث سرقة أو اختلاس.
إلى جانب العوامل الخارجية كتركيب كاميرات خاصة في أجهزة الصراف الآلي Pinhole Cam وكاميرات مراقبة في جميع مواقع الصرافات الآلية Surveillance Camوالتي تُزوَّد بأجهزة تسجيل تخزّن المواد المسجّلة لمدة لا تقل عن شهر كامل ، يوجد أيضاً أجهزة تكشف محاولات الاحتيالFraud Detection Device على جميع أجهزة الصراف الآلي.

3. الدفع عن طريق الشبكة العنكبوتية أو الانترنت World Wide Web :

يختلف هذا الشكل من أشكال أنظمة الدفع الالكتروني في عدم اعتماده على أدوات محسوسة بشكل رئيسي كونها تعمل على الشبكة العالمية ، وهو ما أوجب وضع بروتوكولات أمن وسلامة مثل بروتوكول ( SSL / TLS ) وهو ما سيتم التطرق إليه بالتفصيل.

 

بروتوكول SSL / TLS :

الاتصالات الآمنة الأكثر شيوعاً تستخدم بروتوكولي (SSL/TLS) وهما Secure Sockets Layer and Transport Layer Security فبروتوكول SSL طوّر من قبل شركة Netscape لنقل المستندات بطريقة آمنة عبر الانترنت. هذا البروتوكول يستخدم مفتاح خاص لتشفير المعلومات المتبادلة على اتصال (SSL). ما يتم الآن استخدامه في الاتصالات هو النسخة الثانية من البروتوكول.
يوجد بروتوكول آخر هو Personal Communication Technology ويرمز له بالرمز (PCT) وهو شبيه جداً ببروتوكول SSL إلا أنه يستخدم خوارزميات أكثر تقدماً ومفاتيح تشفير أطول وهو من تطوير شركة مايكروسوفت (Microsoft) .
أعقب ذلك صدور بروتوكول (TLS) ويعتبر إضافة على بروتوكول (SSL) ويسمّون معاً (SSL / TLS) ليضمن الخصوصية (Privacy) ودقة البيانات (Data Integrity) بين كل تطبيقين متصلين عن طريق الانترنت.

بشكل عام يتكون بروتوكول (SSL/TLS) من طبقتين:

1- بروتوكول مصافحة الأيدي (TLS Handshake Protocol) :

ويستخدم لاثبات شرعيــــة الخادم (server) والتابع (client) والتفاوض في خوارزمية التشفير ومفاتيحه قبل السماح للبيانات بالانتقال بين الخادم والتابع.

2- بروتوكول التسجيل (TLS Record Protocol) :

ويسمح للخادم والتابع بالاتصال فيما بينهما باستخدام نماذج خوارزميات التشفير أو بدون تشفير عند الحاجة لذلك.
إن أكثر الاستخدامات شيوعاً في الاتصالات الآمنة بين الخادم والتابع تستخدم بروتوكول (SSL) وهي عبارة عن http بسيط محمول على SSL/TLS ويتميز نطاق المواقع التي تستخدمه بابتدائه بـ(https://) وظهور رمز قفل في نافذة المتصفح.

وسائل الدفع عن طريق الانترنت:

1- النقد الرقمي(Digital Cash) :

وهو أحد بدايات المدفوعات وهو ليس نقداً في الواقع ولكنه قيمة مخزنة ومن ثم متبادلة ولكن تحويلاتها محدودة لذلك نجح مثل هذا النوع في بيع الذهب لأنه أشبه بمبادلة النقد بالنقد.

2- الشيك الرقمي (Digital Check) :

استخدامه نادر هدفه محاكاة الشيك التقليدي ولكن لأنظمة الدفع الالكتروني.

3- المحفظة الرقمية (Digital Wallet) :

وظيفتها محاكاة مهام المحفظة التقليدية ، فغالباً تحتوي على التالي :
أ – إثبات هوية مالكها ويتم ذلك باستخدام الشهادات الرقمية Digital Certificates أو بخوارزميات تشفير أخرى.
ب- مكان لتخزين النقد ومبادلة القيمة النقدية.
ج -إدارة عمليات دفع آمنة من حساب المشتري إلى حساب متجر البائع.

4- نظام القيمة مسبقة الدفع الالكتروني: (Online Stored Value Systems):

يسمح هذا النظام للمستهلكين بالقيام بالعمليات الفورية وعمليات الدفع لحسابات المتاجر وحسابات الأفراد اعتماداً على قيمة مسبقة الدفع مخزنة في حساب المستهلك في البنك. ويعتبر (PayPal) النظام الأكثر نجاحاً في هذا المجال.

5- أنظمة دفع الحسابات التجميعية الرقمية (Digital Accumulating Balance Payment System) :

تسمح للمستخدم بالقيام بالدفع للمبالغ الصغيرة والشراء عبر الانترنت وتجمع الحسابات ليتم فوترتها في نهاية كل شهر.

6- أنظمة الدفع اللاسلكية (Wireless Payment System) :

تستعمل الأجهزة المحمولة الخلوية كجهاز للدفع. يتواجد مثل هذا النوع من أنظمة الدفع في بعض دول أوروبا وفي اليابان وكوريا الجنوبية. حتى الآن لم ينتشر بشكل واسع في الولايات المتحدة ولكن بدأت الأحوال تتغير مع دخول الشبكات اللاسلكية (Wi-Fi) وجوالات الجيل الثالث 3G cellular Phone .

الملخص :

بالرغم من تعدد أنظمة الدفع إلا أن لها دائماً الهدف نفسه وهو إتاحة الفرصة لتحويل الأموال من حساب في مصرف إلى حساب في مصرف آخر لأغراض متعددة. والبديل للدافع والمدفوع له هو تسوية هذه العملية نقداً أو من خلال المقايضة.
ومهما اختلفت صيغ أنظمة الدفع يمكن دائماً النظر إليها على أنها وسيلة تخويل بالمبادرة بالدفع ، أي أن يقوم الدافع بتخويل مصرفه تحويل النقد. وهي كذلك وسيلة لنقل أو تبادل تعليمات الدفع فيما بين الأطراف المختلفة.
البروتوكولات الآمنة تتيح للمستخدمين ضمانات أكيدة في استخدام الدفع الالكتروني عن طريق الانترنت ، وهي قضية محل اهتمام دائم من قبل المعنيين بالأمر كون عمليات الدفع الالكتروني في ازدياد مطرد.
المحفظة الرقمية هي الأكثر شيوعاً كونها تحاكي المحفظة الحقيقية ، وهي الأسهل استخداماً. بينما تتميز أنظمة الدفع اللاسلكية بنفس القدر من الأمان ولكنها أكثر سهولة كون الشخص يحمل معه هاتفه الخلوي إلى كل الأماكن تقريباً ، لكن للأسف انتشارها محدود.
اختيار وسيلة الدفع هو قرار يعود للمستخدم وطبيعة نوع التعامل الالكتروني ، والتطبيقات المذكورة في المقالة آمنة وتتيح خيارات عديدة أمام المستخدمين بحيث تضمن لهم عملية دفع الكتروني مريحة وآمنة.

نُشر في <a href="https://max4arab.com/category/%d8%a7%d9%85%d9%86-%d9%85%d8%b9%d9%84%d9%88%d9%85%d8%a7%d8%aa/" rel="category tag">امن معلومات</a> الموسومة <a href="https://max4arab.com/tag/%d8%a7%d9%84%d8%a7%d9%84%d9%83%d8%aa%d8%b1%d9%88%d9%86%d9%8a/" rel="tag">الالكتروني</a>، <a href="https://max4arab.com/tag/%d8%a7%d9%84%d8%af%d9%81%d8%b9/" rel="tag">الدفع</a>، <a href="https://max4arab.com/tag/%d8%a7%d9%85%d9%86%d8%a9/" rel="tag">امنة</a>، <a href="https://max4arab.com/tag/%d8%aa%d8%b7%d8%a8%d9%8a%d9%82%d8%a7%d8%aa/" rel="tag">تطبيقات</a>، <a href="https://max4arab.com/tag/%d8%b9%d9%85%d9%84%d9%8a%d8%a9/" rel="tag">عملية</a>، <a href="https://max4arab.com/tag/%d9%81%d9%8a/" rel="tag">في</a>

المفاتيح العامة

ما هي بنية المفاتيح العامة (Public Key infrastructure)؟:
بنية المفاتيح العامة (Public Key infrastructure)- – PKIهي عبارة عن تقنية وسياسات أمنية شاملة تستخدم التشفير و القياسات لتمكين الأشخاص من :
1- التعريف – التحقق- من الأشخاص المستخدمين للشبكة.
2- توقيع البريد الالكتروني، كذلك المستندات وأي خدمة الكترونية أخرى.
3- تشفير رسائل البريد الالكتروني وغيرها من المستندات لمنع الأشخاص غير المخول لهم من الوصول إليها.
4- منح الشهادات الالكترونية الموثقة .
أصبحت المفاتيح العامة اليوم أساسا في التعاملات التجارية الالكترونية و الموازنات الشرعية و الحكومية من خلال الشبكة. حيث أصبحت الآن منظمات وهيئات لإصدار شهادات المفاتيح العامة (Certificate Authority) – CA- ، يقوم CA بتخزين المفاتيح – العامة و الخاصة – ، الشهادات و الشهادات المرفوضة في الانترنت على شكل مخازن تصل إليها باستخدام نظام الدخول في أدلة المعلومات (Light-weight Directory Access Protocol ) -LDAP-.

نظرا لأهمية المعلومات الموجودة في هيئة الشهادات فإنها تضع الشهادات و المفاتيح في ما يسمى بالمخزن حتى يستطيع المستخدم من التأكد من هوية الشخص وصحة بياناته ، كذلك لتخفيف الضغط على هيئة الشهادات فإنها تعطي الصلاحيات – الثقة – لهيئة شهادات أصغر منها أو هيئة تسجيل لتسجيل الطلبات على الشهادات .

ما هي مكونات بنية المفاتيح العامة:
هناك العديد من المكونات لبنية المفاتيح العامة وذلك لتنوع استخداماتها، ولكن هنا سنذكر مكونات البنية للمفاتيح العامة المنطقية في تطبيقات التجارة الالكترونية حيث تتكون من:
1- المشتركين ( End entities or subscribers).
2- هيئة الهيئة (Certificates authorities ).
3- سياسة الشهادة.( Certificate policies ) .
4- شهادة ممارسة الشهادة(Certificate practices statement ).
5- وحدات أمن الأجهزة (Hardware security modules ).
6- شهادة المفتاح العمومي (Public key certificates ) .
7- امتدادات الشهادة (Certificate extensions ) .
8- سلطات التسجيل (Registration authorities ).
9- مستودعات الشهادة (Certificate depositories ).

ما هي وظائف بنية المفاتيح العامة ؟:
إن أكثر وظائف بنية المفاتيح العامة شيوعا هي:
‌أ- إصدار شهادات التوثيق ( Issuing Certificates) : تقوم CA بالتوقيع على الشهادة لتوثيق شخص ما ، مثل كاتب عدل عندما يكتب تعريف لشخص معين ، أضف إلى ذلك أن شهادات التوثيق يضاف إليها تاريخ انتهاء ومعلومات أخرى ، نستطيع تلخيص دورة حياة الشهادة إلى أربع نقاط هي : أ- أنشاء ، ب- إلغاء ، ج- انتهاء ، د- تعليق .

‌ب- إبطال الشهادات (Revoking Certificates): قد تقوم CA بإبطال الشهادة قبل انتهاءها لعدة أسباب منها تغير اسم المستخدم، اكتشاف مفتاح المستخدم الخاص، تحت هذه الظروف تقوم CA بإبطالها بتضمين رقم تسلسلي على قائمة الشهادات المرفوضة( Corticated Revocation Lists) -CRL -.
‌ج- تخزين و استرجاع الشهادات (Storing and Retrieving Certificates and CRLs ): أغلب طرق تخزين و استرجاع الشهادات تكون عن طريق خدمات الأدلة، من خلال نظام الدخول في أدلة المعلومات -LDAP- ، الانترنت HTTP و البريد الالكتروني .
‌د- إعطاء الثقة (Providing trust) : كل مستخدم عنده مفتاح عام يجب أن يكون مسجل عند CA يوثق به ، المنظمات تستطيع أن تأسس وتعدل لتمنح هذه الثقة من خلال ما يسمى بمجال إدارة الأمن (single security management domain) مع بقاء الإشراف عن طريق CA .حيث هناك عدة أشكال من الثقة، منها الثقة الهرمية كما هو موضح في الشكل.

 

‌ه- التوقيع الالكتروني : عندما يقوم المستخدم بتشفير الرسالة مستخدما المفتاح الخاص به فإنه يكون قد أضاف إليها ما يسمى بالتوقيع الالكتروني ، حيث أن هذا التشفير لا يفك إلا بواسطة المفتاح العمومي للمستخدم نفسه – مالك المفتاح الخاص – وبذلك يضمن بأن الرسالة فد أرسلت من ذلك الشخص .

كيفية الحصول على الشهادة الموثقة و استخدامها ؟:
أولا تقوم بإنشاء زوج من المفاتيح تضع أحدها على الشهادة ثم ترسلها – الطلب – إلى CA ، أو تعرف نفسك إلى سلطة التسجيل Registration Authority) ) – RA – ، ثم تقوم RA برفع طلبك إلى CA لتأكيد مصداقيتك أو إذا كانت لسلطة التسجيل الحق في إعطاءك الشهادة تقوم بإرسالها لك مباشرة ،أو ترسل CA لك شهادة واحدة موثقة .الآن عندك شهادة موثقة تستطيع من خلالها أن يثق الناس بك.

 

طريقة عمل التشفير:
عند إرسال أي رسالة أو أي خدمة تخبر المستقبل لها بأن الرسالة التي من جهتك مشفرة ولا تفك إلا بواسطة المفتاح العام الذي معك في الشهادة ، بهذه الطريقة يتأكد المستقبل بأنك أنت صاحب الرسالة من خلال إرسال شهادتك إلى CA و التأكد من صلاحيتها ، ننبه بأن التشفير يكون بواسطة المفتاح الخاص بك Private Key والذي يجب أن يكون محمي من الوصول إليه ، أيضا أنه يجب تجديد الشهادة إذا قاربت على الانتهاء مثل تجديد بطاقات الهوية مع ملاحظة أنه قد ترفض شهادتك في أي وقت حتى قبل انتهاء صلاحيتها لأي سبب كان.

ما هي مخاطر بينة المفاتيح العامة :
1- من الذي يستخدم مفتاحك؟ : تعتبر من أكبر مشاكل أنظمة CA هي حماية المفتاح الخاص بك، حيث كيف يتم حمايته ؟ لا يستطيع أي أحد ضمان عدم سرقة مفتاحك الخاص بسبب وجود الفيروسات و التروجونات و غيرها من الثغرات الموجودة في شبكة الانترنت، حتى لو استطعت أن تحمي جهازك من الثغرات والفيروسات وغيرها ووضعت جهازك في غرفة مغلقة لا يستخدمه غيرك لمزيد من الاحتياط ، حتى لا يصل أحد إلى مفتاحك الخاص ، هل اتخذت التدبيرات التالية ؟ كاميرات مراقبة على الغرفة الموجودة فيها جهازك ؟ كلمة سر على الجهاز ؟ الخ، هناك أسئلة كثيرة تجعل المفتاح الخاص بك في وضع غير آمن.
2- أيهم خالد محمد ؟ : في الغالب ترتبط المفاتيح العامة بأسماء مستخدميها، تخيل أنك تعرف خالد محمد واحد، ولكن كم خالد محمد مسجل عند CA ؟ قد تستلم رسالة نحمل شهادة خالد محمد ولكن لا تدري من هو ؟ قد تكون بعض التطبيقات مثل PGP تستطيع التمييز بينها ولكن لو وصلت لك رسالة بالبريد ولا تدري هل هي من خالد محمد الذي تعرفه أم لا ؟ هناك معلومات أخرى في الشهادة تعرف بالشخص الحامل لها و من أين صدرت ولكن هل تعرف هذه المعلومات التي في شهادة صديقك ؟

ما هي تطبيقات المفاتيح العامة:
للمفاتيح العامة تطبيقات واسعة خصوصا المستخدمة في امن الخدمات مثل :
1- SSL , IPsec , HTTPs الاتصال الآمن.
2- S/MIME , PGP لأمن البريد الالكتروني.
3- SET Value for exchange لتبادل القيم.
4- Identrus for B2B للتعامل التجاري المباشر.

الخاتمة:
نجد أن البنية للمفاتيح العامة PKI هي عبارة عن مزيج من البرامج، تقنيات التشفير، و الخدمات التي تسهل عمل مشاريع وتطبيقات آمنة على الانترنت وذلك من خلال:
– التزويد ببرامجَ تسجيلِ
– يصدرُ أدلةَ الشّهادةِ للشركاتِ
– يُديرُ، يُجدّدُ، ويُبطلُ الشّهاداتَ
– يوفر خدمات أمن الشبكة .
بواسطة PKI نستطيع عمل شهادات رقمية ،و تشفير البيانات المتراسلة عبر الشبكة ومنح شهادات موثقة ، حيث يعطي لنا عدة فوئد منها :
1- التحقق من هوية المستخدم.
2- دقة ونزاهة المعلومات المرسلة وسلامتها من التغيير.
3- ضمان السرية.
4- تصديق الصفقات الالكترونية.
في الختام نذكر بأنه تعتبر قضية الثقة عاملاً رئيسياً من عوامل نمو التجارة الإلكترونية. ولقد استخدمت الحكومات والقطاعات المالية عدداً من المناهج لمعالجة هذه القضية الرئيسية. كما استخدمت تقنية البنية التحتية للمفاتيح العمومية PKI على نطاق واسع كوسيلة رئيسية لمعالجة هذه القضية، وخاصة بالنسبة لمعاملات التجارة الالكترونية بين القطاعات التجارية(B2B) ومعاملات التجارة الإلكترونية بين القطاعات التجارية والحكومة (B2G) . إن ملائمة استخدام البنية التحتية للمفاتيح العمومية (PKI) لتحقيق الثقة في التجارة الالكترونية أمر معترف به وعلى نطاق واسع .

نُشر في <a href="https://max4arab.com/category/%d8%a7%d9%85%d9%86-%d9%85%d8%b9%d9%84%d9%88%d9%85%d8%a7%d8%aa/" rel="category tag">امن معلومات</a> الموسومة <a href="https://max4arab.com/tag/%d8%a7%d9%84%d8%b9%d8%a7%d9%85%d8%a9/" rel="tag">العامة</a>، <a href="https://max4arab.com/tag/%d8%a7%d9%84%d9%85%d9%81%d8%a7%d8%aa%d9%8a%d8%ad/" rel="tag">المفاتيح</a>

الشهادات الرقمية

1- الملخص:

إثبات الشخصية هي عملية التأكد من هوية كيان ما. ومن طرق إثبات الشخصية هي حصولك على شهادة رقمية.
الشهادات الرقمية دليل هام على هوية الشخص الكترونياً مثلها مثل شهادة القيادة أو جواز السفر. وهذه الشهادة تصدر من جهة تسمى هيئة التوثيق وهي جهة تقوم بالتأكد من هوية الشخص عن طريق طلب اسمه وعنوانه ورقم هويته ومعلومات أخرى وفي بعض الأحيان يستلزم الأمر قدوم الشخص لموقع هيئة التوثيق لإثبات هويته.
تتنوع الشهادات وتختلف أغراضها وفي هذه المقالة سنتطرق لنوعين من أنواع الشهادات بالتفصيل وهما:
• شهادة بروتوكول طبقة المقابس الآمنة SSL وتستخدم لعملتي تأكيد العميل والخادم.
• شهادة بروتوكول الامتدادات الآمنة لبريد الانترنت متعددة الأغراض S/MIME وتستخدم للبريد الالكتروني.

 

2- المقدمة:

في الآونة الأخيرة كثرت التعاملات الالكترونية كتعاملات البيع والشراء أو مثلاً إدارة شخص حسابه البنكي من خلال الانترنت. ومن هنا برزت مشكلة انتحال الشخصية وكان من الصعب تحديد هل هذا الشخص هو من يدعي أو لا. ولحل هذه المشكلة ظهر مفهوم إثبات الشخصية وهو التأكد من هوية كيان ما. ويتم إثبات الشخصية في الشبكة بطرق عديدة والشهادات الرقمية هي إحدى هذه الطرق.
في بداية المقال سنتطرق إلى تعريف مفهوم إثبات الشخصية, ثم سننتقل إلى تعريف ومكونات الشهادات الرقمية. بعدها سنتكلم عن الجهة المسئولة عن إصدار الشهادات وهي هيئة التوثيق. أخيرا سنتكلم عن نوعين من أنواع الشهادات وهما شهادتي SSL و S\MIME.

الكلمات المفتاحية : الشهادات الرقمية,هيئة التوثيق, إثبات الشخصية, أنواع الشهادات.

 

3- إثبات الشخصية:

هي عملية التأكد من هوية كائن ما. يتم إثبات الشخصية في الشبكة بطرق عديدة والشهادات هي إحدى هذه الطرق.
في الانترنت تجرى عمليتان لإثبات الشخصية هما:
o إثبات العميل (Client Authentication):وهي عمليه التأكد من هوية العميل من قبل الخادم.
o إثبات الخادم (Server Authentication):وهي عملية التأكد من هوية الخادم من قبل العميل.
وهناك شكلين لعملية تأكيد العميل:
• تأكيد العميل باستخدام كلمة المرور :
تقريبا كل الخادمات تسمح بتأكيد العميل باستخدام اسم المستخدم وكلمة المرور.
• تأكيد العميل باستخدام الشهادة:
هذا التأكيد هو جزء من بروتوكول SSL بحيث يقوم عميل بتوقيع بيانات مولدة بشكل عشوائي ويرسل كل من شهادته الرقمية والتوقيع عبر الشبكة, ويستخدم الخادم طريقة التشفير باستخدام المفتاح العام للتأكد من صحة الشهادة [1].

4- الشهادات الرقمية:

الشهادات أو الشهادات الرقمية هي عبارة عن وثيقة الكترونية تربط كيان معين( شركه أو خادم أو شخص ما) بمفتاح عام لحل مشكلة انتحال الشخصية. تثبت هذه الشهادة هوية الشخص مثلها مثل جواز السفر. لكن الاختلاف هنا أن جواز السفر لا يمكن عمل نسخ منه ونشره للملأ بعكس الشهادة الرقمية التي يمكن عمل نسخ منها ونشرها والسبب ي ذلك أنها لا تحتوي على معلومات سرية ونشرها لا يؤدي إلى مخاطر أمنية لأن المفتاح العام المصدّق من قبل المانح سيعمل مع المفتاح الخاص المرافق له و المملوك من قبل الكائن المعرف بالشهادة [2].
يلزم الحصول على شهادة عند استخدام موقع الكتروني امن مثلا عند شراء شيئا من موقع الكتروني أو عند إجراء معاملة بنكية. وأيضاً تستخدم عند إرسال الرسائل البريدية لابثات الشخصية[2] .

4.1 مكونات الشهادة الرقمية:
لقد قام قطاع التوحيد القياسي لاتحاد الاتصالات العالمي بنشر معيار X.509 الذي يعرف مكونات الشهادة الرقمية والمستخدم من البنية التحتية PKI بحيث تحتوي الشهادة على المعلومات التالية [3]:

1- الرقم التسلسلي: وهو رقم فريد لتمييز الشهادة عن غيرها من الشهادات.
2- اسم الكيان التي أصدرت من اجله الشهادة مثلا اسم شخص أو مؤسسة أو خادم.
3- التوقيع الالكتروني:
هو عبارة عن تعريف يثبت للمستخدمين أن الشهادة قد أتت من الجهة التي يثقون بها وليس من جهة مزيفة.
4- الخوارزمية المستخدمة لإنشاء التوقيع: لتوقيع الشهادة رقمياً تستخدم هيئة التوثيق خوارزمية لحساب الهاشhash . مع ملاحظة آن جهة التوثيق تقوم بتوقيع كل شهادة تصدرها.
5- اسم الجهة المصدرة للشهادة (هيئة التوثيق).
6- تاريخ بداية صلاحية الشهادة.
7- تاريخ انتهاء صلاحية الشهادة.
8- المفتاح العام لتشفير الرسالة لكائن معين: هو أهم مكونات الشهادة الرقمية ويحسب طوله بالبت Bit ويجب أن يكون بنفس طول المفتاح الخاص بحيث كلما زاد طوله كلما كان أكثر أماناً ولكن سيلزمه معالجة أكثر عند عملية التشفير وفك التشفير.
9- الغرض من استخدام المفتاح العام.
10- الإصدار: وهو إصدار معيارX.509 حيث يوجد 3 إصدارات:
الإصدار الأول X.509v1 و الإصدار الثاني X.509v2 و الإصدار الثالث X.509v3 وهو المستخدم حالياً.
11- خوارزمية بصمة الإبهام Thumbprint Algorithm: وهي الخوارزمية التي تستخدم لتجزئة الرسالة.
12- بصمة الإبهام Thumbprint : للتأكد من أن الشهادة لم يعبث فيها.[3]

وللتوضيح انظر للشكل التالي (شكل1) الذي يظهر فيه شهادة للبريد الالكتروني محتوية على المكونات السابقة الذكر.


4.2 هيئة التوثيق ( A certification authority (AC) ):
هم عبارة عن جهات مستقلة تتأكد من الهوية وتقوم بمنح الشهادة. إذن هيئة التوثيق هي عبارة عن نواة البنية التحتية للمفتاح العام PKI فهي تقوم بالمهام الأساسية للمفتاح العام وهي إصدار الشهادات وإلغائها وغيرها من المهام[4].
قبل إصدار الشهادة تقوم هيئة التوثيق بالتأكد من هوية الشخص بحيث يطلب المانح معلوماته الشخصية مثل اسمه الكامل, عنوان منزله, رقم هاتفه, عمره ورقم الهوية وفي بعض الأحيان يتطلب إصدار الشهادة حضور الشخص نفسه إلى موقع المنظمة [1].
هيئة التوثيق تكون تابعة لوكالات حكومية أو شركات تجارية أو مؤسسات داخلية. من أمثلة هيئات التوثيق المشهورة عالمياً VeriSign و Thawte [4].

4.2.1 تعامل المستخدمين مع هيئة التوثيق CA :
من اجل التعامل بالشهادة يجب الوثوق بهذه الشهادة من قبل جميع الأطراف.
وطريقة التعامل كالتالي(شكل 2) [4]:
فرضنا لدينا موقع تجارة الكتروني يشترط امتلاك العميل لشهادة رقمية:
أولا: يجب على العميل أن يطلب شهادة رقمية من هيئة التوثيق ويجب أن تكون هذه الهيئة من ضمن الهيئات التي يثق بها هذا الموقع التجاري (انظر خطوة رقم واحد في شكل 2).
ثانياً: تقوم هيئة التوثيق من التحقق من هوية العميل.
ثالثاً: تقوم هيئة التوثيق من إصدار مفتاح عام ومفتاح خاص ويتم تخزين المفتاح الخاص بشكل مشفر في جهاز العميل, بينما المفتاح العام يتم كتابة في الشهادة الرقمية.
رابعا:يرسل العميل هذه الشهادة إلى الموقع التجاري لكي يتم التعامل بينهما [4].

4.2.2 هيكلية هيئة التوثيق:
يمكن لهيئة توثيق واحد آن تقدم جميع الخدمات المطلوبة لشركة معينة ولكن في بعض الأحيان يتطلب وجود أكثر من هيئة توثيق واحدة وذلك إما بسبب كبر حجم الشركة أو بسبب تعدد فروعها واختلاف موقع هذه الفروع أو قد يكون سبب هذا التعدد تسهيل التعامل والتحكم مع هيئة التوثيق.
يبدأ تكوين الهيكلية من الهيئة الجذر ثم يليها مجموعة تسمى الهيئة الوسطية ومن ثم أخر مجموعة تسمى الهيئة المصدرة للشهادات لكيان معين.
مع ملاحظة أن جميع الشهادات تكون عبارة عن شهادات موثوق بها حتى لو أصدرت من أكثر من هيئة مصدرة للشهادات وذلك لأنهم جميعهم يندرجون تحت الهيئة الجذر [4].

4.2.3 قائمة الشهادات الرقمية الملغاة (Certificate Revocation List CRL):
هي عبارة عن قائمة بالشهادة الملغاة من قبل هيئة توثيق معينة. موقع جميع الشهادات الملغية متاح لكي يتمكن الجميع من التأكد من فعالية الشهادة قبل القبول بها.
في شكل (3) تم إلغاء الشهادة المصدرة لمايكروسوفت من قبل جهة التوثيق [4] VeriSign.


5- بعض من أنواع الشهادات:
سنتكلم في هذا الجزء عن أمثلة على بعض أنواع الشهادات[1]:
5.1- شهادة بروتوكول طبقة المقابس الآمنة SSL:
بروتوكول SSL : يستخدم هذا البروتوكول بشكل واسع في الانترنت بالتحديد في الاتصالات التي يتم فيها تبادل المعلومات الحساسة. وهو عبارة عن مجموعة من القواعد التي تحكم عمليات تأكيد الخادم والعميل والاتصالات المشفرة بينهما.
يتطلب بروتوكول SSL شهادتين وهما:
o شهادة SSL للعملاء:تأكيد العملاء وتستخدم لتعريف العميل من قبل الخادم بواسطة بروتوكول SSL .
مثلا يقوم بنك بمنح عميل شهادة SSL للعميل وبذلك يتم التعرف على العميل من قبل خادمات البنك فيسمح له بالدخول إلى حسابه.
o شهادة SSL للخادمات:تأكيد الخادمات وتستخدم لتعريف الخادمات من قبل العملاء باستخدام بروتوكول SSL.
مثلا تدعم مواقع التجارة الالكترونية تأكيد الخادم باستخدام العميل بحيث يقوم بتأسيس اتصال SSL مشفر والتأكد من أن العميل يقوم بالتعامل مع موقع ويب معرف, و أيضاً يضمن عدم كشف البيانات المرسلة عبر الشبكة.

5.2- شهادة بروتوكول الامتدادات الآمنة لبريد الانترنت متعددة الأغراض S/MIME:
هناك الكثير من برامج البريد الالكتروني تدعم تشفير وتوقيع الرسائل باستخدام بروتوكول S/MIME . فعند الرغبة في استخدام هذا البروتوكول يجب أن يملك المرسل شهادة S/MIME.
بروتوكول S/MIME يقوم بتشفير الرسالة ولكن يجب استخدامه بحذر لأن المستقبل لو فقد مفتاحه الخاص ولم يقم بعمل نسخة احتياطية منه فإن الرسالة المستقبلة لن بفك تشفيرها أبدا.

6- الخاتمة:

في النهاية يتبين لنا النتائج التالية:
– الشهادة الرقمية هي إحدى طرق إثبات الشخصية الكترونياً.
– الشهادات الرقمية هي عبارة عن وثيقة الكترونية تربط كيان معين( شركه أو خادم أو شخص ما) بمفتاح عام لحل مشكلة انتحال الشخصية
– معيار X.509 هو معيار يعرف مكونات الشهادة الرقمية.
– من أجل التعامل بالشهادة يجب الوثوق بهذه الشهادة من قبل جميع الأطراف.
– في بعض الأحيان يتطلب وجود أكثر من هيئة توثيق واحدة وذلك إما بسبب كبر حجم الشركة أو بسبب تعدد فروعها واختلاف موقع هذه الفروع.
– قائمة الشهادات الرقمية الملغاة هي عبارة عن قائمة بالشهادة الملغاة من قبل هيئة توثيق معينة.
– تتعدد أنواع الشهادات الرقمية على حسب الغرض من استخدامها.
– شهادة SSL تستخدم لتأكيد الخادم من قبل العميل ولتأكيد العميل من قبل الخادم.
– شهادة S/MIMM هي شهادة تستخدم للبريد الالكتروني.

ختاماً.. ما كان فيه خطأ فمن أنفسنا ومن الشيطان وما كان فيه من صواب وتوفيق فمن الله عز وجل.
وصلى الله على نبينا محمد وعلى اله وصحبة أجمعين.

نُشر في <a href="https://max4arab.com/category/%d8%a7%d9%85%d9%86-%d9%85%d8%b9%d9%84%d9%88%d9%85%d8%a7%d8%aa/" rel="category tag">امن معلومات</a> الموسومة <a href="https://max4arab.com/tag/%d8%a7%d9%84%d8%b1%d9%82%d9%85%d9%8a%d8%a9/" rel="tag">الرقمية</a>، <a href="https://max4arab.com/tag/%d8%a7%d9%84%d8%b4%d9%87%d8%a7%d8%af%d8%a7%d8%aa/" rel="tag">الشهادات</a>

التسوق المنزلي

دعونا نعود للماضي قليلاً ما يقارب 20 عاماً لا أكثر ، هل كنت تتوقع أن تتسوق دون الذهاب للسوق وأن تصلك مشترياتك إلى منزلك؟ أعتقد جزماً الإجابة بلا . لذلك لقد كانت فكرة التسوق عن طريق الانترنت والبيع والشراء الالكتروني من المستحيلات والأحلام ، ولم يكن متوقع لدى أحد أن يكون من الممكن لشخص ما في الشرق أن يقوم بالتسوق في متاجر الغرب دون الاعتبار بمواعيد عمله أو الأخذ في الاعتبار فارق التوقيت أو التواجد شخصياً في المتجر.
ولكن مع الثورة المعلوماتية وثورة استخدام الانترنت أصبح التسوق عبر الانترنت من الأمور البسيطة والسهلة لأي شخص. ولكن ومع كل تلك السهولة والبساطة في التسوق الالكتروني مقارنة بالتسوق التقليدي كانت المخاطر تحف بأي تسوق الكتروني وذلك للأمور من أهمها:
i. لابد من تعريف نفسك وعنوانك في التسوق الالكتروني على عكس التقليدي غير الملزم.
ii. التسوق الالكتروني يلزم استخدام بطاقة ائتمان على عكس التقليدي.
iii. كثرة عمليات انتحال الشخصية في التسوق الالكتروني.
وخلاصة الكلام فإننا لا نحبذ التسوق عبر الانترنت للمستخدمين إلا بعد أخذ الحيطة والحذر والتأكد قبل إجراء أي عملية تسوق من خلال الانترنت بأنها آمنة وخالية من أي عملية نصب أو انتحال.
بعض النصائح التي يجب الأخذ بها أثناء التسوق الالكتروني

1- لا تستخدم أي موقع للتسوق إلا بعد التأكد من وجود ( https ) وليس ( http ) في عنوان الصفحة ، وأيضاً وجود إشارة القفل في الشريط السفلي أو العلوي للمتصفح

2- استخدم كلمات مرور قوية ومختلفة من موقع لآخر في التسوق الالكتروني.
3- لا تستخدم أي بطاقة ائتمان بل هناك بطاقة خاصة بالتسوق الالكتروني عليها احتياطات بنكية وأمنية عالية.
4- لا تسمح بتخزين معلومات بطاقة الائتمان الخاصة بك مهما كان السبب خشيت اختراق ذلك الموقع وسرقة جميع المعلومات من قواعد بياناته.
5- تعامل مع المواقع المعروفة في التسوق الالكتروني والأكثر أماناً.
6- عند إجراء أي عملية شراء قم بطباعة وصل عملية الشراء للرجوع له عند الحاجة.
7- كن حريصاً وحذراً عن كتابة اسم الموقع تجنباً للوقوع في عملية نصب تقوم بها بعض الجهات تكون اسم موقعهم مشابهاً للموقع الأصلي مع تغيير حرف واحد مثلاً.
8- تأكد من عمل برنامج مكافحة الفيروسات حيث أن بعضها مزود بخاصية كشف المواقع المشبوهة.
9- لا تقم بإجراء عمليات التسوق الالكتروني عبر أجهزة الكمبيوتر العامة.
10- قم بقراءة سياسة ” سرية المعلومة ” الخاصة بالمتجر الالكتروني لمعرفة المعلومات التي يقوم بتخزينها المتجر وكيفية استخدام المتجر للمعلومات المدخلة. ولا تقم بتقدم معلومات إضافية عنك غير مطلوبة في التسوق.
11- قم بحذف الملفات المؤقتة وجميع معلومات المتصفح بعد إجراء أي عملية تسوق الالكتروني.
12- لا تزود أي أشخاص أو جهات غير معروفة بمعلومات هامة وحساسة بك.
وفي الختام أتمنى لجميع المتسوقين المنزليين تسوق ممتع وآمن ، بعيداً عن أي عملية خداع أو نصب أو احتيال. ودمتم في رعاية الله وحف

نُشر في <a href="https://max4arab.com/category/%d8%a7%d9%85%d9%86-%d9%85%d8%b9%d9%84%d9%88%d9%85%d8%a7%d8%aa/" rel="category tag">امن معلومات</a> الموسومة <a href="https://max4arab.com/tag/%d8%a7%d9%84%d8%aa%d8%b3%d9%88%d9%82/" rel="tag">التسوق</a>، <a href="https://max4arab.com/tag/%d8%a7%d9%84%d9%85%d9%86%d8%b2%d9%84%d9%8a/" rel="tag">المنزلي</a>

التسوق الالكتروني الامن 2

مع تسارع الوقت وكثره الواجبات والالتزامات تقلص الوقت المتاح لنا لانجاز تلك الأمور البسيطة التي قد تكون مهمة بعض الشيء. فـقد أصبح عامل الوقت شيء لا يستهان به وذا قيمة مهمة في حياتنا.لذلك يبحث الناس عن الوسائل التي قد تذلل الصعاب أمامهم وتكسبهم مزيدا من الوقت لانجاز الأمور الأكثر أهمية. ومن هنا ظهرت تقنية الإنترنت كأبرز التقنيات التي قد تحقق لنا ذلك مساعده الأفراد على انجاز كافة أمورهم المختلفة ،المتنوعة ،البسيطة والمعقدة منها. وتبعا لذلك لابد أن تتصاعد مخاطر قد تلحق الكثير من الضرر إذا ما تجاهلها الشخص ولم يحرص على إتباع سبل الوقاية و حماية نفسه منها، وفي الوقت ذاته إذا ما أعارها الكميه الكافية من الوقت واتبع وسائل الأمان الأساسية وحرص على أن يكون مطلعا على كل مأمن شئنه أن يقيه من هذه المخاطر فإنه حتما سيتمكن من أن يستفيد الاستفادة القصوى من هذه التقنيات والاستمتاع بالمزايا التي تتيحها له في آن واحد.
لقد أصبح التسوق الالكتروني مصطلح ذو أهمية كبيرة في الشبكة ألعنكبوتية فالكثير من الأشخاص يعتمدون بشكل كبير إن لم يكن كلي على التسوق الالكتروني لاسيما للمرونة الكبيرة التي يتمتع بها بالإضافة لتنوع المواقع وتعددها وسهوله المفاضلة بينها من حيث المواصفات والأسعار والكثير من المعايير الأخرى التي تهم المتسوق,فمن منا لم يفكر يوما ما بالشراء عن طريق الانترنت, فهو سهل, مريح و يوفر الكثير من الوقت بالإضافة إلى أنه يمنح خيارات متنوعة وكثيرة, لكن يظل الهاجس الأول الذي يشوب ذلك هو مدى الأمان المتوفر في أرجاء الشبكة ألعنكبوتيه وكيف نتأكد من مصداقيتها.

تشير الإحصائيات أن نسبه الأشخاص في أمريكا وأوروبا الذين يتسوقون الكترونيا توازي نسبه أولئك الذين يتسوقون من المحلات نفسها, وكما نرى في الشكل البياني نسبه المتسوقين الكترونيا وهي في ازدياد إلى يومنا هذا.

(2)

وتتفاوت المشتريات بنسب كالتالي
الكتب (41%) ”
الملابس- الإكسسوارات- الأحذية (36%)
أشرطة الفيديو – الألعاب (24%)
تذاكر الطيران (24%)
الأجهزة الالكترونية (23%) ”

(1)

أما بالنسبة للشرق الأوسط وتحديد المملكة العربية السعودية فإن عدد الأشخاص الذين يتسوقون الكترونيا قليل جدا نسبه لمعرفه الأسباب الكامنة وراء ذلك وكانت النتائج كما يلي:Google Docلغيرهم, قمت بأجراء استبيان على موقع

(2)

بناء على ما توصلت إليه في نتائج الاستبيان سوف أقوم بإيضاح بعض النقاط الواجب مراعاتها عند التفكير بالتسوق الالكتروني فمع الوسائل التي تٌبتكر لزيادة مستوى الراحة والرفاهية دوما تأتي مخاطر ولكن هنالك معايير إذا مأتم التنبه لها و أخذها بعين الاعتبار تصبح عمليه التسوق تجربه ممتعه وأمنه في الوقت ذاته.

1. التسوق لدى المواقع الآمنة

أولا عند دخول الموقع المراد الشراء منه يتوجب على المشتري النظر إلى أعلى الصفحة وبالتحديد الشريط المحتوي .(.https ://) من المفترض أن يرى (http://) على رابط الموقع فبدلا من أن يرى
فهذا الحرف يأتي كدلاله على قوة مستوى الأمان قوي جدا وأن الموقع يرسل لك بشكل تلقائي الشهادة الخاصة به التي منحت له من قبل طرف ثالث كما سأتطرق له بعد قليل وعاده لا يرى هذا الحرف إلا عند الانتقال لصفحه الطلب التي تتطلب مستوى سريه اقوي, أيضا من المفترض أن يبحث الشخص عن علامة القفل في أدنى صفحه المتصفح فهي دلاله على أن المعلومات السرية التي يقوم بتوفيرها المشتري لا تُري إلا من قبل الأشخاص المسموح لهم بذلك فقد جرت العادة أن الشركات التجارية الموثوق بها تقوم بتشفير بيانات المشتري السرية من والى جهزتهم الخاصة, وبعد ذلك فقط الأشخاص المخول لهم رؤية هذه البيانات يستطيعون فك التشفير ومعالجه هذه البيانات ومن ثم تمام عمليه الشراء, لذلك عند دخول الموقع تأكد من رؤية علامة قفل كدلاله على أن مستوى الأمان أثناء عمليه الشراء لازال قائم.

http:// صفحه لاحد البنوك وكما يتضح أن الصفحه لحظه فتحها تحتوي فقط على (4)

(5)
صفحه لنفس البنك ويتضح فيها أنه عند الانتقال لصفحه الخدمات المصرفية والتي تتطلب من المستخدم توفير كلمه المستخدم وكلمه السر, نلاحظ https://علامة القفل كدلاله على السرية عند إرسال المعلومات إلى الخادم الرئيسي للمصرف بالإضافة لتغير الرابط إلى

2.البحث والتحري داخل المواقع قبل الشراء

أحد النقاط التي يجب أخذها بعين الاعتبار عند التسوق الكترونيا هو الشراء عن طريق المواقع الموثوق فيها ولها شعبية بين الناس ويكون لدى لشخص علما مسبق عنها, أما إذا كان الموقع غير متعارف عليه لكن يبدو أمنا بعض الشيء ويحتاج الشخص الشراء منه لتوفر البضاعة ألمراده فقط لديه وبشكل حصري, يُنصح المتسوق حينها بشراء شي غير مكلف كنوع من التجربة لمعرفه إذا ما كان الموقع جدير بالثقة أم لا. فقد جرت العادة أن المواقع الموثوق بها عاده ما تقوم بتوفير معلومات اتصال وعناوين فعليه تمكن المشتري من التأكد, كرقم هاتف للطلب المباشر أو رقم خدمه العملاء, وعند الاتصال يستطيع المتسوق من الاستفسار عن الخدمات المقدمة ونظام الموقع في التبديل والاسترجاع والعديد من المعلومات التي تهم المشتري. وتذكر دائما أن أي شخص يستطيع إنشاء موقع تجاري!

(6) مثال لبيانات الاتصال لأحد مواقع التسوق الالكتروني

 

3.قراءه نهج الخصوصية والأمان لدى الموقع

“القانون لا يحمي المغفلين” , لذلك يجب على المشتري أن يتبع أسلوب المتحري ويحاول الحصول على كافه المعلومات التي تكون لديه فكره كأمله عن حقوقه وواجباته حتى ليقع في مصيدة. لدى أي موقع تجاري الكتروني صفحه خاصة تقوم بتوفير معلومات عن درجه الخصوصية ومستوى الأمان المتوفر لديهم, وعاده ما تتضمن معلومات عن إذا ما كانت الشركة تقوم بمشاركة طرف ثالث بمعلومة المشتري لأغراض تجارية و إعلانية, أيضا تقوم بعرض الأطراف الثالثة التي قمت بتصديق الموقع التجاري على أنه موقع امن حتى يستطيع المشتري التسوق بأمان, الأطراف الثالثة عبارة عن هيئات أو منظمات تقوم بتصديق هذه المواقع عن طريق أساليب وتحريات معينة قد تصل إلى الذهاب إلى العنوان الفعلي لهذه الشركات -إن وجد- لذا فهي تتحمل كافة المسئوليات المترتبة على أي تصرف قد يصدر من هذه المواقع.

(7-8-9-10) صور لبعض الأطراف الثالثة التي تصدق المواقع الالكترونية على أنها مواقع الكترونية أمنه وعاده ما تُرى في أسفل صفحات مواقع التسوق الالكتروني.

(10)
شكل رقم 10 هو صفحه لأحد البنوك يتضح فيها مثال لمنظمه ثالثه, قامت بتصديق الصفحة كصفحه أمنه

 (11)
شكل رقم 12 هو صفحه لأحد المواقع التجارية ويتضح أن جميع الشروط التي ذُكرت مسبقا متوفرة فيها, كما هو مبوب باللون الأحمر.

 

4.معرفه أنواع ملفات التتبع وكيف تعمل

الكوكيز هو نظام تتبع الكتروني يحتوي على نص برمجي يقوم بتسجيل جميع تحركات الشخص داخل المتصفح وحفظه على طريقتين إما حفظ مؤقت يتم مسحه عند إقفال المتصفح أو حفظ بشكل مستمر حتى بعد إقفال المتصفح وهذا النوع تستخدمه المواقع التجارية كنوع لتذكر المشتري في المرة القادمة التي يقوم بالشراء فيها من الموقع وتسريع عملياته إلا أنها ليست شي مرغوب دائما حيث انه من الممكن أن تستخدمه مواقع أخرى في تركيز نوع الإعلانات الشرائية الموجهة لكمبيوتر الشخص بناء على المواقع التي اعتاد على دخولها والتسوق منها وبالتالي زيادة نسبة الإرباح على أساس أن هذا الشخص سوف يتسوق لديهم بشكل مؤكد وهذه المواقع قد لا تكون موثوق بها دائما, لذلك ينصح الشخص بحذف الكوكيز بشكل دوري من أدوت المتصفح, ويقوم بتحديث برامج الحماية للتأكد من عدم وجود ثغرات أمنية, أيضا عدم السماح للمتصفح بحفظ أرقام التسجيل بشكل تلقائي مع العلم أن المواقع الآمنة تلغي هذه الخاصية والبحث عن تحديثات المتصفح وفحص الجهاز لإغلاق المنافذ, إضافة إلى عدم استخدام الأجهزة العامة لانجاز مثل هذه العمليات الشرائية أو استخدام خاصية النسخ واللصق.

5.معرفة ما هي وسيلة الدفع الأكثـر أمانا

 (12)

أنواع الدفع في المواقع التجارية الالكتروني متعددة ,منها الدفع عن طريق بطاقات الائتمان, بطاقات السحب الآلي، نقدا وعن طريق الشيكات(في حاله الدفع عند وصول الطلب). لكن أكثر هذه الطرق أمانا هي الدفع عن طريق البطاقات الائتمانية حيث أنه في حاله حدوث خطا ما فإن الشركة المصدرة لهذه البطاقة تقوم بضمان حل هذه الأخطاء والنظر فيها وتحمل كافة المسؤولية استنادا إلى حماية العميل بموجب قانون الفواتير الائتمانية الاتحادية, لذلك ينصح الشخص الذي يفضل التسوق عبر الانترنت أن يدفع إما عن طريق بطاقة الائتمان ومراجعه كشوف الحسابات الخاصة به بشكل دوري أو أن يقوم بإصدار بطاقة ائتمانية مسبقة الشحن خاصة بمشتريات الانترنت فقد استحدثت هذه الطريقة الجديدة, حيث أنه يتم شحنها بالمبلغ لمراد الشراء فيه على حسب حاجه الشخص حتى تسهل عمليه مراقبة المدفوعات وإلى أي مصدر تذهب وهذا النوع من البطاقات يتم إصداره من نفس البنك الذي يملك الشخص فيه حساب كما يصدر أي بطاقة أخرى.

6.تجنب إعطاء أي معلومات خاصة لجهات غير معنية

مع مرور الوقت أصبحت التجارة الالكترونية أكثر شيوعاً عن ذي قبل ولم تقتصر على المشتريات البسيطة ومع ذلك تأتي مخاطر سرقه الهوية بأنواعها فهنالك طرق متعددة وكثيرة للحصول على البيانات الشخصية كالدخول إلى جهازه بطرق غير شرعية لذلك يتوجب على الشخص أن يكون أكثر حذراً في مثل تلك الأمور والحرص على عدم إفشاء معلومات خاصة كرقم بطاقة الهوية وأرقام خاصة أخرى ليست بالضرورة مهمة لإتمام عمليه تجارية الكترونية وعدم الاحتفاظ بها على جهاز الخاص, أيضا مراقبة كشف البطاقة الائتماني بشكل دوري بعد كل طلب للتأكد من عدم وجود طرف ثالث يقوم باستخدام هوية الشخص وبطاقته في مشتريات شخصية.

7.الحفاظ على كلمه السر و عدم إفشائها

جرت العادة أن الموقع الالكترونية التي تقوم ببيع السلع توفر للمشتري حساب خاص فيه يمكنه من التسوق ومراقبة حالة الطل وذلك عن طرق توفير اسم مستخدم وكلمه مرور لذلك يجب على المشتري أن يراعي عده نقاطه مهمة عمد إنشاء هذا الحساب أن تكون كلمه السر على الأقل ثمانية خانات متنوعة بين أرقام وحروف وان لأتكون مرتبطة بشي شخصي مثل تاريخ الميلاد أو اسم أفراد العائلة وأي معلومة واضحة عن الشخص حتى لا يسهل توقعها إضافة إلى أن لا تكون مستخدمه ككلمه سر في موقع أخر حتى إذا ما تم اكتشاف احدهم ليس بالضرورة اكتشاف الأخرى.

 

8. تجنب الوقوع في الرسائل الإنتحالية

كثير من المواقع الإنتحاليه التي تقوم بسرقة البيانات الشخصية غالباً ما تكون غير مباشرة فالمواقع الإنتحالية عن عبارة عن صفحات الكترونية تبدو كأنها تأتي من مصدر موثوق فيه على سبيل المثال بنك أو شركه معروفه وتقوم بتصيد الأشخاص عن طريق إخبارهم انه يتوجب عليهم تحديث بياناتهم الشخصية-في حاله البنوك- أو تجديد اشتراكهم في احد المواقع التجارية, لذلك في كل مرة يريد الشخص فتح رابط هو عن طريق فتح نافذة جديدة وكتابة الرابط مره أخرى ليتأكد من صحته ويتجنب المخاطر المرتبطة مع ذلك, سواء كان الغرض من ذلك هو تجديد بيانات فعلا أو التسوق –في حالة أن هذه الروابط كانت تجارية.

9.دائما قم بطباعه صفحة الطلب

بعد أتمام عمليه التسوق وعندما يتم تأكيد طلبك تُرسل لك صفحه عن طريق البريد الالكتروني من قبل الموقع الذي أتم عمليه الشراء تحتوي على كافه معلومات عن المنتج والعميل بالإضافة لرقم تأكيد وتتبع للبضاعة أثناء شحنها,لذلك ينصح أن تطبع تلك الصفحة كنوع من التأكد حتى إذا ما واجه المتسوق مشكلة يستطيع بسهولة إبراز أدلة مادية لتأكيد صحة ما يقول.

10.استخدم حدس المتسوق

إذا شعرت أن الموقع يبدو غريب بعض الشيء أو كانت لديك تساؤلات عن تفاصيل للمنتجات يجب أن تتوفر في الموقع ولم تجدها أو أن الأسعار تبدو منخفضة بشكل مبالغ فيه, أو الموقع يشمل على العديد من الأخطاء النحوية و الإملائية إضافة إلى أن رقم الهاتف لا يتم الرد عليه أو العنوان الفعلي غير واضح. جميع هذه الأسئلة من شأنها أن تكون لدى الشخص فكرة و حدس عن إذا ما كان يريد الشراء من هذا الموقع أو البحث عن بديل أخر.

(13)

وفي النهاية أؤكد أنه عند إتباع وسائل الأمان التي تمت الإشارة إليها ستصبح عمليه التسوق الالكتروني سهلة وممتعة وخالية من المخاطر. يتضح في الشكل رقم (12) تسلسل العملية إذا تم إتباع وسائل الأمان حيث يقوم المتسوق ببساطة باختيار الطلب ومن ثم تأكيده وإدخال رقم بطاقة الائتمان الخاصة به, لإتمام عمليه الشراء وفي النهاية يرسل إليه والى الموقع معلومات مفصلة عن الطلب وان المبلغ قد خصم من قبل البنك المصدر للبطاقة ليتم إرسال الطلب إليه بعد ذلك.

نُشر في <a href="https://max4arab.com/category/%d8%a7%d9%85%d9%86-%d9%85%d8%b9%d9%84%d9%88%d9%85%d8%a7%d8%aa/" rel="category tag">امن معلومات</a> الموسومة <a href="https://max4arab.com/tag/2/" rel="tag">2</a>، <a href="https://max4arab.com/tag/%d8%a7%d9%84%d8%a7%d9%84%d9%83%d8%aa%d8%b1%d9%88%d9%86%d9%8a/" rel="tag">الالكتروني</a>، <a href="https://max4arab.com/tag/%d8%a7%d9%84%d8%a7%d9%85%d9%86/" rel="tag">الامن</a>، <a href="https://max4arab.com/tag/%d8%a7%d9%84%d8%aa%d8%b3%d9%88%d9%82/" rel="tag">التسوق</a>

التسوق الالكتروني الامن 1

نظرة عامة :

لم يعد مفهوم الشراء من خلال الانترنت شيء جديد فمن أوائل الثمانينات “أي قبل ثلاثين عام تقريباً” أصبح الشراء من خلال الانترنت ممكناً , وفي خلال هذه الفترة اخذ مفهوم التسوق يتطور شيئا فشيئا حتى أصبح في بعض البلدان من العادات اليومية .

قد لا يعني هذا أن مفهوم التسوق التقليدي قد انعدم ولكن لم يصبح الخيار الوحيد ,هناك كثير من الفروقات بين التسوق التقليدي والتسوق الالكتروني أثرت على انتشار وتقبل التسوق الالكتروني من قبل كثير من المتسوقين منها :

1 / أن الحاسب يعتبر عند بعض الناس مجهول والثقة به قليلة بحيث أن الشخص لا يأتمنه على ماله.

2 / وعي بعض المستخدمين بالمشاكل الأمنية الممكنة الحدوث “سرقة المعلومات مثلا”.

3 / أن البضاعة المعروضة لا يمكن لمسها ولا يمكن مجادلة البائع لتخفيض السلعة.

4 / لا تنس متعة التسوق التي ستفقد إذا ما قررت الشراء عن طريق الانترنت .

 

مميزاته :

إن الأسباب المذكورة أعلاه قد تكون من أهم الأسباب التي تجعل المستخدم العربي للإنترنت يعرض عن التسوق الالكتروني ,لكن هناك الكثير من الميزات التي تجعل التسوق الالكتروني أفضل من التسوق التقليدي من وجه رأي كثير من المختصين في مجال التسوق الإلكتروني :

1 / حفظ الوقت : فالوقت المهدر في الطريق من إلى الأسواق غير موجود في التسوق الالكتروني .

2 / حفظ الجهد : تخيل انك تريد بضاعة ولا تعلم أين تباع فستذهب لأكثر من سوق وتحاول أن تجد احد يرشدك وإذا وجت غايتك بعد كل هذا التعب والنصب يكون سعرها خيالياً ,التسوق الالكتروني يتطلب من فقط الذاهب بالفأرة إلى خانة البحث ثم كتابة البضاعة التي تريدها ثم بحث فقط في ثواني معدودة .

3 / حفظ المال : تستطيع معرفة جميع الأسعار المتوفرة لمنتج معين في وقت قصير فيسهل عليك اختيار افضل سعر مقدم لهذا المنتج .

4 / توفر السلع : حتى لو كانت السعلة التي تريد غير متوفرة في بلدك أو ستوفر بعد مده وأنت لا تريد الانتظار تستطيع شراءها من مصدرها وبكل سهولة .

 

أتوقع منك قارئِ العزيز التفكير وبجدية في التسوق الإلكتروني بعد سرد ميزاته , لكن يجب عليك أن تتبع نصائح معينة لتتمتع بتسوق امن وممتع وقد جمعت لك النصائح من خبراء وشركات أمنية عالمية فجعل هذه النصائح إمام عينيك أثناء تسوقك واستمتع بالتسوق بطعم التقنية.

 

كلمات مفتاحيه :

التسوق الإلكتروني ,الأمان في التسوق الإلكتروني , سرقة معلومات البطاقة الإتمانية .

 

مقدمة :

أتوقع أنك قد سمعت بل مللت من النصائح التي تتلقاها تفادياً لسرقة محفظة نقودك أو أثناء استعمال الصراف الآلي فمثلا انتبه لمن حولك خلال إخراجك لنقودك أو لا تضع محفظتك في أماكن عامة أو لانتقم بوضع محفظتك كأمانة عند أشخاص غير موثوق بهم الخ…. , إن هذا النصائح هي من أجل تعاملاتك في عالمك الحقيقي وكما هناك نصائح للعالم الحقيقي فللعالم الافتراضي(الإنترنت) نصيب ، إن العالم الافتراضي هو مجرد محاولة لمحاكاة بعض الأنشطة التي تقوم بها في عالمك الحقيقي , إذن ستكون اغلب النصائح التي سمعتها ذات قيمة في عالمك الافتراضي ؛لأن المخاطر ستكون نفسها ولكن بطريقة مختلفة .

 

إن السرقة من خلال الإنترنت قد أصبحت مصدر رزق ممتاز للصوص التقنين على حساب المستعملين المبتدئين ,بل أصبحت السرقة أمر أسهل من ذي قبل , في دولة الإمارات العربية المتحدة مثلاً قام احد الأشخاص بسرقة 300 ألف درهم وهو يحتسي القهوة في أحد المقاهي في دبي , وأخر سرق ما يقارب 8.4 ملايين دولار من أحد البنوك في نيويورك وقام بتحويلها إلى حسابه في سويسرا .

إن سبب ما تقرأه الآن هو عدم أتباع النصائح التي صدرت لمنع مثل هذه السرقات , في العالم العربي احتلت بعض دوله مراتب متقدمة في أكثر الأجهزة تعرضا للاختراق ,وكل هذا بسبب عدم الوعي ؛ فمن أجل هذا سنحاول بإذن الله سرد بعض النصائح المهمة لتسوقك الإلكتروني الأمن أخي / أختي القارئ .

 

الفئة المستهدفة من النصائح: المستخدم العام والمستخدم المتقدم .

 

 

 

 

 

نصائح لتسوق امن وصحيح :

إن هذه النصائح هي نصائح عالمية قد اتفق عليها كبرى شركات امن المعلومات و خبراء و استشاريون في التسوق الإلكتروني .

1 / لا تتسوق إلا عن طريق جهازك الخاص و بشكل عام لا تتصفح أي مواقع تتطلب منك معلومات سرية إلا عن طريق جهازك الخاص.

2 / قبل أن تبدأ التسوق تعرف على أكثر المواقع شهرة وأمان في مجال التسوق الإلكتروني وحاول ألا تخرج من نطاقها.

3 / إقراء وبتمعن سياسة الموقع من ناحية الأمن والخصوصية قبل الشراء حتى تعرف مالك وما عليك .

4 / تأكد انك تستخدم مستعرض امن فلا تستخدم متصفح تم إنشائه على أيدي هواة أو شركات غير مرخص لها وغير معروفة عالمياً .

5 / تأكد قبل إدخالك لمعلومات بطاقتك الإتمانية أن حالة التواصل بينك وبين الموقع تتم عن طريق :

 

https://

http:// وليس

و يجب التأكد من وجود علامة القفل المشار إليه أعلاه. تعبر عن التواصل بأمان (s) *

6 / إن بعض منتحلي المواقع (أو ما يسمى بالاصطياد الإلكتروني) يقومون بتزوير العنوان ليصبح كأنه العنوان الحقيقي للموقع ولمزيد من التأكد بأن هذا العنوان هو العنوان الحقيقي للموقع وليس عنوان مزور قم بتحديد العنوان الموجود في أعلى المتصفح للتأكد أنه ليس بصورة أو أي شيء أخر أنما هو العنوان الحقيقي .

*أحد طرق إكتشاف تزوير مواقع الإنترنت

 

 

7 / إذا خرجت لك هذه الصورة أثناء قيامك بتصفح موقع يتطلب منك معلومات سرية فقم بإغلاقه فوراً لان هذا تحذير بأن الموقع غير أمن .

 


* خاص بمتصفح انترنت إكسبلورر

* خاص بمتصفح فاير فوكس

 

 

8 / لا تقم بفتح أي رابط يأتيك على بريدك الشخصي يدعوك فيه إلى سرعة تحديث بيانات بطاقتك الإتمانية أو يقدم لك عرض مغري لبضاعة معينة قم فقط بالذهاب للموقع عبر كتابة عنوانه بيدك من خلال شريط العناوين أو بذهاب إليه عبر المفضلة إذا كنت قد حفظته من قبل للتأكد من صحة الخبر

 

9 / حينما تشعر أن شيء غريب يحدث فالموقع ليس كما هو مألوف بعض الروابط لا تعمل مطالبة الموقع للتحديث بشكل سريع لبياناتك وبيانات بطاقتك أو الموقع غير مرتب كما هو في الأصل ظهور أشياء غريبة تدعوا إلى الشك قم بمغادرة الموقع مباشرة ثم حاول الاتصال بالدعم الفني للموقع عبر الإيميل أو الهاتف للتأكد من حالة الموقع .

 

10 / حدث نظام تشغيلك (الويندوز مثلا) أستخدم مكافح فايروس وقم بتحديثه بشكل دوري هناك بعض الأدوات لزيادة الأمن مثل الجدار الناري و مكافح ملفات التجسس و مضاد مواقع الاصطياد الإلكتروني .

 

11 / لا تخبر أي أحد بمعلومات بطاقتك الإتمانية لا تقم بمشاركتها مع أي أحد لا تضع معلومات سرية عنها في أماكن عامة أو أماكن يمكن لأي أحد الوصول إليها .

 

12 / قم بتغير الرقم السري لبطاقتك بشكل دوري وحاول أن تكون مختلفة عن أي رقم سري تعرفه حتى لا يتم اكتشافها عن طريق اكتشاف رقم سري أخر .

 

13 / حاول أن تتأكد من رصيد وحالة بطاقتك الإتمانية بشكل دوري من البنك حتى تتمكن من السيطرة على الوضع إذا كان هناك عملية سرقة لا قدر الله .

 

14 / لا تحتفظ برصيد إضافي في بطاقتك الإتمانية فقط ضع مبلغ البضاعة المراد شرائها ولا تبقي أي رصيد في البطاقة الإتمان .

 

15 / احتفظ بمعلومات الشراء من أي موقع للرجوع لها عند الحاجة .

 

16 / لا تقم بالشراء في الأماكن العامة حتى أن كنت تستخدم حاسبك الشخصي فمن الممكن أن يختلس أحدهم النظر إلى معلوماتك الشخصية محاولاً سرقتها .

 

17 / استخدم بطاقة واحدة للتسوق الإلكتروني .

 

18 / حاول بقدر المستطاع أن لا تحفظ معلومات بطاقتك الإتمانية داخل مواقع التسوق الإلكتروني حتى إذا تم إ اختراق الموقع لا تسرق معلوماتك .

 

* تنبيه :

إن مجرد إتباعك للإرشادات أعلاه تخرج من دائرة الأخطاء الشائعة فهذه الإرشادات لم تأتي عبث بل أتت من واقع خبرة , لكن تذكر أنك مازلت داخل دائرة الخطر فكن حذرا دائما وحاول أن تستعين بحدسك وفكر هل ما أفعله صحيح أم لا .

 

 

خاتمة:

إن التسوق الإلكتروني أمر قادم وبقوة فتوقع يوم من الأيام أن تكون مجبر لا مخير أمامه كما أنك اليوم مجبر لشراء الخبز من الخباز فالمتوقع منك المبادرة وعدم التردد فالتسوق الإلكتروني له طعم يختلف عن طعم التسوق التقليدي , إذاً تجهز و جمع من تحب أن تتسوق معهم أمام شاشة الحاسب و بدأ رحلتك .

 

نُشر في <a href="https://max4arab.com/category/%d8%a7%d9%85%d9%86-%d9%85%d8%b9%d9%84%d9%88%d9%85%d8%a7%d8%aa/" rel="category tag">امن معلومات</a> الموسومة <a href="https://max4arab.com/tag/1/" rel="tag">1</a>، <a href="https://max4arab.com/tag/%d8%a7%d9%84%d8%a7%d9%84%d9%83%d8%aa%d8%b1%d9%88%d9%86%d9%8a/" rel="tag">الالكتروني</a>، <a href="https://max4arab.com/tag/%d8%a7%d9%84%d8%a7%d9%85%d9%86/" rel="tag">الامن</a>، <a href="https://max4arab.com/tag/%d8%a7%d9%84%d8%aa%d8%b3%d9%88%d9%82/" rel="tag">التسوق</a>

التسوق الالكتروني الامن

نظرة عامة عن التسوق الإلكتروني الآمن:

انتقل التسوق من مفهوم الذهاب إلى احد الأسواق وتبحث عن مستلزماتك وما تريده في عصرنا الحالي الى مفهوم جديد, لم يستبعد نظريات التسويق التقليدية إنما طورتها و أصبحت تواكب التكنولوجيا الرقمية بمفهوم “التسوق الإلكتروني”.

“كشفت إحصائيات حول التسوق عبر شبكة الانترنت إلى إتمام أكثر من 20 ألف عملية تسوق الكتروني شهريا من قبل المستخدمين في المملكة العربية السعودية” [4]مما توضح أهميته وذلك لما يقدمه من حفاظ للوقت. أصبح بإمكانه اختيار ما يشاء من البضائع في أسرع ما يمكن ،تقريبه للمسافات فبدلا من الذهاب للمتجر بقضاء مستلزماته وشراء حاجاته ، أصبح قادرا على التسوق وهو في مكتبه لتصل إليه في اقل وقت وبأسهل طريقة، حيث أصبحت عادة شراء المنتجات المختلفة عبر الإنترنت بالقطعة الواحدة من أكثر عادات مستخدمي الشبكة. من أهم تطبيقات التسوق الإلكتروني هي المصرف الإلكتروني و المزادات الإلكترونية والأسواق الإلكترونية وخدمات السفر والسياحة .

 

 

المقدمة:

صاحب ظهور عملية التسوق الالكتروني “هي عملية البيع والشراء أو التبادل للمنتجات والخدمات والمعلومات عبر الشبكات الحاسوبية بما فيها الإنترنت و تستخدم للتعبير عن مجموعة من التقنيات المتاحة لنقل المعلومات إلكترونياً بهدف التجارة” [2]. عدد كبير من الهجوم ضد التسوق اما باستخدام نقاط ضعف أساسية في التسوق الإلكتروني أو باستخدام الثغرات الأمنية في المواقع بشكل عام .

يعتمد نظام امن المعلومات في التقنية والبرامج بشكل عام التي من ضمنها التسوق الإلكتروني الى ثلاثة مفاهيم الأول ضمان سرية معلومات المتسوق و المعلومات الحساسة((Confidentiality , الثاني ضمان سلامة المعلومات من التعديل عليها من قبل الغير مصرح لهم (integrity ) , الثالث توفير المعلومات للمتسوقين حسب احتياجاتهم بحيث لا يتضرر نظام الأمن في التسوق الإلكتروني(Availability ) .

نظام التسوق الإلكتروني الآمن يتأثر بعدة أشخاص موضحين في الصورة أدناه وهم

 

1- المتسوق(Shopper) : هو الذي يتصفح الموقع ويقوم بعملية التسجيل في نظام التسوق الإلكتروني وعرض الكتالوج و يقوم بعملية الشراء بواسطة بطاقة الائتمان

2-بائع البرمجيات(Software Vendor ) : هو الذي قام بعمل نظام التسوق الالكتروني وبرمجته

3- المهاجم (Cracker) : هو الذي يهدف الى تحقيق مكاسب من خلال استغلال الآخرين . او قد يكون هدفه التخريب .

الصورة 1 : الشخصيات المؤثرة في نظام التسوق الإلكتروني

 

 

 

فهذه المقالة توضح المخاطر التي سببت في انتشار ظاهرة الخوف من التسوق الإلكتروني وكيفية التسوق الكترونياً على أحسن وجه وإيجاد حلول لهذه المخاطر لنتمتع بتسوق الكتروني آمن .

 

 

المخاطر التي تواجه التسوق الالكتروني

الصورة 2: المخاطر التي تواجه التسوق الإلكتروني

 

 

 

 

 

 

 

 

 

قد يكون التعقيد و كثرة المتطلبات في عملية التسوق الالكتروني أدى إلى برمجة الموقع بطريقة معقدة قد يحدد بزمن معين وبسبب الانتقال السريع إلى عالم التسوق الالكتروني وإلزام المبرمج في إنهائه بوقت قصير قد يغفل المبرمج عن ثغرات أمنية كثيرة .

 

 

مهاجمة خادم التسوق الإلكتروني :

1- مزود الحقن SQL Injection

قد يتمكن المهاجم الدخول إلى النظام دون الحاجة لعملية تسجيل الدخول ويتمكن من الإطلاع على قاعدة البيانات بما فيها من معلومات سرية او التلاعب فيها .

2- التلاعب بالأسعار .

تظهر هذة الثغرة الأمنية في التسوق الإلكتروني فقط وهي ان يقوم المهاجم با إظهار سعر مختلف للمتسوق وذلك عن طريق استخدامه لبرنامج Achilles حيث يقوم بتعديل السعر من متصفح المستخدم الى خادم الموقع نفسه. .

3- تعدي حجم الذاكرة المخصصة (buffer overflow )

قد يتمكن المهاجم من الدخول إلى النظام باستخدام ثغرات أمنية في تخصيص التخزين في الذاكرة . يعمل على برمجتها المهاجم نفسه .

 

 

مهاجمة المتسوق :

1- خداع المتسوق (social Engineering):

وهي أسهل طرق المهاجمة فيقوم المهاجم بالبحث عن كيفية استرجاع الرمز السري في هذا الموقع ويستخدم هذه المعلومات في خداع المتسوق فمثلا عندما يوفر الموقع امكانية استرجاع الرمز السري عن طريق مكان ميلاد الجد يسأل المهاجم عن مكان ميلاد جد المتسوق وذلك لاسترجاع الرمز السري. ففي هذه الحالة يعتمد التسوق الإلكتروني الآمن على مدا صعوبة الرمز السري ومدا حفظ المتسوق للمعلومات التي تسهل على المهاجم عملية الاختراق كما يجبه تنبه المتسوقين عن حالات الخداع التي من الممكن ان المتسوق ان يقع فيها .

 

2- استخدام تقنيات المواقع في التصيد و خداع المتسوق ((Phishing

قد يبرمج المهاجم Script ينقل المتسوق من صفحة التسوق الإلكترونية إلى صفحة أخرى يبرمجها المهاجم ويطلب من المتسوق إدخال اسم المستخدم والرمز السري ليحفظها عنده ويستخدمها في الدخول إلى نظام التسوق الالكتروني بإسم المتسوق كما هو موضح في الصورة أدناه

– الثغرات الأمنية في حاسوب المتسوق

قد يستهدف حاسوب المتسوق بواسطة الثغرات الأمنية التي يجهلها المتسوق ومن أعظم الأخطاء التي يقع فيها المتسوق منع بعض خصائص الأمن في حاسوبه وذلك لتسهيل ولسرعة عملية الشراء مما يسهل للمخترق تجسس الحاسوب وسرقة الرمز السري أو رقم بطاقة الائتمان .

 

 

مهاجمة الشبكة التي بين المتسوق والخادم المزود للتسوق الالكتروني

قد يتمكن المهاجم من مراقبة الشبكة وسرقت المعلومات أثناء تبادل المعلومات بين المتسوق والموقع مثل رقم بطاقة الائتمان او الرمز السري وغالباً تكون شبكة الانترنت غير مشفرة. الشبكة اللاسلكية تسهل عملية اختراق الشبكة .فيجب هنا استخدام عملية تشفير المعلومات المهمة عند انتقالها ولمعرفة إذا كان الموقع يشفر المعلومات يكون https ووجود صورة القفل أسفل المتصفح فتأكد عزيزي المتسوق ان المعلومات مشفرة ولا يتطلع عليها إلا الأشخاص المصرح لهم .

 

 

تعليمات لتسوق الكتروني آمن

الصورة 4 : تعليمات لتسوق الكتروني آمن

 

 

 

 

 

 

 

 

 

 

 

 

 

1- تثقيف وتوعية المتسوق

توعية المتسوق وتثقيفه في الهجمات التي يمكن حدوثها أثناء عملية تسوقه وأنواع الهجمات التي يمكن حدوثها كيفية التعامل معها .

2-التأكد تفعيل جدار الحماية.

حماية الحاسوب الخاص بك عن طريق الحد من أنواع الهجمات إلى جهاز الحاسوب الخاص بك. وحيث يمكنه كشف المعلومات ومنها كلمات المرور المستخدمة .

3- تشفير المعلومات بين المتسوق و الخادم المزود لنظام التسوق الإلكتروني

تستخدم عملية تشفير المعلومات المهمة Secure Socket layer عند انتقالها من المتسوق إلى الخادم المزود لنظام التسوق الإلكتروني ولمعرفة إذا كان الموقع يشفر المعلومات يكون https وليس http ووجود صورة القفل أسفل المتصفح .

4- استخدام بروتوكول الحركات المالية الآمنة Secured Electronic Transactions (SET)

“طوَّرت مجموعة من الشركات العالمية الرائدة (منها مايكروسوفت، وآي بي إم (IBM)، وفيزا (VISA)، وماستر كارد (MasterCard)- بروتوكولاً لعمليات الدفع (payment protocol)، أطلقت عليه اسم بروتوكول الحركات المالية الآمنة (Secure Electronic Transactions- SET). والغاية من هذا البروتوكول ضمان الحفاظ على أمن البيانات (خصوصيتها وسلامتها (integrity) والتحقّق من وصولها إلى الجهة المطلوبة) أثناء إجراء الحركات المالية (financial transactions) عبر شبكة مفتوحة مثل الإنترنت. ويشبه هذا البروتوكول- إلى حد كبير- بروتوكولَ الطبقات الأمنية (Secure Socket Layers- SSL) في استناده إلى التشفير والتواقيع الرقمية. “[3]

5- استخدام جدار الحماية للخادم المزود لنظام التسوق الإلكتروني يقوم جدار الحماية للخادم بضمان عدم وصول المهاجم إلى الخادم .

6- قيود الرمز السري

هذه القيود لكلمة المرور يجب ان تضمن حماية كلمة السر من التخمين ويسمح بعدد محدود من المحاولة في ادخال الرمز السري .

8- مراجعة سجلات الأمن

للكشف عن المهاجمين وامكانية رفع دعوى ضدهم كما لتوعية بعض المتسوقين التي تعرضت حساباتهم للاختراق .

9- استخدام بطاقة الائتمان كوسيلة الدفع الأكثر اماناً حيث تتحمل الجهة المصدرة لبطاقة الائتمان الخطاء الصادر من الأنظمة .

 

 

الخاتمة:

ولكل تقنية محاسنها ومساوئها فالتسوق الإلكتروني الآمن إضافة إلى المتسوق الشعور بالراحة أثناء التسوق الإلكتروني لأنه وضع قوانين وشروط تدعم وجود الثقة بين المتسوق والبائع.فالثقة هي أساس نجاح التسوق الإلكتروني ودونها لا يستطيع المتسوق المجازفة . كما انه يضع حلول لبعض المخاطر التي يمكن حدوثها أثناء عملية التسوق الإلكتروني كحماية معلومات المتسوق من السرقة أو بيعها .

 

 

نُشر في <a href="https://max4arab.com/category/%d8%a7%d9%85%d9%86-%d9%85%d8%b9%d9%84%d9%88%d9%85%d8%a7%d8%aa/" rel="category tag">امن معلومات</a> الموسومة <a href="https://max4arab.com/tag/%d8%a7%d9%84%d8%a7%d9%84%d9%83%d8%aa%d8%b1%d9%88%d9%86%d9%8a/" rel="tag">الالكتروني</a>، <a href="https://max4arab.com/tag/%d8%a7%d9%84%d8%a7%d9%85%d9%86/" rel="tag">الامن</a>، <a href="https://max4arab.com/tag/%d8%a7%d9%84%d8%aa%d8%b3%d9%88%d9%82/" rel="tag">التسوق</a>

التسوق الامن

لقد كان ضرباً من الخيال التسوق دون الذهاب للسوق، أو ما يعرف بالتسوق بلبس البيجاما! لكن الآن مع وجود خدمة الإنترنت بات بالإمكان التسوق من البيت

ليس فقط في المتاجر المحلية (بافتراض أن المحلات لديها موقع على الإنترنت)، بل و أيضاً في المتاجر العالمية. لكن على الرغم ممّا قدمت هذه النقلة النوعية من سهولة ويسر وتنوع في عملية التسوق إلا أن مخاطرها أكثر من عملية التسوق التقليدي ونأخذ بعض الفروق:

نخلص إلى القول بأن التسوق عن طريق الإنترنت محفوف بالمخاطر الأمنية وأكثر عرضة لانتهاك الخصوصية، لذا لابد من الحرص أثناء التسوق عن طريق الإنترنت واتباع التعليمات التالية:

* كما هو معلوم فإن الإنترنت غير مشفرة ويمكن لمن يتصنت على الإرسال أن يعرف فحوى المرسَل والمستقبَل، أي عند إرسالك لمعلوماتك الشخصية بما فيها معلومات بطاقتك الائتمانية عن طرق البريد الإلكتروني غير المشفر، أو أحد مواقع الإنترنت، فأنت تعرض معلوماتك للغير بكل وضوح. لكن هناك تقنيات تستخدمها المتاجر لتشفير وحماية معلوماتك المهمة عند انتقالها منك إليهم. ولمعرفة ما إذا كان الموقع أو المتجر يقوم بتشفير معلوماتك أثناء انتقالها يمكنك وبكل بساطة معرفة ذلك عند ملء المعلومات وذلك بالتحقق من أمرين:
* أن عنـوان الصفحة التي تطلب المعلومات يبدأ بـhttpsوليس http، لاحظ وجود حرف Sبعد http.

موقع مشفر https://www.amazon.com
موقع غير مشفر http://www.amazon.com

* وجود صورة قفل في الشريط السفلي لمتصفح الإنترنت في المعلومات، كما في الشكل (43)


الشكل رقم (43):قفل الحماية
* استخدم كلمة مرور مختلفة عن تلك الخاصة بالدخول للنظام أو البريد الإلكتروني؛ لأنه في حالة معرفة أحد المهاجمين لكلمة المرور الخاصة بك في المتجر فإنه يستطيع الوصول لنظامك أو بريدك الإلكتروني، كما يقول المثل “لا تضع جميع بيضك في سلة واحدة”.
* استخدم بطاقة ائتمان واحدة خاصة بالتسوق عبر الإنترنت.
* إذا كان الخيار لك، فلا تسمح بتخزين معلومات بطاقة الائتمان في المتجر؛ لأنه قد يُخترق الموقع الإلكتروني للمتجر وتُسرق جميع بطاقات الائتمان؛ خاصة إذا كانت الإجراءات الأمنية للمتجر غير متينة. إذ نسمع بين الفينة والأخرى عن سرقة أحد المهاجمين لقاعدة بيانات بطاقات الائتمان لعملاء متجر معين، وفي تلك الحال يتوجب على المتجر إبلاغ جميع العملاء عن تلك الحادثة واستبدال بطاقاتهم بأرقام جديدة، وفي حال فقدانك لبطاقتك فإنه يتوجب عليك سرعة الإبلاغ عن السرقة وإيقاف البطاقة. لاحظ أن البطاقة ما زالت لديك وبمحفظتك لكن معلوماتها (الاسم، الرقم، تاريخ الانتهاء، عنوان السداد) سرقت، ويمكن استخدام تلك المعلومات للشراء دون الحصول على البطاقة الفعلية.
* لا تخزّن معلوماتك في الجهاز، وخاصة كلمة المرورومعلومات بطاقة الائتمان.
* تعامل مع متاجر معروفة.
* اطبع أو احفظ إلكترونياً عمليات الشراء عن طريق الإنترنت للرجوع إليها عند الحاجة.
* توخ الحذر عند كتابة اسم الموقع، فهناك مواقع تستغل خطأ الزائر في أحد حروف اسم الموقع المطلوب لشده و الحصول على معلومات سرية عنه. فبدل أن تكتــبhttp://www.hotmail.comكتبــت:http://www.hutmail.com.
* حدث برنامج المتصفح ونظام التشغيل (ويندوز) بشكل دوري لتفادي أي ثغرات أمنية قد تؤدي إلى اختراق المتصفح.
* تأكد من عمل مكافحة الفيروسات وتحديثه بشكل دوري.

الخلاصة

إن التسوق عن طريق الإنترنت محفوف بالمخاطر الأمنية وأكثر عرضة لانتهاك الخصوصية، و على من يريد التسوق تذكر أن هناك من يتربص به، لذا لابد من توخي الحذر أثناء التسوق عن طريق الإنترنت و اتباع توصيات الأمان التي عرضنا طرفا منها.

نُشر في <a href="https://max4arab.com/category/%d8%a7%d9%85%d9%86-%d9%85%d8%b9%d9%84%d9%88%d9%85%d8%a7%d8%aa/" rel="category tag">امن معلومات</a> الموسومة <a href="https://max4arab.com/tag/%d8%a7%d9%84%d8%a7%d9%85%d9%86/" rel="tag">الامن</a>، <a href="https://max4arab.com/tag/%d8%a7%d9%84%d8%aa%d8%b3%d9%88%d9%82/" rel="tag">التسوق</a>