می خواهیم پیمنت را استاندارد کنیم/اختیار ندارم

گفت‌وگو با محسن قادری مدیرعامل شرکت شاپرک:

مسائل پشت پرده را ما نمی‌دانیم؛ کشوری مثل آمریکا هم در EMV تعلل کرد. شاید دوستان در سطوح کلان کشوری به این نتیجه رسیده‌اند که نیازی به تعجیل نیست/ ما PCI را در سطح امنیت پیاده‌سازی کرده‌ایم اما آن‌ها یک چیز دیگری می‌خواهند؛ آن‌ها از ما گواهینامه می‌خواهند/ شما از من می‌پرسید ”چرا فلان مساله را نمی‌دانید؟» ما که هنوز قرارداد نبستیم که در جریان جزییات باشیم/ زمان خاص مشخص نیست؛ صرفه و صلاح کشور باید در نظر گرفته شود. این‌که دنیا در حال حرکت به سمت EMV است یک بحث است، این‌که صرفه و صلاح سیستم و کشور در چه چیزی است بحثی دیگر است.

پایگاه خبری بانکداری الکترونیک – محمود فراهانی – شبکه پرداخت کشور در نقطه عطف تاریخی خود قرار دارد اما قادری می‌گوید از اختیارات لازم برخوردار نیست و تاکید می‌کند «مسئولیت باید همراه با اختیار باشد». البته او از این‌که بگوید چه کسی اختیار لازم را به وی نمی‌دهد ترجیح می‌دهد سکوت کند. از سوی دیگر در چنین شرایطی اهداف پرداخت محقق نمی‌شود. وی می‌گوید: «هدف ما این است که شبکه پرداخت ما بین‌المللی شود. نه این‌که بخواهیم ویزا شویم یا مستر کارت، اما می‌خواهیم تمام استانداردها را رعایت کنیم، ما باید بسترسازی کنیم برای پیمنت» اما وقتی مدیری از اختیارات لازم برخودار نیست طبعا انتظار پاسخگویی هم نمی‌توان داشت. بر همین اساس مدیرعامل شاپرک از واژه «نمی دانم» زیاد استفاده می‌کند.
******************

*چگونه توانستید در روند ممیزی شرکت‌های پرداخت سرعت ایجاد کنید؟
در ابتدا قرار بود که شرکت‌های پرداخت رتبه‌بندی شوند اما شرایط فراهم نشد ولی این اتفاق باعث شد که طی حدود دو هفته تغییر اساسی درpspها ایجاد شود. در ممیزی آخری عددها بسیار پایین بود. برای بهبود کار در جلسه‌ای با شرکت‌های پرداخت گفتم آقایان دو هفته وقت دارید این کسری‌ها را حل کنید. شاپرک برنامه رتبه‌بندی دارد و اگر رتبه‌‌بندی انجام شود شرکت‌هایی که از یک عدد به بالا را کسب کنند همه طور می‌تواند برنامه توسعه داشته باشند و رتبه‌ها بعدی توسعه کمتری می‌دهد. بر همین اساس رتبه 90 یعنی خیلی عالی و وقتی شرکتی رتبه‌بندی نمی‌شود، مجوزها داده نمی‌شود.

*با توجه به این مسئله شما می‌توانید برنامه داشته باشید، همچون شرکت‌های بیمه که مولفه‌ای مثل توانگری مالی را براساس یک‌سری شاخص‌ها طرح ریزی می‌کنند؛ شما می‌توانید مولفه‌ای نظیر توانگری فنی را مطرح کنید و بدین شکل آن‌هایی که رتبه لازم را کسب نمی‌کنند در توسعه محدود می‌شوند.
من اختیار چنین کاری را ندارم.

*خب شرایط را ایجاد کنید.
مسئولیت باید همراه با اختیار باشد.

*درست است؛ پس باید به این موضوع پرداخت که چگونه می‌توان به راهکارهایی رسید که به کسب اختیار بینجامد؟ وگرنه نیمه‌خالی لیوان همیشه خالیست، ما باید نیمه پررا ببینیم و بیشتر پرکنیم.
هدف ما این است که شبکه پرداخت ما بین‌المللی شود. نه این‌که بخواهیم ویزا شویم یا مستر کارت، اما می‌خواهیم تمام استانداردها را رعایت کنیم، ما باید برای پیمنت بسترسازی کنیم.پ

*پس بیایید سیب پرداخت را رصد کنیم ببینیم چه استانداردهایی داریم و کدام را نداریم؟
ما در پرداخت 3 درگاه بیشتر نداریم: pos، IPG و USSD. ولی دنیا کجاست؟ اینترنت اشیا. ما الان ترانزکشن‌های خرد زیادی داریم؛ کیف پول، موبایل پیمنت و… آن هم در ابعاد و زیرمجموعه‌های متعدد اینجا نقش ما باید حاکمیتی باشد یعنی تعیین الزامات و استانداردها و آماده‌سازی زیرساخت‌های فنی. اینجا ما باید بستری را ایجاد کنیم.

*حال سیب پرداخت را برش بزنیم و ببینیم چه استانداردهایی داریم و پیاده شده و جای چه استانداردهایی خالی است؟
ما الان در بخش «امنیت» استانداردهای PCI را در حد درگاه‌هایمان پیاده کرده‌ایم. مثلا PCIPA را نداریم اما در برنامه‌های ما هست.
PA برای اپلیکیشن‌های موبایلی است؛ فرض کنید ما می‌رویم سراغ اپلیکیشن‌های موبایلی؛ حال چه کسی امنیت این اپلیکیشن‌ها را سرتیفای می‌کند؟ استاندارد امنیت این اپلیکیشن‌ها PA است که می‌تواند کمک کند. پس می‌دانیم که این یکی از نیازهای ماست.

*هم‌اکنون در مقایسه با استانداردهای جهانی در چه نمره و عددی هستید؟
نمی‌توان به درستی عددی گفت چون استانداردهای متعدد و متفاوتی وجود دارد.

*آیا از حداقل‌های لازم برخوردار هستید؟
بله. ما سال92 حدود 36درصد الزامات امنیتی را داشتیم و امروز روی 97درصد هستیم. با این حال ما برای شبکه‌هایی نظیر شاپرک به دنبال استانداردهای ممیزی هستیم؛ 17021 است فکر می‌کنم. دنبال استانداردهای متفاوت هستیم. بحث ما و استانداردهای EMV است؛ ما چه نقشی خواهیم داشت در آینده؟

*درباره استانداردهای ممیزی و 17021 توضیح دهید لطفا؟
این استاندارد برای شرکت‌های ممیزی است؛ که باید از چه اصولی پیروی کنند. وقتی ما از حرکت براساس استانداردها صحبت می‌کنم یعنی این‌که می‌خواهیم از تمام جهات استاندارد باشیم.

*برای این استاندارد تا کجا پیش رفته‌اید؟
استاندارد ممیزی جزو برنامه‌های امسال ماست. ما در حال پیگیری چندین استاندارد هستیم که به ترتیب در حال تعریف روی شاپرک هستند. این در واقع بخشی از آماده‌سازی زمینه‌های جهانی شدن است که شرکت‌های پرداخت بتوانند از حداکثر درگاه‌های موجود استفاده کنند و سرویس ارائه کنند.

*هم‌اکنون مراحل استاندارد ممیزی تا کجا پیش رفته است؟
ما هم‌اکنون شرکت‌های پیاده‌سازی را شناسایی کرده‌ایم. سیستم‌های (ITSM)  و (ITLM) را گرفتیم و فرآیندها را تعریف کرده‌ایم و مناقصه را نیز برگزار کرده‌ایم. سپس به ترتیب و براساس اولویت‌بندی ما، استانداردها پیاده می‌شوند.

*برنامه EMV را تا کجا پیش برده‌اید؟
فعلا مطالعات این برنامه‌ها صورت گرفته اما بحث EMV دارای چالش‌های سنگینی است. اصولا اتصال به شبکه‌های ویزا و مستر شرایط دشوار و متعددی می‌طلبد؛ آن‌ها استانداردها را می‌خواهند و ما لازم است تمام استانداردها را داشته باشیم. EMV  یکی از بخش‌هایی است که آن‌ها از ما می‌خواهند. و بعدی PCI است. اما PCI سطوح و ابعاد مختلفی دارد.

*سطوح و بخش‌های PCI  را طی کرده اید؟
ما PCI را در سطح امنیت پیاده‌سازی کرده‌ایم اما آن‌ها یک چیز دیگر می‌خواهند؛ آن‌ها از ما گواهینامه می‌خواهند. دریافت این گواهینامه مستلزم اقدامات متعددی است که در پروژه‌های 1400 بانک مرکزی پیش‌بینی شده و مطمئنا تا آن زمان باید انجام شود. حال ممکن است EMV خودش دو تا سه سال طول بکشد. فقط تجهیزات نیست. اولا هزینه‌های سنگینی خواهد داشت. باید PCI را در رده‌های مختلف داشته باشیم چه اپلیکیشنینگ چه دیگر مواردی که در سطح ویزا هستند. بعد بحث کارت‌ها را داریم.

*با این حساب هنوز راه زیادی برای پیوستن به شبکه‌های بین‌المللی وجود دارد؟ برنامه شما برای کارت‌ها چیست؟
 هوشمند کردن کارت‌ها یک تصمیم و برنامه کلان است که آیا همه کارت ها؟ تعداد محدودی از کارت‌ها؟ که باید به مرور روی آن‌ها کار انجام شود. تازه این‌ها مباحث فنی برنامه است. بحث‌های تئوریک و الزامات و دستورالعمل‌ها بسیار پیچیده‌تر است و این‌هاست که زمان زیادی را از ما می‌گیرند. این‌که ما فقط سوییچ را تغییر دهیم اتفاق بزرگی نیست؛ اتفاق بزرگ آن است که ضوابط لازمه رعایت شود، چه در لایه مرچنت چه در لایه‌های پذیرندگی، تجهیزات وکارت و… تدوین و تصویب این ضوابط که توسط بانک مرکزی انجام می‌شود زمان بر است.

*اکنون ما دو بحث داریم؛ یکی پیاده‌سازی کار است و دیگری تصمیم‌گیری درباره پیاده‌سازی آن.
این در نقشه راه 1400 وجود دارد.

*موضوعات و برنامه‌های زیادی در نقشه راه هست که مغفول مانده و اجرا نشده‌اند!
خیر الحمدالله این‌ها در دستور کار بانک مرکزی و شرکت ملی قرار گرفته و به سرعت روی آن‌ها کار می‌کنند.

*آیا ابلاغ شده است که EMV باید تا تاریخ مشخص و در مسیر مشخص، در قالب این دستورالعمل اجرا شود؟
عرض کردم که باید ببینیم مشاور خارجی بانک مرکزی چه می‌گوید.

*به‌هرحال این‌ها روندهایی است که شما نمی‌توانید به سمت آن‌ها نروید.
بله بانک مرکزی و شرکت ملی این روندها را در نظر داشته و رصد می‌کنند و در حال حرکت به سمت آن هستند.

*نکته‌ای که بسیار مهم است و شما نیز روی آن تاکید داشتید بسترسازی برای پیاده‌سازی EMV یا استانداردهای ممیزی است درباره این بسترسازی‌ها هم از نظر فنی هم روانی و دیگر موارد چه اقداماتی انجام داده‌اید؟
ما مطالعات را آغاز کرده و تیم‌ها در حال دریافت آموزش‌های لازم هستند. این استپ اول است زیرا نمی‌توان پیمانکار خارجی آورد اما هدایت نادرستی از آن داشت. در واقع اقدامات آموزشی و مطالعاتی شروع شده است.

*بخش‌بندی یا فاز‌بندی کرده‌اید؟
برحسب نیاز بله.

* سهم شاپرک در این میان چقدر است؟
اینکه کدام قسمت EMV به شاپرک مربوط می‌شود و شاپرک در کدام قسمت آن باید حرکت کند فقط کار ما نیست، این پروژه ایست که خیلی‌ها را درگیر می‌کند.

*به‌هرحال سهم شما بخش مهمی از این پروژه است؟
ما در سهم خود در حال مطالعه و شناسایی هستیم.

*و در واقع شما شامل شاپرک، pspها و صنوف هستند؟
بله. البته فروشنده کار چندانی نخواهد داشت. بله اصل قضیه در لایه‌های اجرایی است؛ لایه‌هایی که در آن بانک مرکزی هست، شرکت ملی، شاپرک.

*شاید. در واقع می‌توان گفت سه ضلع این پروژه psp، بانک و شما هستید و بانک مرکزی (شرکت ملی جزو بانک مرکزی هست به نوعی) این‌ها اکنون هریک وظایفی دارد. سخت‌ترین بخش‌ها در بانک‌هاست یا PSPها؟ (بانک مرکزی صرفا ابلاغ می‌کند)
اینکه بگویم کدام سخت‌تر است کمی دشوار است اما بخش بانک مرکزی که در حیطه تعریف قوانین و مقررات‌گذاری و آیین‌نامه‌هاست پیچیده‌تر از بخش فنی است. اصولا در هر پروژه‌ای کار فنی 20درصد از کار را به خود اختصاص می‌دهد مابقی اجرایی است. به نظر من دشواری کار PSP و بانک‌ها بسیار کمتر از بانک مرکزی است.

*این درست است شاید از نظر محتوایی مشکل‌تر باشد اما در اجرا یک‌سری مقاومت‌های سیستمی وجود دارد… .
من این‌طور فکر نمی‌کنم. به نظر من مقاومت سیستمی نخواهیم داشت. نه از سمت شرکت‌های پرداخت، نه از سمت بانک‌های پذیرنده، نه بانک مرکزی.

*یعنی به محض ابلاغ مقررات همه‌چیز به اجرا در می‌آید؟
اول زمان شروع و بعد ابلاغ مقررات.

*اکنون شروع شده است؟
عرض کردم استپ اول آغاز شده است…

*اما کی و چگونه مشخص نیست.
آن هم مشخص است. ما برحسب برنامه‌ها در حال حرکت هستیم و طوری مراحل کار را پیش‌بینی کرده‌ایم که از این دست اتفاقات نمی‌افتد که اگر در بخشی کاری انجام دادیم، فلان صنف مقاومت کند یا شاکی و معترض شود. استانداردهایی است که تمام جهان براساس آن‌ها حرکت می‌کنند ما نیز در همان راستا قدم برمی‌داریم.

*زمان خاصی برای انجام پروژه پیش‌بینی شده است.
زمان خاص مشخص نیست؛ صرفه و صلاح کشور باید در نظر گرفته شود. این‌که دنیا در حال حرکت به سمت EMV است یک بحث است، این‌که صرفه و صلاح سیستم و کشور در چه چیزی است بحثی دیگر است.

*صرفه و صلاح ما در چه چیزی است؟
مثال می‌زنم؛ آمریکا کشوری است که تمام تکنولوژی‌ها را پیاده کرده و می‌کند، هم‌اکنون چند سال است که EMV مورد بحث است؟ حداقل از 2003 به بعد همه هم می‌خواستند به این سمت بروند آمریکا تا 5/1 سال گذشته روی EMV تمرکز خاصی نداشت. نه این‌که آن را بی‌اهمیت تلقی کند. EMV به کاهش میزان تقلب کمک می‌کند. اما با چه هزینه‌هایی؟ مثلا آمریکا می‌گوید من هم‌اکنون در بخش تقلب،  N دلار زیان می‌کنم. برای پیاده‌سازی EMV  باید دو N  هزینه کنم، آیا صرفه دارد؟

*ولی درنهایت به این نتیجه رسید که صرف می‌کند؟
آمریکا به این نتیجه رسیده یا شبکه‌هایی مثل ویزا به این نتیجه رسیده‌اند که باید اتفاق بیفتد؟ مسائل پشت پرده را ما نمی‌دانیم. ببینید کشوری مثل آمریکا هم در EMV تعلل کرد؛ شاید دوستان در سطوح کلان کشوری به این نتیجه رسیده‌اند که نیازی به تعجیل نیست زیرا انجام دادن این اقدامات هزینه‌های سنگینی می‌طلبد.

* بهتر نیست ما از تجربه‌های آن‌ها استفاده کنیم و راه آن‌ها را دوباره در پیش نگیریم که به همان نتیجه برسیم؟
خیر، منظور من این است که باید طرح‌ها و برنامه‌ها را اولویت‌بندی کنیم. فرض کنید که به نقطه‌ای برسیم که نیاز به تعویض مقدار زیادی تجهیزات پیدا کنیم؛ این طبیعتا هزینه‌های گزافی را از کشور هدر می‌دهد.

*باید اعداد و ارقام از قبل محاسبه شوند.
دقیقا ما هم‌اکنون در حال مطالعات لازم روی پروژه و محاسبه هزینه‌های آن هستیم.

*محاسبه نهایی چقدر شده است؟
من هنوز در جریان نتایج محاسبات نیستم.

* ارقام جهانی چقدر است؟
نمی‌دانم! ولی رفتن به سمت استانداردهای جهانی کار ساده ای نیست. این تصمیم سختی است.

* طبیعی است. اما این‌ها هم برآورد هزینه دارند هم برآورد زمانی؛ حال شما در مطالعاتتان زمان انجام پروژه را چقدر پیش‌بینی کرده‌اید؟ یک سال؟ دو سال؟ پنج سال؟
نمی‌توان گفت چند سال اما اگر قرار بر اجرای این برنامه باشد چه بخواهیم چه نخواهیم زمان‌بر است.

*مشخصا زمانبر است اما چقدر؟ چه مقدار از زمان باید صرف انجام این برنامه شود؟
در بهترین شرایط دو تا سه سال طول می‌کشد.

*پس هزینه‌های شما برای دو تا سه سال توزیع می‌شود. من می‌خواهم به این نتیجه برسم که چرا نباید فرجام کار را در نظر بگیریم؟ چرا مثل طرح”سپاس” بدون برآورد هزینه و زمان وارد کار شویم و بعد از 4 سال بگوییم نمی‌شود؟ آیا نباید نتیجه نهایی را در همان ابتدا پیش‌بینی کرد؟
ببینید در تمام دنیا برای هر پروژه‌ای یک فاز صفر لحاظ می‌کنند. آنجاست که شدنی بود یا نشدنی بودنِ کار مشخص می‌شود.

*پس چرا با وجود این فاز صفر، تجربه‌های ما همواره ناموفق بوده‌اند؟ مثل طرح سپاس، بانکداری مجازی و چند مورد دیگر.
من در جایگاهی نیستم که درباره این مسائل اظهارنظر کنم.

*پس برگردیم به مبحث سیب پرداخت. چه مسائلی از بحث PCI باقی مانده؟ موضوع امنیت را صحبت کردیم. از نظر فنی چه بخش‌هایی دارد؟
بخش‌هایی نظیر PCIPA، PCIDSS و چند بخش دیگر.

*و این‌ها همه باید گواهینامه بگیرند؟
یک مثال می‌زنم؛ شبکه بین‌المللی ویزا برای بررسی درخواست‌ها، خودش نمی‌آید ببیند PCI شما دقیق است یا خیر. شاید هم جزو اقداماتشان باشد. این مسائل را من نمی‌دانم.

*شما از واژه”نمی‌دانم” زیاد استفاده می‌کنید. آیا این‌ها مسائلی نیستند که شما به عنوان متولی نظام پرداخت باید بدانید؟
کدام مسائل را؟

*مثلا این‌که وقتی ما می‌خواهیم به یک شبکه بین‌المللی بپیوندیم این گواهینامه باید وجود داشته باشد یا خودشان اقدام به بررسی می‌کنند؟
من گفتم که باید گواهینامه وجود داشته باشد. اما من که با ویزا صحبت نکرده‌ام که بتوانم بگویم خودتان برای ما سرتی فای می‌کنید؟

*یعنی هیچ گفت‌وگویی بین شما و ویزا صورت نگرفته است؟
فکر می‌کنم یک مقدار انتظارات شما منطقی نیست!

* من شخصا هیچ انتظاری ندارم فقط سوالاتی پرسیدم که ممکن است برای مخاطبان ما جای ابهام باشد.
شما از من می‌پرسید ”چرا فلان مساله را نمی‌دانید” ما که هنوز قرارداد نبستیم که در جریان جزییات باشیم. تازه اگر هم بخواهیم قرارداد ببندیم به یک مشاور نیاز داریم که به ما بگوید براساس چه معیارها و فاکتورهایی پیش برویم.

*در بحث PCI موضوع امنیت و موضوع فنی را صحبت کردیم. حال به بخش سوم یعنی کسب و کار می‌رسیم. آیا در کسب و کار هم استاندارد خاصی نیاز است؟
در بحث PCI بیشتر مباحث به موضوع امنیت برمی‌گردند. یعنی مهم‌ترین موضوعی که مورد توجه قرار می‌گیرد بحث امنیت است. ما هم‌اکنون در ابتدای یک تونل قرار داریم و شما از من می‌پرسید که آن سوی تونل چه خبر است؟!

*من درباره پیش‌بینی‌ها و چشم‌اندازها صحبت می‌کنم. حداقل تجربه‌ها و نمونه‌های خارجی را می‌توان بررسی و تحلیل کرد و بر اساس آن تجربیات، پیش‌بینی‌های لازم را انجام داد.
مثال بزنید کدام نمونه‌ها؟

* مثلا شبکه‌های پرداخت.
ما که با آن‌ها ارتباطی نداشته‌ایم که بتوانیم چند و چون تجربیاتشان را بپرسیم؟ با توجه به تحریم‌های ظالمانه، ما تقریبا به هیچ منبعی دسترسی نداشته‌ایم.

*ارتباط مطالعاتی چطور؟ در سطوح کارشناسان.
داریم اما کارشناس فقط نمای خارج پروژه را می‌بیند و ارائه می‌دهد. ما چه می‌دانیم پروژه‌های آن‌ها از درون چگونه طرح‌ریزی شده و چه استانداردهایی دارند؟

*اما مشاور خارجی که می‌گیرید قطعا شناخت لازم را دارد.
بله قطعا این‌طور است اما هنوز که مشاور را نگرفته‌ایم. مشاور را زمانی می‌گیریم که کار را شروع کرده باشیم. منطقی نیست که قبل از آغاز کار مشاور گرفت.

*در بحث کسب و کار شبکه‌های پرداخت؛ شما می‌فرمایید که این سه کانال: POS،IPG و USSD و باید به سمت فراتر حرکت کنیم؛ آیا ما بسترهای لازم را برای این امر داریم؟
هم‌اکنون در حال آماده‌سازی بسترهای لازم هستیم.

منبع: ماهنامه بانکداری آینده – شماره 9 (اردیبهشت 95)

لینک کوتاهلینک کپی شد!
ممکن است شما دوست داشته باشید
بدون نظر
  1. ناشناس می گوید

    اینجا یک سوال خیلی مهم ذهن همه را درگیر میکند، چطئر ایشان اختیار دارد نرم افزار چند میلیلردی بدون خبر همه خرید کند و آن جنجال را به پا کند و لی وقتی موضوع کار کردن و خدمت به این صنعت در حال ورشکستگی میشود اختیار ندارند؟ چطور اختیار دارند مناقصات چند میلیاردی و … برگزار کنند؟ فقط در موضوع پولی اختیار دارند. خدا آخر و عاقبت این صنعت را به خیر کند و انشاالله کسانی در آن تاثیر گذار شوند که فقط برای خدمت آمده باشند

ارسال یک پاسخ

  +  66  =  72