همبانک یک فرصت یا تهدید ؟
چندی پیش خبر راه اندازی سرویس USSD همراه اول برای امور بانکی در قالب سرویس همبانک برروی خروجی خبرگذاری ها قرار گرفت، که نشان از کوتاه آمدن همراه اول از سیاست های بسته خود در حوزه خدمات پرداخت داشته و کمی ما را به آینده توسعه زیرساخت پرداخت و بانکداری همراه امیدوار کرد.
اکنون بعد از راه اندازی خدمات USSD بانک هایی چون مسکن، پست بانک و چند بانک دیگر، زنگ خطری همراه اول را به مسیر صحیح تعامل خود با توسعه دهندگان خدمات بانکداری الکترونیک بازگرداند.
سرویس همبانک به بانک ها این امکان را می دهد تا با اتصال به درگاه USSD همراه اول، خدمات بانکداری الکترونیک خود را بر بستر تلفن همراه و بدون نیاز به نرم افزار روی گوشی از طریق یک کد کوتاه اختصاصی به مشتریان خود ارائه نمایند، اتفاقی که اولین بار در بانک سامان و حدود دو سال پیش با همکاری ایرانسل و تالیا افتاد.
کانال ارتباطی USSD یا Unstructured Supplementary Service Dataیک مکانیزم انتقال اطلاعات بر بستر شبکه GSM است که بر مبنای تعامل با سرور اپراتورهای موبایل استوار است و این امکان را برای مشترکین فراهم می سازد تا بدون نیاز به نرم افزاری خاص از خدمات ویژه ای بهره مند شوند.
در بعد امنیتی، USSD دارای ساختاری مجزا برای تامین امنیت نمی باشد و از استانداردها و مکانیزم های امنیتی شبکه GSM/UMTSاستفاده می کند. از این رو نمی تواند اطمینان جامعه بانکی را که به پروتکل های پیچیده امنیت End to End مانند PCI و PCI/DSS اعتماد نموده اند را به خود جلب کند.
این ضعف در کنار عدم وجود نرم افزاری در گوشی تلفن همراه مشترکین برای رمزنگاری اطلاعات بانکی، بانک ها را بر آن داشت تا با ابداع روش هایی از تبادل اطلاعات احراز هویت بانکی بر روی شبکه خودداری نموده و یا با بهره گیری از تکنولوژی STK امکانات رمزنگاری این اطلاعات محرمانه را در سمت گوشی تلفن همراه مشتریان فراهم نمایند.
یکی از اقدامات صورت گرفته در این راستا، راه اندازی پورتال اینترنتی برای ثبت مشخصات کارت های بانکی و ثبت نام مشتری است که در هر بانک جهت اختصاص نام مستعار به کارت های بانکی و یا حساب های متصل ایجاد شده است، تا از این طریق صرفاً رمز دوم کارت در کنار نامی مستعار بر روی شبکه موبایل منتقل گردد تا در صورت شنود امکان سوء استفاده وجود نداشته باشد.
اما آنچه در خدمت همبانک، بشکل شاخصی دیده نمی شود توجه به همین موارد است، بگونه ای که روند کار با سیستم شما را بر آن می دارد تا کلیه اطلاعات حیاتی خود را از قبیل شماره کارت، رمز دوم و CVV2 را بر این بستر و در کنار هم ارسال کنید که این خود قابلیت طراحی روش های سوء استفاده را آسان می نماید.
با توجه به حساسیت خدمات الکترونیک بانکی و بخصوص خدمات فراگیر مبتنی بر تلفن همراه، لزوم وجود نظارت برای کنترل مخاطرات طرح هایی از این قبیل از جانب مقام ناظر بیش از پیش احساس می شود، امید است این نگارش سبب رفع نواقص موجود و بهبود کیفیت خدمات بانکداری الکترونیک کشور گردد.
مشاور در حوزه فناوری اطلاعات و ارتباطات
براستی براتون متاسفم که اینقدر سنتی می اندیشیدآقی نویسنده
بجای تشکر از شجاعت و درایت بانک های خصوصی متاسفانه ….
سلام
بنظر من حرف شما درست …نباید اطلاعات اضافه از مشتری در زمان عملیات خواست ..این کار میتونه به در همان بار اول در ثبت نام در پرتابل انجام بشه
من الان با همین سیستم از خدمان بانک پاسارگارد و پارسیان استفاده میکنم راضی هم هستم…
ولی مشکلی که وجود داره … در بانک پارسیان نمیشه یک درخواست کامل ارسال کرد و باید با ارسال های متعدد این کار انجام بشه و رمز دوم هم باید ارسال بشه…
ولی در پارسارگارد اینطور نست حتی لازم به ارسال رمز دوم نیست و بصورت یک جا میتونید در خواستون رو ارسال کنید… و حتی میتونید کد مورد نظر تون ذخیره کنید … مثلا زمان شارژ گرفت تنها کافیست اکانت مورد نظر اوکی کنید…
در هر حال این که این خدمات گسترده تر میشه خوبه …
ولی یک نکته اینکه دوست عزیز شنود این پیام هام به این راحتی نیست که حالا ما بخواهیم از رشد اون جلو گیری بشه البته با شما موفق هستم که نماید مثلا اطلاعات بی مورد مثل Cvv2 در زمان عملیات در خواست بشه
با تشکر..
آقای مهدی، معنی نگاه سنتی داشتن دغدغه امنیت اطلاعات مشتریان است ؟
واقعاً چه معنی داره آدم شماره 16 رقمیه کارتو، و CVV2 و رمز دوم رو اونم تو اون ران تایم محدود هر سری و برای هر خدمت وارد کنه ؟؟
خوب اکه اولین سرویس ussd بود می گفتیم آره، دارن یاد می گیرن، ولی بعد از این همه بانک حداقل کپی کاری خوب هم نتونستند بکنند.
زشته خوب، واسه همراه اول زشته، واسه بانکم زشت تر