می خواهیم پیمنت را استاندارد کنیم/اختیار ندارم
گفتوگو با محسن قادری مدیرعامل شرکت شاپرک:
مسائل پشت پرده را ما نمیدانیم؛ کشوری مثل آمریکا هم در EMV تعلل کرد. شاید دوستان در سطوح کلان کشوری به این نتیجه رسیدهاند که نیازی به تعجیل نیست/ ما PCI را در سطح امنیت پیادهسازی کردهایم اما آنها یک چیز دیگری میخواهند؛ آنها از ما گواهینامه میخواهند/ شما از من میپرسید ”چرا فلان مساله را نمیدانید؟» ما که هنوز قرارداد نبستیم که در جریان جزییات باشیم/ زمان خاص مشخص نیست؛ صرفه و صلاح کشور باید در نظر گرفته شود. اینکه دنیا در حال حرکت به سمت EMV است یک بحث است، اینکه صرفه و صلاح سیستم و کشور در چه چیزی است بحثی دیگر است.
******************
*چگونه توانستید در روند ممیزی شرکتهای پرداخت سرعت ایجاد کنید؟
در ابتدا قرار بود که شرکتهای پرداخت رتبهبندی شوند اما شرایط فراهم نشد ولی این اتفاق باعث شد که طی حدود دو هفته تغییر اساسی درpspها ایجاد شود. در ممیزی آخری عددها بسیار پایین بود. برای بهبود کار در جلسهای با شرکتهای پرداخت گفتم آقایان دو هفته وقت دارید این کسریها را حل کنید. شاپرک برنامه رتبهبندی دارد و اگر رتبهبندی انجام شود شرکتهایی که از یک عدد به بالا را کسب کنند همه طور میتواند برنامه توسعه داشته باشند و رتبهها بعدی توسعه کمتری میدهد. بر همین اساس رتبه 90 یعنی خیلی عالی و وقتی شرکتی رتبهبندی نمیشود، مجوزها داده نمیشود.
*با توجه به این مسئله شما میتوانید برنامه داشته باشید، همچون شرکتهای بیمه که مولفهای مثل توانگری مالی را براساس یکسری شاخصها طرح ریزی میکنند؛ شما میتوانید مولفهای نظیر توانگری فنی را مطرح کنید و بدین شکل آنهایی که رتبه لازم را کسب نمیکنند در توسعه محدود میشوند.
من اختیار چنین کاری را ندارم.
*خب شرایط را ایجاد کنید.
مسئولیت باید همراه با اختیار باشد.
*درست است؛ پس باید به این موضوع پرداخت که چگونه میتوان به راهکارهایی رسید که به کسب اختیار بینجامد؟ وگرنه نیمهخالی لیوان همیشه خالیست، ما باید نیمه پررا ببینیم و بیشتر پرکنیم.
هدف ما این است که شبکه پرداخت ما بینالمللی شود. نه اینکه بخواهیم ویزا شویم یا مستر کارت، اما میخواهیم تمام استانداردها را رعایت کنیم، ما باید برای پیمنت بسترسازی کنیم.پ
*پس بیایید سیب پرداخت را رصد کنیم ببینیم چه استانداردهایی داریم و کدام را نداریم؟
ما در پرداخت 3 درگاه بیشتر نداریم: pos، IPG و USSD. ولی دنیا کجاست؟ اینترنت اشیا. ما الان ترانزکشنهای خرد زیادی داریم؛ کیف پول، موبایل پیمنت و… آن هم در ابعاد و زیرمجموعههای متعدد اینجا نقش ما باید حاکمیتی باشد یعنی تعیین الزامات و استانداردها و آمادهسازی زیرساختهای فنی. اینجا ما باید بستری را ایجاد کنیم.
*حال سیب پرداخت را برش بزنیم و ببینیم چه استانداردهایی داریم و پیاده شده و جای چه استانداردهایی خالی است؟
ما الان در بخش «امنیت» استانداردهای PCI را در حد درگاههایمان پیاده کردهایم. مثلا PCIPA را نداریم اما در برنامههای ما هست.
PA برای اپلیکیشنهای موبایلی است؛ فرض کنید ما میرویم سراغ اپلیکیشنهای موبایلی؛ حال چه کسی امنیت این اپلیکیشنها را سرتیفای میکند؟ استاندارد امنیت این اپلیکیشنها PA است که میتواند کمک کند. پس میدانیم که این یکی از نیازهای ماست.
*هماکنون در مقایسه با استانداردهای جهانی در چه نمره و عددی هستید؟
نمیتوان به درستی عددی گفت چون استانداردهای متعدد و متفاوتی وجود دارد.
*آیا از حداقلهای لازم برخوردار هستید؟
بله. ما سال92 حدود 36درصد الزامات امنیتی را داشتیم و امروز روی 97درصد هستیم. با این حال ما برای شبکههایی نظیر شاپرک به دنبال استانداردهای ممیزی هستیم؛ 17021 است فکر میکنم. دنبال استانداردهای متفاوت هستیم. بحث ما و استانداردهای EMV است؛ ما چه نقشی خواهیم داشت در آینده؟
*درباره استانداردهای ممیزی و 17021 توضیح دهید لطفا؟
این استاندارد برای شرکتهای ممیزی است؛ که باید از چه اصولی پیروی کنند. وقتی ما از حرکت براساس استانداردها صحبت میکنم یعنی اینکه میخواهیم از تمام جهات استاندارد باشیم.
*برای این استاندارد تا کجا پیش رفتهاید؟
استاندارد ممیزی جزو برنامههای امسال ماست. ما در حال پیگیری چندین استاندارد هستیم که به ترتیب در حال تعریف روی شاپرک هستند. این در واقع بخشی از آمادهسازی زمینههای جهانی شدن است که شرکتهای پرداخت بتوانند از حداکثر درگاههای موجود استفاده کنند و سرویس ارائه کنند.
*هماکنون مراحل استاندارد ممیزی تا کجا پیش رفته است؟
ما هماکنون شرکتهای پیادهسازی را شناسایی کردهایم. سیستمهای (ITSM) و (ITLM) را گرفتیم و فرآیندها را تعریف کردهایم و مناقصه را نیز برگزار کردهایم. سپس به ترتیب و براساس اولویتبندی ما، استانداردها پیاده میشوند.
*برنامه EMV را تا کجا پیش بردهاید؟
فعلا مطالعات این برنامهها صورت گرفته اما بحث EMV دارای چالشهای سنگینی است. اصولا اتصال به شبکههای ویزا و مستر شرایط دشوار و متعددی میطلبد؛ آنها استانداردها را میخواهند و ما لازم است تمام استانداردها را داشته باشیم. EMV یکی از بخشهایی است که آنها از ما میخواهند. و بعدی PCI است. اما PCI سطوح و ابعاد مختلفی دارد.
*سطوح و بخشهای PCI را طی کرده اید؟
ما PCI را در سطح امنیت پیادهسازی کردهایم اما آنها یک چیز دیگر میخواهند؛ آنها از ما گواهینامه میخواهند. دریافت این گواهینامه مستلزم اقدامات متعددی است که در پروژههای 1400 بانک مرکزی پیشبینی شده و مطمئنا تا آن زمان باید انجام شود. حال ممکن است EMV خودش دو تا سه سال طول بکشد. فقط تجهیزات نیست. اولا هزینههای سنگینی خواهد داشت. باید PCI را در ردههای مختلف داشته باشیم چه اپلیکیشنینگ چه دیگر مواردی که در سطح ویزا هستند. بعد بحث کارتها را داریم.
*با این حساب هنوز راه زیادی برای پیوستن به شبکههای بینالمللی وجود دارد؟ برنامه شما برای کارتها چیست؟
هوشمند کردن کارتها یک تصمیم و برنامه کلان است که آیا همه کارت ها؟ تعداد محدودی از کارتها؟ که باید به مرور روی آنها کار انجام شود. تازه اینها مباحث فنی برنامه است. بحثهای تئوریک و الزامات و دستورالعملها بسیار پیچیدهتر است و اینهاست که زمان زیادی را از ما میگیرند. اینکه ما فقط سوییچ را تغییر دهیم اتفاق بزرگی نیست؛ اتفاق بزرگ آن است که ضوابط لازمه رعایت شود، چه در لایه مرچنت چه در لایههای پذیرندگی، تجهیزات وکارت و… تدوین و تصویب این ضوابط که توسط بانک مرکزی انجام میشود زمان بر است.
*اکنون ما دو بحث داریم؛ یکی پیادهسازی کار است و دیگری تصمیمگیری درباره پیادهسازی آن.
این در نقشه راه 1400 وجود دارد.
*موضوعات و برنامههای زیادی در نقشه راه هست که مغفول مانده و اجرا نشدهاند!
خیر الحمدالله اینها در دستور کار بانک مرکزی و شرکت ملی قرار گرفته و به سرعت روی آنها کار میکنند.
*آیا ابلاغ شده است که EMV باید تا تاریخ مشخص و در مسیر مشخص، در قالب این دستورالعمل اجرا شود؟
عرض کردم که باید ببینیم مشاور خارجی بانک مرکزی چه میگوید.
*بههرحال اینها روندهایی است که شما نمیتوانید به سمت آنها نروید.
بله بانک مرکزی و شرکت ملی این روندها را در نظر داشته و رصد میکنند و در حال حرکت به سمت آن هستند.
*نکتهای که بسیار مهم است و شما نیز روی آن تاکید داشتید بسترسازی برای پیادهسازی EMV یا استانداردهای ممیزی است درباره این بسترسازیها هم از نظر فنی هم روانی و دیگر موارد چه اقداماتی انجام دادهاید؟
ما مطالعات را آغاز کرده و تیمها در حال دریافت آموزشهای لازم هستند. این استپ اول است زیرا نمیتوان پیمانکار خارجی آورد اما هدایت نادرستی از آن داشت. در واقع اقدامات آموزشی و مطالعاتی شروع شده است.
*بخشبندی یا فازبندی کردهاید؟
برحسب نیاز بله.
* سهم شاپرک در این میان چقدر است؟
اینکه کدام قسمت EMV به شاپرک مربوط میشود و شاپرک در کدام قسمت آن باید حرکت کند فقط کار ما نیست، این پروژه ایست که خیلیها را درگیر میکند.
*بههرحال سهم شما بخش مهمی از این پروژه است؟
ما در سهم خود در حال مطالعه و شناسایی هستیم.
*و در واقع شما شامل شاپرک، pspها و صنوف هستند؟
بله. البته فروشنده کار چندانی نخواهد داشت. بله اصل قضیه در لایههای اجرایی است؛ لایههایی که در آن بانک مرکزی هست، شرکت ملی، شاپرک.
*شاید. در واقع میتوان گفت سه ضلع این پروژه psp، بانک و شما هستید و بانک مرکزی (شرکت ملی جزو بانک مرکزی هست به نوعی) اینها اکنون هریک وظایفی دارد. سختترین بخشها در بانکهاست یا PSPها؟ (بانک مرکزی صرفا ابلاغ میکند)
اینکه بگویم کدام سختتر است کمی دشوار است اما بخش بانک مرکزی که در حیطه تعریف قوانین و مقرراتگذاری و آییننامههاست پیچیدهتر از بخش فنی است. اصولا در هر پروژهای کار فنی 20درصد از کار را به خود اختصاص میدهد مابقی اجرایی است. به نظر من دشواری کار PSP و بانکها بسیار کمتر از بانک مرکزی است.
*این درست است شاید از نظر محتوایی مشکلتر باشد اما در اجرا یکسری مقاومتهای سیستمی وجود دارد… .
من اینطور فکر نمیکنم. به نظر من مقاومت سیستمی نخواهیم داشت. نه از سمت شرکتهای پرداخت، نه از سمت بانکهای پذیرنده، نه بانک مرکزی.
*یعنی به محض ابلاغ مقررات همهچیز به اجرا در میآید؟
اول زمان شروع و بعد ابلاغ مقررات.
*اکنون شروع شده است؟
عرض کردم استپ اول آغاز شده است…
*اما کی و چگونه مشخص نیست.
آن هم مشخص است. ما برحسب برنامهها در حال حرکت هستیم و طوری مراحل کار را پیشبینی کردهایم که از این دست اتفاقات نمیافتد که اگر در بخشی کاری انجام دادیم، فلان صنف مقاومت کند یا شاکی و معترض شود. استانداردهایی است که تمام جهان براساس آنها حرکت میکنند ما نیز در همان راستا قدم برمیداریم.
*زمان خاصی برای انجام پروژه پیشبینی شده است.
زمان خاص مشخص نیست؛ صرفه و صلاح کشور باید در نظر گرفته شود. اینکه دنیا در حال حرکت به سمت EMV است یک بحث است، اینکه صرفه و صلاح سیستم و کشور در چه چیزی است بحثی دیگر است.
*صرفه و صلاح ما در چه چیزی است؟
مثال میزنم؛ آمریکا کشوری است که تمام تکنولوژیها را پیاده کرده و میکند، هماکنون چند سال است که EMV مورد بحث است؟ حداقل از 2003 به بعد همه هم میخواستند به این سمت بروند آمریکا تا 5/1 سال گذشته روی EMV تمرکز خاصی نداشت. نه اینکه آن را بیاهمیت تلقی کند. EMV به کاهش میزان تقلب کمک میکند. اما با چه هزینههایی؟ مثلا آمریکا میگوید من هماکنون در بخش تقلب، N دلار زیان میکنم. برای پیادهسازی EMV باید دو N هزینه کنم، آیا صرفه دارد؟
*ولی درنهایت به این نتیجه رسید که صرف میکند؟
آمریکا به این نتیجه رسیده یا شبکههایی مثل ویزا به این نتیجه رسیدهاند که باید اتفاق بیفتد؟ مسائل پشت پرده را ما نمیدانیم. ببینید کشوری مثل آمریکا هم در EMV تعلل کرد؛ شاید دوستان در سطوح کلان کشوری به این نتیجه رسیدهاند که نیازی به تعجیل نیست زیرا انجام دادن این اقدامات هزینههای سنگینی میطلبد.
* بهتر نیست ما از تجربههای آنها استفاده کنیم و راه آنها را دوباره در پیش نگیریم که به همان نتیجه برسیم؟
خیر، منظور من این است که باید طرحها و برنامهها را اولویتبندی کنیم. فرض کنید که به نقطهای برسیم که نیاز به تعویض مقدار زیادی تجهیزات پیدا کنیم؛ این طبیعتا هزینههای گزافی را از کشور هدر میدهد.
*باید اعداد و ارقام از قبل محاسبه شوند.
دقیقا ما هماکنون در حال مطالعات لازم روی پروژه و محاسبه هزینههای آن هستیم.
*محاسبه نهایی چقدر شده است؟
من هنوز در جریان نتایج محاسبات نیستم.
* ارقام جهانی چقدر است؟
نمیدانم! ولی رفتن به سمت استانداردهای جهانی کار ساده ای نیست. این تصمیم سختی است.
* طبیعی است. اما اینها هم برآورد هزینه دارند هم برآورد زمانی؛ حال شما در مطالعاتتان زمان انجام پروژه را چقدر پیشبینی کردهاید؟ یک سال؟ دو سال؟ پنج سال؟
نمیتوان گفت چند سال اما اگر قرار بر اجرای این برنامه باشد چه بخواهیم چه نخواهیم زمانبر است.
*مشخصا زمانبر است اما چقدر؟ چه مقدار از زمان باید صرف انجام این برنامه شود؟
در بهترین شرایط دو تا سه سال طول میکشد.
*پس هزینههای شما برای دو تا سه سال توزیع میشود. من میخواهم به این نتیجه برسم که چرا نباید فرجام کار را در نظر بگیریم؟ چرا مثل طرح”سپاس” بدون برآورد هزینه و زمان وارد کار شویم و بعد از 4 سال بگوییم نمیشود؟ آیا نباید نتیجه نهایی را در همان ابتدا پیشبینی کرد؟
ببینید در تمام دنیا برای هر پروژهای یک فاز صفر لحاظ میکنند. آنجاست که شدنی بود یا نشدنی بودنِ کار مشخص میشود.
*پس چرا با وجود این فاز صفر، تجربههای ما همواره ناموفق بودهاند؟ مثل طرح سپاس، بانکداری مجازی و چند مورد دیگر.
من در جایگاهی نیستم که درباره این مسائل اظهارنظر کنم.
*پس برگردیم به مبحث سیب پرداخت. چه مسائلی از بحث PCI باقی مانده؟ موضوع امنیت را صحبت کردیم. از نظر فنی چه بخشهایی دارد؟
بخشهایی نظیر PCIPA، PCIDSS و چند بخش دیگر.
*و اینها همه باید گواهینامه بگیرند؟
یک مثال میزنم؛ شبکه بینالمللی ویزا برای بررسی درخواستها، خودش نمیآید ببیند PCI شما دقیق است یا خیر. شاید هم جزو اقداماتشان باشد. این مسائل را من نمیدانم.
*شما از واژه”نمیدانم” زیاد استفاده میکنید. آیا اینها مسائلی نیستند که شما به عنوان متولی نظام پرداخت باید بدانید؟
کدام مسائل را؟
*مثلا اینکه وقتی ما میخواهیم به یک شبکه بینالمللی بپیوندیم این گواهینامه باید وجود داشته باشد یا خودشان اقدام به بررسی میکنند؟
من گفتم که باید گواهینامه وجود داشته باشد. اما من که با ویزا صحبت نکردهام که بتوانم بگویم خودتان برای ما سرتی فای میکنید؟
*یعنی هیچ گفتوگویی بین شما و ویزا صورت نگرفته است؟
فکر میکنم یک مقدار انتظارات شما منطقی نیست!
* من شخصا هیچ انتظاری ندارم فقط سوالاتی پرسیدم که ممکن است برای مخاطبان ما جای ابهام باشد.
شما از من میپرسید ”چرا فلان مساله را نمیدانید” ما که هنوز قرارداد نبستیم که در جریان جزییات باشیم. تازه اگر هم بخواهیم قرارداد ببندیم به یک مشاور نیاز داریم که به ما بگوید براساس چه معیارها و فاکتورهایی پیش برویم.
*در بحث PCI موضوع امنیت و موضوع فنی را صحبت کردیم. حال به بخش سوم یعنی کسب و کار میرسیم. آیا در کسب و کار هم استاندارد خاصی نیاز است؟
در بحث PCI بیشتر مباحث به موضوع امنیت برمیگردند. یعنی مهمترین موضوعی که مورد توجه قرار میگیرد بحث امنیت است. ما هماکنون در ابتدای یک تونل قرار داریم و شما از من میپرسید که آن سوی تونل چه خبر است؟!
*من درباره پیشبینیها و چشماندازها صحبت میکنم. حداقل تجربهها و نمونههای خارجی را میتوان بررسی و تحلیل کرد و بر اساس آن تجربیات، پیشبینیهای لازم را انجام داد.
مثال بزنید کدام نمونهها؟
* مثلا شبکههای پرداخت.
ما که با آنها ارتباطی نداشتهایم که بتوانیم چند و چون تجربیاتشان را بپرسیم؟ با توجه به تحریمهای ظالمانه، ما تقریبا به هیچ منبعی دسترسی نداشتهایم.
*ارتباط مطالعاتی چطور؟ در سطوح کارشناسان.
داریم اما کارشناس فقط نمای خارج پروژه را میبیند و ارائه میدهد. ما چه میدانیم پروژههای آنها از درون چگونه طرحریزی شده و چه استانداردهایی دارند؟
*اما مشاور خارجی که میگیرید قطعا شناخت لازم را دارد.
بله قطعا اینطور است اما هنوز که مشاور را نگرفتهایم. مشاور را زمانی میگیریم که کار را شروع کرده باشیم. منطقی نیست که قبل از آغاز کار مشاور گرفت.
*در بحث کسب و کار شبکههای پرداخت؛ شما میفرمایید که این سه کانال: POS،IPG و USSD و باید به سمت فراتر حرکت کنیم؛ آیا ما بسترهای لازم را برای این امر داریم؟
هماکنون در حال آمادهسازی بسترهای لازم هستیم.
منبع: ماهنامه بانکداری آینده – شماره 9 (اردیبهشت 95)
اینجا یک سوال خیلی مهم ذهن همه را درگیر میکند، چطئر ایشان اختیار دارد نرم افزار چند میلیلردی بدون خبر همه خرید کند و آن جنجال را به پا کند و لی وقتی موضوع کار کردن و خدمت به این صنعت در حال ورشکستگی میشود اختیار ندارند؟ چطور اختیار دارند مناقصات چند میلیاردی و … برگزار کنند؟ فقط در موضوع پولی اختیار دارند. خدا آخر و عاقبت این صنعت را به خیر کند و انشاالله کسانی در آن تاثیر گذار شوند که فقط برای خدمت آمده باشند