آینده نه به بانک، که به بانکداری نیاز دارد
گفتوگو با حمیدرضا مختاریان، معاون نرمافزار شرکت داده ورزی سداد
موضوع بانکداری باز در یکی دو سال اخیر وارد نظام بانکی کشور شده و بانکهای کشور در تلاش برای رسیدن به آن هستند اما رسیدن به لایههای مختلف این روند برای برخی بانکها و شرکتهای فناوری نسبت به برخی دیگر، بسیار جدی شده است/ یکی از پایهایترین فاکتورهای حاکمیت سرویس این است که هر سرویس یک صاحب داشته باشد و صاحب هر سرویسی یک (SLA) داشته باشد روی همان سرویس/ API یک لایه ارتباط با نرمافزار بانک است که چند ویژگی دارد: 1- قابلدسترسی توسط عموم است. 2- مستندات دارد. 3- برای ارائه آن از استانداردهای متعارف مانند REST استفاده شده است/ API یکی از ابزارهای اجرایی کردن ایدههای بانکداری باز است. یعنی ما به این نتیجه رسیدیم که اجرای بانکداری باز، کار API است/ تفکر مدیران، از چالشهای API در ایران است. بسیاری از بانکها و سازمان ها هنوز ضرورت و فوریت ارائه API را درک نکرده اند. به نظر من این ضرورت توسط مدیران باید حس شود.
**********
*میخواهیم درباره این لایه واسط با هم صحبت کنیم که آنوقت محصولاتی مثل بام روی آن سوار میشود و از این قبیل. من معتقدم که سداد از زیر سایه بانک ملی باید خارج شود یعنی از توان بانک ملی استفاده کند و برای جاهای دیگر هم کار کند و خود را محصور کارهای کوچک نکند. چند وقت پیش که در خدمت دکتر فاطمی بودم، صحبت از حاکمیت سرویس میکردند و میگفتند که ما داریم یک معماری را تعریف میکنیم که درواقع بتوانیم یک حاکمیت سرویس بین خودمان داشته باشیم، الان به آن مرحله رسیده است؟
حاکمیت سرویس بسیار وسیع است و فاکتورهای بسیاری دارد ولی به نظر من یکی از پایهایترین فاکتورهای حاکمیت سرویس این است که هر سرویس یک صاحب داشته باشد و صاحب هر سرویسی یک (SLA) داشته باشد روی همان سرویس. این پایهایترین رکن حاکمیت سرویس است که ما تقریبا در همه سرویسهایمان یا به SLA رسیدهایم و یا در مراحل نهایی هستیم.
*محورهای کلیدی تعریف شده در SLA کدامند؟
اولین و مهمترین آن، بودن و ارائه سرویس است. دوم، سرویس با کارایی مناسب و زمان درست ارائه شود و سوم، واکنش مشتری به سرویس است. حس رضایتمندی به حس مشعوف بودن و خوشحال بودن تغییر کند.
* معماری که در بانک ملی تعریف کردید چطور بود؟
ما در بانک ملی یک معماری مرجع تعریف کردیم. در حوزههای مختلف بسیار پراکندگی داشتیم. حوزههای تکنولوژی، معماری، زبان برنامه نویسی و… . شما فرض کنید ما ویندوز، لینوکس، یونیکس، جاوا، سیشارپ، سیپلاسپلاس و خیلی برنامههای پراکنده داشتیم. از هر برنامه ترکیبی از زبان، پلتفرم و درواقع محیط استقرار زیاد بود. بالاخره یک کارگروه تشکیل و نظرات جمعبندی شد. از نظرات کارشناسان استفاده شد و به یک مستند معماری مرجع آینده بانک ملی رسیدیم و گفتیم از این به بعد در بانک ملی هر نرمافزاری بخواهد تولید شود، یا هر RFP که منتشر میشود این معماری مرجع آن است. سیستمهای قبلی که قرار است از رده خارج شوند زمانبندی از رده خارج شدن اعلام شود و آنهایی که قرار نیست و برنامهای ندارند که الان از رده خارج شوند، پلن شوند و به سیستم معماری مرجع وارد شوند. ما در یک زمانبندی دو ساله شروع کردیم سیستمهای قبلی را به معماری مرجع تبدیل کنیم، و بقیه که تصمیم گرفته شده خارج کنیم با سیستمهای جدیدتر جایگزین شود.
*این کار معمولا چقدر زمان میبرد؟
ما تصمیم داریم در یک زمانبندی دوساله کل این معماری بانک ملی را به معماری مرجع تبدیل کنیم.
*آنوقت این لایه واسطه که توانستید بام را روی آن داشته باشید احتمالا محصولات دیگر هم روی آن قرار میگیرد. ساختار این لایه چگونه است؟
ما یک لایه داده، یک لایه سرویس، یک لایه API و یک لایه UI داریم که روی آنها قرار میگیرد و مزیت این کار که در بام انجام شده، این است که بر خلاف بعضی جاهایی که من میشناسم و API بانکی ارائه میکنند اما خودشان به صورت داخلی از آن API استفاده نمیکنند، ما از همان API برای توسعه بام استفاده کردیم. در واقع متداول است که محصولات خود را با یک لایه دیگر یکپارچه میکنند و به دیگران میگویند بیایید از لایه API ما استفاده کنید. ما آمدیم در بام با لایه API خودمان نرمافزار بام را نوشتیم. یعنی کاری که ما در بام انجام دادیم در تئوری هر کسی میتواند با لایه API ما انجام دهد. خوبی آن این شد که خودش یک proof of concept شد یعنی اثبات این مساله شد که این API خودش به تنهایی قابل استفاده است. یعنی اگر کسی روزی آمد از این API استفاده کند، حداقل میداند که ما یک بار خودمان از آن استفاده کردیم و اینطور نیست که APIیی که ما نوشتیم کسی بخواهد استفاده کند و آنگاه بینند که مستنداتش آماده نیست، کار نمیکند یا آن کارایی لازم را ندارد. به دلیل اینکه خودش یک لایه بالاتر از سرویس است ولی ما با علم این کار را کردیم. چون ما میتوانستیم بام را به یک لایه درونیتر وصل کنیم، اما اتفاقا ما آمدیم آن را به لایه API وصل کردیم.
*این هم انعطافپذیری را بالا میبرد و هم میتواند تجربهای باشد برای کارهای دیگر.
به نکته خیلی خوبی اشاره کردید. انعطافپذیری را بالا می برد، به خاطر اینکه ما به API وصل هستیم و به محدودیتهای لایههای پایینتر وصل نیستیم. یعنی هرکسی این API را به ما بدهد، ما میتوانیم بام را به او بدهیم.
*لطفا به لحاظ فنی API را برای ما توضیح دهید.
API یک لایه ارتباط با نرمافزار بانک است که چند ویژگی دارد: 1- قابلدسترسی توسط عموم است. 2- مستندات دارد. اینکه مستندات داشته باشد یعنی اگر سیستمی که همه چیزش شبیه API باشد ولی مستندات نداشته باشد واقعا API نیست. API باید مستندات داشته باشد، مثال داشته باشد، روش داشته باشد. 3- برای ارائه آن از استانداردهای متعارف مانند REST استفاده شده است.
*گویا API بانکداری هم در جهان مطرح شده و خود آن ظاهرا به یک استاندارد رسیده است.
الان دارد میرسد. شاید هنوز به آن حد صددرصد نرسیده است. در دنیا دو کار خیلی مهم در حوزه استانداردسازی API بانکداری میشود. یکی را کمیسیون اروپا که بازوی اجرایی اتحادیه اروپاست انجام میدهد به نام PSD2 و یکی دیگر هم انگلیس انجام میدهد که هر دوی آنها برای سالهای 2016 و 2017 یک برنامهریزی دارند که استاندارد بانکداری باز را با استفاده از API در کشورهای خود مطرح کنند.
*چرا میگویید بنکینگ API؟ چرا API بنکینگ نمیگویید؟
به خاطر اینکه اصل را بانک میگیریم و API را به آن منتسب میکنیم.
* درواقع اینها اختلاف نظرهاست دیگر. یعنی این اختلاف نظر است که میگویند این اول باشد یا دوم.
بله، دو جور میشود تصویر کرد. یکی اینکه بگوییم یک بانک وجود دارد و این بانک دارد یک API را ارائه میدهد. یک جور دیگر هست که میگوید اصلا بانک چه کسی است؟ ما یک سری سرویسها داریم، APIها داریم و تمرکز میکنیم و میگوییم این API اصل داستان است و درواقع یک روش بانکداری است که بانکداری با استفاده از API است. یا اینکه یک بانک وجود دارد که API ارائه میدهد. به نظر من بنکینگ API در حال حاضر درستتر است. یعنی اینکه الان یک بانک وجود دارد که میخواهد خدماتش را از طریق API به فضای بیرونی ارائه دهد. در آینده ممکن است بگوییم بانکی وجود ندارد. درواقع فقط بنکینگ وجود دارد که همان بحثی است که چند وقت پیش بیل گیتس مطرح کرد و گفت ما در آینده به بانک احتیاج نداریم اما به بانکداری نیاز داریم.
*بله دقیقا، سوال بعدی من هم در این مورد بود که آیا میشود API را درواقع فصل جدیدی بانکداری دانست؟ ما یک بانکداری باز داشتیم، حالا این این یک لایه روی بانکداری باز است. یعنی فصل جدیدی از بانکداری باز است؟
بله من هم همین تصور را دارم. API یکی از ابزارهای اجرایی کردن ایدههای بانکداری باز است. یعنی ما به این نتیجه رسیدیم که بانکداری باز را چگونه به اجرا برسانیم؛ که کار API است. API هم مدلهای مختلفی دارد. مثلا API خصوصی یا API داخلی، API برای شرکا و API عمومی یا API باز.
اینها درواقع در یک طیفی قرار میگیرند که نقطه آغاز و پایان و کاربری هر کدام را مشخص میکند. و اینکه کدام API میتواند بانکداری باز را اجرایی کند؛ که از بین آنها، API عمومی یا API باز مناسبترین گزینهها هستند چون ممکن است ما API داخلی یا API خصوصی را داشته باشیم اما منجر به بانکداری باز نمیشوند.
API عمومی و API باز برای دیگران قابل استفاده است ولی API داخلی مربوط به داخل سازمان (بانک) میشود. یک API که هیچکس از وجود آن خبر ندارد، در واقع شرط اول که دسترسی عمومی است را ندارد.
* چرا API فصل جدیدی از بانکداری محسوب میشود؟ آیا روشهای دیگری به غیر از API وجود دارد؟
به جز API باز، داده باز هم هست که ما در مورد آن کمتر صحبت میکنیم. یک مثال در این خصوص میزنم که نشان میدهد داده باز چگونه میتواند سازمان را به یک سازمان باز تبدیل کند؛ در دنیا سازمانهای حملونقل عمومی و شهرداریها با یکدیگر یک فرمت اطلاعات درآوردند که در این فرمت اطلاعات تعداد و مکان ایستگاههای اتوبوس، ایستگاههای مترو، زمانبندی حرکت مترو و اتوبوس و. . . آمده است. اینها در این فرمت توافق کردند که اطلاعات سیستم حملونقل عمومیشان را ارائه کنند. حالا نتیجه آن چه میشود؟ فرضا یک اپلیکشن موبایلی میخواهید بنویسید که در شهر تهران مسیریابی کند و یک پیشنهاد بدهد که شما با استفاده از وسایل حملونقل عمومی از نقطه A به نقطه B بروید. کافی است شهرداری تهران در آن فرمت خاص استاندارد توافق شده، از داده بازاستفاده کند و هرکسی میتواند از آن استفاده کند و یک اپلیکشن بنویسد و لازم نیست که API بدهد. با داده باز در واقع شهرداری میشود شهرداری باز. در بانکداری هم دادههایی از این نوع داریم مثل مکان شعب و خودپردازها، این که کدامیک از خودپردازهای شما کار میکند، آن چنان اطلاعات محرمانهای هم نیست. مشتری پای خودپرداز میرود و متوجه خرابی آن میشود ولی ما در بانکها میترسیم که این اطلاعات را باز و عمومی کنیم. درصورتی که اشتراکگذاری این اطلاعات هیچ ضربهای به سازمان نمیزند. حال ممکن است خبر منتشر شود که تعدادی از خودپردازهای فلان بانک خوابیده است در صورتیکه اگر بقیه بانکها هم اطلاعاتشان را بدهند وضعیت مشابهی دارند و یا حتی اگر بانک فرضی خیلی هم وضعش خراب است به هرحال حرف درستی است و باید درست کند حتی اگر اطلاعات هم ندهد، عموم مردم متوجه این موضوع میشوند.
*تازه میتوان نکته مثبت آن را دید که زمانی که همه فعال هستند. همیشه بهعنوان یک امتیاز مثبت از این میشود استفاده کرد. نمیشود که همیشه نکته منفی آن را دید.
بله، بعد، کلی از این جوانها که میخواهند در این حوزهها فکر کنند و کارهای جالب کنند میتوانند از این اطلاعات استفاده کنند، پیشنهاد بدهند. نزدیکترین خودپرداز بدون مشکل در یک ماه پیش را پیدا کنند و اعلام کنند. یعنی تحلیلهایی کنند و پیشنهادهایی بدهند که مشتریان راضیتر شوند. در کل منافع آن در درازمدت به مضراتش میچربد.
*غیر از اوپن دیتا شکل دیگری در رابطه با بانکداری باز وجود دارد؟
تا جایی که من میدانم همین دو تاست.
*من فکر میکنم که کلا علاوه بر حوزه بانکی، سایر خدمات نیز به سمت اوپنینگ می روند؛ مانند شهرداری باز، حملونقل باز و خیلی چیزهای دیگر. یعنی اینکه دیگران محصول تعریف کنند؟
من بعضا برای اینکه بخواهم اول بانکداری باز را توضیح دهم، میگویم بانکداری باز یعنی بانکداری با آغوش باز. بانکها یک آدمهای بستهای بودند مثل یک پدر اخمو بودند که بچه نمیتوانست برود سراغش. حس و حالپذیرندهای نداشتند. بانکها همیشه یک حصاری دور خودشان داشتند. شما یک جلسه میخواستید با مدیران بانکها بگذارید باید از هفتخوان رستم میگذشتید. حصار بانکها در دنیا شکسته شده است.
* در واقع بانکداری همیشه میماند ولی بانک، معنای سنتی خود را از دست میدهد.
نقطه بعدی این است که دیگر هر کسی بانک خودش را دارد؛ یعنی به تعداد آدمهای دنیا بانک داریم. هرکسی میتواند بانک مرکزی خود را داشته باشد.
* بحث اولیه خود را به اتمام برسانیم که به بحث بام بپردازیم.
به صورت کلی درباره بانکداری باز، API باز و داده باز و تأثیر آن دررابطه با اینکه یک بانکداری باز شود صحبت شد و گفتیم روش بانکداری باز فقط تکنولوژی نیست آدمها و نحوه تعامل آن نیز مهم است و همین سیستم نوبتدهی شعب، یک زمانی سیستم نوبتدهی نبود و سیستم صف حاکم بود. کمکم به خاطر شأن و شئونات مشتری صندلی در شعب گذاشته شد که ابتدا فلزی بود و الان حالت مبله پیدا کرده. الان کاری که داریم انجام میدهیم این است که اطلاعات مربوط به شعبه و اطلاعات مربوط به نوبتدهی شعبه را اپن کنیم و در اختیار دیگران بگذاریم.
* API چالشهای متفاوتی دارد از جمله رگولاتوری؛ به نظر شما کسبوکار بانکی چگونه میتواند این مساله را تسهیل کند؟
الان روی این حوزه قوانین و مقرراتی وجود ندارد و من هم به بچههای استارتآپی توصیه کردم سریعا از این فضا استفاده کنند. هنوز قوانین آنچنانی مثل شتاب و… که لیست بلندبالایی از مقررات و بخشنامهها درباره این ابزارها میبینید، راجع به API ایجاد نشده است. رگولیشن خوب باید وجود داشته باشد ولی متاسفانه بعضیوقتها ما بیش از حد رگولیت میکنیم و بیش از حد بازدارنده میشویم. و وقتی محدودیت ایجاد میکنیم طبعا نوآوری نمیتواند شکل بگیرد.
*بحث بسیار مهم دیگر، بحث امنیت است. این را چگونه ارزیابی میکنید؟
امنیت از جمه مسائلی است که API به دنبال خودش دارد چون در API شما دارید به یک سازمان دیگر به غیر از بانک با یک واسطه اجازه میدهید از طرف شما با بانک شما یکسری امور انجام دهد. به همین دلیل باید یکسری تمهیداتی در سیستمهای پشتیبان دیده شود از جمله نحوه اجازه دادن، تعداد، سقفها، تناوب در همه اینها، همچنین نسخه پشتیبان، سیستم ضد تقلب، در سیستمهای ضد پولشویی، تشخیص تقلب، برای اینها باید یک زنجیرهای وجود داشته باشد که شما وقتی API را میگذارید درست کار کند. طوری نشود که بعد از ارائه API یکی ادعا کند که همه دارند با آن چیزهای ناجور و غیرقانونی میفروشند. ولی به هر حال همیشه حرف و حدیث روی آنها وجود دارد و ممکن است یکدفعه رگولاتور دستور دهد که همه آنها را بندند.
*مثل پرداختهای واسط؟
بله مثل انواع و اقسام پرداختهایی که در کشور کار میکنند و به دلیل نبود رگولیشن در یک زمانی وارد چرخه کسبوکار شدند و حالا که میخواهند رگولیشن بگذارند یک روز میبندنشان و یک روز بازشان میکنند. و بالاخره مشکلات جدیای در کسبوکارهای آنها ایجاد میشود.
*خیلیها به آنها هم وابسته هستند.
همین وابسته بودن خیلیها به آنها باعث شده است که اینها الان زنده بمانند.
*از دیگر چالشهای API بعد از امنیت چیست؟
تفکر مدیران و تفکر کسبوکار یکی دیگر از چالشهاست. اینکه مدیران ما بپذیرند API در مسیر آینده کسبوکارشان مهم است. بسیاری از بانکها و سازمان ها هنوز ضرورت و فوریت ارائه API را درک نکرده اند. به نظر من این ضرورت توسط مدیران باید حس شود. متاسفانه یا خوشبختانه ما کشوری هستیم که تکنولوژی محور هستیم و آدمهای تکنولوژیکیمان توسعه را زودتر از بازار و آدمهای کسبوکارمان درک میکنند. یک نمونه آن همین APIاست تلاش فنی زیاد میشود مثل یک ماشین دو دیفرانسیل است که درواقع دیفرانسیل جلو درگیر نیست و دیفرانسیل عقب در یک جای ناجور افتاده و دور خودش میچرخد. چارهای نیست جز اینکه دو دیفرانسیل را درگیر کنیم. معمولا اتفاقی که برایمان میافتد این است که در این چالهها میافتیم و مدت زیادی در آنگیر میکنیم به دلیل اینکه با هم همسو نیستم و در مدلهای کسبوکاریمان جایگاه API را تعریف نکردهایم. در یک نگاه واقعی درآمدهای مشاع و غیر مشاع داریم، تقریبا همه بانکها دوست دارند درآمد غیرمشاعشان افزایش پیدا کند. خوب یک راه افزایش درآمد غیرمشاع کارمزد است و کارمزد هم یک راه آن ارائه سرویسهای جدیدی مثل API است.
*این یعنی رفتن به سمت اصلاح مدل کسبوکار؟
بله یعنی راه بیفتیم و کار تعریف کنیم و درآمد جدید ایجاد کنیم. به تعبیر دیگرمدل کسبوکار را از روی رقابت بر سر سود و تفاوت نرخ سود سپرده و تسهیلات به سمت مدل خدمت بیاوریم و جایگاه بانکمان را عوض کنیم. این تفکر باید در مدیریت کسبوکار بانک شکل بگیرد متاسفانه ما هنوز مشکلی که داریم این است که مدیران کسبوکاری بانکهای ما راجع به این موضوع به صورت جدی فکر نمیکنند.
*حتما راهکار هم برای این چالشها پیشبینیشده است؟ برای امنیت و…
ما باید امنیت را سطحبندی کنیم و امنیت را به شکل مدیریت ریسک ببنیم مثلا بگوییم ریسک هر فرایند یا محصول چقدر است، مثلا سرویسهای اطلاعرسانی داریم کهمانده است و ما میخواهیممانده بگیریممانده را نباید با همان الزاماتی در نظر بگیریم که انتقال پول را میخواهیم ببنیم. بلکه باید بر اساس ریسک هر فرایند پیش بینیهای لازم امنیتی را انجام دهیم.
*در بام شما آنجا صفحه کلید مجازی ندارید، یا بعضیها میگویند که درواقع امنیت آن کم است. لطفا در مورد این موضوع توضیح دهید.
در رابطه با صفحه کلید مجازی من توضیحی میدهم. صفحه کلید مجازی تکنولوژیای است که هدف آن جلوگیری از ذخیره رمز عبور توسط برنامههای مخرب است. صفحه کلید مجازی چگونه جلوی این مساله را میگیرد؟ برنامههای مخرب و کیلاگرها بر روی کامپیوتر میزبان نصب میشود و صفحه کلید را زیر نظر میگیرند. بهطوری که شما هر کلیدی بر روی صفحه کلید بزنید اینها را ذخیره میکنند. برای همین بانک یک صفحه کلید مجازی هم پیش بینی میکند که در بخش رمز عبور با انتخاب خانههای صفحه کلید به وسیله موس، این مشکل حل شود. این یک پیشفرض است. از سوی دیگر دیدیم کیلاگرهایی هم وجود دارند که این روشمانع کار آنها نمیشود و ما بعد از مدتی دیدیم که این روش هم جوابگو نیست. یعنی کلاهبردار بر اساس راهکار جدید ما، روش خود را اصلاح کرد و روشی برای دور زدن آنها پیدا میکند.
سابقه این موضوع بیش از 10 سال است. ما آمدیم صفحه کلیدهای مجازی گذاشتیم که عین صفحه کلیدهای واقعی بود و بعد از مدتی آمدند و گفتند که کیلاگرها، کیلاگر نیستند موس لاگر هستند یعنی زمانی که کلیک میکنید، جای موس و محل کلیک موس را میگیرد. به همین دلیل در صفحه کلیدهای مجازی جدید جای کلیدها را بهمریخته کردند که جای هر کلید مشخص نباشد. آیا مشکل حل شد؟ حل نشد. بازی دزد و پلیس شد. این بازی ادامه پیدا کرد. کیلاگرها آمدند هرجایی که کلیک میشد، دور آن را یک اسکرینشات میگیرند و ذخیره میکنند، درواقع با اینحال که کلیدها هم تصادفی چیده میشود اما شما تا کلیک میکنید دور آن را یک دایره میکشد و ذخیره میکند. ما در ایران در اینجا متوقف شدیم اما این بازی در دنیا ادامه پیدا کرد. برای مقابله با این روش کیلاگرها، صفحه کلیدهای مجازی جدید به جای اینکه تصویر نشان دهند، با یک فرکانسی این تصاویر را خاموش و روشن میکنند با فرکانسی که چشم انسان میبیند ولی کیلاگر همیشه آن را نمیبیند، وقتی روشن و خاموش میشود برای چشم انسان قابل تشخیص هست ولی کیلاگر با یک احتمالی یا خاموش یا روشن آن را میبیند و 50 درصد این کلیدها را نمیتواند بگیرد. ولی کیلاگرها اینجا هم متوقف نمیشوند و ویدئو میگیرند.
الان کیلاگرها به جایی رسیده اند که با هر کاری که در صفحه کلید مجازی میشود انجام داد مقابله کردهاند، تا حدی که دنیا صفحه کلید مجازی را حذف کرده است. الان 10 تا بانک برتر در دنیا هیچکدامشان کیلاگر ندارند. من یک گزارش نوشتم که 10 تا کیلاگر برتر دنیا را در این گزارش آوردهام و تمام این 10 تا کیلاگر برتر تمام قابلیتهایی که من میگویم را دارند یعنی فضای تهدیدی وجود دارد و ما فکر میکنیم راهحلی برای آن داریم اما این راهحل درست نیست. دقیقا مثل این میماند که هوا در تهران آلوده است. گفتند که کسانی که بیماریهای قلبی دارند، در مراکز آلوده تهران در قسمتهای مرکزی نروند مگر اینکه از ماسک استفاده کنند. حالا من نوعی بیماری قلبی دارم و تصمیم گرفتم که ماسک بزنم و به مراکز آلوده شهر بروم. اگر این ماسک محافظت کامل نداشته باشد چه اتفاقی میافتد؟ خیلی فجیع است. یک دلیلی که من نگذاشتم صفحه کلید مجازی باشد و این نظر شخصی من بوده است. بخاطر این است که من اگر به کاربر این سیگنال را بدهم که صفحه کلید مجازی از رمز عبور او محافظت میکند و او در کافینت یا جایی که امن نیست، جایی که حدس میزند کیلاگر باشد، با صفحه کلید مجازی من رمز عبور را وارد کند، بزرگترین خیانت را در حق کاربرم کردهام. من به کاربرم میگویم که هیچ محافظتی در مقابل کافینت ندارم. ما برخلاف کسانی که به کاربر خود میگویند اگر به کافینت رفتید از صفحه کلید مجازی استفاده کنید ما میگوییم که به کافینت نروید.
*چون خطر در هر حال وجود دارد؟
خطر هست. پس میگوییم از کامپیوتر، گوشی و سایر تجهیزات شخصی خود برای استفاده از سیستم استفاده کنید، و در جایی که امن نیست از سیستم استفاده نکنید.
*درواقع صفحه کلید مجازی پیشگیری نمیکند؟
خیر، پیشگیری و محافظت نمیکند و اگر ما این را چه صریح و چه ضمنی بگوییم که چیزی طراحی کردیم که محافظت میکند خیانت کردیم.
* شما لایههای امنیتی دیگری را پیشبینی کردید؟
ما توصیه میکنیم آنتیویروس داشته باشید. ما توصیه میکنیم در جاهای آلوده نروید، در کافینت وارد اینترنتبانکتان نشوید. مثلا با کامپیوترهای عمومی وارد اینترنت بانکتان نشوید، اینها توصیههای امنیتی ماست.
* به لحاظ امنیتی هم آن چیزی را که ضروری است را پیشبینی کردید؟
ما توصیه میکنیم داشتن یک آنتیویروس بهروز خیلیخیلی بهتر از استفاده از صفحه کلید مجازی است و نرفتن در فضاهای آلوده بسیار توصیه میشود. آن تهدیدهایی که در فضاهای آلوده وجود دارد، مانند ریزگردهایی است که ماسکی برای جلوگیری از آن وجود ندارد. حالا یکی صادقانه میگوید که ببخشید ما ماسکی معتبر نداریم و یکی میگوید که این ماسکها را بزنید و میفروشد. و ما هم چون الان قابلیتی نداریم که ارائه بدهیم بنابراین میگوییم که در این فضاها نروید و استفاده نکنید.
*در مورد بام چه نکاتی را دارید که بگویید؟
راجع به امنیت به صورت مشخص ما در واقع اعتقاد داریم تا یک جایی میتوانیم هم امنیت و هم راحتی را بالا ببریم بهدلیل اینکه بعضیوقتها این تصور وجود دارد که امنیت مقابل راحتی است.
*شما تلاش دارید که این دو مقوله با هم باشد؟ مثل دو بال پرنده که هر دو با هم و در کنار هم باشد؟
بله، از یک جایی به بعد ممکن است شما به قدری راحتی و امنیت را بهینه کنید، که به یک نقطه ماکزیمم تعادل بین اینها برسید ولی به نظر من ما هنوز تا رسیدن به این نقطه فاصله داریم. ما بعضی وقتها بیدلیل مساله را سخت کردیم، ولی امنیت را بالا نبردیم. مثال آن را هم گفتم مانند صفحه کلید مجازی. یعنی کاربر با انتخاب صفحه کلید بهمریخته برای امنیت سختی را به جان میخرد و آن را انتخاب میکند، ولی تضمین امنیتی نیست.
*بانک ملی روی بام یک حساب جدا باز کرده است، چون میتواند خیلی خدمات را در خود داشته باشد. درواقع میشود یک بانک کامل که همه خدمات را در خود دارد؟
بام قرار است مثل بام عمل کند که یک چتری باشد روی همه سرویسهایی که در بانک ملی ارائه میشود. کاری که ما میخواهیم با شرکتها و مجموعههای دیگر انجام بدهیم این است که میخواهیم بستر UI یا همان واسط کاربری را ارائه دهیم که هر کاری که میخواهند انجام دهند ولی UI آنها در محیط ماست. یعنی در عین حال که با ما یکپارچه هستند در واقع واسط کاربری هم دست خودشان هست. یعنی اگر زمانی بخواهند میتوانند فیلدی را اضافه یا کم کنند، نحوه نمایش اضافه کنند و یا براساس برندینگ خودشان، یکجور دیگر نمایش بدهند.
*یعنی استاندارد کلی تعریف میشود ولی بقیه آن دست خودشان است.
ببینید برای مثال نمونه آن خودپردازهاست. الان خودپردازها UI Open نیستند. نگاه کنید خیلی بانکها عین هم هستند، معلوم است که بانکها نمیتوانند آن را تغییر دهند. ولی در UI Open شما این تغییر را در اختیار خود کاربران میگذارید.
*در بحث بام، در واقع شما یک سبد خدمات دارید، من میشنویم که این سبد خدمت هنوز کامل نیست. بهطور مثال من میخواهم پرداختهای دورهای دارم و میتوانم صبر کنم و درصدی از حساب خودش کسر شود و برود.
ببینید. بام یک مدل توسعه چابک دارد. مدل توسعه چابک به شما میگوید که شما از هر جایی که میتوانید سرویس را بدهید. این مدل توسعه چابک برخلاف مدلهای قبلی است که آبشاری بود، یعنی همه مراحل از تحلیل و طراحی، پیادهسازی، تست و انتقال انجام میشد تا زمانی که میرسیدید به تکامل و قرار دادن محصول در اختیار مشتری ولی در مدل توسعه چابک میگوییم شما قابلیت را ارائه بدهید، قابلیتی که به درد مشتری میخورد و سپس قابلیتهای دوم و سوم را اضافه کنید. در واقع به جای اینکه شما یک پروژهای داشته باشید که در تاریخی پروژه تمام میشود، یک محصول دارید که زنده است و به مرور زمان توسعه پیدا میکند. مدل بام هم همین است. در حالحاضر کمبودهایی وجود دارد که به مرور زمان در قالب ویژگیهای جدید به سامانه بام اضافه خواهند شد. بههرحال آن چیزی که ما در مورد بام فکر میکنیم این است که یک سامانه پویاست و به مروز زمان با افزودن ویژگی ها و قابلیت های جدید این کمبودها برطرف خواهند شد.
*و توسط خود مشتری میتواند به مرور حل شود؟
بله، بام همیشه باید توسعه پیدا کند. بام آمده است که همیشه در حال رشد باشد برخلاف آن نگاهی که ما معمولا به پروژههایی داریم که اسم آنها بانکداری اینترنتی است، سامانه بام فقط یک سامانه بانکداری اینترنتی صرف نیست بلکه محصولی است که همیشه باید در حال رشد و اضافه شدن قابلیتها به خود باشد در حالحاضر نسبت به محصول رقیبش که در آن بانک وجود دارد یک قابلیت کم دارد که آن قابلیت قرار است هفته دیگر افزوده شود. این ویژگی هم پرداخت اقساط تسهیلات است. این پرداخت اقساط تسهیلات به یک دلایلی به مشکلاتی برخورد کرد که ما در یک مقطعی حدود یک ماه پیش آن را راه انداختیم. به یک مشکلاتی برخورد کردیم و ما این قابلیت را از محصول خارج کردیم، این قابلیت از هفته آینده به محصول دوباره اضافه میشود. درصورتیکه این قابلیت افزوده شود تقریبا همه کارهایی که قبلا مشتری میتوانست انجام بدهد، به علاوه کارهای دیگر قابل انجام است و این کمبود نسبت به محصول موجود رفع میشود و محصول در مسیری میافتد که کلی گزینه اضافهتر نیز دارد.
*آیا میشود گفت بام در بانک ملی فصل جدیدی از بانکداری است؟
قطعا اینطور است. اصلا یک نگاه جدیدی به بانک ملی به وجود آمده است. اداراتی که درگیر کار شدند هرکدام یکگوشهای از کار را گرفتند همه بخشها کمک کردند. اداره امنیت و توسعه، اداره عملیات، اداره اطلاعات، اداره بازاریابی، اداره دعاوی و حقوقی، اداره روابطعمومی، اداره سازمان روشها، اداره بازرسی، همه اینها هرکدام درگیر این پروژه و کار بودند و هر کدام در بخشی از کار کمک کردند تا این پروژه انجام شود.
*درواقع لایفاستایل خدمات بانک ملی تغییر کرده است؟
بله، همین طور است.
*این مساله باعث شد که در شرکت خدمات نیز در زمینه ارائه خدماتش به بانک ملی تحول ایجاد شود؟
ما مایل هستیم با شرکت خدمات مانند دو بال برای پرواز بانک ملی در سپهر ارائه خدمات بانکی عمل کنیم.
* ممکن است در عمل چنین اتفاقی بیفتد؟
شرکت خدمات و هر شرکت دیگر مثل توسن در یک مقطعی فکر میکنند که دارند یک بخشی از بازار خود را از دست میدهند. یعنی میگویند ما قبلا بانکداری اینترنتی میدادیم بانکها همه میخواهند برای خودشان بانکداری اینترنتی بدهند که مهمترین آن هم در واقع لایه UI بوده است. یعنی نمیخواستند همه شبیه همدیگر باشند، میخواستند یک تغییری داشته باشند اما هر کاری که میکردند در نهایت نگاه میکردند میدیدند که همه شبیه همدیگر هستند. فکر کنید یک بانک میخواهد بگوید که من بانک دیجیتال آینده، بانک اینترنتی پیشرو و. . . هستم بعد میدید که همه بانکها اینجوری هستند. مانند بانکهای دیگر بالاخره بانکها میخواهند یک تمایز ایجاد کنند که در ذهن مشتری متمایز باشند. مردم در زمینه کار با بانکداری اینترنتی بانکهای مختلف تجربه دارند بالاخره همه لاگین میکنند و میبینند. حالا فکر کنید همه این بانکها که میخواستند تمایز ایجاد کنند، شبیه هم بودند. این باعث میشود که قابلیت جدیدی نسبت به بانک دیگر برای عرضه به مشتری نداشتند.
* نکتهای دیگر که شما در فاز بعدی بام بیشتر روی آن تأکید داشته باشید، علاوهبر محصولاتی که خودتان تعریف میکنید، این است که محصولاتی از بیرون بیاید و روی بام سوار شود.
دقیقا، در حال حاضر هم ما کلی محصول از بیرون روی بام گذاشتهایم. اصلا مدل توسعه بام، مدل متمرکز نیست، مدل توزیعشده است. در حال حاضر و در بحث کارت اعتباری همین اتفاق افتاده است. شرکت پیشگامان یک شرکت بیرونی بانک است (شرکت کارت اعتباری) ایشان میخواهند امور کارت اعتباری را در دست بگیرند میخواهند صورتحساب کارت اعتباری بدهند، در سطح UI، میتوانند اینها را خودشان بنویسند و در سامانه بام ارائه شود.
*آیا من هم میتوانم از بیرون یک چنین کاری انجام دهم؟
بله. برای اینکه مراحل بلوغ تدریجی انجام شود، کاری که قرار است کسی از بیرون انجام بدهد را اول خودتان از داخل انجام دهید. مثلا در سداد این موضوع توزیع شده است. روی بام یک تیم کار نمیکند، بلکه پنج تیم بر روی بام کار میکنند. اینها هر کدام یک مجموعه از قابلیتها را دارند توسعه میدهند که مستقل از یکدیگر هستند. بهطور مثال یک تیم روی صورتحساب کار میکند، یکی بر روی انتقال پول. بهطور مثال صورتحساب به جایی ميرسد که یک نسخه جدید ارائه دهد، منتظر انتقال پول نمیماند، نسخه خود را ارائه میدهد. یعنی نسخه مشتری آپدیت شده و صورتحساب جدید میآید. دو روز بعد انتقال پول میرسد. این در توسعه، با توجه به مشکلاتی که در سازمانهای مختلف من دیدهام که توسعه نرمافزاری چه مشکلاتی دارد، این کار به شدت سرعت را افزایش میدهد، به خاطر اینکه وقتی همه به نوعی منتظر یکدیگر می مانند، زمانهای انتظار به شدت زیاد میشود، مشکل یک نفر باعث میشود که کل نسخه دچار مشکل میشود و برگردد و مثلا فکر کنید همه صبر کردند و همه به نتیجه رسیدهاند، آنوقت میبینند که صورتحساب باگ دارد. چون در نسخه جدید همه اینها به هم چسبیدهاند، برگرداندن اینها دیگر سخت است. ولی اگر شما بتوانید پلهپله این را جلو ببرید. اگر زمانی مشکل داشت، همین مشکل را یک قدم به عقب بیاورید نه اینکه کل را یک قدم به جلو و یکباره همه را به عقب برگردانید.
*بله خیلی سخت میشود، مثل این میماند که شما در یک کمدی چیزی دارید که وقتی نیاز دارید همه کمد را خالی کنید آن را در بیاورید و دوباره سرجایشان بگذارید. در صورتی که میتوانید یک عدد از آن را در بیاورید، درست کنید و دوباره سر جایش بگذارید.
بله، نگاه ماژولار که میگوییم همین است. ما بالاخره ماژولها را در حد سرویس در نرمافزارمان داریم. لایه UI ماژولار کم داشتیم، که در واقع واسط کاربری بام ماژولار شده است.
* و سؤال آخر، مدل کسبوکار آن چگونه است؟ درواقع ما چقدر میتوانیم برای بانک کسب درآمد داشته باشیم. برای این مساله هم تدبیری اندیشیده شده است؟
ببینید، وقتی ما به دیگران اجازه بدهیم که بتوانند در فضای بانک وارد شوند و چیزی بگذارند، میتوانیم این فضا را اجاره دهیم، بفروشیم یا به ازای هر تراکنش کارمزد بگیریم. این فضا میتواند به سمتی برود که ایجاد درامد کند. حتی میتوانیم این فضا را رایگان بدهیم به دلیل اینکه مشتری این فضا را دوست دارد و تعداد مشتریان ما را زیاد میکند و میتواند سبد محصولات ما را کامل کند. ترکیب اینها درواقع میتواند مدل کسبوکار و درآمد بانک از API را شکل دهد.