کارت های پرماجرا/ صنعت پرداخت و تکرار رویاهای همیشگی
میزسخنی با فعالان صنعت پرداخت دربارۀ 2020(بخش اول)
وضعیت پرداخت در سال 2020 در ایران در حالی که در آستانۀ سال جدید خورشیدی هم هستیم با چالشهای خاصی روبهروست؛ اما چالش اصلی در شبکه پرداخت نحوه حل چالش است. معمولاً مشکلات حل نمیشوند؛ بلکه از روزی به روز دیگر منتقل میشوند.
به گزارش پایگاه خبری بانکداری الکترونیک ، فاصله پرداخت در کشور ما با استانداردهای روز جهان، باعث شده است که شرکتهای پرداخت راهحلهای غیر استاندارد را به ناچار پیادهسازی کنند و در اصلاح سیستمی مصمم باشند؛ مثلاً سامانه حریم و حاب دو سامانهای هستند که در مسیر یک روش اشتباه به ناگزیر باید پیادهسازی میشدند؛ اما معلوم نیست که یک سال دیگر، بیشتر یا کمتر، صنعت پرداخت مجبور باشد تا فرآیند کارت به کارت را تعطیل کند. آن زمان نیز مسئله کم نخواهیم داشت.
بخش اعظم میزگرد پیشرو بیشتر به اصلاح سیستمی بازمیگردد؛ همچنین بر کیفیت زیرساخت متمرکز شدهایم؛ تعامل میان ذینفعان را بررسی و در انتها به بحث فرآیند ممیزی و امکان دستیابی به فرصتهای جدید اشاره میکنیم.
حاضرین در این میزگرد خانم شهره آقابابایی معاونت کسب و کار های نوین شرکت ایران کیش ، آقای آرش لرستانی معاونت عملیات شرکت بهپرداخت ملت و آقای طاها عباچی معاونت فناوری اطلاعات شرکت پرداخت الکترونیک سداد هستند که به بیان نقطه نظرات خود پرداختهاند. متن این میزگرد را با هم میخوانیم.
* خانم آقابابایی، قبل از ورود به چالش زیرساخت یک نگاه کلی به وضع صنعت پرداخت داشته باشید.
آقابابایی: با توجه به وضعیت موجود و امکان تغییراتی که در این حوزه فراهم است، تحول خیلی بزرگی شاید به لحاظ زیرساختی در صنعت پرداخت قابل پیشبینی نیست؛ ولی همین وضعیت فعلی تأثیر بسیار زیادی بر کسب و کار و محصولاتی که به مشتریان عرضه میکنیم، دارد. وضعیت موجود ما به دلیل فاصله با استانداردهای روز جهان، باعث شده است که شرکتهای پرداخت در اصلاح سیستمی مصمم باشند. به عنوان اولین گام و برای شروع اصلاح، سیستم رمز پویا و سامانه هریم گامهای خوب و ضروری هستند. امیدوارم اصلاحات سیستم ادامه یابد. در حال حاضر سامانههای شرکتهای پرداخت به سمتی میروند که بر اساس دادههای مشتریان در کل شبکههای پرداخت مدیریت شوند؛ به تعبیر دیگر این مدیریت بر اساس مدلهای ریسکبیس و دادهمحور حرکت میکنند به طوری که به مشتری بر اساس میزان ریسک تراکنش قبلی، امکان انجام تراکنش جدید با شرایط متفاوت مثلاً استفاده از رمز پویا را فراهم میکند. طبعاً از امنیت در لایههای پایینتر شروع میشود تا اینکه سختتر و سختتر شود.
تاکنون برای کل شبکه پرداخت و بانکی در ایران یک سطح از کیفیت ارائه میشد؛ به ویژه در شبکه پرداخت تفاوت چندانی به لحاظ کیفیت سرویس، بحثهای امنیت، زیرساختی و آفلاین و آنلاین میان تراکنش چند میلیونی با یک تراکنش کمتر از بیست هزار وجود ندارد.
* آیا طبقهبندی خاصی در مورد تراکنشها به صورت سیستمی در شرکتهای پرداخت وجود دارد؟
آقابابایی: برای شرکتهای پرداخت عدد تراکنشها چندان تفاوتی نمیکند با هر تراکنشی با هر ردهای و هر مشخصاتی یک شکل برخورد میشود و طبقهبندی نمیکنیم. به لحاظ محصولی شاید کانالهای توزیع یک مقدار متفاوت باشند؛ اما باز هم میان کانالها تفاوت چندانی وجود ندارد. دستکم در شبکه زیرساخت، فرآیند کلی که برایشان تعریف شده است هیچ تغییر مشخص و ویژهای در مورد تراکنشهای مختلف وجود ندارد. این عدم تفاوت به ویژه از منظر ریسک، هزینه شرکتهای پرداخت را بالا میبرد با اینکه قادر نیستند کیفیت سرویس و امنیت قابل قبولی متناسب با سطحبندی تراکنشها از منظر ریسکها و جایگاه محصولات ارائه کنند. به هر حال وقتی شرکتی با همه نوع تراکنش با همه شرایط یکطور برخورد میکند باعث میشود سطح کیفی کار در مجموع در همه سیستمها یکسان باشد.
* یکسانی تراکنشها از منظر ریسک چطور بر هزینه ارائه سرویس اثر میگذارد؟
آقابابایی: برخورد یکسان با تراکنشها باعث میشود؛ اگر بخواهیم کیفیت از حدی بالاتر برود هزینهها طبعاً به همان میزان بالاتر برود؛ چون به همه یکسان سرویس داده میشود در نتیجه شرکت پرداخت مجبور است با توجه به منابع، کیفیت را پایین نگه دارد و این روند عملاً برای زیرساخت صنعت پرداخت مسئلهساز و تبدیل به یک چالش شده است. خلاصه اینکه میتوان گفت؛ هیچ طبقهبندی، دستهبندی و لایهبندیای برای سرویسها و خدماتی که از سوی شرکتهای پرداخت داده میشود وجود ندارد؛ البته ممکن است هر شرکت در درون خود یک سری الگوریتمها و فرآیندهایی بر اساس نوع مشتری و نوع سرویسی که دریافت میکنند و کاری که انجام میدهند پیشبینی کرده باشد؛ مثلاً خدمات، سیار هستند یا نیستند؟ آیا به دادههای استاتیک نیاز دارند یا به دادههای تصمیمگیریهای داینامیک نیاز دارند؟ همه اینها در حال حاضر به گونهای درون هر شرکتی هندل میشود؛ ولی به صورت کلی تفاوتی در سطح کیفیت و امنیت برای کل تراکنشها وجود ندارد.
* آقای لرستانی در تکمیل بحث، نظرتان را در مورد استانداردهای پرداخت از منظر امنیت و صحتسنجی تراکنشها بگویید.
لرستانی: در ابتدا به نظرم بهتر است تعریفی از صنعت و مفهوم پرداخت داشته باشیم تا بتوانیم در ادامة بحث به ذینفعان و بازیگران، دقیقتر اشاره کنیم. به طور کلی سیستمهای پرداخت زیرساختهای فناوری و قانونی هستند که انتقال ارزش مالی میان دو طرف معامله را میسر میکنند به نحوی که در طرفین معامله، اطمینان و اعتماد به وجود آید. بدیهی است که این زیرساختهای فناوری و قانونی شامل طیف وسیعی از سامانههای نرمافزاری و سختافزاری، شبکهها، شرکتها، نهادها و سازمانهای قانونگذار، ناظر و مجری، استانداردها، قوانین، الزامات و … میشوند.
در رابطه با امنیت و صحتسنجی تراکنش، صنعت پرداخت هم مانند سایر صنعتها استانداردهای خاص خود را دارد؛ البته استانداردهای عمومی هم وجود دارند که در این صنعت مصداق و کاربرد دارند. از مهمترین استانداردهای صنعت پرداخت در حوزههای تراکنش و ابزار، استانداردهای امنیتی PCI است. در این استانداردها به طور جامع به همة فرآیندهای مرتبط با پردازش، ارسال، انتقال و ذخیرهسازی اطلاعات در حوزه امنیت توجه میشود. این استانداردها توسط بازیگران بزرگ صنعت پرداخت از قبیل ویزا، مسترکارت، آمریکن اکسپرس، دیسکاورز و جیسیبی در جهان شکل داده شدهاند و هدف اصلی آنها جلوگیری از تقلب و سرقت است. این استانداردها بیشتر با رویکرد و نگاه فنی توسعه پیدا کردهاند. در کنار این استاندارد اصلی مجموعهای از متدها، ابزارها، تکنولوژیهای دیگر از قبیل EMV وجود دارند که به نحو قابل توجهی بر مسئله امنیت و مدیریت ریسک تراکنش تأثیر دارند. باید به این نکته توجه کرد که برای مدیریت صحت تراکنش علاوه بر داشتن رویکرد فنی میتوان موضوع را از منظر کسب و کار ی هم نگریست و با این نگاه است که سیستمهای مدیریت تقلب (Fraud Management) شکل میگیرند.
* شما تراکنشها را بر اساس چه معیارهایی دستهبندی کردید؟
لرستانی: ما برای مدیریت ریسکهای صحت تراکنشها، علاوه بر رعایت موارد مورد اشاره در استانداردهای امنیتی PCI، به طور دقیق با خوشهبندی مشتریان و اصناف و تعیین شاخصها با رویکرد کسب و کار ی نسبت به شناسایی و کشف تقلب اقدام کردهایم و به عبارت دیگر مقوله مدیریت تقلب را مدنظر قرار دادیم.
* یعنی سعی کردید بر اساس صنف، ریسکها را رصد کنید؟
لرستانی: بله ، به عنوان مثال یک پذیرنده در یک صنف خاص نباید از نظر شاخصهای تعداد، مبلغ تراکنش و زمان وقوع تراکنش، تفاوت فاحشی با رفتار همصنفان خود داشته باشد یا اینکه رفتار یک پذیرنده نباید تفاوت فاحشی با رفتار قبلی خود داشته باشد و از این قبیل قانونها.
* در بحث ممیزی بیشتر به تعامل با شاپرک میپردازیم؛ اما در اینجا به این نکته که چقدر استاندارد وجود دارد و آیا دستهبندیهای موجود بر اساس سلیقه هستند یا نه میپردازیم؟
لرستانی: بدون شک با ورود شرکت شاپرک ، از منظر استاندارها در مقایسه با قبل در وضعیت خیلی بهتری قرار داریم. حداقل هم اکنون سندهایی داریم که میتوانیم بر مبنای آنها تکمیلتر شویم و آنها را نقد کنیم. چارچوب و دستهبندی سندهای تدوینشده توسط نهادهای حاکمیتی بانک مرکزی و شرکت شاپرک قطعاً با نگاه به نمونههای جهانی است و از نظر من در هر سال نسبت به سال قبل، در حال توسعه و بهبود هستند؛ اما بخشهایی از استاندارد هم بومیسازی شدهاند.
* منظورتان از بومیسازی یعنی اینکه نادیده گرفته شده یا سلیقهای اجرا شده یا معنی دیگری دارد؟
لرستانی: در فرآیند بومیسازی کردن، هر دو اتفاق «تطبیق با شرایط» و «نادیده گرفته شدن» اتفاق افتاده است؛ اما به نظرم در هر کسب و کار ی هر چند سال یک بار باید مجدداً با نگاه به گذشته بازتعریف صورت پذیرد.
* آقای عباچی از نظر شما چالشها چه هستند؟
عباچی: به نظر من از نظر فنی، چالش وجود ندارد، چالش وقتی به وجود میآید که قرار است اتفاقی بیفتد و منع فنی وجود داشته باشد. در حوزه پرداخت، کاری که نتوانیم انجام دهیم بعید میدانم وجود داشته باشد، معمولاً محدودیتها از جنس محدودیتهای هزینه و سرمایهگذاری از طرف بانکهاست که باید کاری انجام دهند؛ مثلاً در مورد همین موضوع کارت، کارت مغناطیسی مدتهاست در دنیا استفاده میشود، بانکها باید هزینه کنند اینکه هزینه سرمایهگذاری از مردم گرفته شود یا بانکها خودشان سرمایهگذاری کنند مسئله خود آنهاست؛ اما در عین حال اگر امنیت پرداخت میخواهیم این امر گریزناپذیر است. دوم روشهای مختلف پرداخت است که ساختارش در استانداردهای بینالمللی وجود دارد.
* یعنی از نظر فنی چالشی وجود ندارد و مشکلات، ساده حل خواهند شد؟
عباچی: علت ساده بودنش این است که ما زیرمجموعه سرویسهای بزرگی که در حوزة بانکی و پرداختی در دنیا وجود دارند انتخاب کردهایم و فقط آنها را ارائه میدهیم و این سرویسها خیلی ابتدایی هستند.
* به نظر شما این مسئله خوب است یا بد؟
عباچی: این مسئله که بد است؛ اما نکته من این است که محدودیتها محدودیتهای فنی نیستند، خیلی از شرکتها که ابزارشان ابزار خارجی است و این استانداردهای بینالمللی را دارند و این سرویسها درونشان وجود دارد؛ اما از آن استفاده نمیبرند.
* پس به نظر شما کجای پرداخت چالش وجود دارد؟
عباچی: بسیاری از چالشها سرمایهگذاری است، تغییر و راهاندازی این سرویسها که این سرویسها میتوانند کاربردی و غیرکاربردی functional و non functional باشند، یعنی چیزی باشد که وقتی زیرساختی گسترش پیدا کند قابلیتی به شبکه اضافه شود.
* بانکها در سرمایهگذاری چندان خسیس نیستند.
عباچی: مثالی در اینباره در مورد کارت بیان کردم که این اتفاق سالهاست نیفتاده است.
* شاید بانک مرکزی در گذشته چنین اعتقادی داشت؛ وقتی کارت مغناطیسی نیاز را برآورده میکند؛ چرا مسئله را پیچیده کنیم؛ حتی اگر مبلغ اندکی هم کلاهبرداری شود جبران خواهد شد.
عباچی: این پیچیدگی یک آوردهای دارد، به صحبت آقای لرستانی بازمیگردم تا وقتی که واقعاً مدیریت ریسک در چرخه پرداخت نداریم مسئلهها راهحل ندارند. امروز در اتفاقاتی که در رمز دوم و کلاهبرداریهای اینترنتی رخ میدهند شبکة بانکی، بانک مرکزی، شرکتهای پرداخت و شاپرک و دارندگان و صادرکنندگان کارت درگیر هستند. تکلیف معلوم نیست که این مسئولیت چقدر برای بانک مرکزی، چقدر برای بانک صادرکننده و چقدر شرکت پرداخت است، برای این کار بر خلاف نظر آقای لرستانی که گفتند؛ استانداردها را بومیسازی کردیم به نظرم قسمتهایی از استاندارد را نادیده گرفتیم، بومیسازی نکردیم، بومیسازی یعنی این قسمتها را کنار گذاشتهایم، یک روش جایگزین ایجاد نکردیم، best practice در دنیا وجود دارد، بانکها، شرکتهای پرداخت و دارندة کارت با هم این ریسک را تقسیم میکنند و سرویسی را میگیرند؛ اما در ایران تکلیف در این مورد مشخص نیست.
لرستانی: اشاره کردم که در فرآیند بومیسازی، بخشهایی هم نادیده گرفته شده است. به نظرم؛ وقتی ما صنعتی را از روی نمونههای خارجی کپیبرداری میکنیم؛ اگر فرآیند بومیسازی را دقیق انجام ندهیم، دچار تبعات جبرانناپذیری میشویم؛ مثلاً ما کارت بانکی و سامانههای صدور آن را در کشور نمونهسازی و در فرآیند بومیسازی یک قلم اطلاعاتی با نام رمز دوم کارت ابداع کردیم و چون این قلم وجود دارد؛ وقتی خواستیم رمز را پویا کنیم، این قلم اطلاعاتی را پویا کردیم. این یعنی یک حرکت اشتباه که زیربنای اشتباهات بعدی میشود.
* چالش اصلی را موضوع ریسک منیجمنت میبینید.
عباچی: کلیتر نگاه کنیم، ما صورت مسئله را به جای اینکه بزرگ نگاه کنیم تکهتکه حل میکنیم.
* چرا؟ لطفاً به نمونههایی اشاره کنید.
عباچی: برای موضوع رمز دوم در دنیا best practice وجود ندارد؛ اما ما از خردادماه درگیر رمز دوم پویا هستیم. بانکها در این زمینه تلاش کردند؛ مثلاً بانک ملی در این زمینه پیشرو بود و از دو سال پیش ایجاد رمز اول و رمز دوم پویا را در دستور کار دارد یا شبکه بانکی و پرداخت از خردادماه درگیر این مسئله هستند. سه الی چهار بار تاریخ اعلام شد و عقب افتاد. مسئله این است که ما مشکل فیشینگ داریم و تمام تلاشمان این است که مشکل را حل کنیم؛ اما آیا رمز پویا مشکل فیشینگ را حل میکند یا نمیکند؟ به نظرم باید به تجارب دنیا در این زمینه توجه کنیم. آیا در سطح دنیا خرید اینترنتی با رمز دوم وجود دارد؟ اساساً خرید اینترنتی به چه شکل صورت میگیرد؟ به علاوه اینکه اگر زیرساختها گسترده و سرویسها متنوع شوند بسیاری اوقات استفاده بیش از حد از یک سرویس، آن سرویس را به مخاطره میاندازد. استفاده از رمز دوم به ازای هر شارژ کیف پول از اپلیکیشن ی که تعدادشان هم کم نیست رمز دوم را به مخاطره میاندازد؛ اگر ما سرویس subscription در زیرساخت شبکه داشته باشیم و سرویس directive در سیستم بانکمان و تحت نظر رگولاتور و استاندارد راه افتاده باشد شما یک بار لازم است از طریق وب سایت بانک، رمز دوم و مکانیزم fraud detection را دریافت کنید و دیگر هر روز دمدست نیست که کلاهبرداران وارد این مکانیزم شوند و اطلاعات حساس شما را بردارند؛ اگر آن زیرساخت گسترده شود خیلی از مخاطرات کم میشود.
* خانم آقابابایی از رمز پویا فاصله بگیریم و به سمت لایهبندی برویم. زیرساخت صنعت پرداخت شامل چه بخشهایی است تا از این طریق وارد بحث ذینفعان شویم.
آقابابایی: زيرساخت شامل نرمافزار و سختافزار و شبكه است. این چرخه از ابزار در اختيار مشتری که ميتواند ابزار پرداخت و پذیرش استفاده باشد آغاز میشود؛ سيستمهاي کلاینت ساید یعنی سیستمهایی که سمت مشتریان است و سرور سايد مرتبط با هر محصول زیرساخت آن محصول را تشكيل ميدهند. همينطور بکآفیسی که پشت هر سرويس قرار دارد و شبکهای که قرار است ارتباطات بين همه اينها و نيز سامانههاي داخلي و خارجي مانند شتاب ، شاپرک ، بانکها و سرويسدهندهها مثل اپراتورها و … را برقرار کند. این بسته ميتواند به طور خلاصه مجموعه زیرساختی باشد که از کارت و پوز آغاز میشود و به سرويسهاي مركزي و همة ابزاری که آنجا هست میرود.
* لطفاً به بخشی از این زیرساخت اشاره کنید که چالش صنعت پرداخت است، از نظر شما امروز مهمترین مسئله صنعت پرداخت چیست؟
لرستانی: یکی از بزرگترین مسائل و مشکلات در موضوع پرداخت در کشور ما این است که از ابتدا به آن به عنوان یک «صنعت» نگاه نکردهایم. یک صنعت، منجر به کسب و کار میشود و به تبع آن قوانین کسب و کار ی تعریف میشوند و برای آن کسب و کار ابزارها، سامانهها، قوانین و … به وجود میآید. در پرداخت طی این سالها تمرکز ما بیشتر بر بعد فنی و تکنولوژی بوده است تا نگاه کسب و کار ی. وقتی نگاه کسب و کار نداشته باشیم، به تبع آن تشکیلات «صنفی» نداریم و «ذینفعان» شناسایی نمیشوند و به تبع آن چگونگی «گردش مالی» و «وظایف» و «ارتباط بین ذینفعان» شکل نمیگیرد و حتی اشتباه شکل میگیرد.
اثرات این مسئله به وضوح هماکنون دیده میشوند؛ مثلاً وقتی در تعریف یک کسب و کار ، تشکیلات صنفی نداریم تبعات آن «رقابت ناسالم» است؛ وقتی در تعریف یک کسب و کار ، تشکیلات صنفی نداریم تبعات آن نگاه به حاکمیت برای حل تمام مشکلات است؛ وقتی ذینفعان در یک کسب و کار درست شناسایی نشوند، تبعات آن به وجود آمدن «نظام غلط کارمزد» است؛ وقتی ذینفعان در یک کسب و کار ، درست شناسایی نشوند، تبعات آن یکی شدن نهادهای «قانونگذار»، «قاضی»، «مجری» و «ناظر» است و یکی شدن این نهادها یعنی به وجود آمدن «تمامیتخواهی» و از بین رفتن پویایی، نوآوری و نشاط. به نظرم تا یک حدی در شروع هر کاری طبیعی است و بدیهی است که بخشی از راه همیشه با رفتن ساخته میشود؛ اما در مقاطعی باید نگاه بازتعریف و بازنگرانه داشت.
اساساً اعتقادم بر باز تعریف کسب و کار در صنعت پرداخت است؛ اگر تعریف درستی از این صنعت نداشته باشیم برخی از مسئلههایمان حل نمیشوند یا به اشتباه حل میشوند؛ مثلاً چندین سال است به دنبال گمشدهای به اسم «کیف پول» هستیم که معتقدم؛ هنوز تعریف درستی در مقایسهها با تجربههای جهانی از آن نداریم و به سختترین و پرهزینهترین شکل در حال حل مسئله هستیم. در صورت عدم بازتعریف با پدیدهها و رخدادهای جدید از قبیل فینتکها، بانکداری باز ، بلاکچین و … هم دچار پیچیدگی میشویم.
ادامه دارد…