کارت های پرماجرا/ صنعت پرداخت و تکرار رویاهای همیشگی

به گزارش پایگاه خبری بانکداری الکترونیک ، فاصله پرداخت در کشور ما با استانداردهای روز جهان، باعث شده است که شرکت‌های پرداخت راه‌حل‌های غیر استاندارد را به ناچار پیاده‌سازی کنند و در اصلاح سیستمی مصمم باشند؛ مثلاً سامانه حریم و حاب دو سامانه‌ای هستند که در مسیر یک روش اشتباه به ناگزیر باید پیاده‌سازی می‌شدند؛ اما معلوم نیست که یک سال دیگر، بیشتر یا کمتر، صنعت پرداخت مجبور باشد تا فرآیند کارت به کارت را تعطیل کند. آن زمان نیز مسئله کم نخواهیم داشت.

بخش اعظم میزگرد پیشرو بیشتر به اصلاح سیستمی بازمی‌گردد؛ همچنین بر کیفیت زیرساخت متمرکز شده‌ایم؛ تعامل میان ذی‌نفعان را بررسی و در انتها به بحث فرآیند ممیزی و امکان دستیابی به فرصت‌های جدید اشاره می‌کنیم.
حاضرین در این میزگرد خانم شهره آقابابایی معاونت کسب و کار های نوین شرکت ایران کیش ، آقای آرش لرستانی معاونت عملیات شرکت به‌پرداخت ملت و آقای طاها عباچی معاونت فناوری اطلاعات شرکت پرداخت الکترونیک سداد هستند که به بیان نقطه نظرات خود پرداخته‌اند. متن این میزگرد را با هم می‌خوانیم.

* خانم آقابابایی، قبل از ورود به چالش زیرساخت یک نگاه کلی به وضع صنعت پرداخت داشته باشید.

آقابابایی: با توجه به وضعیت موجود و امکان تغییراتی که در این حوزه فراهم است، تحول خیلی بزرگی شاید به لحاظ زیرساختی در صنعت پرداخت قابل پیش‌بینی نیست؛ ولی همین وضعیت فعلی تأثیر بسیار زیادی بر کسب و کار و محصولاتی که به مشتریان عرضه می‌کنیم، دارد. وضعیت موجود ما به دلیل فاصله با استانداردهای روز جهان، باعث شده است که شرکت‌های پرداخت در اصلاح سیستمی مصمم باشند. به عنوان اولین گام و برای شروع اصلاح، سیستم رمز پویا و سامانه هریم گام‌های خوب و ضروری هستند. امیدوارم اصلاحات سیستم ادامه یابد. در حال حاضر سامانه‌های شرکت‌های پرداخت به سمتی می‌روند که بر اساس داده‌های مشتریان در کل شبکه‌های پرداخت مدیریت شوند؛ به تعبیر دیگر این مدیریت بر اساس مدل‌های ریسک‌بیس و داده‌محور حرکت می‌کنند به طوری که به مشتری بر اساس میزان ریسک تراکنش قبلی، امکان انجام تراکنش جدید با شرایط متفاوت مثلاً استفاده از رمز پویا را فراهم می‌کند. طبعاً از امنیت در لایه‌های پایین‌تر شروع می‌شود تا اینکه سخت‌تر و سخت‌تر شود.
تاکنون برای کل شبکه پرداخت و بانکی در ایران یک سطح از کیفیت ارائه می‌شد؛ به ویژه در شبکه پرداخت تفاوت چندانی به لحاظ کیفیت سرویس، بحث‌های امنیت، زیرساختی و آفلاین و آنلاین میان تراکنش چند میلیونی با یک تراکنش کمتر از بیست هزار وجود ندارد.

* آیا طبقه‌بندی خاصی در مورد تراکنش‌ها به صورت سیستمی در شرکت‌های پرداخت وجود دارد؟

آقابابایی: برای شرکت‌های پرداخت عدد تراکنش‌ها چندان تفاوتی نمی‌کند با هر تراکنشی با هر رده‌ای و هر مشخصاتی یک شکل برخورد می‌شود و طبقه‌بندی نمی‌کنیم. به لحاظ محصولی شاید کانال‌های توزیع یک مقدار متفاوت باشند؛ اما باز هم میان کانال‌ها تفاوت چندانی وجود ندارد. دست‌کم در شبکه زیرساخت‌، فرآیند کلی که برای‌شان تعریف شده است هیچ تغییر مشخص و ویژه‌ای در مورد تراکنش‌های مختلف وجود ندارد. این عدم تفاوت به ویژه از منظر ریسک، هزینه شرکت‌های پرداخت را بالا می‌برد با اینکه قادر نیستند کیفیت سرویس و امنیت قابل قبولی متناسب با سطح‌بندی تراکنش‌ها از منظر ریسک‌ها و جایگاه محصولات ارائه کنند. به هر حال وقتی شرکتی با همه نوع تراکنش با همه شرایط یک‌طور برخورد می‌کند باعث می‌شود سطح کیفی کار در مجموع در همه سیستم‌ها یکسان باشد.

* یکسانی تراکنش‌ها از منظر ریسک چطور بر هزینه ارائه سرویس اثر می‌گذارد؟

آقابابایی: برخورد یکسان با تراکنش‌ها باعث می‌شود؛ اگر بخواهیم کیفیت از حدی بالاتر برود هزینه‌ها طبعاً به همان میزان بالاتر برود؛ چون به همه یکسان سرویس داده می‌شود در نتیجه شرکت پرداخت مجبور است با توجه به منابع، کیفیت را پایین نگه دارد و این روند عملاً برای زیرساخت صنعت پرداخت مسئله‌ساز و تبدیل به یک چالش شده است. خلاصه اینکه می‌توان گفت؛ هیچ طبقه‌بندی‌، دسته‌بندی و لایه‌بندی‌ای برای سرویس‌ها و خدماتی که از سوی شرکت‌های پرداخت داده می‌شود وجود ندارد؛ البته ممکن است هر شرکت در درون خود یک سری الگوریتم‌ها و فرآیندهایی بر اساس نوع مشتری و نوع سرویسی که دریافت می‌کنند و کاری که انجام می‌دهند پیش‌بینی کرده باشد؛ مثلاً خدمات، سیار هستند یا نیستند؟ آیا به داده‌های استاتیک نیاز دارند یا به داده‌های تصمیم‌گیری‌های داینامیک نیاز دارند؟ همه اینها در حال حاضر به گونه‌ای درون هر شرکتی هندل می‌شود؛ ولی به صورت کلی تفاوتی در سطح کیفیت و امنیت برای کل تراکنش‌ها وجود ندارد.

* آقای لرستانی در تکمیل بحث، نظرتان را در مورد استانداردهای پرداخت از منظر امنیت و صحت‌سنجی تراکنش‌ها بگویید.

لرستانی: در ابتدا به نظرم بهتر است تعریفی از صنعت و مفهوم پرداخت داشته باشیم تا بتوانیم در ادامة بحث به ذی‌نفعان و بازیگران، دقیق‌تر اشاره کنیم. به طور کلی سیستم‌های پرداخت زیرساخت‌های فناوری و قانونی هستند که انتقال ارزش مالی میان دو طرف معامله را میسر می‌کنند به نحوی که در طرفین معامله، اطمینان و اعتماد به وجود آید. بدیهی است که این زیرساخت‌های فناوری و قانونی شامل طیف وسیعی از سامانه‌های نرم‌افزاری و سخت‌افزاری، شبکه‌ها، شرکت‌ها، نهادها و سازمان‌های قانون‌گذار، ناظر و مجری، استانداردها، قوانین، الزامات و … می‌شوند.

در رابطه با امنیت و صحت‌سنجی تراکنش، صنعت پرداخت هم مانند سایر صنعت‌ها استانداردهای خاص خود را دارد؛ البته استانداردهای عمومی هم وجود دارند که در این صنعت مصداق و کاربرد دارند. از مهم‌ترین استانداردهای صنعت پرداخت در حوزه‌های تراکنش و ابزار، استانداردهای امنیتی PCI است. در این استانداردها به طور جامع به همة فرآیندهای مرتبط با پردازش، ارسال، انتقال و ذخیره‌سازی اطلاعات در حوزه امنیت توجه می‌شود. این استانداردها توسط بازیگران بزرگ صنعت پرداخت از قبیل ویزا، مسترکارت، آمریکن اکسپرس، دیسکاورز و جی‌سی‌بی در جهان شکل داده شده‌اند و هدف اصلی آنها جلوگیری از تقلب و سرقت است. این استانداردها بیشتر با رویکرد و نگاه فنی توسعه پیدا کرده‌اند. در کنار این استاندارد اصلی مجموعه‌ای از متدها، ابزارها، تکنولوژی‌های دیگر از قبیل EMV وجود دارند که به نحو قابل توجهی بر مسئله امنیت و مدیریت ریسک تراکنش تأثیر دارند. باید به این نکته توجه کرد که برای مدیریت صحت تراکنش علاوه بر داشتن رویکرد فنی می‌توان موضوع را از منظر کسب و کار ی هم نگریست و با این نگاه است که سیستم‌های مدیریت تقلب (Fraud Management) شکل می‌گیرند.

* شما تراکنش‌ها را بر اساس چه معیارهایی دسته‌بندی کردید؟

لرستانی: ما برای مدیریت ریسک‌های صحت تراکنش‌ها، علاوه بر رعایت موارد مورد اشاره در استانداردهای امنیتی PCI، به طور دقیق با خوشه‌بندی مشتریان و اصناف و تعیین شاخص‌ها با رویکرد کسب و کار ی نسبت به شناسایی و کشف تقلب اقدام کرده‌ایم و به عبارت دیگر مقوله مدیریت تقلب را مدنظر قرار دادیم.

* یعنی سعی کردید بر اساس صنف، ریسک‌ها را رصد کنید؟

لرستانی: بله ، به عنوان مثال یک پذیرنده در یک صنف خاص نباید از نظر شاخص‌های تعداد، مبلغ تراکنش و زمان وقوع تراکنش، تفاوت فاحشی با رفتار هم‌صنفان خود داشته باشد یا اینکه رفتار یک پذیرنده نباید تفاوت فاحشی با رفتار قبلی خود داشته باشد و از این قبیل قانون‌ها.

* در بحث ممیزی بیشتر به تعامل با شاپرک می‌پردازیم؛ اما در اینجا به این نکته که چقدر استاندارد وجود دارد و آیا دسته‌بندی‌های موجود بر اساس سلیقه‌ هستند یا نه می‌پردازیم؟

لرستانی: بدون شک با ورود شرکت شاپرک ، از منظر استاندارها در مقایسه با قبل در وضعیت خیلی بهتری قرار داریم. حداقل هم اکنون سندهایی داریم که می‌توانیم بر مبنای آنها تکمیل‌تر شویم و آنها را نقد کنیم. چارچوب و دسته‌بندی سندهای تدوین‌شده توسط نهادهای حاکمیتی بانک مرکزی و شرکت شاپرک قطعاً با نگاه به نمونه‌های جهانی است و از نظر من در هر سال نسبت به سال قبل، در حال توسعه و بهبود هستند؛ اما بخش‌هایی از استاندارد هم بومی‌سازی شده‌اند.

* منظورتان از بومی‌سازی یعنی اینکه نادیده گرفته شده یا سلیقه‌ای اجرا شده یا معنی دیگری دارد؟

لرستانی: در فرآیند بومی‌سازی کردن، هر دو اتفاق «تطبیق با شرایط» و «نادیده گرفته شدن» اتفاق افتاده است؛ اما به نظرم در هر کسب و کار ی هر چند سال یک بار باید مجدداً با نگاه به گذشته بازتعریف صورت پذیرد.

* آقای عباچی از نظر شما چالش‌ها چه هستند؟

عباچی: به نظر من از نظر فنی، چالش وجود ندارد، چالش وقتی به وجود می‌‌آید که قرار است اتفاقی بیفتد و منع فنی وجود داشته باشد. در حوزه پرداخت، کاری که نتوانیم انجام دهیم بعید می‌دانم وجود داشته باشد، معمولاً محدودیت‌ها از جنس محدودیت‌های هزینه و سرمایه‌گذاری از طرف بانک‌هاست که باید کاری انجام دهند؛ مثلاً در مورد همین موضوع کارت، کارت مغناطیسی مدت‌هاست در دنیا استفاده می‌شود، بانک‌ها باید هزینه کنند اینکه هزینه سرمایه‌گذاری از مردم گرفته شود یا بانک‌ها خودشان سرمایه‌گذاری کنند مسئله خود آنهاست؛ اما در عین حال اگر امنیت پرداخت می‌خواهیم این امر گریزناپذیر است. دوم روش‌های مختلف پرداخت است که ساختارش در استانداردهای بین‌المللی وجود دارد.

* یعنی از نظر فنی چالشی وجود ندارد و مشکلات، ساده حل خواهند شد؟

عباچی: علت ساده بودنش این است که ما زیرمجموعه سرویس‌های بزرگی که در حوزة بانکی و پرداختی در دنیا وجود دارند انتخاب کرده‌ایم و فقط آنها را ارائه می‌دهیم و این سرویس‌ها خیلی ابتدایی هستند.

* به نظر شما این مسئله خوب است یا بد؟

عباچی: این مسئله که بد است؛ اما نکته من این است که محدودیت‌ها محدودیت‌های فنی نیستند، خیلی از شرکت‌ها که ابزارشان ابزار خارجی است و این استانداردهای بین‌المللی را دارند و این سرویس‌ها درون‌شان وجود دارد؛ اما از آن استفاده نمی‌برند.

* پس به نظر شما کجای پرداخت چالش‌ وجود دارد؟

عباچی: بسیاری از چالش‌ها سرمایه‌گذاری است، تغییر و راه‌اندازی این سرویس‌ها که این سرویس‌ها می‌توانند کاربردی و غیرکاربردی functional و  non functional باشند، یعنی چیزی باشد که وقتی زیرساختی گسترش پیدا کند قابلیتی به شبکه اضافه شود.

* بانک‌ها در سرمایه‌گذاری چندان خسیس نیستند.

عباچی: مثالی در این‌باره در مورد کارت بیان کردم که این اتفاق سال‌هاست نیفتاده است.

* شاید بانک مرکزی در گذشته چنین اعتقادی داشت؛ وقتی کارت مغناطیسی نیاز را برآورده می‌کند؛ چرا مسئله را پیچیده کنیم؛ حتی اگر مبلغ اندکی هم کلاهبرداری شود جبران خواهد شد.

عباچی: این پیچیدگی یک آورده‌ای دارد، به صحبت آقای لرستانی بازمی‌گردم تا وقتی که واقعاً مدیریت ریسک در چرخه پرداخت نداریم مسئله‌ها راه‌حل ندارند. امروز در اتفاقاتی که در رمز دوم و کلاهبرداری‌های اینترنتی رخ می‌دهند شبکة بانکی، بانک مرکزی، شرکت‌های پرداخت و شاپرک و دارندگان و صادرکنندگان کارت درگیر هستند. تکلیف معلوم نیست که این مسئولیت چقدر برای بانک مرکزی، چقدر برای بانک صادرکننده و چقدر شرکت پرداخت است، برای این کار بر خلاف نظر آقای لرستانی که گفتند؛ استانداردها را بومی‌سازی کردیم به نظرم قسمت‌هایی از استاندارد را نادیده گرفتیم، بومی‌سازی نکردیم، بومی‌سازی یعنی این قسمت‌ها را کنار گذاشته‌ایم، یک روش جایگزین ایجاد نکردیم، best practice در دنیا وجود دارد، بانک‌ها، شرکت‌های پرداخت و دارندة کارت با هم این ریسک را تقسیم می‌کنند و سرویسی را می‌گیرند؛ اما در ایران تکلیف در این مورد مشخص نیست.

لرستانی: اشاره کردم که در فرآیند بومی‌سازی، بخش‌هایی هم نادیده گرفته شده است. به نظرم؛ وقتی ما صنعتی را از روی نمونه‌های خارجی کپی‌برداری می‌کنیم؛ اگر فرآیند بومی‌سازی را دقیق انجام ندهیم، دچار تبعات جبران‌ناپذیری می‌شویم؛ مثلاً ما کارت بانکی و سامانه‌های صدور آن را در کشور نمونه‌سازی و در فرآیند بومی‌سازی یک قلم اطلاعاتی با نام رمز دوم کارت ابداع کردیم و چون این قلم وجود دارد؛ وقتی خواستیم رمز را پویا کنیم، این قلم اطلاعاتی را پویا کردیم. این یعنی یک حرکت اشتباه که زیربنای اشتباهات بعدی می‌شود.

* چالش اصلی را موضوع ریسک منیجمنت می‌بینید.

عباچی: کلی‌تر نگاه کنیم، ما صورت مسئله را به جای اینکه بزرگ نگاه کنیم تکه‌تکه حل می‌کنیم.

* چرا؟ لطفاً به نمونه‌هایی اشاره کنید.

عباچی: برای موضوع رمز دوم در دنیا best practice وجود ندارد؛ اما ما از خردادماه درگیر رمز دوم پویا هستیم. بانک‌ها در این زمینه تلاش کردند؛ مثلاً بانک ملی در این زمینه پیش‌رو بود و از دو سال پیش ایجاد رمز اول و رمز دوم پویا را در دستور کار دارد یا شبکه بانکی و پرداخت از خردادماه درگیر این مسئله هستند. سه الی چهار بار تاریخ اعلام شد و عقب افتاد. مسئله این است که ما مشکل فیشینگ داریم و تمام تلاش‌مان این است که مشکل را حل کنیم؛ اما آیا رمز پویا مشکل فیشینگ را حل می‌کند یا نمی‌کند؟ به نظرم باید به تجارب دنیا در این زمینه توجه کنیم. آیا در سطح دنیا خرید اینترنتی با رمز دوم وجود دارد؟ اساساً خرید اینترنتی به چه شکل صورت می‌گیرد؟ به علاوه اینکه اگر زیرساخت‌ها گسترده و سرویس‌ها متنوع شوند بسیاری اوقات استفاده بیش از حد از یک سرویس، آن سرویس را به مخاطره می‌اندازد. استفاده از رمز دوم به ازای هر شارژ کیف پول از اپلیکیشن ی که تعدادشان هم کم نیست رمز دوم را به مخاطره می‌اندازد؛ اگر ما سرویس subscription در زیرساخت شبکه داشته باشیم و سرویس directive در سیستم بانک‌مان و تحت نظر رگولاتور و استاندارد راه افتاده باشد شما یک بار لازم است از طریق وب سایت بانک، رمز دوم و مکانیزم fraud detection را دریافت کنید و دیگر هر روز دم‌دست نیست که کلاهبرداران وارد این مکانیزم شوند و اطلاعات حساس شما را بردارند؛ اگر آن زیرساخت گسترده شود خیلی از مخاطرات کم می‌شود.

* خانم آقابابایی از رمز پویا فاصله بگیریم و به سمت لایه‌بندی برویم. زیرساخت صنعت پرداخت شامل چه بخش‌هایی است تا از این طریق وارد بحث ذی‌نفعان شویم.

آقابابایی: زيرساخت شامل نرم‌افزار و سخت‌افزار و شبكه است. این چرخه از ابزار در اختيار مشتری که مي‌تواند ابزار پرداخت و پذیرش استفاده باشد آغاز می‌شود؛ سيستم‌هاي کلاینت ساید یعنی سیستم‌هایی که سمت مشتریان است و سرور سايد مرتبط با هر محصول زیرساخت آن محصول را تشكيل مي‌دهند. همين‌طور بک‌آفیسی که پشت هر سرويس قرار دارد و شبکه‌ای که قرار است ارتباطات بين همه اينها و نيز سامانه‌هاي داخلي و خارجي مانند شتاب ، شاپرک ، بانک‌ها و سرويس‌دهنده‌ها مثل اپراتورها و … را برقرار کند. این بسته مي‌تواند به طور خلاصه مجموعه زیرساختی باشد که از کارت و پوز آغاز می‌شود و به سرويس‌هاي مركزي و همة ابزاری که آنجا هست می‌رود.

* لطفاً به بخشی از این زیرساخت اشاره کنید که چالش صنعت پرداخت است، از نظر شما امروز مهم‌ترین مسئله صنعت پرداخت چیست؟

لرستانی: یکی از بزرگ‌ترین مسائل و مشکلات در موضوع پرداخت در کشور ما این است که از ابتدا به آن به عنوان یک «صنعت» نگاه نکرده‌ایم. یک صنعت، منجر به کسب و کار می‌شود و به تبع آن قوانین کسب و کار ی تعریف می‌شوند و برای آن کسب و کار ابزارها، سامانه‌ها، قوانین و … به وجود می‌آید. در پرداخت طی این سال‌ها تمرکز ما بیشتر بر بعد فنی و تکنولوژی بوده است تا نگاه کسب و کار ی. وقتی نگاه کسب و کار نداشته باشیم، به تبع آن تشکیلات «صنفی» نداریم و «ذی‌نفعان» شناسایی نمی‌شوند و به تبع آن چگونگی «گردش مالی» و «وظایف» و «ارتباط بین ذی‌نفعان» شکل نمی‌گیرد و حتی اشتباه شکل می‌گیرد.

اثرات این مسئله به وضوح هم‌اکنون دیده می‌شوند؛ مثلاً وقتی در تعریف یک کسب و کار ، تشکیلات صنفی نداریم تبعات آن «رقابت ناسالم» است؛ وقتی در تعریف یک کسب و کار ، تشکیلات صنفی نداریم تبعات آن نگاه به حاکمیت برای حل تمام مشکلات است؛ وقتی ذی‌نفعان در یک کسب و کار درست شناسایی نشوند، تبعات آن به وجود آمدن «نظام غلط کارمزد» است؛ وقتی ذی‌نفعان در یک کسب و کار ، درست شناسایی نشوند، تبعات آن یکی شدن نهادهای «قانون‌گذار»، «قاضی»، «مجری» و «ناظر» است و یکی شدن این نهادها یعنی به وجود آمدن «تمامیت‌خواهی» و از بین رفتن پویایی، نوآوری و نشاط. به نظرم تا یک حدی در شروع هر کاری طبیعی است و بدیهی است که بخشی از راه همیشه با رفتن ساخته می‌شود؛ اما در مقاطعی باید نگاه بازتعریف و بازنگرانه داشت.

اساساً اعتقادم بر باز تعریف کسب و کار در صنعت پرداخت است؛ اگر تعریف درستی از این صنعت نداشته باشیم برخی از مسئله‌های‌مان حل نمی‌شوند یا به اشتباه حل می‌شوند؛ مثلاً چندین سال است به دنبال گم‌شده‌ای به اسم «کیف پول» هستیم که معتقدم؛ هنوز تعریف درستی در مقایسه‌ها با تجربه‌های جهانی از آن نداریم و به سخت‌ترین و پرهزینه‌ترین شکل در حال حل مسئله هستیم. در صورت عدم بازتعریف با پدیده‌ها و رخدادهای جدید از قبیل فین‌تک‌ها، بانکداری باز ، بلاک‌چین و … هم دچار پیچیدگی می‌شویم.

ادامه دارد…