امنیت؛ بزرگترین ارمغان زیرساخت نماد/ هامون در قامت یک متاپلتفرم
میزسخنی با حضور مسئولان نماد و شمس(بخش دوم)
وقتی خدمتی را دریافت میکنیم این خدمت حاصل فعالیتهای تنها یک بانک نیست؛ بلکه شماری از نهادها و شرکتها کنار هم قرار گرفتهاند تا خدمتی حاصل شود؛ از سوی دیگر زنجیرههای ارزش، مدام با پیوستن بانکها و شرکتهای دیگر تکمیلتر میشود. سامانههای نماد، هامون و شمس چنین خاصیتی دارند.
به گزارش پایگاه خبری بانکداری الکترونیک، در میزسخن پیش رو که با حضور رضا گودرزي، معاون طرح و برنامه بانک صادرات؛ علی سیفی، معاون نرمافزار شرکت خدمات انفورماتیک؛ سيد جعفر صدري، مدير فناوري اطلاعات بانك صادرات؛ داود کریمزادگان، معاون بازاریابی و فروش شرکت خدمات انفورماتیک؛ صادق فرامرزي، مديرعامل هلدينگ فناوري بانك صادرات؛ محسن قدیرینژادیان، مدیر محصول زیرساخت نماد و هامون(امضاء همراه) و خانم سیمین قديري؛ رئیس سیستمهاي تبادل امن شركت خدمات انفورماتيك برگزار شد به ابعاد مختلف شعبه مجازی سپهر به عنوان یکی از حلقههای زنجیره ارزش سامانه نماد و هامون پرداختهایم.
بخش اول این میزگرد با عنوان " هامون کلید ورود به اکوسیستم امنیت/ شمس؛ حلقه زنجیره ارزش نماد و هامون" را با هم خواندیم.
در بخش دوم این میزسخن با ما همراه باشید:
* بنابراین پروژه بعدی شما مطالعه در مورد ارتقاء دادن است؟
صدری: بله درست است. اگر بخواهیم درست و اصولی در بانک بزرگی مثل صادرات عمل کنیم باید با حفظ سیستم موجود و تولد موجودیت جدید، همزمان به آموزش و فرهنگسازی درون و برون سازمانی مشتریان خود بپردازیم؛ سپس با توسعه موجودیت جدید مشتریان را بیشتر به آن سمت هدایت کرده و همزمان خدمات بخش سنتی خود را کمرنگتر کنیم؛ این به نظر تنها راهحل منطقی است که تقریباً در فرهنگسازی بانکداری الکترونیک هم همین حالت اتفاق افتاد و یک نسل جابهجا شد. هر چند که شخصاً اعتقاد دارم تحول دیجیتال از اساس با بانکداری الکترونیک تفاوتهای شگرفی دارد و خیلی قابل مقایسه با یکدیگر نیستند.
* چالش اصلی شما، مشتریان درونبانکیتان هستند یا برونبانکیتان؟
صدری: مطمئناً مشتریان درونبانکی، چرا که با وجود نسل Z در عمل شما مشتریان برونبانکیایی دارید که مطالبهگر هستند و انتظار تحول را حتی اگر ما نخواهیم از ما میخواهند.
* آقای کریمزادگان، دو مسئله مطرح شد؛ یکی اینکه چطور فرهنگسازی کنیم که انتخاب مردم امضاء دیجیتال باشد؛ مسئله دوم دغدغه ضدتبلیغ است به تعبیر دیگر مشتری پس از فرهنگسازی از امضاء دیجیتال استفاده میکند؛ اما اگر به قوه قضائیه مراجعه کند و این نهاد امضاء او را قبول نکند؛ به این ترتیب همه داشتهها نابود میشود برای این موضوع نقش شما پررنگتر است؛ لطفاً به دغدغههای کسب و کاری در این مورد پاسخ دهید.
کریمزادگان: در ادامه صحبتهای آقای صدری باید بگویم وقتی بسیاری از راهکارهای دولت الکترونیک واقعیت پیدا کرد که بانکها توانستند پشتیبانیهای خدمات دیجیتالیشان را گسترش دهند، نمونه بهروزی را سراغ دارم که در دولت الکترونیک با اتکا به آدرس مکانی افراد، سرویسهای زیادی را تعریف میکنند؛ ولی هیچ دیتابیسی از آدرس ولید افراد در سطح کشور نیست که امکانبخش باشد؛ مثلاً با اداره پست بیزینسی را آغاز کردهاند؛ ولی حتی اداره پست آدرسهای معتبر و بهروزشدة افراد را در اختیار ندارد و اگر هم دارد، با گذشت زمان کوتاهی آن دیتابیس میمیرد.
در زیرساختهای سامانههای حاکمیتی برای بخش آدرس، مشتری مجبور است که تغییر آدرس خود را ذکر کند و این امر تضمینکننده یک بانک اطلاعاتی زنده است و تعداد بسیاری کسب و کار ارزش افزوده در دولت الکترونیک در این زیرساخت قابل تعریف است.
در ارتباط با راهاندازی سرویس گواهی امضاء باید بگویم که هدف غایی همه ما این است که بتوانیم یک خدمت اطمینانبخش و تسهیلکننده برای مشتری در زمانهای مختلف ایجاد کنیم. آقای سیفی از تعبیر فرصت کرونا استفاده کرد؛ ما از فرصت کرونا برای کنترل سرویسهای بسیاری در سازمانها از آموزش عالی و آموزش و پرورش گرفته تا نظام بانکی بهره گرفتیم.
آقای دکتر فرامرزی به خوبی بیان کردند که اگر 100 امتیاز در تحول بانکی تعریف کنیم، 10 امتیاز تکنولوژی و 90 امتیاز مربوط به فرایند است. شاید این آمار کمی اغراقآمیز باشد؛ ولی واقعاً نقش فرایند چند مرتبه بیشتر از نقش ابزار و تکنولوژی است. در گواهی الکترونیکی نیز به همین شکل است؛ یعنی اگر گواهی الکترونیکی را به عنوان یک سرویس لوکال و بدون توجه به زیست بوم کلی نظام، نظامِ بانکی و خارج از نظام بانکی در نظر بگیریم، بیشتر مانع و بازدارنده خواهد بود. من از بانک صادرات یک گواهی امضاء دریافت و نیاز روزم را مرتفع میکنم؛ ولی به اتکای این کار هیچ جای دیگری نمیتوانم کاری انجام دهم و مجبور میشوم همه جا یک گواهی امضاء بگیرم و این همان چیزی است که ارزش را میتواند در ذهن عموم به ضد ارزش تبدیل کند و در موجی که میتوان آن را مهندسی کرد و به مشتری لذت واقعی یک سرویس از راه دور را چشاند وقفه بیندازد؛ اگر حواسمان نباشد و در تدوین فرایندهایی که آقای دکتر فرامرزی به آنها اشاره کردند هوشمند نباشیم، قطعاً توفیق زیادی کسب نمیکنیم.
* پیشنهادتان چیست؟
کریمزادگان: پیشنهادم فرهنگسازی و آموزش است. بانک مرکزی، جایی که سند CP یا Certificate Policy را تدوین میکند باید تمام جنبههای این زیستبوم را ببیند.
* شما دو مأموریت متفاوت از بانک دارید؛ یکی بخش حاکمیت است و دیگری بخش کسب و کار بانکی است که باید به آنها توجه کنید.
کریمزادگان: کاملاً درست است. اعتقادم بر این است که کارفرمای حوزة نظام بانکی که نامش بانک مرکزی است باید پالیسی را به گونهای تدوین کند که نقشة جامع ما به خوبی ترسیم شود. در نقشة جامع، بانکها نقش خود را دارند، شرکتها میتوانند کنار بانکها قرار گیرند، مرکز میانی نقش خود را دارد، دفاتر RA نقش خود را دارند، احراز هویت غیر حضوری، گواهی امضاء و … اگر خوب کنار هم قرار گیرند منفعتی که برای گرفتن سرویس از راه دور اظهار میشود، توسط مشتری قابل لمس و قابل تأیید است، نه اینکه فقط در بیان گفته شود.
* آقای قدیری نژادیان، لطفاً به ریسکهای این خدمت اشاره کنید.
قدیری نژادیان: در ابتدا به بحث دوستان اشاره میکنم و در مورد فرهنگسازیای که از آن نام بردیم و ایجاد محرک و انگیزشی که باید در شبکة بانکی و کاربران و همة ذینفعان این پروژه باشد، میگویم.
به نظرم بزرگترین ارمغان زیرساخت نماد برای ذینفعان شبکة بانکی امنیت است؛ یعنی ذینفعان شبکة بانکی از جمله کاربران حقوقی و حقیقی با استفاده از گواهیهای الکترونیکی میتوانند در زمان کوتاه و با سهولت بیشتر و در عین حال امنیت بالاتر تراکنش خود را به صورت موفقیتآمیز انجام دهند.
از سویی بانکها هزینههای هنگفتی را در شعب خود مصروف میدارند تا خدمتی ارائه دهند. حال این بازیگران میتوانند هزینهها را از طریق گواهیهای الکترونیکی و شیوههای غیر حضوری به طرز چشمگیری کاهش دهند و همزمان خدمات را با سطح امنیتی قابل قبول به مشتریان ارائه کنند. امروز ارتباط شبکة بانکی با فینتکها، استارتاپها، TPPها و به طور کلی آنها که از سرویسهای اتمیک بانکها از طریق APIها استفاده میکنند، بحث رایجی است. این تبادل اطلاعات و دسترسی به سرویسها میتواند کاملاً بر بستر گواهیهای الکترونیک نماد اتفاق بیفتد.
در راستای مثالی که آقای گودرزی زدند باید ببینیم آیا فرهنگسازی، بسط و گسترش کاربرد گواهیهای الکترونیکی در شبکة بانکی، مزیتی را برای بازیگران اکوسیستم بانکی به ارمغان میآورد؟ بله. توسعة زیرساخت نماد به همان دلایلی که پیشتر بیان کردم، میتواند محرک باشد؛ اما موضوعی که وجود دارد، الزام است در کنار انتخاب. گاهاً الزام را محرک قویتر برای تسری پیدا کردن این قبیل خدمات میدانیم. این اتفاق در گواهیهای الکترونیک نماد میافتد. در حال حاضر بانکها میتوانند به منظور ایجاد بسترهای بهتر، سفر مشتری مطلوبتر و بهینه کردن سبد محصولات و خدمات خودشان به سمت استفاده از گواهیهای الکترونیک بر روی توکن و موبایل گام بردارند.
با توجه به آوردههای چشمگیر استفاده از این قبیل زیرساختها که مسیر ارائة خدمات غیر حضوری (به ویژه در دوران همهگیری کرونا) را هموار میکند، این امر در بانکداری خرد و در سامانهها و محصولات شبکة بانکی با شیب مناسب و بعضاً تندی در بین کاربران و خاصه نسلهای جوانتر و ریسکپذیرتر توسعه خواهد یافت. در ادامه به جایی میرسیم که در نیمة اول سال 1400 سامانة چکاد راهاندازی میشود و بهرهبرداری از چک الکترونیک و حذف فیزیک چک به عنوان یکی از منویات بانک مرکزی محقق میشود. در این بخش چکاد را مساوی با امضاء دیجیتال و گواهی الکترونیک نماد میدانم. چرا؟ چون آنجاست که فقط کاربران از طریق درگاههای الکترونیک و با استفاده از امضاهای دیجیتال و هویت الکترونیک خودشان میتوانند، فرایند را کامل و در اکوسیستم چک فعالیت کنند؛ بنابراین این الزامها برای اتصال هر چه سریعتر بانکها به زیرساخت نماد خود محرک و انگیزشی بالا محسوب میشود.
امروز اولویت در این است که اتصال بانکها به زیرساخت امضاء الکترونیکی و لانچ محصولات بانکی و کاربردی مبتنی بر امضاء امن نماد انجام شود. در مرحلة بعد میتوان به این موضوع پرداخت که بانک، شرکت یا هر نهاد دیگری بخواهد در نقشهای بیشتری فعالیت کند. هر چند که کاربردهای صدور گواهی از طریق فرایند حضوری مراجعه به دفاتر پیشخوان نماد، محدود به صدور بالاترین سطح امنیتی گواهی (گواهی سطح 3) و برخی کاربردهای خاص و بعضاً سیستمی است؛ علی ایحال با توجه به محدودیت در تعداد دفاتر فعلی از این موضوع استقبال میکنیم که بانکهای پر شعب بتوانند دفاتر RA خودشان را متناسب با دستورالعملهای اجرایی و امنیتی موجود و منطبق بر برندینگ و فرهنگ خودشان تأسیس و خدمات مربوط به صدور و مدیریت گواهیهای الکترونیکی را به کاربران بانک خود یا کاربران سایر بانکها و مؤسسات مالی ارائه دهند.
ولی در بخش مرکز میانی باید گفت رسوب دانشی ارزشمندی در شرکت خدمات انفورماتیک طی قریب به یک دهه تجربه در این حوزه به وجود آمده است و ایجاد این مراکز چه به لحاظ پیچیدگی تکنیکالی و چه به لحاظ هزینهبر بودن، دارای ریسکهای عملیاتی نسبتاً بالایی است. از سوی دیگر شما تصور کنید؛ حتی اگر نیمی از شبکة بانکی درخواست این را داشته باشد که به یک مرکز میانی نماد تبدیل شود. با توجه به شرایط تحریم و سختیها و فشارهای اقتصادی، ببینید چه آنارشی بر فضای حاکم بر شبکة بانکی مترتب خواهد شد؛ البته ایفای این نقش توسط بانکها و مؤسسات قانونی پابرجاست و ابلاغیة بانک مرکزی بانکها را مخیر کرده است تا در حوزة دفاتر RA یا SubCA به ایفای نقش بپردازند؛ ولی اولویت اول لانچ محصولات و سامانههای مبتنی بر گواهیهای الکترونیکی در شبکة بانکی است؛ یعنی این فرصت هیچ وقت از دست نخواهد رفت. امروز که در حال صحبت با شما هستم؛ دو مرکز میانی داخلی متصل به RootCA بانک مرکزی به نامهای Customer SubCA و Banker SubCA وجود دارند که پروفایلها و گواهیهای الکترونیک را ذیل پروفایلهایی که همکارم بیان کرد صادر میکنند.
به نظر میرسد باید هدف اولیه را اتصال شبکة بانکی به زیرساخت نماد دانست و پس از ایجاد پختگی و تسهیل در فرایندها و کاربردها در مورد نقش اساسی بانکها و سایر نهادهای فعال در این حوزه بحث بیشتری داشت.
* آقای سیفی، لطفاً توضیحاتتان را کامل کنید.
سیفی: آقای دکتر فرامرزی به آموزش پایهای امضاء دیجیتال اشاره کردند که بسیار درست است. آقای گودرزی به پیوست حقوقی امضاء دیجیتال اشاره کردند. تصور کنید؛ اگر هر دوی اینها شکل بگیرند؛ ولی اپلیکیشن درست و اتوماسیون درستی نداشته باشیم، این دو نیز کارایی نخواهند داشت. اگر امروز شمس وجود نداشت و شمس حرکت نمیکرد، اینجا نبودیم تا در مورد این موارد صحبت کنیم. کاربرد کنار آن دو باید با هم رشد کنند و بالا بیایند و نشان دهند که این چه اتفاقی است. من شما را به دهة 80 بازمیگردانم به جایی که کارت شکل گرفت تا زمانی که اولین یارانة نقدی در سال 1389 پرداخت شد و آن زمان همة ایرانیها دارای کارت شدند و بعد از این موارد میبینید که کارت با مصائب و مشکلاتی همراه شد؛ مثلاً مسئلة تقلب مطرح شد، مسئلة حقوقی مطرح شد. میخواهم، بگویم این کاربردها هستند که بیشتر و بیشتر خود را نشان میدهند.
به نظرم اگر تعدد کاربردها را افزایش دهیم و نزد بانکها برویم و محصولات بیشتری ایجاد کنیم مردم بیشتر به شبکة بانکی اعتماد میکنند. اعتماد به شبکة بانکی اهمیت بسیاری دارد چیزی که جای آن امروز در حوزة بانکداری دیجیتال خالی است. آقای گودرزی مثالی از پرداخت قبض اشاره کردند، اولین پرداخت قبضهای الکترونیکی ایران در سال 1380 اتفاق افتاد. در آن موقع شاید روزی دو الی سه پرداخت قبض بیشتر نداشتیم. این موضوع باید در کار ما دیده شود و امروز جای آن خالی است.
* پیشنهادتان چیست؟ چطور میشود آن را تسریع کرد؟
سیفی: معتقدم باید اقداماتی معادل کار شمس بیشتر از اینها صورت بگیرد. سال 1400 بیستمین سال استقرار سپهر است که آقای فرامرزی آن را به خوبی کهکشان صاد نام گذاشته است. تابستان 1400 به مناسبت بیستمین سال استقرار سپهر، دو الی سه محصول متفاوت از شمس باید ایجاد شود. این در حوزة بانکداری دیجیتال اتفاق خوبی است. قطعاً در تابستان 1400 کرونا هنوز مهمان کشور ماست و میتوان از این فرصت استفاده و اعتمادسازی را در کنار امنیت ایجاد کرد. به یاد داشته باشیم که همة این کارها در راستای امنیت هستند؛ اگر امنیت باشد، رئوسی که به آنها اشاره کردم تکمیل میشوند.
* خانم قدیری، در تکمیل صحبتهای دوستان اگر نکتهای دارید بیان کنید و همچنین به لایههای مختلف نماد بپردازید.
قدیری: قبل از پاسخ به سؤال شما باید به نکتهای اشاره کنم؛ در مورد بحث آموزش مفاهیم پایه به کاربران نهایی باید بگویم که با بررسیهایی که در زمینة محصولات مشابه در کشورهای دیگر انجام دادیم به این نتیجه رسیدیم که کاربر در محصولات مشابه هرگز درگیر مفاهیم امضاء دیجیتال نمیشود، فقط میداند اپلیکیشنی دارد که با ورود پین کد یا اثر انگشت، میتواند یک تراکنش را به راحتی امضاء کند. این امر باعث میشود در عین اینکه امنیت اطلاعات تضمین میشوند؛ کاربر خود را درگیر این مسائل پیچیدة امنیتی نمیکند؛ بنابراین درست است به یک سری مفاهیم پایهای نیاز داریم؛ ولی ضروری نیست و بهتر است کاربر خیلی درگیر این مفاهیم نشود.
* نکتهای که در اینجا مطرح است لایهبندی مشتریهاست.
قدیری: در بحث قبلی به چند نمونه از پروفایلهای گواهی اشاره کردم. حال هر یک از پروفایلهای گواهی میتوانند یک سطح اطمینان داشته باشند که بر مبنای اینکه کلیدها بر روی چه ابزاری قرار میگیرند یا احراز هویت به چه طریقی انجام میشود از یکدیگر متمایز میشوند.بر اساس سیاستها و ریسکهای بانکی، استفاده از هر سطح گواهی برای یکسری خدمات بانکی از طریق بانک مجاز میشود؛ مثلاً برای امضاء تراکنشهای با مبلغ محدود میتوان از سطوح اطمینان کمتر استفاده کرد و برای مبالغ بالا یا امضاء قراردادهای با اهمیت بالا میتوان از سطوح اطمینان بالاتر استفاده کرد.
سامانة نماد بر اساس سرویسهایی که ارائه میدهد، دارای اجزای مختلفی است که یکی از این اجزا، مرکز ثبت نام دارد که در دفاتر پیشخوان نماد یا دفاتر ثبتنام در اختیار آن دفاتر قرار داده میشود. کاربر برای دریافت گواهی به صورت حضوری با مدارک هویتی خود نظیر کارت ملی به این دفاتر مراجعه و فرم درخواست گواهی را پر میکند. کاربران دفاتر RA مدارک را کنترل میکنند؛ به تعبیر دیگر احراز هویت حضوری انجام میشود؛ اگر مشتری به عنوان نمایندة یک سازمان یا نمایندة یک بانک بخواهد گواهی دریافت کند، علاوه بر مدارک هویتی خود، یک معرفینامه با مهر و امضاء آن سازمان باید در اختیار داشته باشد و به دفتر ارائه دهد؛ وقتی این موارد توسط دفتر ثبت نام کنترل شد، اطلاعات، وارد مرکز ثبت نام نماد میشود؛ سامانة نماد یکسری کنترلها را انجام میدهد که مهمترین آن کنترل اطلاعات اظهارشده با اطلاعاتی است که در سامانة نهاب درج شده و به شناسة شهاب آن شخص اختصاص داده شده است؛ پس از انجام کنترلها، اگر گواهی بخواهد برای توکن سختافزاری صادر شود، تولید زوجکلید و زوجکلیدهای نامتقارن بر اساس کدهای گواهی روی آن توکن سختافزاری انجام میشود و درخواست صدور گواهی به مرکز صدور گواهی ارسال میشود و مرکز صدور گواهی، گواهی را صادر میکند و گواهی روی توکن درج میشود و توکن سختافزاری به همراه پاکت رمزی که کاربر برای استفاده از توکن لازم دارد، در اختیار کاربر قرار میدهد.
در صورتی که کاربر بخواهد این گواهی را بر روی موبایل دریافت کند و از سامانة هامون استفاده کند، اگر احراز هویت حضوری باشد، همین مراحل انجام میشود فقط در این بخش یک پاکت رمز تحویل کاربر میشود و کاربر نرمافزار را دانلود میکند، اطلاعاتی را که در آن پاکت قرار دارد وارد میکند و تولید زوجکلید و صدور گواهی روی اپلیکیشن موبایل انجام میشود.
* یعنی انجام این کارها هنوز به صورت غیر حضوری راهاندازی نشده است؟
قدیری: امکان احراز هویت غیر حضوری هم به زودی به سامانة هامون اضافه میشود و به صورت غیر حضوری هم میتوانید گواهی صادر کنید.
قدیری نژادیان: اپلیکیشن هامون به یک مرکز احراز هویت مجهز است که در آن اپلیکیشن تعبیه شده است. کاربر پس از نصب اپلیکیشن از طریق هوش مصنوعی احراز هویت میشود و بعد از آن وارد مرحلة فعالسازی و دریافت گواهی الکترونیکی روی موبایل خود میشود.
به نکتهای اشاره کنم، پروفایلهای مختلف گواهی حساب اهمیت کاربرد و ریسکهای مربوطه در سه سطح امنیتی 1، 2 و 3 (Assurance Level) صادر میشود. سطح سه، بالاترین سطح اطمینان بوده و برای کاربردهای خاص و با ریسک بالاتر مورد استفاده قرار میگیرد و به همین دلیل طبق سند CP – CPS نماد نیازمند احراز هویت حضوری در دفاتر RA است.
* آقای فرامرزی، لطفاً صحبتهای خود را جمعبندی کنید.
فرامرزی: در ادامة صحبتهای قبلی به نظرم میرسد؛ اگر قرار است بازار صنعت دیجیتال را گسترده ببینیم؛ یعنی فقط مربوط به یک سری افراد ماجراجو و علاقهمند به نوآوری نبینیم، متأسفانه باید اجبار باشد در غیر این صورت ضریب رشد آن در چیزهایی مثل امضاء پایین خواهد بود؛ اگر امروز موفق شدیم مدارس را به لپتاپ بیاوریم؛ چون راه دیگری وجود نداشت و مجبور بودیم یا استفاده از کارت همهگیر شد، چون حجم پول در حال افزایش بود و ما مجبور به استفاده از کارت بودیم.امروز نیز این طرح باید با اجبار همراه باشد؛ مثلاً سهام عدالت دو با امضاء دیجیتالی امکانپذیر باشد یا بانکها وامهای پرمصرفشان مثل وامهای ازدواج و وامها با ارقام کم خود را با امضاء دیجیتال پرداخت کنند؛ اگر این نباشد، همة این اقدامات مثل آموزش، راهاندازی نماد، اپلیکیشن و … هیچ فایدهای ندارند.
اساساً معتقد به آموزش دقیق و فنی نیستم؛ بلکه در این حد که مردم بدانند که عدم انکارپذیری چیست یا با کدی که به منزلة امضاء وارد میکند در واقع عدم انکارپذیری را تأیید میکند و اینطور نباشد که بعداً مدعی شود که من چیزی را امضاء نکردهام. مردم باید در همین حد بدانند که قبلاً روی کاغذ امضاء میکردند امروز این دکمه را وارد میکنند.توضیح مفاهیم پایة فنی دشوار است؛ البته شاید ضرورتی هم نداشته باشد؛ ولی در این حد که کاربر بداند به جای امضاء خیس، چیز دیگری جای آن آمده کافی است. ما کماکان پشت چکها را دو امضاء میکنیم در حالی که دلیل این دو امضاء خیلی سال است منتفی شده یعنی خیلی فاصله است بین آنچه عادت کردهایم و آنچه دربارة آن صحبت میکنیم.
نکتة دیگر اینکه ارکان اصلی این صنعت باید به فکر چند اجبار باشند، در کنار این باید آنچه بیان کردیم شکل بگیرد؛ اپلیکیشن خوب، نیاز، فرایند، اجزاء، سهولت کار و … .
* لطفاً به چشمانداز شمس در سالهای بعد و اقدامات سال 1400 اشاره کنید.
فرامرزی: قصد داریم تمام سرویسهای حضوری را تا جایی که قانون منع نمیکند از بانک خارج کنیم. این چشمانداز تغییر وضع موجود است. نکتة دیگر اینکه قصد داریم تا میتوانیم از ترکیب سرویسهای نوآورانه، سرویس جدید از دید مشتری ایجاد کنیم. این اقدامات تا پایان سال 1400 بسیار مهم و کار بسیار دشواری است. دقت کنید که در دورة جدید این مشتریان هستند که برای ما تعیین تکلیف میکنند. کهکشان صاد اجزای بسیار جدی و مهمی دارد که باید تا آن روز این را درست کرده باشیم.
* آقای گودرزی، شما هم جمعبندی صحبتهایتان را بیان کنید.
گودرزی: مشتری عقلایی اگر بداند انجام این کار نفعی برایش دارد، حتماً از آن استقبال میکند، به ویژه از طریق سامانة شمس که برای این مسئله پیشبینی شده و کاملاً غیر حضوری خدمات ارائه میدهد و به این ترتیب ضریب نفوذ افزایش مییابد. همانطور که وقتی وارد یک رستوران میشویم، اگر پذیرایی خوبی از ما صورت بگیرد، حتماً انعام میدهیم؛ اما اگر پذیرایی خوبی صورت نگیرد رغبتی به پرداخت پول نداریم؛ اگر از مشتری بخواهیم که علاوه بر امضاء الکترونیکی یک امضاء خیس هم داشته باشد یا علاوه بر احراز هویت الکترونیکی به شعبه مراجعه کند دیگر برایش جذابیت نخواهد داشت. امیدوارم با کمکهای آقای دکتر و مجموعهشان بتوانیم چنین آیندهای را برای پایان سال 1400 ترسیم کنیم تا مشتریان از طریق پیشخوان شمس خدمات غیر حضوری را در یک محیط آسان و با امنیت کافی دریافت کنند.
* آقای سیفی به چشمانداز اشاره کنید. آیا بانک صادرات میتواند به عنوان یک پیشران در استفاده از امضاء دیجیتال عمل کند؟
سیفی: در پیشخوان شمس، در حال حاضر افتتاح حساب و دریافت تسهیلات با استفاده از امضاء دیجیتال برای مشتریان انجام شده است. میتوان برای مشتری بر مبنای رفتارش در طول این مدت ارائه پیشنهاداتی داشت. به هر حال یکی از آیندهنگریها و دستاوردهایی که میتوان در حوزة شمس و سایر سامانه های بانکی داشت، این است که هر آنچه حضوری ارائه میشد تا آنجایی که بتوانیم غیر حضوری کنیم.
* اگر قرار است در بانک صادرات حرکتی صورت بگیرد کار گروهی بسیار مؤثر است؛ لطفاً به این موضوع اشاره کنید.
سیفی: پیشنهادم این است که در بانکهای بزرگ یا حتی بانکهای کوچک تیمهایی متشکل از متخصصان آیتی و متخصصان فرایندی شکل بگیرند و بخش آموزش هم حضور داشته باشد و یک سری ریسکها را متحمل شویم و با حداقل ریسکی که صورت میگیرد یکسری فرایندها را بهروز کنیم تا در نهایت محصولات را ارائه کنیم؛ چون قاعدتاً در ذهن همة دوستان محصولات بسیاری وجود داشته و بسیاری از محصولات هم شکل گرفتهاند؛ اما دلیل همهگیر نشدن آنها به این موضوع مربوط میشود که فرایندهایشان حتی فرآیندهای درونبانکی آنها متناسب نبودند.
پیشنهادم این است که تیمهای مجزا شکل بگیرند، همان کاری که 20 سال قبل برای ایجاد سپهر انجام گرفت. تیمهای مجزایی فرایندهای متناسب خود را تدوین و عرضه کنند؛ البته حتماً ریسک و تبعاتی هم دارد و شاید لازم باشد قوه قضائیه برویم و یکسری پاسخها هم بدهیم؛ اما در نهایت باید این کار را انجام دهیم و ریسکهایش را هم بپذیریم.
* آقای قدیری نژادیان، لطفاً به چشمانداز نماد از بُعد توسعة بازار بپردازید.
قدیری نژادیان: من به عنوان یکی از اعضای شرکت خدمات انفورماتیک و تیم زیرساخت نماد و امضاء همراه (هامون) بسیار خوشحالم که بانک صادرات به عنوان یکی از ارزندهترین مشتریان ما در این عرصه به صورت فعالانهای به ایجاد تقاضا و کارکرد در حوزة خدمات غیر حضوری مبتنی بر گواهی الکترونیکی نماد مبادرت کرده و از منظر فرایندی و تکنولوژیکی باعث حرکت چرخدندههای زیرساخت نماد و ترویج کارکردهای این حوزه شده است. طبیعتاً تلاش ما این است که در پاسخگویی به این نیازها کاملکنندة پازلهایی که بانک برای خود قرار داده است، باشیم تا بانک بتواند سرویسهای خود را به صورت سهل و آسان در اختیار مشتریان نهایی خود قرار دهد به گونهای که این تغییر و تسهیل در نحوة دریافت خدمت برای مشتریان قابل لمس باشد.
معتقدم؛ همهگیری کرونا بهرغم تمام مشکلات و محدودیتهایی که برای آحاد اقشار، صنایع و کسب و کارها به وجود آورده است، توانسته با نگاهی مثبت در این بخش به عنوان فاکتوری تسهیلگر عمل کند؛ البته من هم بر این اعتقاد هستم که اجبارهایی باید باشد تا این حرکت شدت و شتاب بگیرد؛ اگر این فرصت را غنیمت بشماریم و از شتاب گرفتن راهاندازی سرویسهای از راه دور و غیر حضوری بهره بیشتری بگیریم، تصور میکنم برد بزرگی کردهایم. طبیعتاً شرکت خدمات انفورماتیک به عنوان مجری پیادهسازی زیرساخت نماد تمام مساعی خود را برای بلوغ و توسعة کاربردهای آن در شبکة بانکی به کار خواهد بست. این کار در ابتدا برای بانک صادرات انجام شد و در حال تعامل با سایر بانکها و مؤسسات مالی برای اتصال طیف گستردهای از خدمات و محصولات بانکها به زیرساخت نماد هستیم.
* لطفاً به همیاری و همراهی با سامانة شمس و بانک صادرات نیز اشاره کنید تا مشتریان کاملاً به این دو اطمینان داشته باشند.
قدیری نژادیان: افتخار ما این است که به ما اعتماد شد، قطعاً این موضوع به عقبة همکاریمان با بانک صادرات بازمیگردد؛ ولی واقعاً جای تشکر دارد؛ چون آقای دکتر فرامرزی در مدت زمان کوتاهی با یک تصمیمگیری و هدفگذاری صحیح و چابک این سرویس را در بانک صادرات عملیاتی کرد. این قطعاً برای ما افتخار است. طبیعتاً ما نقش خود را در پشتیبانی از دوستان کاملاً ایفا میکنیم؛ اما تأکید میکنم؛ اگر فرایندها پشتیبانی نکنند مشتری آن را لمس نخواهد کرد.
فرامرزی: این اتفاق یک درسآموختة بسیار خوبی داشت؛ در این مسیر دو رکن داریم؛ یکی شرکت خدمات انفورماتیک، بانک مرکزی و بانک صادرات. دو مجموعة بزرگ و سنگین که تصمیمگیری در آنها زمان میبرد، اجرا زمان میبرد. صفر تا صد این فرآیند با وجود این دو رکن طی دو هفته انجام شد؛ البته بخش سومی هم به نام احراز هویت داخل این فرآیند وجود دارد که امروز اصلاً به آن نپرداختیم این روند نشان میدهد که اگر تعریف پروژه درست انجام شود، اتفاق به سرعت رخ میدهد.
صدری: آقای دکتر فرامرزی بیان کردند که به نفر اول که به نماد متصل شود مدال نمیدهند. بله، من هم معتقدم؛ ولی همواره در یادها خواهد ماند که اولین اتفاق کجا رقم خورده است و این اتفاق خوب در بانک صادرات با کمک هلدینگ محترم انجام شد.
چند بار در این میزگرد در مورد اعتماد عمومی، اعتماد شبکة بانکی و اعتماد مراجعی که میتوانند به این زیرساخت دسترسی داشته باشند صحبت شد، قصد دارم در اینباره به یک الی دو نکتة کوچک اشاره کنم؛ بحث زیرساخت کلید عمومی یا همان PKI در کشور در قالب یک ساختار سلسله مراتبی است که هر کدام از این مراکز گواهی اعتبارشان را از مرکز بالادست و در بالای این مراکز میانی مراکز ریشه قرار دارد و بالاتر از آن، مرکز شورای سیاستگذاری گواهی الکترونیکی در کشور است و قوانین این گواهیهای الکترونیکی در ذیل آییننامة اجرایی مادة 32 قانون تجارت الکترونیک که مصوب سال 1386 است، تدوین شده است؛ حتی میخواهم بیان کنم که مباحث زیادی در این آییننامه وجود دارد؛ ولی نکتة جالب این است که در همان ابتدا به ساکن اهمیت شبکة بانکی در تبصرة دو از ماده چهار آییننامة اجرایی به این شکل آمده است که سیستم بانکی میتواند جایگاه مرکز ریشه را بدون اینکه وابستگی به هیچ مرکز ریشة دیگری در کشور داشته باشد، اختیار کند و مجوزهایی هم که از نهاد ریاست جمهوری به پیشنهاد شورای عالی فضای مجازی دادند و ابلاغهایی که به دستگاههای اجرایی و وارد پروسة حقوقی شد که به بند قانونی اضافه شود به زودی مسیر خود را طی خواهد کرد و این شفافسازیها میتواند اعتمادی را که از آن نام بردید بیشتر و بیشتر کند.
به هر حال در نیمه دوم سال 1400 تعدد سرویسهایی که از سمت بانک مرکزی الزامآور است، خواهیم داشت.
* لطفاً برادران نماد را در سال 1400 نام ببرید.
قدیری نژادیان: معاون محترم فناوریهای نوین بانک مرکزی بیاناتی در مورد ایجاد یک یا دو نئوبانک طی سال 1400 برای اولین بار در کشور داشتهاند که اقدامات مجدانهای نیز تا کنون در این حوزه انجام پذیرفته است. از سویی برادران دیگری علاوه بر چکاد هستند که تدریجاً به زیرساخت شبکة بانکی اضافه خواهند شد که الزام و پیشنیاز اولیة آنها بحث احراز هویت غیر حضوری، دارا بودن هویت الکترونیک و در نهایت گواهی الکترونیک نماد است.
شرکت خدمات انفورماتیک، بازوی اجرایی بانک مرکزی در برخی از پروژههای بانکی کشور است و به عنوان مجری زیرساخت نماد علاقهمندیم شاهد فضای دوستانهتری در بین بازیگران حوزة بانکی پیرامون هویت الکترونیک و زیرساخت نماد کشور باشیم؛ همچنین به نظرم نباید به پروژههای این حوزه به شکل سهمخواهی نگاه شود و در واقع تحقق اهداف زیرساخت نماد یک حرکت رو به جلو برای کل شبکة بانکی و ذینفعان آن محسوب میشود و میتواند با ایجاد سینرژی و همکاری و تعامل، از توفیقات بیشتری بهرهمند شود.
بحثی که چند بار در این میزگرد مطرح شد، بحث تعاملپذیری است. بانک مرکزی هیچ وقت به دنبال ایجاد انحصار در این حوزه نبوده و نخواهد بود و یکی از طرفداران بحث تعاملپذیری است تا آنجا که گواهیهای الکترونیکی صادره در تمامی مراکز دارای مجوز RootCA در کشور دارای اعتباری واحد باشند و کاربران با سهولت بتوانند کلیه خدمات ترکیبی مربوط به صنایع مختلف را صرفاً از طریق یک گواهی الکترونیکی و بر بستری امن دریافت کنند.
* آقای سیفی، در نماد مگاپلتفرمی اتفاق افتاده است لطفاً از این زاویه صحبتهای خود را جمعبندی کنید.
سیفی: اگر قرار است بحث تعاملپذیری مطرح شود و به صورت عینی آن را ببینیم به یک بستر مشترک نیاز داریم. جزیرههای کوچکی که امروز به وجود آمدهاند باید در قالب یک بستر تعاملپذیری خود را انجام دهند. حال چه زمانی به این موقعیت میرسیم؟ پیشبینی من یک الی یک سال و نیم آینده است.
آیا این اتفاق کمک میکند تا کارهایی معادل شمس برای حوزة سلامت هم انجام دهید؟ من معتقدم بله. این به نوعی صرفهجویی در حوزة تجهیزات و منابع کشور است.سؤال دیگر اینکه آیا عموم مردم میتوانند از آن استفاده کنند؟ بله استفاده میکنند.
اگر از من بپرسید این ایدهآلها برای چه سالی رقم میخورند؟ باید بگویم که آیا منظورتان این است که اگر هزار نفر، دو هزار نفر، پنج هزار نفر، فقط در تهران یا کلانشهر استفاده شود شما میگویید رایج شده است یا اینکه 85 میلیون نفر استفاده کنند؟ اگر بتوانیم برای پنج میلیون نفر در لحظه اتفاقات خوبی رقم بزنیم و این موضوع به شهرهای درجه دو و سه هم نفوذ کند در این صورت است که میتوان مدعی شد که آن را ترویج دادهایم تا دستیابی به این وضعیت حدود چهار سال زمان نیاز داریم و اگر کرونا باشد، سرعتمان بیشتر است و اگر کرونا نباشد، سرعتمان کمتر است.
ابتدای سال گذشته این موقع نداشتیم؛ ولی امروز در مورد یکی از مواردی که طی یک سال گذشته به وجود آمده است صحبت میکنید. این فضا کمک میکند تا آن نگاه پلتفرمی که در مورد آن صحبت میکنید سریعتر شکل و فرم بگیرد. در این پلتفرم فقط بانک تنها نیست که باید کار کند؛ بلکه بخشهای دیگر نیز باید کار کنند تا همافزایی رخ دهد.
* تصور کنید امروز روزهای پایانی اسفند 1400 است. ما کجا هستیم؟
سیفی: حدس میزنم با نگاهی که دوستان دارند، قطعاً شالوده و پایه و نقشة راه پلتفرم کهکشان صاد شکل بگیرد. کنار دست شمس اتفاق دیگری میافتد؟ بله. حتی به شمس میتوانیم توابع بیشتری اضافه کنیم. در حوزة نماد پایان سال 1400 چه اتفاقی میافتد؟ استفادة شبکة بانکی از نماد بیشتر و بیشتر میشود.
با توضیحی که آقای قدیرینژادیان دادند، در حوزة چکاد امضاء دیجیتال دغدغة کسی نیست؛ ولی یک نیاز است. در سال 1400 امکان پایلوت چکاد وجود دارد؛ اگر پایلوت چکاد به وجود آید در این صورت امضاء همراه شکل بیشتری به خود میگیرد. در سال 1400 همین موقع به شما میگویم که اتفاقات بیشتری در حوزة احراز هویت غیر حضوری با دامنة وسیعتر و تنوع بیشتری به وجود میآید.اگر همة اینها طی یک سال 1400 رخ دهد، یک اتفاق رو به جلوی مثبت در کشور در این حوزهها رخ داده است.
* خانم قدیری، جمعبندی صحبتهایتان را بیان کنید.
قدیری: همان چشماندازی که آقای سیفی در مورد نماد بیان کردند در سال 1400 وجود خواهد داشت علاوه بر آن سبد محصولی امضاء همراه را هم گسترش میدهیم و امکانات دیگری به امکانات امضاء همراه اضافه میکنیم که یکی از آنها پیام محرمانه است.