پل و کهربا؛ دو بال تحول در مبادلات خرد
اکوسیستم پرداخت روی میز سخن مسئولان و طراحان(بخش اول)
خرید در چهار حرف خلاصه شده اما پرتکرار ترین عبارتی است که در دنیای امروز هر شهروند، در هر سطحی به کار می برد. البته روی دیگر خرید، فروش است اما فروش از خرید زنده است. پس خرید، یک زندگی است که ضرورتا باید آن را امنیت ببخشیم.
به گزارش پایگاه خبری بانکداری الکترونیک، چالش کارت به کارت تنها عامل گذار به تنوع محصول در سبد پرداختهای خرد نیست در عین حال عمل محرک بوده است. بانک مرکزی دو نوع پرداخت خرد؛ یکی مبتنی بر حساب و دیگری مبتنی بر کارت را با نامهای پل و کهربا چند سالی است در دستور کار دارد و به کمک شرکت خدمات انفورماتیک به عنوان بازوی فناوری این بانک این دو طرح را آماده کرده و به زودی رونمایی میکند. حضور این دو سامانه در اکوسیستم پرداخت کشور میتواند تحولی اساسی در مدل رفتاری مردم هنگام مبادلات خرد باشد. در این میزگرد که با حضور آقایان مانی یکتا، معاون اداره نظامهای پرداخت؛ سیدیاسر میرحقجو، معاون نظارت اداره نظامهای پرداخت؛ کیاوش شیدانی، مدیر سامانههای پرداخت کارت بین بانکی شرکت خدمات انفورماتیک و محمد میرزاآقایی، مدیر سیستمهای ملی پرداخت شرکت خدمات انفورماتیک برگزار شد دو سامانه پل و کهربا از ابعاد مختلف در عین حال نگاه به آینده بررسی شده است.
* آقای مانییکتا لطفاً آماری از پرداختهای خرد ارائه کنید.
مانییکتا: احتمالاً عنوان «نقشه راه ۱۴۰۰ بانک مرکزی» را مکرراً شنیدهاید. زمانی که پروژه نقشه راه ۱۴۰۰ در اوایل دهه نود در بانک مرکزی کلید خورد مشاوران در فاز اول، یعنی فاز تحلیل و ارزیابی وضع موجود، وضعیت زیرساختهای پرداخت بانک مرکزی در برهه مزبور و آنچه باید به آن دست مییافتیم مورد بررسی قرار دادند و یکی از ملاحظات مهمِ شناساییشده در آن مقطع وضعیت زیرساختهای پرداختهای ریز و خرد در کشور بود. در طول سنوات گذشته بدعت خوبی در شبکه پرداخت کشور ایجاد شد و آن خدمت سحاب (سامانه حواله الکترونیک بانکی) یا همان خدمت رایج کارت به کارت است که امروز مردم به شدت به آن وابسته شدهاند. این مدل استفاده از شماره 16 رقمی کارت برای نقل و انتقال وجوه به این شکل تقریباً در هیچ کجای دنیا اجرا نشده است در کشورهای مختلف معمولاً انتقال وجه مبتنی بر حساب صورت میگیرد؛ دلیل آن هم ملاحظات متعدد فنی و امنیتی است؛ بنابراین این موضوع به عنوان یک شکاف شناسایی و پروژهای با عنوان «Instatnt Payment – IP» در نقشه راه ۱۴۰۰ بانک مرکزی تدوین شد که امروز با عنوان پرداخت لحظهای یا پل به شبکه بانکی معرفی شده است.
ویژگیهای اصلی این پروژه راهاندازی زیرساخت انتقال وجه آنی، با کارکرد 7 در 24 و بدون وقفه و با امکان تسویه وجوه بین بانکی در چندین مقطع زمانی در روز، مبتنی بر استانداردهای بینالمللی صنعت پرداخت و طراحیشده با استفاده از تجارب مشاوران بینالمللی است. بر این اساس، برنامهریزیهای مقدماتی این پروژه در فازهای مختلف صورت گرفت؛ از طرفی چون پروژههای نقشه راه از نظر اولویتبندی متفاوت بودند این پروژه در فازهای تکمیلی پروژههای نقشه راه آغاز شد و اقدامات زیرساختی بسیار خوبی صورت گرفت و در نهایت از سال گذشته برای عملیاتیسازی این سرویس با بانکها هماهنگیهایی انجام شد. امروز تعداد قابل ملاحظهای از بانکها از فاز آزمونهای اولیه عبور کردهاند و با امید به خدا تا پایان تابستان در کانال عملیاتی چندین بانک بزرگ کشور آن را اجرایی میکنیم.
یکی از نکات قابل ملاحظه در پیشبرد پیادهسازی سامانه پل در شبکه بانکی، راهبردهای نوینی بود که در حوزه توسعه ایجاد شد. در این پروژه برای اولین بار به بانکها کیت توسعه (Development Kit) ارائه کردیم تا در پیادهسازی سرویسهای آن نیازی به ارتباطات متعدد و مکرر با محیط آزمون نداشته باشند و به تعبیری ابزارهای توسعهای در اختیار آنها قرار گرفت تا بتوانند به صورت مستقل از زیرساخت، توسعه را انجام دهند و در نهایت برای آزمون عملیاتی آماده داشته باشند. با وجود این ابزار، سرعت پیادهسازی در بانکها افزایش یافت و بسیاری از مشکلات مثل رد شدن بانکها در مراحل متعدد آزمون برطرف شد و پروژه با سرعت خوبی از سوی بانکها اجرایی شد.
سامانه پل قرار است نقش پررنگی در حوزه انتقال وجه اکانتبیس داشته باشد و وقتی به نقطه ثبات خوبی برسد؛ برنامه داریم با هدف حرکت به سمت استانداردسازی زیرساختهای پرداخت کشور، نقش خدمت انتقال وجه کارت به کارت را کمرنگ کنیم. مدلهای متعددی برای کارمزد و مبالغ سقف و کف انتقال وجه در پل بررسی شد و در نهایت پس از جمعبندی موارد در کارگروهی متشکل از بانکها، کارمزد و سقف و کفهایی از نظر مبلغی در نظر گرفته شده است تا جذابیت بیشتری برای مشتری نسبت به سایر زیرساختهای جایگزین ایجاد و آرامآرام دامنه کاربرد این خدمت افزایش و در مقابل دامنه کاربری سرویس کارت به کارت کاهش یابد.
میرزاآقایی: همانطور که آقای مانی اشاره کردند سامانه پل، سرویس پرداختِ حساب به حساب است. اولین سؤالی که در مورد این سامانه در شبکه بانکی مطرح میشود این است که با وجود مدل کارت به کارت، چرا سامانه پل ایجاد شده است؟ سادهترین پاسخ کاملتر کردن سرویس کاتالوگ حوزه پرداخت توسط بانک مرکزی برای شبکه پرداخت کشور و خدمترسانی بهتر در این حوزه به مشتریان است؛ اما مسئله به همینجا نیز ختم نمیشود.امروز با رشد بسیار سریع فناوریهای حوزه مالی شاهد حرکت از بانکداری سنتی به سمت بانکداری نوین و به ویژه بانکداری باز هستم که این خود نیازمند انجام اقدامات و تغییراتی در حوزه آییننامهها زیرساختها و همچنین سرویسهای ارائهشده است. در واقع ارائه دستورالعملهایی مانند PSD2 در پاسخ به این نیازمندیها تعریف شدهاند.بر مبنای همین استاندارد و تحلیل نیازمندیهای حوزه پرداخت خوشبختانه بانک مرکزی خیلی زود این پروژه را آغاز کرد و تقریباً همگام با دنیا سامانه پرداخت لحظهای را در دستور کار قرارداد که خوشبختانه هم اکنون به مرحله بهرهبرداری پروژه در شبکه بانکی و پرداخت کشور رسیدهایم.
در مورد نحوه پیادهسازی و اجرای سامانه پل باید بگویم که پس از تعریف و قرارگیری آن در پروژههای نقشه راه بانک مرکزی، چون تجربه عملی مشابه آن در کشور وجود نداشت با کمک مشاورانی مراحل تحلیل و طراحی نیازمندیها و بومیسازی آن در مجموعه اداره نظامهای پرداخت و شرکت خدمات انفورماتیک انجام و بر اساس طراحیها، پیادهسازی پروژه منطبق با تکنولوژیهای روز دنیا و کاملاً با همت متخصصان داخلی انجام شد.از آنجا که قصد داشتیم نگاه جدیدی چه از نظر طراحی و پیادهسازی و چه از نظر اجرا و به کارگیری در شبکه بانکی داشته باشیم به نوآوری در بخشهای مختلف آن توجه کردیم؛ مثلاً یکی از دغدغههایی که همواره در راهاندازی و به ثمر رساندن پروژههای حاکمیتی و بین بانکی با آن مواجه بودهایم وجود پیمانکاران متعدد طرف قرارداد بانکها، حساسیت سیستمهای بانکی و مالی و هزینهبر بودن اعمال تغییرات در سمت بانکها بوده است که عواملی از این دست باعث طولانی شدن فرآیند تولید و تست یک سامانه یا افزودن سرویس جدید با روشهای سنتی و فعلی در شبکه بانکی شده است؛ به همین دلیل با رویکردی جدید تولید مستندات کاربردی خلاصه و خاص منظوره مثلاً خاص توسعهدهندگان علاوه بر مستندات تفصیلی ابزارهایی مانند کیت توسعه و ارائه محیط سند باکس مطابق با استانداردهای روز دنیا را آماده کردیم و در اختیار بانکها قرار دادیم؛ مثلاً با وجود محیطی مانند سندباکس سامانه پل بانکها علاوه بر دریافت مجوزهای لازم برای اتصال به سامانه میتوانند تغییرات و بهروزرسانیهای مختلف را در زمینههای مختلف مانند رفع باگ یا افزایش عملکرد تست کنند و با ریسک و هزینه کمتری عملیات بهروزرسانی را انجام دهند.
همچنین در زمینه آزمون و اعطای مجوز ما ۳ فاز آزمون تعریف کردیم و مستندات لازم همراه با سناریوهای تست و ابزارهایی را که باید آماده کنند در اختیار بانکها قرار دادیم تا در زمان انجام تست جامع در محیط سندباکس در حداقل زمان ممکن این مهم صورت پذیرد.
در حال حاضر بانکها در فاز آزمون در محیط سندباکس هستند که حدود 10 بانک تست موفق داشتهاند و مجوز اتصال به سامانه را دریافت کردهاند و بقیه در حال توسعه هستند.
*در خلال صحبتهایتان اشاره کردید که نمونه مشابه این پروژه نیست منظورتان چیست؟
میرزاآقایی: نمونه مشابه آن در کشور ایجاد نشده است.
* چه چیزی آن را متفاوت کرده است؟
میرزاآقایی: ببینید دقیقتر بخواهم بگویم سیستمهای پرداخت آنلاین کارتی سالهاست که عملیاتی شده و عملکرد بسیار خوبی هم دارد. از طرفی ما سامانه پایا را داریم که بر اساس استاندارد SEPA Credit Transfer پیادهسازیشده و به طور مؤثر در شبکه بانکی عملیاتی شده است که ما در پیادهسازی سامانه پل از تجربیات موجود در هر دو سامانه استفاده کردیم؛ اما وقتی میخواهیم دست به طراحی یک معماری کلان در حوزه پرداخت همسو با الزامات و قوانین گستردهای مانند PSD2 بزنیم دغدغههای خاص خود را به همراه خواهد داشت.
میرحقجو: موضوع استفاده از EMV در سال ۹۰ الی ۹۱ همزمان با حرکت بانک مرکزی طبق پروژه نقشه راه 1400 به سمت EMV در دستور کار این بانک قرار گرفت؛ اما به دلیل تحریمهای موجود و عدم تحمیل هزینههای اضافی در مورد وارد کردن جسم کارت، بانک مرکزی دست نگه داشت. در سال ۹۵ الی ۹۶ تصمیم بر این شد تا از برای استفاده از استاندارد EMV در حوزه کارت به سمت استفاده از این استاندارد در حوزه موبایل چرخش داشته باشیم و بدون تغییر در کارتها حوزة EMV را در حوزه موبایل پیادهسازی کنیم؛ بنابراین از مشاوران خارجی کمک خواستیم؛ اما در سال ۹۷ با شروع مجدد تحریمها مشاور خارجی از همکاری سر باز زد و یکی از افتخارات ما این است که پیادهسازی این استاندارد بدون حضور مشاور خارجی و بر پایه دانش و توانایی مهندسان ایرانی در بانک مرکزی و شرکتهای خدمات انفورماتیک شکل گرفت.
شاید یکی از شباهتهای سامانه پل با کهربا حذف فیزیک کارت باشد؛ اما اینکه حذف آن چقدر طول بکشد به فرهنگسازی و موارد بسیار دیگر بستگی دارد.
* از دو زاویه به این مسئله بنگرید؛ یکی چرایی و دیگری چگونگی.
میرحقجو: همیشه نیم نگاهی به تحریمها داریم. این پروژه در هیئت عامل بانک مرکزی مطرح شد و بسیاری از اعضای هیئت عامل بانک از ما خواستند که آن را به سرعت افتتاح کنیم منظورم این است که برای سطوح کلان مدیریتی در بانک نیز اهمیت بسیاری دارد؛ اما اگر روزی بخواهیم از سریعترین راه ارتباطی در سطح زیرساختهای بانکی با کشورهای دیگر بهرهبرداری کنیم غیر از موضوع سوئیف میتوانیم به سرعت اقداماتی انجام میدهیم به طور کلی ارتباط گرفتن با استاندارد بسیار راحتتر است تا اینکه مشابهسازی صورت گیرد و EMV این کار را برای ما انجام میدهد؛ به تعبیر دیگر زیرساخت لازم برای اتصال به شبکههای خارجی را فراهم میکند.
* استفاده از EMV به پروتکل خاصی نیاز ندارد؟
میرحقجو: این استاندارد بینالمللی است و پیادهسازی آن نیز بر اساس استاندارد بینالمللی است و خوشبختانه تا به امروز مشکلی ایجاد نکرده است؛ ولی زیرساختهایش باید در شبکه بانکی فراهم شود. قطعاً بانک صادرکننده نیاز به اقدامات اجرایی و پیادهسازی دارد هر چند سعی شده است این پیادهسازی به حداقل ممکن برسد. به نکتهای اشاره کنم و آن اینکه کهربا و کیف پول الکترونیکی هر دو در حوزة پرداختهای خرد قرار دارند؛ ولی کهربا مستقیماً بر کارت و حساب افراد تأثیر دارد.
به جز موضوع ارتباط بینالمللی دو نکته دیگر در اجراییسازی کهربا حائز اهمیت است که یکی تجربه کاربری است و دیگری بالا بودن امنیت در تراکنشهای این سرویس است؛ به همین دلیل در کهربا پرداختهای خرد زیر ۲۰۰ هزار تومان بدون رمز صورت میگیرد. به نظرم این تجربه کاربری بسیار خوبی را رقم خواهد زد. در حال حاضر هر پرداخت با سه الی چهار حرکت صورت میگیرد؛ ولی قصد داریم در کهربا این تعداد را کاهش دهیم تا انگیزهای برای استفاده از آن ایجاد شود.
* یکی از چالشها در بحث کاربری، تعداد درگیر شدن شبکه است. کیف پول به صورت آفلاین کاربری بالایی دارد و کهربا به صورت آنلاین در این صورت عملاً کیف پول از میدان خارج میشود.
میرحقجو: این بحث بارها در بانک مرکزی مطرح شده است. بانک مرکزی سرویسهای متفاوتی برای پیادهسازی به بانکها ارائه میدهد و هنوز الزامی برای استفاده از کهربا یا کیف پول وجود ندارد؛ هر چند از نظر من استفاده از کهربا به دلیل امنیت بالای آن باید الزام شود؛ ولی کیف پول هم محصولی متفاوت در سبد بانکهاست که هر کس تمایل داشته باشد، میتواند از آن استفاده کند.
شیدانی: EMV روش امنسازی برای پرداختهای مبتنی بر تراشه است که سالهاست در شبکههای بینالمللی استفاده میشود و در دهۀ اخیر با باب شدن موبایلهای هوشمند Tokenization یا نشانهگذاری (روشی برای امنسازی اطلاعات کارت) معرفی شد و در کنار EMV مورد استفاده قرار گرفت تا بتوان از ابزارهای غیر از کارت هوشمند نیز برای پرداخت استفاده کرد.
این دو روش از سال ۹۵ برای بانک مرکزی جدی شد و تحقیقاتی روی آنها صورت گرفت و در اردیبهشت سال ۹۶ در نمایشگاه کتاب، راهکاری مبتنی بر نشانهگذاری را پایلوت کردیم. در آنجا بحثی مبنی بر پیادهسازی استاندارد EMV که بسیار پیچیده است و شرایط خیلی زیادی میطلبد، وجود نداشت؛ بلکه روش Tokenization یا نشانهگذاری شماره کارت را استفاده کردیم تا موبایلها بتوانند روی پوز پرداخت انجام دهند؛ البته این پرداخت به لحاظ امنیتی عالی نبود و ما کاملاً به آن واقف بودیم. این پرداخت از نوع بدون حضورکارت بود و نیاز به وارد کردن رمز دوم کارت بر روی پایانه فروش وجود داشت.
بعد از آن اشکالات کار برای بانک مرکزی عیان شد و یک فاز تحقیقی شکل گرفت و این موضوع با توافق برجام مصادف شد؛ بنابراین موفق شدیم در حوزه استاندارد EMV اطلاعاتی از خارج از کشور کسب کنیم؛ میدانید در این پروژه نیازمند دانشی بودیم که در کشور تجربهای در مورد آن نداشتیم و واقعیت این است که قبل از توافق برجام به دلیل محدودیتهایی شرکتهای خارجی حتی اجازه استفاده از کلمه EMV را در مکاتبات با ایران نداشتند؛ پس از رفع محدودیتها موفق شدیم از مشاوره شرکتهای با سابقه در این حوزه بهره ببریم و به مختصات تکنولوژی HCE (Host Card Emulation) که معماری مرسوم در به کارگیری تلفن هوشمند به عنوان ابزار پرداخت است، دست یابیم و در عین حال موفق شدیم به پروتکلهایی که حتماً باید منطبق بر استانداردهای جهانی باشد، برسیم و آن را بومیسازی و پروفایل ایران را روی آن ایجاد کنیم.
* اصلاً به گواهینامهای برای اینکه این استانداردها را پیادهسازی کنید نیاز نبود؟
شیدانی: گواهینامه نیاز دارد؛ ولی گواهینامه برای زمانی است که قصد داشته باشید با یکی از شبکههای بینالمللی همکاری کنید؛ ولی هدف اولیه ما دریافت گواهینامه نبود؛ بلکه پیادهسازی آن بود.
* بنابراین هدف اول شما آمادهسازی برای انطباق است؟
شیدانی: بله. فاز تحقیقاتی جدی پروژه در سال ۹۷ آغاز شد؛ ولی اتفاق بد این بود که با تحریمهای مجدد مواجه شدیم و ارتباط به صورت صددرصدی با مشاوران خارجی قطع شد. فاصله بین دو تحریم سبب شد تا بتوانیم مقداری اطلاعات کسب کنیم؛ به هر حال متوقف نشدیم و تحقیقات خود را تکمیل کردیم و در فضای آزمایشگاهی به صورت کامل این استاندارد را پیادهسازی کردیم. دوستانی که در این حوزه فعالیت کردهاند میدانند که این استاندارد پیچیدگی زیادی دارد تعداد زیادی سامانه چه در حوزه پذیرندگی و چه در حوزه صادرکنندگی و چه در حوزه زیرساختهای مرکزی نیاز به بهروزرسانی دارند.
بعد از تکمیل محیط آزمایشگاهی، پروژه را برای فاز واقعی و فاز ارائه در سطح ملی از سال ۹۸ آغاز کردیم و میتوانم، بگویم که در دی ماه ۹۹ مجموعهای از تغییرات گسترده روی تعداد زیادی از سامانههای مبتنی بر کارت تکمیل شد و به مرحله عملیاتی رسید و توانستیم از دی ماه سال گذشته پایلوت طرح را پیش ببریم.
* لطفاً به بحث امنیت از دو زاویه بپردازید؛ یکی در اکوسیستم پرداخت که باید احساس امنیت کاربر را تضمین کنید و دیگری بحث امنیت در خود محصول چه در پل و چه در کهربا.
مانی یکتا: سامانۀ پل از نظر کارکردی تشابه زیادی با سرویسهای مبتنی بر حساب دیگر مثل ساتنا، پایا در شبکه بانکی دارد، از جمله اینکه انتقال وجه در این بستر با استفاده از شناسه استاندارد حساب بانکی (شبا) صورت میگیرد و از طریق درگاههای نوین یا هر درگاه دیگر از جمله تحویلداری بانکهای نیز قابل ارائه است؛ اما نکته مهم اینکه بانکها با توجه به مقررات داخلی و دستورالعملهای ابلاغی بانک مرکزی که ناظر بر سطوح مختلف پذیرش ریسک در بانکها طراحی شده، قبل از ارائه خدمت به مشتری از طریق درگاههای مختلف، یک لایه امنیتی برای احراز هویت مشتری طراحی میکنند؛ اخیراً نیز سندی در مورد احراز هویت قوی مشتریان به صورت غیر حضوری به بانکها ارائه کردهایم که احراز هویت غیر حضوری از طریق درگاههای مختلف باید چگونه و با چه درجهای صورت گیرد.
این لایه در واقع رابط اصلی تضمینکننده امنیت کاربران در ورود به بسترهای بانکداریشان است که ما الزامات کلی آن را طراحی کردهایم. در واقع این لایه مسیری است که دادههای مشتریان از بستر ارتباطی مشتری تا زیرساختهای بانک منتقل میشود. در مقابل و در لایه ارتباطی بین بانک و بانک مرکزی نیز الزامات و استانداردهای امنیتی متعددی داریم از جمله رمزنگاری دادهها در کل مسیر از مبدأ تا مقصد و مبتنی بر الزامات امنیتی نماد 2 که حتی در لایه ارتباطات داخلی سامانه در بانک مرکزی، از جمله ارتباطات دادهای سامانه پل با سامانههای مثل نهاب، ایمن و فاش نیز این استاندارد امنیتی رعایت شده که بالاترین سطح از تأمین امنیت در زیرساختهای فعلی را ارائه کرده است.
* پیشفرض من این است که مسئولان بانک مرکزی اکوسیستم پرداخت را امن کردهاند و در فیزیک محصولاتی مانند «پل» پروتکلهای امنیتی به صورت دقیق رعایت شده است و این دو به لحاظ امنیتی یکدیگر را کامل میکنند.
میرزاآقایی: همانگونه که اشاره شد امنیت سامانه پل را میتوان در دو بخش بررسی کرد؛ بخش اول مشتری تا بانک یا جایی که پرداخت آغاز میشود و دیگری حوزه ارتباطات بین بانکی و سوئیچ مرکزی سامانه پل و امنیت خود سامانه. هر کدام از اینها الزامات امنیتی مختص به خود را دارند.
بانک مرکزی در حوزه مشتری تا بانک، فقط میتواند سیاستگذاری کند که خوشبختانه این کار را انجام داده و سند SCA (احراز هویت قوی مشتریان) را تهیه کرده است و الزاماتی که باید پیادهسازی شوند تا مشتری که پرداخت را انجام میدهد و درخواست به بانک میرسد حداکثر امنیت را داشته باشد. این روند به مشتری این اطمینان خاطر را میدهد که در بستری ایمن پرداخت را انجام میدهد.
در بخش دوم که میتوان گفت بخشی داخلی است و از ارتباط بین بانکها تا سوئیچ مرکزی سامانه و همچنین اجزا خود سامانه است نیز سعی بر آن شده تا تمامی الزامات امنیتی مختلف در نظر گرفته و پیادهسازی شوند.
* وقتی از امنیت صحبت میشود سختی هم با آن همراه است؛ یعنی وقتی میخواهید امن باشد مجبور هستید مسائلی را رعایت کنید و در عین حال ممکن است سهولت از بین برود. لطفاً به حل این مسئله اشاره کنید.
میرزاآقایی: در بخش ارتباط بانک با سامانه پل قطعاً بانکها برای رعایت الزامات امنیتی نیاز به انجام فعالیتهایی بیشتر از جنس توسعه نرمافزار در سمت خود دارند تا هم مسیر ارتباطی و هم خود پیامها رمزنگاری و امن شوند. در مورد ارائه خدمت پرداخت حساب به حساب از طریق سامانه پل به مشتریان؛ احراز هویت قوی یکی از الزامات است؛ البته تجربه دو عامله کردن احراز هویت در حال حاضر در کارت جواب پس داده و به خوبی جا افتاده است؛ البته بدیهی است که روند کار ممکن است کمی دشوارتر شود؛ مثلاً قبلاً یک رمز ثابت همواره وارد میشد؛ اما الان باید رمز دوم یک بار مصرف هر بار وارد شود؛ ولی همین موضوع به جهت اطمینان خاطری که برای مشتری به همراه میآورد مورد پذیرش قرار گرفته است.
* آیا برای این سامانه بیگدیتا در نظر گرفته شده است تا در هنگام هک یا مسائل دیگر بتوان به راحتی واکنش نشان داد؟
میرزاآقایی: بله. علاوه بر تمام فرایندهای امنیتی که در نظر گرفته شده است این سامانه به زیرساختهایی چون ثبت لحظه به لحظه همة لاگها و رویدادها، ردگیری تمام وقایع یک تراکنش، کشف تقلب (ایمن) و مبارزه با پولشویی (فاش) هم مجهز است و به محض اینکه تشخیص دهد که روی حسابی تقلبی در حال رخ دادن است به طور خودکار از ارائه خدمات به آن حساب تا زمان رفع مشکل خودداری میکند.
میرحقجو: با توجه به اینکه من در بخش نظارت در نظامهای پرداخت فعالیت میکنم و این حوزه ارتباط نزدیکی با پلیس فتا و دادسرای ناحیه ۳۱ جرائم رایانهای دارد چند وقت پیش خواسته شد تا برای ارائه پارهای از توضیحات به این دادسرا مراجعه کنیم. پس از بررسی گزارشها متوجه شدیم بعد از آمدن رمز دوم پویا کلاهبرداریها به سمت اسکیم کردن کارتهای بانکی سوق پیدا کرده است. در استان تهران حدود ۶۰ پرونده در روز بابت اسکیمینگ کارتها تشکیل میشود که درگیریهای قضایی خود را دارد. توضیحی که در دادسرا ارائه کردیم این بود که با توجه به راهاندازی سامانه کهربا در بخشهایی میتوان از حضور کارت در درگاههای مختلف مانند کارتخوان جلوگیری کرد تا پرداختها با موبایل صورت گیرد و در این صورت اسکیمینگ کاهش مییابد؛ چون کارتی وجود ندارد که اسکیم شود.
* شما یک وجه از یک اکوسیستم امنیت هستید و ممکن است همه اقدامات لازم را انجام دهید؛ ولی بازیگران دیگر آن را رعایت نکنند؛ لطفاً به بازیگران اصلی در این مبحث اشاره و وظیفه هر کدام را نیز بیان کنید.
میرحقجو: بازیگران این حوزه از مردم که استفادهکننده از سرویسها و خدمات هستند شروع میشود که متأسفانه وقتی کاربر رمز خود را بیان میکند تا حدودی از حوزه امنیت بانکی و بانک مرکزی خارج میشود. در این زمینه ارتباط گستردهای با مردم و پلیس فتا و دادستانی داریم و این نوع پروندهها را از نزدیک لمس میکنیم. متأسفانه فرهنگ نگفتن رمز همچنان جا نیفتاده است و امروز نیز به دلیل شیوع بیماری کرونا مشتریان برای اینکه تماس مستقیم با پایانههای فروش نداشته باشند رمز خود را بلند بیان میکنند. سایر بازیگران همانند سایر سامانههای نظامهای پرداخت بانک مرکزی و شرکتهای زیر مجموعه و شبکه بانکی و شبکه پرداخت هستند.
* آیا تعداد تخلفات از این ناحیه زیاد است یا کم؟
میرحقجو: تخلفات در این حوزه بسیار زیاد است؛ پس از ورود رمز پویا همه کلاهبرداریها به سمت اسکیم کردن سوق پیدا کرده است؛ حتی آماری از پویا کردن رمز اول از بانکها گرفتیم که حدود شش الی هفت بانک اعلام کردند که امکان پویا کردن رمز اول را داریم؛ ولی همه میدانیم اگر رمز اول پویا شود اتفاق خوبی برای کشور نیست و با توجه به وابستگی با سایر شبکههای غیر بانکی در ارسال رمز قطعاً بهتر است از روشهایی که در همه دنیا متداول است مانند کارتهای چیپدار استفاده شود.
ادامه دارد…