پل و کهربا؛ دو بال تحول در مبادلات خرد

اکوسیستم پرداخت روی میز سخن مسئولان و طراحان(بخش اول)

خرید در چهار حرف خلاصه شده اما پرتکرار ترین عبارتی است که در دنیای امروز هر شهروند، در هر سطحی به کار می برد. البته روی دیگر خرید، فروش است اما فروش از خرید زنده است. پس خرید، یک زندگی است که ضرورتا باید آن را امنیت ببخشیم.

به گزارش پایگاه خبری بانکداری الکترونیک، چالش کارت به کارت تنها عامل گذار به تنوع محصول در سبد پرداخت‌های خرد نیست در عین حال عمل محرک بوده است. بانک مرکزی دو نوع پرداخت خرد؛ یکی مبتنی بر حساب و دیگری مبتنی بر کارت را با نام‌های پل و کهربا چند سالی است در دستور کار دارد و به کمک شرکت خدمات انفورماتیک به عنوان بازوی فناوری این بانک این دو طرح را آماده کرده و به زودی رونمایی می‌کند. حضور این دو سامانه در اکوسیستم پرداخت کشور می‌تواند تحولی اساسی در مدل رفتاری مردم  هنگام مبادلات خرد باشد. در این میزگرد که با حضور آقایان مانی یکتا، معاون اداره نظام‌های پرداخت؛ سیدیاسر میرحق‌جو، معاون نظارت اداره نظام‌های پرداخت؛ کیاوش شیدانی، مدیر سامانه‌های پرداخت کارت بین بانکی شرکت خدمات انفورماتیک و محمد میرزاآقایی، مدیر سیستم‌های ملی پرداخت شرکت خدمات انفورماتیک برگزار شد دو سامانه پل و کهربا از ابعاد مختلف در عین حال نگاه به آینده بررسی شده است.

* آقای مانی‌یکتا لطفاً آماری از پرداخت‌های خرد ارائه کنید.

مانی‌یکتا: احتمالاً عنوان «نقشه راه ۱۴۰۰ بانک مرکزی» را مکرراً شنیده‌اید. زمانی که پروژه نقشه راه ۱۴۰۰ در اوایل دهه نود در بانک مرکزی کلید خورد مشاوران در فاز اول، یعنی فاز تحلیل و ارزیابی وضع موجود، وضعیت زیرساخت‌های پرداخت بانک مرکزی در برهه مزبور و آنچه باید به آن دست می‌یافتیم مورد بررسی قرار دادند و یکی از ملاحظات مهمِ شناسایی‌شده در آن مقطع وضعیت زیرساخت‌های پرداخت‌های ریز و خرد در کشور بود. در طول سنوات گذشته بدعت خوبی در شبکه پرداخت کشور ایجاد شد و آن خدمت سحاب (سامانه حواله الکترونیک بانکی) یا همان خدمت رایج کارت به کارت است که امروز مردم به شدت به آن وابسته شده‌اند. این مدل استفاده از شماره 16 رقمی کارت برای نقل و انتقال وجوه به این شکل تقریباً در هیچ کجای دنیا اجرا نشده است در کشورهای مختلف معمولاً انتقال وجه مبتنی بر حساب صورت می‌گیرد؛ دلیل آن هم ملاحظات متعدد فنی و امنیتی است؛ بنابراین این موضوع به عنوان یک شکاف شناسایی و پروژه‌ای با عنوان «Instatnt Payment – IP» در نقشه راه ۱۴۰۰ بانک مرکزی تدوین شد که امروز با عنوان پرداخت لحظه‌ای یا پل به شبکه بانکی معرفی شده است.

ویژگی‌های اصلی این پروژه راه‌اندازی زیرساخت انتقال وجه آنی، با کارکرد 7 در 24 و بدون وقفه و با امکان تسویه وجوه بین بانکی در چندین مقطع زمانی در روز، مبتنی بر استانداردهای بین‌المللی صنعت پرداخت و طراحی‌شده با استفاده از تجارب مشاوران بین‌المللی است. بر این اساس، برنامه‌ریزی‌های مقدماتی این پروژه در فازهای مختلف صورت گرفت؛ از طرفی چون پروژه‌های نقشه راه از نظر اولویت‌بندی متفاوت بودند این پروژه در فازهای تکمیلی پروژه‌های نقشه راه آغاز شد و اقدامات زیرساختی بسیار خوبی صورت گرفت و در نهایت از سال گذشته برای عملیاتی‌سازی این سرویس با بانک‌ها هماهنگی‌هایی انجام شد. امروز تعداد قابل ملاحظه‌ای از بانک‌ها از فاز آزمون‌های اولیه عبور کرده‌اند و با امید به خدا تا پایان تابستان در کانال عملیاتی چندین بانک بزرگ کشور آن را اجرایی می‌کنیم.

یکی از نکات قابل ملاحظه در پیشبرد پیاده‌سازی سامانه پل در شبکه بانکی، راهبردهای نوینی بود که در حوزه توسعه ایجاد شد. در این پروژه برای اولین بار به بانک‌ها کیت توسعه (Development Kit) ارائه کردیم تا در پیاده‌سازی سرویس‌های آن نیازی به ارتباطات متعدد و مکرر با محیط آزمون نداشته باشند و به تعبیری ابزارهای توسعه‌ای در اختیار آنها قرار گرفت تا بتوانند به صورت مستقل از زیرساخت، توسعه را انجام دهند و در نهایت برای آزمون عملیاتی آماده داشته باشند. با وجود این ابزار، سرعت پیاده‌سازی در بانک‌ها افزایش یافت و بسیاری از مشکلات مثل رد شدن بانک‌ها در مراحل متعدد آزمون برطرف شد و پروژه با سرعت خوبی از سوی بانک‌ها اجرایی شد.

سامانه پل قرار است نقش پررنگی در حوزه انتقال وجه اکانت‌بیس داشته باشد و وقتی به نقطه ثبات خوبی برسد؛ برنامه داریم با هدف حرکت به سمت استانداردسازی زیرساخت‌های پرداخت کشور، نقش خدمت انتقال وجه کارت به کارت را کم‌رنگ کنیم. مدل‌های متعددی برای کارمزد و مبالغ سقف و کف انتقال وجه در پل بررسی شد و در نهایت پس از جمع‌بندی موارد در کارگروهی متشکل از بانک‌ها، کارمزد و سقف و کف‌هایی از نظر مبلغی در نظر گرفته شده است تا جذابیت بیشتری برای مشتری نسبت به سایر زیرساخت‌های جایگزین ایجاد و آرام‌آرام دامنه کاربرد این خدمت افزایش و در مقابل دامنه کاربری سرویس کارت به کارت کاهش یابد.

میرزاآقایی: همان‌طور که آقای مانی اشاره کردند سامانه پل، سرویس پرداختِ حساب به حساب است. اولین سؤالی که در مورد این سامانه در شبکه بانکی مطرح می‌شود این است که با وجود مدل کارت به کارت، چرا سامانه پل ایجاد شده است؟ ساده‌ترین پاسخ کامل‌تر کردن سرویس کاتالوگ حوزه پرداخت توسط بانک مرکزی برای شبکه پرداخت کشور و خدمت‌رسانی بهتر در این حوزه به مشتریان است؛ اما مسئله به همین‌جا نیز ختم نمی‌شود.امروز با رشد بسیار سریع فناوری‌های حوزه مالی شاهد حرکت از بانکداری سنتی به سمت بانکداری نوین و به ویژه بانکداری باز هستم که این خود نیازمند انجام اقدامات و تغییراتی در حوزه آیین‌نامه‌ها زیرساخت‌ها و همچنین سرویس‌های ارائه‌شده است. در واقع ارائه دستورالعمل‌هایی مانند PSD2 در پاسخ به این نیازمندی‌ها تعریف شده‌اند.بر مبنای همین استاندارد و تحلیل نیازمندی‌های حوزه پرداخت خوشبختانه بانک مرکزی خیلی زود این پروژه را آغاز کرد و تقریباً همگام با دنیا سامانه پرداخت لحظه‌ای را در دستور کار قرارداد که خوشبختانه هم اکنون به مرحله بهره‌برداری پروژه در شبکه بانکی و پرداخت کشور رسیده‌ایم.

در مورد نحوه پیاده‌سازی و اجرای سامانه پل باید بگویم که پس از تعریف و قرارگیری آن در پروژه‌های نقشه راه بانک مرکزی، چون تجربه عملی مشابه آن در کشور وجود نداشت با کمک مشاورانی مراحل تحلیل و طراحی نیازمندی‌ها و بومی‌سازی آن در مجموعه اداره نظام‌های پرداخت و شرکت خدمات انفورماتیک انجام و بر اساس طراحی‌ها، پیاده‌سازی پروژه منطبق با تکنولوژی‌های روز دنیا و کاملاً با همت متخصصان داخلی انجام شد.از آنجا که قصد داشتیم نگاه جدیدی چه از نظر طراحی و پیاده‌سازی و چه از نظر اجرا و به کارگیری در شبکه بانکی داشته باشیم به نوآوری در بخش‌های مختلف آن توجه کردیم؛ مثلاً یکی از دغدغه‌هایی که همواره در راه‌اندازی و به ثمر رساندن پروژه‌های حاکمیتی و بین بانکی با آن مواجه بوده‌ایم وجود پیمانکاران متعدد طرف قرارداد بانک‌ها، حساسیت سیستم‌های بانکی و مالی و هزینه‌بر بودن اعمال تغییرات در سمت بانک‌ها بوده است که عواملی از این دست باعث طولانی شدن فرآیند تولید و تست یک سامانه یا افزودن سرویس جدید با روش‌های سنتی و فعلی در شبکه بانکی شده است؛ به همین دلیل با رویکردی جدید تولید مستندات کاربردی خلاصه و خاص منظوره مثلاً خاص توسعه‌دهندگان علاوه بر مستندات تفصیلی ابزارهایی مانند کیت توسعه و ارائه محیط سند باکس مطابق با استانداردهای روز دنیا را آماده کردیم و در اختیار بانک‌ها قرار دادیم؛ مثلاً با وجود محیطی مانند سندباکس سامانه پل بانک‌ها علاوه بر دریافت مجوزهای لازم برای اتصال به سامانه می‌توانند تغییرات‌ و به‌‌روزرسانی‌های مختلف را در زمینه‌های مختلف مانند رفع باگ یا افزایش عملکرد تست کنند و با ریسک و هزینه کمتری عملیات به‌روزرسانی را انجام دهند.

همچنین در زمینه آزمون و اعطای مجوز ما ۳ فاز آزمون تعریف کردیم و مستندات لازم همراه با سناریوهای تست و ابزارهایی را که باید آماده کنند در اختیار بانک‌ها قرار دادیم تا در زمان انجام تست جامع در محیط سندباکس در حداقل زمان ممکن این مهم صورت پذیرد.

در حال حاضر بانک‌ها در فاز آزمون در محیط سندباکس هستند که حدود 10 بانک تست موفق داشته‌اند و مجوز اتصال به سامانه را دریافت کرده‌اند و بقیه در حال توسعه هستند.

*در خلال صحبت‌های‌تان اشاره کردید که نمونه مشابه این پروژه نیست منظورتان چیست؟

میرزاآقایی: نمونه مشابه آن در کشور ایجاد نشده است.

* چه چیزی آن را متفاوت کرده است؟

میرزاآقایی: ببینید دقیق‌تر بخواهم بگویم سیستم‌های پرداخت آنلاین کارتی سال‌هاست که عملیاتی شده و عملکرد بسیار خوبی هم دارد. از طرفی ما سامانه پایا را داریم که بر اساس استاندارد SEPA Credit Transfer پیاده‌سازی‌شده و به طور مؤثر در شبکه بانکی عملیاتی شده است که ما در پیاده‌سازی سامانه پل از تجربیات موجود در هر دو سامانه استفاده کردیم؛ اما وقتی می‌خواهیم دست به طراحی یک معماری کلان در حوزه پرداخت همسو با الزامات و قوانین گسترده‌ای مانند PSD2 بزنیم دغدغه‌های خاص خود را به همراه خواهد داشت.

میرحق‌جو: موضوع استفاده از EMV در سال ۹۰ الی ۹۱ همزمان با حرکت بانک مرکزی طبق پروژه نقشه راه 1400 به سمت EMV در دستور کار این بانک قرار گرفت؛ اما به دلیل تحریم‌های موجود و عدم تحمیل هزینه‌های اضافی در مورد وارد کردن جسم کارت، بانک مرکزی دست نگه داشت. در سال ۹۵ الی ۹۶ تصمیم بر این شد تا از برای استفاده از استاندارد EMV در حوزه کارت به سمت استفاده از این استاندارد در حوزه موبایل چرخش داشته باشیم و بدون تغییر در کارت‌ها حوزة EMV را در حوزه موبایل پیاده‌سازی کنیم؛ بنابراین از مشاوران خارجی کمک خواستیم؛ اما در سال ۹۷ با شروع مجدد تحریم‌ها مشاور خارجی از همکاری سر باز زد و یکی از افتخارات ما این است که پیاده‌سازی این استاندارد بدون حضور مشاور خارجی و بر پایه دانش و توانایی مهندسان ایرانی در بانک مرکزی و شرکت‌های خدمات انفورماتیک شکل گرفت.

شاید یکی از شباهت‌های سامانه پل با کهربا حذف فیزیک کارت باشد؛ اما اینکه حذف آن چقدر طول بکشد به فرهنگ‌سازی و موارد بسیار دیگر بستگی دارد.

* از دو زاویه به این مسئله بنگرید؛ یکی چرایی و دیگری چگونگی.

میرحق‌جو: همیشه نیم نگاهی به تحریم‌ها داریم. این پروژه در هیئت عامل بانک مرکزی مطرح شد و بسیاری از اعضای هیئت عامل بانک از ما خواستند که آن را به سرعت افتتاح کنیم منظورم این است که برای سطوح کلان مدیریتی در بانک نیز اهمیت بسیاری دارد؛ اما اگر روزی بخواهیم از سریع‌ترین راه ارتباطی در سطح زیرساخت‌های بانکی با کشورهای دیگر بهره‌برداری کنیم غیر از موضوع سوئیف می‌توانیم به سرعت اقداماتی انجام می‌دهیم به طور کلی ارتباط گرفتن با استاندارد بسیار راحت‌تر است تا اینکه مشابه‌سازی صورت گیرد و EMV این کار را برای ما انجام می‌دهد؛ به تعبیر دیگر زیرساخت لازم برای اتصال به شبکه‌های خارجی را فراهم می‌کند.

* استفاده از EMV به پروتکل خاصی نیاز ندارد؟

میرحق‌جو: این استاندارد بین‌المللی است و پیاده‌سازی آن نیز بر اساس استاندارد بین‌المللی است و خوشبختانه تا به امروز مشکلی ایجاد نکرده است؛ ولی زیرساخت‌هایش باید در شبکه بانکی فراهم شود. قطعاً بانک صادرکننده نیاز به اقدامات اجرایی و پیاده‌سازی دارد هر چند سعی شده است این پیاده‌سازی به حداقل ممکن برسد. به نکته‌ای اشاره کنم و آن اینکه کهربا و کیف پول الکترونیکی هر دو در حوزة پرداخت‌های خرد قرار دارند؛ ولی کهربا مستقیماً بر کارت و حساب افراد تأثیر دارد.

به جز موضوع ارتباط بین‌المللی دو نکته دیگر در اجرایی‌سازی کهربا حائز اهمیت است که یکی تجربه کاربری است و دیگری بالا بودن امنیت در تراکنش‌های این سرویس است؛ به همین دلیل در کهربا پرداخت‌های خرد زیر ۲۰۰ هزار تومان بدون رمز صورت می‌گیرد. به نظرم این تجربه کاربری بسیار خوبی را رقم خواهد زد. در حال حاضر هر پرداخت با سه الی چهار حرکت صورت می‌گیرد؛ ولی قصد داریم در کهربا این تعداد را کاهش دهیم تا انگیزه‌ای برای استفاده از آن ایجاد شود.

* یکی از چالش‌ها در بحث کاربری، تعداد درگیر شدن شبکه است. کیف پول به صورت آفلاین کاربری بالایی دارد و کهربا به صورت آنلاین در این صورت عملاً کیف پول از میدان خارج می‌شود.

میرحق‌جو: این بحث بارها در بانک مرکزی مطرح شده است. بانک مرکزی سرویس‌های متفاوتی برای پیاده‌سازی به بانک‌ها ارائه می‌دهد و هنوز الزامی برای استفاده از کهربا یا کیف پول وجود ندارد؛ هر چند از نظر من استفاده از کهربا به دلیل امنیت بالای آن باید الزام شود؛ ولی کیف پول هم محصولی متفاوت در سبد بانک‌هاست که هر کس تمایل داشته باشد، می‌تواند از آن استفاده کند.

شیدانی: EMV روش امن‌سازی برای پرداخت‌های مبتنی بر تراشه است که سال‌هاست در شبکه‌های بین‌المللی استفاده می‌شود و در دهۀ اخیر با باب شدن موبایل‌های هوشمند Tokenization یا نشانه‌گذاری (روشی برای امن‌سازی اطلاعات کارت) معرفی شد و در کنار EMV مورد استفاده قرار گرفت تا بتوان از ابزارهای غیر از کارت هوشمند نیز برای پرداخت استفاده کرد.

این دو روش از سال ۹۵ برای بانک مرکزی جدی شد و تحقیقاتی روی آنها صورت گرفت و در اردیبهشت سال ۹۶ در نمایشگاه کتاب، راهکاری مبتنی بر نشانه‌گذاری را پایلوت کردیم. در آنجا بحثی مبنی بر پیاده‌سازی استاندارد EMV که بسیار پیچیده است و شرایط خیلی زیادی می‌طلبد، وجود نداشت؛ بلکه روش Tokenization یا نشانه‌گذاری شماره کارت را استفاده کردیم تا موبایل‌ها بتوانند روی پوز پرداخت انجام دهند؛ البته این پرداخت به لحاظ امنیتی عالی نبود و ما کاملاً به آن واقف بودیم. این پرداخت از نوع بدون حضورکارت بود و نیاز به وارد کردن رمز دوم کارت بر روی پایانه فروش وجود داشت.

بعد از آن اشکالات کار برای بانک مرکزی عیان شد و یک فاز تحقیقی شکل گرفت و این موضوع با توافق برجام مصادف شد؛ بنابراین موفق شدیم در حوزه استاندارد EMV اطلاعاتی از خارج از کشور کسب کنیم؛ می‌دانید در این پروژه نیازمند دانشی بودیم که در کشور تجربه‌ای در مورد آن نداشتیم و واقعیت این است که قبل از توافق برجام به دلیل محدودیت‌هایی شرکت‌های خارجی حتی اجازه استفاده از کلمه EMV را در مکاتبات با ایران نداشتند؛ پس از رفع محدودیت‌ها موفق شدیم از مشاوره شرکت‌های با سابقه در این حوزه بهره ببریم و به مختصات تکنولوژی HCE (Host Card Emulation) که معماری مرسوم در به کارگیری تلفن هوشمند به عنوان ابزار پرداخت است، دست یابیم و در عین حال موفق شدیم به پروتکل‌هایی که حتماً باید منطبق بر استانداردهای جهانی باشد، برسیم و آن را بومی‌سازی و پروفایل ایران را روی آن ایجاد کنیم.

* اصلاً به گواهینامه‌ای برای اینکه این استانداردها را پیاده‌سازی کنید نیاز نبود؟

شیدانی: گواهینامه نیاز دارد؛ ولی گواهینامه برای زمانی است که قصد داشته باشید با یکی از شبکه‌های بین‌المللی همکاری کنید؛ ولی هدف اولیه ما دریافت گواهینامه نبود؛ بلکه پیاده‌سازی آن بود.

* بنابراین هدف اول شما آماده‌سازی برای انطباق است؟

شیدانی: بله. فاز تحقیقاتی جدی پروژه در سال ۹۷ آغاز شد؛ ولی اتفاق بد این بود که با تحریم‌های مجدد مواجه شدیم و ارتباط به صورت صددرصدی با مشاوران خارجی قطع شد. فاصله بین دو تحریم سبب شد تا بتوانیم مقداری اطلاعات کسب کنیم؛ به هر حال متوقف نشدیم و تحقیقات خود را تکمیل کردیم و در فضای آزمایشگاهی به صورت کامل این استاندارد را پیاده‌سازی کردیم. دوستانی که در این حوزه فعالیت کرده‌اند می‌دانند که این استاندارد پیچیدگی زیادی دارد تعداد زیادی سامانه چه در حوزه پذیرندگی و چه در حوزه صادرکنندگی و چه در حوزه زیرساخت‌های مرکزی نیاز به به‌روزرسانی دارند.

بعد از تکمیل محیط آزمایشگاهی، پروژه را برای فاز واقعی و فاز ارائه در سطح ملی از سال ۹۸ آغاز کردیم و می‌توانم، بگویم که در دی ماه ۹۹ مجموعه‌ای از تغییرات گسترده روی تعداد زیادی از سامانه‌های مبتنی بر کارت تکمیل شد و به مرحله عملیاتی رسید و توانستیم از دی ماه سال گذشته پایلوت طرح را پیش ببریم.

* لطفاً به بحث امنیت از دو زاویه بپردازید؛ یکی در اکوسیستم پرداخت که باید احساس امنیت کاربر را تضمین کنید و دیگری بحث امنیت در خود محصول چه در پل و چه در کهربا.

مانی یکتا: سامانۀ پل از نظر کارکردی تشابه زیادی با سرویس‌های مبتنی بر حساب دیگر مثل ساتنا، پایا در شبکه بانکی دارد، از جمله اینکه انتقال وجه در این بستر با استفاده از شناسه استاندارد حساب بانکی (شبا) صورت می‌گیرد و از طریق درگاه‌های نوین یا هر درگاه دیگر از جمله تحویل‌داری بانک‌های نیز قابل ارائه است؛ اما نکته مهم اینکه بانک‌ها با توجه به مقررات داخلی و دستورالعمل‌های ابلاغی بانک مرکزی که ناظر بر سطوح مختلف پذیرش ریسک در بانک‌ها طراحی شده، قبل از ارائه خدمت به مشتری از طریق درگاه‌های مختلف، یک لایه امنیتی برای احراز هویت مشتری طراحی می‌کنند؛ اخیراً نیز سندی در مورد احراز هویت قوی مشتریان به صورت غیر حضوری به بانک‌ها ارائه کرده‌ایم که احراز هویت غیر حضوری از طریق درگاه‌های مختلف باید چگونه و با چه درجه‌ای صورت گیرد.

این لایه در واقع رابط اصلی تضمین‌کننده امنیت کاربران در ورود به بسترهای بانکداری‌شان است که ما الزامات کلی آن را طراحی کرده‌ایم. در واقع این لایه مسیری است که داده‌های مشتریان از بستر ارتباطی مشتری تا زیرساخت‌های بانک منتقل می‌شود. در مقابل و در لایه ارتباطی بین بانک و بانک مرکزی نیز الزامات و استانداردهای امنیتی متعددی داریم از جمله رمزنگاری داده‌ها در کل مسیر از مبدأ تا مقصد و مبتنی بر الزامات امنیتی نماد 2 که حتی در لایه ارتباطات داخلی سامانه در بانک مرکزی، از جمله ارتباطات دادهای سامانه پل با سامانه‌های مثل نهاب، ایمن و فاش نیز این استاندارد امنیتی رعایت شده که بالاترین سطح از تأمین امنیت در زیرساخت‌های فعلی را ارائه کرده است.

* پیش‌فرض من این است که مسئولان بانک مرکزی اکوسیستم پرداخت را امن کرده‌اند و در فیزیک محصولاتی مانند «پل» پروتکل‌های امنیتی به صورت دقیق رعایت شده است و این دو به لحاظ امنیتی یکدیگر را کامل می‌کنند.

میرزاآقایی: همان‌گونه که اشاره شد امنیت سامانه پل را می‌توان در دو بخش بررسی کرد؛ بخش اول مشتری تا بانک یا جایی که پرداخت آغاز می‌شود و دیگری حوزه ارتباطات بین بانکی و سوئیچ مرکزی سامانه پل و امنیت خود سامانه. هر کدام از اینها الزامات امنیتی مختص به خود را دارند.

بانک مرکزی در حوزه مشتری تا بانک، فقط می‌تواند سیاست‌گذاری کند که خوشبختانه این کار را انجام داده و سند SCA (احراز هویت قوی مشتریان) را تهیه کرده است و الزاماتی که باید پیاده‌سازی شوند تا مشتری که پرداخت را انجام می‌دهد و درخواست به بانک می‌رسد حداکثر امنیت را داشته باشد. این روند به مشتری این اطمینان خاطر را می‌دهد که در بستری ایمن پرداخت را انجام می‌دهد.

در بخش دوم که می‌توان گفت بخشی داخلی است و از ارتباط بین بانک‌ها تا سوئیچ مرکزی سامانه و همچنین اجزا خود سامانه است نیز سعی بر آن شده تا تمامی الزامات امنیتی مختلف در نظر گرفته و پیاده‌سازی شوند.

* وقتی از امنیت صحبت می‌شود سختی هم با آن همراه است؛ یعنی وقتی می‌خواهید امن باشد مجبور هستید مسائلی را رعایت کنید و در عین حال ممکن است سهولت از بین برود. لطفاً به حل این مسئله اشاره کنید.

میرزاآقایی: در بخش ارتباط بانک با سامانه پل قطعاً بانک‌ها برای رعایت الزامات امنیتی نیاز به انجام فعالیت‌هایی بیشتر از جنس توسعه نرم‌افزار در سمت خود دارند تا هم مسیر ارتباطی و هم خود پیام‌ها رمزنگاری و امن شوند. در مورد ارائه خدمت پرداخت حساب به حساب از طریق سامانه پل به مشتریان؛ احراز هویت قوی یکی از الزامات است؛ البته تجربه دو عامله کردن احراز هویت در حال حاضر در کارت جواب پس داده و به خوبی جا افتاده است؛ البته بدیهی است که روند کار ممکن است کمی دشوارتر ‌شود؛ مثلاً قبلاً یک رمز ثابت همواره وارد می‌شد؛ اما الان باید رمز دوم یک بار مصرف هر بار وارد شود؛ ولی همین موضوع به جهت اطمینان خاطری که برای مشتری به همراه می‌آورد مورد پذیرش قرار گرفته است.

* آیا برای این سامانه بیگ‌دیتا در نظر گرفته شده است تا در هنگام هک یا مسائل دیگر بتوان به راحتی واکنش نشان داد؟

میرزاآقایی: بله. علاوه بر تمام فرایندهای امنیتی که در نظر گرفته شده است این سامانه به زیرساخت‌هایی چون ثبت لحظه به لحظه همة لاگ‌ها و رویدادها، ردگیری تمام وقایع یک تراکنش، کشف تقلب (ایمن) و مبارزه با پولشویی (فاش) هم مجهز است و به محض اینکه تشخیص دهد که روی حسابی تقلبی در حال رخ دادن است به طور خودکار از ارائه خدمات به آن حساب تا زمان رفع مشکل خودداری می‌کند.

میرحق‌جو: با توجه به اینکه من در بخش نظارت در نظام‌های پرداخت فعالیت می‌کنم و این حوزه ارتباط نزدیکی با پلیس فتا و دادسرای ناحیه ۳۱ جرائم رایانه‌ای دارد چند وقت پیش خواسته شد تا برای ارائه پاره‌ای از توضیحات به این دادسرا مراجعه کنیم. پس از بررسی گزارش‌ها متوجه شدیم بعد از آمدن رمز دوم پویا کلاهبرداری‌ها به سمت اسکیم کردن کارت‌های بانکی سوق پیدا کرده است. در استان تهران حدود ۶۰ پرونده در روز بابت اسکیمینگ کارت‌ها تشکیل می‌شود که درگیری‌های قضایی خود را دارد. توضیحی که در دادسرا ارائه کردیم این بود که با توجه به راه‌اندازی سامانه کهربا در بخش‌هایی می‌توان از حضور کارت در درگاه‌های مختلف مانند کارتخوان جلوگیری کرد تا پرداخت‌ها با موبایل صورت گیرد و در این صورت اسکیمینگ کاهش می‌یابد؛ چون کارتی وجود ندارد که اسکیم شود.

* شما یک وجه از یک اکوسیستم امنیت هستید و ممکن است همه اقدامات لازم را انجام دهید؛ ولی بازیگران دیگر آن را رعایت نکنند؛ لطفاً به بازیگران اصلی در این مبحث اشاره و وظیفه هر کدام را نیز بیان کنید.

میرحق‌جو: بازیگران این حوزه از مردم که استفاده‌کننده از سرویس‌ها و خدمات هستند شروع می‌شود که متأسفانه وقتی کاربر رمز خود را بیان می‌کند تا حدودی از حوزه امنیت بانکی و بانک مرکزی خارج می‌شود. در این زمینه ارتباط گسترده‌ای با مردم و پلیس فتا و دادستانی داریم و این نوع پرونده‌ها را از نزدیک لمس می‌کنیم. متأسفانه فرهنگ نگفتن رمز همچنان جا نیفتاده است و امروز نیز به دلیل شیوع بیماری کرونا مشتریان برای اینکه تماس مستقیم با پایانه‌های فروش نداشته باشند رمز خود را بلند بیان می‌کنند. سایر بازیگران همانند سایر سامانه‌های نظام‌های پرداخت بانک مرکزی و شرکت‌های زیر مجموعه و شبکه بانکی و شبکه پرداخت هستند.

* آیا تعداد تخلفات از این ناحیه زیاد است یا کم؟

میرحق‌جو: تخلفات در این حوزه بسیار زیاد است؛ پس از ورود رمز پویا همه کلاهبرداری‌ها به سمت اسکیم کردن سوق پیدا کرده است؛ حتی آماری از پویا کردن رمز اول از بانک‌ها گرفتیم که حدود شش الی هفت بانک اعلام کردند که امکان پویا کردن رمز اول را داریم؛ ولی همه می‌دانیم اگر رمز اول پویا شود اتفاق خوبی برای کشور نیست و با توجه به وابستگی با سایر شبکه‌های غیر بانکی در ارسال رمز قطعاً بهتر است از روش‌هایی که در همه دنیا متداول است مانند کارت‌های چیپ‌دار استفاده شود.

ادامه دارد…

لینک کوتاهلینک کپی شد!
ممکن است شما دوست داشته باشید
ارسال یک پاسخ

50  ⁄  5  =