جعبه سیاه تغییر مدل تراکنش‌ها

بانک مرکزی بخشنامه جدیدی مبنی بر افزایش امنیت و بهبود خدمات بدون حضور کارت در شبکه شتاب منتشر کرد. براساس این بخشنامه از نیمه بهمن ماه ۱۳۹۶ تراکنش‌های فاقد رمزنگاری از مبدا تا مقصد در مسیرهای بدون حضور کارت صرفا برای پرداخت قبوض عمومی نظیر قبوض آب، برق، گاز و تلفن شهری مجاز است و تراکنش‌های مربوط به خرید شارژ یا قبوض ویژه در شبکه‌های شتاب و شاپرک پذیرش و پردازش نخواهد شد. بخشنامه جدید بانک مرکزی دو نگاه را به همراه داشته است. برخی معتقدند این اقدامات سبب سردرگمی مردم در استفاده از خدمات در شبکه شتاب خواهد شد، اما کارشناسان معتقدند اقدامات جدید بانک مرکزی در جهت افزایش امنیت و جلوگیری از پولشویی بوده که هم از لحاظ داخلی و هم از لحاظ خارجی ما را به استانداردهای جهانی نزدیک‌تر می‌کند. ناصر حکیمی، معاون فناوری‌های نوین بانک مرکزی در گفت‌وگویی با برخی خبرگزاری‌ها در مورد جزئیات بخشنامه جدید منتشر شده توضیح داده است.

امنیت در مبادلات پولی

اداره نظام‌های پرداخت بانک مرکزی هفتم بهمن ماه با صدور بخشنامه‌ای به منظور ارتقای امنیت و بهبود خدمات بدون حضور کارت در شبکه شتاب اعلام کرد که به منظور صیانت از اطلاعات دارندگان کارت، ارتقای امنیت و بهبود خدمات بدون حضور کارت در شبکه شتاب اقداماتی را انجام می‌دهد که بر اساس آن، از روز یکشنبه پانزدهم بهمن ماه ۱۳۹۶ تراکنش‌های فاقد رمزنگاری از مبدا تا مقصد در مسیرهای بدون حضور کارت صرفا برای پرداخت قبوض عمومی نظیر قبوض آب، برق، گاز و تلفن شهری مجاز است و تراکنش‌های مربوط به خرید شارژ یا قبوض ویژه در شبکه‌های شتاب و شاپرک پذیرش و پردازش نخواهد شد. در صورت مشاهده ارسال تراکنش‌های غیرمجاز توسط بانک یا ارائه‌دهنده خدمات پرداخت مسیر متناظر بانک با موسسه متخلف به‌صورت کامل برای تمامی تراکنش‌ها در شبکه‌های شتاب و شاپرک مسدود می‌شود. در عین حال، این بخشنامه تاکید کرده که از روز شنبه هفتم بهمن ماه ۱۳۹۶ به منظور فراهم آوردن مقدمات خدمات حساب‌یاری و ارتقای دسترس‌پذیری دارندگان کارت به خدمات بانکی تراکنش مانده‌گیری ارسالی از درگاه‌های بدون حضور کارت دارای رمزنگاری مبدأ تا مقصد در شبکه‌های شتاب و شاپرک پذیرش و پردازش خواهد شد.

رمزنگاری در اطلاعات در جهت ایمن‌سازی

ناصر حکیمی با اشاره به بخشنامه اخیر بانک مرکزی درخصوص تراکنش‌های بانکی به خبرگزاری مهر گفت: در بخشنامه اخیری که اداره نظام‌های پرداخت بانک مرکزی طی روزهای گذشته صادر کرده، هدف اصلی امن‌سازی مسیر است که البته داستان آن، برای دیروز و امروز نیست و مکاتباتی که بانک مرکزی با مجموعه سازمان تنظیم مقررات و نیز اپراتورها صورت داده، به نحوی است که تراکنش‌های بانکی و آنجا که رمز و شماره کارت مبادله می‌شود، کار در بستر امن صورت گیرد.معاون بانک مرکزی افزود: بستر امن به این معنا است که وقتی مردم، شماره کارت و رمز خود را برای خرید و فروش، وارد یک سامانه می‌کنند؛ نباید به غیر از خود آنها و بانکی که باید اطلاعات را چک کرده و نیز شرکت پرداختی که کار را به انجام می‌رساند، فرد دیگری از اطلاعات محرمانه رمز و شماره کارت، مطلع شود.

وی تصریح کرد: در بحث تراکنش‌های همراه یا خدمات پرداخت همراه، حدود سه سالی هست که تراکنش‌ها، مبتنی بر سرویس‌های اولیه نسل دو بوده و سرویس‌های داده، به‌صورت محدود از سوی بانک مرکزی عرضه می‌شد و بنابراین، دسترسی مردم نیز محدود بود؛ به این معنا که کار از مسیر پیامک صورت می‌گرفت و فاقد این قابلیت بود که به‌صورت گسترده انجام شود. به عبارت دیگر، اندازه‌ای که تراکنش می‌توانست انجام شود و نوع تراکنش و رقم آن، محدود بود تا اگر به لحاظ امنیت، اتفاقی رخ داد، ریسک آن برای مشتریان، در حد کمی باشد، ولی به هرحال ریسک وجود داشت.حکیمی گفت: اکنون کشور به این نقطه رسیده که تمامی شبکه‌های اجتماعی و سرویس‌های داده، به‌صورت فراوان در اختیار قرار دارد و از همه مهم‌تر، اینکه شبکه گسترده کارتخوان و دستگاه POS به‌صورت گسترده وجود دارد و در دوره افتاده‌ترین نقاط کشور نیز این دستگاه‌ها به چشم می‌خورد؛ بنابراین دسترسی کامل به شبکه فیزیکی و شبکه داده وجود دارد و حتی در جایی که شبکه داده و گوشی هوشمند نداریم، دستگاه POS هست و می‌توان از آن استفاده کرد؛ به نحوی که اکنون ۵ میلیون و ۶۰۰ هزار دستگاه POS در کشور وجود دارد و در دوره افتاده‌ترین نقطه نیز یک دستگاه پایانه بوده و همه آنها هم، امکان ارائه سرویس دارند؛ بنابراین ضرورتی به اینکه از یک بستر بالقوه ناامن استفاده کنیم، وجود ندارد.

وی اظهار کرد: اکنون استفاده از برخی بسترهای ناامن دیگر منطقی نیست و بنابراین بانک مرکزی در بخشنامه‌ای اعلام کرده که این بستر ناامن برای تراکنش‌های بانکی را ساماندهی خواهد کرد؛ البته در این بخشنامه، روی مسیر، کانال و تکنولوژی خاصی تمرکز نکرده‌ایم و بخشنامه صراحت دارد که اگر امن‌سازی تراکنش‌ها صورت نگیرد، این بستر و سرویس‌ها روز به روز محدودتر خواهد شد و بنابراین استفاده از بسترهایی که فاقد رمزنگاری هستند و اطلاعات ساده رد و بدل می‌کنند، با محدودیت‌های خاصی مواجه می‌شوند و باید طی چند پله به بسترهای امن مهاجرت کنند.

حکیمی امنیت و سادگی دسترسی به برخی خدمات را همچون یک الاکلنگ دانست و خاطرنشان کرد: به هرحال بین امنیت و سادگی، باید امنیت را بالا برد که ممکن است با مقداری تغییرات همراه باشد؛ حتی ممکن است کار با فرآیند متفاوت پیش رود یا از ابزار جدیدی استفاده شود که فرآیند را پیچیده‌تر کند؛ به هر حال طبیعی است که ممکن است مقاومت‌هایی در این حوزه وجود داشته باشد که بانک مرکزی آمادگی دارد، این ابهامات را برطرف کند. به هرحال اینکه مشتریان از رفتاری که بر مبنای آن، سرویسی را به یک شیوه، دریافت می‌کردند و حال باید به یک سمت دیگر بروند، ممکن است نامانوس باشند و شرکت‌های ارائه دهنده خدمات نیز در این رابطه با تغییر رفتار، سخت کنار بیایند؛ پس این مقاومت در برابر تغییر، کاملا طبیعی است و واقعیت این است که بحث تامین امنیت اگرچه در ظاهر دیده نمی‌شود، اما موضوعی بسیار مهم است، ولی مقاومت در برابر تغییر طبیعی است چراکه زحمت دارد.

شفاف‌سازی در مورد توقف خرید شارژ از USSD

معاون فناوری‌های نوین بانک مرکزی در پاسخ به این سوال که طبق آخرین بخشنامه بانک مرکزی قرار است از ۱۵ بهمن‌ماه تراکنش‌های الکترونیکی از مبدأ تا مقصد در مسیرهای بدون حضور کارت امن‌سازی شود و این موضوع نگرانی‌هایی را بابت توقف خرید شارژ از سرویس‌های کد دستوری کوتاه (USSD) بین مشترکان موبایل ایجاد کرده است، به خبرگزاری فارس گفت: این بخشنامه درباره روش امن‌سازی تراکنش‌ها است و بنابراین موضوع بستن سرویسی نیست زیرا سرویسی که مردم استفاده می‌کنند را که نمی‌بندند. او در پاسخ به این سوال که برای مردم چه تغییری در این رابطه صورت خواهد گرفت، اظهار کرد: فناوری یک بحث فنی است که می‌توان آن را طوری تغییر داد که این تغییر برای مشتریان احساس نشود؛ بنابراین ممکن است در مواردی هم به مردم آموزش داده شود که به جای این مسیر که پیامک بزنید و کد دستوری دهید، اگر گوشی هوشمند دارید، از یک برنامه استفاده کنید که خدمات بهتری دارد؛ پس ممکن است مسیرهای جدید را به مردم معرفی کرد؛ با این حال تمام تلاش این است که در حین ارتقای امنیت، دشواری خاصی برای مردم ایجاد نشود.