معاون فناوریهای نوین بانک مرکزی به تشریح بخشنامه بانک مرکزی درخصوص افزایش امنیت خدمات بدون کارت پرداخت. ناصر حکیمی امنیت و سادگی دسترسی به برخی خدمات را همچون یک الاکلنگ دانست که برخی اوقات باید امنیت را بر سادگی ترجیح داد. براساس این بخشنامه، از نیمه بهمنماه سالجاری، تراکنشهای فاقد رمزنگاری از مبدا تا مقصد در مسیرهای بدون حضور کارت صرفا برای پرداخت قبوض عمومی مجاز است و تراکنشهای مربوط به خرید شارژ یا قبوض ویژه در شبکههای شتاب و شاپرک پذیرش نخواهد شد.
جعبه سیاه تغییر مدل تراکنشها
بانک مرکزی بخشنامه جدیدی مبنی بر افزایش امنیت و بهبود خدمات بدون حضور کارت در شبکه شتاب منتشر کرد. براساس این بخشنامه از نیمه بهمن ماه ۱۳۹۶ تراکنشهای فاقد رمزنگاری از مبدا تا مقصد در مسیرهای بدون حضور کارت صرفا برای پرداخت قبوض عمومی نظیر قبوض آب، برق، گاز و تلفن شهری مجاز است و تراکنشهای مربوط به خرید شارژ یا قبوض ویژه در شبکههای شتاب و شاپرک پذیرش و پردازش نخواهد شد. بخشنامه جدید بانک مرکزی دو نگاه را به همراه داشته است. برخی معتقدند این اقدامات سبب سردرگمی مردم در استفاده از خدمات در شبکه شتاب خواهد شد، اما کارشناسان معتقدند اقدامات جدید بانک مرکزی در جهت افزایش امنیت و جلوگیری از پولشویی بوده که هم از لحاظ داخلی و هم از لحاظ خارجی ما را به استانداردهای جهانی نزدیکتر میکند. ناصر حکیمی، معاون فناوریهای نوین بانک مرکزی در گفتوگویی با برخی خبرگزاریها در مورد جزئیات بخشنامه جدید منتشر شده توضیح داده است.
امنیت در مبادلات پولی
اداره نظامهای پرداخت بانک مرکزی هفتم بهمن ماه با صدور بخشنامهای به منظور ارتقای امنیت و بهبود خدمات بدون حضور کارت در شبکه شتاب اعلام کرد که به منظور صیانت از اطلاعات دارندگان کارت، ارتقای امنیت و بهبود خدمات بدون حضور کارت در شبکه شتاب اقداماتی را انجام میدهد که بر اساس آن، از روز یکشنبه پانزدهم بهمن ماه ۱۳۹۶ تراکنشهای فاقد رمزنگاری از مبدا تا مقصد در مسیرهای بدون حضور کارت صرفا برای پرداخت قبوض عمومی نظیر قبوض آب، برق، گاز و تلفن شهری مجاز است و تراکنشهای مربوط به خرید شارژ یا قبوض ویژه در شبکههای شتاب و شاپرک پذیرش و پردازش نخواهد شد. در صورت مشاهده ارسال تراکنشهای غیرمجاز توسط بانک یا ارائهدهنده خدمات پرداخت مسیر متناظر بانک با موسسه متخلف بهصورت کامل برای تمامی تراکنشها در شبکههای شتاب و شاپرک مسدود میشود. در عین حال، این بخشنامه تاکید کرده که از روز شنبه هفتم بهمن ماه ۱۳۹۶ به منظور فراهم آوردن مقدمات خدمات حسابیاری و ارتقای دسترسپذیری دارندگان کارت به خدمات بانکی تراکنش ماندهگیری ارسالی از درگاههای بدون حضور کارت دارای رمزنگاری مبدأ تا مقصد در شبکههای شتاب و شاپرک پذیرش و پردازش خواهد شد.
رمزنگاری در اطلاعات در جهت ایمنسازی
ناصر حکیمی با اشاره به بخشنامه اخیر بانک مرکزی درخصوص تراکنشهای بانکی به خبرگزاری مهر گفت: در بخشنامه اخیری که اداره نظامهای پرداخت بانک مرکزی طی روزهای گذشته صادر کرده، هدف اصلی امنسازی مسیر است که البته داستان آن، برای دیروز و امروز نیست و مکاتباتی که بانک مرکزی با مجموعه سازمان تنظیم مقررات و نیز اپراتورها صورت داده، به نحوی است که تراکنشهای بانکی و آنجا که رمز و شماره کارت مبادله میشود، کار در بستر امن صورت گیرد.معاون بانک مرکزی افزود: بستر امن به این معنا است که وقتی مردم، شماره کارت و رمز خود را برای خرید و فروش، وارد یک سامانه میکنند؛ نباید به غیر از خود آنها و بانکی که باید اطلاعات را چک کرده و نیز شرکت پرداختی که کار را به انجام میرساند، فرد دیگری از اطلاعات محرمانه رمز و شماره کارت، مطلع شود.
وی تصریح کرد: در بحث تراکنشهای همراه یا خدمات پرداخت همراه، حدود سه سالی هست که تراکنشها، مبتنی بر سرویسهای اولیه نسل دو بوده و سرویسهای داده، بهصورت محدود از سوی بانک مرکزی عرضه میشد و بنابراین، دسترسی مردم نیز محدود بود؛ به این معنا که کار از مسیر پیامک صورت میگرفت و فاقد این قابلیت بود که بهصورت گسترده انجام شود. به عبارت دیگر، اندازهای که تراکنش میتوانست انجام شود و نوع تراکنش و رقم آن، محدود بود تا اگر به لحاظ امنیت، اتفاقی رخ داد، ریسک آن برای مشتریان، در حد کمی باشد، ولی به هرحال ریسک وجود داشت.حکیمی گفت: اکنون کشور به این نقطه رسیده که تمامی شبکههای اجتماعی و سرویسهای داده، بهصورت فراوان در اختیار قرار دارد و از همه مهمتر، اینکه شبکه گسترده کارتخوان و دستگاه POS بهصورت گسترده وجود دارد و در دوره افتادهترین نقاط کشور نیز این دستگاهها به چشم میخورد؛ بنابراین دسترسی کامل به شبکه فیزیکی و شبکه داده وجود دارد و حتی در جایی که شبکه داده و گوشی هوشمند نداریم، دستگاه POS هست و میتوان از آن استفاده کرد؛ به نحوی که اکنون ۵ میلیون و ۶۰۰ هزار دستگاه POS در کشور وجود دارد و در دوره افتادهترین نقطه نیز یک دستگاه پایانه بوده و همه آنها هم، امکان ارائه سرویس دارند؛ بنابراین ضرورتی به اینکه از یک بستر بالقوه ناامن استفاده کنیم، وجود ندارد.
وی اظهار کرد: اکنون استفاده از برخی بسترهای ناامن دیگر منطقی نیست و بنابراین بانک مرکزی در بخشنامهای اعلام کرده که این بستر ناامن برای تراکنشهای بانکی را ساماندهی خواهد کرد؛ البته در این بخشنامه، روی مسیر، کانال و تکنولوژی خاصی تمرکز نکردهایم و بخشنامه صراحت دارد که اگر امنسازی تراکنشها صورت نگیرد، این بستر و سرویسها روز به روز محدودتر خواهد شد و بنابراین استفاده از بسترهایی که فاقد رمزنگاری هستند و اطلاعات ساده رد و بدل میکنند، با محدودیتهای خاصی مواجه میشوند و باید طی چند پله به بسترهای امن مهاجرت کنند.
حکیمی امنیت و سادگی دسترسی به برخی خدمات را همچون یک الاکلنگ دانست و خاطرنشان کرد: به هرحال بین امنیت و سادگی، باید امنیت را بالا برد که ممکن است با مقداری تغییرات همراه باشد؛ حتی ممکن است کار با فرآیند متفاوت پیش رود یا از ابزار جدیدی استفاده شود که فرآیند را پیچیدهتر کند؛ به هر حال طبیعی است که ممکن است مقاومتهایی در این حوزه وجود داشته باشد که بانک مرکزی آمادگی دارد، این ابهامات را برطرف کند. به هرحال اینکه مشتریان از رفتاری که بر مبنای آن، سرویسی را به یک شیوه، دریافت میکردند و حال باید به یک سمت دیگر بروند، ممکن است نامانوس باشند و شرکتهای ارائه دهنده خدمات نیز در این رابطه با تغییر رفتار، سخت کنار بیایند؛ پس این مقاومت در برابر تغییر، کاملا طبیعی است و واقعیت این است که بحث تامین امنیت اگرچه در ظاهر دیده نمیشود، اما موضوعی بسیار مهم است، ولی مقاومت در برابر تغییر طبیعی است چراکه زحمت دارد.
شفافسازی در مورد توقف خرید شارژ از USSD
معاون فناوریهای نوین بانک مرکزی در پاسخ به این سوال که طبق آخرین بخشنامه بانک مرکزی قرار است از ۱۵ بهمنماه تراکنشهای الکترونیکی از مبدأ تا مقصد در مسیرهای بدون حضور کارت امنسازی شود و این موضوع نگرانیهایی را بابت توقف خرید شارژ از سرویسهای کد دستوری کوتاه (USSD) بین مشترکان موبایل ایجاد کرده است، به خبرگزاری فارس گفت: این بخشنامه درباره روش امنسازی تراکنشها است و بنابراین موضوع بستن سرویسی نیست زیرا سرویسی که مردم استفاده میکنند را که نمیبندند. او در پاسخ به این سوال که برای مردم چه تغییری در این رابطه صورت خواهد گرفت، اظهار کرد: فناوری یک بحث فنی است که میتوان آن را طوری تغییر داد که این تغییر برای مشتریان احساس نشود؛ بنابراین ممکن است در مواردی هم به مردم آموزش داده شود که به جای این مسیر که پیامک بزنید و کد دستوری دهید، اگر گوشی هوشمند دارید، از یک برنامه استفاده کنید که خدمات بهتری دارد؛ پس ممکن است مسیرهای جدید را به مردم معرفی کرد؛ با این حال تمام تلاش این است که در حین ارتقای امنیت، دشواری خاصی برای مردم ایجاد نشود.