ایتنا- مدیرعامل جیرینگ: ارتقای امنیت تراکنش از گوشی تا بستر تحویل اطلاعات به شبکه پرداخت بانکی با افزودن اپلت بر روی سیمکارت میسر است.
مدیرعامل شرکت جیرینگ با ابراز شگفتی از نحوه اطلاعرسانی ابلاغیه جدید USSD گفت: جیرینگ به عنوان بزرگترین ارایه دهنده سرویسهای مبتنی بر تلفن همراه از جمله زیرساخت USSD، تاکنون نامه یا ابلاغیهای از شاپرک و یا هیچ نهاد قانونگذاری دیگری دریافت نکرده و درخواست مذاکرهای برای کمک به حل دغدغههای مطرح شده به این شرکت واصل نشده است.
به گزارش ایتنا از ایسنا از شرکت جیرینگ، مهرداد خطیبی اظهار کرد: خدمات مالی و پرداخت مبتنی بر USSD، حدود پنج سال است که توسط جیرینگ و با مشارکت بانکها و PSPها در حال ارائه است و به رغم انجام چندین میلیون تراکنش موفق روزانه، تاکنون حتی یک گزارش دال بر بروز تخلف یا سرقت اطلاعات محرمانه کارتهای بانکی وجود ندارد، پدیدهای که در سایر بسترهای به اصطلاح امن ارائه خدمات، زیاد به گوش میرسد.
وی افزود: ای کاش به جای رسانهای کردن این دغدغه و مشوش کردن بیمورد ذهن جامعه، موضوع در فضایی تعاملی با جیرینگ و سایر متولیان ارائه این خدمت مطرح میشد و راهکار منطقی و به دور از هیاهو برای حل دغدغههای مطرح شده، اتخاذ میشد.
دغدغه امنیت USSD خطیبی در پاسخ به دغدغههای امنیتی مطرح شده برای ارائه خدمات مالی و پرداخت بر بستر USSD، گفت:برای ورود به مساله، فرض را بر این میگذارم که امنیت USSD، صفر مطلق است (البته به فرض محال!). به جز در اولین پروسه ثبت کارت بانکی در انتهای یک تراکنش موفق مبتنی بر USSD که شماره کارت بانکی و رمز دوم کارت در یک session و در قالب تراکنشهای جداگانه دریافت میشوند (فقط یکبار به ازای هر ثبت کارت)، در سایر تراکنشهایی که توسط مشترکان بر این بستر اتفاق میافتد، صرفا رمز دوم کارت دریافت میشود.
وی بیان کرد: پس از آن شماره کارت بانکی به صورت توکن یا alias code ارسال می شود. پس اگر اولین تراکنش ثبت کارت را کنار بگذاریم، صرفا رمز دوم کارت در اختیار شنود کننده متخصص قرار خواهد گرفت که قابل سواستفاده نخواهد بود.
او خاطرنشان کرد: برگردیم به مقطع تراکنش ثبت کارت، با فرض محال صفر بودن امنیت USSD برای اینکه دغدغههای امنیتی حل شود، راهکارهای سادهای وجود دارد که می توان طی یک اطلاعرسانی عمومی از مشترکان USSD بخواهیم که برای انجام تراکنش بر این بستر، حتما باید رمز دوم بانکی خود را با مراجعه به ATM بانک خود تغییر دهند و برای بالا بردن ضریب امنیت هم میتوان پس از اعلان عمومی، در سمت PSP و شاپرک از پذیرش هر گونه تراکنش بر این بستر با رمز دوم قبلی، ممانعت کرد.
مدیرعامل شرکت جیرینگ گفت: به این ترتیب، دغدغه امنیتی استفادهکنندههای فعلی از خدمات این بستر، حل میشود چراکه از این پس تراکنشهای ایشان، صرفا با اخذ رمز دوم کارت بانکی (متفاوت با آنچه در زمان ثبت کارت بانکی دریافت شده بود) میسر خواهد بود و سایر اطلاعات کارت، ارسال نخواهد شد.
وی افزود: برای مشترکانی هم که از این پس، میخواهند برای اولین بار، کارت بانکی خود را برای استفاده از خدمات بستر USSD ثبت کنند، راهحلهایی وجود دارد که به عنوان مثال میتوان از ثبت کارت بانکی بر بستر USSD و الزام کاربر به تغییر رمز دوم برای انجام اولین تراکنش و عدم پذیرش تراکنش با رمز دوم زمان ثبت کارت بر این بستر از آن یاد کرد.
وی بابیان اینکه بانک مرکزی به جای اینکه به بهانه امنیت USSD آسایش ۲۵ میلیون مشترک تلفن همراه را مورد هدف قرار دهد، افزود: درصورت تعامل برای رفع دغدغههای امنیتی USSD به راحتی میتوان گره USSD را بادست بازکرد نه دندان، چراکه ما معتقدیم آسایش مشترکان و کاربران شبکه بانکی از هرچیزی مهمتر است.
وی در پاسخ به این سوال که در ابلاغیه شاپرک بیان شده که ارایه سرویس USSD با روش فعلی از اول مهرماه امسال امکان پذیر نیست، حال چه تغییری قرار است برای این سرویس ایجاد شود، گفت: تاکنون هیچ ابلاغیهای دریافت نکردهایم؛ بنده نیز همانند سایر بازیگران حوزه پرداخت، ابلاغیه شاپرک را در سایتهای خبری مشاهده کردم و از جزییات آن هم بیاطلاع هستم و اینکه چرا جیرینگ به عنوان سرویسدهنده اصلی باید از این موضوع بیاطلاع باشد، برای من هم جای تعجب دارد.
خطیبی خاطرنشان کرد: اگر بخواهیم موضوع را خیلی پیچیده کنیم، باید گفت که ارتقای امنیت تراکنش از گوشی تا بستر تحویل اطلاعات به شبکه پرداخت بانکی با افزودن اپلت بر روی سیمکارت میسر است.
وی گفت: همه میدانند که امنیت، مقولهای نسبی است لذا هزینه تامین امنیت باید با ریسک تهدیدات امنیتی، تناسب داشته باشد که با فرض امنیت صفر USSD در صورت تغییر رمز دوم در انجام اولین تراکنش، امنیت، تقریبا ۱۰۰ درصد خواهد شد ولی اگر اصرار به پیچیده کردن فرآیند امنسازی داریم، ما آمادگی خود را برای ارتقای امنیت تراکنشها با روش اضافه کردن اپلت بر روی سیمکارت اعلام میکنیم، اگرچه هزینه قابلتوجهی را در سمت اپراتور، شبکه پرداخت و استفادهکنندگان، به همراه خواهد داشت؛ چرا که ضمن لزوم اعمال تغییر در شبکه اپراتور و شبکه پرداخت، سیمکارت مشترکان هم باید به احتمال زیاد برای افزودن اپلت تغییر کند.
مدیرعامل جیرینگ گفت: در صورت توافق برای اجرای این مدل، روش خرید و پرداخت بر این بستر به سادگی قبل خواهد بود و هیچگونه پیچیدگی و زحمتی به کاربر تحمیل نمیشود، ضمن آنکه راه برای فعال کردن امکان خرید و ماندهگیری بر این بستر که از مهرماه سال گذشته و به بهانه امنیت متوقف شد، فراهم خواهد شد.
سهم تراکنشهای USSD خطیبی گفت: در حال حاضر بالای ۸۰ درصد حجم ریالی و تعدادی مورد استفاده از سرویسهای USSD مربوط به خرید شارژ تلفن همراه است، حداقل انتظاری که میتوان داشت این است که به مشترکان فهیم ایرانی که به منظور جلوگیری از مخاطرات زیست محیطی چاپ کارت شارژ فیزیکی، از روشهای غیرحضوری همانند خرید از درگاه USSD اقدام به خرید میکنند، احترام گذاشته شود، نه اینکه بدون ارایه طرح عملیاتی جایگزین، به یکباره خبر از محدود سازی USSD داده شود.
وی عنوان کرد: شرکتهای پرداخت الکترونیکی که اکنون جایگاه و درآمد خوبی در صنعت پرداخت کشور دارند، فراموش نکنند که بخش بزرگی از رشد خود را مدیون همکاری با اپراتورهای تلفن همراه هستند، حال شاید برخی سود این همکاری را یک طرفه جلوه دهند، که اگر قضاوت درستی نسبت به حجم سرمایهگذاری انجام شده طرفین معامله وجود داشته باشد، کفه ترازو به نفع شبکه پرداخت است نه اپراتور! و بد نیست، به ارزش سهام برخی از شرکتهای PSP هم، قبل و بعد از استفاده از USSD نگاهی بیندازیم.
سپاس (سامانه پرداخت الکترونیک سیار) مدیرعامل شرکت جیرینگ با اظهار تاسف از هدر رفتن فرصتهای بیشمار برای ارائه خدمات بهتر به کاربران به واسطه فقر قانون و یا مدیریت شدن آن طی سالهای گذشته، گفت: چند سالی بود که اپراتورهای تلفنهمراه، منتظر ابلاغ آییننامه سپاس بودند تا بتوانند به حوزه پرداخت همراه که امروزه یکی از دغدغههای اساسی کشور محسوب میشود، ورود کنند، لیکن پس از چند سال و به رغم انجام فرآیند تست با کیفپول جیرینگ، بانک مرکزی بدون ارایه کردن طرح یا مسیری جایگزین، خبر توقف پروژه سپاس را منتشر کرد.
اپراتورها، رقیب بانکها نیستند! وی با اشاره به ممانعت ورود اپراتورها به شبکه پرداخت از سوی بانک مرکزی، گفت: در حال حاضر و در دیگر سوی میدان، رگولاتور مخابراتی اقدام به ارایه مجوز اپراتور مجازی (MVNO) میکند و همین شرکتهای PSP و برخی از شرکتهای وابسته با بانکها، برای دریافت مجوز اپراتور مجازی، اقدام کردهاند. آیا تصور این است که ما هم همانند شبکه بانکی باید از ورود رقبای بانکی وشبکه پرداخت به حوزه خود، نگران و مضطرب باشیم!؟
او افزود: آیا قانونگذار حوزه مخابرات باید از ورود شرکتهای وابسته بانکی به شبکه مخابراتی جلوگیری کند یا فرصت را برای ارائه خدمات بهتر و رقابتیتر به مشترکان تلفنهمراه مغتنم شمارد؟
وی بیان کرد: این در حالیاست که شرکتهای PSP و وابسته بانکی، در طول سالهای قبل و در جریان همکاری با اپراتورها از همین بستر USSD، با جمعآوری اطلاعات محرمانه اپراتورها از جمله شماره تلفنهمراه، میزان مصرف شارژ و غیره، اقدام به شناسایی مشترکان پرمصرف اپراتورها کردهاند و اکنون آمادهاند تا با اجرایی شدن مجوز MVNO و عملیاتی شدن MNP، به مدد دارا بودن پروفایل مخابراتی و مالی، مشترکان ارزشمند اپراتورها را تصاحب کنند.
وی گفت: چه خوب است که رگولاتور بانکی نیز همانند همتای مخابراتی خود، به انحصار PSP های فعلی برای ارائه خدمات پرداخت پایان دهد و در فضایی مثبت و با حفظ نظارت موثر، نسبت به اعطای مجوز به شرکتهای توانمند اقدام کند.
مدیرعامل جیرینگ، ضمن تشکر از حمایتها، صبوری و همراهی مدیرعامل و هیات مدیره همراه اول برای توسعه خدمات پرداخت همراه، افزود: در صورتی که قوانین شفاف باشند و ناظران براساس یک طرح تجاری منطقی و عادلانه، اقدام به تدوین آییننامهها و مجوزهای قانونی کنند، هیچ شکی وجود ندارد که دو طرف از این همکاری، منتفع خواهند شد.
وی همچنین اظهار امیدواری کرد که خدمت به مردم، سرلوحه اقدامات عملی همه مدیران و مسوولان قرار گیرد و از جنبه شعاری صرف، فاصله بگیرد.