مدیرعامل یک شرکت تابعه همراه اول با انتقاد از دستور العمل بانک مرکزی برای توقف کدهای کوتاه دستوری (USSD) از مهرماه، گفت: چندین راه حل ساده برای رفع دغدغه امنیتی USSD وجود دارد.
به گزارش ایتنا از فارس، مهرداد خطیبی با انتقاد از نحوه اطلاعرسانی ابلاغیه جدید USSD (کدهای کوتاه دستوری) برای توقف این بستر از مهرماه، گفت: تاکنون نامه یا ابلاغیهای از شاپرک و یا هیچ نهاد قانونگذاری دیگری دریافت نکردهایم و هیچ درخواست مذاکرهای برای کمک به رفع دغدغههای مطرحشده به این شرکت واصل نشده است.
این ارائهدهنده سرویسهای USSD روی همراه اول افزود: خدمات مالی و پرداخت مبتنی بر USSD، حدود ۵ سال است که توسط جیرینگ و با مشارکت بانکها و PSPها در حال ارائه است و به رغم انجام چندین میلیون تراکنش موفق روزانه، تاکنون حتی یک گزارش دال بر بروز تخلف یا سرقت اطلاعات محرمانه کارتهای بانکی وجود ندارد، پدیدهای که در سایر بسترهای به اصطلاح امن ارائه خدمات، زیاد به گوش میرسد.
پاسخ به دغدغه امنیت USSD خطیبی در پاسخ به دغدغههای امنیتی مطرحشده برای ارائه خدمات مالی و پرداخت بر بستر USSD، گفت: به جز در اولین پروسه ثبت کارت بانکی در انتهای یک تراکنش موفق مبتنی بر USSD که شماره کارت بانکی و رمز دوم کارت در یک session و در قالب تراکنشهای جداگانه دریافت میشوند (فقط یکبار به ازای هر ثبت کارت)، در سایر تراکنشهایی که توسط مشترکان بر این بستر اتفاق میافتد، صرفا رمز دوم کارت دریافت میشود.
وی بیان کرد: پس از آن شماره کارت بانکی به صورت توکن یا alias code ارسال میشود. پس به جز اولین تراکنش ثبت کارت، صرفا رمز دوم کارت در اختیار شنودکننده متخصص قرار خواهد گرفت که قابل سواستفاده نخواهد بود.
دو پیشنهاد برای افزایش امنیت USSD وی خاطرنشان کرد: علاوه بر این برای رفع دغدغههای امنیتی میتوان طی یک اطلاعرسانی عمومی از مشترکان USSD بخواهیم که برای انجام تراکنش بر این بستر، حتما باید رمز دوم بانکی خود را با مراجعه به ATM بانک خود تغییر دهند و برای بالا بردن ضریب امنیت هم میتوان پس از اعلان عمومی، در سمت PSP و شاپرک از پذیرش هر گونه تراکنش بر این بستر با رمز دوم قبلی، ممانعت کرد.
وی افزود: برای مشترکانی که میخواهند برای اولین بار، کارت بانکی خود را برای استفاده از خدمات بستر USSD ثبت کنند، راهحلهایی وجود دارد که به عنوان مثال میتوان از، ثبت کارت بانکی بر بستر USSD و الزام کاربر به تغییر رمز دوم برای انجام اولین تراکنش و عدم پذیرش تراکنش با رمز دوم زمان ثبت کارت بر این بستر از آن یاد کرد.
وی گفت: اگر اصرار به پیچیده کردن فرآیند ایمنسازی داریم، ما آمادگی خود را برای ارتقای امنیت تراکنشها با روش اضافه کردن اپلت (Applet) روی سیمکارت اعلام میکنیم، اگرچه هزینه قابلتوجهی را در سمت اپراتور، شبکه پرداخت و استفادهکنندگان، به همراه خواهد داشت؛ چرا که ضمن لزوم اعمال تغییر در شبکه اپراتور و شبکه پرداخت، سیمکارت مشترکان هم باید به احتمال زیاد برای افزودن اپلت تغییر کند.
اپلت برنامه ای مانند OTP بانکی و پیام های رمز شده است که روی حافظه امن سیم کارت نصب می شود. این برنامه آفلاین است و برای به روز رسانی از بستر امن اختصاصی اپراتور تلفن همراه استفاده می کند.
مدیرعامل جیرینگ گفت: در صورت توافق برای اجرای این مدل، روش خرید و پرداخت بر این بستر به سادگی قبل خواهد بود و هیچگونه پیچیدگی و زحمتی به کاربر تحمیل نمیشود، ضمن آنکه راه برای فعال کردن امکان خرید و ماندهگیری بر این بستر که از مهرماه سال گذشته و به بهانه امنیت متوقف شد، فراهم خواهد شد.
سهم درآمد PSPها از USSD از اپراتور بیشتر است خطیبی گفت: در حال حاضر بالای ۸۰ درصد حجم ریالی و تعدادی مورد استفاده از سرویسهای USSD مربوط به خرید شارژ تلفن همراه است، حداقل میتوان انتظار داشت که به مشترکانی که از روشهای غیرحضوری همانند خرید از درگاه USSD اقدام به خرید میکنند، احترام گذاشته شود، نه اینکه بدون ارایه طرح عملیاتی جایگزین، به یکباره خبر از محدود سازی USSD داده شود.
وی عنوان کرد: شرکتهای پرداخت الکترونیکی که اکنون جایگاه و درآمد خوبی در صنعت پرداخت کشور دارند، فراموش نکنند که بخش بزرگی از رشد خود را مدیون همکاری با اپراتورهای تلفن همراه هستند، حال شاید برخی سود این همکاری را یک طرفه جلوه دهند، که اگر قضاوت درستی نسبت به حجم سرمایهگذاری انجام شده طرفین معامله وجود داشته باشد، کفه ترازو به نفع شبکه پرداخت است نه اپراتور! و بد نیست، به ارزش سهام برخی از شرکتهای PSP هم، قبل و بعد از استفاده از USSD نگاهی بیندازیم.
انتقاد از توقف سامانه سپاس وی همچنین از توقف سامانه سپاس (پرداخت الکترونیک سیار) خبر داد و گفت: چند سالی بود که اپراتورهای تلفنهمراه، منتظر ابلاغ آییننامه سپاس بودند اما پس از چند سال و به رغم انجام فرآیند تست با کیفپول جیرینگ، بانک مرکزی بدون ارایه کردن طرح یا مسیری جایگزین، خبر توقف پروژه سپاس را منتشر کرد.
ممنوعیت ورود اپراتورها به شبکه پرداخت/ انحصار شبکه پرداخت پایان یابد وی با اشاره به ممانعت ورود اپراتورها به شبکه پرداخت از سوی بانک مرکزی، گفت: در حال حاضر و در دیگر سوی میدان، رگولاتور مخابراتی اقدام به ارایه مجوز اپراتور مجازی (MVNO) میکند و همین شرکتهای PSP و برخی از شرکتهای وابسته با بانکها، برای دریافت مجوز اپراتور مجازی، اقدام کردهاند. اما شبکه بانکی از ورود رقبای بانکی و شبکه پرداخت به حوزه خود، نگران است. در حالی که بهتر است فرصت را برای ارائه خدمات بهتر و رقابتیتر به مشترکان تلفنهمراه مغتنم بداند.
وی بیان کرد: شرکتهای PSP و وابسته بانکی، در طول سالهای قبل و در جریان همکاری با اپراتورها از همین بستر USSD، با جمعآوری اطلاعات محرمانه اپراتورها از جمله شماره تلفنهمراه، میزان مصرف شارژ و غیره، اقدام به شناسایی مشترکان پرمصرف اپراتورها کردهاند و اکنون آمادهاند تا با اجرایی شدن مجوز MVNO و عملیاتی شدن MNP، به مدد دارا بودن پروفایل مخابراتی و مالی، مشترکان ارزشمند اپراتورها را تصاحب کنند.
وی گفت: رگولاتور بانکی نیز همانند همتای مخابراتی خود بهتر است، به انحصار PSPهای فعلی برای ارائه خدمات پرداخت پایان دهد و در فضایی مثبت و با حفظ نظارت موثر، نسبت به اعطای مجوز به شرکتهای توانمند اقدام کند.