علیرضا بزرگمهری؛ بازار: از حدود سال ۱۳۸۳ که اولین سامانه اینترنت بانک توسط شرکت خدمات انفورماتیک برای بانک ملی تولید شد بحث انجام تراکنش روی بستر اینترنت بهصورت رسمی در کشور ما آغاز گردید. البته این اقدام در سالهای اولیه محدود به اینترنت بانک و بیشتر نمایش تراکنشهای مشتری، متمرکز بود تا انجام تراکنش بر بستر اینترنت، به موازات این اقدامات، اتصال رجا و هواپیمایی کشوری به بستر انجام تراکنش خرید در همان سالها، در واقع سازوکار خرید اینترنتی را در کشور افتتاح نمود که امروز از آن ۱۷ سال میگذرد.
سابقه سوءاستفاده از این بسترهای الکترونیکی هم از همان روزهای آغازین شروع شد و از عمر مشابه ای برخوردار میباشد. اما مشکل کجاست آیا با راههایی نظیر رمز دوم پویا یا مواردی که در آتیه به مخیله دستاندرکاران خلاق بانک مرکزی میرسد این مشکل مرتفع خواهد شد؟ واقعیت این است ما متأسفانه به روش متداول دنیا دراینخصوص توجه ای نداریم و روش های مندرآوردی را کشف و اجرایی میکنیم و بعد چون این نظامها دارای نقاط ضعف بسیاری هستند مجبور میشویم راهحلهای خلاقانهای برای مشکلاتی که قاعدتاً نباید وجود میداشتند ایجاد کنیم و بعد برای حل مشکلات این راهحلهای خلاقانه مجدد مجبور میشویم راهحلهای خلاقانهای ایجاد کنیم و بعد از مدتی این حلقه تکرار میگردد، چون ما تصمیم گرفتیم که نظام خلاقانهای را از خودمان به در کنیم ولی راهحل سادهتر که استفاده از تجارب دیگران را هست مطالعه نکردیم و نمیکنیم و نخواهیم کرد، چون اصرار بر بومیسازی بدون مطالعه مزایا و مضار تجربیات دیگران، بخش افتخار آمیزی از پیشینه مدیران تصمیمگیر ما شده است.
برای درک موضوع پیشنهاد میدهم سیر دگردیسی بنیادی خرید اینترنتی را در مدت ۱۷ سال در ایران مشاهده فرمایید:
۱- بانک مرکزی امکان پذیرش کارت در خرید اینترنتی را محدود به کارتهای صادره توسط بانک مالک در شرکت PSP کرد.
۲- بانک مرکزی خرید اینترنتی را منوط به رمز اینترنتی ۵ تا ۱۲ رقمی (مجزا از پین کارت) نمود.
۳- دیماه ۱۳۹۸ بانک مرکزی رمز دوم پویا را اجباری کرد و خرید اینترنتی بیشتر از یکصد هزار تومان را منوط به فعالسازی و دریافت رمز دوم پویا نمود.
۴- اخذ ای نماد چندی پیش برای فروشگاههای خرید، اجباری شد.
اما باز مشکل حل نشد و همچنان حملات فیشینگ روی درگاههای پرداخت وجود داشته و دارد. قبل از بیان مشکل بهتر است نگاهی به فرایند مفهومی خرید اینترنتی در دنیا بیندازیم:
وقتی دارنده کارت پرداخت را آغاز میکند، کارت پردازش میشود و بر اساس مبلغ موجود در حساب دارنده کارت، تراکنش تأیید میشود یا رد میشود. وضعیت تأیید نشده به این معنی است که دارنده کارت بودجه کافی در حساب برای انجام پرداخت ندارد. پس از شروع پرداخت، بانک صادرکننده وجوه را به پردازنده پرداخت منتقل میکند. پردازنده پرداخت سپس این وجوه را به بانک گیرنده منتقل میکند و سپس مبلغ معامله در حساب بازرگان بین یک تا سه روز تسویه میشود.
سؤال کلیدی در این فرایند در جمله آخر نهفته است، چرا بین یک تا سه روز بعد (در بخش زیادی از اروپا و آمریکای شمالی از ۲ تا ۳ روز متداول است)، آیا این زمان به جهت محدودیتهای فنی تعیین شده است؟ جواب به این سؤال یکی از نکات مهم نظام صحیح خرید الکترونیک را مشخص میسازد.
بهتر است به فرایندی که در حین یک خرید اینترنتی دقیقاً در ساید کلاینت و در ساید سرور در دنیا رخ میدهد توجه کنیم:
۱- مشتری محصول یا خدمتی را که میخواهد بخرد انتخاب میکند و وارد صفحه پرداخت میشود. بیشتر درگاههای پرداخت گزینههای مختلفی برای صفحه پرداخت شما ارائه میدهند.
۲- صفحه پرداخت میزبان:
صفحه پرداخت میزبان صفحه پرداخت خارج از فریم خود فروشگاه است که در آن مشتری آماده میشود تا آماده پرداخت شود. درگاه پرداخت قبل از انتقال دادههای معامله به مقصد، به طور ایمن دادههای تراکنش را دریافت میکند و مجاز به جمعآوری و یا ذخیره این دادهها در سرور خود نیست.
۳- ادغام سرور به سرور:
ارتباط سرور به سرور همچنین بهعنوان یکپارچهسازی مستقیم شناخته میشود زیرا ارتباط بین دو سرور (سرور مرچنت با سرور درگاه پرداخت) را امکانپذیر میکند.
۴- رمزگذاری سمت کلاینت:
رمزگذاری سمت مشتری که به آن رمزگذاری در منبع نیز گفته میشود، به رمزگذاری حساس روی دستگاه سمت سرویسگیرنده قبل از ارسال آن به سرور مقصد اشاره دارد. این ارائهدهنده درگاه را قادر میسازد تا الزامات انطباق شما با استاندارد PCI را برای مرچنت ساده کند. به طور خلاصه، این امکان را برای شما فراهم میکند که هنگام رمزگذاری دادههای کارت در مرورگر خود، با استفاده از کتابخانه رمزگذاری درگاه پرداخت، پرداختها را در وبسایت خود بپذیرید.
۵- مشتری جزئیات کارت اعتباری یا نقدی خود را در صفحه پرداخت وارد میکند. این جزئیات شامل نام دارنده کارت، تاریخ انقضا کارت و شماره CVV است. این اطلاعات بر اساس یکپارچهسازی شما (صفحه پرداخت میزبان، ادغام سرور به سرور یا رمزگذاری سمت مشتری) بهصورت ایمن از طریق درگاه پرداخت شما منتقل میشوند. (دقت فرمایید در این فرایند چیزی به اسم رمز دوم ثابت یا پویا وجود ندارد)
۶- درگاه پرداخت اطلاعات کارت را رمزگذاری میکند و کنترلهای ضد کلاهبرداری را قبل از ارسال اطلاعات کارت به بانک گیرنده انجام میدهد.
۷- بانک متعهد، اطلاعات را بهصورت امن به شرکتهای ارائهدهنده پرداخت الکترونیک میفرستد.
۸- شرکت پرداخت الکترونیک، لایه دیگری از بررسی ضد تقلب را انجام میدهند و سپس دادههای پرداخت را به بانک صادرکننده ارسال میکنند.
۹- بانک صادرکننده، پس از انجام غربالگری ضد تقلب، مجوز معامله را صادر میکند. پیام پرداخت تأیید شده یا رد شده از طرحهای کارت و سپس به گیرنده منتقل میشود.
۱۰- بانک متعهد پیام تأیید یا رد را به درگاه پرداخت میفرستد و سپس پیام را به مرچنت منتقل میکند. در صورت تأیید پرداخت، مالک مبلغ پرداخت را از بانک صادرکننده جمع میکند و صندوق را در حساب واسط شما نگه میدارد.
۱۱- وجوه را بعد از یک تا سه روز بهحساب بازرگان واریز میکند، فرایندی که بهعنوان تسویهحساب شناخته میشود. زمان تسویهحساب واقعی بستگی به توافق بازرگان با درگاه پرداخت خود دارد.
خوب در این فرایند که میلیاردها تراکنش در آن کارسازی میشود از رمز دوم ثابت، رمز دوم پویا، مجوز ای نماد و غیره خبری نیست، چرا؟
سهلایه سامانههای ضد تقلب و زمان تسویه بیش از یک روز جواب این سؤال است. در دنیا برای مبادلات اینترنتی صرفاً شماره کارت، تاریخ انقضاء کارت و شماره CVV مبادله میگردد اما به خریدار اجازه داده میشود که در این زمان تسویه اگر با فیشینگ و یا مشکلی مواجه شد خرید را کنسل و پول را بهسرعت بهحساب خود برگرداند و هزاران متد حقوقی برای حمایت از این موضوع تدوین شده است و همچنین برای مواردی که از همه اینها هم بتواند گذر کند، بیمه پرداختهای الکترونیکی تدوین شده است.
اما ما در ایران بهجای همه اینها با رمز یکبار مصرف، رمز دوم پویا، رمز ثابت و هزار روش دیگر تمایل داریم این مشکل را حل کنیم. چون خشت اول را در تسویه با مرچنت بهصورت آنی و حداکثر ظرف یک سیکل نهادهایم و این خشت برای تصحیح عوارض جدی ممکن است داشته باشد.
پس به طور خلاصه آنچه لازم داریم برای حمایت از امنیت پرداخت اینترنتی شامل موارد زیر است:
۱- سامانههای ضد تقلب در بانک پذیرنده، بانک مرچنت، شرکت ارائهدهنده درگاه یا سوئیچ ملی
۲- افزایش زمان تسویه با مرچنت
۳- تصحیح قوانین حقوقی و حمایتی لازم در مبارزه با افراد سودجو و کلاهبردار
۴- بیمه پرداخت الکترونیک
۵- استفاده از SSLهای معتبر برای کلیه درگاههای پرداخت الکترونیک
۶- آگاهیبخشی به جامعه در خصوص موارد ۳، ۴ و ۵
نظر شما