امنیت پرداخت، همواره در هر مرحلهای و برای هر انتخابی اهمیت خاص خود را داشته است. این مسئله در زمینه بانکداری و انتقال وجه اهمیت بسیار زیادی پیدا میکند. چون حجم تراکنش در آن بالاست و سرعت بالایی نیز لازم است. اما در این میان ممکن است افراد سودجو چشم طمع به سرمایه افراد داشته باشند. به همین دلیل هر چقدر که ظرفیت تراکنشها، سرعت و تعدادشان را ارتقا دهیم، باید به فکر مسئله امنیت نیز باشیم.
امروز قصد داریم در مجله رسمی پی استار درباره امنیت پرداخت در ایران صحبت هایی داشته باشیم پس با ما همراه باشید.
مسئله امنیت در بانکداری
تا امروز مسئله امنیت در بانکداری ما تا حد زیادی مورد توجه بوده است. اما این زمینه نیاز به تلاش بیشتری دارد. مسئله سرعت و حجم تراکنشها با امنیت منافات دارد. یعنی اگر بخواهیم این دو فاکتور را ارتقا دهیم، طبیعتا امنیت را دچار اختلال کردهایم.
تا امروز نیز بیشترین تمرکز سیستم بانکداری ایران بر روی دو فاکتور سرعت و حجم تراکنش متمرکز بوده است. به همین دلیل مسئله امنیت تا حدی کمرنگتر میباشد.
اما این در حالی است که باید استانداردهای بین المللی در زمینه امنیت تراکنشهای غیرحضوری به طور کامل رعایت شود. چون بحث سرمایه مردم در میان است.
امروزه ۴۱۲ میلیون کارت بانکی متنوع در ایران وجود داشته و تنوع کارت خوانهای فروشگاهی نیز به بیش از ۵ میلیون میرسد. بیشتر از ۴۶ هزار دستگاه عابر بانک تعبیه شده و کانالهای مختلف دیگری هم در این بستر وجود دارند که در هر شبانه روز مبلغی بالغ بر یک میلیارد و ۲۰۰ میلیون تراکنش را انجام میدهند. این رقم تنها مرتبط با سیستم شاپرک است. ۴۵۰ میلیون تراکنش نیز از طریق عابر بانکها پایانههای شعبههای مختلف انجام میشود. تراکنشها از مبدا به مقصد باید به گونهای انتقال پیدا کنند که سرویس دهنده و مشتری نگران امنیت سرمایه نباشند. در غیر این صورت اگر این زنجیره دچار اختلالی شود، تمام شبکه بانکی دچار مشکل شده و آسیب آن به تمام شبکه نیز خواهد رسید.
اهمیت امنیت و وضعیت آن در ایران
بر اساس گفتههای آقای یوسفی، مدیریت پروژه پرداخت با کارت شرکت پویا، مسئولین تا این لحظه روی کارایی سامانههای مرتبط با این زمینه تمرکز مناسبی داشتند. هدف این است که تراکنشهای بیشتر و با کیفیتتری ضمن افزایش سرعت و امنیت انجام شود. با توجه به این مسئله که در سالهای اخیر تراکنشهای بانکی تعداد بسیار بالایی داشته و ارتقا پیدا کردهاند، همه سیاستها در این شبکه درباره این مسئله لحاظ شده و تمرکز مسئولین نیز بر کارایی و سرعت این سامانههاست. اما ظاهرا در این مدت توجهها از امنیت این فضا تا حدی منحرف شده است. این مسئله در زمینه پرداخت با کارت، پررنگتر شده است.
مدیریت پروژه پرداخت شرکت پویا در ادامهی مصاحبهی خود اعلام کرد که مسئله امنیت در بانکداری و پذیرندگان به دلیل تمرکز توجه بر سرعت و افزایش حجم تراکنشها، تا امروز کمرنگ بوده است. این در حالی است که عقل حکم میکند تا استانداردهای امنیتی لازم در این زمینه پیش از هر اقدام دیگری انجام شود. این استانداردها باید در شبکه بانکی بعد از تدوین به درستی اجرا شوند.
کیفیت تراکنشهای بانکی امروزه خوب است و حجم تراکنشها در هر روز به حد مطلوب می رسد. باید کیفیت امنیت این شبکه نیز مجددا مورد بررسی قرار گرفته و این مسئله نیز مد نظر قرار بگیرد. چون این دو بخش (سرعت و حجم تراکنش) نتوانستهاند به اندازه امنیت شبکه رشد کند و در این میان رشد امنیت کمی عقب افتاده است. به عبارت دیگر، شما زنجیرهای از موسسهها و بانکها را در اختیار دارید. اگر هر یک از آنها دچار مشکل امنیتی شوند، نظام بانکی به طور کلی دچار اختلال و مشکل میشود.
استفاده از سخت افزارهای روز دنیا به جهت ارتقای امنیت بانکداری
در این مبحث بسیار مهم، یکی از مسائلی که به شدت مورد توجه باید قرار بگیرد، استفاده از سخت افزارهای رمزنگار است که پرقدرت باشند. این سخت افزارهای رمزنگار باید از ابتدا تا انتهای یک تراکنش را تحت نظر قرار دهند و تمام دادهها در هر مرحلهای توسط آنها رمزنگاری شود. این مسئله باید در تمام زیرمجموعههای مرتبط با یک تراکنش لحاظ شود. از جمله:
بانکهای اطلاعاتی
زیرساخت و شبکههای خود بانک
نظارت کامل بر تمام بخشهای مختلف بانک اعم از این دو بخش باید صورت پذیرد. در ادامه در صورت لزوم باید استانداردهای مشخصی برای هر کدام از آنها تدوین شود. وجود موسساتی که نظارت و یا پایشی دائمی را در این زمینه انجام میدهند نیز میتواند اثربخش باشد. در حال حاضر ما در سیستم بانکی خود از چنین رویکردی بهره نمیبریم.
امنیت در بخش اخذ اطلاعات کارتی و رمزهای مشتریان به لحاظ سخت افزاری در دستگاههایی همچون خودپردازها، آنتی اسکیمرها و دیگر موارد تا حد زیادی رعایت میشود. اما نکته مهم سیستم نرم افزاری است که باید مواردی همچون صفحه کلید و یا موارد امنیتی به طور کامل در اختیار بانک قرار بگیرد. پیمانکاران در این زمینه حق هیچ گونه دخالتی نباید داشته باشند. کسی که این نرم افزار را تولید میکند، نه میتواند و نه باید بتواند این امنیت را به طور فردی و تنهایی فراهم کند.
این امنیت تنها تحت استانداردهای مشخص باید انجام شود و تحت پایش قرار بگیرد. در حال حاضر این اتفاق به لحاظ پیمانکاری انجام میشود. یعنی پیمانکارها امنیت لازم به جهت ایمنی موسسات مالی را تامین میکنند. این در صورتی است که به هیچ وجه نباید امنیت بخش سامانههای پرداختی با استفاده از کارت به سازنده نرم افزار مربوط باشد.
استانداردهای مهم در امر امنیت پرداختهای آنلاین و کارتی
متخصصین و مسئولین سامانههای پویا تمام تلاش خود را کردهاند تا از سخت افزار مناسب استفاده کرده و دستور کار لازم را به پرسنل خود ابلاغ کنند. همچنین نحوه تولید و حفظ کلید نیز از استانداردهای بین المللی پیروی کرده است.
یکی از استانداردهای اولیه و مهم در امر امنیت پرداختهای آنلاین و کارتی، استاندارد PCIDSS میباشد. در این مورد میتوان گفت که این استاندارد درباره سیستمهای پرداخت با کارت به شدت مورد توجه قرار گرفته است.
اما مشکل ما در ایران این است که شرکتی که ارائه کننده استاندارد PCIDSS است، به دلایل مختلفی حاضر به ارائه سیستم به ایران نیست.
موسسههایی میتوانند جایگزین این شرکت شوند و امنیت لازم را به پایش برسانند. این تاییدیه در ادامه به موسسات داده شده و هر چند وقت یک بار نیز باید آن را تمدید کرد. این موسسات الزاما باید داخلی باشند. چرا که ما به راحتی قادر نیستیم زیرساختها و بسترهای بانکی خود را در اختیار دیگر کشورها قرار دهیم.
به لحاظ حفاظت از اطلاعات و دادهها و همچنین بسترهای سخت افزاری، این اقدام چندان جالب نیست که پایش اطلاعات و امنیت مورد نظر به واسطه کشورهای دیگر برای ایران انجام شود. البته این مسئله را نیز باید مطرح کنیم که کشورهای دیگر به راحتی این تاییدیه را به کشور ما نمیدهند. این ممانعت به دلیل بوروکراسی کشورشان میباشد. اما به عنوان شرکت مشاور در ایران، آنها کارهایی را پیش میبرند که شاید تا حدی مفید واقع نشود.
اگر هر کجای این زنجیره شبکه بانکی، با هر دلیل مشخص و غیر مشخصی، به نقص ایمنی دچار شود، تنها همان زنجیره زیر سوال نمیرود؛ بلکه تمام شبکه و تمام زنجیرهها دچار اختلال و مشکل میشود. چون کارتهایی که صادر شده به واسطه بانکها و موسسههای متفاوت پذیرش می شوند. اطلاعات آنها به طور کلی در شبکه بانکی در دسترس میباشد. بنابراین ضربهای به این شبکه وارد میشود که فراگیر است و تمام زنجیرهها را مورد حملات امنیتی قرار میدهد.
تنوع درگاههای پرداخت مجاز و معرفی آنها
با این وجود، بسیاری از درگاههای پرداخت نیز امنیت شبکه خود را به نحوی ارتقا دادهاند. در نتیجه شما کاربران میتوانید با استفاده از این درگاههای پرداخت، تراکنشهای ایمنتری داشته باشید. همچنین برخی از نکات ایمنی نیز اگر از جانب کاربر حین پرداخت و تراکنش انجام شود، میتوان امنیت پرداخت را تا حد بسیار زیادی تضمین کرد.
از مهمترین نکات امنیتی برای ورود به یک درگاه پرداخت، آدرس صفحه میباشد. این آدرس در قسمت URL مرورگر شما درج شده است. توجه داشته باشید که شروع این لینک باید حتما با عبارت https باشد. انتهای آن نیز حتما باید به عبارت .shaparak.ir ختم شود. به حروف این بخشها به دقت توجه کنید و از درگاههایی که به این دو بخش (دو عبارت) مجهز نیستند، اعتماد نکنید. در ادامه با آدرسهای درگاههای پرداخت مجاز آشنا میشویم:
درگاههای پرداخت مجاز
آسان پرداخت پرشین https://asan.shaparak.ir
به پرداخت ملت https://bpm.shaparak.ir
تجارت الکترونیک پارسیان https://pec.shaparak.ir
تجارت الکترونیک پارسیان https://pecco.shaparak.ir
پرداخت الکترونیک سامان https://sep.shaparak.ir
پرداخت الکترونیک سامان https://sep.shaparak.ir
پرداخت الکترونیک پاسارگاد https://pep.shaparak.ir
پرداخت نوین آرین https://pna.shaparak.ir
پرداخت الکترونیک سداد https://sadad.shaparak.ir
کارت اعتباری ایران کیش https://ikc.shaparak.ir
فنآوا کارت https://fanava.shaparak.ir
فنآوا کارت https://fcp.shaparak.ir
مبنا کارت آریا https://mabna.shaparak.ir
الکترونیک کارت دماوند https://ecd.shaparak.ir
سایان کارت https://sayan.shaparak.ir
نکات امنیتی مهم که کاربران باید آن را رعایت کنند
هر کاربر با رعایت برخی از نکات مهم و کلیدی در حین تراکنشهای مالی میتواند ریسک خرید خود را کاهش دهد. در ادامه با هر کدام از این نکات آشنا میشویم:
قبل از اینکه اطلاعات کارت خود را وارد کنید حتما از اینکه در درگاه پرداخت معتبری هستید و از درگاه ایمنی استفاده میکنید، مطمئن شوید. این مورد را پیشتر توضیح دادهایم. سعی کنید همیشه از درگاه پرداختی استفاده کنید که مشخصاتی که در بخش قبلی اعلام کردیم را داشته باشد.
از برنامههایی استفاده کنید که فراهم کننده خدمات پرداخت هستند. اما نکته مهم این است که حتما باید برنامههایی را انتخاب کنید که در مراجع معتبر بارگیری وجود داشته باشند. حتما این برنامهها را از همین مراکز دانلود کنید.
هرگز اطلاعات کارت خود را در کانالهای تلگرامی، واتساپ، اینستاگرام و… قرار ندهید. این اطلاعات را تنها نزد خود نگه دارید و تا از وب سایت و یا برنامهای مطمئن نشدید، این اطلاعات را به آنها ندهید.
هرگز اطلاعات کارت، خصوصا رمز کارت و شمارههای دیگر آن را در اختیار شخصی قرار ندهید. هرگز هم اجازه ندهید تا شخصی از کارت عابر بانک شما عکس بگیرد. شما تنها مجاز هستید که شماره کارت ۱۶ رقمی خود را به افراد بدهید تا مبلغ مورد نظر را به حسابتان واریز کنند.
در صورت نیاز به خرید اینترنتی از فروشگاههای معتبر خرید کنید. این فروشگاهها عموما درگاه پرداخت خاص خود را دارند. به همین دلیل شما باید پیش از پرداخت، لینک درگاه پرداخت را طبق توضیحات بخش قبلی بررسی کنید.
مطمئن شوید که رمز کارتتان ایمن است. رمز اول و دوم کارت خود را هر چند وقت یکبار تغییر دهید. حتما از رمز پویا برای تراکنشهای خود استفاده کنید و این رمز را هرگز در اختیار کسی قرار ندهید.
اطلاعات کارتی خود را در اختیار کدهای دستوری که با ستاره آغاز شده و با مربع پایان مییابند، قرار ندهید.
تراکنشهای مالی را تنها با استفاده از وای فای شخصی و یا اینترنت خط موبایل خودتان انجام دهید. اگر در حال استفاده از اینترنت اماکن عمومی همچون رستورانها و دیگر اماکن هستید، تراکنشهای مالی خود را به وقت دیگری بسپارید که به اینترنت شخصی خود متصل باشید.
حین استفاده از خودپرداز، به خوبی به اطراف مسلط باشید. در صورتی که کارت خود را به فروشنده سپردید هم مراقب باشید تا فروشنده کارت شما را به دستگاه ناشناس و عجیبی تماس ندهد. توجه کنید که تمام کارها جلوی چشمتان صورت بگیرد.