مشکلات امنیتی کدهای USSD از زبان مدیرعامل به پرداخت ملت
عصر بانک؛مدیرعامل به پرداخت ملت در ابتدا با توجه به آخرین آمار شاپرک گفت : تقریباً نزدیک به 24 درصد از مقدار تراکنشهای پرداخت و حدود 33 تا 34 درصد مبلغ تراکنشهای شبکهی پرداخت در کل در اختیار به پرداخت می باشد و به علت اینکه بیشتر فعالیتهای ما در حوزهی پایانههای فروش است به تفکیک ابزار هم در حوزههای پایانههای فروشگاهی ، رتبهی نخست را داریم. در حوزهی ابزارهای اینترنت هم رتبهی دوم در تراکنش و رتبهی نخست درمبلغ را داریم و در حوزهی پایانههای USSD و موبایل هم رتبهی سوم را داریم.بیشتر فعالیتهای ما در حوزهی شبکههای اینترنت و پایانههای فروشگاهی است و کمتردر حوزهی موبایل فعالیت داشتیم که البته برنامه های برای پرداخت موبایلی داریم، ولی با توجه به محدودیتهای USSD ، شرکت تمایل کمتری برای فعالیت در این حوزه دارد و USSD به پرداخت ملت فقط در زمینه های خاصی استفاده میشود و در بین عموم مردم فراگیر نیست.
با توجه به ایجاد سامانهی پیوند، USSD درآینده نیز همچنان درصدی از درآمد PSPها را تأمین خواهد کرد یا نه؟
شاه گشتاسبی در پاسخ به این سوال گفت: از نگاه سرویسی، USSD سرویس بسیار راحتی است و مردم از آن استقبال میکنند اما راحتی آن دلیل بر ایمن بودن آن نمیباشد و بیشتر دغدغهی بانک مرکزی برنداشتن امنیت USSD ها بود که ما باید آن را امن کنیم .درست است که ما ابزاری برای ایمن کردن USSD ها نداریم که دادههای USSD ها نتوانند سرقت شوند اما ممکن است در آینده این ابزار به وجود بیاید.
مشکلات امنیتی کدهای USSD چیست؟
بزرگترین مشکلی که روی امنیت USSD وجود دارد این است که دیتایی که در شبکهی USSD از موبایل به اپراتور منتقل مش شود ، دیتای Text و Plain است و دیتای INCRIPT شده و رمز گزاری شده نیست و داخل شبکه هم به همین صورت داده انتقال پیدا میکند تا به دست ما میرسد، به همین علت در این قسمت امنیت شفاف نیست و راهکاری برای آن وجود ندارد(در هیچ جای دنیا راهکاری برای آن وجود ندارد) و تنها راهکار آنها این بود که آیتم PAN کارت را از شبکه حذف کنیم و بگوییم اگر مشتری رمز دوم کارت را میزند معلوم نباشد که مربوط به کدام PAN است بنابراین تصمیم گرفته شد که شبکهای به نام پیوند راهاندازی شود که در قالب این سامانه ، مشتری باید به بانک برود و شماره موبایل و PAN کارت را در اختیار بانک قرار دهد و بانک هم شماره موبایل و PAN کارت را داخل شبکه پیوند قرار دهد و شرکتهای پرداخت مثل ما که سرویس USSD ارائه میدهیم ، دیگر از مشتری PAN کارت نمیگیریم و فقط شماره موبایل را میدهیم به شبکه پیوند و چهار شماره آخر PAN را به مشتری می دهیم و میگوییم کدام PAN کار میکنید ، وقتی PAN را انتخاب کرد و رمز را وارد کرد، ما فقط رمز را به اپراتور میفرستیم . البته این راهکار، استاندارد نیست ولی در حال حاضر بهترین شرایط است. این مدل مناسب است ولی به نظر من پیوند باید اجباری شود درحالیکه هنوز بانکها اطلاعاتشان را در پیوند نگذاشتهاند و شرکتهای پرداخت نمیتوانند از اطلاعات استفاده کنند و به همین دلیل من فکر میکنم که ریزشی در تراکنشهای USSD بوجود بیاید.
با توجه به اینکه چند ماهی است از اپلیکیشن سکه رونمایی کردید در این چند ماه چه اتفاقاتی افتاده است؟
سکه یک اپلیکیشن موبایلی تأییدشدهی پرداخت است که کاربر می تواند کارهای پرداخت خود را روی آن انجام دهد.ما به دنبال مجوز برای اپلیکیشین سکه مراودات طولانیای انجام دادیم که پرداختهای NFC را فعال کنیم و سازوکارها و راهکارها را به شاپرک ارائه دادیم و اعلام کردیم که روشی که ما ارائه می دهیم روشی بانکی است و روش پرداخت نیست و ما در شبکهی پرداخت هیچ تغییری ایجاد نمی کنیم، ما فقط یک تفاهمنامه با بانک ملت داریم که فقط کارتها را باهم ردوبدل میکنیم و خوشبختانه تقریباً این مدل مورد پذیرش آنها قرار گرفت و ما در نمایشگاه هم دموی NFC را داشتیم و بعد از نمایشگاه هم سه چهار تا از مراکز تجاری بزرگ را بصورت Pilot اعلام میکنیم که در آنجا POS های مجهز به نرمافزار NFC وجود دارند و مردم می توانند با موبایلهای اندرویدی مجهز به NFC ، پرداخت بدون کارت انجام دهند. برای موبایلهای اپل یا موبایلهایی که قابلیت NFC ندارد نیز ما در پایانههایمان پیش بینی کردیم که مشتریان بتوانند مبلغ خرید خود را وارد کنند و توسط اپلیکیشن ، QR کد اسکن شود و با رمز دوم، پرداخت صورت گیرد و رسید این پرداخت مانند خرید نوع1 ،روی pos بیرون بیاید ولی به صورت Noncardpresent یعنی خرید نوع 2 انجام شود.
و به عنوان سوال آخر برنامه ی آتی شما چیست ؟
شرکت به پرداخت ملت وارد موضوعات B2B شده و برای چند صنف خاص مثل پمپبنزین ها ، کیوسکهای خاصی طراحی می شود که این کیوسکها را در آنجا نصب میکنیم و کسب و کارهای آن ها ، روی این کیوسک ها پیاده سازی می شود و ما عملیات پرداخت و مالی آن را بر عهده میگیریم که به زودی از این خدمت جدید رونمایی خواهیم کرد.