مشکلات امنیتی کدهای USSD از زبان مدیرعامل به پرداخت ملت

در نمایشگاه الکامپ با آقای شاه گشتاسبی ، مدیرعامل به پرداخت درباره آخرین موضوعات شرکتهای پرداخت و شرکت به پرداخت گفتگو کردیم،که شما را به خواندن این گفتگو دعوت میکنیم.

عصر بانک؛مدیرعامل به پرداخت ملت در ابتدا با توجه به آخرین آمار شاپرک گفت : تقریباً نزدیک به 24 درصد از مقدار تراکنش‌های پرداخت و حدود 33 تا 34 درصد مبلغ تراکنش‌های شبکه‌ی پرداخت در کل در اختیار به پرداخت می باشد  و به علت اینکه بیشتر فعالیت‌های ما در حوزه‌ی پایانه‌های فروش است به تفکیک ابزار هم در حوزه‌های پایانه‌های فروشگاهی ، رتبه‌ی نخست را داریم. در حوزه‌ی ابزارهای اینترنت هم رتبه‌ی دوم در تراکنش و رتبه‌ی نخست درمبلغ را داریم و در حوزه‌ی پایانه‌های  USSD  و موبایل هم رتبه‌ی سوم را داریم.بیشتر فعالیت‌های ما در حوزه‌ی شبکه‌های اینترنت و پایانه‌های فروشگاهی است و کمتردر حوزه‌ی موبایل فعالیت داشتیم که البته برنامه های برای پرداخت موبایلی  داریم، ولی با توجه به محدودیت‌های USSD ، شرکت تمایل کمتری برای فعالیت در این حوزه دارد و USSD  به پرداخت ملت  فقط در زمینه های خاصی استفاده می‌شود و  در بین عموم مردم فراگیر نیست.

 

با توجه به ایجاد سامانه‌ی پیوند،  USSD درآینده نیز همچنان درصدی از درآمد PSPها را تأمین خواهد کرد یا نه؟

 

شاه گشتاسبی در پاسخ به این سوال گفت: از نگاه سرویسی، USSD سرویس بسیار راحتی است و مردم از آن استقبال می‌کنند اما راحتی آن دلیل بر ایمن بودن آن نمی‌باشد و بیشتر دغدغه‌ی بانک مرکزی برنداشتن امنیت USSD  ها بود که ما باید آن را امن کنیم .درست است که ما ابزاری برای ایمن کردن USSD ها نداریم که داده‌های USSD  ها نتوانند سرقت شوند اما ممکن است در آینده این ابزار به وجود بیاید.

 

مشکلات امنیتی کدهای USSD چیست؟

بزرگ‌ترین مشکلی که روی امنیت USSD وجود دارد این است که دیتایی که در شبکه‌ی USSD از موبایل به اپراتور منتقل مش شود ، دیتای Text و Plain است و دیتای INCRIPT شده و رمز گزاری شده نیست و داخل شبکه هم به همین صورت داده انتقال پیدا می‌کند تا به دست ما می‌رسد، به همین علت در این قسمت امنیت شفاف نیست و راهکاری برای آن وجود ندارد(در هیچ جای دنیا راهکاری برای آن وجود ندارد) و تنها راهکار آن‌ها این بود که آیتم PAN کارت را از شبکه حذف کنیم و بگوییم اگر مشتری رمز دوم کارت را می‌زند معلوم نباشد که مربوط به کدام PAN است بنابراین تصمیم گرفته شد که شبکه‌ای به نام پیوند راه‌اندازی شود که در قالب این سامانه ، مشتری باید  به بانک برود و شماره موبایل و PAN کارت را در اختیار  بانک قرار دهد و بانک هم شماره موبایل و PAN کارت را داخل شبکه پیوند قرار دهد و شرکتهای پرداخت  مثل ما که سرویس USSD  ارائه می‌دهیم ، دیگر از مشتری PAN کارت نمی‌گیریم و فقط شماره موبایل را می‌دهیم به شبکه پیوند و چهار شماره آخر PAN را به مشتری  می دهیم و میگوییم کدام PAN کار می‌کنید ، وقتی PAN را انتخاب کرد و رمز را وارد کرد، ما فقط رمز را به اپراتور می‌فرستیم .  البته این راهکار، استاندارد نیست ولی در حال حاضر بهترین  شرایط است. این مدل مناسب است ولی به نظر من  پیوند باید اجباری شود درحالی‌که   هنوز بانک‌ها  اطلاعاتشان را در پیوند نگذاشته‌اند و شرکتهای پرداخت نمی‌توانند از اطلاعات استفاده کنند و به همین دلیل من فکر می‌کنم که ریزشی در تراکنش‌های USSD بوجود بیاید.

 

با توجه به اینکه چند ماهی است از اپلیکیشن سکه رونمایی کردید در این چند ماه چه اتفاقاتی افتاده است؟

سکه یک اپلیکیشن موبایلی تأییدشده‌ی پرداخت است که کاربر می تواند کارهای پرداخت خود را روی آن انجام دهد.ما به دنبال مجوز برای اپلیکیشین سکه مراودات طولانی‌ای انجام دادیم که  پرداخت‌های NFC را فعال کنیم و سازوکارها و راهکارها را به شاپرک ارائه دادیم و اعلام کردیم که روشی که ما ارائه می دهیم  روشی بانکی است و روش پرداخت نیست و ما در شبکه‌ی پرداخت هیچ تغییری ایجاد نمی کنیم، ما فقط یک تفاهم‌نامه‌ با بانک ملت داریم که فقط کارت‌ها را باهم ردوبدل می‌کنیم  و خوشبختانه تقریباً این مدل مورد پذیرش آن‌ها قرار گرفت و ما در نمایشگاه هم دموی NFC را داشتیم و بعد از نمایشگاه هم سه چهار تا از مراکز تجاری بزرگ  را بصورت Pilot اعلام می‌کنیم  که در آنجا POS  های مجهز به نرم‌افزار NFC وجود دارند و  مردم  می توانند با موبایل‌های اندرویدی مجهز به NFC ، پرداخت بدون کارت انجام دهند. برای موبایل‌های اپل یا موبایل‌هایی که قابلیت NFC  ندارد نیز ما در پایانه‌هایمان پیش بینی کردیم که مشتریان بتوانند مبلغ خرید خود را وارد کنند و توسط اپلیکیشن  ، QR کد اسکن شود و با رمز دوم، پرداخت صورت گیرد و رسید این پرداخت مانند خرید نوع1 ،روی pos بیرون بیاید ولی به ‌صورت Noncardpresent  یعنی خرید نوع 2 انجام ‌شود.

 

و به عنوان سوال آخر برنامه ی آتی شما چیست ؟

شرکت به پرداخت ملت وارد موضوعات B2B شده و برای چند صنف خاص مثل پمپ‌بنزین ها ، کیوسک‌های خاصی طراحی می‌ شود که این کیوسک‌ها را در آنجا نصب می‌کنیم و کسب و کارهای  آن ها ، روی این کیوسک ها پیاده سازی می شود و ما عملیات پرداخت و مالی آن را بر عهده می‌گیریم که به زودی از این خدمت جدید رونمایی خواهیم کرد.

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.