گره ستاره مربع‌ها با دست باز می شود نه دندان!

مدیرعامل شرکت جیرینگ با ابراز شگفتی از نحوه اطلاع‌رسانی ابلاغیه جدید USSD گفت: جیرینگ به عنوان بزرگترین ارایه دهنده سرویس‌های مبتنی بر تلفن همراه از جمله زیرساخت USSD، تاکنون نامه یا ابلاغیه‌ای از شاپرک و یا هیچ نهاد قانون‌گذاری دیگری دریافت نکرده و درخواست مذاکره‌ای برای کمک به حل دغدغه‌های مطرح شده به این شرکت واصل نشده است.

به گزارش ایسنا، از شرکت جیرینگ، مهرداد خطیبی اظهار کرد: خدمات مالی و پرداخت مبتنی بر USSD، حدود پنج سال است که توسط جیرینگ و با مشارکت بانک‌ها و PSP ها در حال ارائه است و به رغم انجام چندین میلیون تراکنش موفق روزانه، تاکنون حتی یک گزارش دال بر بروز تخلف یا سرقت اطلاعات محرمانه کارت‌های بانکی وجود ندارد، پدیده‌ای که در سایر بسترهای به اصطلاح امن ارائه خدمات، زیاد به گوش می‌رسد.

وی افزود: ای کاش به جای رسانه‌ای کردن این دغدغه و مشوش کردن بی مورد ذهن جامعه، موضوع در فضایی تعاملی با جیرینگ و سایر متولیان ارائه این خدمت مطرح می‌شد و راهکار منطقی و به دور از هیاهو برای حل دغدغه‌های مطرح شده، اتخاذ می‌شد.

دغدغه امنیت USSD
خطیبی در پاسخ به دغدغه‌های امنیتی مطرح شده برای ارائه خدمات مالی و پرداخت بر بستر USSD، گفت:برای ورود به مساله، فرض را بر این می‌گذارم که امنیت USSD، صفر مطلق است (البته به فرض محال!). به جز در اولین پروسه ثبت کارت بانکی در انتهای یک تراکنش موفق مبتنی بر USSD که شماره کارت بانکی و رمز دوم کارت در یک session و در قالب تراکنش‌های جداگانه دریافت می‌شوند (فقط یک‌بار به ازای هر ثبت کارت)، در سایر تراکنش‌هایی که توسط مشترکان بر این بستر اتفاق می‌افتد، صرفا رمز دوم کارت دریافت می‌شود.

وی بیان کرد:  پس از آن شماره کارت بانکی به صورت توکن یا alias code ارسال می شود. پس اگر اولین تراکنش ثبت کارت را کنار بگذاریم، صرفا رمز دوم کارت در اختیار شنود کننده متخصص قرار خواهد گرفت که قابل سواستفاده نخواهد بود.

او خاطرنشان کرد: برگردیم به مقطع تراکنش ثبت کارت، با فرض محال صفر بودن امنیت USSD برای اینکه دغدغه‌های امنیتی حل شود، راهکارهای ساده‌ای وجود دارد که می توان طی یک اطلاع‌رسانی عمومی از مشترکان USSD بخواهیم که برای انجام تراکنش بر این بستر، حتما باید رمز دوم بانکی خود را با مراجعه به ATM بانک خود تغییر دهند و برای بالا بردن ضریب امنیت هم می‌توان پس از اعلان عمومی، در سمت PSP و شاپرک از پذیرش هر گونه تراکنش بر این بستر با رمز دوم قبلی، ممانعت کرد.

مدیرعامل شرکت جیرینگ گفت: به این ترتیب، دغدغه امنیتی استفاده‌کننده‌های فعلی از خدمات این بستر، حل می‌شود چراکه از این پس تراکنش‌های ایشان، صرفا با اخذ رمز دوم کارت بانکی (متفاوت با آنچه در زمان ثبت کارت بانکی دریافت شده بود) میسر خواهد بود و سایر اطلاعات کارت، ارسال نخواهد شد.

وی افزود: برای مشترکانی هم که از این پس، می‌خواهند برای اولین بار، کارت بانکی خود را برای استفاده از خدمات بستر USSD ثبت کنند، راه‌حل‌هایی وجود دارد که به عنوان مثال می‌توان از ثبت کارت بانکی بر بستر USSD و الزام کاربر به تغییر رمز دوم برای انجام اولین تراکنش و عدم پذیرش تراکنش با رمز دوم زمان ثبت کارت بر این بستر از آن یاد کرد.

وی بابیان اینکه بانک مرکزی به جای اینکه به بهانه امنیت USSD آسایش ۲۵ میلیون مشترک تلفن همراه را مورد هدف قرار دهد، افزود: درصورت تعامل برای رفع دغدغه‌های امنیتی USSD به راحتی میتوان گره USSD را بادست بازکرد نه دندان، چراکه ما معتقدیم آسایش مشترکان و کاربران شبکه بانکی از هرچیزی مهمتر است.

وی در پاسخ به این سوال که در ابلاغیه شاپرک بیان شده که ارایه سرویس USSD با روش فعلی از اول مهرماه امسال امکان پذیر نیست، حال چه تغییری قرار است برای این سرویس ایجاد شود، گفت: تاکنون هیچ ابلاغیه‌ای دریافت نکرده‌ایم؛ بنده نیز همانند سایر بازیگران حوزه پرداخت، ابلاغیه شاپرک را در سایت‌های خبری مشاهده کردم و از جزییات آن هم بی‌اطلاع هستم و اینکه چرا جیرینگ به عنوان سرویس‌دهنده اصلی باید از این موضوع بی‌اطلاع باشد، برای من هم جای تعجب دارد.

خطیبی خاطرنشان کرد: اگر بخواهیم موضوع را خیلی پیچیده کنیم، باید گفت که ارتقای امنیت تراکنش از گوشی تا بستر تحویل اطلاعات به شبکه پرداخت بانکی با افزودن اپلت بر روی سیم‌کارت میسر است.

وی گفت: همه می‌دانند که امنیت، مقوله‌ای نسبی است لذا هزینه تامین امنیت باید با ریسک تهدیدات امنیتی، تناسب داشته باشد که با فرض امنیت صفر USSD در صورت تغییر رمز دوم در انجام اولین تراکنش، امنیت، تقریبا ۱۰۰ درصد خواهد شد ولی اگر اصرار به پیچیده کردن فرآیند امن‌سازی داریم، ما آمادگی خود را برای ارتقای امنیت تراکنش‌ها با روش اضافه کردن اپلت بر روی سیم‌کارت اعلام می‌کنیم، اگرچه هزینه قابل‌توجهی را در سمت اپراتور، شبکه پرداخت و استفاده‌کنندگان، به همراه خواهد داشت؛ چرا که ضمن لزوم اعمال تغییر در شبکه اپراتور و شبکه پرداخت، سیم‌کارت مشترکان هم باید به احتمال زیاد برای افزودن اپلت تغییر کند.

مدیرعامل جیرینگ گفت: در صورت توافق برای اجرای این مدل، روش خرید و پرداخت بر این بستر به سادگی قبل خواهد بود و هیچ‌گونه پیچیدگی و زحمتی به کاربر تحمیل نمی‌شود، ضمن آنکه راه برای فعال کردن امکان خرید و مانده‌گیری بر این بستر که از مهرماه سال گذشته و به بهانه امنیت متوقف شد، فراهم خواهد شد.

سهم تراکنش‌های USSD
خطیبی گفت: در حال حاضر بالای ۸۰ درصد حجم ریالی و تعدادی مورد استفاده از سرویس‌های USSD مربوط به خرید شارژ تلفن همراه است، حداقل انتظاری که می‌توان داشت این است که به مشترکان فهیم ایرانی که به منظور جلوگیری از مخاطرات زیست محیطی چاپ کارت شارژ فیزیکی، از روش‌های غیرحضوری همانند خرید از درگاه USSD اقدام به خرید می‌کنند، احترام گذاشته شود، نه اینکه بدون ارایه طرح عملیاتی جایگزین، به یکباره خبر از محدود سازی USSD داده شود.

وی عنوان کرد: شرکت‌های پرداخت الکترونیکی که اکنون جایگاه و درآمد خوبی در صنعت پرداخت کشور دارند، فراموش نکنند که بخش بزرگی از رشد خود را مدیون همکاری با اپراتورهای تلفن همراه هستند، حال شاید برخی سود این همکاری را یک طرفه جلوه دهند، که اگر قضاوت درستی نسبت به حجم سرمایه‌گذاری انجام شده طرفین معامله وجود داشته باشد، کفه ترازو به نفع شبکه پرداخت است نه اپراتور! و بد نیست، به ارزش سهام برخی از شرکت‌های PSP هم، قبل و بعد از استفاده از USSD نگاهی بیندازیم.

سپاس (سامانه پرداخت الکترونیک سیار)
مدیرعامل شرکت جیرینگ با اظهار تاسف از هدر رفتن فرصت‌های بی‌شمار برای ارائه خدمات بهتر به کاربران به واسطه فقر قانون و یا مدیریت شدن آن طی سال‌های گذشته، گفت: چند سالی بود که اپراتورهای تلفن‌همراه، منتظر ابلاغ آیین‌نامه سپاس بودند تا بتوانند به حوزه پرداخت همراه که امروزه یکی از دغدغه‌های اساسی کشور محسوب می‌شود، ورود کنند، لیکن پس از چند سال و به رغم انجام فرآیند تست با کیف‌پول جیرینگ، بانک مرکزی بدون ارایه کردن طرح یا مسیری جایگزین، خبر توقف پروژه سپاس را منتشر کرد.

اپراتورها، رقیب بانک‌ها نیستند!
وی با اشاره به ممانعت ورود اپراتورها به شبکه پرداخت از سوی بانک مرکزی، گفت: در حال حاضر و در دیگر سوی میدان، رگولاتور مخابراتی اقدام به ارایه مجوز اپراتور مجازی (MVNO) می‌کند و همین شرکت‌های PSP و برخی از شرکت‌های وابسته با بانک‌ها، برای دریافت مجوز اپراتور مجازی، اقدام کرده‌اند. آیا تصور این است که ما هم همانند شبکه بانکی باید از ورود رقبای بانکی وشبکه پرداخت به حوزه خود، نگران و مضطرب باشیم!؟

او افزود: آیا قانون‌گذار حوزه مخابرات باید از ورود شرکت‌های وابسته بانکی به شبکه مخابراتی جلوگیری کند یا فرصت را برای ارائه خدمات بهتر و رقابتی‌تر به مشترکان تلفن‌همراه مغتنم شمارد؟

وی بیان کرد: این در حالی‌است که شرکت‌های PSP و وابسته بانکی، در طول سال‌های قبل و در جریان همکاری با اپراتورها از همین بستر USSD، با جمع‌آوری اطلاعات محرمانه اپراتورها از جمله شماره تلفن‌همراه، میزان مصرف شارژ و غیره، اقدام به شناسایی مشترکان پرمصرف اپراتورها کرده‌اند و اکنون آماده‌اند تا با اجرایی شدن مجوز MVNO و عملیاتی شدن MNP، به مدد دارا بودن پروفایل مخابراتی و مالی، مشترکان ارزشمند اپراتورها را تصاحب کنند.

وی گفت: چه خوب است که رگولاتور بانکی نیز همانند همتای مخابراتی خود، به انحصار PSP های فعلی برای ارائه خدمات پرداخت پایان دهد و در فضایی مثبت و با حفظ نظارت موثر، نسبت به اعطای مجوز به شرکت‌های توانمند اقدام کند.

مدیرعامل جیرینگ، ضمن تشکر از حمایت‌ها، صبوری و همراهی مدیرعامل و هیات مدیره همراه اول برای توسعه خدمات پرداخت همراه، افزود: در صورتی که قوانین شفاف باشند و ناظران براساس یک طرح تجاری منطقی و عادلانه، اقدام به تدوین آیین‌نامه‌ها و مجوزهای قانونی کنند، هیچ شکی وجود ندارد که دو طرف از این همکاری، منتفع خواهند شد.

وی همچنین اظهار امیدواری کرد که خدمت به مردم، سرلوحه اقدامات عملی همه مدیران و مسوولان قرار گیرد و از جنبه شعاری صرف، فاصله بگیرد.