در حال خواندن
بخشنامه شاپرک به تعویق می افتد؟
0

مشکل کدهای USSD امنیتی یا اقتصادی

عبداله افتاده – در حال حاضر پرداخت های موبایلی به یکی از ابزارهای اصلی و مورد استفاده مشترکان تلفن همراه قرار گرفته به نحوی که آنها دیگر برای پرداخت قبوض خدماتی، خرید کارت شارژ تلفن همراه، پرداخت هزینه های اینترنت و غیره از سرویس USSD که توسط تمامی اپراتورهای تلفن همراه کشور راه اندازی شده، استفاده می کنند. اما در ماه های آغازین امسال بود که بانک مرکزی توسط شرکت شاپرک بخشنامه ای را مبنی بر تغییر روش سرویس دهی USSD به تمامی شرکت های پرداخت الکترونیکی ابلاغ کرد و در آن تاکید کرد که از ابتدای مهر ماه امسال امکان ارایه سرویس USSD با روش فعلی امکان پذیر نیست. البته در بخشنامه مذکور هیچ اشاره ای به اینکه روش جایگزین چه خواهد بود و نهایتا سرنوشت شرکت هایی که در این بخش سرمایه گذاری کرده اند چه خواهد شد، به هیچ وجه مشخص نبود. به همین منظور گفت وگویی با مدیران عامل چند شرکت PSP که بیشترین سهم بازار این سرویس را در اختیار دارند انجام داده ایم که می خوانید.
نود فناوری – رستم شاه گشتاسبی، مدیرعامل شرکت به پرداخت ملت با تایید رعایت نشدن استاندارهای امنیتی در USSD و البته تاکید بر اینکه تاکنون گزارشی در خصوص سوءاستفاده از طریق این سرویس ارایه نشده، گفت: البته اینکه تاکنون مشکل امنیتی در این سرویس اتفاق نیفتاده دلیل بر این نمی شود که سرویس USSD از امنیت لازم برخوردار است.
وی افزود: در حال حاضر تراکنش های USSD بدون رمزنگاری در شبکه GSM ارسال می شود و برای شنود آن نیز نیاز به تجهیزات خاص است ولی در عین حال قطعا به دلیل نبود راه حل های امنیتی براساس استاندارد pci می بایست سرویس جایگزینی برای USSD تعریف شود.
وی گفت: در نظر بگیرید در آینده ای نزدیک اگر قرار باشد شبکه بانکی ایران به شبکه های بین المللی متصل شود، قطعا کارشناسان بانکی بین المللی برای برقراری شبکه بررسی های فنی خود را خواهند داشت و آنجاست که متوجه می شوند که در سرویس USSD که در ایران برای پرداخت استفاده می شود استانداردهای امنیتی رعایت نشده است و همین عامل باعث ایجاد مشکلاتی خواهد شد.
تعامل اپراتور دوم با شرکت های PSP
مدیرعامل شرکت به پرداخت ملت در خصوص اینکه گفته می شود دلیل اصلی ابلاغیه شاپرک برای سرویس USSD به دلیل نحوه برخورد همراه اول در بستن قرارداد باشرکت های PSP است گفت: البته که همراه اول در بستن قراردادهای خود خیلی سخت گیرانه عمل کرده ولی قطعا عامل این موضوع نحوه برخورد همراه اول نبوده است.
وی در خصوص نحوه همکاری ایرانسل با شرکت های PSP گفت: شرکت ایرانسل به جای اینکه همانند همراه اول از درآمد شاپرکی شرکت های PSP حق السهم دریافت کند شبکه خود را با مبلغی ثابت به شرکت ها اجاره می دهد و پس از آن به میزان درآمد شرکت های PSP کاری ندارد و این روش برای شرکت های فعال در این عرصه بهتر است.
وی در خصوص طرح پیشنهادی شاپرک برای ادامه ارایه سرویس USSD گفت: به صورت غیر رسمی اعلام شده که از اول مهرماه به بعد کاربران در صورت تمایل به استفاده از کانال USSD باید برای هر حساب خود به بانک مراجعه کرده و پس از اتصال شماره تلفن همراه به حساب و دریافت رمز یا همان توکن، رمز دریافتی را به شرکت PSP اعلام کنند و شرکت PSP هم برای انجام هر تراکنش رمزی را با پیامک برای کاربر ارسال می کند و کاربر تنها با استفاده از همان رمز می تواند برای یک کارت بانکی و با یک شماره تلفن همراه از خدمات USSD استفاده کند و به این ترتیب کاربران برای هرکدام از کارت های بانکی خود و هرکدام از شماره های تلفن همراه باید تمامی این مراحل را به صورت مجزا انجام دهند.
وی درباره اینکه با این روش قطعا هزینه هایی به کاربران تلفن همراه تحمیل خواهد شد، گفت: برای ارایه سرویس توکن روش های مختلفی وجود دارد و کاربران حتما نباید دستگاه فیزیکی توکن از بانک ها خریداری کنند بلکه می توانند با استفاده از اپلیکیشن های بانکی، اینترنت و یا پیامک توکن خود را ایجاد کنند.
نبود سرویس جایگزین برای USSD
وی در پاسخ به این سوال که با پیچیدگی که قرار است اتفاق بیافتد تایید می کنید که احتمال حذف سرویس USSD وجود خواهد داشت، گفت: این پیش بینی می تواند درست باشد و شرکت هایی که در این حوزه سرمایه گذاری سنگینی کرده اند دچار مشکل خواهند شد.
شاه گشتاسبی گفت: به نظر می رسد اگر بانک مرکزی زمان اجرای این مصوبه را به تاخیر بیاندازد تا خدمتی جدید برای جایگزینی با USSD ارایه شود مناسب تر است چرا که در حال حاضر سرویسی که بتواند به اندازه USSD فراگیر و به آسانی قابل استفاده باشد وجود ندارد.
وی با اشاره به اینکه شرکت های PSP می بایست همگام با پیشرفت های صنعت بانکداری در دنیا گام بردارند گفت: در حال حاضر این سرویس در کمتر کشوری در دنیا آن هم به دلیل نبود امکانات بانکداری استفاده می شود.
وی افزود: به منظور هم افزایی در این مسیر می بایست تمامی بازیگران این حوزه شامل بانک ها، شرکت های پرداخت الکترونیک، بانک مرکزی و اپراتورهای تلفن همراه به توافقی جمعی دست پیدا کنند تا با امکانات موجود کشور که فاصله زیادی هم با کشورهای پیشرفته ندارد بهترین سرویس با کمترین قیمت و بالاترین سطح امنیتی و کیفی به مردم ارایه شود.
نباید مردم را بی رغبت و نگران کرد
سیدابراهیم حسینی نژاد، مدیرعامل پرداخت الکترونیک سامان نیز در خصوص اینکه روش پیشنهادی شاپرک برای ارایه سرویس USSD از ابتدای مهرماه چیست، گفت: پیشنهادی از سوی شرکت شاپرک در خصوص ارایه سرویس USSD با استفاده از سرویس رمز یک بار مصرف ارایه شده که هنوز نهایی نشده است.
وی در خصوص اینکه شاید با استفاده از روش پیشنهادی شاپرک مجالی برای ادامه حیات USSD وجود نداشته باشد، گفت: اطلاع دقیقی در خصوص اینکه با استفاده از روش شاپرک امکان استفاده از سرویس USSD وجود نخواهد داشت، ندارم اما یکی از روش هایی که برای پرداخت های موبایلی در دنیا استفاده می شود بهره گیری از رمز یک بار مصرف است.
وی افزود: از آنجا که مردم به پرداخت موبایلی از طریق USSD اقبال نشان داده اند باید روشی استفاده شود که کمترین اثر را در نحوه سرویس دهی به مردم داشته باشد.
وی بیان کرد: در بازار موجود هیچ روش یا سرویسی برای جایگزینی سرویس USSD به شکلی که در کوتاه مدت با این استقبال روبرو شود، وجود ندارد.
حسینی نژاد در خصوص امنیت پایین سرویس USSD که گویا عامل اصلی بخشنامه اخیر شاپرک بوده است گفت: اینکه در گذشته و حال حاضر مشکل امنیتی برای این سرویس رخ نداده دلیل نمی شود که این سرویس پایدار و از نظر امنیتی ۱۰۰ درصد مورد تایید باشد، که البته مقوله امنیت هم نسبی است.
وی افزود: اکنون یک جایی تصمیم گرفته که دیگر نباید با روش فعلی از سرویس USSD استفاده شود و این که چرا این گونه عمل می شود، رگولاتور بانکی هم در این زمینه شیوه خودش را دارد.
وی در پاسخ به این سوال که با روش فعلی بانک مرکزی به نظر می رسد، رگولاتور بانکی نه برنامه ای برای مشترکانی که از این سرویس استفاده می کنند دارد و نه تدابیری برای شرکت های PSP که در این حوزه سرمایه گذاری کرده اند، دارد، گفت: بانک مرکزی با این استدلال که وظایف سیاست گذاری و نظارتی در ارایه سرویس های پرداخت در کشور دارد و آنها نیز می گویند ما وظایفی داریم که به آن عمل می کنیم و اینکه عده ای بخواهند به اسم مشتری و زورکی این سرویس را نگه دارند قابل پذیرش نیست.
مدیرعامل پرداخت الکترونیک سامان درباره اینکه چرا بانک مرکزی فرصت بیشتری برای راه اندازی سرویس جایگزین USSD نمی دهد، گفت: این طور نیست که شرکت شاپرک بدون در نظر گرفتن تمامی جوانب از جمله دچار مشکل نشدن استفاده کنندگان فعلی سرویس USSD دست به این اقدام زده باشد و قطعا آنها مسیرهای جایگزین مناسبی را در نظر خواهند گرفت.

ابلاغیه شاپرک به تعویق می افتد
اما در دیگر سوی میدان مدیرعامل شرکت آسان پرداخت پرشین که سهم بالای سرویس USSD و تبلیغات این حوزه را در اختیار داد گویا اطلاعاتی مبنی بر اینکه این ابلاغیه منتفی شده است، دارد.
حامد منصوری در خصوص ابلاغیه اخیر شرکت شاپرک گفت: تصمیم بانک مرکزی در خصوص ایجاد محدودیت برای ارایه سرویس USSD از ابتدای مهرماه به دلیل نبود سرویس جایگزین، تصمیم ۱۰۰ درصد کاملی نبود.
وی با بیان اینکه در حال حاضر USSD بهترین راه حل به منظور خریدهای خردی همچون خرید شارژ تلفن همراه است، گفت: شرکت های پرداخت الکترونیکی با این سرویس توانسته اند خدمات مناسبی در راستای کاهش ترافیک، جلوگیری از مراجعه بیش از اندازه مردم به دستگاه های خودپرداز و شعب بانک ها ارایه کنند.
منصوری افزود: در حال حاضر شرکت آسان پرداخت پرشین حدود ۴۳ درصد سهم بازار USSD را در سالیان گذشته به دست آورده و اینکه به یک باره بدون در نظر گرفتن مشکلات ناشی از این بخشنامه و آسیبی که به شرکت های ارایه دهنده خدمات پرداخت الکترونیکی وارد خواهد شد، تصمیم به قطع یک سرویس کاربردی گرفته می شد، قابل پذیرش نبود.
وی گفت: شرکت های پرداخت الکترونیکی طبق قراردادی که با اپراتورهای تلفن همراه کشور دارند، ملزم شده اند طی دو سال آینده کف تعهدی را رعایت کنند بنابراین در صورت قطع USSD، مشکلات جدی و حقوقی برای این شرکت ها ایجاد می شد.
مدیرعامل شرکت آسان پرداخت پرشین در خصوص اینکه گفته می شود، دلیل این تصمیم نبود امنیت در سرویس USSD بوده، گفت: در حال حاضر سالانه حدود ۲ میلیارد تراکنش توسط این سرویس در کشور انجام می شود و تاکنون هیچ موردی در خصوص سوءاستفاده به واسطه امنیت پایین USSD گزارش نشده است.
وی افزود: روش جایگزینی که گفته می شود قرار است برای ارایه سرویس USSD در نظر گرفته شود، که البته تاکنون به صورت رسمی این موضوع به ما منتقل نشده است، به نحوی است که در این روش استفاده کنندگان از سرویس USSD باید برای استفاده از این سرویس به بانکی که قرار است از حسابی که در آن دارند و می خواهند برای خریدهای خود از آن استفاده کنند مراجعه کرده و با اعلام شماره تلفن همراه و اتصال آن به حساب بانکی یک دستگاه رمز یک بار مصرف دریافت کنند و به منظور هر تراکنش USSD ابتدا یک رمز یک بار مصرف ایجاد کنند و در مرحله پرداخت به جای زدن رمز دوم از آن رمز استفاده کنند.
وی با اشاره به اینکه بسیاری از گوشی های تلفن همراه در کشور قابلیت اتصال به اینترنت یا استفاده از اپلیکیشن های تلفن های هوشمند را ندارند، گفت: این موضوع را در جلسات مشترک با شرکت های همکار بارها مطرح کرده ایم و چنانچه این سرویس قطع می شد برای حدود ۳۰ میلیون مشترک تلفن همراه کشور که استفاده کننده اصلی این سرویس هستند مشکلاتی به وجود می آمد.
بعضی ها از قطع USSD خوشحال می شوند
وی در خصوص اینکه چرا شرکت های پرداخت الکترونیک به صورت یکپارچه برای ممانعت از حذف سرویس USSD تا زمان ارایه سرویس جایگزین به صورت منسجم عمل نمی کنند، افزود: تنها تعدادی از شرکت های PSP در این حوزه سرمایه گذاری سنگین کرده اند و چه بسا برخی از همکاران ما از قطع این سرویس خوشحال نیز باشند، چرا که تصور می کنند با قطع این سرویس تعداد کاربران درگاه های اینترنت یا دستگاه های کارتخوان آنها بیشتر خواهد شد، ولی موضوع اینجاست که زیان اصلی قطع این سرویس برای کاربران خواهد بود و قطعا این سرویس ها توان پاسخگویی به نیاز مشترکان را ندارند.
وی گفت: درخواست خود را برای تاخیر در اجرای این ابلاغیه به شرکت شاپرک و بانک مرکزی اعلام کرده ایم و خوشبختانه طبق شنیده های غیررسمی با این درخواست موافقت شده است.
وی افزود: در حال حاضر به واسطه دسترس پذیری و ارایه سرویس رایگان و آسان در تمام ساعات شبانه روز توسط USSD، هیچ سرویس جایگزینی برای آن وجود ندارد.
لازم به ذکر است، این پرسش ها را با شرکت تهران اینترنت که در رسانه ها با تبلیغات ۷۸۰ بیشتر شناخته می شود و در جایگاه دوم پرداخت های USSD قرار دارد نیز مطرح کردیم که مدیران این شرکت سکوت را ترجیح دادند.
منبع: هفته نامه عصر ارتباط
درباره نویسنده
عبداله افتاده
دانش آموخته رشته روابط عمومی الکترونیک هستم، به واسطه شرایط زندگی رشته‌های مختلف کاری را تجربه کردم، تا اینکه در سال 1380 با ورود به خبرگزاری ایرنا استان تهران به عنوان خبرنگار متوجه اشتیاق فراوان به این حرفه شدم. از آن زمان تاکنون نیز در رسانه‌های مختلف در حوزه فناوری اطلاعات و ارتباطات مشغول به فعالیت بوده‌ام. موجب خرسندی است اگر انتقادات، پیشنهادات و سوژه های خبری خود را از طریق کانال‌های ارتباطی زیر با من به اشتراک بگذارید.

ارسال یک نظر