۳ مرداد ۱۴۰۰ - ۱۲:۳۸
کد خبر: . ۱۰۰٬۳۷۴
۶ گام برای رهایی از  امنیت من‌درآوردی در پرداخت الکترونیک

علیرضا بزرگمهری، رئیس انجمن صنفی کارفرمایی شرکت‌های پرداخت الکترونیک در یادداشتی برای رسانه بازار به مشکلات امنیت پرداخت الکترونیکی و راهکارهای آن پرداخته است.

علیرضا بزرگمهری؛ بازار: از حدود سال ۱۳۸۳ که اولین سامانه اینترنت بانک توسط شرکت خدمات انفورماتیک برای بانک ملی تولید شد بحث انجام تراکنش روی بستر اینترنت به‌صورت رسمی در کشور ما آغاز گردید. البته این اقدام در سال‌های اولیه محدود به اینترنت بانک و بیشتر نمایش تراکنش‌های مشتری، متمرکز بود تا انجام تراکنش بر بستر اینترنت، به‌ موازات این اقدامات، اتصال رجا و هواپیمایی کشوری به بستر انجام تراکنش خرید در همان سال‌ها، در واقع سازوکار خرید اینترنتی را در کشور افتتاح نمود که امروز از آن ۱۷ سال می‌گذرد.

سابقه سوءاستفاده از این بسترهای الکترونیکی هم از همان روزهای آغازین شروع شد و از عمر مشابه ای برخوردار می‌باشد. اما مشکل کجاست آیا با راه‌هایی نظیر رمز دوم پویا یا مواردی که در آتیه به مخیله دست‌اندرکاران خلاق بانک مرکزی می‌رسد این مشکل مرتفع خواهد شد؟ واقعیت این است ما متأسفانه به روش متداول دنیا دراین‌خصوص توجه ای نداریم و روش های من‌درآوردی را کشف و اجرایی می‌کنیم و بعد چون این نظام‌ها دارای نقاط ضعف بسیاری هستند مجبور می‌شویم راه‌حل‌های خلاقانه‌ای برای مشکلاتی که قاعدتاً نباید وجود می‌داشتند ایجاد کنیم و بعد برای حل مشکلات این راه‌حل‌های خلاقانه مجدد مجبور می‌شویم راه‌حل‌های خلاقانه‌ای ایجاد کنیم و بعد از مدتی این حلقه تکرار می‌گردد، چون ما تصمیم گرفتیم که نظام خلاقانه‌ای را از خودمان به در کنیم ولی راه‌حل ساده‌تر که استفاده از تجارب دیگران را هست مطالعه نکردیم و نمی‌کنیم و نخواهیم کرد، چون اصرار بر بومی‌سازی بدون مطالعه مزایا و مضار تجربیات دیگران، بخش افتخار آمیزی از پیشینه مدیران تصمیم‌گیر ما شده است.

برای درک موضوع پیشنهاد می‌دهم سیر دگردیسی بنیادی خرید اینترنتی را در مدت ۱۷ سال در ایران مشاهده فرمایید:

۱-      بانک مرکزی امکان پذیرش کارت در خرید اینترنتی را محدود به کارت‌های صادره توسط بانک مالک در شرکت PSP کرد.

۲-      بانک مرکزی خرید اینترنتی را منوط به رمز اینترنتی ۵ تا ۱۲ رقمی (مجزا از پین کارت) نمود.

۳-      دی‌ماه ۱۳۹۸ بانک مرکزی رمز دوم پویا را اجباری کرد و خرید اینترنتی بیشتر از یک‌صد هزار تومان را منوط به فعال‌سازی و دریافت رمز دوم پویا نمود.

۴-      اخذ ای نماد چندی پیش برای فروشگاه‌های خرید، اجباری شد.

اما باز مشکل حل نشد و همچنان حملات فیشینگ روی درگاه‌های پرداخت وجود داشته و دارد. قبل از بیان مشکل بهتر است نگاهی به فرایند مفهومی خرید اینترنتی در دنیا بیندازیم:

وقتی دارنده کارت پرداخت را آغاز می‌کند، کارت پردازش می‌شود و بر اساس مبلغ موجود در حساب دارنده کارت، تراکنش تأیید می‌شود یا رد می‌شود. وضعیت تأیید نشده به این معنی است که دارنده کارت بودجه کافی در حساب برای انجام پرداخت ندارد. پس از شروع پرداخت، بانک صادرکننده وجوه را به پردازنده پرداخت منتقل می‌کند. پردازنده پرداخت سپس این وجوه را به بانک گیرنده منتقل می‌کند و سپس مبلغ معامله در حساب بازرگان بین یک تا سه روز تسویه می‌شود.

سؤال کلیدی در این فرایند در جمله آخر نهفته است، چرا بین یک تا سه روز بعد (در بخش زیادی از اروپا و آمریکای شمالی از ۲ تا ۳ روز متداول است)، آیا این زمان به جهت محدودیت‌های فنی تعیین شده است؟ جواب به این سؤال یکی از نکات مهم نظام صحیح خرید الکترونیک را مشخص می‌سازد.

 بهتر است به فرایندی که در حین یک خرید اینترنتی دقیقاً در ساید کلاینت و در ساید سرور در دنیا رخ می‌دهد توجه کنیم:

۱-      مشتری محصول یا خدمتی را که می‌خواهد بخرد انتخاب می‌کند و وارد صفحه پرداخت می‌شود. بیشتر درگاه‌های پرداخت گزینه‌های مختلفی برای صفحه پرداخت شما ارائه می‌دهند.

۲-      صفحه پرداخت میزبان:

صفحه پرداخت میزبان صفحه پرداخت خارج از فریم خود فروشگاه است که در آن مشتری آماده می‌شود تا آماده پرداخت شود. درگاه پرداخت قبل از انتقال داده‌های معامله به مقصد، به طور ایمن داده‌های تراکنش را دریافت می‌کند و مجاز به جمع‌آوری و یا ذخیره این داده‌ها  در سرور خود نیست.

۳-      ادغام سرور به سرور:

ارتباط سرور به سرور همچنین به‌عنوان یکپارچه‌سازی مستقیم شناخته می‌شود زیرا ارتباط بین دو سرور (سرور مرچنت با سرور درگاه پرداخت) را امکان‌پذیر می‌کند.

۴-      رمزگذاری سمت کلاینت:

رمزگذاری سمت مشتری که به آن رمزگذاری در منبع نیز گفته می‌شود، به رمزگذاری حساس روی دستگاه سمت سرویس‌گیرنده قبل از ارسال آن به سرور مقصد اشاره دارد. این ارائه‌دهنده درگاه را قادر می‌سازد تا الزامات انطباق شما با استاندارد PCI را برای مرچنت ساده کند. به طور خلاصه، این امکان را برای شما فراهم می‌کند که هنگام رمزگذاری داده‌های کارت در مرورگر خود، با استفاده از کتابخانه رمزگذاری درگاه پرداخت، پرداخت‌ها را در وب‌سایت خود بپذیرید.

۵-      مشتری جزئیات کارت اعتباری یا نقدی خود را در صفحه پرداخت وارد می‌کند. این جزئیات شامل نام دارنده کارت، تاریخ انقضا کارت و شماره CVV است. این اطلاعات بر اساس یکپارچه‌سازی شما (صفحه پرداخت میزبان، ادغام سرور به سرور یا رمزگذاری سمت مشتری) به‌صورت ایمن از طریق درگاه پرداخت شما منتقل می‌شوند. (دقت فرمایید در این فرایند چیزی به اسم رمز دوم ثابت یا پویا وجود ندارد)

۶-      درگاه پرداخت اطلاعات کارت را رمزگذاری می‌کند و کنترل‌های ضد کلاهبرداری را قبل از ارسال اطلاعات کارت به بانک گیرنده انجام می‌دهد.

۷-      بانک متعهد، اطلاعات را به‌صورت امن به شرکت‌های ارائه‌دهنده پرداخت الکترونیک می‌فرستد.

۸-      شرکت پرداخت الکترونیک، لایه دیگری از بررسی ضد تقلب را انجام می‌دهند و سپس داده‌های پرداخت را به بانک صادرکننده ارسال می‌کنند.

۹-      بانک صادرکننده، پس از انجام غربالگری ضد تقلب، مجوز معامله را صادر می‌کند. پیام پرداخت تأیید شده یا رد شده از طرح‌های کارت و سپس به گیرنده منتقل می‌شود.

۱۰-  بانک متعهد پیام تأیید یا رد را به درگاه پرداخت می‌فرستد و سپس پیام را به مرچنت منتقل می‌کند. در صورت تأیید پرداخت، مالک مبلغ پرداخت را از بانک صادرکننده جمع می‌کند و صندوق را در حساب واسط شما نگه می‌دارد.

۱۱-  وجوه را بعد از یک تا سه روز به‌حساب بازرگان واریز می‌کند، فرایندی که به‌عنوان تسویه‌حساب شناخته می‌شود. زمان تسویه‌حساب واقعی بستگی به توافق بازرگان با درگاه پرداخت خود دارد.

خوب در این فرایند که میلیاردها تراکنش در آن کارسازی می‌شود از رمز دوم ثابت، رمز دوم پویا، مجوز ای نماد و غیره خبری نیست، چرا؟

سه‌لایه سامانه‌های ضد تقلب و زمان تسویه بیش از یک روز جواب این سؤال است. در دنیا برای مبادلات اینترنتی صرفاً شماره کارت، تاریخ انقضاء کارت و شماره CVV مبادله می‌گردد اما به خریدار اجازه داده می‌شود که در این زمان تسویه اگر با فیشینگ و یا مشکلی مواجه شد خرید را کنسل و پول را به‌سرعت به‌حساب خود برگرداند و هزاران متد حقوقی برای حمایت از این موضوع تدوین شده است و همچنین برای مواردی که از همه اینها هم بتواند گذر کند، بیمه پرداخت‌های الکترونیکی تدوین شده است.

اما ما در ایران به‌جای همه اینها با رمز یکبار مصرف، رمز دوم پویا، رمز ثابت و هزار روش دیگر تمایل داریم این مشکل را حل کنیم. چون خشت اول را در تسویه با مرچنت به‌صورت آنی و حداکثر ظرف یک سیکل نهاده‌ایم و این خشت برای تصحیح عوارض جدی ممکن است داشته باشد.

پس به طور خلاصه آنچه لازم داریم برای حمایت از امنیت پرداخت اینترنتی شامل موارد زیر است:

۱-      سامانه‌های ضد تقلب در بانک پذیرنده، بانک مرچنت، شرکت ارائه‌دهنده درگاه یا سوئیچ ملی

۲-      افزایش زمان تسویه با مرچنت

۳-      تصحیح قوانین حقوقی و حمایتی لازم در مبارزه با افراد سودجو و کلاهبردار

۴-      بیمه پرداخت الکترونیک

۵-      استفاده از SSLهای معتبر برای کلیه درگاه‌های پرداخت الکترونیک

۶-      آگاهی‌بخشی به جامعه در خصوص موارد ۳، ۴ و ۵

۳ مرداد ۱۴۰۰ - ۱۲:۳۸
کد خبر: ۱۰۰٬۳۷۴

اخبار مرتبط

برچسب‌ها

نظر شما

شما در حال پاسخ به نظر «» هستید.
  • نظرات حاوی توهین و هرگونه نسبت ناروا به اشخاص حقیقی و حقوقی منتشر نمی‌شود.
  • نظراتی که غیر از زبان فارسی یا غیر مرتبط با خبر باشد منتشر نمی‌شود.
  • 2 + 4 =