خانه » پست‌هایی با برچسب "PCI-DSS"

نگاهی به مسیر پرپیچ و خم USSD از * تا #

چه بخواهیم و چه نخواهیم کانال ناامن USSD به پایان عمر خود رسیده است. حالا امروز نه و چهار ماه بعد. این روزها می‌گذرد. در این گزارش نگاهی انداخته‌ایم به مسیر پرپیچ و خمی که یواس‌اس‌دی از ابتدا تا امروز طی کرده است.
در دنیای امروز که به دنیای تکنولوژی‌ها معروف است، سیستم پرداخت و بانکداری نیز با تحولات شگرفی در ساختارهای پولی و مالی مواجه شده است. امروزه بیشتر صنایع به سمتی رفته‌اند که به شکلی از موبایل و مزایای مختلف آن به نفع خود بهره می‌برند. یکی از موفق‌ترین صنایع در دنیا، صنعت بانکداری و پرداخت الکترونیکی است که با حداکثر قوا سعی داشته تمام خدمات بانکی و پرداخت خود را به شیوه‌های گوناگون از طریق این بستر در دسترس مشتریان خود قرار دهد.
یکی از شیوه‌های پرداخت همراه استفاده از کدهای دستوری (کانال یواس‌اس‌دی) است که در غیاب بستر اینترنتی مناسب در حوزه تلفن همراه برای دریافت خدمات، در ایران به‌شدت گسترش یافته است، اما به‌دلیل اینکه در این کانال اطلاعات به‌صورت مناسب رمزنگاری نمی‌شود و اصطلاحا به شکل Plaintext منتقل می‌شوند، ناامن هستند. اخیرا نیز بخشنامه‌ای از سوی بانک مرکزی ابلاغ شد که در آن گفته شده بود تمامی تراکنش‌های یواس‌اس‌دی به‌جز پرداخت قبوض عمومی از این بستر حذف می‌شوند. مطابق این بخشنامه، اطلاعات حساس کارت مردم، نظیر رمز دوم آنها، نباید از مسیرهایی که فاقد رمزنگاری مناسب بوده و امکان ذخیره‌سازی یا مشاهده آن توسط عواملی غیر از بانک یا ارائه‌دهنده خدمات پرداخت وجود دارد، مبادله شوند. با این تغییر، نقش اپلیکیشن‌های پرداخت موبایلی شرکت‌های پرداخت و بانک‌ها پررنگ‌تر می‌شود. با توجه به این بخشنامه قرار بود از ۱۵ بهمن‌ماه این تغییرات اعمال شود که با توجه به مخالفت‌هایی که برای عملیاتی شدن این تغییرات به‌وجود آمد، اجرای این بخشنامه به شکل دیگری در حال پیگیری است. با اتفاق‌های پیش‌آمده، یواس‌اس‌دی نفس‌های آخر را می‌کشد و شاید بد نباشد یک بار دیگر نگاهی داشته باشیم به مسیری که این فناوری از ظهور تا سقوط طی کرده است.

نطفه‌ ایجاد یواس‌اس‌دی

می‌توان گفت از حدود سال ۸۵ بود که موضوع پرداخت موبایلی در کشور داغ شد و بانک‌ها و شرکت‌های پرداخت مختلف هر کدام با رویکردی متفاوت در این زمینه شروع به کار کردند. اولین شرکتی که به این فکر افتاد تا پرداخت موبایلی را با روشی امن و منطبق با استانداردهای مورد قبول بانک مرکزی در ایران راه‌اندازی کند، شرکت پرداخت الکترونیک سامان (سپ) بود.
در سال ۸۹ سپ به این نتیجه رسیده بود که می‌تواند از یواس‌اس‌دی به‌منظور انجام پرداخت موبایلی استفاده کند و برای این کار با اپراتورها به مذاکره پرداخت، اما اپراتورهای کشور همکاری لازم را با این مجموعه نکردند و به همین دلیل پرداخت الکترونیک سامان برای اولین بار این کار را با همکاری شرکت کوچکی در کیش پیاده‌سازی کرد که برای محدوده جزیره کیش خدمات اپراتوری موبایل انجام می‌داد؛ بنابراین در آن زمان شرکت پرداخت الکترونیک سامان تنها دارنده مجوز بانک مرکزی در حوزه ارائه خدمات پرداخت تلفن همراه با تکنولوژی یواس‌اس‌دی بود.

یواس‌اس‌دی در ابتدا مسیر امنی را شروع کرد

مدل ارائه‌شده توسط پرداخت الکترونیک سامان، مدلی امن و مناسب برای ارائه خدمات پرداخت الکترونیک بود و این روش از نظر امنیتی کاملا توسط بانک مرکزی مورد قبول واقع شد و استاندارد امنیتی PCI-DSS را تا حد بسیار مطلوبی پوشش می‌داد؛ بنابراین یواس‌اس‌دی که سپ در سال ۸۹ راه‌اندازی کرد با یواس‌اس‌دی‌هایی که امروزه می‌شناسیم بسیار متفاوت بود. یکی از علل امنیت بالای آن نیز این بود که هر کاربر برای استفاده از این بستر باید یک بار به شکل اینترنتی شماره همراهش را به‌همراه برخی اطلاعات کارت بانکی، همچون شماره کارت در یک سامانه ثبت می‌کرد و هنگام استفاده از این تکنولوژی روی موبایل، دیگر لازم نبود اطلاعات حساس بانکی خود را ارسال کند؛ بلکه این اطلاعات حساس صرفا با شناسایی شماره موبایل کاربر، از مرکز داده فراخوانده می‌شد.

معمار چند تا شد؛ آش شور شد

اما پس از سپ دیگر رقبا نیز وارد میدان شدند و برای افزایش تعداد کاربران خود و گرفتن سهم بازار، قوانین بازی را بر هم زدند و از آنجا به بعد بود که یواس‌اس‌دی از مسیر امن بودن خارج شد؛ چراکه دیگر ارائه‌دهندگان بدون نیاز به پیش‌ثبت‌نام اطلاعات کارت بانکی در یک سامانه مجزا، قادر به استفاده مستقیم از این بستر با استفاده از اطلاعات حساس کارت بانکی خود بودند و این شد که این بستر ناامن، راهش را تا همین امروز نیز ادامه داد. بسیاری از متخصصان معتقدند بانک مرکزی به‌عنوان نهاد ناظر و قانون‌گذار باید در این مرحله ورود می‌کرد و اجازه نمی‌داد یواس‌اس‌دی از مسیر امن خودش خارج شود، اما این اتفاق نیفتاد.
از میان بانک‌ها نیز، اولین بانکی که بعد از شرکت پرداخت الکترونیک سامان، به سمت ارائه خدمت از طریق یواس‌اس‌دی آمد، بانک پاسارگاد بود. سال ۹۰، بانک پاسارگاد سیستم پرداخت همراه مبتنی بر بستر یواس‌اس‌دی خود را با همکاری شرکت ایرانسل راه‌اندازی کرد، اما اواخر خرداد ۹۱ بود که شرکت جیرینگ هم به‌سراغ یواس‌اس‌دی رفت و با همبانک به‌عنوان محصول مشترک بانک سینا، شرکت توسن و جیرینگ وارد دوران جدیدی شد. همبانک سینا آن زمان این‌گونه معرفی شد: «همبانک سینا بانکداری همراه مبتنی بر بستر یواس‌اس‌دی است و بدون نیاز به نصب هرگونه نرم‌افزار روی تمامی گوشی‌های تلفن همراه و فقط با گرفتن کد #۷۲۷* قابل ‌استفاده است و مشتریان می‌توانند با استفاده از این خدمت در هر زمان و مکان، حتی در خارج از ایران بدون هزینه رومینگ از خدمات انتقال وجه، پرداخت قبوض، خرید شارژ، دسترسی به اطلاعات حساب‌ها، مانده‌گیری، عملیات بین‌بانکی ساتنا و پایا، پرداخت اقساط تسهیلات و مدیریت چک و غیره بهره‌‌مند شوند.» ناگفته نماند همراه اول در ابتدا تا مدت‌ها اصرار داشت روش خود را پیاده کند و حاضر نبود با سپ به‌عنوان اولین شرکت پرداختی که پا به عرصه یواس‌اس‌دی گذاشته بود، بر سر همراه ۲۴ همکاری کند. از سال ۹۱ تا سال ۹۵ کمتر بانک یا شرکت ارائه‌دهنده راهکارهای پرداختی را می‌توان یافت که هوس ارائه این خدمات دم‌دستی و ناامن بر سرش نزده باشد.

برنده میدان یواس‌اس‌دی که بود؟

بانک‌ها و شرکت‌های پرداخت در یک بازه زمانی و در یک چشم‌وهم‌چشمی وحشتناک هزینه فراوانی را صرف توسعه روشی ناامن کردند که برنده واقعی آن، اپراتورهای مخابراتی بودند و بیشترین کاربرد آن هم فروش شارژ برای همین اپراتورها بود. در این بین حتما باید به قراردادهای ظالمانه اپراتورهای تلفن همراه با شرکت‌های پرداخت الکترونیکی نیز اشاره کرد که نفس بانک‌ها و شرکت‌ها را گرفته بود. شاید به‌دلیل همین قراردادهای یک‌طرفه بود که کمتر در بانک‌ها شاهد اعتراض به ایجاد محدودیت برای یواس‌اس‌دی بودیم و حداقل در این روزها شاهد تکاپوی تمام‌نشدنی شرکت‌های مخابراتی و زیرمجموعه‌های آنها هستیم.

بانک مرکزی دیر از خواب بیدار شد

در ادامه مسیر از سال ۹۱ به بعد، بستر یواس‌اس‌دی رشد قابل ‌توجهی را تجربه کرد و اکثر بانک‌ها و تقریبا تمام شرکت‌های پرداخت به‌ فکر راه‌اندازی خدمات بر بستر یواس‌اس‌دی افتادند. در واقع ارائه خدمات بانکی و پرداخت بر بستر کدهای یواس‌اس‌دی جایی بود که بانک‌ها به یکباره سعی کردند در آن ورود کنند و همه یک سرویس را فقط از روی هم کپی کردند؛ بدون اینکه هیچ‌کدام سرویس منحصربه‌فرد و تازه‌ای را ارائه کنند. تا جایی ارائه خدمت از طریق یواس‌اس‌دی بالا گرفت که دیگر بازار از این تعداد کد یواس‌اس‌دی اشباع شده بود و تعداد تراکنش‌های انجام‌شده این بستر در حال افزایش روزافزون بود؛ در این دوره بود که بانک مرکزی تازه متوجه اوضاع بد این بستر شد.

اقدامات بانک مرکزی برای محدود کردن این بستر ناامن

بانک مرکزی ایران در اولین قدم در ۲۰ خردادماه ۹۳ دریافت موجودی از طریق کدهای یواس‌اس‌دی را منوط به پرداخت کارمزد ۱۲۰ تومانی از سوی کاربر نهایی کرد تا حجم تراکنش‌های اعلام موجودی روی این بستر کاهش یابد. در قدم دوم نیز بانک مرکزی در نیمه مهرماه ۹۴ اقدام به ممنوعیت اعلام موجودی و خرید بر بستر یواس‌اس‌دی برای شرکت‌های پرداخت کرد و همزمان سقف حداکثر ۲۰۰ هزار تومان را برای پرداخت قبوض بر این بستر اعلام کرد که باعث شد دیگر هیچ سرویس بانکی‌ای روی این بستر ارائه نشود و تنها سرویس‌های پرداختی خرید شارژ و پرداخت قبوض بر این بستر ارائه شوند که در این‌ بین نیز تراکنش‌های خرید شارژ بسیار بیشتر از تراکنش‌های پرداخت قبض بود، به‌طوری‌ که عملا می‌توان بستر یواس‌اس‌دی را درگاه فروش شارژ دانست. سومین قدم بانک مرکزی نیز در سال ۹۵ بود که به‌منظور ارتقای سطح امنیت بستر یواس‌اس‌دی، سامانه پیوند را راه‌اندازی کرد که در آن صورت تمامی افرادی که قصد استفاده از خدمات یواس‌اس‌دی را داشتند، باید نسبت به اتصال شماره کارت خود به شماره تلفن همراه از طریق سامانه پیوند اقدام می‌کردند؛ در واقع بانک مرکزی قصد داشت تا با راه‌اندازی این سامانه، کاربران یواس‌اس‌دی، بتوانند بدون وارد کردن شماره کارت بانکی و به ‌بیان ‌دیگر بدون به خطر انداختن امنیت حساب بانکی خود، از کدهای یواس‌اس‌دی استفاده کنند؛ اما الزام به استفاده از این سامانه با جدیت لازم دنبال نشد و تغییر چشمگیری نداشت.
در همین بازه زمانی، چند ماه پیش بود که سروکله تبلیغات #۳* در صداوسیما پیدا شد؛ این سرویس متعلق به شرکت توسکاست که وابسته به یک اپراتور تلفن همراه است. این شرکت قصد داشت طی یک عملیات انتحاری و با انحصاری که در صداوسیما ایجاد کرده بود، سهم شرکت‌های پرداخت روی فروش شارژ تلفن همراه را در دست بگیرد. در حالی ‌که هر روز شاهد حجم گسترده تبلیغات این شرکت برای خدمات یواس‌اس‌دی هستیم، چندی پیش بانک مرکزی چهارمین قدم خود برای جلوگیری از ناامن بودن این بستر را برداشت و ماهیت این بخشنامه‌ این بود که از ۱۵ بهمن‌ماه ۹۶ تنها پرداخت قبوض عمومی از طریق این بستر امکان‌پذیر است و تراکنش‌های دیگر از روی آن حذف خواهد شد که این اقدام جدید بانک مرکزی حجم سنگینی از هجمه‌ها و مقابله‌ها را در پی داشت. این انتقادها بیشتر از طرف کسب‌وکارهای مبتنی بر یواس‌اس‌دی و اپراتورها دنبال شد و این شرکت‌ها شاکی شده‌ بودند که چرا به ‌یکباره بانک مرکزی چنین تصمیمی گرفته است، آن ‌هم بعد از پا گرفتن کسب‌وکارهایی که بر پایه این کانال فعالیت می‌کنند؛ هرچند تاریخچه مطرح‌شده نشان می‌دهد که اقدام بانک مرکزی ناگهانی نبوده و این محدودیت قدم‌به‌قدم انجام شده است و بانک مرکزی در طول سال‌های گذشته همواره به نهادهای بالادستی در خصوص ناامنی این بستر هشدارهای امنیتی داده است. اقدام جدید بانک مرکزی البته موافقانی هم داشت؛ آنهایی که به یواس‌اس‌دی به چشم یک کانال ناامن در پرداخت و بانکداری الکترونیکی می‌نگرند که اغلب فعالان نظام بانکی و پرداخت بودند که به‌خوبی از ناامنی این بستر آگاه هستند؛ اما در هر صورت ظاهرا اجرای این بخشنامه تا اردیبهشت‌ماه ۹۷ به تعویق افتاده است.
در «راه پرداخت» با بسیاری از مدیران ارشد سیستم بانکی و پرداخت در رابطه با تصمیم جدید بانک مرکزی گفت‌وگو کردیم و بیشتر آنها معتقد بودند که بانک مرکزی خیلی زودتر از اینها باید این تصمیم را برای بستر یواس‌اس‌دی می‌گرفت. به اعتقاد آنها شاید علت این تاخیر در چنین تصمیم‌گیری، فراگیر نبودن ابزارهای جایگزین مانند اپلیکیشن‌های موبایلی یا مشکلات گسترده عدم دسترسی به اینترنت همراه در کشور باشد و اما اکنون ‌که این چالش‌ها رفع شده‌اند و اپلیکیشن‌های پرداخت در اختیار مردم قرار گرفته‌‌اند، بانک مرکزی به این نتیجه رسیده است که دیگر یواس‌اس‌دی نمی‌تواند بستر قابل ‌اعتماد و اتکایی باشد و پتانسیل بالایی برای ایجاد چالش‌های امنیتی برای نظام بانکی کشور دارد.

بر سر قبر یواس‌اس‌دی، گریه نکنید!

موضوعی که واضح است اینکه چه بخواهیم و چه نخواهیم یواس‌اس‌دی رفتنی است و مخالفان حذف یواس‌اس‌دی خیلی نباید به ادامه زندگی این بستر امیدوار باشند؛ چراکه این قبری که بالای سرش گریه می‌کنند، مرده‌ای درونش نیست و دیر یا زود این بستر با نابودی مواجه خواهد شد؛ چراکه شاهد وجود اپلیکیشن‌هایی هستیم که همان خدمات را با امنیت بسیار بهتر و با رمزگذاری اطلاعات کارت کاربران در اختیار مشتریان قرار می‌دهند؛ آن هم با تجربه کاربری خیلی بهتر.

🗞منبع خبر: راه پرداخت