جزییات رمزنگاری تراکنشها اعلام شد
موبنا – مسعود خاتونی در خصوص توقف خرید شارژ بر بستر USSD بر اساس بخشنامه بانک مرکزی از ۱۵ بهمنماه گفت: به عقیده من بانک مرکزی این کار را باید چند سال پیش انجام میداد زیرا با افزایش ضریب نفوذ اینترنت و رواج استفاده از گوشیهای هوشمند مردم میتوانند سرویسهای متنوعتر را در فضای امنتری دریافت کنند و با این روند کسبوکارها در لایههای جدید، نوآورانه و فناورانه تر توسعه پیدا میکنند.
خاتونی افزود: فارغ از مسائل و مشکلاتی امنیتی که بر بستر USSD وجود داشت به عقیده من یکی از بهترین اقدامات بانک مرکزی توقف خرید شارژ بر این بستر بود که با این بخشنامه از ۱۵ بهمنماه اجرایی میشود و این اقدام منجر به باز شدن فضاهای جدید در این بخش میشود.
وی تصریح کرد: بانک مرکزی به بانکها در چند ماه گذشته اجازه داد در فضاهای مجازی با تولید API ها ورود پیدا کنند که این روند زمینه برای توسعه کسب و کارهای نوین و ورود بازیگران جدید به عرصه بانکی و پرداخت برای تسهیل ارائه خدمات به آحاد جامعه را هموار کرد.
خاتونی در پاسخ به این پرسش که ممکن است شرکتهای PSP در این روند متحمل ضرر شوند، اظهارداشت: شرکتهای پرداخت الکترونیک به طور قطع روی درآمدی که از این بخش حاصل میشد در بودجههای خود در سال جاری و سال آینده حساب کرده بودند از اینرو شاید بهتر بود بانک مرکزی زودتر این موضوع را به شرکتهای پرداخت الکترونیک اعلام میکرد تا این شرکتهای میتوانستند این بخش را مدیریت کنند.
وی اذعان کرد: به اعتقاد من تنها چند شرکت PSP که سهم عمده از بازار USSD را دارند در این بخش در ابتدا شاید با کاهش درآمد مواجه شوند البته شرکتهای پرداخت الکترونیک شاخص حوزه پرداخت از سالهای قبل با پیشبینی این موضوع اپلیکیشن های پرداخت در فضای اینترنت را طراحی و با تبلیغات گسترده تعداد کاربران را افزایش و استفاده از این اپلیکیشن را رواج دادهاند.
عضو هیات مدیره بانک ملی تأکید کرد: همچنین از امروز یعنی ۷ بهمنماه به منظور فراهم آوردن مقدمات خدمات حساب یاری و ارتقا دسترسپذیری دارندگان کارت به خدمات بانکی، تراکنش مانده گیری ارسالی از درگاههای بدون حضور کارت دارای رمزنگاری مبدا تا مقصد در شبکههای شتاب و شاپرک پذیرش و پردازش خواهد شد بدین معنا که امکان اعلام موجودی با اپلیکیشنهای موبایلی امکانپذیر و مسیر تراکنشهای USSD با این روند به سمت اپلیکیشن های موبایلی هدایت میشود.
خاتونی اظهارداشت: شرکتهای PSP همچنین از قبل با ارائه سرویس به شرکتهای استارت آپی و فین تکی در حوزه پرداخت هم این کسبوکارها را توسعه دادهاند و هم تا حدودی مسیر تراکنشها را تغییر از بستر USSD به بستر اپلیکیشن های موبایلی هدایت کردهاند که با ایجاد محدودیت در USSD تراکنشها این شرکتها به سمت کانالهای دیگر پرداخت هدایت میشود و تاثیر چندانی بر درآمد این شرکتها ندارد.
وی در پاسخ به این پرسش که در این بخشنامه گفتهشده تراکنشهای فاقد رمزگذاری از مبدا تا مقصد در مسیرهای بدون حضور کارت تنها برای تراکنشهای پرداخت قبوض عمومی مجاز است و تراکنشهای مربوط به خرید شارژ و قبوض ویژه در شبکه شتاب و شاپرک از ۱۵ بهمنماه سال جاری پذیرش و پردازش نخواهد شد، منظور از رمزنگاری بهصورت دقیق در این بخشنامه چیست، تصریح کرد: این بخشنامه از خردادماه ابلاغ و جزییات آن به بانکها ارسالشده بود که تمام فعالان این حوزه باید به این موضوع دقت و بر روی این مسئله متمرکز میشدند.
عضو هیات مدیره بانک ملی در پاسخ به این پرسش که منظور از رمزنگاری در این بخشنامه سامانه پیوند است، گفت: این رمزنگاری در انتها به صورت تقریبی از فروردینماه سال ۹۷ به پیوند متصل میشود و منظور از رمزنگاری در این بخشنامه این است که وقتیکه یک تراکنش از مبدا تولید میشود و به سمت مقصد فرستاده میشود باید دربستهای قرار گیرد که دارای هویت باشد که از زمان تولید و تمام مسیری که طی میکند تا مقصد هویت آن به صورت کامل مشخص باشد.
وی افزود: زمانی که در مقصد یک تراکنش دریافت شد باید به طور کامل هدف از تولید تراکنش، لایههای امنیتی و کدهای که باید بر روی آن باشد تا در مقصد دی کد و رمزگشایی شود، تا در طول مسیر کاربران با اطمینان خاطر از اینکه هیچ کپچری در طول مسیر رخ نمیدهد با اطمینان خاطر تراکنش بزنند.
خاتونی در پاسخ به این پرسش که این فرآیند رمزنگاری از ۱۵ بهمن به بعد با چه ابزار عملیاتی میشود و سامانه پیوند قرار است چنین عملیاتی را انجام دهد، گفت: در این روند سامانه پیوند یکی از ابزارها است و افرادی که از سامانه پیوند استفاده کردهاند در اپلیکیشن های مختلف شرکتهای پرداخت الکترونیک و در اپلیکیشن پیامرسان بله به صورت خودکار به سامانه پیوند ارجاع داده میشود و تمام کارتهایی که در شبکه بانکی کاربران داشتهاند نشان داده میشود از اینرو سامانه پیوند تا حدود زیادی در بانکها و شرکتهای پرداخت اضافهشده است.
وی ادامه داد: مفهوم رمزنگاری این است که مبدا اطلاعات و هویت آن مشخص شود و ابزار این رمزنگاری استعلام از سامانه پیوند که هویت تراکنش را بررسی میکند و زمانی که تراکنشها از این مسیر به سمت مقصد ارسال شد باید کدگذاری بر روی آن ایجاد و در مقصد با دی کد کردن و رمزگشایی مشخص شود که در طول مسیر کوچکترین کپچری بر روی تراکنش صورت نگرفته است.
بانک مرکزی در دوم بهمن ماه با ابلاغ بخشنامه ای به بانک ها و موسسات عضو مرکز شتاب خرید شارژ و یا قبوض ویژه در شبکههای شتاب و شاپرک از ۱۵ بهمن را متوقف و همچنین مجوز مانده گیری بر روی اپلیکیشن های موبایلی را از امروز، ۷ بهمن ماه صادر کرد که در حقیقت این روند با هدف ارتقاء امنیت در این بخش و تغییر مسیر تراکنش ها به اپلیکیشن های موبایلی صورت گرفته است.
متن کامل نامهای که بانک مرکزی به مدیران عامل بانکها و مؤسسات عضو مرکز شتاب ارسال کرده است، به شرح زیر است:
با سلام؛
احتراماً، با صیانت از اطلاعات دارندگان کارت، ارتقا امنیت و بهبود خدمات بدون حضور کارت در شبکه شتاب، اقدامات به شرح زیر اجرایی میگردد:
۱. از روز یکشنبه مورخ ۱۵ بهمن ماه سال ۹۶ تراکنشهای فاقد رمزنگاری از مبدأ تا مقصد در مسیرهای بدون حضور کارت صرفا برای تراکنشهای پرداخت قبوض عمومی (نظیر قبوض آب، برق، گاز و تلفن شهری) مجاز است و تراکنشهای مربوط به خرید شارژ و یا قبوض ویژه در شبکههای شتاب و شاپرک پذیرش و پردازش نخواهد شد. در صورت مشاهده ارسال تراکنشهای غیرمجاز توسط بانک یا ارائهدهنده خدمات پرداخت، مسیر متناظر بانک یا موسسه متخلف به صورت کامل برای تمامی تراکنشها در شبکههای شتاب و شاپرک مسدود میگردد.
۲. از ابتدای اردیبهشتماه سال ۱۳۹۷، تراکنشهای مجاز بند (۱) نیز صرفا با اتکا به زیرساخت فراهم آمده در سامانه پیوند و از طریق شماره تلفن همراه به جای شماره کارت میسر بوده و تحت هیچ شرایطی شماره کارت در بسترهای فاقد رمزنگاری مبدأ تا مقصد انتقال نخواهد یافت.
۳. از روز شنبه مورخ ۷ بهمن ماه سال ۹۶ به منظور فراهم آوردن مقدمات خدمات حسابیاری و ارتقا دسترسپذیری دارندگان کارت به خدمات بانکی، تراکنش مانده گیری ارسالی از درگاههای بدون حضور کارت دارای رمزنگاری مبدا تا مقصد در شبکههای شتاب و شاپرک پذیرش و پردازش خواهد شد.
منبع: ایبنا