پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
سامانه هریم بانک مرکزی چه مشکلاتی را در راستای اجرای رمز دوم پویا ایجاد میکند؟
بر اساس ابلاغیه بانک مرکزی، طرح رمز دوم یکبار مصرف از 15 دی ماه اجباری میشود. از این تاریخ دیگر رمزهای ایستا اعتباری نخواهند داشت و انجام تمامی تراکنشهای بدون حضور کارت با رمز دوم یکبار مصرف قابل انجام است.
در طرح اولیه اجرای رمز دوم پویا، قرار بود بانکها زیرساخت لازم برای تولید رمز دوم یکبارمصرف را در قالب اپلیکیشن فراهم کنند و بهرهگیری از رمز دوم یکبارمصرف از اول خردادماه سال 13۹۸ اجباری شود، اما به دلیل اینکه تمام کاربران به گوشیهای هوشمند دسترسی نداشته یا علاقهمند به نصب برنامک رمزساز روی گوشی خود نبوده و همچنین تعدادی از بانکها زیرساخت لازم برای راهاندازی این طرح را در اختیار نداشتند، الزامی شدن آن به تعویق افتاد.
بانک مرکزی هم با این هدف که در ارائه رمز دومیکبار مصرف، تسهیل تجربه کاربری فراهم شود، سامانه هدایت رمز یکبار مصرف را پیادهسازی کرده که تحت عنوان «هریم» برای دریافت پیامکی رمز دوم پویا فعال میشود.
طبق گفته مدیرعامل شرکت خدمات انفورماتیک، سید ابوطالب نجفی تغییرات لازم در سیستمهای فنی برای اجرای پروژه رمز دوم یکبار مصرف انجام شده و بانکها بستر ارائه رمز دوم پویا به مشتریان را ایجاد کردهاند؛ در همین راستا شرکت خدمات انفورماتیک برای ارائه رمز دوم پویا سامانه هدایت رمز دوم یکبار مصرف بانکی تحت عنوان «هریم» را ایجاد کرده که طبق دستورالعمل بانک مرکزی، تمامی بانکها باید به آن متصل شوند.
فعالیت این سامانه بدین صورت است که تمام بانکهای کشور بعد از اتصال به سامانه هریم بانک مرکزی میتوانند درخواست رمز دوم یکبارمصرف مشتریان خود را دریافت و پاسخ را در قالب پیامک به مشتریان خود ارائه دهند که از این مسیر افرادی که فاقد گوشی هوشمند هستند و همچنین افرادی که میلی به نصب چندین اپلیکیشن برای پرداختهای غیرحضوری خود ندارند، میتوانند از رمز دوم یکبار مصرف استفاده کنند.
در این باره بخوانید: محمدرضا جمالی: اجرای طرح رمز یکبار مصرف بدعتی روی بدعتهای قبلی است
اما این سؤال پیش میآید که چرا نهادی غیر از بانک میخواهد این سامانه را راهاندازی کند و آیا با راهاندازی سیستم پیامکی، امنیت بیشتری ایجاد میشود یا خیر؟
محمدرضا جمالی، مدیرعامل نبضافزار معتقد است علاوه بر مشکلات کیفی و امنیتی پیامک، هزینه دوبارهای به صنعت بانکداری تحمیل میشود، سرعت پرداخت نیز کاهش مییابد و این کار، ایجاد صف میکند.
توقف طرح اجباری کردن رمز دوم پویا جلوی ضرر را میگیرد
جمالی توضیح داد: «طرح رمز دوم پویا در هر مرحلهای که هست باید متوقف شود و بانک مرکزی دخالت اجرایی در آن نداشته باشد. هر بانک برای تأمین امنیت مشتریان خود از روشهای عرف و استاندارد استفاده میکند و نباید این مساله را اجباری کرد. با آزاد گذاشتن این موضوع نیز ریسک و هزینه به نقطه تعادل خود میرسند. زیرساخت امنیتی بانکها مشکلی ندارد و حتی مشتری که امنیت بیشتری میخواهد میتواند هزینه بیشتری صرف و از نرمافزارها و خدمات مدرن هر بانک استفاده کند.»
او تاکید کرد: «مشکل اصلی ما در قوانین است نه بانکها و باید اصلاح قوانین هم در قوانین جزایی مربوط به جرائم سایبری و هم در قوانین نظامهای پرداخت صورت گیرد.»
جمالی با بیان اینکه با اجرای این کار امنیت بیشتر نمیشود، توضیح داد: «مثل این است که بگوییم برای دزدی ارتفاع دیوار خانهها را به جای سه متر شش متر کنیم و بقیه آثار آن را در نظر نگیریم. همین الان مغایرتهایی که بهدلیل مشکلات عملکردی و ساختار فوق متمرکز و غیرپاسخگوی شتاب و شاپرک وجود دارد صدها برابر کل گردش فیشینگ است.»
او با اشاره به اینکه با اجرای این کار یک سامانه متمرکز به سامانههای قبلی اضافه میشود، گفت: «هزینه رفع یک خطا در پرداختهای خرد بالاست. بهطور مثال اگر بهازای هر 100 تراکنش یک مغایرت وجود داشته باشد، حداقل 50 هزار تومان هزینه صرف مغایرت میشود، با این کار به شدت مغایرتهای مالی بالا میرود. هیچ مدلسازی و ارزیابی هم در این حوزه صورت نگرفته است. باتوجه به اینکه کارمزد را بانکها میدهند، این هزینه بر روی قیمت تمام شده پول اثر میگذارد. با اجرای سامانه هریم هم هزینه اضافهتری ایجاد میشود.»
طبق گفته جمالی در پرداختهای خرد باید هم سرعت و هم امنیت بالا باشد و هیچ ابزاری حتی کیف پول تاکنون نتوانسته با ابزارهایی مانند سکه و اسکناس رقابت کند. از نظر سیستمی در پرداختهای خرد نیاز به ابزارهایی با دقت 5000 تراکنش یک خطا داریم، در حالی که همین الان در بهترین حالت شبکه برخط کنونی 150 تراکنش، یک خطا دارد و در روز واریز یارانهها و یا روزهای پر ترافیک سطح کیفی تا 50 تراکنش، یک خطا کاهش مییابد.
مدیرعامل نبضافزار معتقد است: «در هر کاری باید ریسک و هزینه در نظر گرفته شود. وقتی مجموع فیشینگها حدود ۶۰۰ میلیون در سال و قابل پیگیری است، لزومی ندارد روزانه حداقل ۵۰۰ میلیون تا یک میلیارد تومان هزینه را به شبکه اضافه کنیم. دادن خسارت به مشتریان توسط بانکها و نبود قانون درست باعث میشود که یک بازی ناپایدار شکل بگیرد و به علت نبود قانون درست در یک بازه کوتاه منابع زیادی از بانکها به بهانه مقصر بودن آنها بر طبق شکایتهای صورت گرفته از بانکها پرداخت شود.»
سیستم متمرکز بر پیامک برای رمز دوم پویا علاوهبر اینکه هزینه دوبارهای را به صنعت بانکداری تحمیل میکند، سرعت پرداخت را نیز کاهش میدهد و ایجاد صف میکند. این صف هم در کسبوکارها و هم در زیرساختهای بانکی ایجاد میشود. ما اکنون در شرایطی هستیم که تراکنشها در برخی بانکها کمتر از صد تا ۵۰۰ میلی ثانیه صورت میگیرد و اگر موضوع رمز یکبار مصرف با سیستم متمرکز و یا جداگانه بانکها مبتنی بر پیامک اجرا شود، تمام تراکنشها باید منتظر بمانند و زیرساخت کنونی شتاب، شاپرک و بانکها به هیچوجه نمیتوانند چنین حجمی از تراکنشها را نگه دارند. مشکلات کیفی و امنیتی پیامک هم باید در نظر گرفته شود و به هیج وجه پیامک قابلیت اعتماد لازم را برای قرار گرفتن در این زنجیره خدمت ندارد.
محمدرضا جمالی، مدیرعامل نبضافزار
دراین باره بخوانید: صادق فرامرزی: تصمیم اجرای رمز دوم پویا به ناچار گرفته شده است
باتوجه به گفتههای جمالی این طرح اگر اکنون جمعآوری شود ضرر کمتری را تحمیل میکنیم و اگر ریسک را با هزینه بسنجیم متوجه میشویم ریسک این مساله از هزینه آن بسیار کمتر است. بنابراین توجیهی برای اجرای این طرح وجود ندارد. از سوی دیگر با چک کردن حساب افراد باید جلوی تقلب را گرفت، چراکه همه حسابها مشخص و دارای شماره ملی افراد است و اگر قانون مناسبی را برای تقلبهای بانکی در نظر بگیریم مساله فیشینگ اتفاق نمیافتد. تراکنش باید بین حسابها جابهجا شود و پیدا کردن و شناسایی شخص خلافکار از طریق حساب کم هزینهتر از این فعالیتهاست. قانون برای جرم صورت گرفته هم میتواند جزای مناسب تعیین کند که ریسک کنترل شود و شاهد افزایش سو استفادهها از اطلاعات کارتها نباشیم.
ارائه رمز دوم پویا با پیامک هزینه بالایی را به بانکها تحمیل میکند
برخی از کارشناسان معتقد هستند که ارائه OTP باید با اپلیکیشن صورت گیرد و ارائه این خدمت با پیامک منطقی نیست. جمالی در این باره گفت: «دریافت رمز پویا با پیامک و در این مقیاس مناسب نیست. علاوهبر ناامن بودن، این روش تأخیر هم دارد. همچنین هزینه بالایی دارد و اگر به بانکها تحمیل شود به هزینه عملیاتی بانکها اضافه میشود، در حالی که هزینه اینترنت کاربران برعهده خودشان است.»
بانک مرکزی گفته است راهاندازی این سامانه باعث میشود که درگاههای جعلی آسانتر شناسایی شوند، چراکه اگر سایتی دکمه پیامک را در درگاه خود فعال کند ولی مشتری پیامکی دریافت نکند، نشان میدهد که درگاه جعلی است و از این رو فیشینگ کاهش مییابد. جمالی در این باره توضیح داد: «بانک مرکزی برای شاپرک هم با هدف جمعآوری کارتخوانهای اضافه همین صحبتها را مطرح کرد، اما یک میلیون کارتخوان به ۷ میلیون رسید، کارمزد ۱۵ هزار میلیارد تومانی به بانکها تحمیل شد و فساد تو در تو شکل گرفت. قبول کنیم که امنیت، ابعاد مختلفی دارد و تحلیل ریسک و هزینه باید بهدرستی صورت گیرد. در غیر این صورت با بدعتی جدید، مشکلات جدیدتری ایجاد میشود.»
معایب این طرح به مشکلات قبلی نظام پرداخت میافزاید
جمالی به معضلاتی که اکنون گریبانگیر نظام پرداخت است اشاره کرد و توضیح داد: «سامانه هریم از نظر هزینه، ریسک تمرکز، امنیت، سرعت پرداخت و سطح پایین قابلیت اعتماد مشکل دارد. اکنون مشکلاتی که در قوانین قبلی نظام پرداخت وجود دارد حل نشده و با اجباری کردن رمز دوم پویا معضل جدیدی به معضلهای قبلی اضافه میشود. در حالیکه اگر این طرح در جایگاه درستش انجام شود، باعث بهبود امنیت میشود.»
او ادامه داد: «انجام دادن آن در سطح ملی هم ریسک امنیتی بالایی را ایجاد میکند و کاربران هم حاضر نمیشوند هزینه اضافه را پرداخت کنند در حالی که اگر هر بانک به صورت مناسب عمل کند هم از نظر کسبوکار، هزینه و ریسک در تعادل قرار میگیرد و هم ریسک عملیاتی و امنیتی متوجه کشور نخواهد شد. متاسفانه علی رغم صبحتهای رئیس کل و تاکید بر توسعه سیستمهای نظارتی در معاونت فناوری نوین بانک مرکزی شاهد همان رویههای قبلی در معاونت فناوریهای نوین بانک مرکزی و نظامهای پرداخت کشور هستیم.»
پلیس فتا با کارشناسی ناقص وارد این مساله شده و این مساله را در سطح یک مساله امنیت ملی جلو برده است، در حالی که مشکلات امنیتی در معماری نظامهای پرداخت وجود دارد که هم از نظر عملیاتی و هم از نظر اقتصادی ضررهای بسیاری به کشور وارد میکند.
محمدرضا جمالی، مدیرعامل نبضافزار
جمالی با بیان این مطالب گفت: «شوکهای ارزی و عدم پوشش نیازمندیهای بانکی و پرداخت در سیل امسال نمونههایی از این موارد بود که با تضعیف سکه و اسکناس باعث بدتر شدن وضعیت در مناطق بحران دیده شد. همچنین منفعل بودن بانک مرکزی به دلیل مجری بودن و همچنین ذینفع بودن در درآمدهای شتاب و شاپرک باعث شده که در جایگاه ضعیفی از نظر رگولاتوری در برابر پلیس فتا قرار گیرد و این موضوع به صورت نادرست به سیستم بانکی و پرداخت کشور تحمیل شود.»
جمالی معتقد است ریشه مطرح شدن این موضوعات شرکتهای فروش سختافزار هستند که آنها در پشت پرده، به هر شکلی سود خود را میبرند. ما باید با کارشناسی درست جلوی این جوسازیها را بگیریم که در نهایت بدون ارزشافزوده، باعث بالا رفتن هزینه تمام شده پول و به تبع آن نقدینگی و تورم شویم.
این سامانه فعلا جزاعصاب روان مردم بهم ریخته کار مثبتی ندیدم همه مردم فیلسوف نیستند راه ساده تری ایجاد کنید
اتفاقا همان دکمه که در درگاه های پرداخت برای ارسال رمز یکبار مصرف اضافه خواهد شد وسیله ای برای سوء استفاده و هک کارت افراد خواهد شد. توضیح آن بماند
خیلی جالبه که این عزیز دل هنوز نمیدونه هریم چه طوری کار میکنه بعد نظر کارشناسی میده.
اینجاش را خیلی دوست داشتم:
“اگر موضوع رمز یکبار مصرف با سیستم متمرکز و یا جداگانه بانکها مبتنی بر پیامک اجرا شود، تمام تراکنشها باید منتظر بمانند و زیرساخت کنونی شتاب، شاپرک و بانکها به هیچوجه نمیتوانند چنین حجمی از تراکنشها را نگه دارند. ”
در رمز دوم پویا ارسال رمز قبل از شروع تراکنش ملی است. و اصلا تراکنشی جایی نگه داشته نمیشه.
مورد دوم اینکه، مجبور کردن مردم به نصب نرم افزارهای رمز ساز به ازای هر بانک برا کاربران امری زجر اور هسش. تصور کنید به ازای هر کارتتون چند تا app باید نصب کنید
حالا در نظر بگیرید تنها با فشردن یک دکمه یک رمز براتون پیامک بشه. مسلما این روش تجربه کاربری بهتره خواهد داشت.
چیزی وجود داره به نام سکشن ( جلسه ) که برای هر تراکنش تخصیص میشه و به همین دلیل است که یک ثانیه شمار در صفحه ی پرداخت شاپرکی وجود داره . در طول این سکشن شما یک پورت از درگاه را اشغال خود کرده اید . حالا مشکلات آنتن دهی و چند سیمکارته بودن گوشی ها و قطع اینترنت و دریافت پیامک را هم به مسایل فوق اضافه کنید تا بفهمید اشکال کار کجاست .
مدل جدیدتتون هست؟
خوب اگه قرار نظر ندیدم چرا کادر نظر دهی را گذاشتید؟
دیروز کامنت گذاشتم امروز میام میبینم نیستش.
مثلا رسانه هستید
در مقاله فوق هیچ کجا اثری از حمایت از مشتری نیست یعنی نویسنده با اینکه از هزینه هایی که برای ایجاد امنیت مشتریان به بانکها تحمیل شده گله گذاری بیشمار میکند و از همه گروهها انتقاد میکند اما انتظار دارد هزینه کلاهبرداری ها و فیشینگ همچنان توسط مشتری ارائه شود و بانک هیچ مسئولیتی نپذیرد در صورتی که در همه جای دنیا مشتری کسی نیست که هزینه امنیت پرداخت کارتی را میپذیرد. فکر میکنم به جای ایراد گرفتن و متهم کردن و بیان این که وظیفه کسان دیگر است که امنیت بیشتر از قبل برای مشتریان کارتی فراهم کنند باید از هر طرحی که از مردم پشتیبانی بیشتری از قبل انجام میدهد حتی اگر این پشتیبانی تغییر کوچکی نسبت به قبل باشد حمایت کنیم و مانند همه مسئولین کشور فقط به دنبال انتقاد و متهم کردن افراد در پروژه هایی که چون نقشی در اجرای آنها نداریم مورد انتقاد ما است دست برداریم. مردم به اندازه کافی از زد و بند های سیاسی کلافه هستند و نباید نمک به زخم آنها پاشید.
سلام
دوست عزیز اتفاقا در تمام دنیا هم مسئولیت بر عهده مشتری نهایی نیست و نهادهایی مثل ویزا و مستر این ریسک رو بر عهده گرفتن که معادلش در ایران میشه جایی مثل شاپرک که باید این ریسک رو برعهده بگیره و به شیوه درست مدیریتش کنه. نه با سخت کردن و پیچیده کردن امور! یک جایی مثل شاپرک حتی با یک سیستم آنتی فراد میتونه جلوی خیلی از این تراکنشها رو بگیره. آیا داره الان چنین کاری رو میکنه؟ بابت این پولی که میگیره شاپرک دقیقا چه ارزش افزودهای رو داره برای تراکنشهای مردم ایجاد میکنه؟
سلام
سرویسهای آنتی فراد دنیا هیچکدام مجانی نیست مستر و ویزا این سرویسهای خودشون را به فروشندگان کالا میفروشند چون آنجا فروشنده است که هزینه تقلب را باید بپردازد پس با این حساب اگر شاپرک هم این سرویس را راه اندازی کند که به نظر من باید اینکار را بکند نباید همه هزینه های آنرا خودش پرداخت کند.
سلام
نویسنده به اندازه کافی دانش ندارد در این مورد. منتظر ماندن برای دریافت رمز دوم اساسا پیش از شروع تراکنش است. بنابراین چطور ایشان می گوید صف ایجاد می شود؟؟؟
ما هرکس رو که دیدیم ازین طرح ناراضی بود و باهاش مشکل داشت، ضمنا زیر لب هم به مسئولین مربوطه یک سری جملات بوق دار میگفت.
ما که برعکس اش را دیدیم
درود
مسئله اینجاست که در این طرح و بیشتر طرح های بانکی ایران قبل از هرچیز به نفع و ضرر بانک ها توجه شده نه مشتری .
دوم اینکه بیشتر مردم کارت بیشتر بانک هارو دارن و برا هرکدوم یه نرم افزار و بعضی بانکا دو تا نصب کردن حالا باز یکی دیگه برا هربانک ؟؟// خب اساتید یه نرم افزار مطمئن طراحی کنید که برا همه بانکا جواب بده ، چه کاریه خب؟
سوم : فکر اون تعداد زیاد مردم که گوشی هوشمند ندارند رو نکردید هنوز بعد میاید طرح پیاده میکنید ؟//
اسکل آبادیست این سراا
سلام
مشکل دیگه ای هست اونم اینکه با اپدیت کردن نسخه اندروید اپلیکیشن ها از سرویس خارج میشن و باید دوباره نصب کنی و رمز دوم یکبار غیر فعال کنی و دوباره مراحل فعال کردن رو پیش بری و چون راهنمایی هم نشده نمیدونی باید چه کار کنی
از کارمندای بانک هم که می پرسی خودشون اطلاعی ندارند
امروز رفتم شعبه بانک تجارت بعد از کلی پاسکاری یی از کارمندا گفت که اون لینکی که توی سایت بانک هست رو استفاده نکن و خودش یه لینک روی تلگرام فرستاد که اونو نصب کردم
و جالبه که گفتش این نسخه رو واسه کارمندای بانک دادن یعنی مشتری باید این وسط سردرگم بشه
حالا چرا این نسخه رو روی سایت نمیگذارن خدا داند
زمز دوم خیلی نا امن . مزخرف و دردسرساز است.
اگر افرادی از جامعه اصولا کار با کامپیوتر را خوب نمیفهمند . یا اینکه طمع میکنند . مشکل از خودشان است . وگرنه در همه زمینه ها کلاهبردار داریم .
مگر جز این است که . 1- باید از سایت های معتبر خرید کرد . 2- در نوار عنوان title bar باید https باشد نه http و علامت قفل راهم ببینیم . 3- سایت بانک باید عناوین خاصی داشته باشد ظاهرش را بشناسیم و https باشد نه http و علامت قفل راهم داشته باشد .4- بار اول در سایت مبلغ کم خرید کنیم . با شماره سایت تماس بگیریم . ببینیم که شماره ثابت داده یا موبایل . معمولاً موبایل تنها بسیار مشکوک است . 5- ترجیحاً گزینه پرداخت در محل را انتخاب کنیم . 6 – ببینیم در هنگام ثبت نام در سایت پیامک تاییدی و یا ایمیلی برایمان میفرستد تا نه . اگر نداشته باشد باز هم مشکوک است 7- آدرس داده از صحت آدرس مطمئن بشویم . و..
مگر یاد گرفتن اینها در این زمونه که همه با اپلیکیشن های موبایل برای دوستیابی و همسریابی و هزار پدرسوخته بازی آشنا هستند و اصلاً همچین اپ اپ میگن که اینگار اپ یه کلمه فارسی . یعنی اگر بپرسید مثلاً معنی جلوه چیه جواب درستی ندارند اما اپ رو بچه 4 ساله تا پیرمرد 103 ساله بلده .
خوب . آقا جان اگر بانک ها و دستگاههای امنیت فضای مجازی نمیتونن امنیت تراکنشهای بانکی اینترنتی و اپی !!! رو حفظ کنند و اینقدر وضع فناوری برقراری امنیت کار با کارت بانکی پایین است . بگن به مردم . نه اینکه از چاله به چاه بندازن .
به هر حال به نظر من این طرح اگر هم بخواد ادامه پیدا کنه مثل اغلب کشورها اصلاً نباید اجباری باشه .
کسانی که خیلی ناآشنا با خرید و تراکنش اینترنتی هستن و یا میترسن و یادم نمیگیرن خوب استفاده کنن . بقیه چرا باید به آتش افراد ناآشنا یا سادگی و یا حتی طمع کاری بقیه تو دردسر بیفتن .
البته اگر اون قضیه ناتوانی در برقراری امنیت سایبری و یا قویتر بودن هکرها مطرح نباشه .
خلاصه اینکه این طرح (رمز دوم پویا ) به نظر من محکوم به شکسته . چند وقت دیگه معایب فراوانش که دردسرهای زیاد برای مردم درست خواهد کرد رو میبینیم.
اگر مردم یه آدرس که باید https://harchizi.shaprak.ir این باشه توجه کنن مشکل حل میشه ولی امان از تنبلی و بی سوادی
لااقل یه راه ساده در نظر میگرفتن با یه نرم افزار جامع الان هر کی واس خودش رمز ساز زده جز درد سر برا مردم هیچی نیست بعدم باید اختیاری بود نه اجباری هر کی دوس داش فعال میکرد تازه رمز پیامکی هم نمیاد