شاپرک با شتاب قابل مقایسه نیست؛ گفت و گو با سامان قطبی [بخش دوم]

نویسنده: رسول قربانی در تاریخ 22 آذر سال 1391 ساعت 1:00 0

راه پرداخت با سامان قطبی در خصوص طرح شاپرک بانک مرکزی مصاحبه کرده و تلاش کرده تا سوالات و ابهاماتی که در خصوص شاپرک وجود دارد را بررسی کند. بخش اول این مصاحبه را می‌توانید از اینجا بخوانید. آنچه در زیر می‌خوانید بخش دوم این مصاحبه است:

آقای قطبی، مخاطب‌های ما این موضوع را سر مسائل فنی طرح می‌کنند و من دوست دارم بدانم پاسخ شما چه است. بعضی‌ها می‌گویند که شرکت خدمات که پشت شرکت شاپرک است، چون از نظر فنی توانمند نبوده است، به کل آمده است سیستم را به اندازه توان خودش پایین آورده. به هر حال این تصویر بیرونی است.

چه چیز را پایین آورده است؟

عملکرد و راندمان کل سیستم را.

به خاطر بحث تسویه آنی؟

بله.

نه اصلا این نیست.

خب مثلا همان لوله‌ای که شما گفتید. یک نگاه این است که می‌توانست یک لوله بزرگتر بسازد که حداقل جذاب تر هم است.

سامانه شاپرک یک مجموعه است. یک سوئیچ نیست. این سامانه باید طراحی، تولید و عملیاتی می‌شد. ما گزینه‌هایمان در این زمینه در کشور خیلی نیست. کسی که باید این کار را بکند باید قابلیت اجرایی داشته باشد که در زمان مشخصی محصول مورد انتظار را عملیاتی کند. ما تقریبا می‌شود گفت گزینه دیگری نداشتیم. اصلا بحث این‌که این پشت آن قایم شده است یا این قوی است و آن ضعیف است نیست. سامانه‌ای که الان راه افتاده است از روز اولش یک حجم بزرگی از داده را دارد به سمت خودش مدیریت می‌کند. این کار خیلی حرفه‌ای و نیازمند به تجربه بود. ما نمی‌توانیم روی بحث‌های ملی بگوییم می‌خواهیم برویم کسب تجربه کنیم.

یک‌بار این را در شتاب انجام داده‌ایم.

شتاب هم جزء تجاربی بود که مبنایی بود برای این‌که انتخاب شرکت خدمات را تسریع کرد. فقط به خاطر شتاب نیست. وجود تیم متخصص با تجربه در زمینه‌های مختلف در شرکت خدمات هم تاثیر داشت. چون ما فقط یک قسمت از کارمان شتاب است. سه سامانه آنجا است و دارند کار می‌کنند. این سامانه‌هایی که توسعه‌های آتی هم خواهند داشت لزوما فقط سوئیچ نیست که بگوییم شتاب. خیلی متفاوت است اما سوئیچ هم هست.

توضیح می‌دهید این سه سامانه چه هستند؟

سوئیچ، سامانه تسویه و پایا و سامانه داده‌کاوی. سامانه تسویه درواقع یک قسمتی از سروش بانک مرکزی را استفاده می‌کنیم که راهبری آن هم با شرکت خدمات بوده است. همچنین تسویه با بانک های پذیرنده ازطریق پایا را داریم. ما اسمش را گذاشته‌ایم پاشا چون پایای شاپرک است، همان جدولی که می‌گویید دو ساعت دو ساعت است. این هم یک کار بسیار دقیق و سنگینی را دائما باید انجام بدهد. سامانه دیگری را داریم که به هر حال به این اضافه خواهد شد. آن سامانه داده‌کاوی ماست که نقش بزرگی را بر مدیریت در نظارت و توسعه این شبکه انجام خواهد داد.

مثلا کشف تقلب‌هایی که صورت می‌گیرد.

آن هم است‌، اصولا نگاه ما روی تخلف متمرکز نیست. شما در یک سامانه‌ای هستید و یک تکالیفی دارید. یکی از تکالیف شما این است که این کسب و کار توسعه پیدا کند. چرا اینقدر از تقلب حرف می‌زنید.

مثلا بیاییم رفتارهای مردم را شبیه‌سازی کنیم ببینیم به چه سمتی می‌روند.

بله، ما دقیقا می‌توانیم این کار را بکنیم، به کمک چیزهایی که در صدد راه اندازی‌اش هستیم. به دیتا نیاز داریم و این دیتا از یکم آذر ماه شروع به عبور کردن در این سیستم کرده است. با این می‌شود نقاطی که ضعف هست را پوشاند و جاهایی که نیاز است را تامین کرد. همچنین به کسب و کارها کمک کرد و به شرکت‌های PSP اطلاعات داد. که چی؟ که شمایی که صاحب کارت هستید در هر جایی که هستید آسایش داشته باشید. این کاری است که نیاز به زمان دارد و یکی از مهمترین سامانه‌های ماست. حالا به هرحال برنامه اجرایی‌اش در دست تدوین و تولید است. با خودش نتایج خیلی خوبی را می‌آورد. امروز نداریم ولی فردا خواهیم داشت و این مبنای خیلی از تصمیم‌گیری‌ها برای توسعه خدمات مبتی بر کارت درکشور می‌تواند باشد. هم بانک‌ها، هم شرکت‌ها و حتی طرح‌های کلان، شما به کمک تحلیل و کیفیت اطلاعاتی که از داخل این داده به دست می‌آورید می‌توانید به‌راحتی برای آینده هم برنامه‌ریزی کنید. همچنین بانک مرکزی به عنوان مسئولیت نظارتی‌ای که از شرکت خواسته، بازوی اجرایی‌اش هستیم. قصد نظارت کشف تقلب نیست.

برای توسعه سیستم، توسعه صنعت و توسعه شبکه استفاده می‌شود.

پس متفاوت است.

بله متفاوت است، شما خیلی مثبت نگاه می‌کنید.

پس ما چیزی را تقلیل نداده‌‌ایم. قدرتی که روی این سوئیچ نشسته است از نظر بزرگی و توانایی اصلا با شتاب قابل قیاس نیست. چون یک سامانه است که خدمت می‌دهد. از ورود دیتا کارش شروع می‌شود تا بعدا که تحویل دیتا است. از آن لحظه که کارت کشیده می‌شود شروع می‌شود تا لحظه‌ای که بعدا از نتایج آن استفاده خواهیم کرد. قدم‌های ما الان تازه شروع شده است. فاز سوم‌ که از آذر ماه شروع شد، فاز بهینه‌سازی است. در بهینه‌سازی که باید از کمک همه استفاده کنیم، قطعا عملکردهای‌مان به یک سطحی می‌رسد که بتوانیم درآینده رشد خوبی داشته باشیم. تا شرکت‌هایی که سرویس می‌دهند دچار مشکل نشوند. مثلا اتفاقی که پارسال افتاده بود پیش نیاید. این‌ها چیزهایی است که مهم است. مثلا، شخص شما دارید از یک سرویسی استفاده می‌کنید و با یک بی‌دقت از سوی خودتان، اطلاعات‌تان یک جایی کشف می‌شود. ولی یک موقع شما مسئولیت یک مجموعه را بر عهده دارید. اطلاعات دسته‌ای موجود در یک سازمان باید درست مدیریت شود تا دچار بحران نشود.

پس این حرف که شاپرک نسخه ضعیف شده شتاب است درست نیست؟

اصلا. اصلا شتاب نیست.

چون برخی می‌گویند کپی آن است و نواقص آن را هم دارد.

اصولا باید بگویم بر چه اساس می‌گویند؟ بر چه ادله‌ای می‌گویند؟ وقتی شتاب بیش از 95 درصد سرویس می‌دهد و به قول شما روند رو به رشدی دارد، می‌دانیم در مورد چه چیز داریم حرف می‌زنیم؟ انتقاد چیز خوبی است ولی این انتقاد را براساس چه ادله‌ای داریم می‌کنیم؟ انتقاد می‌کنیم که بهتر شود. چند بار شده است که کسی که می‌خواهد که این انتقاد را ارائه کند چند نوع آمار هم ارائه کند و بگوید. یادمان باشد که ما داریم راجع به یک سیستم زنده‌ای صحبت می‌کنیم که محل و منشاء این خدمات بوده است. یعنی اول این یادآوری را بکند بعد انتقاد بکند. می‌گوییم انتقاد می‌کنیم که اصلاح شود. قاعدتا این انتقاد اگر برای اصلاح باشد که بیان می‌شود نوع و مدلش کمی متفاوت است. چطور برای چیزی که هنوز کار نکرده می‌گویند این عین آن یا نسخه ضعیف شده‌اش است؟ بر پایه‌ی کدام ادله، از کجا این را دیدند که به این نتیجه می‌رسند؟ اصلا آن نیست.

این یک سامانه‌ای است که اگر شما روی سوئیچ آن دارید صحبت می‌کنید، بله در سوئیچ قسمت پذیرندگی آن است تا حدودی مشابه شتاب بوده است. بله از یک پایه استفاده می‌کنند. ولی این ربطی به آن سامانه ندارد. در ضمن، این قسمت پذیرندگی مدلش برای شاپرک تغییر و توسعه پیدا کرده است. توسط همین بچه‌های متخصصی که واقعا جای تقدیر دارد. وقتی به شرایطی که بچه‌ها دارند کار می‌کنند و شرایط جامعه نگاه کنیم و فشاری که روی این‌هاست می‌فهمیم واقعا فشار خرد کننده‌ای است. بدون هیچ چیز نشسته‌اند و نوآوری می‌کنند، تلاش می‌کنند و محل مباهات برای همه هستند. شاپرک یک مجموعه متعلق به همه بانک‌ها و با کمک، تلاش و راهنمایی همه بانک‌ها نهادینه شده و دارد توسعه پیدا می‌کند. طبیعی است ما برای محصول باید با تمام شرایط انتخاب می‌کردیم. جمیع شرایطی که شما بررسی می‌کنید گزینه دیگری جز این نیست. مگر این‌که می‌خواستیم یک پروژه‌ای را با سعی و تلاش اجرا کنیم، خودمان تجربه کنیم و حتی طبق یک برنامه جلو برویم ولی با این بازه زمانی شدنی نبود. بعدش هم می‌رسید به این‌که، چیزی که وجود دارد را چرا استفاده نمی‌کنید. وقتی تیم ماهر و متخصص هست که وظیفه‌اش این است. مگر شرکت خدمات برای بانک مرکزی وظیفه ندارد یک سری کارها را انجام بدهد؟ وظیفه‌اش است که این کار را بکند و وجود دارد.

آیا پشت شاپرک چیز دیگریست؟

در موردبحث‌های فنی و قانونگزاری صحبت کردیم. ولی یک چالش یا حرفی که مطرح می‌شود این است که نهادهایی فراتر از صنعت، فراتر از بانک مرکزی اصرار دارند پروژه شاپرک انجام بشود، حتی به طور خاص تسویه غیر آنی. به طور خاص نهادهای نظارتی که دوست دارند اطلاعات بیشتری داشته باشند. این صحبت را برایش چه پاسخی دارید؟

به نظر نمی‌آید این‌طور باشد که نهادهای نظارتی خارج از بانک مرکزی دنبال اطلاعات بیشتر باشند. من در این مورد خیلی اطلاعی ندارم. ما یک نهاد نظارتی بالای سر خودمان داریم که رگولاتور اصلی پولی کشور است و تابع آن هستیم که آن هم بانک مرکزی است. این که به هر حال یک سری تکالیف به ما می‌گویند و این تکالیف از کجاها و بر مبنای چه اصولی در می‌آید چیزی نیست که من بتوانم اظهار نظر کنم. اما چیزی را که می‌توانم با قطعیت بگویم، این است که کاری که دارد انجام می‌شود و شده کار قابل اعتنایی است. نیاز هم نیست که به کسی بگوییم، چون وظیفه‌ای است که باید انجام می‌شد. ما چیزی اختراع نکردیم و یک چیزی از خودمان در نیاوردیم. ما به نمونه‌های خوب در این صنعت نگاه کردیم. نگاه کردیم ببینیم ما که داریم این کار را می‌کنیم در جاهای دیگر چه کار کرده‌اند. منافع و مضراتش را فهرست کردیم و یک مدل بومی در کشور داریم پیاده می‌کنیم. این مدل تسویه‌ای که در سطح کلان داریم اجرا می‌کنیم هزینه‌بر هم است. به خاطر این‌که این‌ها عادت شده است، هم آن ایراد را باید رفع می‌کردیم و هم طوری باید باشد که بتوانند مدیریت کنند.

در این شرایط چیزی که در اینجا نهادینه شده است چیزی نیست که خاص ما باشد. دقیقا مثل همه دنیاست با این تفاوت که شرایط تسویه‌مان حداقل با دنیا خیلی فرق دارد. غیر از این‌که یک هزینه و یک شرایط سنگینی به شبکه بانکی وارد می‌کنیم. در این جابجایی در این مدت ما خیلی تلاش‌مان بود که روی سرویس به مردم مشکل ایجاد نشود. واقعا این وظیفه‌مان بود و تا حدود زیادی هم برای مردم شفاف است. اما امیدواریم که حالا عادت کردند با اصلاح ساختارشان بر مبنای این مدل، مشکلات‌شان بر طرف شود.

آیا شاپرک حلال مشکلات امنیتی خواهد بود؟

حالا برویم سر مسائل دیگر. ماجرای افشای اطلاعات بانکی اوایل امسال اتفاق افتاد و خیلی هم مردم را نگران کرد. یک موج منفی‌ای نسبته به پرداخت و بانکداری الکترونیک به راه انداخت و خیلی هم حرف‌های بی معنایی در این فضا زده شد که بانکداری الکترونیک قابل اعتماد نیست. در صورتی که یک شخصی در یک شرکتی سر دعواهای شخصی اطلاعاتی را خارج کرده بود و این اطلاعات هم اطلاعات ارزشمندی نبود که ما بخواهیم بگوییم کسی را به خطر انداخته بود. ولی در هر صورت چه تضمینی وجود دارد در رابطه با شاپرک این اتفاق نیافتد؟

در دنیا چه تضمینی وجود دارد؟ چند مورد در روز می‌بینید؟

کم نیستند. ما خودمان در راه پرداخت هر چند وقت یک‌بار منتشر می‌کنیم که ویزا، مسترکارت و دیگران چنین اتفاق‌هایی برای‌شان می‌افتد.

اتفاق را نمی‌شود تضمینی داد. ما هم این چنین تضمینی را نمی‌توانیم بدهیم. نکته این است که در این بهینه‌سازی‌ای که داریم انجام می‌دهیم تلاش ما این است که این اتفاق نیافتد. تجاربی که داشتیم یا دیگران داشته‌اند، این‌که رویه‌هایمان را به ترتیبی بکنیم که گردش دیتا از یک چارچوب استاندارد برخوردار باشد که از این اتفاق‌ها نیفتد را تا حدود زیادی اصلاح کردیم. ما نظارت فیزیکی و غیر فیزیکی داریم. یک سری چارچوب‌هایی را از دوستان خواهش کردیم رعایت کنند و یک سری توافقات امنیتی با دوستان داشتیم. همه این‌ها برای این است که این اتفاق نیفتد.

دوستان منظورتان چه کسانی هستند؟

شرکت‌های PSP. چون اطلاعات از آن جاهاست که ممکن است نشت بکند. ما در دو جا اطلاعات داریم. یکی در بانک و یکی در شرکت‌ها. این اطلاعات می‌تواند در هر کدام از آنها به صورت دسته‌ای نشت بکند. البته روی سوئیچ‌مان هم اطلاعات را داریم. یعنی روی سایت عملیاتی ما هم این اتفاق می‌تواند بیفتد. کاری که می‌توانیم بکنیم این است که چارچوب‌های تعریف شده، شناخته شده و تمرین شده را با هم اجرا کنیم که انشالله پیش نیاید. کما این‌که در همین ایام حداقل دو موسسه از چنین شرایط بالقوه‌ای برخوردار بودند که چنین اتفاق مشابهی برای آنها پیش بیاید. خوشبختانه چون در دست ایجاد این مدل بودیم و دیدیم، فوری کشف شد، اصلاح شد و پایدار شد. پس این وظیفه‌مان است که این مراقبت و همراهی را داشته باشیم و سعی کنیم همیشه یک قدم جلوتر باشیم که پیشگیری بهتر از درمان است.

اقدامات شاپرک برای تامین امنیت

می‌شود یک مقدار روی مصداق‌هایش حرف بزنید؟ مراقبت‌ها از چه جنسی هستند؟ از جنس استانداردهایی هستند که وجود دارند؟ استانداردهای امنیتی، یا فیزیکی و غیر فیزیکی که می‌گویید.

واقعیتش ما یک الزامات فنی امنیتی داریم که با تمام شرکت‌های PSP رد و بدل کرده‌ایم. یک توافق‌نامه امنیت اطلاعات با تمام شرکت‌ها داریم که تکالیف و مسئولیت‌ها فهرست شده است. همچنین بازدیدهای سرزده ویا برنامه‌ریزی شده از این شرکت‌ها داریم تا ببینیم به آن الزامات پایبند هستند یا نه. آن ماجرای افشای اطلاعات بانکی که اتفاق افتاد از روی نبود انضباط است. عدم توجه مدیریت ارشد به مسئولیتش است که این اتفاق افتاده است. او اگر مسئولیت کارش را دقیق می‌دانست بدون این‌که کسی هم از او بخواهد خودش می‌رفت و یک رویه‌هایی را در شرکتش الزام آور می‌کرد که این پیش نیاید. ما روی این‌ها تمرکز کردیم. دوستان مسئولیت‌هایشان را به طور مشخص می‌دانند. این‌ها کارهای اولیه هستند. کارهای بعدی ما در بهینه‌سازی است. الان تمام شرکت‌های PSP مجوز موقت دارندکه اعتبارش تا اردیبهشت ماه 92 است. مجوز موقت فعالیت داده‌اند برای چه؟ برای این‌که ما بتوانیم یک چارچوب حداقلی را در همه موسسات الزام‌آور کنیم. الان شرایط به ترتیبی است که آن اتفاق علی‌الاصول دیگر نباید پیش بیاید.

علی‌الاصول نباید پیش بیاید؟

چرا؟ چون در آنجا، در شرکت‌های PSP، چیزی ضبط و ربط نمی‌شود که مشکلی پیش بیاید. اما این لازم است، کافی نیست. کافی بودنش نه به خاطر نوع پخش شدن، به خاطر این است که یک نفر هم یک نفر است. سمت شرکت بداند با چه چارچوبی باید کار بکند. در تلاش تولید چهاچوبی هستیم که طبق برنامه‌مان تا بهمن ماه حداقل دو یا سه مورد از موضوع‌های اصلی‌اش تولید بشود که شاید واقعا تا پایان سال هم نرسیم. به عبارت دیگر یک استاندارد شاپرک را داریم تدوین می‌کنیم که مبنای کاری همه این‌ها است. این شامل دیتاسنتر، نوع پایانه، نوع چارچوب قرارداد، چارچوب‌های کلی و حداقل‌های پرسنل و برنامه‌های آموزشی می‌شود. یعنی یک بازه کاملی را می‌بینیم. خب این استاندارد که داریم به عنوان استاندارد شاپرک آن را تولید می‌کنیم برای نظام پرداخت است. یک کار جاری و ساری است که کار یک روز و دو روز نیست. یک نسخه اولیه می‌آید بعد چندین نسخه اصلاحی برای آن می‌آید. پس مبنایی است برای هر کسی که می‌خواهد در نظام پرداخت کارکند. یعنی باید سازمانش را بر این اساس شکل دهد و بر همین اساس هم کار می‌کند. خود استاندارد نیز با کار کردن و استفاده از آن، دائما خودش را اصلاح می‌کند. با افزایش یا تغییر تکنولوژی این استاندارد هم باید تغییر کند. با این روش داریم سعی می‌کنیم چارچوب‌های الزام‌آور در شرکت‌های PSP اجرا بشود. که انشالله به حداقل مشکلات برسیم.

شاپرک بازوی بانک مرکزی

این مواردی که گفتید من این تصور برایم ایجاد می‌شود که شاپرک یک نهاد رگولاتوری است. آیا این درست است؟

ما بازوی بانک مرکزی هستیم. یعنی ما طبق تکالیف و اساسنامه‌ای که بانک مرکزی بر ما محول کرده است وظیفه داریم نظام پرداخت یک‌پارچه کشور را از طریق شاپرک مدیریت کنیم. این مدیریت شامل همین مسائل است. ما که وارد کسب و کار نمی‌خواهیم بشویم و کاری به داد و ستدها نداریم. در عین حال که تکنولوژی‌های جدید یا نیازهایی که لازم است در مقررات اضافه شود را هم حتما انجام خواهیم داد. یعنی ما یک جاده دوطرفه هستیم بر این‌که یک شرکت باید از یک چارچوب الزام آور تبعیت کند و همچنین یک طرفش این است که هر سرویس و خدمت جدید که در حال خلق شدن است اگر در آن چارچوب‌ها دیده نشده است ما پیگیری کنیم و برویم از بانک مرکزی مجوزهایش را بگیریم.

قسمت آخر این مصاحبه فردا در راه پرداخت منشر خواهد شد.