پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
سعید کلانتری، کارشناس سوئیچ و ابزار پرداخت / نقل شده است: «ﺩﺭ ﻣﻌﺒﺪﯼ گربهای ﺯﻧﺪﮔﯽ میکرد ﮐﻪ ﻫﻨﮕﺎﻡ ﻋﺒﺎﺩﺕ و مراقبه راهبها، ﻣﺰﺍﺣﻢ ﺗﻤﺮﮐﺰ آنها میشد؛ ﺑﻨﺎﺑﺮﺍﯾﻦ ﺍﺳﺘﺎﺩ ﺑﺰﺭﮒ ﺩﺳﺘﻮﺭ ﺩﺍﺩ ﻫﺮ ﻭﻗﺖ ﺯﻣﺎﻥ ﻣﺮﺍﻗﺒﻪ میرسد ﯾﮏ ﻧﻔﺮ ﮔﺮﺑﻪ ﺭﺍ ﮔﺮﻓﺘﻪ، ﺑﻪ انتهای ﺑﺎﻍ ﺑﺒﺮﺩ ﻭ ﺑﻪ ﺩﺭﺧﺘﯽ ﺑﺒﻨﺪد.
ﺍﯾﻦ ﺭﻭﺍﻝ سالها ﺍﺩﺍﻣﻪ ﭘﯿﺪﺍ ﮐﺮﺩ ﻭ ﯾﮑﯽ ﺍﺯ ﺍﺻﻮﻝِ ﮐﺎﺭِ ﺁﻥ ﻣﺬﻫﺐ ﺷد!
چند ﺳﺎل ﺑﻌﺪ، ﺍﺳﺘﺎﺩ ﺑﺰﺭﮒ ﺩﺭﮔﺬﺷﺖ. ﮔﺮﺑﻪ ﻫﻢ ﻣُﺮﺩ و ﺭﺍﻫﺒﺎﻥ ﺁﻥ ﻣﻌﺒﺪ گربهای ﺧﺮﯾﺪﻧﺪ ﻭ ﺑﻪ ﻣﻌﺒﺪ ﺁﻭﺭﺩﻧﺪ، ﺗﺎ ﻫﻨﮕﺎﻡ ﻋﺒﺎﺩﺕ ﺑﻪ ﺩﺭﺧﺖ ﺑﺒﻨﺪﻧد ﺗﺎ ﺍﺻﻮﻝ ﻋﺒﺎﺩﺕ ﺭﺍ ﺩﺭﺳﺖ به جا ﺁﻭﺭﺩﻩ ﺑﺎﺷﻨﺪ! سالها ﺑﻌﺪ ﺍﺳﺘﺎﺩ ﺑﺰﺭﮒ ﺩﯾﮕﺮﯼ، رسالهای ﻧﻮﺷﺖ ﺩﺭﺑﺎﺭﻩ ﺍﻫﻤﯿﺖ ﺑﺴﺘﻦ ﮔﺮﺑﻪ ﻫﻨﮕﺎﻡ مراقبه!»
گفته میشود: «آقای فورد تامسون، رئیس اداره نظارت بر ماهیگیری در کنار دریاچهای کوچک در ایالت کالیفرنیا شد که عمیقترین قسمت دریاچه پنج متر عمق داشت و طول و عرض دریاچه در حد دو کیلومتر در دو کیلومتر بود. تصمیم گرفت از تجربیات پدرش که رئیس اداره نظارت بر ماهیگیری یکی از بزرگترین مراکز ماهیگیری آمریکا در کنار اقیانوس آرام بود، استفاده کند؛ بنابراین دفترچه قوانین آنها را آورد و در دفتر خود عیناً اجرا کرد. هفته بعد یکی از کارمندانش مراجعه کرد و گفت به چه علت هر شش ساعت باید با اداره زلزلهنگاری تماس بگیرم و بپرسم زلزلهای با قدرت بیش از چهار ریشتر در محدوده 20کیلومتری ساحل رخ داده یا نه؟ تا در صورت احتمال خطر وقوع سونامی، آن را به اطلاع ماهیگیران برسانم؟ مگر این دریاچه توان سونامی دارد؟ و مگر میشود زلزلهای رخ بدهد و ما متوجه نشویم؟»
هدف از مطرحکردن داستانهای بالا توجه به علل ایجاد قوانین است. اگر به علل ایجاد قوانین توجه نکنیم، آنگاه قوانینی وضع میکنیم که در اصل برای کشور و فرهنگ دیگری است و هیچ کاربردی برای کشور و فرهنگ و وضعیت ما ندارد.
یکی از قوانینی که بدون توجه به صنعت پرداخت ایران ایجاد شده، حفاظت و حراست بیش از حد مورد نیاز از شماره کارت در قوانین شرکت شاپرک است. مطابق استاندارد PCI که یک استاندارد جهانی در زمینه حفاظت از اطلاعات مشتریان در صنعت بانکداری و پرداخت است؛ اطلاعات شماره کارت مشتری نباید افشا شود. ولی این قانون مختص صنعت پرداخت خارج از کشور است که در آن با توجه به شماره کارت امکان نقلوانتقال پول بدون رضایت دارنده کارت وجود دارد و در صنعت ما هیچ کاربرد و خطری ندارد.
بارها و بارها بر اثر اتفاقات مختلف، سلبریتیها و افراد مشهور شماره کارت خود را اعلام کردهاند و از ملت درخواست واریز کمکهای خود به شماره حساب اعلامشده را کردهاند. حتی در سایتها و صفحات مختلف شماره کارت خود را برای واریز اعلام میکنند و به مشتری اعلام میکنند پس از واریز اطلاعرسانی شود.
آیا تابهحال یک بار و فقط یک بار هم شده که کسی بتواند با داشتن شماره کارت کسی از حساب او مبلغی برداشت کند؟ آیا افشای شماره کارت افراد میتواند موجب کلاهبرداری شود؟ همه افراد صنعت پرداخت ایران میدانند که این کار امکانپذیر نیست.
حتی بهشخصه میدانم که اگر شماره کارت و رمز اول آن را هم به شما بگویم باز هم شما نمیتوانید از کارت من سوءاستفاده کنید؛ زیرا برای انجام پرداختهای با حضور کارت، نیاز به ترک دو کارت است که روی نوار مغناطیسی کارت ذخیره شده؛ بنابراین رمز اول کارت و شماره آن نمیتواند موجب کپیکردن از کارت و سوءاستفاده از آن بشود.
بگذارید پا را از این هم فراتر بگذارم. اگر عکس کارت من به دست شما برسد اطلاعاتی مانند شماره کارت، CVV2 و تاریخ انقضای کارت من را هم دارید. اطلاعاتی که خط قرمز شرکت شاپرک است و افشای آنها را خطای غیرقابل اغماض میداند، ولی باز هیچ روشی برای سوءاستفاده وجود ندارد. چون در پرداخت با کارت، این اطلاعات بدون دانستن رمز دوم کارت به درد شما نمیخورد و در پرداخت بدون حضور کارت هم شما نیاز به رمز دوم کارت یا رمز پویا دارید که در هر دو صورت با استفاده از عکس کارت من کاری نمیتوانید انجام دهید.
ولی برای شرکت شاپرک پیادهسازی استاندارد PCI بدون توجه به اینکه آیا این استاندارد مناسب و بومی ایران است یا خیر، از همهچیز مهمتر است؛ بنابراین اگر در ممیزی از سامانههای یک شرکت پرداخت، شماره کارت ذخیرهشده بیابد، انگار با افشای اسرار امنیت ملی مواجه شده و آن را بهعنوان خطای غیرقابل گذشت و تخلف محرز قلمداد میکند. در حالی که وجود «PAN CLEAR» هیچ خطری ندارد.
در نتیجه شماره کارت مشتری در کلیه رسیدهای پرداخت کشور بهصورت ستارهدار چاپ میشود و اگر یک اختلاف حسابی رخ دهد یا بهدلیلی بخواهید از روی یک رسید متوجه شماره کارت بشوید، امکانش نیست و این گاهی برای دارندگان دستگاههای پرداخت مشکلاتی ایجاد میکند و مجبور میشوند به بانک مراجعه کنند و چون از لحاظ قانونی باید با دستور مرجع قضایی شماره کارت اعلام شود، ممکن است در بسیاری از مواقع منصرف شوند. البته همانطور که میدانیم این مشکلات برای افراد عادی است و الا افراد ذینفوذ که مشکلی در این باب ندارند.
باید برای جبران اشتباهات هم چارهای اندیشید
بهعنوان مثال چند وقت پیش یک پذیرنده اشتباه میکند و در ازای تراکنش ناموفق دارنده کارت بدون توجه به رسید جنس را تحویل مشتری میدهد. یک کالا مثلاً به قیمت پنج میلیون تومان. پس از آنکه متوجه اشتباه خود میشود، به شرکت پرداخت مراجعه میکند و درخواست کمک برای شناسایی دارنده کارت جهت پیگیری حقوقی میکند. از تراکنش مزبور فقط یک اصلاحیه یافت میشود که آن هم بهدلیل قوانین شاپرک فاقد شماره کارت است، بنابراین دارنده کارت یافت نمیشود و پذیرنده متضرر میشود. لازم به ذکر است که اشتباه اول از پذیرنده است، ولی سیستمهای حقوقی و قضایی و بیمه در هر کشوری برای حمایت از افرادی است که ناخواسته اشتباه میکنند و باید برای جبران اشتباهات هم چارهای اندیشید.
به نظرم لازم بود همانند کارمند فورد تامسون در داستان ابتدای متن، یک کارشناس این صنعت هم یک روز بهصورت رسمی دلیل این کار را بپرسد و بدون کاربرد بودن و دست و پاگیر بودن این قانون را اعلام کند؛ قانونی که فقط برای پذیرندهها ایجاد مشکل میکند و هیچ فایدهای ندارد. لازم به ذکر است که به علت تفاوت صنعت پرداخت ایران و خارج، نقاط آسیبپذیری در این صنعت وجود دارد که چون در صنعت خارج وجود ندارد، در استاندارد PCI به آنها توجه نشده و متأسفانه در ترجمه و تدوین استاندارد ایران هم به آنها توجهی نشده که خارج از موضوع این یادداشت است.
مرسی از شما بسیار مفید بود
جالب بود . همیشه cvv2 خط قرمز شمرده می شه.
در مورد مثال آخر یعنی در خود شاپرک هم شماره کارت ذخیره نمی شود؟
درود بر آقای کلانتری. بله واقعاً باید چاره ای برای کسانی اندیشید که سهواً دچار خطا شده اند تا متضرر نشوند.