راه پرداخت
راه پرداخت؛ رسانه فناوری‌های مالی ایران

شماره کارت؛ لولویی که قبلاً خورده شده است

سعید کلانتری، کارشناس سوئیچ و ابزار پرداخت / نقل شده است: «ﺩﺭ ﻣﻌﺒﺪﯼ گربه‌ای ﺯﻧﺪﮔﯽ می‌کرد ﮐﻪ ﻫﻨﮕﺎﻡ ﻋﺒﺎﺩﺕ و مراقبه‌ راهب‌ها، ﻣﺰﺍﺣﻢ ﺗﻤﺮﮐﺰ آنها می‌شد؛ ﺑﻨﺎﺑﺮﺍﯾﻦ ﺍﺳﺘﺎﺩ ﺑﺰﺭﮒ ﺩﺳﺘﻮﺭ ﺩﺍﺩ ﻫﺮ ﻭﻗﺖ ﺯﻣﺎﻥ ﻣﺮﺍﻗﺒﻪ می‌رسد ﯾﮏ ﻧﻔﺮ ﮔﺮﺑﻪ ﺭﺍ ﮔﺮﻓﺘﻪ، ﺑﻪ انتهای ﺑﺎﻍ ﺑﺒﺮﺩ ﻭ ﺑﻪ ﺩﺭﺧﺘﯽ ﺑﺒﻨﺪد.
ﺍﯾﻦ ﺭﻭﺍﻝ سال‌ها ﺍﺩﺍﻣﻪ ﭘﯿﺪﺍ ﮐﺮﺩ ﻭ ﯾﮑﯽ ﺍﺯ ﺍﺻﻮﻝِ ﮐﺎﺭِ ﺁﻥ ﻣﺬﻫﺐ ﺷد!
چند ﺳﺎل ﺑﻌﺪ، ﺍﺳﺘﺎﺩ ﺑﺰﺭﮒ ﺩﺭﮔﺬﺷﺖ. ﮔﺮﺑﻪ ﻫﻢ ﻣُﺮﺩ و ﺭﺍﻫﺒﺎﻥ ﺁﻥ ﻣﻌﺒﺪ گربه‌ای ﺧﺮﯾﺪﻧﺪ ﻭ ﺑﻪ ﻣﻌﺒﺪ ﺁﻭﺭﺩﻧﺪ، ﺗﺎ ﻫﻨﮕﺎﻡ ﻋﺒﺎﺩﺕ ﺑﻪ ﺩﺭﺧﺖ ﺑﺒﻨﺪﻧد ﺗﺎ ﺍﺻﻮﻝ ﻋﺒﺎﺩﺕ ﺭﺍ ﺩﺭﺳﺖ به‌ جا ﺁﻭﺭﺩﻩ ﺑﺎﺷﻨﺪ! سال‌ها ﺑﻌﺪ ﺍﺳﺘﺎﺩ ﺑﺰﺭﮒ ﺩﯾﮕﺮﯼ، رساله‌ای ﻧﻮﺷﺖ ﺩﺭﺑﺎﺭﻩ ﺍﻫﻤﯿﺖ ﺑﺴﺘﻦ ﮔﺮﺑﻪ ﻫﻨﮕﺎﻡ مراقبه!»

گفته می‌شود: «آقای فورد تامسون، رئیس اداره نظارت بر ماهیگیری در کنار دریاچه‌ای کوچک در ایالت کالیفرنیا شد که عمیق‌ترین قسمت دریاچه پنج متر عمق داشت و طول و عرض دریاچه در حد دو کیلومتر در دو کیلومتر بود. تصمیم گرفت از تجربیات پدرش که رئیس اداره نظارت بر ماهیگیری یکی از بزرگ‌ترین مراکز ماهیگیری آمریکا در کنار اقیانوس آرام بود، استفاده کند؛ بنابراین دفترچه قوانین آنها را آورد و در دفتر خود عیناً اجرا کرد. هفته بعد یکی از کارمندانش مراجعه کرد و گفت به چه علت هر شش ساعت باید با اداره زلزله‌نگاری تماس بگیرم و بپرسم زلزله‌ای با قدرت بیش از چهار ریشتر در محدوده ۲۰کیلومتری ساحل رخ داده یا نه؟ تا در صورت احتمال خطر وقوع سونامی، آن را به اطلاع ماهیگیران برسانم؟ مگر این دریاچه توان سونامی دارد؟ و مگر می‌شود زلزله‌ای رخ بدهد و ما متوجه نشویم؟»

هدف از مطرح‌کردن داستان‌های بالا توجه به علل ایجاد قوانین است. اگر به علل ایجاد قوانین توجه نکنیم، آنگاه قوانینی وضع می‌کنیم که در اصل برای کشور و فرهنگ دیگری است و هیچ کاربردی برای کشور و فرهنگ و وضعیت ما ندارد.

یکی از قوانینی که بدون توجه به صنعت پرداخت ایران ایجاد شده، حفاظت و حراست بیش از حد مورد نیاز از شماره کارت در قوانین شرکت شاپرک است. مطابق استاندارد PCI که یک استاندارد جهانی در زمینه حفاظت از اطلاعات مشتریان در صنعت بانکداری و پرداخت است؛ اطلاعات شماره کارت مشتری نباید افشا شود. ولی این قانون مختص صنعت پرداخت خارج از کشور است که در آن با توجه به شماره کارت امکان نقل‌وانتقال پول بدون رضایت دارنده کارت وجود دارد و در صنعت ما هیچ کاربرد و خطری ندارد.

بارها و بارها بر اثر اتفاقات مختلف، سلبریتی‌ها و افراد مشهور شماره کارت خود را اعلام کرده‌اند و از ملت درخواست واریز کمک‌های خود به شماره حساب اعلام‌شده را کرده‌اند. حتی در سایت‌ها و صفحات مختلف شماره کارت خود را برای واریز اعلام می‌کنند و به مشتری اعلام می‌کنند پس از واریز اطلاع‌رسانی شود.

آیا تابه‌حال یک‌ بار و فقط یک‌ بار هم شده که کسی بتواند با داشتن شماره کارت کسی از حساب او مبلغی برداشت کند؟ آیا افشای شماره کارت افراد می‌تواند موجب کلاهبرداری شود؟ همه افراد صنعت پرداخت ایران می‌دانند که این کار امکان‌پذیر نیست.

حتی به‌شخصه می‌دانم که اگر شماره کارت و رمز اول آن را هم به شما بگویم باز هم شما نمی‌توانید از کارت من سوءاستفاده کنید؛ زیرا برای انجام پرداخت‌های با حضور کارت، نیاز به ترک دو کارت است که روی نوار مغناطیسی کارت ذخیره شده؛ بنابراین رمز اول کارت و شماره آن نمی‌تواند موجب کپی‌کردن از کارت و سوءاستفاده از آن بشود.

بگذارید پا را از این هم فراتر بگذارم. اگر عکس کارت من به دست شما برسد اطلاعاتی مانند شماره کارت، CVV2 و تاریخ انقضای کارت من را هم دارید. اطلاعاتی که خط قرمز شرکت شاپرک است و افشای آنها را خطای غیرقابل اغماض می‌داند، ولی باز هیچ روشی برای سوءاستفاده وجود ندارد. چون در پرداخت با کارت، این اطلاعات بدون دانستن رمز دوم کارت به درد شما نمی‌خورد و در پرداخت بدون حضور کارت هم شما نیاز به رمز دوم کارت یا رمز پویا دارید که در هر دو صورت با استفاده از عکس کارت من کاری نمی‌توانید انجام دهید.

ولی برای شرکت شاپرک پیاده‌سازی استاندارد PCI بدون توجه به اینکه آیا این استاندارد مناسب و بومی ایران است یا خیر، از همه‌چیز مهم‌تر است؛ بنابراین اگر در ممیزی از سامانه‌های یک شرکت پرداخت، شماره کارت ذخیره‌شده بیابد، انگار با افشای اسرار امنیت ملی مواجه شده و آن‌ را به‌عنوان خطای غیرقابل گذشت و تخلف محرز قلمداد می‌کند. در حالی که وجود «PAN CLEAR» هیچ خطری ندارد.

در نتیجه شماره کارت مشتری در کلیه رسیدهای پرداخت کشور به‌صورت ستاره‌دار چاپ می‌شود و اگر یک اختلاف حسابی رخ دهد یا به‌دلیلی بخواهید از روی یک رسید متوجه شماره کارت بشوید، امکانش نیست و این گاهی برای دارندگان دستگاه‌های پرداخت مشکلاتی ایجاد می‌کند و مجبور می‌شوند به بانک مراجعه کنند و چون از لحاظ قانونی باید با دستور مرجع قضایی شماره کارت اعلام شود، ممکن است در بسیاری از مواقع منصرف شوند. البته همان‌طور که می‌دانیم این مشکلات برای افراد عادی است و الا افراد ذی‌نفوذ که مشکلی در این باب ندارند.


باید برای جبران اشتباهات هم چاره‌ای اندیشید


به‌عنوان مثال چند وقت پیش یک پذیرنده اشتباه می‌کند و در ازای تراکنش ناموفق دارنده کارت بدون توجه به رسید جنس را تحویل مشتری می‌دهد. یک کالا مثلاً به قیمت پنج میلیون تومان. پس‌ از آنکه متوجه اشتباه خود می‌شود، به شرکت پرداخت مراجعه می‌کند و درخواست کمک برای شناسایی دارنده کارت جهت پیگیری حقوقی می‌کند. از تراکنش مزبور فقط یک اصلاحیه یافت می‌شود که آن ‌هم به‌دلیل قوانین شاپرک فاقد شماره کارت است، بنابراین دارنده کارت یافت نمی‌شود و پذیرنده متضرر می‌شود. لازم به ذکر است که اشتباه اول از پذیرنده است، ولی سیستم‌های حقوقی و قضایی و بیمه در هر کشوری برای حمایت از افرادی است که ناخواسته اشتباه می‌کنند و باید برای جبران اشتباهات هم چاره‌ای اندیشید.

به نظرم لازم بود همانند کارمند فورد تامسون در داستان ابتدای متن، یک کارشناس این صنعت هم یک روز به‌صورت رسمی دلیل این کار را بپرسد و بدون کاربرد بودن و دست و پاگیر بودن این قانون را اعلام کند؛ قانونی که فقط برای پذیرنده‌ها ایجاد مشکل می‌کند و هیچ فایده‌ای ندارد. لازم به ذکر است که به علت تفاوت صنعت پرداخت ایران و خارج، نقاط آسیب‌پذیری در این صنعت وجود دارد که چون در صنعت خارج وجود ندارد، در استاندارد PCI به آنها توجه نشده و متأسفانه در ترجمه و تدوین استاندارد ایران هم به آنها توجهی نشده که خارج از موضوع این یادداشت است.

3 نظرات
  1. محسن نکو می‌گوید

    مرسی از شما بسیار مفید بود

  2. Mapnhp می‌گوید

    جالب بود . همیشه cvv2 خط قرمز شمرده می شه.
    در مورد مثال آخر یعنی در خود شاپرک هم شماره کارت ذخیره نمی شود؟

  3. Rjmand می‌گوید

    درود بر آقای کلانتری. بله واقعاً باید چاره ای برای کسانی اندیشید که سهواً دچار خطا شده اند تا متضرر نشوند.

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.