پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
مدیر امنیت پرداخت الکترونیک پاسارگاد مطرح کرد / چالشهای امنیت در پرداخت بدون کارت بسیار زیاد است
مدیر امنیت پرداخت الکترونیک پاسارگاد با بیان اینکه چالشهای فنی امنیت در بخش پرداخت بدون حضور کارت بسیار زیاد است، درباره امنیت اطلاعات در شرکتهای پرداخت گفت: «حفظ تعادل در شرایط سخت برای دستیابی به اهداف خرد و کلان تمام ذینفعان باید سرلوحه کار یک مدیر امنیت باشد و در واقع اینطور میتوان گفت که واحد امنیت شرکتهای پرداخت باید بندبازی در شرایط توفانی را بیاموزد.»
هاشم راز، مدیر امنیت پرداخت الکترونیک پاسارگاد در گفتوگویی بیان کرد: «وظیفه امنیت اطلاعات محافظت از کسبوکارهای مبتنی بر آیتی در قبال هرگونه عامل داخلی و خارجی است که سبب مختلشدن آن کسبوکار میشود. در واقع، اینطور میتوان گفت که امنیت یک مؤلفه پیشران است، نه بازدارنده که بهعنوان یک کیفیت در ارائه خدمات آیتی ایفای نقش میکند. امنیت باید قواره کسبوکارها باشد، اما گاهی به دلیل تمرکز بسیار زیاد روی فاکتورهای فنی و تکنیکی پیادهسازی امنیت و فراموش کردن ماهیت و ذات اصلی کسبوکار، این نقش بهدرستی اجرا نمیشود.»
او در این خصوص توضیح داد: «یک اصل بسیار مهم وجود دارد و آن این است که با توجه به شباهتها و استانداردهای مشابه بسیار زیاد پیادهسازی امنیت از منظر مسائل فنی، در کسبوکارهای متفاوت به دلیل ساختارها و شرایط گوناگون باید به ظرافتهای بسیار زیادی در پیادهسازی امنیت توجه شود و امنیت باید بهاصطلاح، قواره کسبوکار سازمان باشد. برای مثال ممکن است در تولید یک لباس مسائل فنی دوخت، برش و غیره بسیار شبیه یکدیگر باشند، اما بهترین لباس اسکی نمیتواند برای شنا مناسب باشد و بهترین لباس شنا مناسب کوهنوردی نیست. باید ذینفعان هر صنعت، گستره جغرافیایی آن، ریسکهایی که آنها را تهدید میکند و خسارتهایی را که ممکن است به شکل آشکار یا پنهان به آنها وارد شود، بشناسیم.»
راز با اشاره به آنچه در اکوسیستم پرداخت میگذرد، عنوان کرد: «ذینفعان اصلی این شرکت، تمام شهروندان ایرانی هستند که به هر شکل به خرید یا انتقال وجه با استفاده از کارتهای بانکی مبادرت میورزند. پس از آن میتوان از بانکها، بنگاههای تجاری و تمامی کسبوکارهایی که متصل به هر نوع از درگاهها و پایانههای پرداخت هستند، بهعنوان ذینفعان این شرکت نام برد. با این حال، گستره جغرافیایی این صنعت به وسعت تمام کشور و همه فرهنگها و هنجارهای نهفته در آن است.»
مدیر امنیت پرداخت الکترونیک پاسارگاد درباره ریسکهای فعالیت در حوزه پرداخت الکترونیک مطرح کرد: «ریسکهایی که این صنعت را تهدید میکنند، گستره وسیعی دارند. این ریسکها شامل مسائل اقتصادی و نوسانهای نرخ ارز، مسائل اجتماعی و سیاسی، مسائل فنی و موارد مربوط به تخلفات احتمالی ناشی از مسائل فرهنگی و اجتماعی میشود.»
او در ادامه بیان کرد: «خسارتهایی که تمام این موارد میتواند به ذینفعان صنعت پرداخت الکترونیک وارد کند، در نگاه اول به از دست دادن پول اشخاص تعبیر میشود که ما آن را خسارات مشهود مینامیم، اما گاهی دامنه این خسارتها که غالباً نیز غیر قابل رؤیت است، فراتر از هدر رفتن پول شده و حتی به مسئله ملی و کشوری تبدیل میشود. از این رو واحد امنیت در صنعت پرداخت وظیفه بسیار مهم و سنگینی در راستای پیادهسازی استانداردها، ارائه سیاستها و دستورالعملها دارد؛ چراکه تعلل در تصمیمگیریها و همچنین تدوین و پیادهسازی یک طرح به شکل شتابزده و کارشناسینشده ممکن است بخش زیادی از ذینفعان را دچار مشکل و خسارت کرده یا کل یک کسبوکار را مختل کند.»
به اعتقاد راز، حفظ تعادل در شرایط سخت برای دستیابی به اهداف خرد و کلان تمام ذینفعان باید سرلوحه کار یک مدیر امنیت باشد و در واقع اینطور میتوان گفت که واحد امنیت شرکتهای پرداخت باید بندبازی در شرایط توفانی را بیاموزد.
او با اشاره به اینکه برای تأمین امنیت تراکنشهای پرداخت الکترونیک پاسارگاد در درگاههای پرداخت، دستگاههای کارتخوان و نرمافزار پیپاد دو بخش کلی دارند، گفت: «در بخش اول باید بگویم که خطمشی کلان پرداخت الکترونیک پاسارگاد محاسبه ریسکها و مخاطرات در هر اقدام و پیادهسازی و اجرای حداکثری قوانین و مقررات بالادستی است. بعد از آن تکیه بر مباحث مربوط به شناخت مشتری در ارائه خدمات یا KYC در دستور کار ما قرار دارد. در همین راستا، شعار اصلی ما ارائه خدمات به شکل سریع، راحت و کارا بوده تا حداکثر قابلیتها را با حداقل فشار و سختی کار برای مردم فراهم کنیم.»
مزیت رقابتی پرداخت الکترونیک پاسارگاد
به گفته مدیر امنیت پرداخت الکترونیک پاسارگاد، حذف بوروکراسیهای ناکارآمد و سخت، تکیه بر ایجاد تغییرات مثبت بدون اعمال شوکهای عملکردی و کسبوکاری به مشتریان و استفاده از فناوریهای نوین در عرصههایی چون احراز هویت دیجیتال و یادگیری ماشین و… از مواردی است که از آنها میتوان با عنوان مزیت رقابتی پرداخت الکترونیک پاسارگاد نام برد.
راز در توضیح اینکه محصولات پرچالش شرکتهای پرداخت از لحاظ امنیتی چه هستند، اظهار کرد: «در این خصوص نمیتوان برای تمام شرکتها یک حکم کلی و یکسان صادر کرد، زیرا هر یک از بازیکنان این عرصه شرایط خاص خود را دارند. مطلبی که عرض میکنم بر اساس شواهد و تجربیات شخصیام در صنعت و شرکتهای همکار است. اگر ما چالشهای امنیتی را فقط از منظر فنی در نظر بگیریم و شیوههای پرداخت را به دو شکل کلی با حضور کارت و بدون حضور کارت بررسی کنیم، چالشهای فنی امنیت در بخش پرداخت بدون حضور کارت بسیار زیاد است؛ مواردی مانند هککردن و نفوذ به سایتهای درگاه پرداخت، سایتهای جعلی، نرمافزارهای موبایلی غیراستاندارد و تأییدنشده روی گوشیهای هوشمند مثل انواع ویپیانها ازجمله مهمترین مسائلی هستند که به بحرانهای امنیتی ختم میشوند.»
او اضافه کرد که ریسک بالای ارائه خدمات بدون کارت به این معنا نیست که در ابزار پذیرش با حضور کارت هیچ چالش فنی امنیتی وجود ندارد، بلکه مواردی چون کپی کارت و گاهی باگهای سختافزاری یا نرمافزاری در این ابزارها نیز ممکن است خسارات جبرانناپذیری بر صنعت وارد کنند.
راز ادامه داد: «برای مثال در بحث کپی کارت یا در اصطلاح فنی، «اسکیمینگ» مسئله به این شکل است که متخلف کارت مشتری را هنگام انجام تراکنش علاوه بر ابزار پرداخت روی یک دستگاه دیگر نیز میکشد و به این شکل اطلاعات کارت علاوه بر اینکه روی پایانه فروش یا ابزار پرداخت خوانده میشود، توسط دستگاه دیگری نیز ذخیره میشود. حال از آنجا که پرداخت با حضور کارت با استفاده از همین اطلاعات و رمز ثابت انجام میشود، با ارائه رمز توسط مشتری به شخص متخلف تمامی اطلاعات لازم جهت انجام تراکنشهای غیرمجاز بعدی داده شده و همچنین او میتواند یک کپی از کارت داشته باشد.»
مدیر امنیت پرداخت الکترونیک پاسارگاد در خاتمه بیان کرد: «به عقیده من باورهای قدیمی در این خصوص که مقوله امنیت، تحمیلکننده هزینه اضافه به سازمانهاست، کمرنگ شده و رویکردهای جدید مدیران ارشد سازمانهای مختلف ازجمله پرداخت الکترونیک پاسارگاد نهتنها نگاه هزینهمحور به مقوله امنیت نیست، بلکه توجه به آن را نوعی پسانداز برای آینده به حساب میآورند؛ چراکه معتقد هستند این سیاستها و تصمیمگیریها نجاتدهنده کسبوکارها هستند. در نتیجه تصور من این است که آینده مقوله امنیت در صنایع مختلف، ازجمله صنعت پرداخت کشور روشن است و نسل جدید و تازهنفسی که در سالهای آینده وارد بازار کار میشود، با پشتوانه علمی و فنی خوبی که دارد، اتفاقات خوبی را برای آينده صنایع در بحث امنیت رقم میزند.»