راه پرداخت
رسانه فناوری‌های مالی ایران

 پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشت‌ماه ۱۳۹۰ شروع کرده و اکنون پرمخاطب‌ترین رسانه ایران در زمینه فناوری‌های مالی، بانکداری و پرداخت و استارت‌آپ‌های فین‌تک است.

امنیتانتخاب سردبیر

مدیر امنیت پرداخت الکترونیک پاسارگاد مطرح کرد / چالش‌های امنیت در پرداخت بدون کارت بسیار زیاد است

نویسنده: راه پرداخت 0

مدیر امنیت پرداخت الکترونیک پاسارگاد با بیان اینکه چالش‌های فنی امنیت در بخش پرداخت بدون حضور کارت بسیار زیاد است، درباره امنیت اطلاعات در شرکت‌های پرداخت گفت: «حفظ تعادل در شرایط سخت برای دستیابی به اهداف خرد و کلان تمام ذینفعان باید سرلوحه کار یک مدیر امنیت باشد و در واقع این‌طور می‌توان گفت که واحد امنیت شرکت‌های پرداخت باید بندبازی در شرایط توفانی را بیاموزد.»  

هاشم راز، مدیر امنیت پرداخت الکترونیک پاسارگاد در گفت‌وگویی بیان کرد: «وظیفه امنیت اطلاعات محافظت از کسب‌وکارهای مبتنی بر آی‌تی در قبال هرگونه عامل داخلی و خارجی است که سبب مختل‌شدن آن کسب‌وکار می‌شود. در واقع، این‌طور می‌توان گفت که امنیت یک مؤلفه پیشران است، نه بازدارنده که به‌عنوان یک کیفیت در ارائه خدمات آی‌تی ایفای نقش می‌کند. امنیت باید قواره کسب‌وکارها باشد، اما گاهی به دلیل تمرکز بسیار زیاد روی فاکتورهای فنی و تکنیکی پیاده‌سازی امنیت و فراموش‌ کردن ماهیت و ذات اصلی کسب‌وکار، این نقش به‌درستی اجرا نمی‌شود.»

او در این‌ خصوص توضیح داد: «یک اصل بسیار مهم وجود دارد و آن این است که با توجه‌ به شباهت‌‌ها و استانداردهای مشابه بسیار زیاد پیاده‌سازی امنیت از منظر مسائل فنی، در کسب‌وکارهای متفاوت به دلیل ساختارها و شرایط گوناگون باید به ظرافت‌های بسیار زیادی در پیاده‌سازی امنیت توجه شود و امنیت باید به‌اصطلاح، قواره کسب‌وکار سازمان باشد. برای مثال ممکن است در تولید یک لباس مسائل فنی دوخت، برش و غیره بسیار شبیه یکدیگر باشند، اما بهترین لباس اسکی نمی‌تواند برای شنا مناسب باشد و بهترین لباس شنا مناسب کوهنوردی نیست. باید ذینفعان هر صنعت، گستره جغرافیایی آن، ریسک‌هایی که آنها را تهدید می‌کند و خسارت‌هایی را که ممکن است به شکل آشکار یا پنهان به آنها وارد شود، بشناسیم.»

‌راز با اشاره به آنچه در اکوسیستم پرداخت می‌گذرد، ‌ عنوان کرد: «ذینفعان اصلی این شرکت، تمام شهروندان ایرانی هستند که به هر شکل به خرید یا انتقال وجه با استفاده از کارت‌های بانکی مبادرت می‌ورزند. پس از آن می‌توان از بانک‌ها، بنگاه‌های تجاری و تمامی کسب‌وکارهایی که متصل به هر نوع از درگاه‌ها و پایانه‌های پرداخت هستند، به‌عنوان ذینفعان این شرکت نام برد. با این‌ حال، گستره جغرافیایی این صنعت به وسعت تمام کشور و همه فرهنگ‌ها و هنجارهای نهفته در آن است.»

مدیر امنیت پرداخت الکترونیک پاسارگاد درباره ریسک‌های فعالیت در حوزه پرداخت الکترونیک مطرح کرد: «ریسک‌هایی که این صنعت را تهدید می‌کنند، گستره وسیعی دارند. این ریسک‌ها شامل مسائل اقتصادی و نوسان‌های نرخ ارز، مسائل اجتماعی و سیاسی، مسائل فنی و موارد مربوط به تخلفات احتمالی ناشی از مسائل فرهنگی و اجتماعی می‌شود.»

او در ادامه بیان کرد: «خسارت‌هایی که تمام این موارد می‌تواند به ذینفعان صنعت پرداخت الکترونیک وارد کند، در نگاه اول به از دست دادن پول اشخاص تعبیر می‌شود که ما آن را خسارات مشهود می‌نامیم، اما گاهی دامنه این خسارت‌ها که غالباً نیز غیر قابل رؤیت است، فراتر از هدر رفتن پول شده و حتی به مسئله‌ ملی و کشوری تبدیل می‌شود. از این رو واحد امنیت در صنعت پرداخت وظیفه بسیار مهم و سنگینی در راستای پیاده‌سازی استانداردها، ارائه سیاست‌ها و دستورالعمل‌ها دارد؛ چراکه تعلل در تصمیم‌گیری‌ها و همچنین تدوین و پیاده‌سازی یک طرح به شکل شتاب‌زده و کارشناسی‌نشده ممکن است بخش زیادی از ذینفعان را دچار مشکل و خسارت کرده یا کل یک کسب‌وکار را مختل کند.»

به اعتقاد ‌راز، حفظ تعادل در شرایط سخت برای دستیابی به اهداف خرد و کلان تمام ذینفعان باید سرلوحه کار یک مدیر امنیت باشد و در واقع این‌طور می‌توان گفت که واحد امنیت شرکت‌های پرداخت باید بندبازی در شرایط توفانی را بیاموزد.

او با اشاره به اینکه برای تأمین امنیت تراکنش‌های پرداخت الکترونیک پاسارگاد در درگاه‌های پرداخت، دستگاه‌های کارت‌خوان و نرم‌افزار پی‌پاد دو بخش کلی دارند، گفت: «در بخش اول باید بگویم که خط‌مشی کلان پرداخت الکترونیک پاسارگاد محاسبه ریسک‌ها و مخاطرات در هر اقدام و پیاده‌سازی و اجرای حداکثری قوانین و مقررات بالادستی است. بعد از آن تکیه بر مباحث مربوط به شناخت مشتری در ارائه خدمات یا KYC در دستور کار ما قرار دارد. در همین راستا، شعار اصلی ما ارائه خدمات به شکل سریع، راحت و کارا بوده تا حداکثر قابلیت‌ها را با حداقل فشار و سختی کار برای مردم فراهم کنیم.»

مزیت رقابتی پرداخت الکترونیک پاسارگاد

به گفته مدیر امنیت پرداخت الکترونیک پاسارگاد، حذف بوروکراسی‌های ناکارآمد و سخت، تکیه بر ایجاد تغییرات مثبت بدون اعمال شوک‌های عملکردی و کسب‌وکاری به مشتریان و استفاده از فناوری‌های نوین در عرصه‌هایی چون احراز هویت دیجیتال و یادگیری ماشین و… از مواردی است که از آنها می‌توان با عنوان مزیت رقابتی پرداخت الکترونیک پاسارگاد نام برد.

راز در توضیح اینکه محصولات پرچالش شرکت‌های پرداخت از لحا‌ظ امنیتی چه هستند، اظهار کرد: «در این خصوص نمی‌توان برای تمام شرکت‌ها یک حکم کلی و یکسان صادر کرد، زیرا هر یک از بازیکنان این عرصه شرایط خاص خود را دارند. مطلبی که عرض می‌کنم بر اساس شواهد و تجربیات شخصی‌ام در صنعت و شرکت‌های همکار است. اگر ما چالش‌های امنیتی را فقط از منظر فنی در نظر بگیریم و شیوه‌های پرداخت را به دو شکل کلی با حضور کارت و بدون حضور کارت بررسی کنیم، چالش‌های فنی امنیت در بخش پرداخت بدون حضور کارت بسیار زیاد است؛ مواردی مانند هک‌کردن و نفوذ به سایت‌های درگاه پرداخت، سایت‌های جعلی، نرم‌افزارهای موبایلی غیراستاندارد و تأییدنشده روی گوشی‌های هوشمند مثل انواع وی‌پی‌ان‌ها ازجمله مهم‌ترین مسائلی هستند که به بحران‌های امنیتی ختم می‌شوند.»

او اضافه کرد که ریسک بالای ارائه خدمات بدون کارت به این معنا نیست که در ابزار پذیرش با حضور کارت هیچ چالش فنی امنیتی وجود ندارد، بلکه مواردی چون کپی کارت و گاهی باگ‌های سخت‌افزاری یا نرم‌افزاری در این ابزارها نیز ممکن است خسارات جبران‌ناپذیری بر صنعت وارد کنند.

راز ادامه داد: «برای مثال در بحث کپی کارت یا در اصطلاح فنی، «اسکیمینگ» مسئله به این شکل است که متخلف کارت مشتری را هنگام انجام تراکنش علاوه بر ابزار پرداخت روی یک دستگاه دیگر نیز می‌کشد و به این شکل اطلاعات کارت علاوه بر اینکه روی پایانه فروش یا ابزار پرداخت خوانده ‌می‌شود، توسط دستگاه دیگری نیز ذخیره می‌شود. حال از آنجا که پرداخت با حضور کارت با استفاده از همین اطلاعات و رمز ثابت انجام می‌شود، با ارائه رمز توسط مشتری به شخص متخلف تمامی اطلاعات لازم جهت انجام تراکنش‌های غیرمجاز بعدی داده شده و همچنین او می‌تواند یک کپی از کارت داشته باشد.»

مدیر امنیت پرداخت الکترونیک پاسارگاد در خاتمه بیان کرد: «به عقیده من باورهای قدیمی در این خصوص که مقوله امنیت، تحمیل‌کننده هزینه اضافه به سازما‌ن‌هاست، کمرنگ شده و رویکرد‌های جدید مدیران ارشد سازمان‌های مختلف ازجمله پرداخت الکترونیک پاسارگاد نه‌تنها نگاه هزینه‌محور به مقوله امنیت نیست، بلکه توجه به آن را نوعی پس‌انداز برای آینده به‌ حساب می‌آورند؛ چراکه معتقد هستند این سیاست‌ها و تصمیم‌گیری‌ها نجات‌دهنده کسب‌وکارها هستند. در نتیجه تصور من این است که آینده مقوله امنیت در صنایع مختلف، ازجمله صنعت پرداخت کشور روشن است و نسل جدید و تازه‌نفسی که در سال‌های آینده وارد بازار کار می‌شود، با پشتوانه علمی و فنی خوبی که دارد، اتفاقات خوبی را برای آينده صنایع در بحث امنیت رقم می‌زند.»

منبع عصر تراکنش
راه پرداخت

تحریریه راه پرداخت ۲۴ ساعت شبانه‌روز و هفت روز هفته تلاش می‌کنند شما را در جریان مهم‌ترین روندها و رویدادهای فناوری و نوآوری قرار دهند. راه پرداخت از دوم اردیبهشت ماه ۱۳۹۰ به صورت پیوسته در سپهر رسانه‌ای ایران فعالیت می‌کند.

مطالب پیشنهادی مطالب بیشتر از این نویسنده
ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.