پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
فاطمی: آیا EMV با تجربه کاربری در تضاد نیست؟
در سمینار شناسایی و پیشگیری از تقلب که 21 اردیبهشتماه توسط دبیرخانه دائمی ایکوبیگ با حضور دیوید کول مدرس بینالمللی این حوزه برگزار شد، دکتر ولیالله فاطمی عضو هیئتمدیره و معاون فناوری اطلاعات بانک ملی در افتتاحیه این رویداد چند دقیقهای را برای حاضرین سخنرانی کرد. متن صحبتهای او در ادامه آمده است.
احتمالاً در سالهای گذشته مشکلات و سؤالاتی برای همه ما مطرح شده و بعضاً راهحلهای صحیحی هم برایشان پیدا نکردهایم. در این خصوص، اگر در برخی از راهحلهایمان نیاز به بهبود داریم قطعاً تجربه جهانی میتواند به ما کمک کند.
نکتهی مقابلِ موضوعی که ما در حوزه تقلب و پیشگیری از تقلب داریم، بحث تجربه کاربری است. ما هرچقدر بخواهیم سرویسها را امنتر کنیم، کاربری را سختتر میکنیم. تجربه نشان داده است وقتی در کشور سیستمی را کمی امنتر و سختتر کردیم و دادهها و اطلاعات بیشتری از کاربر طلب کردیم، در سمت کسبوکار با کاهش استقبال از سمت کاربر مواجه شدهایم. این یکی از چالشهای بسیار جدی در ایران است.
یک چالش اساسی این است که آیا خود EMV با تجربه کاربری در تضاد نیست؟ اینکه پروژه پیادهسازی EMV چگونه مدیریت شود و مشتری را راضی کند که به سمت استفاده کمتر نرود، هنر مدیران است. ما در ایران در بسیاری از موارد تجربه کاربری را فدا کردیم. خصوصاً با توجه به تجاربی که خودم در بانک ملی داشتم، عملاً میزان استفاده و توسعه کسبوکار را با نگاه امنسازی در چالش میبینم. باید حواس ما به مرز میان «امنسازی» و «استفاده کاربر و توسعه کسبوکار» باشد. اگر به این مرز اهمیت داده نشود و فقط نگاه امنیتی داشته باشیم، اصل کسبوکار و سهم بازار را از دست خواهیم.
امروز که ما یک تجربه حدوداً 20 ساله کارت و پین را داریم، EMV چقدر میتواند ما را امنتر کند و چقدر میتواند مشکلات موجود ما را مدیریت کند؟ با فرهنگسازی موجود و تمام هزینههای انجامشده در این خصوص، این موضوع چقدر میتواند به ما کمک کند؟ ممکن است که EMV تا حدی مشکلات مربوط به خدمات با حضور کارت (Card Present) را برای ما حل کند اما در بسترهایی که فیزیک کارت حضور ندارد (Card Not Present) باید چهکار کنیم؟
باید قبول کنیم که امروز مفهومی به نام هوش عملیاتی یا همان Operational Intelligence آمده است که بهصراحت ارزش ریسک یک تراکنش را بهصورت آنلاین در چند میلیثانیه اعلام میکند. شخصاً اعتقاد من این است که به بهانه امنیت دیگر نمیتوان امنسازی را به سمت مشتری برد. با توجه به پیشرفت علم، ابزارها و سرعت، امنیت در سمت Backend خواهد بود. این نکتهای است که اگر ما از آن غافل شویم و به سمت دستورالعملها و فرایندها برویم دیگر جوابی برایش نخواهیم یافت. باید در این همایش و همایشهای مشابه بتوانیم به این سؤال جواب دهیم که امن سازی در کجا باید انجام شود؟ این چیزی است که ما در ایران فقر جدی دربارهاش داریم.
بحث عمده من این است که اگر ما در حوزه OI، در حوزه سوئیچهایمان و آتورایزرهایمان (authorizer) نتوانیم ارزش ریسک تراکنشهایمان را بر اساس رفتار عملکردی مشتریانمان در طول استفادهاش مدل کنیم و تراکنشهای متفاوت را تشخیص دهیم، قاعدتاً صحبت درباره مدل و محدود کردن ریسک صحبت جدی نخواهد بود. مرز بین مدیریت ریسک، جلوگیری از تقلب، تشخیص و تجربه کاربری باید در چنین رویدادهایی تشخیص داده شود.
امروزه بحث تشخیص تقلب بعد از انجام تراکنش اهمیت کمتری دارد و باید بتوانیم مشتری را خیلی راحت مدل کنیم و خیلی سخت نگیریم و با کمترین اطلاعات، امن سازی تراکنش را از وی دریافت کنیم و خودمان بر اساس رفتار خود مشتری به ارزش ریسک برسیم. فکر میکنم این بزرگترین هدفی است که باید همه ما به سمتش برویم. انشا الله در طول این همایش برای امنسازی و هوشمندسازی Backendهایمان بهترین راهحلها را پیدا کنیم.
همانطور که گفتم یکی از چالشهای من این است که با توجه به تجربه 20 ساله ایران، آیا حرکت به سمت EMV میتواند به ما کمک کند؟ میتواند ریسکهای ما را مدیریت کند؟ یا اینکه در کنار EMV و یا بهجای آن به سمت هوشمندسازی آتورایزرها و Backendهایمان برویم، بتوانیم بر اساس روشهای مدلسازی رفتار مشتری تا حد زیادی این ریسک را بهصورت آنلاین تشخیص دهیم و به حذف تراکنشهای تقلبی که توسط افراد غیرمجاز روی کارت و یا حسابهای ما در انجام است کمک کنیم.
قبول کنیم که فاصله امنیت و ناامنی فاصله کمی است. بزرگترین تهدیدی که در حوزه پرداخت و یا بانکداری الکترونیک وجود دارد این است که دوستان غیرحرفهای بخواهند بر اساس سیگنال بعضی از ما قضاوت کنند. یادمان باشد که خیلی ناامن نشان دادن باعث ترس خیلی از مدیران میشود؛ مدیرانی که در پی آن مسیرها، ابزارها و مصوبات سنگینی قرار میدهند. امروزه دستاوردها و شاخصهای رشد، بسیار مهمتر از درصدی تقلب و ناامنی در کشور است. این نکتهای است که ما متخصصین باید بتوانیم مرزش را تشخیص دهیم و بلافاصله وارد حوزه ناامنی نشویم.
قبول کنیم که قرار است همیشه یک سهمی از ناامنی در این حوزه وجود داشته باشد؛ این چیزی است که در تمام دنیا آن را قبول کردهاند. خود ویزا سالهای سال است هزینههای تراکنشهای مشکوکش را بر عهده میگیرد و چندین میلیارد دلار بودجه برای تحمل تراکنشهای تقلبی دارد و خیلی هم عادی است. ما هنوز در نقطه صفر آنجا هستیم و خیلی فاصله داریم که بخواهیم تراکنشهای تقلبی را خودمان تحمل کنیم تا فضا را عادی نشان دهیم. ما در ایران خیلی سریع ناامنی را سمت مشتری میبریم و این یک اشتباه است. باید بتوانیم با کمک همدیگر ناامنی را داخل خودمان حل کنیم و علیرغم هزینههایی که دارد تمام ناامنیهای سمت مشتری را خودمان بر عهده بگیریم.
فکر میکنم در یک جمع تخصصی خیلی راحت میتوان از ناامنی و تقلب صحبت کرد و بیرون از جمع خودمان فضاها خیلی نگرانکننده است و خواهش من این است که بیرون از فضای خودمان و جلوی مدیران ارشدمان خیلی فضا را ناامن نشان ندهیم. اگر به تراکنشهای تقلبی نسبت به تراکنشهای اصلی خود نگاه کنیم میبینیم که ما اصلاً ناامن نیستیم و تعداد تراکنشهای تقلبی حتی به یک درصد هم نمیرسد و هنوز در ممیز هستیم و این مسئله کاملاً عادی است.
انشا الله که بتوانیم هم وضع موجود خودمان را درک کنیم و هم بتوانیم بر اساس تجربه جهانی بهترین راهحل را برای ادامه راهمان پیدا کنیم و امنسازی را تا جایی که ممکن است از سمت مشتری به سمت خودمان و Backendهایمان بیاوریم و آن حداقل تغییر، فشار و زحمت را از سمت مشتری داشته باشیم تا مشتری برای استفادهای که از سیستمهای ما دارد، نگرانی نداشته باشد. این ما هستیم که قطعاً میتوانیم برای این موضوع راهحل پیدا کنیم و میتوانیم با یک اطمینان خوبی به سمت آینده بهتر و امنتر حرکت کنیم.