پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
آینده نه به بانک که به بانکداری نیاز دارد / بانکداری با آغوش باز
موضوع بانکداری باز در یکی دو سال اخیر وارد نظام بانکی کشور شده و بانکهای کشور در تلاش برای رسیدن به آن هستند اما رسیدن به لایههای مختلف این روند برای برخی بانکها و شرکتهای فناوری نسبت به برخی دیگر، بسیار جدی شده است/ یکی از پایهایترین فاکتورهای حاکمیت سرویس این است که هر سرویس یک صاحب داشته باشد و صاحب هر سرویسی یک (SLA) داشته باشد روی همان سرویس/ API یک لایه ارتباط با نرمافزار بانک است که چند ویژگی دارد: ۱- قابلدسترسی توسط عموم است. ۲- مستندات دارد. ۳- برای ارائه آن از استانداردهای متعارف مانند REST استفاده شده است/ API یکی از ابزارهای اجرایی کردن ایدههای بانکداری باز است؛ یعنی ما به این نتیجه رسیدیم که اجرای بانکداری باز، کار API است/ تفکر مدیران، از چالشهای API در ایران است. بسیاری از بانکها و سازمانها هنوز ضرورت و فوریت ارائه API را درک نکردهاند. به نظر من این ضرورت توسط مدیران باید حس شود.
به گزارش پایگاه خبری بانکداری الکترونیک، در سالهای اخیر و به خصوص پس از روی کار آمدن دولت یازدهم بسیاری از علوم و روندهای نوین بانکداری پا به ایران گذاشته و شبکه بانکی کشور به شدت در حال اجرای فنی این روندهاست. یکی از این روندهای جدید «بانکداریِ باز» بر بستر APM ها است. موضوع بانکداری باز در یکی دو سال اخیر وارد نظام بانکی کشور شده و بانکهای کشور در تلاش برای رسیدن به آن هستند اما رسیدن به لایههای مختلف این روند برای برخی بانکها و شرکتهای فناوری نسبت به برخی دیگر، بسیار جدی شده است. ضمن آنکه موضوع «حاکمیت سرویس» نیز در این سالها بسیار موردتوجه قرار گرفته و اجرای آن، یکی از بزرگترین اهداف سازمانهای مالی کشور است. بانک ملی ایران یکی از سازمانهایی که بهطورجدی و گسترده در تلاش برای رسیدن به امکانات و ظرفیتهای بانکداری باز و دستیابی کامل به حاکمیت سرویس است. در همین راستا یکی از کسانی که میتوانست بهطور تخصصی صحبت کند حمیدرضا مختاریان است که ما برای واکاوی این مباحث، با ایشان یک گفتوگوی مفصل ترتیب دادهایم؛ جان کلام معاون نرمافزار سداد پیش روی شماست.
میخواهیم درباره این لایه واسط با هم صحبت کنیم که آنوقت محصولاتی مثل بام روی آن سوار میشود و از این قبیل. من معتقدم که سداد از زیر سایه بانک ملی باید خارج شود یعنی از توان بانک ملی استفاده کند و برای جاهای دیگر هم کار کند و خود را محصور کارهای کوچک نکند. چند وقت پیش که در خدمت دکتر فاطمی بودم، صحبت از حاکمیت سرویس میکردند و میگفتند که ما داریم یک معماری را تعریف میکنیم که درواقع بتوانیم یک حاکمیت سرویس بین خودمان داشته باشیم، الآن به آن مرحله رسیده است؟
حاکمیت سرویس بسیار وسیع است و فاکتورهای بسیاری دارد ولی به نظر من یکی از پایهایترین فاکتورهای حاکمیت سرویس این است که هر سرویس یک صاحب داشته باشد و صاحب هر سرویسی یک (SLA) داشته باشد روی همان سرویس. این پایهایترین رکن حاکمیت سرویس است که ما تقریباً در همه سرویسهایمان یا به SLA رسیدهایم و یا در مراحل نهایی هستیم.
.
محورهای کلیدی تعریف شده در SLA کدماند؟
اولین و مهمترین آن، بودن و ارائه سرویس است. دوم، سرویس با کارایی مناسب و زمان درست ارائه شود و سوم، واکنش مشتری به سرویس است. حس رضایتمندی به حس مشعوف بودن و خوشحال بودن تغییر کند.
.
معماری که در بانک ملی تعریف کردید چطور بود؟
ما در بانک ملی یک معماری مرجع تعریف کردیم. در حوزههای مختلف بسیار پراکندگی داشتیم. حوزههای تکنولوژی، معماری، زبان برنامهنویسی و… . شما فرض کنید ما ویندوز، لینوکس، یونیکس، جاوا، سیشارپ، سیپلاسپلاس و خیلی برنامههای پراکنده داشتیم. از هر برنامه ترکیبی از زبان، پلتفرم و درواقع محیط استقرار زیاد بود. بالاخره یک کارگروه تشکیل و نظرات جمعبندی شد. از نظرات کارشناسان استفاده شد و به یک مستند معماری مرجع آینده بانک ملی رسیدیم و گفتیم از این به بعد در بانک ملی هر نرمافزاری بخواهد تولید شود، یا هر RFP که منتشر میشود این معماری مرجع آن است. سیستمهای قبلی که قرار است از رده خارج شوند زمانبندی از رده خارج شدن اعلام شود و آنهایی که قرار نیست و برنامهای ندارند که الآن از رده خارج شوند، پلن شوند و به سیستم معماری مرجع وارد شوند. ما در یک زمانبندی دو ساله شروع کردیم سیستمهای قبلی را به معماری مرجع تبدیل کنیم و بقیه که تصمیم گرفته شده خارج کنیم با سیستمهای جدیدتر جایگزین شود.
.
این کار معمولاً چقدر زمان میبرد؟
ما تصمیم داریم در یک زمانبندی دوساله کل این معماری بانک ملی را به معماری مرجع تبدیل کنیم.
.
آنوقت این لایه واسطه که توانستید بام را روی آن داشته باشید احتمالاً محصولات دیگر هم روی آن قرار میگیرد. ساختار این لایه چگونه است؟
ما یک لایه داده، یک لایه سرویس، یک لایه API و یک لایه UI داریم که روی آنها قرار میگیرد و مزیت این کار که در بام انجام شده، این است که بر خلاف بعضی جاهایی که من میشناسم و API بانکی ارائه میکنند اما خودشان بهصورت داخلی از آن API استفاده نمیکنند، ما از همان API برای توسعه بام استفاده کردیم. در واقع متداول است که محصولات خود را با یک لایه دیگر یکپارچه میکنند و به دیگران میگویند بیایید از لایه API ما استفاده کنید. ما آمدیم در بام با لایه API خودمان نرمافزار بام را نوشتیم؛ یعنی کاری که ما در بام انجام دادیم در تئوری هر کسی میتواند با لایه API ما انجام دهد. خوبی آن این شد که خودش یک proof of concept شد یعنی اثبات این مسئله شد که این API خودش بهتنهایی قابلاستفاده است؛ یعنی اگر کسی روزی آمد از این API استفاده کند، حداقل میداند که ما یک بار خودمان از آن استفاده کردیم و اینطور نیست که API یی که ما نوشتیم کسی بخواهد استفاده کند و آنگاه بینند که مستنداتش آماده نیست، کار نمیکند یا آن کارایی لازم را ندارد. به دلیل اینکه خودش یک لایه بالاتر از سرویس است ولی ما با علم این کار را کردیم. چون ما میتوانستیم بام را به یک لایه درونیتر وصل کنیم، اما اتفاقاً ما آمدیم آن را به لایه API وصل کردیم.
.
این هم انعطافپذیری را بالا میبرد و هم میتواند تجربهای باشد برای کارهای دیگر.
به نکته خیلی خوبی اشاره کردید. انعطافپذیری را بالا میبرد، به خاطر اینکه ما به API وصل هستیم و به محدودیتهای لایههای پایینتر وصل نیستیم؛ یعنی هرکسی این API را به ما بدهد، ما میتوانیم بام را به او بدهیم.
.
لطفاً به لحاظ فنی API را برای ما توضیح دهید.
API یک لایه ارتباط با نرمافزار بانک است که چند ویژگی دارد: 1- قابلدسترسی توسط عموم است. 2- مستندات دارد. اینکه مستندات داشته باشد یعنی اگر سیستمی که همه چیزش شبیه API باشد ولی مستندات نداشته باشد واقعاً API نیست. API باید مستندات داشته باشد، مثال داشته باشد، روش داشته باشد. 3- برای ارائه آن از استانداردهای متعارف مانند REST استفاده شده است.
.
گویا API بانکداری هم در جهان مطرح شده و خود آن ظاهراً به یک استاندارد رسیده است.
الآن دارد میرسد. شاید هنوز به آن حد صددرصد نرسیده است. در دنیا دو کار خیلی مهم در حوزه استانداردسازی API بانکداری میشود. یکی را کمیسیون اروپا که بازوی اجرایی اتحادیه اروپاست انجام میدهد به نام PSD2 و یکی دیگر هم انگلیس انجام میدهد که هر دوی آنها برای سالهای 2016 و 2017 یک برنامهریزی دارند که استاندارد بانکداری باز را با استفاده از API در کشورهای خود مطرح کنند.
.
چرا میگویید بنکینگ API؟ چرا API بنکینگ نمیگویید؟
به خاطر اینکه اصل را بانک میگیریم و API را به آن منتسب میکنیم.
.
درواقع اینها اختلاف نظرهاست دیگر؛ یعنی این اختلاف نظر است که میگویند این اول باشد یا دوم.
بله دو جور میشود تصویر کرد. یکی اینکه بگوییم یک بانک وجود دارد و این بانک دارد یک API را ارائه میدهد. یک جور دیگر هست که میگوید اصلاً بانک چه کسی است؟ ما یک سری سرویسها داریم، API ها داریم و تمرکز میکنیم و میگوییم این API اصل داستان است و درواقع یک روش بانکداری است که بانکداری با استفاده از API است. یا اینکه یک بانک وجود دارد که API ارائه میدهد. به نظر من بنکینگ API در حال حاضر درستتر است؛ یعنی اینکه الآن یک بانک وجود دارد که میخواهد خدماتش را از طریق API به فضای بیرونی ارائه دهد. در آینده ممکن است بگوییم بانکی وجود ندارد. درواقع فقط بنکینگ وجود دارد که همان بحثی است که چند وقت پیش بیل گیتس مطرح کرد و گفت ما در آینده به بانک احتیاج نداریم اما به بانکداری نیاز داریم.
.
بله دقیقاً، سؤال بعدی من هم در این مورد بود که آیا میشود API را درواقع فصل جدیدی بانکداری دانست؟ ما یک بانکداری باز داشتیم، حالا این یک لایه روی بانکداری باز است؛ یعنی فصل جدیدی از بانکداری باز است؟
بله من هم همین تصور را دارم. API یکی از ابزارهای اجرایی کردن ایدههای بانکداری باز است؛ یعنی ما به این نتیجه رسیدیم که بانکداری باز را چگونه به اجرا برسانیم؛ که کار API است. API هم مدلهای مختلفی دارد. مثلاً API خصوصی یا API داخلی، API برای شرکا و API عمومی یا API باز.
اینها درواقع در یک طیفی قرار میگیرند که نقطه آغاز و پایان و کاربری هر کدام را مشخص میکند؛ و اینکه کدام API میتواند بانکداری باز را اجرایی کند؛ که از بین آنها، API عمومی یا API باز مناسبترین گزینهها هستند چون ممکن است ما API داخلی یا API خصوصی را داشته باشیم اما منجر به بانکداری باز نمیشوند.
API عمومی و API باز برای دیگران قابلاستفاده است ولی API داخلی مربوط به داخل سازمان (بانک) میشود. یک API که هیچکس از وجود آن خبر ندارد، در واقع شرط اول که دسترسی عمومی است را ندارد.
.
چرا API فصل جدیدی از بانکداری محسوب میشود؟ آیا روشهای دیگری بهغیراز API وجود دارد؟
بهجز API باز، داده باز هم هست که ما در مورد آن کمتر صحبت میکنیم. یک مثال در این خصوص میزنم که نشان میدهد داده باز چگونه میتواند سازمان را به یک سازمان باز تبدیل کند؛ در دنیا سازمانهای حملونقل عمومی و شهرداریها با یکدیگر یک فرمت اطلاعات درآوردند که در این فرمت اطلاعات تعداد و مکان ایستگاههای اتوبوس، ایستگاههای مترو، زمانبندی حرکت مترو و اتوبوس و… آمده است. اینها در این فرمت توافق کردند که اطلاعات سیستم حملونقل عمومیشان را ارائه کنند. حالا نتیجه آن چه میشود؟ فرضاً یک اپلیکیشن موبایلی میخواهید بنویسید که در شهر تهران مسیریابی کند و یک پیشنهاد بدهد که شما با استفاده از وسایل حملونقل عمومی از نقطه A به نقطه B بروید. کافی است شهرداری تهران در آن فرمت خاص استاندارد توافق شده، از داده بازاستفاده کند و هرکسی میتواند از آن استفاده کند و یک اپلیکیشن بنویسد و لازم نیست که API بدهد. با داده باز در واقع شهرداری میشود شهرداری باز. در بانکداری هم دادههایی از این نوع داریم مثل مکان شعب و خودپردازها، این که کدامیک از خودپردازهای شما کار میکند، آن چنان اطلاعات محرمانهای هم نیست. مشتری پای خودپرداز میرود و متوجه خرابی آن میشود ولی ما در بانکها میترسیم که این اطلاعات را باز و عمومی کنیم. درصورتیکه اشتراکگذاری این اطلاعات هیچ ضربهای به سازمان نمیزند. حال ممکن است خبر منتشر شود که تعدادی از خودپردازهای فلان بانک خوابیده است درصورتیکه اگر بقیه بانکها هم اطلاعاتشان را بدهند وضعیت مشابهی دارند و یا حتی اگر بانک فرضی خیلی هم وضعش خراب است به هرحال حرف درستی است و باید درست کند حتی اگر اطلاعات هم ندهد، عموم مردم متوجه این موضوع میشوند.
.
تازه میتوان نکته مثبت آن را دید که زمانی که همه فعال هستند. همیشه بهعنوان یک امتیاز مثبت از این میشود استفاده کرد. نمیشود که همیشه نکته منفی آن را دید.
بله بعد، کلی از این جوانها که میخواهند در این حوزهها فکر کنند و کارهای جالب کنند میتوانند از این اطلاعات استفاده کنند، پیشنهاد بدهند. نزدیکترین خودپرداز بدون مشکل در یک ماه پیش را پیدا کنند و اعلام کنند؛ یعنی تحلیلهایی کنند و پیشنهادهایی بدهند که مشتریان راضیتر شوند. در کل منافع آن در درازمدت به مضراتش میچربد.
.
غیر از اوپن دیتا شکل دیگری در رابطه با بانکداری باز وجود دارد؟
تا جایی که من میدانم همین دوتاست.
.
من فکر میکنم که کلاً علاوه بر حوزه بانکی، سایر خدمات نیز به سمت اوپنینگ میروند؛ مانند شهرداری باز، حملونقل باز و خیلی چیزهای دیگر؛ یعنی اینکه دیگران محصول تعریف کنند؟
من بعضاً برای اینکه بخواهم اول بانکداری باز را توضیح دهم، میگویم بانکداری باز یعنی بانکداری با آغوش باز. بانکها یک آدمهای بستهای بودند مثل یک پدر اخمو بودند که بچه نمیتوانست برود سراغش. حس و حالپذیرندهای نداشتند. بانکها همیشه یک حصاری دور خودشان داشتند. شما یک جلسه میخواستید با مدیران بانکها بگذارید باید از هفتخوان رستم میگذشتید. حصار بانکها در دنیا شکسته شده است.
.
در واقع بانکداری همیشه میماند ولی بانک، معنای سنتی خود را از دست میدهد.
نقطه بعدی این است که دیگر هر کسی بانک خودش را دارد؛ یعنی به تعداد آدمهای دنیا بانک داریم. هرکسی میتواند بانک مرکزی خود را داشته باشد.
.
بحث اولیه خود را به اتمام برسانیم که به بحث بام بپردازیم.
بهصورت کلی درباره بانکداری باز، API باز و داده باز و تأثیر آن در رابطه با اینکه یک بانکداری باز شود صحبت شد و گفتیم روش بانکداری باز فقط تکنولوژی نیست آدمها و نحوه تعامل آن نیز مهم است و همین سیستم نوبتدهی شعب، یک زمانی سیستم نوبتدهی نبود و سیستم صف حاکم بود. کمکم به خاطر شأن و شئونات مشتری صندلی در شعب گذاشته شد که ابتدا فلزی بود و الآن حالت مبله پیدا کرده. الآن کاری که داریم انجام میدهیم این است که اطلاعات مربوط به شعبه و اطلاعات مربوط به نوبتدهی شعبه را اپن کنیم و در اختیار دیگران بگذاریم.
.
API چالشهای متفاوتی دارد از جمله رگولاتوری؛ به نظر شما کسبوکار بانکی چگونه میتواند این مسئله را تسهیل کند؟
الآن روی این حوزه قوانین و مقرراتی وجود ندارد و من هم به بچههای استارتآپی توصیه کردم سریعاً از این فضا استفاده کنند. هنوز قوانین آنچنانی مثل شتاب و… که لیست بلندبالایی از مقررات و بخشنامهها درباره این ابزارها میبینید، راجع به API ایجاد نشده است. رگولیشن خوب باید وجود داشته باشد ولی متأسفانه بعضی وقتها ما بیشازحد رگولیت میکنیم و بیشازحد بازدارنده میشویم؛ و وقتی محدودیت ایجاد میکنیم طبعاً نوآوری نمیتواند شکل بگیرد.
.
بحث بسیار مهم دیگر، بحث امنیت است. این را چگونه ارزیابی میکنید؟
امنیت از جمله مسائلی است که API به دنبال خودش دارد چون در API شما دارید به یک سازمان دیگر بهغیراز بانک با یک واسطه اجازه میدهید از طرف شما با بانک شما یکسری امور انجام دهد. به همین دلیل باید یکسری تمهیداتی در سیستمهای پشتیبان دیده شود از جمله نحوه اجازه دادن، تعداد، سقفها، تناوب در همه اینها، همچنین نسخه پشتیبان، سیستم ضد تقلب، در سیستمهای ضد پولشویی، تشخیص تقلب، برای اینها باید یک زنجیرهای وجود داشته باشد که شما وقتی API را میگذارید درست کار کند. طوری نشود که بعد از ارائه API یکی ادعا کند که همه دارند با آن چیزهای ناجور و غیرقانونی میفروشند. ولی به هر حال همیشه حرفوحدیث روی آنها وجود دارد و ممکن است یکدفعه رگولاتور دستور دهد که همه آنها را بندند.
.
مثل پرداختهای واسط؟
بله مثل انواع و اقسام پرداختهایی که در کشور کار میکنند و به دلیل نبود رگولیشن در یک زمانی وارد چرخه کسبوکار شدند و حالا که میخواهند رگولیشن بگذارند یک روز میبندنشان و یک روز بازشان میکنند؛ و بالاخره مشکلات جدیای در کسبوکارهای آنها ایجاد میشود.
.
خیلیها به آنها هم وابسته هستند.
همین وابسته بودن خیلیها به آنها باعث شده است که اینها الآن زنده بمانند.
.
از دیگر چالشهای API بعد از امنیت چیست؟
تفکر مدیران و تفکر کسبوکار یکی دیگر از چالشهاست. اینکه مدیران ما بپذیرند API در مسیر آینده کسبوکارشان مهم است. بسیاری از بانکها و سازمانها هنوز ضرورت و فوریت ارائه API را درک نکردهاند. به نظر من این ضرورت توسط مدیران باید حس شود. متأسفانه یا خوشبختانه ما کشوری هستیم که تکنولوژی محور هستیم و آدمهای تکنولوژیکیمان توسعه را زودتر از بازار و آدمهای کسبوکارمان درک میکنند. یک نمونه آن همین API است تلاش فنی زیاد میشود مثل یک ماشین دو دیفرانسیل است که درواقع دیفرانسیل جلو درگیر نیست و دیفرانسیل عقب در یک جای ناجور افتاده و دور خودش میچرخد. چارهای نیست جز اینکه دو دیفرانسیل را درگیر کنیم. معمولاً اتفاقی که برایمان میافتد این است که در این چالهها میافتیم و مدت زیادی در آنگیر میکنیم به دلیل اینکه با هم همسو نیستم و در مدلهای کسبوکاریمان جایگاه API را تعریف نکردهایم. در یک نگاه واقعی درآمدهای مشاع و غیر مشاع داریم، تقریباً همه بانکها دوست دارند درآمد غیرمشاعشان افزایش پیدا کند. خوب یک راه افزایش درآمد غیرمشاع کارمزد است و کارمزد هم یک راه آن ارائه سرویسهای جدیدی مثل API است.
.
این یعنی رفتن به سمت اصلاح مدل کسبوکار؟
بله یعنی راه بیفتیم و کار تعریف کنیم و درآمد جدید ایجاد کنیم. به تعبیر دیگر مدل کسبوکار را از روی رقابت بر سر سود و تفاوت نرخ سود سپرده و تسهیلات به سمت مدل خدمت بیاوریم و جایگاه بانکمان را عوض کنیم. این تفکر باید در مدیریت کسبوکار بانک شکل بگیرد متأسفانه ما هنوز مشکلی که داریم این است که مدیران کسبوکاری بانکهای ما راجع به این موضوع بهصورت جدی فکر نمیکنند.
.
حتماً راهکار هم برای این چالشها پیشبینیشده است؟ برای امنیت و…
ما باید امنیت را سطحبندی کنیم و امنیت را به شکل مدیریت ریسک ببینیم مثلاً بگوییم ریسک هر فرایند یا محصول چقدر است، مثلاً سرویسهای اطلاعرسانی داریم که مانده است و ما میخواهیم مانده بگیریم مانده را نباید با همان الزاماتی در نظر بگیریم که انتقال پول را میخواهیم ببینیم. بلکه باید بر اساس ریسک هر فرایند پیشبینیهای لازم امنیتی را انجام دهیم.
.
در بام شما آنجا صفحهکلید مجازی ندارید، یا بعضیها میگویند که درواقع امنیت آن کم است. لطفاً در مورد این موضوع توضیح دهید.
در رابطه با صفحهکلید مجازی من توضیحی میدهم. صفحهکلید مجازی تکنولوژیای است که هدف آن جلوگیری از ذخیره رمز عبور توسط برنامههای مخرب است. صفحهکلید مجازی چگونه جلوی این مسئله را میگیرد؟ برنامههای مخرب و کیلاگرها بر روی کامپیوتر میزبان نصب میشود و صفحهکلید را زیر نظر میگیرند. بهطوری که شما هر کلیدی بر روی صفحهکلید بزنید اینها را ذخیره میکنند. برای همین بانک یک صفحهکلید مجازی هم پیشبینی میکند که در بخش رمز عبور با انتخاب خانههای صفحهکلید بهوسیله موس، این مشکل حل شود. این یک پیشفرض است. از سوی دیگر دیدیم کیلاگرهایی هم وجود دارند که این روش مانع کار آنها نمیشود و ما بعد از مدتی دیدیم که این روش هم جوابگو نیست؛ یعنی کلاهبردار بر اساس راهکار جدید ما، روش خود را اصلاح کرد و روشی برای دور زدن آنها پیدا میکند.
سابقه این موضوع بیش از 10 سال است. ما آمدیم صفحهکلیدهای مجازی گذاشتیم که عین صفحهکلیدهای واقعی بود و بعد از مدتی آمدند و گفتند که کیلاگرها، کیلاگر نیستند موس لاگر هستند یعنی زمانی که کلیک میکنید، جای موس و محل کلیک موس را میگیرد. به همین دلیل در صفحهکلیدهای مجازی جدید جای کلیدها را بهمریخته کردند که جای هر کلید مشخص نباشد. آیا مشکل حل شد؟ حل نشد. بازی دزد و پلیس شد. این بازی ادامه پیدا کرد. کیلاگرها آمدند هرجایی که کلیک میشد، دور آن را یک اسکرینشات میگیرند و ذخیره میکنند، درواقع با این حال که کلیدها هم تصادفی چیده میشود اما شما تا کلیک میکنید دور آن را یک دایره میکشد و ذخیره میکند. ما در ایران در اینجا متوقف شدیم اما این بازی در دنیا ادامه پیدا کرد. برای مقابله با این روش کیلاگرها، صفحهکلیدهای مجازی جدید به جای اینکه تصویر نشان دهند، با یک فرکانسی این تصاویر را خاموش و روشن میکنند با فرکانسی که چشم انسان میبیند ولی کیلاگر همیشه آن را نمیبیند، وقتی روشن و خاموش میشود برای چشم انسان قابلتشخیص هست ولی کیلاگر با یک احتمالی یا خاموش یا روشن آن را میبیند و 50 درصد این کلیدها را نمیتواند بگیرد. ولی کیلاگرها اینجا هم متوقف نمیشوند و ویدئو میگیرند.
الآن کیلاگرها به جایی رسیدهاند که با هر کاری که در صفحهکلید مجازی میشود انجام داد مقابله کردهاند تا حدی که دنیا صفحهکلید مجازی را حذف کرده است. الآن 10 تا بانک برتر در دنیا هیچکدامشان کیلاگر ندارند. من یک گزارش نوشتم که 10 تا کیلاگر برتر دنیا را در این گزارش آوردهام و تمام این 10 تا کیلاگر برتر تمام قابلیتهایی که من میگویم را دارند یعنی فضای تهدیدی وجود دارد و ما فکر میکنیم راهحلی برای آن داریم اما این راهحل درست نیست. دقیقاً مثل این میماند که هوا در تهران آلوده است. گفتند که کسانی که بیماریهای قلبی دارند، در مراکز آلوده تهران در قسمتهای مرکزی نروند مگر اینکه از ماسک استفاده کنند. حالا من نوعی بیماری قلبی دارم و تصمیم گرفتم که ماسک بزنم و به مراکز آلوده شهر بروم. اگر این ماسک محافظت کامل نداشته باشد چه اتفاقی میافتد؟ خیلی فجیع است. یک دلیلی که من نگذاشتم صفحهکلید مجازی باشد و این نظر شخصی من بوده است. به خاطر این است که من اگر به کاربر این سیگنال را بدهم که صفحهکلید مجازی از رمز عبور او محافظت میکند و او در کافینت یا جایی که امن نیست، جایی که حدس میزند کیلاگر باشد، با صفحهکلید مجازی من رمز عبور را وارد کند، بزرگترین خیانت را در حق کاربرم کردهام. من به کاربرم میگویم که هیچ محافظتی در مقابل کافینت ندارم. ما برخلاف کسانی که به کاربر خود میگویند اگر به کافینت رفتید از صفحهکلید مجازی استفاده کنید ما میگوییم که به کافینت نروید
.
چون خطر در هر حال وجود دارد؟
خطر هست. پس میگوییم از کامپیوتر، گوشی و سایر تجهیزات شخصی خود برای استفاده از سیستم استفاده کنید و در جایی که امن نیست از سیستم استفاده نکنید.
.
درواقع صفحهکلید مجازی پیشگیری نمیکند؟
خیر، پیشگیری و محافظت نمیکند و اگر ما این را چه صریح و چه ضمنی بگوییم که چیزی طراحی کردیم که محافظت میکند خیانت کردیم.
.
شما لایههای امنیتی دیگری را پیشبینی کردید؟
ما توصیه میکنیم آنتیویروس داشته باشید. ما توصیه میکنیم در جاهای آلوده نروید، در کافینت وارد اینترنت بانکتان نشوید. مثلاً با کامپیوترهای عمومی وارد اینترنت بانکتان نشوید، اینها توصیههای امنیتی ماست.
.
به لحاظ امنیتی هم آن چیزی را که ضروری است را پیشبینی کردید؟
ما توصیه میکنیم داشتن یک آنتیویروس بهروز خیلی خیلی بهتر از استفاده از صفحهکلید مجازی است و نرفتن در فضاهای آلوده بسیار توصیه میشود. آن تهدیدهایی که در فضاهای آلوده وجود دارد، مانند ریزگردهایی است که ماسکی برای جلوگیری از آن وجود ندارد. حالا یکی صادقانه میگوید که ببخشید ما ماسکی معتبر نداریم و یکی میگوید که این ماسکها را بزنید و میفروشد؛ و ما هم چون الآن قابلیتی نداریم که ارائه بدهیم بنابراین میگوییم که در این فضاها نروید و استفاده نکنید.
.
در مورد بام چه نکاتی را دارید که بگویید؟
راجع به امنیت بهصورت مشخص ما در واقع اعتقاد داریم تا یک جایی میتوانیم هم امنیت و هم راحتی را بالا ببریم بهدلیل اینکه بعضی وقتها این تصور وجود دارد که امنیت مقابل راحتی است.
.
شما تلاش دارید که این دو مقوله با هم باشد؟ مثل دو بال پرنده که هر دو با هم و در کنار هم باشد؟
بله از یک جایی به بعد ممکن است شما به قدری راحتی و امنیت را بهینه کنید که به یک نقطه ماکزیمم تعادل بین اینها برسید ولی به نظر من ما هنوز تا رسیدن به این نقطه فاصله داریم. ما بعضی وقتها بیدلیل مسئله را سخت کردیم، ولی امنیت را بالا نبردیم. مثال آن را هم گفتم مانند صفحهکلید مجازی؛ یعنی کاربر با انتخاب صفحهکلید بهمریخته برای امنیت سختی را به جان میخرد و آن را انتخاب میکند، ولی تضمین امنیتی نیست.
.
بانک ملی روی بام یک حساب جدا باز کرده است، چون میتواند خیلی خدمات را در خود داشته باشد. درواقع میشود یک بانک کامل که همه خدمات را در خود دارد؟
بام قرار است مثل بام عمل کند که یک چتری باشد روی همه سرویسهایی که در بانک ملی ارائه میشود. کاری که ما میخواهیم با شرکتها و مجموعههای دیگر انجام بدهیم این است که میخواهیم بستر UI یا همان واسط کاربری را ارائه دهیم که هر کاری که میخواهند انجام دهند ولی UI آنها در محیط ماست؛ یعنی در عین حال که با ما یکپارچه هستند در واقع واسط کاربری هم دست خودشان هست؛ یعنی اگر زمانی بخواهند میتوانند فیلدی را اضافه یا کم کنند، نحوه نمایش اضافه کنند و یا بر اساس برندینگ خودشان، یکجور دیگر نمایش بدهند.
.
یعنی استاندارد کلی تعریف میشود ولی بقیه آن دست خودشان است.
ببینید برای مثال نمونه آن خودپردازهاست. الآن خودپردازها UI Open نیستند. نگاه کنید خیلی بانکها عین هم هستند، معلوم است که بانکها نمیتوانند آن را تغییر دهند. ولی در UI Open شما این تغییر را در اختیار خود کاربران میگذارید.
.
در بحث بام، در واقع شما یک سبد خدمات دارید، من میشنویم که این سبد خدمت هنوز کامل نیست. بهطور مثال من میخواهم پرداختهای دورهای دارم و میتوانم صبر کنم و درصدی از حساب خودش کسر شود و برود.
ببینید. بام یک مدل توسعه چابک دارد. مدل توسعه چابک به شما میگوید که شما از هر جایی که میتوانید سرویس را بدهید. این مدل توسعه چابک برخلاف مدلهای قبلی است که آبشاری بود، یعنی همه مراحل از تحلیل و طراحی، پیادهسازی، تست و انتقال انجام میشد تا زمانی که میرسیدید به تکامل و قرار دادن محصول در اختیار مشتری ولی در مدل توسعه چابک میگوییم شما قابلیت را ارائه بدهید، قابلیتی که به درد مشتری میخورد و سپس قابلیتهای دوم و سوم را اضافه کنید. در واقع به جای اینکه شما یک پروژهای داشته باشید که در تاریخی پروژه تمام میشود، یک محصول دارید که زنده است و به مرور زمان توسعه پیدا میکند. مدل بام هم همین است. در حالحاضر کمبودهایی وجود دارد که به مرور زمان در قالب ویژگیهای جدید به سامانه بام اضافه خواهند شد. بههرحال آن چیزی که ما در مورد بام فکر میکنیم این است که یک سامانه پویاست و به مرور زمان با افزودن ویژگیها و قابلیتهای جدید این کمبودها برطرف خواهند شد.
.
و توسط خود مشتری میتواند به مرور حل شود؟
بله بام همیشه باید توسعه پیدا کند. بام آمده است که همیشه در حال رشد باشد برخلاف آن نگاهی که ما معمولاً به پروژههایی داریم که اسم آنها بانکداری اینترنتی است، سامانه بام فقط یک سامانه بانکداری اینترنتی صرف نیست بلکه محصولی است که همیشه باید در حال رشد و اضافه شدن قابلیتها به خود باشد در حالحاضر نسبت به محصول رقیبش که در آن بانک وجود دارد یک قابلیت کم دارد که آن قابلیت قرار است هفته دیگر افزوده شود. این ویژگی هم پرداخت اقساط تسهیلات است. این پرداخت اقساط تسهیلات به یک دلایلی به مشکلاتی برخورد کرد که ما در یک مقطعی حدود یک ماه پیش آن را راه انداختیم. به یک مشکلاتی برخورد کردیم و ما این قابلیت را از محصول خارج کردیم، این قابلیت از هفته آینده به محصول دوباره اضافه میشود. درصورتیکه این قابلیت افزوده شود تقریباً همه کارهایی که قبلاً مشتری میتوانست انجام بدهد، بهعلاوه کارهای دیگر قابل انجام است و این کمبود نسبت به محصول موجود رفع میشود و محصول در مسیری میافتد که کلی گزینه اضافهتر نیز دارد.
.
آیا میشود گفت بام در بانک ملی فصل جدیدی از بانکداری است؟
قطعاً اینطور است. اصلاً یک نگاه جدیدی به بانک ملی به وجود آمده است. اداراتی که درگیر کار شدند هرکدام یکگوشهای از کار را گرفتند همه بخشها کمک کردند. اداره امنیت و توسعه، اداره عملیات، اداره اطلاعات، اداره بازاریابی، اداره دعاوی و حقوقی، اداره روابط عمومی، اداره سازمان روشها، اداره بازرسی، همه اینها هرکدام درگیر این پروژه و کار بودند و هر کدام در بخشی از کار کمک کردند تا این پروژه انجام شود.
.
درواقع لایفاستایل خدمات بانک ملی تغییر کرده است؟
بله همینطور است.
.
این مسئله باعث شد که در شرکت خدمات نیز درزمینهٔ ارائه خدماتش به بانک ملی تحول ایجاد شود؟
ما مایل هستیم با شرکت خدمات مانند دو بال برای پرواز بانک ملی در سپهر ارائه خدمات بانکی عمل کنیم.
.
ممکن است در عمل چنین اتفاقی بیفتد؟
شرکت خدمات و هر شرکت دیگر مثل توسن در یک مقطعی فکر میکنند که دارند یک بخشی از بازار خود را از دست میدهند؛ یعنی میگویند ما قبلاً بانکداری اینترنتی میدادیم بانکها همه میخواهند برای خودشان بانکداری اینترنتی بدهند که مهمترین آن هم در واقع لایه UI بوده است؛ یعنی نمیخواستند همه شبیه همدیگر باشند، میخواستند یک تغییری داشته باشند اما هر کاری که میکردند در نهایت نگاه میکردند میدیدند که همه شبیه همدیگر هستند. فکر کنید یک بانک میخواهد بگوید که من بانک دیجیتال آینده، بانک اینترنتی پیشرو و… هستم بعد میدید که همه بانکها اینجوری هستند؛ مانند بانکهای دیگر بالاخره بانکها میخواهند یک تمایز ایجاد کنند که در ذهن مشتری متمایز باشند. مردم درزمینهٔ کار با بانکداری اینترنتی بانکهای مختلف تجربه دارند بالاخره همه لاگین میکنند و میبینند. حالا فکر کنید همه این بانکها که میخواستند تمایز ایجاد کنند، شبیه هم بودند. این باعث میشود که قابلیت جدیدی نسبت به بانک دیگر برای عرضه به مشتری نداشتند.
.
نکتهای دیگر که شما در فاز بعدی بام بیشتر روی آن تأکید داشته باشید، علاوه بر محصولاتی که خودتان تعریف میکنید، این است که محصولاتی از بیرون بیاید و روی بام سوار شود.
دقیقاً، در حال حاضر هم ما کلی محصول از بیرون روی بام گذاشتهایم. اصلاً مدل توسعه بام، مدل متمرکز نیست، مدل توزیعشده است. در حال حاضر و در بحث کارت اعتباری همین اتفاق افتاده است. شرکت پیشگامان یک شرکت بیرونی بانک است (شرکت کارت اعتباری) ایشان میخواهند امور کارت اعتباری را در دست بگیرند میخواهند صورتحساب کارت اعتباری بدهند، در سطح UI، میتوانند اینها را خودشان بنویسند و در سامانه بام ارائه شود.
.
آیا من هم میتوانم از بیرون یک چنین کاری انجام دهم؟
بله. برای اینکه مراحل بلوغ تدریجی انجام شود، کاری که قرار است کسی از بیرون انجام بدهد را اول خودتان از داخل انجام دهید. مثلاً در سداد این موضوع توزیع شده است. روی بام یک تیم کار نمیکند، بلکه پنج تیم بر روی بام کار میکنند. اینها هر کدام یک مجموعه از قابلیتها را دارند توسعه میدهند که مستقل از یکدیگر هستند. بهطور مثال یک تیم روی صورتحساب کار میکند، یکی بر روی انتقال پول. بهطور مثال صورتحساب به جایی میرسد که یک نسخه جدید ارائه دهد، منتظر انتقال پول نمیماند، نسخه خود را ارائه میدهد؛ یعنی نسخه مشتری آپدیت شده و صورتحساب جدید میآید. دو روز بعد انتقال پول میرسد. این در توسعه، با توجه به مشکلاتی که در سازمانهای مختلف من دیدهام که توسعه نرمافزاری چه مشکلاتی دارد، این کار به شدت سرعت را افزایش میدهد، به خاطر اینکه وقتی همه به نوعی منتظر یکدیگر میمانند، زمانهای انتظار به شدت زیاد میشود، مشکل یک نفر باعث میشود که کل نسخه دچار مشکل میشود و برگردد و مثلاً فکر کنید همه صبر کردند و همه به نتیجه رسیدهاند، آنوقت میبینند که صورتحساب باگ دارد. چون در نسخه جدید همه اینها به هم چسبیدهاند، برگرداندن اینها دیگر سخت است. ولی اگر شما بتوانید پلهپله این را جلو ببرید. اگر زمانی مشکل داشت، همین مشکل را یک قدم به عقب بیاورید نه اینکه کل را یک قدم به جلو و یکباره همه را به عقب برگردانید.
.
بله خیلی سخت میشود، مثل این میماند که شما در یک کمدی چیزی دارید که وقتی نیاز دارید همه کمد را خالی کنید آن را در بیاورید و دوباره سرجایشان بگذارید. درصورتیکه میتوانید یک عدد از آن را در بیاورید، درست کنید و دوباره سر جایش بگذارید.
بله نگاه ماژولار که میگوییم همین است. ما بالاخره ماژولها را در حد سرویس در نرمافزارمان داریم. لایه UI ماژولار کم داشتیم که در واقع واسط کاربری بام ماژولار شده است.
.
و سؤال آخر، مدل کسبوکار آن چگونه است؟ درواقع ما چقدر میتوانیم برای بانک کسب درآمد داشته باشیم. برای این مسئله هم تدبیری اندیشیده شده است؟
ببینید، وقتی ما به دیگران اجازه بدهیم که بتوانند در فضای بانک وارد شوند و چیزی بگذارند، میتوانیم این فضا را اجاره دهیم، بفروشیم یا به ازای هر تراکنش کارمزد بگیریم. این فضا میتواند به سمتی برود که ایجاد درامد کند. حتی میتوانیم این فضا را رایگان بدهیم به دلیل اینکه مشتری این فضا را دوست دارد و تعداد مشتریان ما را زیاد میکند و میتواند سبد محصولات ما را کامل کند. ترکیب اینها درواقع میتواند مدل کسبوکار و درآمد بانک از API را شکل دهد.