راه پرداخت
رسانه فناوری‌های مالی ایران

مدل پیشنهادی «سَند باکس» برای هدایت فین‌تک

نیما امیرشکاری، مدیرگروه بانکداری الکترونیک پژوهشکده پولی و بانکی؛ ماهنامه عصر تراکنش / فین‌تک، شرکت‌ها و یا تیم‌های تازه متولدی هستند که به کمک رویکردهای فناورانه سعی در رفع بخشی از نیازهای مالی اشخاص و کسب‌وکارها دارند؛ چون که رویکرد سنتی در عصر حاضر نتوانسته به‌خوبی پاسخگوی آن بخش از نیاز باشد. این رویکرد فناورانه و در برخی موارد نوآورانه فین‌تک در بعضی از قالب‌ها و ساختارهای نظام کنونی صنعت مالی به‌سادگی نمی‌گنجد. از سوی دیگر محدود کردن و توقف فعالیت این مجموعه‌های نوپا نیز منجر به تحدید توسعه می‌شود.

این یادداشت ارائه راهکاری میانی جهت ایجاد فضای کسب‌وکار مناسب برای فین‌تک با حداقل سازی ریسک‌های پیش‌بینی‌نشده این مجموعه‌ها برای نظام موجود است که از طریق مطالعه مدل‌های متداول بین‌المللی و کاربردی نمودن آن برای فضای رگولاتوری ایران تنظیم‌شده است. راهکار موجود که به‌منظور حفاظت از حقوق مشتریان خدمات مالی از سوی ناظر طراحی‌شده و در اصطلاح متخصصان امنیتی Sandbox گفته می‌شود.

Fintech Conduct Framework 1 نام‌گذاری شده است. در ادبیات امنیت سیستم، زمانی که قصد دارند سیستمی به‌صورت کنترل‌شده فعالیت کند درحالی‌که ریسک آن به اکوسیستم جاری سرایت نکند، از اصطلاح sandbox استفاده می‌کنند؛ اما ازآنجایی‌که هدف از طراحی این مدل، هدایت فین‌تک به سمت کاهش ریسک عملیاتی و سیستمی است، در نام‌گذاری این مدل از عبارت «چارچوب هدایت» استفاده‌شده است.

[mks_pullquote align=”left” width=”600″ size=”18″ bg_color=”#444444″ txt_color=”#ffffff”]

سَندباکس چیست؟

سندباکس یک سیستم حفاظتی قدرتمند است که این روزها در اکثر برنامه‌های کامپیوتری به کار گرفته می‌شود. به‌عنوان‌مثال مرورگرها؛ اما این سیستم حفاظتی به‌صورت دقیق چه‌کار می‌کند؟ سندباکس درواقع یک محیط بسته ایجاد می‌کند تا اگر یک برنامه مخرب بود و یا محتوایی که از طریق آن به کامپیوتر شما راه پیداکرده مخرب باشد، مشکلی متوجه سیستم شما نشود. به‌عنوان‌مثال برنامه‌ای را از اینترنت دانلود می‌کنید؛ اما به سالم یا مخرب بودن آن شک دارید. در این حالت چه‌کار می‌کنید؟ آن برنامه را اجرا می‌کنید یا بی‌خیال ادامه می‌شوید؟ بهترین کار این است که آن را در محیط سندباکس اجرا کنید. با این کار حتی اگر آن برنامه مخرب هم باشد، مشکلی پیش نخواهد آمد.

[/mks_pullquote]

 

مفروضات

در ارائه راهکار FCF1 می‌توان مدل‌های انتزاعی زیادی را به کار گرفت، اما باید در نظر داشت حساسیت طراحی این sandbox در آن است که از سویی ریسک سیستمی آن برای نظام موجود کنترل‌پذیر باشد و از سوی دیگر خود این sandbox به ابزاری برای محدود کردن کسب‌وکارهای نوپا تبدیل نشود. حفظ تعادل در طراحی FCF1 نکته کلیدی است که لازم است مورد پایش مستمر نگه‌دارندگان این محیط باشد. مفروضات زیر برای طراحی این sandbox در نظر گرفته‌شده است:

  • ثبت هر فین‌تک در FCF1 باید آزاد باشد
  • FCF1 در شروع قادر به پذیرش انواع طبقه‌بندی فین‌تک باشد
  • دوران رشد فین‌تک از سرآغاز تا رسیدن به بلوغ نسبی در FCF1 قابل مدیریت باشد
  • مکانیزم پویایی برای فیدبک متقابل میان فین‌تک و نهاد ناظر بر FCF1 وجود داشته باشد
  • باید پذیرفت که ریسک فین‌تک را نمی‌توان به صفر رساند، همان‌طور که ریسک بانک‌ها و سایر مؤسسات مالی نیز صفر نیست
  • شیوه تعامل FCF1 با نهاد ناظر بازار پولی کشور یعنی بانک مرکزی، باید در طراحی دیده شود
  • نهادسازی مربوطه و پذیرفته شدن FCF1 در سازمان‌های مرتبط با امور شرکت‌ها مانند سازمان مالیاتی، بیمه‌ها، ریاست جمهوری، پلیس فتا و … باید از سوی حاکمیت تحت حمایت قرار گیرد

 

مدل sandbox پیشنهادی

مدل پیشنهادی از دو بعد فنی و مالی قابل‌بررسی است. sandbox محیط جداگانه آزمایشگاهی نیست که عملیات آن واقعی نباشد، چراکه در این صورت کسب‌وکارها و مشتریان آن‌ها قادر نیستند به فعالیت واقعی بپردازند و کسب درآمد کنند. Sandbox محیط عملیاتی است که به‌منظور حفظ حقوق مشتریان و سایر کسب‌وکارها محدودیت‌هایی دارد.

FCF1 دارای دو تیم استراتژی و تیم راهبری بوده که وظیفه اصلی تیم استراتژی تعیین ضوابط ارزیابی، ضوابط رشد و هدف‌گزاری کلان است و وظیفه تیم راهبری طبقه‌بندی صحیح فین‌تک، ارزیابی ریسک، تشخیص دوره بلوغ و دریافت و تجمیع گزارش‌ها است.

فین‌تک به‌دلخواه در FCF1 عضو می‌شود و خود را ثبت‌نام می‌کند. در فرم ثبت‌نام، طبقه‌بندی اولیه و شمایل کلی ازآنچه فین‌تک قصد انجام آن را دارد عنوان می‌شود. می‌توان در این مقطع برخی اطلاعات آماری مناسب برای تحلیل‌های آتی فضای فین‌تک ایران نیز جمع‌آوری نمود. شرکت‌هایی که در این مرحله اطلاعات کافی و شفافی از عملکرد خود وارد کرده‌اند، دارای پروتکل مشخصی برای ارتباط با نهادهای ناظر خواهند بود و توقف یا توقیف آن‌ها از سوی هر نهاد حاکمیتی باید در مکانیزم مشخصی صورت پذیرد.

طبقه‌بندی اولیه می‌تواند شامل موارد زیر باشد:

  • پرداخت و تجمیع کنندگان
  • وام و جمع سپاری
  • انتقال وجه بین‌المللی
  • امور مالی شخصی
  • بورس و سهام
  • سرمایه‌گذاری
  • ارز و صرافی

پس از ثبت‌نام، شرایط اولیه‌ای بسته به ضوابط تعیین‌شده توسط تیم استراتژی برای فین‌تک در نظر گرفته می‌شود و مجموعه گزارش‌های ابتدایی مربوط به حوزه مربوطه به‌صورت دوره‌ای از فین‌تک دریافت و تحلیل می‌شود. گزارش‌های اولیه شامل تعداد تراکنش‌های دوره به تفکیک سرویس، تعداد مشتریان به تفکیک سرویس، حجم تبادلات مالی، میزان سرمایه و ترکیب سهامداری، منابع درآمد و موارد تخلف مشتریان و مشکوک به تخلفات است. در این مرحله سقف‌هایی برای تراکنش ماهانه، سقف ریالی گردش مالی یک دوره و سایر شرایط تعیین‌شده توسط تیم استراتژی مورد پایش قرار می‌گیرد که بسته به طبقه‌بندی کسب‌وکار تعیین می‌شود.

[mks_pullquote align=”left” width=”600″ size=”18″ bg_color=”#444444″ txt_color=”#ffffff”]

جعبه شنی در امنیت رایانه

در امنیت رایانه‌ای جعبه شنی یک سازوکار حفاظتی برای جدا نگاه‌داشتن بعضی نرم‌افزارهای در حال اجرا در آن واحد با دیگر نرم‌افزارهاست و اغلب برای اجرای کدهای تست نشده و یا برنامه یا تارنماهای غیرقابل‌اعتماد مورداستفاده قرار می‌گیرد تا خطرات احتمالی سیستم‌عامل یا میزبان را تهدید نکند.

[/mks_pullquote]

 

هر فین‌تک از آغاز تا زمان خروج از sandbox و تبدیل‌شدن به یک شرکت بالغ، چندین مرحله رشد را در FCF1 می‌گذراند؛ مانند بسیاری از استارت‌آپ‌ها، برخی فین‌تک‌ها ممکن است در مرحله‌ای متوقف و یا حتی از ادامه کار منصرف شوند و این روندی طبیعی است. حال‌آنکه فین‌تک‌های باقی‌مانده پس از چند دوره افزایش ظرفیت، افزایش مشتری و افزایش درآمد می‌توانند به‌عنوان شرکتی بالغ با سودآوری و مدل کسب‌وکار مطلوب از sandbox خارج‌شده و تا آن زمان تکلیف شیوه نظارت بر آن‌ها نیز در حد مناسبی برای خود فین‌تک و نهادهای ناظر شفاف شده باشد.

از بعد فنی نیز فین‌تک در مراحل مختلف بلوغ اجازه دسترسی به امکانات، اطلاعات و APIهای خاصی را خواهند داشت. مشابه الگوبرداری از مکانیزم PSD2، بسته به حساسیت داده‌ها می‌توان برخی را به رایگان و از همان مراحل ابتدایی، برخی را با دریافت هزینه و از همان مراحل ابتدایی و برخی دیگر را به رایگان یا با دریافت هزینه در مراحل بعدی رشد در اختیار فین‌تک قرار داد که این دسترسی در قالب قرارداد یا توافق فین‌تک با بانک‌ها و سایر سرویس‌دهندگان صورت می‌گیرد.

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.