تلاش برای افزایش امنیت / گفتگو با علیرضا غفوری، معاون عملیات شرکت پرداخت الکترونیک سامان

نویسنده: قاسم سرافرازی در تاریخ 2 بهمن سال 1396 ساعت 11:00 0

ماهنامه عصر تراکنش / از زمانی که استفاده از ابزارهایی نظیر دستگاه کارت‌خوان یا خودپرداز در کشور رواج پیدا کرد، فرهنگ‌سازی در زمینه حفظ رمز کارت‌های بانکی مردم نیز آغاز شد. در این سال‌ها بارها توسط کارشناسان بانکی و مسئولان امنیتی به مردم گوشزد شد که نباید با صدای بلند و حتی آرام رمز کارت‌شان را به مغازه‌دارها بگویند، اما فایده‌ای نداشت. حتی نگارنده این متن هم هرچند به غلط بودن این روش آگاه است، اما به‌علت نبود ابزارهای لازم بیشتر مواقع مجبور است که در حضور مغازه‌دار و حتی مشتریان دیگر رمز کارتش را بلند بگوید. صداوسیما برنامه‌ای دارد به‌نام «شوک». این برنامه هرازچندگاهی به‌سراغ قربانیانی می‌رود که با خرید از یک فروشگاه و گفتن رمز کارت‌شان بعد از چندی متوجه شده‌اند که حساب‌شان خالی شده است، اما با این همه تغییری در رفتار مردم ایجاد نمی‌شود. قاعدتا به مردم نمی‌توان ایرادی گرفت.

مشکل اینجاست که طراحی ابزارهای کارتخوان طوری است که مردم نمی‌توانند رمزشان را نگویند و صاحبان مغازه‌ها و فروشگاه‌ها هم جزئی از همین مردم هستند که اگر خود آنها هم برای خرید به فروشگاه دیگری مراجعه کنند، مجبورند با صدای بلند رمز کارت‌شان را فریاد بزنند. پس فرهنگ صحیح استفاده از دستگاه کارتخوان در جامعه ما جا نیفتاده است، اما تا کجا می‌توانیم به فرهنگ‌سازی و هشدار به مردم دل خوش کنیم. به نظر می‌رسد بهترین راه، به‌کارگیری ابزارهاست. احتمالا در برخی فروشگاه‌های نسبتا سطح بالا جدیدا دستگاه‌های کوچک سفیدرنگی را دیده باشید که به کارتخوانی که در پشت باجه متصدی فروشگاه قرار دارد، متصل است و به‌گونه‌ای طراحی شده که روبه‌روی مشتری قرار می‌گیرد و الزاما او باید رمز را وارد کند. شرکت سامان‌پرداخت یا همان سپ چند ماهی است که از دستگاه پین‌پد خود رونمایی کرده است. با این تغییر نسبتا ساده، این امیدواری وجود دارد که مفهوم مهم وارد کردن رمز توسط خود مشتری در بین مردم جا بیفتد. اکنون موقعیت قرار گرفتن دستگاه‌های کارتخوان گاهی طوری است که راهی نمی‌ماند جز اینکه مشتری رمزش را به صاحب مغازه بگوید. به‌مرور که رفتار تغییر کرد، می‌توان انتظار داشت که حتی با نبودن این دستگاه‌ها هم دیگر کسی رمزش را به کسی نگوید. در همین رابطه با علیرضا غفوری، معاونت عملیات شرکت پرداخت الکترونیک سامان گفت‌وگوی کوتاهی انجام داده‌ایم که حاصل آن در ادامه آمده است.

پرداخت الکترونیک سامان، نخستین شرکت در میان شرکت‌های psp است که از پین‌پد برای دستگاه‌های کارتخوان خود استفاده کرده است. لطفا توضیح دهید که چطور و با چه هدفی این کار را انجام می‌دهید.

فراهم کردن امنیت حوزه پرداخت همواره یکی از دغدغه‌های مهم شرکت پرداخت الکترونیک سامان بوده است. با توجه به اینکه فرهنگ نادرست پرسش رمز، بخشی از عادت امروز پذیرندگان شده است، افزایش امنیت حوزه پرداخت و تغییر این فرهنگ از چند سال پیش در دستور کار این شرکت قرار گرفت. در ابتدا استفاده از پایه‌های کارتخوان با قابلیت چرخش و آموزش از طریق پشتیبانان اجرا شد. این راهکار توسط اکثر PSPها در کشور به‌کار گرفته شد و هرچند تا حدی میزان پرسش رمز توسط پذیرنده را کاهش داد، اما در کل باعث تغییر این عادت نادرست نشد؛ بنابراین تصمیم این‌گونه گرفته شد تا از دستگاه پین‌پد استفاده شود و فرایند ثبت تراکنش به‌نحوی طراحی شود که دارنده کارت، رمز را وارد کند و نیازی به پرسش رمز توسط پذیرنده نباشد.

از چه زمانی این پروژه را آغاز کرده‌اید؟

از اواسط سال 1395 این پروژه رسما آغاز و راهکار پین‌پد سپ برای اولین بار در کشور در سطح گسترده عملیاتی شد. انتخاب برند و مدل پین‌پد، طراحی فرایند ثبت تراکنش، توسعه نرم‌افزار آن، تست اولیه و رفع مشکلات اولیه و عملیاتی کردن آن در فازهای طراحی‌شده، از بخش‌های اصلی پروژه مذکور بوده است.

پراکندگی پذیرندگان شما در سطح کشور چگونه است؟

جهت افزایش اثربخشی و تغییر این فرهنگ، نصب پین‌پد از اواخر سال 1395 و به‌طور همزمان در کل کشور آغاز شد.

فرایند توزیع و نحوه دریافت این دستگاه‌ها توسط پذیرندگان به چه صورت است؟ آیا این پروژه فازبندی دارد و در این مرحله فروشگاه‌ها و نقاط خاصی را در تهران یا دیگر کلانشهرها هدف قرار داده‌اید؟

در فاز اول بخش منتخبی از پذیرندگان فعلی شرکت پرداخت الکترونیک سامان به این دستگاه مجهز شده‌اند، اما در صورتی که پذیرندگان جدید نیز متقاضی استفاده از مجهز باشند، می‌توانند با شماره 84080-021 مرکز ارتباط با مشتریان این شرکت تماس حاصل کنند.

آیا پذیرنده بابت دریافت پین‌پد باید هزینه‌ای بپردازد؟ چه مقدار؟

هرچند خرید و تجهیز دستگاه پین‌پد برای شرکت پرداخت الکترونیک سامان هزینه داشته، اما در فاز اول و جهت تسریع در تغییر فرهنگ پرسش رمز از هیچ‌یک از پذیرندگان هزینه‌ای دریافت نشده است.

نصب دستگاه‌های پین‌پد و استفاده از آن، چه مزیت‌هایی برای پذیرنده، psp و مشتری دارد؟

با توجه به نتایج تحقیقات میدانی صورت‌گرفته در این خصوص و بازخوردهای دریافت‌شده، در بسیاری از فروشگاه‌هایی که این دستگاه نصب شده است، مشتریان و دارندگان کارت از اینکه مجبور نیستند رمز خود را بازگو کنند، رضایت بیشتری داشته‌اند. از طرف دیگر از آنجا که دستگاه کارتخوان در سمت پذیرنده و دستگاه پین‌پد در سمت مشتری (دارنده کارت) تعبیه شده است، نیازی به چرخش کارتخوان نیست و عملیات ثبت تراکنش با راحتی بیشتری صورت می‌پذیرد. با توجه به اینکه خریداران و دارندگان کارت به هنگام استفاده از این راهکار، رضایت بیشتری از خرید خود داشته‌اند، این موضوع همزمان باعث افزایش رضایت پذیرندگان نیز شده است. تنها بازخورد منفی اخذشده در ماه‌های اولیه استفاده از پین‌پد، کاهش سرعت فرایند ثبت تراکنش است. با توجه به اینکه ابزار پین‌پد برای مشتریان جدید است، برخی از پذیرندگان از اینکه مجبور بودند به ازای هر فروش نحوه استفاده از پین‌پد را به مشتریان آموزش دهند، گله داشتند که این مشکل به‌تدریج و با آشنایی بیشتر مردم با این دستگاه در حال مرتفع شدن است.

از نگاه PSP، استفاده از این راهکار موجب ارتقای امنیت پرداخت و کاهش مشکلات احتمالی می‌شود، هرچند به‌دلیل ضعف مدل کارمزدی کل سرمایه مورد نیاز برای تهیه این دستگاه‌ها توسط PSP تهیه می‌شود و در صورتی که مدل کارمزدی توسط نهاد ناظر اصلاح می‌شد، امکان تجهیز تمامی پذیرندگان به دستگاه مذکور با سرعت بیشتری صورت می‌پذیرفت.

نصب این دستگاه‌ها تا چه اندازه می‌تواند به ارتقای امنیت پرداخت‌های کارتی در فروشگاه‌ها کمک کند؟ و چه میزان می‌تواند به کاهش جرائم بینجامد؟

از آنجا که استاندارد مورد استفاده در ایران برای صدور کارت‌های بانکی بر اساس کارت‌های مگنت است و از استاندارد جدید EMV تبعیت نمی‌کند، کپی کردن کارت‌های فعلی بسیار ساده و با هزینه اندک قابل اجراست. تنها اطلاعاتی که در کارت ذخیره نمی‌شود، رمز کارت است که آن هم توسط خود مشتری بازگو می‌شود و در صورتی که شخصی بخواهد از کارت مشتری سوءاستفاده کند، به‌سادگی امکان‌پذیر است.

با استفاده از دستگاه پین‌پد، رمز توسط خود مشتری وارد می‌شود و حتی در صورت کپی کردن اطلاعات کارت، امکان استفاده از کارت میسر نخواهد بود. دستگاه پین‌پد هم به‌گونه‌ای طراحی شده که بخش ورود رمز آن نسبتا از نگاه فروشنده محفوظ است و این موضوع باعث شده تا سطح امنیت به هنگام استفاده از کارتخوان نسبت به روش قبلی ارتقای قابل ملاحظه‌ای داشته باشد.

ذکر این نکته ضروری است که جهت ارتقای سطح امنیت حوزه پرداخت تمامی ذی‌نفعان آن، یعنی شرکت‌های پرداخت، بانک‌ها، دارندگان کارت، پذیرندگان و نهاد ناظر باید مشارکت داشته باشند. کلام آخر اینکه برای حفظ امنیت کارت‌های بانکی خود، هیچ‌گاه رمز کارت خود را بازگو نکنید و با استفاده از راهکار پین‌پد شرکت پرداخت الکترونیک سامان تجربه‌ای متفاوت در خرید خود داشته باشید.