پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
مخاطرات پیمانکاران پایانههای فروشگاهی
سعید کلانتری، کارشناس سوییچ و ابزار پرداخت / وجود پیمانکاران و شرکتهای مختلف برای تهیه نرمافزارهای پایانههای فروشگاهی در صنعت پرداخت اتفاق جدیدی نیست و همواره وجود داشته است. ولی به نظر میرسد در سالهای اخیر رشد بیشتری کرده است و شرکتهای زیادی بهعنوان پرداختیار و یا قرارداد هدایت تراکنشی وارد این عرصه شدهاند. البته یکی از دلایل رشد و ورود شرکتهای متخلف ورود برندهای مختلف شرکتهای چینی به صنعت پرداخت ایران است.
در کنار ورود شرکتهای جدید و نوپا به این صنعت، تغییر دیگری که در بازار رخ داده است، افزایش تعداد و برندهایی است که برای اتصال به سوئیچهای شرکت پرداخت از شبکه اینترنت بهجای شبکه تلفنی و یا DIAL استفاده میکنند. میخواهیم در این مطلب به ریسکهای دو اتفاق بالا توجه کنیم.
مهمترین دغدغه امنیتی در شبکه پرداخت کشور، حفظ و مراقبت از PIN و PAN کاربران است. با توجه به اینکه ما از کارتهای مغناطیسی استفاده میکنیم، لو رفتن PIN و PAN کارتها بهراحتی میتواند موجب سوءاستفاده و سرقت پول از حسابهای بانکی شود.
ازنظر نگارنده، مهمترین ریسکی که با ورود شرکتها و برندهای مختلف به شبکه پرداخت کشور وارد میشود، ذخیره شدن اطلاعات کارت افراد توسط این شرکتهای جدید و پایانههای آنها است. در ابتدا به دو ریسک متداول استفاده از برنامهنویس کارتخوان مختلف اشاره میکنم:
- برنامهنویس میتواند در برنامه دستکاری کند تا درصورتیکه کارتهای خاصی (مثلاً کارت متعلق به برنامهنویس) روی کارتخوان کشیده شد، دستگاه بعد از یک ثانیه مکث پیام تراکنش موفق را چاپ کند. این تراکنش هرگز به سوئیچ شرکت پرداخت ارسال نمیشود و لذا پول از حساب کسر نمیشود. همچنین گزارش این تراکنش هم در پایانه ثبت نخواهد شد. لذا دارنده پایانه بهسختی خواهد توانست ثابت کند چنین تراکنشی انجام داده است.
- برنامهنویس میتواند اطلاعات کارت دارنده کارت مثل track2 و شماره رمز را ذخیره کند و آن را به برنامهنویس متخلف تحویل دهد تا برنامهنویس متخلف با استفاده از آن از کارت کپی تهیه کند و تخلف انجام دهد.
چک کردن برنامه تولیدشده توسط شرکتهای متعدد به سادگی میسر نیست و این شرکتها عموماً توان نظارت بر برنامههای تولید شده توسط برنامهنویسان خود را ندارند؛ لذا در صورت بیدقتی هردو احتمال بالا ممکن است. ولی باید توجه کرد که خسارت ریسک شماره یک با ریسک شماره دو بسیار متفاوت است.
در مورد شماره یک برنامهنویس متخلف در صورت خرید با مبلغ بالا خیلی زود شناسایی میشود. لذا باید با مبالغ پایین تخلف انجام دهد و خرید انجام دهد. همچنین فقط روی پایانههایی میتواند تخلف انجام دهد که نرمافزار خودش نصب شده باشند.
ولی در مورد دو اطلاعات کارت بیشماری با مبالغ مختلف به دست میآید که با آنها میتوان روی پایانههای شرکتها تخلف کرد و چون اطلاعات کارتها از روی کارتخوانهای مختلف به دست آمده است، ردیابی سخت میشود.
سوالی که اینجا پیش میآید این است که برنامهنویس متخلف چگونه میتواند به اطلاعات کارتهای ذخیره شده دسترسی پیدا کند و آنها را مورد استفاده قرار دهد؟ در گذشته که پایانهها up dial بودند، امکان ارسال اطلاعات برای برنامهنویسان به آدرس دلخواه بسیار سخت و حتی ناممکن بود ولی امروزه با توجه به اینترنتی شدن پایانههای فروشگاهی، فقط لازم است یک پیام رمز شده به یک آدرس وب در اینترنت ارسال شود و اطلاعات کارت بهصورت رمز شده در یک دیتابیس ذخیره شود.
هدف از این یادداشت ارائه راهکار به متخلفین نیست. بدیهی است که برنامهنویسان متخلف قطعاً راهکارها و ایدههایی دارند که حتی ممکن است به فکر ماهم نرسیده باشد زیرا چو دزدی با چراغ آید، گزینهتر برد کالا.
هدف از این مطلب توجه مدیران شرکتهای پرداخت به استفاده از برنامهنویسان مختلف و ناشناخته در طراحی برنامههای پایانهها است. باید مدیران حتماً سورس برنامهها را دریافت کنند. در صورت امکان برای ممیزی آنها اقدام کنند. تستهای امنیتی برای اطمینان از صحت عملکرد برنامهها انجام دهند و تنها فاکتورها برای مشخص کردن برندههای مناقصه مبلغ و تحویل کار در زمان مناسب نباشد.
به نظر نگارنده در صورت بروز چنین تخلفی، کشف متخلف و برنامه متخلف بسیار سخت است و ممکن است اصلاً ممکن نباشد. حتی درصورت دستگیری فرد سوءاستفاده کننده، ممکن است او هرگز لو ندهد به چه روشی این مشخصات را به دست آورده است.
سو برداشت دیگری که ممکن است از این مطلب شود، عدم ایجاد فرصت برای رشد شرکتها و افراد مستعد و نوپا در این صنعت است. بدیهی است که افراط و تفریط هردو ناپسند است و باید به جوانان و شرکتهای مستعد هم فرصت رشد و ارائه خلاقیت داد؛ زیرا وقوع این تخلف توسط برنامهنویسان یک شرکت پرداخت و یا یک شرکت معتبر نیز وجود دارد، ولی در شرکتهای پرداخت و در شرکتهای معتبر قطعاً نظارت بیشتری بر برنامهنویسان و کدهای تولید شده دارند و کدها توسط واحدهای مختلف مورد بررسی قرار میگیرد. همچنین بر روی خود افراد نیز نظارت بیشتری وجود دارد و برای به دست آوردن جایگاه و ماندگاری در این صنعت راه درازی را پیمودهاند.
ضروری است که کلیه مدیران شرکتهای پرداخت، شرکتهای ناظر و واحد امنیت باید ریسک حضور برنامهنویسان و شرکتهای برنامهنویسی پایانههای فروشگاهی را مدنظر قرار دهند و با ایجاد فرایندها و دستورالعملهای مناسب از وقوع تخلفات جلوگیری کنند. لیست ریسکها قطعا بیشتر از موارد اشارهشده در این مطلب است.
هدف اصلی این مطلب فقط افزایش نظارت مؤثر و سازنده و توجه به ریسکها است. در مطلب بعدی به یک راهکار عملی مناسب برای کاهش ریسک و جلوگیری از نشت اطلاعات کارت توسط پایانهها اشاره خواهم کرد.
با سلام و احترام خواهشمند است در چاپ مقالات دقت بفرمایید همانطور که مستحضر هستید هیچ نرم افزاری پایانه ای بدون مجوز شاپرک قابلیت بهره برداری ندارد و مجوز شاپرک منوط به اخذ تست امنیت از پایانه است پس ارسال اطلاعات بر روی شبکه اینترنت به آدرس نا مشخص بسیار ساده در تست امنیتی کشف خواهد گردید!!!!!!
این فرمایش شما از نظر تئوری درست است.
نابغه بزرگ صنعت پرداخت
تو رو خدا این مطالب را پتنت کنید و این قدر رایگان و آسان منتشر نکنید
بهتر نیست بجای مسخره کردن انتقاد سازنده بفرمایید؟