مخاطرات پیمانکاران پایانه‌های فروشگاهی

سعید کلانتری، کارشناس سوییچ و ابزار پرداخت / وجود پیمانکاران و شرکت‌های مختلف برای تهیه نرم‌افزارهای پایانه‌های فروشگاهی در صنعت پرداخت اتفاق جدیدی نیست و همواره وجود داشته است. ولی به نظر می‌رسد در سال‌های اخیر رشد بیشتری کرده است و شرکت‌های زیادی به‌عنوان پرداخت‌یار و یا قرارداد هدایت تراکنشی وارد این عرصه شده‌اند. البته یکی از دلایل رشد و ورود شرکت‌های متخلف ورود برندهای مختلف شرکت‌های چینی به صنعت پرداخت ایران است.

در کنار ورود شرکت‌های جدید و نوپا به این صنعت، تغییر دیگری که در بازار رخ داده است، افزایش تعداد و برندهایی است که برای اتصال به سوئیچ‌های شرکت پرداخت از شبکه اینترنت به‌جای شبکه تلفنی و یا DIAL استفاده می‌کنند. می‌خواهیم در این مطلب به ریسک‌های دو اتفاق بالا توجه کنیم.

مهم‌ترین دغدغه امنیتی در شبکه پرداخت کشور، حفظ و مراقبت از PIN و PAN کاربران است. با توجه به اینکه ما از کارت‌های مغناطیسی استفاده می‌کنیم، لو رفتن PIN و PAN کارت‌ها به‌راحتی می‌تواند موجب سوءاستفاده و سرقت پول از حساب‌های بانکی شود.

ازنظر نگارنده، مهم‌ترین ریسکی که با ورود شرکت‌ها و برندهای مختلف به شبکه پرداخت کشور وارد می‌شود، ذخیره شدن اطلاعات کارت افراد توسط این شرکت‌های جدید و پایانه‌های آنها است.‌ در ابتدا به دو ریسک متداول استفاده از برنامه‌نویس کارتخوان مختلف اشاره می‌کنم:

• برنامه‌نویس می‌تواند در برنامه دست‌کاری کند تا درصورتی‌که کارت‌های خاصی (مثلاً کارت متعلق به برنامه‌نویس) روی کارتخوان کشیده شد، دستگاه بعد از یک ثانیه مکث پیام تراکنش موفق را چاپ کند. این تراکنش هرگز به سوئیچ شرکت پرداخت ارسال نمی‌شود و لذا پول از حساب کسر نمی‌شود. همچنین گزارش این تراکنش هم در پایانه ثبت نخواهد شد. لذا دارنده پایانه به‌سختی خواهد توانست ثابت کند چنین تراکنشی انجام داده است.
• برنامه‌نویس می‌تواند اطلاعات کارت دارنده کارت مثل track2 و شماره رمز را ذخیره کند و آن را به برنامه‌نویس متخلف تحویل دهد تا برنامه‌نویس متخلف با استفاده از آن از کارت کپی تهیه کند و تخلف انجام دهد.

چک کردن برنامه تولیدشده توسط شرکت‌های متعدد به سادگی میسر نیست و این شرکت‌ها عموماً توان نظارت بر برنامه‌های تولید شده توسط برنامه‌نویسان خود را ندارند؛ لذا در صورت بی‌دقتی هردو احتمال بالا ممکن است. ولی باید توجه کرد که خسارت ریسک شماره یک با ریسک شماره دو بسیار متفاوت است.

در مورد شماره یک برنامه‌نویس متخلف در صورت خرید با مبلغ بالا خیلی زود شناسایی می‌شود. لذا باید با مبالغ پایین تخلف انجام دهد و خرید انجام دهد. همچنین فقط روی پایانه‌هایی می‌تواند تخلف انجام دهد که نرم‌افزار خودش نصب شده باشند.

ولی در مورد دو اطلاعات کارت بی‌شماری با مبالغ مختلف به دست می‌آید که با آنها می‌توان روی پایانه‌های شرکت‌ها تخلف کرد و چون اطلاعات کارت‌ها از روی کارتخوان‌های مختلف به دست آمده است، ردیابی سخت می‌شود.

سوالی که اینجا پیش می‌آید این است که برنامه‌نویس متخلف چگونه می‌تواند به اطلاعات کارت‌های ذخیره شده دسترسی پیدا کند و آنها را مورد استفاده قرار دهد؟ در گذشته که پایانه‌ها up dial بودند، امکان ارسال اطلاعات برای برنامه‌نویسان به آدرس دلخواه بسیار سخت و حتی ناممکن بود ولی امروزه با توجه به اینترنتی شدن پایانه‌های فروشگاهی، فقط لازم است یک پیام رمز شده به یک آدرس وب در اینترنت ارسال شود و اطلاعات کارت به‌صورت رمز شده در یک دیتابیس ذخیره شود.

هدف از این یادداشت ارائه راهکار به متخلفین نیست. بدیهی است که برنامه‌نویسان متخلف قطعاً راهکارها و ایده‌هایی دارند که حتی ممکن است به فکر ماهم نرسیده باشد زیرا چو دزدی با چراغ آید، گزینه‌تر برد کالا.

هدف از این مطلب توجه مدیران شرکت‌های پرداخت به استفاده از برنامه‌نویسان مختلف و ناشناخته در طراحی برنامه‌های پایانه‌ها است. باید مدیران حتماً سورس برنامه‌ها را دریافت کنند. در صورت امکان برای ممیزی آنها اقدام کنند. تست‌های امنیتی برای اطمینان از صحت عملکرد برنامه‌ها انجام دهند و تنها فاکتورها برای مشخص کردن برنده‌های مناقصه مبلغ و تحویل کار در زمان مناسب نباشد.

به نظر نگارنده در صورت بروز چنین تخلفی، کشف متخلف و برنامه متخلف بسیار سخت است و ممکن است اصلاً ممکن نباشد. حتی درصورت دستگیری فرد سوءاستفاده کننده، ممکن است او هرگز لو ندهد به چه روشی این مشخصات را به دست آورده است.

سو برداشت دیگری که ممکن است از این مطلب شود، عدم ایجاد فرصت برای رشد شرکت‌ها و افراد مستعد و نوپا در این صنعت است. بدیهی است که افراط و تفریط هردو ناپسند است و باید به جوانان و شرکت‌های مستعد هم فرصت رشد و ارائه خلاقیت داد؛ زیرا وقوع این تخلف توسط برنامه‌نویسان یک شرکت پرداخت و یا یک شرکت معتبر نیز وجود دارد، ولی در شرکت‌های پرداخت و در شرکت‌های معتبر قطعاً نظارت بیشتری بر برنامه‌نویسان و کدهای تولید شده دارند و کدها توسط واحدهای مختلف مورد بررسی قرار می‌گیرد. همچنین بر روی خود افراد نیز نظارت بیشتری وجود دارد و برای به دست آوردن جایگاه و ماندگاری در این صنعت راه درازی را پیموده‌اند.

ضروری است که کلیه مدیران شرکت‌های پرداخت، شرکت‌های ناظر و واحد امنیت باید ریسک حضور برنامه‌نویسان و شرکت‌های برنامه‌نویسی پایانه‌های فروشگاهی را مدنظر قرار دهند و با ایجاد فرایندها و دستورالعمل‌های مناسب از وقوع تخلفات جلوگیری کنند. لیست ریسک‌ها قطعا بیشتر از موارد اشاره‌شده در این مطلب است.

هدف اصلی این مطلب فقط افزایش نظارت مؤثر و سازنده و توجه به ریسک‌ها است. در مطلب بعدی به یک راهکار عملی مناسب برای کاهش ریسک و جلوگیری از نشت اطلاعات کارت توسط پایانه‌ها اشاره خواهم کرد.