در گفت‌وگو با مدیرعامل آیتول مطرح شد / هیچ دسترسی غیرقانونی به داده‌های کاربران نداریم

ریحانه هاشمی / سامانه آیتول، کارش را از سال 13۹۸ و با ارائه امکان پرداخت آنلاین عوارض آزادراهی شروع کرد. با افزایش تعداد کاربران این سامانه، دامنه خدمات آن هم گسترش پیدا کرد. امیرحسین عبیری، مدیرعامل آیتول در این گفت‌وگو درباره ابهاماتی که در زمینه دسترسی آیتول به اطلاعات کاربران وجود دارد، صحبت کرده است.

امیرحسین عبیری، مدیرعامل آیتول، در ابتدای گفت‌وگو و در پاسخ به این سؤال که سازوکار جمع‌آوری اطلاعات در آیتول چگونه است، می‌گوید: «آیتول در ابتدای سال ۱۳۹۸ در بحبوحه‌ راه‌اندازی عوارض الکترونیک آزادراهی و همزمان با تبلیغات گسترده‌ تلویزیون و اخبار برای پرداخت الکترونیک عوارض آزادراهی، کارش را شروع کرد. کاربران با ورود به سایت ما می‌توانستند عوارض آزادراهی را پرداخت کنند. ذی‌نفع اصلی در واقع وزارت راه بود که توسط شرکت سپندار، دسترسی را برای اپلیکیشن‌های مختلفی فراهم کرده بود تا کاربران امکان پرداخت داشته باشند. یعنی همزمان با آیتول، در داخل اپلیکیشن‌های دیگر هم این امکان پرداخت وجود داشت. ولی آیتول مکانیسم متفاوتی داشت؛ بر خلاف سایر درگاه‌های پرداخت که اپلیکیشن‌های موبایلی بودند و به ثبت‌نام و ورود کاربر نیاز داشتند، آیتول وب‌سایت بود و نیاز به ثبت‌نام و ورود نداشت و بدون اجبار کردن کاربر به ورود شماره موبایل، امکان پرداخت عوارض آزادراهی را مهیا کرد.»

او در ادامه می‌گوید: «آیتول آن زمان برند شناخته‌شده‌ای نبود و یک تجربه کاربری شبه‌دولتی هم داشت و تمرکزی هم روی اصلاح آن نبود. خوشبختانه از مدل ساده پرداخت در آیتول استقبال شد؛ به‌طوری که با گذشت 10 روز از آغاز به کار آیتول، بیشتر از روزی هزار کاربر یکتا با استفاده از آیتول، عوارض پرداخت می‌کردند. این موضوع باعث شد که ما به فکر توسعه سرویس بیفتیم و این امر با شکل‌گیری رویکرد جدیدی در شهرداری تهران و مخصوصاً در معاونت فاوا، همزمان شد مبنی بر اینکه شرکت‌های خصوصی نیز در پرداخت عوارض مختلف شهرداری، کمک کنند. تعامل ما با شهرداری منجر به این شد که API پرداخت عوارض شهرداری تهران هم به آیتول اضافه شود. این اتفاق در اردیبهشت و خرداد سال 13۹۸ افتاد. یعنی امکان پرداخت عوارض شهرداری و هزینه خرید مجوز طرح ترافیک هم به آیتول اضافه شد.»

عبیری در پاسخ به اینکه دسترسی‌های اطلاعاتی در آیتول بر چه اساسی تعریف می‌شود، گفت: «دسترسی‌ها طبق پروتکل هر سازمان تعریف می‌شود. مثلاً بر اساس پروتکل شرکت مجری عوارض آزادراهی، با وارد کردن شماره پلاک هر خودرو امکان دسترسی به موارد بدهی خودرو و تاریخ هرکدام از بدهی‌ها مهیا می‌شود، بدون اینکه مشخص باشد خودرو از کدام عوارضی و در چه ساعتی رد شده است.»

او در مورد موارد دیگر توضیح می‌دهد: «در مورد عوارض شهرداری و طرح ترافیک، هیچ‌گاه این دسترسی‌ها به‌صورت جزئی وجود نداشته است. فقط می‌شد با وارد کردن پلاک، روزهای تردد و مبلغ بدهکاری را دید و جزئیات بیشتر شامل اینکه تردد در کدام خیابان و چه ساعتی بوده و توسط کدام دوربین ثبت شده، هیچ‌وقت در اختیار هیچ‌ ارگانی جز شهرداری نبوده است.»

---

توسعه سرویس و استفاده از داده‌های مشتری

---

مدیرعامل آیتول در مورد سرویس‌های اضافه‌شده می‌گوید: «ما شروع به توسعه سرویس کردیم و تعداد کاربران‌مان بیشتر شد. در سال 13۹۸ بیش از دو میلیون پلاک ماشین یکتا در سامانه ما پرداخت انجام دادند. این افراد از منظر ما کاربران آیتول بودند، ولی شاید خودشان اطلاع نداشتند از چه سامانه‌ای برای پرداخت عوارض استفاده می‌کنند و از طریق جست‌وجوی گوگل به آیتول رسیده بودند. در ادامه، پرداخت عوارض سالیانه هم به سرویس‌های ما اضافه شد. در تمامی این موارد، ما طبق ضوابط نهاد ذی‌نفع طرف قرارداد عمل کرده و منطبق با پروتکل‌های تعریف‌شده، داده بدهی را به درخواست کاربر اخذ و تحویل کاربر دادیم.»

او در مورد راه‌اندازی سامانه فروش آنلاین بیمه نیز می‌گوید: «در ابتدای سال 13۹۹ و در آغاز پیچیدگی‌های ارائه خدمت در شرایط ابهام منتج از ظهور کرونا و با هدف ارائه خدمت در زمان تعطیلی فروشگاه‌های فیزیکی، سرویس بیمه ما راه‌اندازی شد که در اواسط اردیبهشت 13۹۹ و با اعتراض بیمه ‌مرکزی به‌دلیل فعالیت بدون مجوز موضوع متوقف شد. از قرار، بیمه مرکزی با هدف همراهی با استارتاپ‌ها به‌تازگی آیین‌نامه کارگزاری برخط را تهیه کرده بود و ما در آن زمان تازه فهمیدیم که از نظر بیمه مرکزی ما «کارگزار برخط» هستیم. تا آن زمان حدود دو میلیون کاربر با سامانه آیتول تعامل داشتند و این فرصت را غنیمت شمرده بودیم که به حوزه بیمه خودرو هم وارد شویم.

ما هم تلاش کردیم کاربرانی را که از خدمات قبلی‌مان استفاده کرده بودند، به مشتری بیمه تبدیل کنیم. تعاملات جدی با بیمه مرکزی هم داشتیم. در ابتدای کار خیلی فعالیت محدودی داشتیم. پیگیری موضوعات مرتبط با مجوز در بیمه‌ مرکزی تا پایان سال 13۹۹ ادامه پیدا کرد و به‌دلیل اطاله موضوع با هماهنگی ایشان، مجدداً فعالیت‌مان را تحت نظر این سازمان آغاز کردیم. نهایتاً در تابستان ۱۴۰۰ مجوز کارگزاری برخط برای ما صادر شد. البته تمام مسیر پیچیدگی‌های عجیبی داشت که در این مصاحبه به آن نمی‌پردازم.»

ماحصل این اتفاقات این شد که دو جنس از داده‌های کاربر همیشه برای آیتول اهمیت داشته است؛ یکی شماره پلاک خودرو و دیگری شماره موبایل کاربر. عبیری توضیح می‌دهد: «کاربران برای استفاده از هرگونه خدمات روی سامانه آیتول، شماره پلاک ماشین را حتماً و شماره موبایل‌شان را معمولاً وارد می‌کردند. ما از این مجموعه داده جهت اطلاع‌رسانی به کاربران به‌منظور فعال‌شدن محصولات جدید در سامانه استفاده کردیم. ما از این حیث به جامعه‌ای که بیش از دو میلیون عضو دارد کمک کردیم تا بابت دیرکرد در پرداخت عوارض شهرداری جریمه نشوند.»

مدیرعامل آیتول درباره بلوغ این سامانه برای استفاده از داده مشتری می‌گوید: «در گذشته، شماره موبایل را از کاربران به‌صورت اختیاری می‌گرفتیم و حتی در بعضی مواقع، شماره موبایل را verify نمی‌کردیم و این باعث می‌شد پیامک‌های ناخواسته برای افرادی که کاربر سامانه نبودند، برود. از جایی به بعد تصمیم گرفتیم شماره‌های موبایلی را که در سامانه وارد می‌شد، حتماً verify کنیم تا مطمئن شویم که کاربران سامانه، شماره موبایل خودشان را وارد کرده‌اند.»

---

دسترسی‌هایی که مختص آیتول نیست

---

عبیری می‌گوید اینها تمام دسترسی‌هایی است که آیتول از آغاز فعالیتش داشته و واقعیت هم این است که این دسترسی‌ها، موارد عجیبی نیستند که فقط مختص سامانه آیتول باشد و هر شرکتی می‌تواند با شرکت سپندار که مجری عوارض آزادراه‌هاست، تعامل کرده و دسترسی‌های لازم را برای پذیرندگی پرداخت عوارض دریافت کند. در مورد عوارض شهرداری و دسترسی به سامانه بیمه برخط هم همین اتفاق می‌تواند بیفتد. اما تجمیع اینها به‌عنوان خدمات خودرویی ابداع آیتول بوده و هنوز هم مزیت این شرکت است و به اعتقاد مدیرعامل، این نوآوری نباید به‌عنوان دسترسی خاصی برداشت شود.

عبیری در پاسخ به این سؤال که آیا استفاده از شماره همراه مشتری برای اطلاع‌رسانی در مورد محصولات دیگر آیتول کار درستی بوده یا نه، توضیح می‌دهد: «در بحث ارائه سرویس جدید به کاربر، این مسئله مشکلی ندارد و کسب‌وکارهای حوزه فناوری اطلاعات باید این مسیر را طی کرده و از مشتریان سابق‌شان برای کسب درآمد از سرویس‌های جدیدشان استفاده کنند.»

او ادامه می‌دهد: «اگر شما به‌صورت حضوری به یک دفتر بیمه مراجعه کنید و شماره پلاک خودرویتان را ارائه بدهید، کارگزار بیمه می‌تواند با استفاده از این شماره به سوابق بیمه خودروی شما دسترسی پیدا کرده و بیمه‌نامه جدید صادر کند. در حقیقت همان کاری را که آیتول به‌صورت آنلاین انجام می‌دهد، به شکل آفلاین و حضوری انجام می‌دهد و به همان اطلاعات دسترسی دارد. آن چیزی که نماینده محلی بیمه ندارد، مشتریان آیتول هستند که قبلاً از آن سرویس گرفته‌‌اند. در تمام وب‌سایت‌های فروش بیمه که کارگزار بیمه مرکزی هستند هم با وارد کردن شماره پلاک می‌توانید سوابق بیمه را استعلام کنید. در نتیجه دسترسی برای همه یکسان است.

---

استفاده از داده مشتریان به اجازه نیاز دارد؟

---

مدیرعامل آیتول در پاسخ به این سؤال که ممکن است یک نفر عوارض آزادراهی داده باشد، ولی علاقه‌ای به استعلام اطلاعات بیمه‌اش نداشته باشد، آیا شما اجازه این دسترسی را داشته‌اید؟ می‌گوید: «این موضوع به لحاظ قانونی منعی ندارد و هیچ کسب‌وکاری به‌صورت قانونی از اطلاع‌رسانی خدمات به مشتریانش منع نشده است. مثلاً اینکه مشتری اسنپ، برای استفاده از اسنپ‌فود پیامک دریافت کند، غیرقانونی نیست، اما می‌تواند برای بعضی کاربران خوشایند نباشد و ما هم به این نکته آگاهی پیدا کردیم. برای اینکه جلوی این مسئله را بگیریم، در انتهای پیامک‌ها به کاربران گفتیم می‌توانند با فرستادن کلمه Off از دریافت پیامک‌های بعدی انصراف بدهند. راه دوم این بود که وقتی کاربران جدیدی وارد سایت آیتول می‌شدند، یک گزینه قرار دادیم تا بدانیم مایل هستند از سرویس‌های جدید آیتول باخبر شوند یا خیر. راه سوم هم این است که کاربر در داخل سایت می‌تواند انتخاب کند که بابت چه سرویس‌هایی پیامک بگیرد و چه سرویس‌هایی به او اطلاع‌رسانی نشود.»

عبیری در ادامه توضیح می‌دهد: «تمام اینها در رابطه کاربران با آیتول مشخص می‌شود و محدودیت قانونی برای ارسال پیامک‌های این‌چنینی به کاربران وجود ندارد. چون کاربران برای ما مهم هستند، این امکان را فراهم کردیم تا بتوانند اعلان‌هایی را که از آیتول می‌گیرند، شخصی‌سازی کنند.»

او با بیان اینکه بیشتر نارضایتی‌ها از سمت مشتریان قدیمی بوده، می‌گوید: «حتی در بین فعالان حوزه فناوری اطلاعات که به این موضوعات احاطه دارند هم کسانی را داشته‌ایم که از ما پرسیده‌اند چطور به شماره ما دسترسی دارید و به ما پیامک می‌زنید. به‌طور مثال در یک مورد وقتی شماره این فرد را در آیتول بررسی کردیم، مشخص شده که او در سال 13۹۸ یک پرداخت عوارض در سامانه آیتول داشته و مشخصات کامل پرداخت شامل زمان و مبلغ و موارد دیگر هم در دیتابیس ما موجود است. آن زمان برند آیتول کوچک بود و خیلی‌ها نمی‌دانستند که از آیتول برای پرداخت عوارض استفاده می‌کنند.»

عبیری در پاسخ به این نکته که مقایسه آیتول با اسنپ مقایسه اشتباهی است، چون مردم اسنپ را به‌عنوان یک سوپراپ پذیرفته‌اند، اما پذیرش مشابهی نسبت به آیتول به‌عنوان یک سامانه جامع خدمات پرداخت شهری شکل نگرفته است، توضیح می‌دهد: «بررسی‌هایی که انجام داده‌ایم، نشان می‌دهد که کمتر از پنج درصد کاربران ما از این مسئله ناراضی هستند، اما مشکل این است که کاربران ناراضی معمولاً اعلام می‌کنند و کاربران راضی، رضایت‌شان را اعلام نمی‌کنند.»

او ادامه می‌دهد: «ضعفی که شما به آن اشاره می‌کنید، در مسئله برندینگ ما کاملاً وجود دارد. در حدود ۱۵ درصد کاربران ما هنوز آیتول را به‌عنوان یک سیستم پرداختی می‌شناسند و ما هنوز نتوانسته‌ایم برند آیتول را به‌عنوان یک اپلیکیشن جامع خدمات خودرویی جا بیندازیم. ما یک زمانی سرویس کارواش را به کاربرانی که اخیراً تردد آزادراهی داشتند و احتمال می‌دادیم از سفر بازگشته باشند، پیشنهاد می‌دادیم، اما چون کاربر با دامنه متنوع خدمات ما آشنا نبود، این اتفاق برایش غیرمنتظره به نظر می‌رسید. البته برای اینکه برندمان به‌عنوان اپلیکیشن جامع خدمات خودرویی در ذهن کاربران جا بیفتد، برنامه‌هایی داریم.»

---

بررسی‌های امنیتی سامانه آیتول

---

آخرین سؤال از مدیرعامل این است که به لحاظ امنیت اطلاعات کاربران چه کارهایی انجام شده که مشتری نگران داده‌های شخصی‌اش نباشد که عبیری پاسخ می‌دهد: «آیتول دسترسی به داده تردد به‌صورت جزئی ندارد و اینکه دقیقاً از چه مسیری تردد کرده‌اید را نه آیتول و نه هیچ سامانه دیگری نمی‌داند، اما با این حال امنیت اطلاعات کاربر مهم است، حتی اطلاعات جزئی‌تر مثل شماره موبایل و شماره پلاک و ما خود را متعهد به حفظ اطلاعات کاربران‌مان می‌‌دانیم.»

او ادامه می‌دهد: «برای اینکه مشکل امنیتی نداشته باشیم، با یکی از آزمایشگاه‌های معتبر دانشگاه شریف همکاری کردیم تا امنیت آیتول را بررسی کند که مشخص شد در آیتول مشکل امنیتی‌ای که باعث شود امنیت کاربران به خطر بیفتد، وجود ندارد. برای بررسی ایرادات احتمالی آیتول که می‌توانست به درز اطلاعات منجر شود هم برنامه باگ‌بانتی را اجرا کردیم. ایرادات نسبتاً سطح پایینی پیدا شد که هیچ‌کدام در حدی نبود که بخواهد داده کاربران را به خطر بیندازد. اگر ایراد مهمی هم پیدا شود، تیم امنیت ما همیشه آماده هستند که این مشکل را رفع کنند.»

امیرحسین عبیری صحبت‌هایش را با این توضیح به پایان می‌برد: «واقعیت این است که برای یک کسب‌وکار خصوصی، حفظ برند و اعتبار نزد کاربران از هر چیزی مهم‌تر است. یعنی ما خودمان نسبت به هر نهاد خصوصی حساس‌تر هستیم که داده‌های کاربران‌مان که همان اعتبار ماست، محفوظ بماند. ما هم مانند هر کسب‌وکار دیگری رشد می‌کنیم، بالغ می‌شویم و از اشتباهات گذشته‌مان درس می‌گیریم تا در نهایت سرویس بهتری به کاربران‌مان ارائه دهیم. در نهایت تأکید می‌کنم که تمام کسب‌وکارهای دیگر هم می‌توانند با طی‌کردن مسیری که ما رفتیم، تمام دسترسی‌هایی را که آیتول در اختیار دارد، کسب‌ کنند و حتی خود ما نیز می‌توانیم در این راستا به کسب‌وکارهای کوچک‌تر کمک کنیم.»