بررسی امنیت شرکت‌های پرداخت در گفت‌وگو با مدیر امنیت پرداخت الکترونیک پاسارگاد / امنیت پی‌اس‌پی‌ها مانند بندبازی در شرایط طوفانی است

با توجه به رشد روزافزون فناوری و حضور مؤثر اینترنت و راهکارهای هوشمند به‌عنوان یک امر بدیهی در زندگی، روش‌های مختلف پرداخت الکترونیکی به یکی از راهکارهای آسان جهت مراودات مالی روزمره تبدیل شده است. از طرفی تهدیدات هرروزه‌ای که روش‌ها و راهکارهای الکترونیکی و اینترنتی را تحت تأثیر قرار می‌دهد، روزبه‌روز گسترش یافته و باعث شده مسئله امنیت فضای پرداخت الکترونیکی به یکی از مهم‌ترین چالش‌های آن تبدیل شود.

شرکت پرداخت الکترونیک پاسارگاد که به‌عنوان یکی از ۱۲ شرکت فعال صنعت پرداخت الکترونیک از سال ۱۳۸۴ شروع به فعالیت کرده و در فروردین‌ماه سال جاری با نماد «پی‌پاد» وارد بازار سرمایه شده، امنیت را به‌عنوان یکی از اصلی‌ترین ستون‌های فعالیت خود می‌داند و با ارائه راهکارهای هوشمند جهت ارتقای آن در حوزه‌های مختلف محصولات و خدمات خود قدم برمی‌دارد. به همین سبب در گفت‌و‌گویی با محمدهاشم صفرعلی‌راز، مدیر امنیت پرداخت الکترونیک پاسارگاد به موضوع امنیت در شرکت‌های پی‌اس‌پی‌ پرداخته‌ایم.

امنیت یک مؤلفه پیشران است نه بازدارنده

محمدهاشم صفرعلی‌راز دانش‌آموخته مهندسی کامپیوتر در مقاطع لیسانس و فوق‌ لیسانس و تحول دیجیتال در مقطع دکتری است. او فعالیت حرفه‌ای خود را از سال ۱۳۸۳ در صنعت آی‌تی آغاز کرده و به طور تخصصی در زمینه شبکه‌های کامپیوتری و امنیت اطلاعات مشغول به کار شده است. او در توضیح آغاز فعالیت حرفه‌ای خود در این حوزه عنوان کرد: «به‌واسطه علاقه شخصی که به انتقال تجربیات و آموخته‌های خود در این سال‌ها داشته‌ام، از سال ۱۳۹۴ به تدریس در آموزشگاه‌های تخصصی و بعد از آن در دانشگاه پرداختم و به فراخور مراجعات و پیشنهادهایی که داشتم در صنایع مختلف از جمله نفت، گاز، پتروشیمی، خودروسازی، برق، مخابرات، بانکداری و پرداخت به‌عنوان مشاوره اجرایی پروژه همکاری کرده‌ام.»

او ضمن ارائه تعریف خود از امنیت گفت: «در یک نگاه کلان وظیفه امنیت اطلاعات محافظت از کسب‌وکارهای مبتنی بر آی‌تی (چه فروشنده آی‌تی باشند یا آی‌تی جزو مؤلفه‌های جدانشدنی از محصول و ارزش ارائه‌شده باشد) در قبال هرگونه عامل داخلی و خارجی است که سبب مختل شدن آن کسب‌وکار می‌شود.»

طبق توضیحات محمدهاشم صفرعلی‌راز با یک نگاه ساده‌تر می‌توان امنیت را یک مؤلفه پیشران و نه بازدارنده در کسب‌وکارها دانست که به‌عنوان یک کیفیت در ارائه خدمات آی‌تی نقش ایفا می‌کند.

امنیت باید قواره کسب‌وکار سازمان باشد

به گفته مدیر امنیت پرداخت الکترونیک پاسارگاد، امنیت باید به‌عنوان یک کیفیت، نقش پیشران و محرک در ارائه خدمات و محصولات هر کسب‌وکار ایفا کند و نه نقش بازدارندگی. اما گاهی به دلیل تمرکز بسیار زیاد روی المان‌های فنی و تکنیکی پیاده‌سازی امنیت و فراموش کردن ماهیت و ذات اصلی کسب‌وکار، این نقش به‌درستی اجرا نمی‌شود.

او در این خصوص توضیح داد: «یک اصل بسیار مهم این است که با توجه به شباهت و استانداردهای مشابه بسیار زیاد پیاده‌سازی امنیت با بُعد و منظر مسائل فنی و تکنیکی، در کسب‌وکارهای متفاوت، به دلیل ساختارها و شرایط گوناگون باید به ظرافت‌های بسیار زیادی در پیاده‌سازی امنیت توجه شود و امنیت باید به‌اصطلاح، قواره کسب‌وکار سازمان باشد. برای مثال ممکن است در تولید یک لباس مسائل فنی و تکنیکی دوخت، برش و… بسیار شبیه هم باشد ولی بهترین لباس اسکی نمی‌تواند برای شنا مناسب باشد و بهترین لباس شنا مناسب کوهنوردی نیست.»

حفظ تعادل در شرایط سخت برای حصول اهداف خرد و کلان

او در توضیح نقش امنیت در صنعت پرداخت کشور نیز عنوان کرد:‌ «ابتدا باید ذینفعان یک صنعت و گستره جغرافیایی آن، ریسک‌هایی که آنها را تهدید می‌کند و خسارت‌هایی که به هر شکل ممکن است به شکل آشکار یا پنهان به آنها وارد شود را بشناسیم.»

به اعتقاد صفرعلی‌راز، ذینفعان اکوسیستم پرداخت ایران اول از همه، تمامی شهروندان ایرانی هستند که به هر شکل مبادرت به خرید یا انتقال وجه با استفاده از کارت‌های بانکی می‌کنند. پس از آن بانک‌ها، بنگاه‌های تجاری و تمامی کسب‌و‌کارهای متصل به هر نوع از درگاه‌ها و پایانه‌های پرداخت هستند. گستره جغرافیایی این صنعت به وسعت تمامی کشور و با فرهنگ‌ها و هنجارهای مختلف است.

او در توضیح ریسک‌های فعالیت در حوزه پرداخت الکترونیک نیز عنوان کرد:‌ «ریسک‌هایی که صنعت را تهدید می‌کند گستره وسیعی از جمله مسائل اقتصادی و نوسانات ارز، مسائل سیاسی و اجتماعی، مسائل تکنیکی، موارد مربوط به تخلفات احتمالی ناشی از مسائل فرهنگی، اجتماعی و… است.»

صفرعلی‌راز ادامه داد: «خساراتی که تمامی این موارد می‌تواند به ذینفعان صنعت وارد کند در نگاه اول از دست رفتن پول برای شخص یا اشخاصی است که آن را تحت عنوان «خسارات مشهود» می‌شناسیم. گاهی دامنه این خسارات که غالباً هم نامشهود است می‌تواند پهنه بسیار گسترده‌ای داشته باشد و حتی مباحث ملی و کشوری به بار آورد. از این‌ رو واحد امنیت در صنعت پرداخت وظیفه بسیار مهم و سنگینی در راستای پیاده‌سازی استانداردها، ارائه سیاست‌ها و دستورالعمل‌ها دارد؛ چراکه تعلل در تصمیم‌گیری‌ها و همچنین تدوین یا پیاده‌سازی یک طرح به شکل شتابزده، غیر‌کارشناسی و فکرنشده ممکن است بخش زیادی از ذینفعان را دچار مشکل یا حتی خسارت کرده یا کل کسب‌وکار را مختل کند.»

به اعتقاد مدیر امنیت پرداخت الکترونیک پاسارگاد می‌توان تعبیر «بندبازی در شرایط طوفانی» را نیز به واحد امنیت در شرکت‌های پرداخت اطلاق کرد؛ بدان جهت که حفظ تعادل در شرایط سخت برای رسیدن به اهداف خرد و کلان تمامی ذینفعان باید سرلوحه کار یک مدیر امنیت باشد.

شناخت ریسک‌ها و اجرای قوانین بالادستی

به گفته مدیر امنیت پرداخت الکترونیک پاسارگاد تمهیدات این شرکت برای تأمین امنیت تراکنش‌ها به تفکیک درگاه پرداخت، دستگاه کارت‌خوان و اپلیکیشن پی‌پاد دو بخش کلی دارد. او در توضیح این موارد گفت: «در بخش اول باید بگویم که خط‌مشی کلان پرداخت الکترونیک پاسارگاد محاسبه ریسک‌ها و مخاطرات در هر اقدام و پیاده‌سازی و اجرای حداکثری قوانین و مقررات بالادستی است. پس از آن تکیه بر مباحث مربوط به شناخت مشتری در ارائه خدمات (KYC) خواهد بود. در این راستا شعار اصلی ارائه خدمات در پرداخت الکترونیک پاسارگاد ارائه خدمات به شکل سریع، راحت و کارا بوده که حداکثر قابلیت‌ها را با حداقل فشار و سختی کار برای مشتریان فراهم آورد.»

او ادامه داد: «حذف بروکراسی‌های ناکارآمد و سخت، تکیه بر ایجاد تغییرات مثبت بدون اعمال شوک‌های عملکردی و کسب‌وکاری به مشتریان، استفاده از فناوری‌های نوین در عرصه‌هایی چون احراز هویت دیجیتال و یادگیری ماشینی و… ازجمله رئوس مطالب و مواردی است که پرداخت الکترونیک پاسارگاد به عنوان مزیت رقابتی خود در ارائه خدمات در دستور کار دارد و به آن می‌بالد.»

پرچالش‌ترین محصولات شرکت‌های پرداخت

صفرعلی‌راز در توضیح محصولات پرچالش شرکت‌های پرداخت از لحاظ امنیتی عنوان کرد: «در این خصوص نمی‌توان برای تمامی شرکت‌ها یک حکم کلی و یکسان صادر کرد. به‌ دلیل آنکه هر یک از بازیکنان این عرصه شرایط خاص خود را دارند. مطلبی که عرض می‌کنم براساس شواهد و تجربیات شخصی خودم در صنعت و شرکت‌های همکار است. اگر ما چالش‌های امنیتی را فقط از منظر فنی در نظر بگیریم و شیوه‌های پرداخت را به دو شکل کلی با حضور کارت و بدون حضور کارت در نظر بگیریم، چالش‌های فنی امنیت در بخش پرداخت بدون حضور کارت بسیار زیاد است. مواردی چون هک کردن و نفوذ به سایت‌های درگاه پرداخت، سایت‌های جعلی، اپلیکیشن‌های غیراستاندارد و تأییدنشده روی گوشی‌های هوشمند مثل انواع وی‌پی‌ان‌ها و… اصلی‌ترین مشکلات و مخاطرات فنی امنیت است.»

او در آخر با اشاره به اینکه ریسک بالای ارائه خدمات بدون کارت به این معنا نیست که در ابزار پذیرش با حضور کارت هیچ چالش فنی امنیتی وجود ندارد، گفت:‌ «مواردی چون کپی کارت و گاهی باگ‌های سخت‌افزاری یا نرم‌افزاری در این ابزارها نیز ممکن است خسارات جبران‌ناپذیری بر صنعت وارد کنند. به عنوان مثال در بحث کپی کارت یا در اصطلاح فنی، «اسکیمینگ» مسئله به این شکل است که متخلف کارت مشتری را هنگام انجام تراکنش علاوه بر ابزار پرداخت روی یک دستگاه دیگر نیز کشیده و به این شکل اطلاعات کارت علاوه بر اینکه روی پایانه فروش یا ابزار پرداخت خوانده ‌می‌شود، توسط دستگاه دیگری نیز ذخیره می‌شود. حال از آنجا که پرداخت با حضور کارت با استفاده از همین اطلاعات و رمز ثابت انجام می‌شود، با ارائه رمز توسط مشتری به شخص متخلف تمامی اطلاعات لازم جهت انجام تراکنش‌های غیرمجاز بعدی داده شده و همچنین او می‌تواند یک کپی از کارت داشته باشد.»

آینده روشن‌تر از آن چیزی است که فکر می‌کنیم

مدیر امنیت پرداخت الکترونیک پاسارگاد به عنوان کلام آخر ابراز کرد: «به عقیده من باور و دیدگاه پیشین در خصوص امنیت که یک دیدگاه مرکز هزینه‌ای بود و سازمان‌ها تماماً آن را پولِ ازجیب‌خارج‌شده و ازدست‌رفته می‌انگاشتند تغییر کرده است. حال‌آنکه خوشبختانه رویکردهای جدید مدیران ارشد سازمان‌های مختلف ازجمله پرداخت الکترونیک پاسارگاد نه‌تنها نگاه هزینه‌محوری به امنیت نیست، بلکه آن را نوعی پس‌انداز نیز می‌داند؛ چراکه در بسیاری از مواقع این خط‌مشی‌ها و سیاست‌ها می‌توانند نجات‌دهنده کسب‌وکار باشند. ازاین‌رو پیش‌بینی‌ام از آینده امنیت در کل جامعه و بالاخص اکوسیستم پرداخت کشور روشن‌تر از چیزی است که عموم اهالی آی‌تی تصور می‌کنند و به‌ امید خدا این امر می‌تواند برکات بسیار زیادی برای عموم جامعه هدف و ذینفعان این صنعت داشته باشد. همچنین باور دارم ورود نسل جوان و تازه‌نفس با پشتوانه علمی و فنی خوبی که در ایشان می‌بینم تحولات و ثمرات مثبتی به همراه خواهد داشت.»