با توجه به رشد روزافزون فناوری و حضور مؤثر اینترنت و راهکارهای هوشمند بهعنوان یک امر بدیهی در زندگی، روشهای مختلف پرداخت الکترونیکی به یکی از راهکارهای آسان جهت مراودات مالی روزمره تبدیل شده است. از طرفی تهدیدات هرروزهای که روشها و راهکارهای الکترونیکی و اینترنتی را تحت تأثیر قرار میدهد، روزبهروز گسترش یافته و باعث شده مسئله امنیت فضای پرداخت الکترونیکی به یکی از مهمترین چالشهای آن تبدیل شود.
شرکت پرداخت الکترونیک پاسارگاد که بهعنوان یکی از ۱۲ شرکت فعال صنعت پرداخت الکترونیک از سال ۱۳۸۴ شروع به فعالیت کرده و در فروردینماه سال جاری با نماد «پیپاد» وارد بازار سرمایه شده، امنیت را بهعنوان یکی از اصلیترین ستونهای فعالیت خود میداند و با ارائه راهکارهای هوشمند جهت ارتقای آن در حوزههای مختلف محصولات و خدمات خود قدم برمیدارد. به همین سبب در گفتوگویی با محمدهاشم صفرعلیراز، مدیر امنیت پرداخت الکترونیک پاسارگاد به موضوع امنیت در شرکتهای پیاسپی پرداختهایم.
محمدهاشم صفرعلیراز دانشآموخته مهندسی کامپیوتر در مقاطع لیسانس و فوق لیسانس و تحول دیجیتال در مقطع دکتری است. او فعالیت حرفهای خود را از سال ۱۳۸۳ در صنعت آیتی آغاز کرده و به طور تخصصی در زمینه شبکههای کامپیوتری و امنیت اطلاعات مشغول به کار شده است. او در توضیح آغاز فعالیت حرفهای خود در این حوزه عنوان کرد: «بهواسطه علاقه شخصی که به انتقال تجربیات و آموختههای خود در این سالها داشتهام، از سال ۱۳۹۴ به تدریس در آموزشگاههای تخصصی و بعد از آن در دانشگاه پرداختم و به فراخور مراجعات و پیشنهادهایی که داشتم در صنایع مختلف از جمله نفت، گاز، پتروشیمی، خودروسازی، برق، مخابرات، بانکداری و پرداخت بهعنوان مشاوره اجرایی پروژه همکاری کردهام.»
او ضمن ارائه تعریف خود از امنیت گفت: «در یک نگاه کلان وظیفه امنیت اطلاعات محافظت از کسبوکارهای مبتنی بر آیتی (چه فروشنده آیتی باشند یا آیتی جزو مؤلفههای جدانشدنی از محصول و ارزش ارائهشده باشد) در قبال هرگونه عامل داخلی و خارجی است که سبب مختل شدن آن کسبوکار میشود.»
طبق توضیحات محمدهاشم صفرعلیراز با یک نگاه سادهتر میتوان امنیت را یک مؤلفه پیشران و نه بازدارنده در کسبوکارها دانست که بهعنوان یک کیفیت در ارائه خدمات آیتی نقش ایفا میکند.
به گفته مدیر امنیت پرداخت الکترونیک پاسارگاد، امنیت باید بهعنوان یک کیفیت، نقش پیشران و محرک در ارائه خدمات و محصولات هر کسبوکار ایفا کند و نه نقش بازدارندگی. اما گاهی به دلیل تمرکز بسیار زیاد روی المانهای فنی و تکنیکی پیادهسازی امنیت و فراموش کردن ماهیت و ذات اصلی کسبوکار، این نقش بهدرستی اجرا نمیشود.
او در این خصوص توضیح داد: «یک اصل بسیار مهم این است که با توجه به شباهت و استانداردهای مشابه بسیار زیاد پیادهسازی امنیت با بُعد و منظر مسائل فنی و تکنیکی، در کسبوکارهای متفاوت، به دلیل ساختارها و شرایط گوناگون باید به ظرافتهای بسیار زیادی در پیادهسازی امنیت توجه شود و امنیت باید بهاصطلاح، قواره کسبوکار سازمان باشد. برای مثال ممکن است در تولید یک لباس مسائل فنی و تکنیکی دوخت، برش و… بسیار شبیه هم باشد ولی بهترین لباس اسکی نمیتواند برای شنا مناسب باشد و بهترین لباس شنا مناسب کوهنوردی نیست.»
او در توضیح نقش امنیت در صنعت پرداخت کشور نیز عنوان کرد: «ابتدا باید ذینفعان یک صنعت و گستره جغرافیایی آن، ریسکهایی که آنها را تهدید میکند و خسارتهایی که به هر شکل ممکن است به شکل آشکار یا پنهان به آنها وارد شود را بشناسیم.»
به اعتقاد صفرعلیراز، ذینفعان اکوسیستم پرداخت ایران اول از همه، تمامی شهروندان ایرانی هستند که به هر شکل مبادرت به خرید یا انتقال وجه با استفاده از کارتهای بانکی میکنند. پس از آن بانکها، بنگاههای تجاری و تمامی کسبوکارهای متصل به هر نوع از درگاهها و پایانههای پرداخت هستند. گستره جغرافیایی این صنعت به وسعت تمامی کشور و با فرهنگها و هنجارهای مختلف است.
او در توضیح ریسکهای فعالیت در حوزه پرداخت الکترونیک نیز عنوان کرد: «ریسکهایی که صنعت را تهدید میکند گستره وسیعی از جمله مسائل اقتصادی و نوسانات ارز، مسائل سیاسی و اجتماعی، مسائل تکنیکی، موارد مربوط به تخلفات احتمالی ناشی از مسائل فرهنگی، اجتماعی و… است.»
صفرعلیراز ادامه داد: «خساراتی که تمامی این موارد میتواند به ذینفعان صنعت وارد کند در نگاه اول از دست رفتن پول برای شخص یا اشخاصی است که آن را تحت عنوان «خسارات مشهود» میشناسیم. گاهی دامنه این خسارات که غالباً هم نامشهود است میتواند پهنه بسیار گستردهای داشته باشد و حتی مباحث ملی و کشوری به بار آورد. از این رو واحد امنیت در صنعت پرداخت وظیفه بسیار مهم و سنگینی در راستای پیادهسازی استانداردها، ارائه سیاستها و دستورالعملها دارد؛ چراکه تعلل در تصمیمگیریها و همچنین تدوین یا پیادهسازی یک طرح به شکل شتابزده، غیرکارشناسی و فکرنشده ممکن است بخش زیادی از ذینفعان را دچار مشکل یا حتی خسارت کرده یا کل کسبوکار را مختل کند.»
به اعتقاد مدیر امنیت پرداخت الکترونیک پاسارگاد میتوان تعبیر «بندبازی در شرایط طوفانی» را نیز به واحد امنیت در شرکتهای پرداخت اطلاق کرد؛ بدان جهت که حفظ تعادل در شرایط سخت برای رسیدن به اهداف خرد و کلان تمامی ذینفعان باید سرلوحه کار یک مدیر امنیت باشد.
به گفته مدیر امنیت پرداخت الکترونیک پاسارگاد تمهیدات این شرکت برای تأمین امنیت تراکنشها به تفکیک درگاه پرداخت، دستگاه کارتخوان و اپلیکیشن پیپاد دو بخش کلی دارد. او در توضیح این موارد گفت: «در بخش اول باید بگویم که خطمشی کلان پرداخت الکترونیک پاسارگاد محاسبه ریسکها و مخاطرات در هر اقدام و پیادهسازی و اجرای حداکثری قوانین و مقررات بالادستی است. پس از آن تکیه بر مباحث مربوط به شناخت مشتری در ارائه خدمات (KYC) خواهد بود. در این راستا شعار اصلی ارائه خدمات در پرداخت الکترونیک پاسارگاد ارائه خدمات به شکل سریع، راحت و کارا بوده که حداکثر قابلیتها را با حداقل فشار و سختی کار برای مشتریان فراهم آورد.»
او ادامه داد: «حذف بروکراسیهای ناکارآمد و سخت، تکیه بر ایجاد تغییرات مثبت بدون اعمال شوکهای عملکردی و کسبوکاری به مشتریان، استفاده از فناوریهای نوین در عرصههایی چون احراز هویت دیجیتال و یادگیری ماشینی و… ازجمله رئوس مطالب و مواردی است که پرداخت الکترونیک پاسارگاد به عنوان مزیت رقابتی خود در ارائه خدمات در دستور کار دارد و به آن میبالد.»
صفرعلیراز در توضیح محصولات پرچالش شرکتهای پرداخت از لحاظ امنیتی عنوان کرد: «در این خصوص نمیتوان برای تمامی شرکتها یک حکم کلی و یکسان صادر کرد. به دلیل آنکه هر یک از بازیکنان این عرصه شرایط خاص خود را دارند. مطلبی که عرض میکنم براساس شواهد و تجربیات شخصی خودم در صنعت و شرکتهای همکار است. اگر ما چالشهای امنیتی را فقط از منظر فنی در نظر بگیریم و شیوههای پرداخت را به دو شکل کلی با حضور کارت و بدون حضور کارت در نظر بگیریم، چالشهای فنی امنیت در بخش پرداخت بدون حضور کارت بسیار زیاد است. مواردی چون هک کردن و نفوذ به سایتهای درگاه پرداخت، سایتهای جعلی، اپلیکیشنهای غیراستاندارد و تأییدنشده روی گوشیهای هوشمند مثل انواع ویپیانها و… اصلیترین مشکلات و مخاطرات فنی امنیت است.»
او در آخر با اشاره به اینکه ریسک بالای ارائه خدمات بدون کارت به این معنا نیست که در ابزار پذیرش با حضور کارت هیچ چالش فنی امنیتی وجود ندارد، گفت: «مواردی چون کپی کارت و گاهی باگهای سختافزاری یا نرمافزاری در این ابزارها نیز ممکن است خسارات جبرانناپذیری بر صنعت وارد کنند. به عنوان مثال در بحث کپی کارت یا در اصطلاح فنی، «اسکیمینگ» مسئله به این شکل است که متخلف کارت مشتری را هنگام انجام تراکنش علاوه بر ابزار پرداخت روی یک دستگاه دیگر نیز کشیده و به این شکل اطلاعات کارت علاوه بر اینکه روی پایانه فروش یا ابزار پرداخت خوانده میشود، توسط دستگاه دیگری نیز ذخیره میشود. حال از آنجا که پرداخت با حضور کارت با استفاده از همین اطلاعات و رمز ثابت انجام میشود، با ارائه رمز توسط مشتری به شخص متخلف تمامی اطلاعات لازم جهت انجام تراکنشهای غیرمجاز بعدی داده شده و همچنین او میتواند یک کپی از کارت داشته باشد.»
مدیر امنیت پرداخت الکترونیک پاسارگاد به عنوان کلام آخر ابراز کرد: «به عقیده من باور و دیدگاه پیشین در خصوص امنیت که یک دیدگاه مرکز هزینهای بود و سازمانها تماماً آن را پولِ ازجیبخارجشده و ازدسترفته میانگاشتند تغییر کرده است. حالآنکه خوشبختانه رویکردهای جدید مدیران ارشد سازمانهای مختلف ازجمله پرداخت الکترونیک پاسارگاد نهتنها نگاه هزینهمحوری به امنیت نیست، بلکه آن را نوعی پسانداز نیز میداند؛ چراکه در بسیاری از مواقع این خطمشیها و سیاستها میتوانند نجاتدهنده کسبوکار باشند. ازاینرو پیشبینیام از آینده امنیت در کل جامعه و بالاخص اکوسیستم پرداخت کشور روشنتر از چیزی است که عموم اهالی آیتی تصور میکنند و به امید خدا این امر میتواند برکات بسیار زیادی برای عموم جامعه هدف و ذینفعان این صنعت داشته باشد. همچنین باور دارم ورود نسل جوان و تازهنفس با پشتوانه علمی و فنی خوبی که در ایشان میبینم تحولات و ثمرات مثبتی به همراه خواهد داشت.»