ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

ITanalyze

تحلیل وضعیت فناوری اطلاعات در ایران :: Iran IT analysis and news

  عبارت مورد جستجو
تحلیل وضعیت فناوری اطلاعات در ایران

۱۵ مطلب با کلمه‌ی کلیدی «USSD» ثبت شده است

تحلیل


علی شمیرانی - نظام بانکی و مالی کشور در سال‌های اخیر شاهد اتفاقات جدید و در عین حال عجیبی است که توجه رسانه‌های زیادی را متوجه نهاد مقررات‌گذار در این عرصه یعنی بانک مرکزی کرده است.

رئیس هیات مدیره یک شرکت پرداخت الکترونیک گفت: طبق دستورالعمل بانک مرکزی، کدهای دستوری پرداخت الکترونیک ستاره مربع تا پایان مهرماه حق تراکنش مالی دارند و پس از این تاریخ درباره ادامه فعالیت آنها توسط حاکمیت تصمیم‌گیری خواهد شد.

عبدالعظیم قنبریان در گفت‌وگو با فارس، اظهارداشت: طبق دستورالعمل بانک مرکزی، مهلت فعالیت کدهای دستوری پرداخت الکترونیک ستاره مربع تا پایان مهرماه است و این سامانه‌ها پس از این تاریخ حق تراکنش مالی را ندارند.

وی گفت: با محدودیتی که در دوره قبل از سوی بانک مرکزی اعمال شد هم‌اکنون سقف این تراکنش مالی سامانه‌های کد دستوری ستاره مربع 200 هزار تومان است.

وی گفت: پیش‌بینی می‌شود در صورت موافقت بانک مرکزی با ادامه فعالیت این کدهای دستوری، سقف تراکنش مالی در این کدها بار دیگر کاهش یابد.

قنبریان گفت: ماهیت کدهای دستوری پرداخت الکترونیک، پرداخت خُرد است و خدمات و محصولاتی که دارای هزینه‌های خُرد هستند را در بر می‌گیرد.

رئیس هیات مدیره این شرکت پرداخت الکترونیک تصریح کرد: با اعمال محدودیت‌های بیشتر بانک مرکزی پیش‌بینی می‌شود که سامانه‌های پرداخت الکترونیک بر بستر تلفن همراه (منطبق با کدهای دستوری) برای استفاده مردم سخت‌تر شوند که در این شرایط جهت‌گیری نیاز به سمت نرم‌افزارهای پرداخت الکترونیک خواهد بود.

آب رفته به جوی باز می‌گردد؟

چهارشنبه, ۲۷ مرداد ۱۳۹۵، ۱۰:۲۲ ق.ظ | ۰ نظر

عبدالله افتاده - ابتدای امسال بود که شرکت شاپرک به نمایندگی از بانک مرکزی ابلاغیه‌ای محرمانه مبنی بر اعمال محدودیت به دلیل نا امن بودن سرویس ussd به تمامی ‌شرکت‌های پرداخت الکترونیک ارسال کرد.

انتقاد از دستور توقف کدهای USSD

يكشنبه, ۲۰ تیر ۱۳۹۵، ۰۱:۴۹ ب.ظ | ۰ نظر

مدیرعامل یک شرکت تابعه همراه اول با انتقاد از دستور العمل بانک مرکزی برای توقف کدهای کوتاه دستوری (USSD) از مهرماه، گفت: چندین راه حل ساده برای رفع دغدغه امنیتی USSD وجود دارد.

به گزارش خبرگزاری فارس، مهرداد خطیبی با انتقاد از نحوه اطلاع‌رسانی ابلاغیه جدید USSD (کدهای کوتاه دستوری) برای توقف این بستر از مهرماه، گفت: تاکنون نامه یا ابلاغیه‌ای از شاپرک و یا هیچ نهاد قانون‌گذاری دیگری دریافت نکرده‌ایم و هیچ درخواست مذاکره‌ای برای کمک به رفع دغدغه‌های مطرح شده به این شرکت واصل نشده است.

این ارایه دهنده سرویس‌های USSD روی همراه اول افزود: خدمات مالی و پرداخت مبتنی بر USSD، حدود 5 سال است که توسط جیرینگ و با مشارکت بانک‌ها و PSPها در حال ارائه است و به رغم انجام چندین میلیون تراکنش موفق روزانه، تاکنون حتی یک گزارش دال بر بروز تخلف یا سرقت اطلاعات محرمانه کارت‌های بانکی وجود ندارد، پدیده‌ای که در سایر بسترهای به اصطلاح امن ارائه خدمات، زیاد به گوش می‌رسد.

*پاسخ به دغدغه امنیت USSD

خطیبی در پاسخ به دغدغه‌های امنیتی مطرح شده برای ارائه خدمات مالی و پرداخت بر بستر USSD، گفت: به جز در اولین پروسه ثبت کارت بانکی در انتهای یک تراکنش موفق مبتنی بر USSD که شماره کارت بانکی و رمز دوم کارت در یک session و در قالب تراکنش‌های جداگانه دریافت می‌شوند (فقط یک‌بار به ازای هر ثبت کارت)، در سایر تراکنش‌هایی که توسط مشترکان بر این بستر اتفاق می‌افتد، صرفا رمز دوم کارت دریافت می‌شود.

وی بیان کرد: پس از آن شماره کارت بانکی به صورت توکن یا alias code ارسال می شود. پس به جز اولین تراکنش ثبت کارت، صرفا رمز دوم کارت در اختیار شنود کننده متخصص قرار خواهد گرفت که قابل سواستفاده نخواهد بود.

*دو پیشنهاد برای افزایش امنیت USSD

وی خاطرنشان کرد: علاوه بر این برای رفع دغدغه‌های امنیتی می توان طی یک اطلاع‌رسانی عمومی از مشترکان USSD بخواهیم که برای انجام تراکنش بر این بستر، حتما باید رمز دوم بانکی خود را با مراجعه به ATM بانک خود تغییر دهند و برای بالا بردن ضریب امنیت هم می‌توان پس از اعلان عمومی، در سمت PSP و شاپرک از پذیرش هر گونه تراکنش بر این بستر با رمز دوم قبلی، ممانعت کرد.

وی افزود: برای مشترکانی که می‌خواهند برای اولین بار، کارت بانکی خود را برای استفاده از خدمات بستر USSD ثبت کنند، راه‌حل‌هایی وجود دارد که به عنوان مثال می توان از، ثبت کارت بانکی بر بستر USSD و الزام کاربر به تغییر رمز دوم برای انجام اولین تراکنش و عدم پذیرش تراکنش با رمز دوم زمان ثبت کارت بر این بستر از آن یاد کرد.

وی گفت: اگر اصرار به پیچیده کردن فرآیند امن‌سازی داریم، ما آمادگی خود را برای ارتقای امنیت تراکنش‌ها با روش اضافه کردن اپلت (Applet) روی سیم‌کارت اعلام می‌کنیم، اگرچه هزینه قابل‌توجهی را در سمت اپراتور، شبکه پرداخت و استفاده‌کنندگان، به همراه خواهد داشت؛ چرا که ضمن لزوم اعمال تغییر در شبکه اپراتور و شبکه پرداخت، سیم‌کارت مشترکان هم باید به احتمال زیاد برای افزودن اپلت تغییر کند.

اپلت برنامه ای مانند OTP بانکی و پیام های رمز شده است که روی حافظه امن سیم کارت نصب می شود. این برنامه آفلاین است و برای به روز رسانی از بستر امن اختصاصی اپراتور تلفن همراه استفاده می کند.

مدیرعامل جیرینگ گفت: در صورت توافق برای اجرای این مدل، روش خرید و پرداخت بر این بستر به سادگی قبل خواهد بود و هیچ‌گونه پیچیدگی و زحمتی به کاربر تحمیل نمی‌شود، ضمن آنکه راه برای فعال کردن امکان خرید و مانده‌گیری بر این بستر که از مهرماه سال گذشته و به بهانه امنیت متوقف شد، فراهم خواهد شد.

*سهم درآمد PSP‌ها از USSD از اپراتور بیشتر است

خطیبی گفت: در حال حاضر بالای 80 درصد حجم ریالی و تعدادی مورد استفاده از سرویس‌های USSD مربوط به خرید شارژ تلفن همراه است، حداقل می توان انتظار داشت که به مشترکانی که از روش‌های غیرحضوری همانند خرید از درگاه USSD اقدام به خرید می‌کنند، احترام گذاشته شود، نه اینکه بدون ارایه طرح عملیاتی جایگزین، به یکباره خبر از محدود سازی USSD داده شود.

وی عنوان کرد: شرکت‌های پرداخت الکترونیکی که اکنون جایگاه و درآمد خوبی در صنعت پرداخت کشور دارند، فراموش نکنند که بخش بزرگی از رشد خود را مدیون همکاری با اپراتورهای تلفن همراه هستند، حال شاید برخی سود این همکاری را یک طرفه جلوه دهند، که اگر قضاوت درستی نسبت به حجم سرمایه‌گذاری انجام شده طرفین معامله وجود داشته باشد، کفه ترازو به نفع شبکه پرداخت است نه اپراتور! و بد نیست، به ارزش سهام برخی از شرکت‌های PSP هم، قبل و بعد از استفاده از USSD نگاهی بیندازیم.

*انتقاد از توقف سامانه سپاس

وی همچنین از توقف سامانه سپاس (پرداخت الکترونیک سیار) خبر داد و گفت: چند سالی بود که اپراتورهای تلفن‌همراه، منتظر ابلاغ آیین‌نامه سپاس بودند اما پس از چند سال و به رغم انجام فرآیند تست با کیف‌پول جیرینگ، بانک مرکزی بدون ارایه کردن طرح یا مسیری جایگزین، خبر توقف پروژه سپاس را منتشر کرد.

*ممنوعیت ورود اپراتورها به شبکه پرداخت/ انحصار شبکه پرداخت پایان یابد

وی با اشاره به ممانعت ورود اپراتورها به شبکه پرداخت از سوی بانک مرکزی، گفت: در حال حاضر و در دیگر سوی میدان، رگولاتور مخابراتی اقدام به ارایه مجوز اپراتور مجازی (MVNO) می‌کند و همین شرکت‌های PSP و برخی از شرکت‌های وابسته با بانک‌ها، برای دریافت مجوز اپراتور مجازی، اقدام کرده‌اند. اما شبکه بانکی از ورود رقبای بانکی و شبکه پرداخت به حوزه خود، نگران است. در حالی که بهتر است فرصت را برای ارائه خدمات بهتر و رقابتی‌تر به مشترکان تلفن‌همراه مغتنم بداند.

وی بیان کرد: شرکت‌های PSP و وابسته بانکی، در طول سال‌های قبل و در جریان همکاری با اپراتورها از همین بستر USSD، با جمع‌آوری اطلاعات محرمانه اپراتورها از جمله شماره تلفن‌همراه، میزان مصرف شارژ و غیره، اقدام به شناسایی مشترکان پرمصرف اپراتورها کرده‌اند و اکنون آماده‌اند تا با اجرایی شدن مجوز MVNO و عملیاتی شدن MNP، به مدد دارا بودن پروفایل مخابراتی و مالی، مشترکان ارزشمند اپراتورها را تصاحب کنند.

وی گفت: رگولاتور بانکی نیز همانند همتای مخابراتی خود بهتر است، به انحصار PSPهای فعلی برای ارائه خدمات پرداخت پایان دهد و در فضایی مثبت و با حفظ نظارت موثر، نسبت به اعطای مجوز به شرکت‌های توانمند اقدام کند.

دردسر توقف USSD برای 50 میلیون مشترک

جمعه, ۲۱ خرداد ۱۳۹۵، ۰۴:۲۴ ب.ظ | ۱ نظر

خبرگزاری فارس - فاطمه سامعی - پرونده مخالفت بانک مرکزی با کدهای کوتاه دستوری موبایل (USSD) سرانجام با دستور مستقیم برای قطع از اول مهرماه بسته می شود. تصمیمی که مخاطبان اصلی آن خریداران شارژ سیم کارت های اعتباری هستند.

مهر ماه سال 94 بود که بانک مرکزی با مصوبه ای تنها امکان خرید شارژ تلفن همراه و پرداخت قبوض تا سقف 200 هزار تومان به وسیله کدهای USSD را باز گذاشت و سایر خریدهای غیرضروری روی این بستر را مسدود کرد.

 

*به دلیل دخالت اپراتور، USSD محدود شد

علت این تصمیم آینده اندیشی درباره عدم امنیت کافی بسترهای USSD اعلام شد.

همان زمان یک ارائه‌دهنده راه‌حل‌های پرداخت خرد الکترونیک درباره علت اتخاذ این تصمیم به فارس، گفت: ارتباط موبایل با BTS بر بستر USSD ناامن است و با شبیه‌سازی این ارتباط امکان سرقت شماره کارت و رمز دوم کارت وجود دارد. به دلیل ناامنی از ابتدا نیز بانک مرکزی تمایلی برای توسعه بسترهای USSD نداشت اما به دلیل اینکه جایگزینی وجود نداشت کدهای USSD توسعه پیدا کردند. از این رو استفاده از بستر USSD در شبکه بانکی توصیه نمی‌شود و معمولا برای کاربردهایی مانند رای‌گیری در برنامه‌ها مورد استفاده قرار می‌گیرد. 

 

*راه حل ریشه ای بانک مرکزی برای USSDها

همچنین داوود محمد بیگی مدیر اداره نظام‌های پرداخت بانک مرکزی در گفت و گو با فارس از تدبیر این نهاد برای رفع اساسی مشکل USSDها خبر داد.

وی توضیح داد: برای USSD پروژه‌ای داریم تا مشتریان به جای ارائه اطلاعات کارت خود، از شناسه استفاده کنند. کاربران با دریافت یک شناسه‌ از شرکت ارائه دهنده پرداخت می‌توانند از خدمات USSD استفاده کنند که با تنظیم شبکه براساس شناسه افراد محدودیت‌های شبکه USSD رفع خواهد شد. 

وی گفت: وقتی می‌گوییم این بستر ناامن است به معنای نگران کردن مردم نیست اما بانک مرکزی به عنوان مقام ناظر خطر‌ها و ریسک‌هایی را در این مدل می‌بیند.

 

* شیوه فعلی USSD متوقف می شود

اکنون گویا تصمیم سال گذشته بانک مرکزی دچار تغییرات جدیدی شده است.

شاپرک مصوبه ای از بانک مرکزی به شرکت های PSP ابلاغ کرده که به وسیله آن اعلام شده: «از اول مهر ماه سال 1395 استفاده از بستر فعلی USSD برای انجام تراکنش های بانکی ممنوع شده و شرکت های ارائه دهنده خدمات پرداخت صرفا مجاز به پذیرش و پردازش تراکنش های بانکی از روش های جایگزین و ایمن خواهند بود.»

اگرچه هنوز اطلاعات جدیدی درباره روش قطعی اصلاح اعلام نشده و حتی ادامه بستر USSD با اصلاحاتی هنوز قطعی نیست، اما با توجه به راه حل اعلامی مدیر کل نظام های پرداخت بانک مرکزی در سال گذشته، به نظر می رسد اگر بنا بر ادامه کار پس از اصلاح روش باشد، روش اجرا طبق همان پیشنهاد اعلامی سال گذشته است.

به این معنی که کاربر در صورت تمایل به استفاده از بستر USSD باید برای هر حساب خود به بانک مراجعه کند و پس از اتصال شماره تلفن همراه به حساب و دریافت رمز، رمز دریافتی را به شرکت PSP اعلام کند. شرکت PSP برای انجام هر تراکنش رمزی را با پیامک برای کاربر ارسال می کند و کاربر تنها با استفاده از همان رمز می تواند برای یک کارت بانکی و با یک شماره تلفن همراه از خدمات USSD استفاده کند. به این ترتیب کاربران برای هر کارت بانکی و هر شماره تلفن همراه باید تمامی این مراحل را جداگانه انجام دهند.

* ناامنی بستر USSD چقدر نگران کننده است؟ صفحات جعلی بانک ها در صدر کلاهبرداری های بانکی 

از سال گذشته مسئولان بانک مرکزی در حالی بستر USSD را به دلیل دخالت اپراتور تلفن همراه ناامن اعلام می کنند که همان مسئولان بانکی در آغاز به کار کدهای USSD و ناشناخته بودن آنها برای کاربران، در پاسخ به ابهام و پرسش کاربران درباره امنیت این بستر، اطمینان خاطر می دادند و هر گونه نگرانی بابت دخالت اپراتورها در این زمینه را رد می کردند.

علاوه بر این، جست و جویی در آرشیو اطلاع رسانی های پلیس فتا نشان می دهد هیچ نمونه ای از سواستفاده از مشکل ساختاری کدهای USSD وجود ندارد. همچنین بررسی ها نشان می دهد میزان کلاهبرداری های موسوم به فیشینگ (جعل صفحه های اینترنتی بانکی و پرداخت ها) به دلیل آمار زیاد بسیار نگران کننده تر و نیازمند چاره اندیشی فوری تر نسبت به بستر USSD بدون سابقه کلاهبرداری است.

 

*پیچیدگی های غیر ضروری دردسر کاربران برای خرید شارژ 

در نهایت در ماجرای تصمیم گیری بانک مرکزی درباره کدهای کوتاه دستوری و در این نگاه پدرانه رگولاتور بخش بانکی کشور، نکته مغفول مانده مشتریان اصلی این بستر هستند.

به گفته محمد بیگی طبق آخرین بررسی‌ها در حوزه USSDحدود 80 درصد تراکنش‌ها مربوط به خرید شارژ تلفن همراه است.

به این معنی که با برخورد با بستر USSD یا پیچیده تر کردن آن، دردسر اصلی متوجه 50 میلیون کاربر سیم کارت های اعتباری موبایل در کشور است.

از مدتی پیش بسیاری از بانک های کشور رمز یک بار مصرف را برای امنیت بیشتر مشتریان خود در محیط های پرداخت اینترنتی به راه انداخته اند، به واقع چه آماری از تمایل مشتریان به استفاده از این خدمت وجود دارد؟ چه بخشی از مشتریان از این سرویس استفاده کرده اند؟ آیا برای خرید هر بار شارژ عموما کم مبلغ طی این پیچیده یک دردسر نیست؟

در نهایت اگر مشترکان اعتباری موبایل به روش های فیزیکی خرید شارژ با هزینه های زیست محیطی و گران رجوع نکنند، در معمول ترین روش باید مشتری سایت های اینترنتی فروش شارژ شوند که ریسک ناامنی و کلاهبرداری در این بخش بسیار بیشتر از بستر USSD است.

چرا USSD محکوم به مرگ است؟

شنبه, ۹ آبان ۱۳۹۴، ۱۲:۳۹ ب.ظ | ۰ نظر

رسول قربانی - ممنوعیت دریافت موجودی شتابی و سقف 200 هزار تومان خرید شارژ در روز از بستر USSD که به شکلی غیرمنتظره و غافلگیرانه از سمت شاپرک و به توصیه بانک مرکزی اعلام شد مانند خیلی دیگر از حرکت‌های گازانبری نهاد ناظر سروصدای زیادی کرد و جالب اینکه افراد در مقابل این حرکت در دو جبهه قرار می‌گیرند؛ اولی گروهی هستند که این حرکت را کاری کاملا اشتباه می‌دانند و معتقدند که USSD به‌عنوان یک بستر کمک زیادی به صنعت پرداخت و برخی از کسب‌وکارها کرده بود. ولی گروه دوم افرادی هستند که این حرکت را می‌ستایند و معتقدند که به خاطر امنیت پایین بستر USSD این کار باید زودتر انجام می‌شد و البته در دل این گروه، گروه دیگری نیز هستند که با وجود موافقت با این حرکت، از نحوه اجرای آن شکایت دارند.

نقل‌قول‌های متفاوتی درباره رفع محدودیت‌های USSD و برعکس، تشدید این محدودیت‌ها شنیده می‌شود که اینجا مجال پرداختن به آنها نیست؛ اما واقعا USSD چه سرنوشتی خواهد داشت؟ آیا USSD از همان ابتدا محکوم به مرگ نبود؟

اگر نگاهی به روندها و ترندهای روز دنیا بیندازیم، نه در صنعت بانکی و نه در صنعت پرداخت کشورهای پیشرفته اثری از USSD نمی‌بینیم و حتی اپراتورهای تلفن همراه در این کشورها هم از این بستر برای ارایه سرویس‌های مخصوص به خودشان هم استفاده نمی‌کنند و فقط برای موارد خیلی خاصی از این بستر استفاده می‌شود. البته ناگفته نماند در کشورهای توسعه‌نیافته‌ای مانند کنیا، استفاده از این بستر به خاطر نبود شبکه بانکی گسترده و شبکه پرداخت الکترونیکی و همچنین نبود امنیت کافی در حمل یا نگه‌داری پول نقد، نمونه‌های کاملا موفقی با استفاده از این بستر مانند اِم‌پِسا شکل‌گرفته است که تقریبا جای پول نقد را در این کشورها گرفته است.

اما در کشوری مثل ایران که از شبکه بانکی نسبتا گسترده، شبکه 3 میلیونی دستگاه‌های کارت‌خوان، دسترسی به اینترنت و وجود فروشگاه‌های اینترنتی که از درگاه پرداخت اینترنتی بهره می‌برند و از همه مهم‌تر گسترش روزافزون ضریب نفوذ تلفن‌های هوشمند و اینترنت همراه و وجود سامانه‌های یکتایی مثل شتاب، شاپرک، چکاوک، پایا، ساتنا و ... آیا همچنان شرکت‌های پرداخت الکترونیکی کشور و بانک‌ها باید بیشترین انرژی و هزینه تبلیغاتی خود را برای جا انداختن بستری کنند که نه‌تنها از نظر امنیتی وضعیت قابل قبولی ندارد، بلکه از لحاظ تجربه کاربری نیز وضعیت ضعیفی دارد؟

آیا با وجود این حجم زیادی که از فرصت‌ها و بسترها در کشور در اختیار داریم باید به سراغ استفاده از بستری برویم که کشورهای توسعه‌نیافته به خاطر عدم دسترسی به بسترهای پیشرفته سراغ آن رفته‌اند؟ آیا به خاطر اینکه استفاده از بستر USSD برای توسعه سرویس‌های شرکت‌های پرداخت الکترونیکی یکی از راحت‌ترین راه‌ها بود، باید عناصر مهمی مثل امنیت و تجربه کاربری را نادیده بگیریم؟

آیا بهتر نبود بانک‌ها و شرکت‌های پرداخت به‌جای اصرار و پافشاری برای جا انداختن استفاده از بستری که علاوه بر مشکلات موجود از مدل کسب‌وکاری سالمی هم برخوردار نیست، اپلیکیشن‌هایی مبتنی بر اینترنت ارایه می‌کردند که هم از لحاظ امنیت می‌تواند خیلی وضعیت بهتری داشته باشد، هم تجربه کاربری در آن به‌خوبی دیده شده باشد و هم اینکه به سمت ترندهای مورد استفاده در کشورهای توسعه یافته و پیشرفته قدم برمی‌داشتیم تا اینکه به سمت کشورهای توسعه‌نیافته برویم؟

علاوه بر همه این‌ها، در فضای اپلیکیشن‌های موبایلی راه برای اعمال خلاقیت و نوآوری خیلی بیشتر از بستر USSD باز است و دیگر شاهد ده‌ها کد USSD با سرویس‌های مشابه که فقط کد متفاوتی دارند نخواهیم بود!

دبیر کمیسیون توسعه دولت الکترونیکی گفت: با مصوبه شورای عالی فناوری اطلاعات تحت عنوان "ضوابط فنی اجرایی توسعه دولت الکترونیکی"، سازمان فناوری اطلاعات موظف به احراز صلاحیت کلیه سرویس‌های تحت موبایل شد.

رضا باقری اصل با اشاره به اینکه اجرای دولت الکترونیک پیش نیاز دولت همراه به حساب می‌آید، اظهار کرد: اما علی‌رغم این موضوع، موبایل با تنوع امکانات نظیر پیامک، کدهای USSD و اپلیکیشن‌های همراه توسعه دولت الکترونیکی را تسهیل می‌کند و در فاز اول این قابلیت را برای مخاطب فراهم می‌کند تا به جای استفاده از کانال‌های مرسوم وب، دفاتر پیشخوان و حضور فیزیکی، خدماتی مانند استعلامات را از بستر تلفن همراه دریافت کند.

وی عنوان کرد: یکی از مهم‌ترین نکات توسعه دولت الکترونیکی ایجاد کانال‌های متعدد دسترسی است تا مردم با ابزارهای در دسترس بتوانند چه به صورت حضوری و چه غیر حضوری از خدمات بهره‌مند شوند.

به گزارش تسنیم دبیر کمیسیون توسعه دولت الکترونیکی با تأکید بر اینکه پیش از این کانال‌های تحت وب و پیشخوان‌‌های دولت مراجع سرویس‌دهی به مردم بودند، ابراز کرد: جدیدا کانال‌های سطح موبایل چه از طریق وب، اپلیکیشن و چه کدهای USSD به عنوان مرجعی خاص برای دریافت سرویس مشترکان تعریف شده‌اند.

او افزود: USSD یک پروتکل با میزان تراکنش‌های کم و تبادل پیام‌های کوتاه بسیار نزدیک به لایه شبکه است که تحت نظارت اپراتورها قرار دارد؛ از این حیث می‌تواند مبنایی برای شرکت‌های ارائه دهنده خدمات مالی و دولت الکترونیکی باشد تا بخشی از کانال دسترسی را برعهده گیرند.

باقری اصل با بیان اینکه اگر میزان و حجم پیام‌ها در این شیوه از مقدار مشخصی بیشتر شود، USSD تنها به عنوان کد پیگیری عمل می‌کند، تصریح کرد: لازم است کلیه سرویس‌های تحت موبایل یکجا احراز صلاحیت شود که با مصوبه شورای عالی فناوری اطلاعات تحت عنوان "ضوابط فنی اجرایی توسعه دولت الکترونیکی"، سازمان فناوری اطلاعات موظف به چنین کاری خواهد بود.

وی ادامه داد: بر این اساس، سازمان فناوری اطلاعات باید این سرویس‌ها را از نظر فنی و امنیتی با ارگان‌های مربوطه مورد ارزیابی قرار دهد؛ بنابراین تمام کدهایی که می‌بینید با یک بستری توسط سازمان فناوری اطلاعات ارزیابی فنی خواهد شد.

معاون دولت الکترونیکی سازمان فناوری اطلاعات ایران اذعان کرد: ارزیابی ما شامل سرویس نمی‌شود بلکه دنبال این خواهیم بود که کدها مربوط به چه بخشی است و بعد از آن دنبال رعایت ترتیبات لازم آنها طبق مصوبه دولت الکترونیکی می‌رویم.

وی درباره زمان اجرایی شدن این دستورالعمل نیز گفت: از دو ماه دیگر فاز اول GSB (گذرگاه خدمات G2G دولت) در قالب پایلوت اجرایی می‌شود؛ بعد از آن ورود به لایه‌های دسترسی و پورتال Iran.Gov.ir را داریم که تا پایان سال فاز اول آن باید راه‌اندازی شود و سپس سراغ پورتال خدمات موبایل کشور می‌رویم.

مدیر اداره نظام­‌های پرداخت بانک‌مرکزی گفت: بدلیل انحرافات حوزه پرداخت و ورود نهادهای غیرمرتبط با موضوع پرداخت، ممکن است اطلاعات کارت مشتریان بانکی در دسترس دیگران و مورد سوء­استفاده قرار گیرد.

داوود محمد­بیگی درباره خدمات بانکداری که در حال حاضر از طریق تلفن همراه در نظام­های پرداخت کشور ارایه می­ شود، گفت: خدمات خرید، پرداخت قبض، خرید شارژ و مانده‌گیری، اعلام گردش حساب (واریز یا برداشت) و سایر پیام­ های اطلاع­ رسانی از طریق پیامک، خدماتی هستند که در شبکه بانکی از طریق تلفن همراه ارائه می­ شوند. البته برای برخی از این خدمات بین­ بانکی محدودیت­ هایی وضع شده ولی خدمات پیش­ گفته به صورت درون­ بانکی همچنان به مشتریان ارایه می­ شود. توضیح دیگر اینکه از طریق دستگاه تلفن همراه و اتصال به اینترنت نیز خدمات پرداخت الکترونیک درون­ بانکی و بین­ بانکی انجام می­ شود که در رده اینترنت ­بانک قرار می­ گیرد.

مدیر اداره نظام­‌های پرداخت بانک‌مرکزی افزود: به طور کلی می­ توان خدمات بر بستر تلفن همراه را به دو دسته خدمات پرداخت و خدمات بانکی تقسیم کرد. محدودیت‌هایی که اخیراً در این حوزه اعمال شده مربوط به خدمات پرداخت است.

وی در پاسخ به این سئوال که اخیرا از ورود شرکت شاپرک به موضوع ussd (ارسال پیام با کدهای دستوری) و برقراری محدودیت­ هایی برای شرکت­ های ارایه خدمات پرداخت در این زمینه صحبت می­ شود، این محدودیت­ ها کدامند و به چه دلیل اعمال شدند؟ بیان کرد: تراکنش­ های خرید و مانده­ گیری بین­ بانکی در بستر ussd ممنوع شده و برای تراکنش­ های خرید شارژ و پرداخت قبض از این طریق سقف ۲ میلیون ریالی وضع شده است و دلیل این محدودیت­ ها تامین امنیت پرداخت­ های بین­ بانکی موبایلی است.

محمدبیگی تصریح کرد: به دلیل انحرافات پیش آمده در حوزه پرداخت و ورود نهادها و سازمان­ های غیرمرتبط با موضوع پرداخت، ممکن است اطلاعات کارت مشتریان نظام بانکی در دسترس دیگران و مورد سوء­استفاده قرار گیرد. ما تلاش می­ کنیم امکان هرگونه سوء­استفاده در فرآیند پرداخت­ های الکترونیک به حداقل برسد و اگر سوء­استفاده­ای صورت گیرد، میزان خسارت مشتری حداقل باشد؛ ما به خوبی به این موضوع آگاه هستیم که اعمال این محدودیت‌ها تنها ریسک استفاده از این خدمت را کاهش داده و راه­ حلی موقت است تا بتوانیم فرصت ارایه راه­ حل‌های امن و مطلوب را به بانک­ها و شرکت­های ارایه­ دهنده خدمات پرداخت بدهیم. اصولاً محافظت و صیانت از اطلاعات مشتریان نظام بانکی کشور دغدغه همیشگی بانک مرکزی و نظام بانکی کشور بوده و خواهد بود.

وی اضافه کرد: همواره رصد و پایش شبکه پرداخت و نظام بانکی و اصلاح روال‌ها و رویه‌ها از موضوعات مورد توجه و اساسی در حوزه پرداخت است؛ محدودیت وضع شده در تراکنش­ های خرید پایانه‌های فروش به میزان ۵۰۰ میلیون ریال در ابتدای امسال توسط بانک مرکزی نیز در همین راستا بود.

این مقام مسئول در بانک مرکزی در پاسخ به این مطلب که این موضوع باعث نارضایتی برخی از مشتریان بانک­ها شده است، حجم این تراکنش­ ها به چه میزانی بود و چه جایگزینی برای آن در نظر گرفته اید؟ عنوان کرد: هدف از اقداماتی که برای امنیت بانکداری الکترونیک انجام می­ شود، کسب رضایت و اعتماد مشتریان در بلند­مدت است. نمی­ توانیم برای سهولت مبادلات و رضایت کوتاه­ مدت برخی مشتریان خاص، رضایت بلند­مدت، احساس امنیت در پرداخت­های الکترونیک و اعتمادی که حاصل سال­ها تلاش است را خدشه­ دار کنیم.

به گفته مدیر اداره نظام­‌های پرداخت بانک‌مرکزی، در پنج ماهه نخست منتهی به مرداد سال جاری حجم مبادلات موبایلی بین­ بانکی پردازش شده در شاپرک از نظر تعداد کمتر از ۱۹ درصد و از نظر مبلغ کمتر از یک درصد (حدود نیم درصد) کل تراکنش­ های شاپرک است، بنابراین این تراکنش­ها حجم بالایی در مبادلات بین­ بانکی کارتی نداشته و مشتریان می­ توانند از خدمات درون­ بانکی در بستر ussd استفاده کنند. مشتری می‌تواند علاوه بر استفاده از ussd بانک خود، با استفاده از روش‌های گوناگون نظیر مراجعه به سایت بانک یا تلفن­بانک، به صورت غیرحضوری از موجودی حساب خود مطلع شود.

وی ادامه داد: هرچند که در حال حاضر بسیاری از بانک­ها با ارسال پیامک اطلاع­ رسانی لازم را در این زمینه انجام می‌دهند. نکته قابل تامل دیگر توجه به استانداردهای حوزه پرداخت است یکی از وظایف نظام بانکی  فرهنگ­سازی و تغییر رفتار مشتریان و متناسب­ سازی آن با استانداردهای معتبر بین‌المللی است. البته ما به هیچ عنوان با گسترش خدمات مخالفتی نداریم اصولاً اگر شبکه پرداخت و نظام بانکی کشور طی مدت ۱۰ سال توانسته جایگاه مناسبی بین مشتریان پیدا کند نتیجه تلاش همه عوامل و ذینفعان و سیاست­گذاری مناسب بانک مرکزی است. اما نباید فراموش کرد که ارایه خدمت به قیمت به خطر افتادن امنیت و منافع مشتریان مورد پذیرش و قبول نهاد سیاست­گذار نیست. لذا توصیه ما حتی به بانک­ها، اعمال محدودیت تا رعایت استانداردهای امنیتی و مطابق با تجارب موفق بین‌المللی در این حوزه است.  

به گزارش روابط عمومی بانک مرکزی وی درباره اینکه چرا تاکنون این محدودیت­ ها اعمال نشده بود؟ بیان کرد: امنیت موضوعی نسبی است اصولاً امنیت در دو بعد تکنولوژی و فرآیندی مورد توجه و بررسی قرار می‌گیرد. ممکن است سیستمی امروز امن باشد ولی در آینده با تغییرات تکنولوژی و همچنین تغییر شیوه‌ها و فرآیندهای اجرایی از امنیت آن کاسته شود. سرویس ussd را نیز می­ توان با تغییر روش استفاده آن ایمن کرد هر چند که معتقدم عمر این سرویس در شبکه پرداخت و نظام بانکی طولانی نخواهد بود اما مشکل اصلی روش استفاده از این سرویس در حال حاضر است.   برای نمونه در کشور هندوستان ussd ملی برای پرداخت موبایلی راه­ اندازی شده است. با بررسی این روش‌ها متوجه می‌شویم که فرآیندها  طوری دیده شده که از ارسال اطلاعات حساس پرداخت در تراکنش‌ها جلوگیری شود. بنابراین باید مانند تمام کشورهای دنیا همواره استانداردهای جدید و قابل اعتمادی را برای ارتقای امنیت شبکه پرداخت وضع کنیم و همیشه مراقب و به­روز باشیم.

محمدبیگی در تشریح برنامه بانک مرکزی در حوزه پرداخت همراه در آینده گفت: بانک مرکزی چند سال است که موضوع کیف پول الکترونیک و سامانه پرداخت الکترونیک سیار (سپاس) را دنبال می­ کند. امروزه وجود یک سیستم آفلاین به ویژه برای پرداخت­های ریز­ در کشور ضروری است ولی پرداخت­های همراه در دو سال اخیر دچار تغییرات اساسی در جهان شده و راه‌حل‌های نوینی ارایه و پیاده ­سازی شده است. بانک مرکزی در حال بررسی این راه ­حل­ها است تا برای دستیابی به این هدف دچار خطای راهبردی نشویم. نتایج این بررسی­ ها و برنامه ­های آینده بانک مرکزی در حوزه پرداخت همراه به زودی اعلام خواهد شد.

وی در بیان دلایل تاخیر در زمان واریز وجوه به حساب پذیرندگان (دارندگان پایانه­ های فروش) اظهارداشت: وجه کارت مشتریان توسط دستگاه­ های کارتخوان فروشگاهی از طریق شاپرک و شتاب، بلافاصله کسر می­ گردد و این مبالغ توسط سامانه پایا در ۷ چرخه (تقریبا هر ۲ ساعت یکبار) به حساب پذیرندگان (فروشندگان) واریز می­ شود. عملیات تسویه بین­ بانکی نیز توسط ساتنا انجام خواهد شد. در انتهای هر روز کاری (چرخه­ های ۶ و ۷) پایا و سه چرخه آخر روزهای پنج­شنبه همچنین دو چرخه روزهای تعطیل که سامانه ساتنا فعال نیست، تنها عملیات تسویه بین­بانکی به روز بعد منتقل می­شود. ولی در هر چرخه پایا باید مبالغ به حساب پذیرندگان واریز شود.

مدیر اداره نظام­‌های پرداخت بانک‌مرکزی در پاسخ به این مطلب که برخی پذیرندگان مدعی هستند گاهی تا ۷۲ ساعت تاخیر در واریز وجوه پیش می ­آید، بیان کرد: این موضوع قابل قبول نیست؛ بانک­ها موظفند همان روز مبالغ ناشی از خرید مشتریان را به حساب پذیرندگان واریز کنند و نباید پرداخت به حساب پذیرنده را به تسویه بین بانکی مربوط کنند؛ اگر غیر از این باشد تخلفی از سوی بانک مربوطه صورت گرفته است. عدد ۷۲ ساعت مربوط به مغایرت­ها است. یعنی اگر تراکنشی به هر دلیلی از طرف بانک صادر­کننده کارت، بانک پذیرنده یا شتاب و شاپرک به مغایرت بخورد، کشف آن حداکثر ۷۲ ساعت طول می­کشد.

وی ادامه داد: شبکه بانکی کشور به طور متوسط روزانه ۲۰ میلیون تراکنش خرید را به حساب پذیرندگان واریز می­ کند که تنها یک درصد از تراکنش‌ها ناموفق هستند و نیم درصد از این یک درصد نیز با ۷۲ ساعت تاخیر واریز می­ شود هر چند که همواره با ارتقای سطح و کیفیت ارایه خدمات بانک­ ها به مشتریان تلاش می­ کنیم میزان تراکنش­ های ناموفق کاهش یابد ولی باید پذیرفت نظامی با این ابعاد و گستردگی اگر با ۹۹ درصد دقت و ظرفیت کار می‌کند، نتیجه تلاش، کوشش و همکاری تعداد زیادی از متخصصان داخلی است. البته ما همیشه باید برای بهتر شدن و ارتقای سطح خدمات تلاش کنیم و از اینکه انتظارات مشتریان محترم نظام بانکی از بانک‌ها هر روز بیشتر می‌شود خوشحالیم چون نشان از اعتماد و اطمینان مردم به نظام­های پرداخت الکترونیک است.

این مقام مسئول در بانک مرکزی درباره سامانه مدیریت چک (چکاوک) گفت: طرح ملی چکاوک با تلاش متخصصان داخلی و همکاری خوب بانک­ها در مدت کوتاهی اجرا و از مهر ماه سال گذشته به صورت تدریجی در برخی استان­ها و از خرداد ماه سال جاری در تمام کشور راه­اندازی شده است. در فاز نخست این طرح، تمام چک­های بین­ بانکی در این سامانه پذیرش و پردازش می­شوند.

وی بیان کرد: در حال حاضر به طور متوسط روزانه بین ۳۰۰ الی ۴۰۰ هزار چک در این سامانه پردازش می­ شوند حتی در مواردی میزان واگذاری به بیش از یک میلیون چک در یک روز نیز می­ رسد. چکاوک زیرساختی است برای اهداف بلندمدت بانک مرکزی در راستای ساماندهی نظام­های پرداخت که با راه­ اندازی آن ایده اولیه طرح جامع نظام پرداخت کشور تکمیل شد. در ادامه طرح چکاوک نیز دو هدف دیگر در حال پیگیری و اجرا می­باشد؛ استانداردسازی اندازه، شکل و اقلام اطلاعاتی دسته­ چک­ها و همچنین صدور یکپارچه دسته­ چک با اعتبارسنجی مشتریان و  اطلاع­ رسانی به ذینفعان چک در زمینه وضعیت اعتباری صادرکننده که با اجرای این پروژه­ ها اعتبار چک و اعتماد مشتریان به آن افزایش خواهد یافت.

اطلاعات دریافتی نشان می دهد که اپراتورهای همراه اول و ایرانسل درپی بهره‌برداری از سیستمی هستند که خدماتی که تا به حال از طریق USSD صورت می‌گرفت، اکنون توسط این اپراتورها در اختیار مشتریان قرار گیرد.

افتتاح درگاه خرید شارژ خطوط اعتباری همراه اول تنها چندروز پس از اعمال محدودیت شرکت شاپرک بر ارائه خدمات مبتنی بر کارت در درگاه USSD بر شایعات پیشین، مبنی بر نقش داشتن اپراتورهای تلفن همراه در ایجاد این محدودیت، دامن زده است.
 حدود دو هفته پیش بود که نامه‌ای با امضای محسن قادری، مدیرعامل شاپرک، مبنی بر ممنوعیت شرکت‌ها از ارائه خدمات مبتنی بر کارت بانکی در درگاه USSD، منتشر شد.
اطلاعات دریافتی نشان می دهد که اپراتورهای همراه اول و ایرانسل درپی بهره‌برداری از سیستمی هستند که خدماتی که تا به حال از طریق USSD صورت می‌گرفت، اکنون توسط این اپراتورها در اختیار مشتریان قرار گیرد.
با توجه به این که بیشترین تراکنش دراین زمینه، خرید شارژ خطوط اعتباری بوده است، گمانه‌هایی مبنی بر این موضوع که خدمات USSD از طریق شبکه ارتباطی اپراتورها در اختیار مشتریان قرار گیرد وجود دارد که در نتیجه آن اپراتورها نیز دیگر مبادله مالی با شرکت‌های پرداخت نداشته باشند و کارمزدی هم به PSPها پرداخت نشود.
در این میان طبق آنچه که از سوی شرکت شاپرک اعلام شد مبنی بر امن نبودن و ایجاد محدودیت برای درگاه پرداخت USSD،به این شنیده‌ها دامن می‌زند.
از طرفی، شنیده‌ها حاکی از آن است که همزمان با اعلام این مطلب از سوی شرکت شاپرک، اپراتورها نیز در حال پیاده کردن سیستمی درون شبکه خود هستند تا مشتریان بدون شماره‌گیری کدهای مربوط به USSD بتوانند خدمات را دریافت کرده و کارمزد و هزینه‌های آن را از طریق قبض موبایل برای مشترکان دائم و کسر از شارژ برای مشترکان اعتباری، پرداخت کنند.
به گزارش اخبارپول، اما آنچه که امروز در خبرها شنیده شد مبنی بر بازگشایی سامانه خرید شارژ و پرداخت قبوض همراه اول و رفع مسدودی آن، می‌تواند مهرتاییدی بر این ادعا باشد.
لازم به ذکر است که هم اکنون PSPها در هنگام تقاضای موجودی این‌گونه به کاربر پیام می‌دهند: “به‌دستور بانک مرکزی سرویس موجودی ارائه نمی‌شود” و این شرکت‌ها همچنان از ارائه سرویس در این بستر به متقاضیان محرومند.

یک ارائه‌دهنده پرداخت‌ الکترونیک گفت: با مصوبه اخیر بانک مرکزی تنها خرید شارژ تلفن همراه و پرداخت قبوض تا سقف ۲۰۰ هزار تومان به وسیله کدهای USSD باز گذاشته شده و سایر خریدهای غیرضروری روی این بستر مسدود است.

حسام مقصودلو درباره مصوبه اخیر بانک مرکزی برای اعمال محدودیت در کدهای کوتاه دستوری بر بستر موبایل (USSD) اظهار داشت: این تصمیم به دلیل ناامن بودن بستر USSD اتخاذ شده است؛ زیرا ارتباط موبایل با BTS بر بستر USSD ناامن است و با شبیه‌سازی این ارتباط امکان سرقت شماره کارت و رمز دوم کارت وجود دارد.

این ارائه‌دهنده راه‌حل‌های پرداخت خرد الکترونیک (psp) افزود: به دلیل ناامنی از ابتدا نیز بانک مرکزی تمایلی برای توسعه بسترهای USSD نداشت اما به دلیل اینکه جایگزینی وجود نداشت کدهای USSD توسعه پیدا کردند.

وی گفت: با تصمیم اخیر بانک مرکزی استفاده از بستر USSD تنها برای دو خدمت پرکاربرد پرداخت قبض تا سقف 200 هزار تومان و خرید شارژ تلفن همراه باز گذاشته شده و سایر خریدهای غیرضرور  از طریق این بستر مسدود شده است.

به گزارش فارس مدیرعامل پرداخت الکترونیک اتیک گفت: این تصمیم نیز تنها در مورد پذیرنده‌های بزرگ از جمله شرکت‌های خدماتی تلفن، آب، برق و گاز اتخاذ شده که اگر مبلغی به اشتباه جابه‌جا شد قابل بازگشت به مشتری باشد.

وی تصریح کرد: استفاده از بستر USSD در شبکه بانکی توصیه نمی‌شود و معمولا برای کاربردهایی مانند رای‌گیری در برنامه‌ها مورد استفاده قرار می‌گیرد.

خرید آرم طرح ترافیک با موبایل هم مختل شد

چهارشنبه, ۲۲ مهر ۱۳۹۴، ۰۲:۰۰ ب.ظ | ۰ نظر

مدیر واحد صدور آرم سازمان ترافیک اعلام کرد: با توجه به بخشنامه بانک مرکزی، خرید آرم طرح ترافیک روزانه و هفتگی از طریق سامانه تلفن همراه متوقف شده است.

مصطفی قنبرنژاد اظهار داشت: طی سال جاری این امکان فراهم شده بود که شـهروندان می‌توانستند با شماره گیری # 1 * 3 * 137 * از سـاعت 00 : 00 بامداد لغـایت 00 : 19 اقدام به خـرید مجـوز طـرح ترافیـک روزانه کنند، اما با توجه به بخشنامه اخیر بانک مرکزی این امکان متوقف شده و شهروندان می‌توانند فقط از طریق سامانه شهرداری تهران نسبت به آرم روزانه و هفتگی اقدام کنند.

مدیر واحد صدور آرم سازمان ترافیک تاکید کرد: درحال حاضر شهروندان می‌توانند از طـریق سـایت شـهرداری تــهران به آدرس www.tehran.ir خرید آنلاین روزانه و هفتگی داشته باشند. بطوری که ساز و کار لازم فراهم شده که شهروندان بتوانند در لحظه نسبت به خرید آرم روزانه اقدام کنند.

دستور بانک مرکزی مبنی بر ممنوعیت تراکنش خرید از درگاه موبایل وضعیت سامانه‌های خرید شارژ و پرداخت قبوض اپراتورهای موبایل را مختل کرد.

با اعلام شرکت شبکه پرداخت کارتی (شاپرک) در پی توصیه بانک مرکزی برای اعمال محدودیت‌هایی در مورد خدمات پرداخت روی موبایل بر حسب راهکار شرکت‌های PSP، نه تنها امکان گرفتن موجودی میسر نیست بلکه برخی درگاه‌های شارژی اپراتورهای موبایل نیز مسدود شده است.

پیش از این شاپرک اعلام کرده بود که از نیمه مهرماه دریافت موجودی حساب از طریق موبایل با کدهای USSD شرکت‌های ارائه دهنده خدمات پرداخت مسدود می‌شود که همین‌طور هم شد اما ظاهراً دایره محدودیت‌ها بیش از این شد و تراکنش شارژ هم مسدود شده است.

اکنون برخی PSPها در هنگام تقاضای موجودی این‌گونه به کاربر پیام می‌دهند: "به‌دستور بانک مرکزی سرویس موجودی ارائه نمی‌گردد".

ابلاغیه شپرک شامل سه بند به‌شرح زیر می‌شد:

1 ــ از تاریخ 15 مهر سال جاری هرگونه تراکنش خرید از درگاه موبایل ممنوع خواهد بود.

2 ــ سقف تراکنش‌های پرداخت قبض و خرید شارژ در بستر USSD از تاریخ فوق روزانه 200هزار تومان است.

3 ــ تراکنش مانده‌گیری از طریق کلیه درگاه‌هایی که نیاز به استفاده از کارت ندارند، خصوصاً تراکنش‌های موبایلی به‌طور کامل ممنوع است.

در حالی که بند اول هرگونه تراکنش خرید از درگاه موبایل را محدود کرده اما بند دوم سقف خرید شارژ را تا 200هزار تومان اعلام می‌کند؛ این دوگانگی وضعیت ارتباطات کشور را به هم ریخته است زیرا تا قبل از این تاریخ بسیاری از مشترکان موبایل‌های اعتباری و دائمی برای خرید شارژ و پرداخت‌ قبوض از درگاه‌های USSD اپراتورهای موبایل یا شرکت‌های PSP استفاده می‌کردند اما اکنون درگاه‌ها قطع شده است.

اپراتور موبایل کشور سامانه دستوری با کد *1# دارد که خرید شارژ برای همراه اولی‌ها را ممکن می‌کند اما اکنون از دسترس خارج شده است.

کلیه مشترکان دائمی و اعتباری همراه اول تا پیش از اجرای این طرح می‌توانستند از این سرویس استفاده کنند.

روش پرداخت نیز به این صورت است که پس از درخواست خرید شارژ از جانب مشترک، مشترک به درگاه بانک اتصال یافته و می‌تواند با ارسال شماره کارت شتاب و رمز دوم، پرداخت خود را انجام دهد.

حال اگر مشترکان همراه اول به این سامانه متصل شوند با پیام "برای خرید شارژ یا پرداخت قبض به سایت همراه اول یا مرکز تماس 9990 مراجعه فرمایید" مواجه می‌شوند.

همراه اول در حالی خود را مقید به تبعیت از ابلاغیه شاپرک بنا به درخواست بانک مرکزی کرده که اپراتور دوم ارتباطی نیز سامانه مشابهی با کد *7# دارد و مشترکان ایران‌سل می‌توانند از این طریق به خرید شارژ اقدام کنند و همچنان نیز این سامانه سرپاست.

ظاهراً بانک مرکزی با چنین مصوبه‌ای به‌دنبال سامان‌دهی بخش پرداخت در کشور بوده و می‌خواهد کلیه پرداخت‌ها را منظم و از طریق درگاه‌های بانکی انجام دهد؛ البته گفتنی است که سامانه‌های دستوری اپراتورها نیز بعد از تقاضای مشترک برای خرید شارژ یا پرداخت قبض به درگاه‌های بانکی متصل می‌شود و عملیات پرداخت را انجام می‌دهد.

«یو‌اس‌اس‌دی» را بکش!

يكشنبه, ۱۹ مهر ۱۳۹۴، ۱۱:۳۰ ق.ظ | ۱ نظر

رضا قربانی -  هنوز نه خبر رسمی منتشر شده نه بیانیه رسمی. هنوز نه درسایت بانک مرکزی و نه در سایت شاپرک چیز قابل استنادی پیدا نمی‌شود. حتی تکذیبی هم از طرف کسی صورت نگرفته، همه‌چیز در هاله‌ای از ابهام است.

نامه‌ای مشکوک با سربرگ شاپرک در شبکه‌های اجتماعی دست به دست می‌شود که خبر از محدودیتی جدید برای روش یو‌اس‌اس‌دی می‌دهد. همین! دیدگاه من درباره یو‌اس‌اس‌دی که مشخص است. از مخالفان آن بوده و هستم و تصور می‌کنم بیشتر به درد مسابقه‌هایی مثل خنداننده برتر می‌خورد نه بانکداری و پرداخت. اما اینکه شمشیر «هاتوری هانزو» بی‌هدف و فقط به قصد کشت بالای سر کسی یا چیزی قرار بگیرد، اصلاً لذت‌بخش نیست!

این روزها کسی به مهمانی کسی هم که می‌رود از روزها قبل طرف را خبر می‌کند. چرا غافلگیری؟ چرا یک‌باره؟ چرا انقلابی؟ چرا بدون هیچ‌‌گونه پیش‌زمینه قبلی! انقدر همه‌چیز مبهم است که حتی این احتمال هم هست که فردا یکی از بانک مرکزی بیاید جلوی دوربین و بگوید اصلاً هم چنین چیزی نبوده و این یک شوخی بی‌مزه در شبکه‌های اجتماعی بود و همه سرکار بودید و از فردا روز از نو روزی از نو!

عادت داریم کاری کنیم که بیخودترین چیزها قهرمان شوند. حالا همه فکر می‌کنند یو‌اس‌اس‌دی چه ابزار شاهکاری بوده است که این‌طوری ممنوع شده است. اینکه کسب‌وکارهای متعددی روی این ابزار ناامن، رشده کرده تقصیر مستقیم شخص آقای بانک مرکزی است و نه هیچ‌کس دیگر. حالا  آقای بانک مرکزی به جای پذیرفتن مسوولیت شمشیر «هاتوری هانزو»یش را برداشته و افتاده به جان یو‌اس‌اس‌دی. یو‌اس‌اس‌دی که مهم نیست و همه می‌دانند ناامن است و تجربه کاربری پایینی دارد.

چه تضمینی هست که این شمشیر اکنون غلاف شده دوباره سر بزنگاهی دیگر از نیام بیرون کشیده نشود و بر سر کسی دیگر فرو نیاید؟ بله! بانک مرکزی خودش را به انواع ابزارهای قتاله مجهز کرده و در مواقع لزوم هر کسی و هر چیزی را که لازم بداند قلع و قمع می‌کند. آقای بانک مرکزی تصور می‌کند که همه چیز سینمایی‌طور است و مثل «بیل را بکش» می‌تواند یک فهرست بگذارد جلویش و همه را بکشد تا برسد به غول آخر. متأسفانه دعواهای بانک‌ها با یکدیگر هم این رفتار بانک مرکزی را توجیه می‌کند.

باز تأکید می‌کنم که یو‌اس‌اس‌دی جای دفاع ندارد و دیر یا زود باید از شبکه بانک و پرداخت ما بیرون می‌ر‌فت، اما الزامات کسب‌وکار باید این را تعیین می‌کرد نه دستور از بالا. بهتر نیست آقای بانک مرکزی به جای پس‌‌روی و دنباله‌روی و در هر محفلی نشستن آمارها و نام‌های سرهم‌شده سامانه‌های ملی را گفتن کمی به این فکر کند که آیا بهتر نیست بستر کسب‌وکار مالی را فراهم کند و بگذارد همه چیز با موتور محرکه کسب‌وکار جلو برود و هرچند وقت یک‌بار با بهانه «امنیت» و «امنیتی» نکوبد بر سر کسب‌وکارها؟ اینکه مردم از بانک مرکزی جلوترند تقصیر کیست؟ مردم؟

(منبع:عصرارتباط)

مینا والی - درحالی‌که هرروز شاهد حجم گسترده تبلیغات برای خدمات USSD هستیم حالا از شاپرک خبر رسیده است که از 15 مهرماه برخی از خدمات USSD محدود می‌شود. بنا بر اعلام شرکت شبکه پرداخت کارتی، از  15 مهر دریافت موجودی حساب از طریق موبایل با کدهای USSD شرکت‌های ارایه‌دهنده خدمات پرداخت مسدود می‌شود و مبلغ پرداخت قبوض و خرید شارژ نیز از این طریق محدود خواهد شد.

این اقدام جدید بانک مرکزی انتقادهایی را در پی داشته است. این انتقادها بیشتر از طرف کسب‌وکارهای فعال بر پایه USSD مطرح می‌شوند و این شرکت‌ها شاکی شده‌اند که چرا به‌یک‌باره بانک مرکزی چنین تصمیمی گرفته است آن‌هم بعد از پا گرفتن کسب‌وکارهایی که بر پایه این کانال فعالیت می‌کنند.

اقدام جدید بانک مرکزی البته موافقانی هم دارد آنهایی که به USSD به چشم یک کانال ناامن در پرداخت و بانکداری الکترونیکی می‌نگرند.

اما هر دو دسته موافقان و مخالفان در یک‌چیز اتفاق‌نظر دارند و آن‌هم برخورد چکشی بانک مرکزی با USSD است. این اولین باری نیست که این بانک از فناوری و مردم عقب‌مانده و تازه بعد از بزرگ شدن و گسترش آن و احساس خطر به فکر مهار آن افتاده است.

البته در این میان برخی خبر از موقتی بودن این ابلاغیه می‌دهند، ابلاغیه‌ای که در پی ارسال نامه‌نگاری‌های پلیس فتا و دادستانی درباره ناامن بودن کانال USSD به بانک مرکزی، صادر شد. بنابراین طبق این اخبار محدودیت‌ها تا زمانی که شاپرک طرح‌های خود را برای امن کردن کانال USSD ارایه دهند ادامه خواهد داشت.

USSD محدود می‌شود

بنا بر اعلام شاپرک این محدودیت‌ها شامل ممنوعیت تراکنش‌های خرید از درگاه موبایل، کاهش سقف تراکنش‌های پرداخت قبض و خرید شارژ تا روزانه 200 هزار تومان، ممنوعیت تراکنش مانده‌گیری از طریق تمامی درگاه‌هایی که نیاز به استفاده از کارت ندارند، خصوصاً تراکنش‌های موبایلی می‌شود. البته در این میان دریافت موجودی از طریق کدهای USSD هر بانک برای دارنده حساب همان بانک همچنان برقرار خواهد بود.

مخالفان چه می‌گویند؟

همان‌طور که گفته‌شد اغلب مخالفان اعمال محدودیت برای USSD شرکت‌ها و استارت‌آپ‌های فعال در این حوزه هستند. به لطف تبلیغات گسترده چند شرکت پرداخت برای کدهای USSD دیگر کمتر کسی در کشور پیدا می‌شود که کاربردهای این روش را نداند.

USSD که مردم به آن ستاره مربع هم می‌گویند نه‌تنها برای گرفتن موجودی، خرید شارژ و پرداخت قبض به کار می‌آید که حتی مردم برای انتخاب خنداننده برتر هم از این کدها استفاده می‌کنند. بنابراین دور از انتظار نیست که افرادی به فکر بهره‌برداری از این کانال بیفتند و کسب‌وکارهایی هم بر پایه آن شکل بگیرد.

حالا فکرش را بکنید که بعد از سرمایه‌گذاری روی ایده‌ها و نوآورهایی در این زمینه به‌یک‌باره خبردار شوید که قرار است این کانال محدود شود؛ بعید نیست که قدم بعدی محدودیت بیشتر و بیشتر آن باشد. بنابراین تمام سرمایه‌گذاری‌تان به خطر می‌افتد.

مخالفان می‌گویند درصد بالایی از درآمد چند شرکت پرداخت یا PSP از طریق همین کانال USSD به دست می‌آید که محدودیت آن، این شرکت‌ها را مجبور به سوییچ به سمت درآمدهای دیگر می‌کند. همچنین آماری که این دسته اعلام می‌کنند نشان می‌دهد که نزدیک 70 درصد تراکنش آنلاین اعلامی شاپرک مربوط به USSD است.

یکی از کارشناسان حوزه بانکداری الکترونیکی می‌گوید: «راه‌حلش این بود که USSD سر جایش باشد و در همین اثنا هم فکری به حال زیرساخت‌های فنی و رگولاتوری و قانونی و ... پرداخت موبایل و آنلاین می‌شد. کلاً ما داریم در کشور عادت می‌کنیم که یک کسب‌وکاری را همین‌طور بی‌حساب‌وکتاب راه بیندازیم، بزرگ که شد کنترلش سخت شد به مشکل می‌خوریم. خب طبعاً هر راهی که فکر و تلاش نخواهد راحت‌تر است. بستن با این مدل فکر و تلاش نمی‌خواهد. بنابراین شیرفلکه را با یک دستور نیم‌بند می‌بندیم.»

یکی دیگر از کارشناسان بانکداری الکترونیکی با انتقاد از مطرح‌شدن بحث امنیت درباره USSD می‌گوید: «من تعجب می‌کنم، اگر بستر USSD امن نیست، از ابتدا باید جلوی راه‌اندازی‌اش گرفته می‌شد. من به‌عنوان کوچک‌ترین فرد در این صنعت، یک سالی هست با این بازار و هزار جور سختی و مشکل و صرف هزینه‌های سنگین برای درآمدزایی دارم برنامه‌ریزی می‌کنم، کلی پول از بیت‌المال صرف شده، کجای دنیا یک‌شبه تصمیم می‌گیرند یک قانون وضع کنند و مدل‌سازی بازار چند شرکت را نابود کنند.»

او ادامه می‌دهد: «کجای دنیا راه درآمدزایی را باز می‌کنند و بعدازاینکه از یک سری رانت استفاده شد و بقیه شرکت‌ها کلی برای بازارسازی هزینه کردند، ناگهان می‌گویند نه این غلط است و یک کار دیگر کنیم. به نظرم اگر مشکل کارمزدی هست که شاپرک دارد پرداخت می‌کندحذفش کنند، من و امثال من در توسعه بازار و بازاریابی بلدیم بدون کارمزد هم پول دربیاوریم، ولی اینکه یک‌شبه دری را ببندند که راه‌حل نیست.»

تحلیل اکثر کارشناسان این است که اقدام بانک مرکزی در محدود کردن خدمات USSD به دلیل بحث امنیت است اما مخالفان می‌گویند راه‌حل این مساله حذف یا محدودیت آن نیست بلکه با استفاده از راه‌حل‌های مختلفی می‌توان این تراکنش‌ها را امن کرد. مثلاً از سیم‌کارت اپراتور و کلیدهای امنیتی بانک‌ها می‌توان استفاده کرد که قبلاً به رگولاتور ارایه ‌شده ولی مورد اقبال قرار نگرفته است. همین‌طور اگر مساله فِراد است، راه‌حل‌های «فِراد دیتکشن» وجود دارد.

یاسر قلیشلی، کارشناس پرداخت الکترونیکی دراین‌باره پیشنهاد می‌دهد: «بانک مرکزی برای رفع معضلات فوق، نمی‌تواند به‌راحتی به حذف صورت‌مساله بپردازد و با یک دستورالعمل ممنوعیت ایجاد کند. بلکه باید با ایجاد و تشریح راه‌کارهایی، ابزار فوق‌الذکر را برای بهره‌برداری آماده کمد. به‌طور مثال با استفاده از secure ussd و یا استفاده از applet مبتنی بر سیم‌کارت (sim tool kit و یا stk)، می‌توان معضل ناامنی را حل کرد.»

نظر این دسته از کارشناسان این است که ابتدا باید راه‌حلِ جایگزین ارایه می‌شد و توسعه می‌یافت و بعد اقدام به محدودیت می‌شد.

موافقان چه می‌گویند؟

اما موافقان اقدام بانک مرکزی هم استدلال‌های خود را دارند، بزرگ‌ترین ایراد وارد به USSD ازنظر آنها، ناامن بودن این کانال است. مشکل به زبان ساده این است که اطلاعات کاربر در زمان استفاده از USSD بدون کدشدن به اپراتور فرستاده می‌شود. درواقع شما زمانی که از مثلاً خودپرداز استفاده می‌کنید رمزتان به‌صورت کد درمی‌آید که دسترسی به آن بسیار پیچیده است و تابه‌حال کسی نتوانسته به این سیستم نفوذ کند. اما در استفاده از USSD زمانی که مثلاً رمز دوم کارتتان را وارد می‌کنید این رمز به همان شکل یا اصطلاحاً به‌صورت clear text به اپراتور فرستاده می‌شود و بنابراین شما اگر یک‌بار هم از این کانال استفاده کرده باشید رمز دومتان در اختیار اپراتورتان است و اگر کسی بتواند bts اپراتور را هک کند به این اطلاعات دست می‌یابد.

باوجودی که بسیاری از کارشناسان بانکی معتقدند که کانال USSD یک کانال ناامن برای پرداخت الکترونیکی است، در کشور ما استفاده از این کانال رشد بالایی نسبت به کشورهای توسعه‌یافته داشته است. آمارهای بانک مرکزی نشان می‌دهد که شرکت‌های ارایه‌دهنده خدمات پرداخت در شش ماه ابتدای سال بیش از 736 میلیون تراکنش از طریق درگاه موبایل انجام داده‌اند که این تراکنش‌ها در سه سرویس مانده‌گیری، خرید، پرداخت قبض و خرید شارژ بوده است.

درحالی‌که با استناد به همین آمار مخالفان اقدام بانک مرکزی ناامن بودن کانال ستاره مربع را زیر سوال می‌برند و کاربرد گسترده آن در کشورهای توسعه‌نیافته مانند کشورهای آفریقایی را مثال می‌زنند، موافقان هم در پاسخ می‌گویند در آفریقا امنیت پول نقد پایین است، تخصص‌ها کم و ضریب نفوذ فناوری پایین است و به همین دلیل در این کشورها استفاده از USSD می‌تواند توجیه داشته باشد. بنابراین در کشور ما باوجود کانال‌های دیگر نمی‌توان جا افتادن یک روش غلط را نشان از بی‌اشکال بودن آن دانست.

از طرف دیگر یکی از موافقان در پاسخ به این گلایه فعالان USSD می‌گوید: «اینکه به خاطر اشکال در مدل کسب‌وکار پرداخت کشور و برای سودده کردن برخی شرکت‌ها از یک روش غلط استفاده کنیم به نظر من می‌شود غلط در غلط. باید نظام کارمزد خدمات پرداخت الکترونیکی ایجاد شود نه اینکه از یک روش غیرمنطقی به شرکت‌ها باج داد.»

انتقاد از کانال USSD از سمت برخی کارشناسان آن‌قدر بالا می‌رود که ستاره مربع‌ها را قمارخانه می‌نامند و محدودیت‌های اعمال‌شده از طرف بانک مرکزی را پایان قمارخانه ستاره مربع‌ها می‌دانند. تبلیغات گسترده برای ستاره مربع‌ها و جایزه‌های آن‌چنانی برای کاربران آنها باعث ترغیب کاربران به جذب امتیاز بیشتر و گرفتن موجودی و خریدن شارژ بی‌مورد می‌شود که هم فشار زیادی به شاپرک، شتاب و سوییچ صادرکننده می‌آورد و هم بانک‌های صادرکننده را متحمل پرداخت کارمزد. جالب‌تر از همه اینکه این وسط اپراتورها هستند که بالاترین درصد و حتی تا 80 درصد کارمزد را به جیب می‌زنند.

خطرِ کدهای بی‌مجوز

حالا در این میان، شنیدن اینکه 15 کد غیرمجاز USSD در کشور وجود دارد درحالی‌که تعداد شرکت‌های ارایه‌دهنده خدمات پرداخت دارای مجوز فقط 12 شرکت است دلواپسان امنیت پرداخت را به وحشت می‌اندازد. حامد منصوری، مدیرعامل یکی از شرکت‌های پرداخت دراین‌باره می‌گوید: «اگر این کدها در اختیار مردم قرار گیرد امنیت به‌شدت در معرض خطر قرار می‌گیرد.» او درباره اهمیت امنیت در این حوزه می‌گوید: «عدم امنیت به‌مرور حس بی‌اعتمادی ایجاد می‌کند در این راستا رگولاتور پولی که به‌عنوان نهاد نظارتی محسوب می‌شود متولی برقراری امنیت است و شرکت شاپرک که زیرمجموعه بانک مرکزی است هر سه ماه یک‌بار شرکت‌های پرداخت را مورد ممیزی قرار می‌دهد.»

درنهایت با توجه به نکات مورد اشاره موافقان و مخالفان محدود شدن خدمات USSD، به نظر می‌رسد مهم‌ترین نکته اقدام غافلگیرانه بانک مرکزی باشد که هر دو دسته مخالف چنین اقدامات بی‌مقدمه‌ای هستند، اقدامی که برخی از کسب‌وکارها را به‌شدت تحت تأثیر قرار می‌دهد. گرچه چنین تصمیمی می‌تواند قدم اول برای اصلاح مشکلات این کانال و یا جایگزینی راه‌حل‌های مناسب‌تر باشد اما بانک مرکزی بهتر بود زودتر از این‌ها و قبل از اینکه این بستر به این اندازه رشد می‌کرد به فکر مهار آن می‌افتاد.(منبع:عصرارتباط)

شاپرک پرداخت قبوض از طریق USSD را ممنوع کرد

سه شنبه, ۱۴ مهر ۱۳۹۴، ۱۲:۲۷ ب.ظ | ۱ نظر
روز گذشته برخی پایگاه‌های خبری، بخش‌نامه‌ای مهم اما مبهم را از قول شرکت شاپرک منتشر کردند که بر اساس آن ارایه خدمات مانده‌گیری و پرداخت قبوض از طریق تلفن همراه و بر بستر شرکت‌های ‌PSP و با استفاده از کدهای USSD (درگاه‌های موبایلی) ممنوع شده است. شرکت شاپرک در اطلاعیه کوتاه خود دلیل این اقدام را ترس از حفره‌های امنیتی و به خطر افتادن اطلاعات حساب کاربران عنوان و عامل صدور این بخشنامه را «توصیه بانک مرکزی » عنوان کرده است.
بر این اساس از نیمه ماه جاری دریافت موجودی حساب از طریق موبایل با کدهای USSD شرکت‌های ارایه دهنده خدمات پرداخت مسدود می‌شود و مبلغ پرداخت قبوض و خرید شارژ نیز از این طریق محدود خواهد شد. در این بخشنامه تاکید شده از تاریخ 15 مهر سال جاری هرگونه تراکنش خرید از درگاه موبایل ممنوع خواهد بود، همچنین سقف تراکنش‌های پرداخت قبض و خرید شارژ در بستر USSD از تاریخ مذکور روزانه 200 هزار تومان  است و تراکنش مانده‌گیری از طریق کلیه درگاه‌هایی که نیاز به استفاده از کارت ندارند، خصوصا تراکنش‌های موبایلی به طور کامل ممنوع است. در این بخشنامه البته تاکید شده است دریافت موجودی از طریق کدهای USSD هر بانک برای دارنده حساب همان بانک همچنان برقرار خواهد بود.
 
  تکلیف کسب و کارهای ایجاد شده چه می‌شود 
اما این بخشنامه اگر با رعایت نکاتی همراه می‌شد و توضیحات مفصل و قانع کننده در مورد دلایل امنیتی این کار ارایه می‌شد شاید می‌توانست برخی منتقدان را قانع کند. یکی از مسایلی که در این حوزه وجود داشت اجاره این کدها از سوی برخی شرکت‌ها به شرکت‌های دیگر بود. به این ترتیب رمز دوم و سایر اطلاعات حساب مشترکان این سرویس‌ها در اختیار ارایه دهندگان قرار می‌گرفت و به نوعی درجه امنیت پایینی داشت که پیش‌تر هم مورد انتقاد قرار گرفته بود. اما برخورد شاپرک با این مسئله به این شکل، انتقادهای جدی به همراه داشته است. چند سال است که این خدمات انجام می‌شود و تبلیغات گسترده‌ای هم در این زمینه انجام شده و شرکت‌هایی در این خصوص سرمایه‌گذاری کرده‌اند. با این بخش‌نامه بخشی از این کسب و کارها به خطر می‌افتد و طبیعی است که فعالان این عرصه انتظار داشته باشند قبل از تصمیم گیری و صدور این بخش‌نامه‌ها با این شرکت‌ها هم جلساتی برگزار می‌شد و به نوعی فکری برای جلوگیری از به خطر افتادن کسب‌ و کارهای ایجاد می‌شد. اما این اتفاق نیافتاده و هر چه هست همین بخشنامه ناقص است. 
این در حالی است که شرکت‌های ارائه دهنده خدمات پرداخت یا همان ‌PSPها در شش ماه ابتدای سال در حدود 736 میلیون و 717 هزار و 955 تراکنش از طریق درگاه موبایل انجام داده‌اند که این تراکنش‌ها در سه سرویس مانده‌گیری، خرید، پرداخت قبض و خرید شارژ بوده است و حالا معلوم نیست در شرایط جدید تکلیف این شرکت‌ها چه می‌شود. 
امن نبودن تراکنش‌های USSD داستان جدیدی نیست. دست‌کم بیش از سه سال است که بانک‌ها بر بستر کدهای USSD در بازار  فعال هستند. اما سوال این است که بانک مرکزی طی این سه سال و قبل از فراگیری و گسترده‌شدن خدماتی از این دست، چرا اقدامی صورت نداد. این در حالی است که اکنون و بر اساس خدمات تعریف شده،  کسب و کارهایی با تراکنش‌های چند صد میلیون ایجاد شده و شرکت‌هایی در این مسیر سرمایه‌گذاری محوری و حیاتی انجام داده‌اند.
 
  آیا جایگزینی داریم؟
در همین حال کیف پول الکترونیکی و سپاس حدود چهار سال است که در راهروهای بانک مرکزی بدون تکلیف هستند. طرح‌های پرداخت موبایلی بدون سرنوشتی مشخص همچنان در دست بررسی هستند. لیکن اگر این طرح‌ها پیاده سازی شده بود شاید مشکل  جایگزینی این خدمت وجود نداشت اما در حال حاضر به نظر نمی‌رسد جایگزینی آن به این راحتی امکان‌پذیر باشد. 
بر اساس این گزارش طی شش ماه اول سال جاری حدود 700 میلیون بار شبکه بانکی، اطلاعات محرمانه کارت را از شبکه خارج کرده تا 700 میلیون تراکنشUSSD شکل گیرد. هر تراکنش در این بستر به معنای آن است که اطلاعات محرمانه کارت از جمله رمز دوم و.. به سمت اپراتورهای موبایل رفته و تراکنشی به ثمر رسیده است. البته اپراتورها معتقدند که اقدامات مقتضی را به عمل آورده‌اند اما امکان بازدید به رگولاتور مالی کشور را نمی‌دهند. از این رو گفته می‌شود، همین مساله باعث شده که نگرانی‌های امنیتی بالا بگیرد و همین نگرانی‌ها و ترس از تکرار ماجرایی مانند شرکت انیاک، شاپرک را وادار به انجام عملی پیشگیرانه کرده است.(منبع:فناوران)