اینتک برگزیده نخستین جشنواره ملی رضایتمندی بانک و بیمه شد و نشان عالی رضایتمندی مشتریان را از آن خود کرد

اینتک برگزیده نخستین جشنواره ملی رضایتمندی بانک و بیمه شد و نشان عالی رضایتمندی مشتریان را از آن خود کرد

به گزارش روابط عمومی شرکت اینتک، در مراسم اولین جشنواره ملی رضایتمندی مشتری که روز ۲۹ آذر ماه سال‌جاری در مرکز همایش‌های بین‌المللی صدا و سیما برگزار شد، نشان عالی این جشنواره از سوی دکتر مرتضی بانک؛ معاون کل نهاد ریاست‌جمهوری به مهندس پژمان قادری قائم مقام مدیرعامل شرکت اینتک اهدا شد.

2222

در این جشنواره، بردیا دارایی رئیس هیئت مدیره شرکت اینتک به‌ عنوان شرکت حامی از سوی محمد جعفری رییس انجمن ملی حمایت از حقوق مصرف‌کنندگان و محمد موحدی ساوجی مدیرکل حقوقی وزارت امور اقتصادی و دارایی مورد قدردانی قرار گرفت.

این جشنواره نیازسنجی،ارائه خدمات مطلوب و رعایت حقوق مادی و معنوی مشتریان دردستگاه های اجرایی با هدف تبیین رعایت حقوق مصرف کنندگان درحوزه وبانک و بیمه را مورد سنجش و ارزیابی قرار داد.

شرکت اینتک به عنوان شرکتی پیشرو و خلاق در حوزه راهکارهای پرداخت در نظام بانکی کشور در رده برترین های این ارزیابی قرار گرفت و موفق به اخذ تندیس و لوح شد.

22

4444

امنیت در پرداخت‌های USSD و تحلیل ابلاغیه شاپرک

امنیت در پرداخت‌های USSD و تحلیل ابلاغیه شاپرک

امروزه تلفن همراه تبدیل به جذاب‌ترین گجت الکترونیکی شده است، بسیاری از خدمات الکترونیکی به‌صورت روزمره بر بستر هوشمند این ابزار ارائه می‌گردد و به نحوی تک‌تک افراد جامعه را وابسته به خود نموده است، اما اولین تلفن همراه که توسط شرکت موتورولا در سال ۱۹۷۹ ساخته شده بود فقط امکان برقراری تماس صوتی را داشت و حتی قابلیت ارسال پیامک متنی ساده در آن وجود نداشت.

با افزوده شدن امکاناتی نظیر دوربین عکاسی، اتصال به اینترنت و مرور صفحات وب و ایجاد سیستم‌های عاملی با قابلیت تولید نرم‌افزارهای کاربردی بر روی تلفن‌های هوشمند، تلفن همراه جایگاهی تحت عنوان محبوب‌ترین گجت الکترونیکی در دنیا پیدا نمود.

در طی سال‌های ۲۰۰۱ تا ۲۰۰۷ صنعت مخابرات شاهد تولد و بلوغ سیستم‌عامل‌های گوناگونی برای تلفن‌های هوشمند بودند مانند Palm OS، MS-Windows CE، ‌‌BlackBerry، Symbian و iOS که خصوصیات این گجت محبوب را بیش‌ازپیش به یک رایانه شبیه می‌نمود. این تغییرات به‌عنوان انقلابی در صنعت مخابرات و ارائه خدمات الکترونیک محسوب می‌شد و سبب گردید که تلفن همراه نفوذ خود را در زندگی روزمره افراد بیشتر نماید.

این انقلاب توجه صاحبان کسب‌وکار را نیز به خود جلب نمود، به‌طوری‌که تلفن همراه هوشمند تحت عنوان درگاهی جدید برای ارائه خدمات الکترونیک توسط این شرکت‌ها قرار گرفت. خدمات بانکداری الکترونیک و پرداخت الکترونیک نیز بخش عمده‌ای ازاین‌گونه خدمات را به خود اختصاص داده‌اند ولی در کشور ایران همچنان زیرساخت‌های انتقال داده بر بسترهای اپراتورهای تلفن همراه به بلوغ کامل جهت ارائه خدمات الکترونیکی نرسیده‌اند و لذا بسیاری از قابلیت‌های تلفن‌های هوشمند یا قابلیت استفاده ندارد و یا فقط در شهرهای بزرگ تحت پوشش شبکه ۳G قابل‌ارائه هستند درنتیجه همچنان SMS و USSD جهت ارائه خدمات الکترونیک و بانکی موردتوجه و استفاده گسترده قرار می‌گیرند و نیاز است تا بررسی دقیق و اجمالی در این خصوص انجام گیرد.

برگی از تاریخ خدمات پرداخت بر بستر تلفن همراه

مهم‌ترین نیاز توسعه خدمات الکترونیکی بر روی تلفن همراه هوشمند، وجود بستر انتقال اطلاعات مناسب بود که در کشور ایران چنین بستری در زمان ورود این گجت الکترونیکی وجود نداشت و ارائه این‌گونه خدمات را سال‌ها به تعویق انداخت. این مشکل سبب گردید که پروتکل SMS در سال ۱۳۸۶ به‌عنوان بستر ارائه خدمات الکترونیک و ارزش‌افزوده در ایران مورداستفاده قرار گیرد.

در این دوران حوزه خدمات بانکداری و پرداخت الکترونیک شاهد تولد محصولات جدیدی بود، بانک‌ها و شرکت‌های PSP در این سال‌ها اقدام به ارائه خدمات خود بر روی تلفن‌های همراه با استفاده از SMS نمودند. خدماتی نظیر SMS بانک، پرداخت قبوض از طریق SMS و نرم‌افزارهای موبایل بانک مبتنی بر SMS روزبه‌روز بیشتر توسط بانک‌ها توسعه داده می‌شدند. ولی یک موضوع همیشه نقطه ابهام و توجه مشتریان بانک‌ها بود، آیا استفاده از این خدمات تهدیدات امنیتی دارد؟ آیا این خدمات قابل‌اعتماد هستند؟

در سال ۱۳۸۷ برای اولین بار و به‌صورت آزمایشگاهی، USSD به‌عنوان بستر جدید ارائه خدمات بانکی به بوته آزمایش گذاشته شد و تیمی از کارشناسان حوزه بانکی و مخابرات برای اولین بار محصولی خلق نمودند که در سال ۱۳۸۹ به‌صورت تجاری درآمد و به‌وسیله یکی از شرکت‌های PSP شروع به ارائه خدمت نمود. مدل ارائه‌شده بسیار امن و مناسب‌تر برای ارائه خدمات پرداخت الکترونیک بود طوری که بسیار موردتوجه کاربران قرار گرفت. این روش ازنظر امنیتی کاملاً توسط بانک مرکزی موردقبول واقع شد و استاندارد امنیتی PCI-DSS را تا حد بسیار مطلوبی پوشش می‌داد.

حال پس از حدود ۵ سال که از تولد این محصول در صنعت بانکی کشور می‌گذرد، بسیاری از کارشناسان در خصوص ارائه خدمات توسط USSD مسائل امنیتی را موردبحث قرار داده‌اند و شاپرک نیز در اقدامی ضربتی، خدمات این حوزه را محدود یا ممنوع کرده است. در این مقاله سعی شده است تا با نگاهی موشکافانه و کارشناسی مسائل امنیتی در حوزه ارائه خدمات پرداخت بر بستر USSD را موردبررسی و بازبینی قرار دهیم تا به بسیاری از سؤالات و ابهامات پاسخ داده شود. (لیست کدهای USSD بانکی و پرداخت را از اینجا ببینید.)

اعتماد و امنیت در سیستم‌های تجارت الکترونیک و پرداخت‌های کارتی

در سیستم‌های الکترونیکی و خدمات الکترونیک، کلیه فعالیت‌ها و محتوی خدماتی توسط پروتکل‌ها و ابزارهای الکترونیکی تولید و منتقل می‌گردند. این اطلاعات شامل انواع فایل‌ها و داده‌های چندرسانه‌ای می‌باشند. در حوزه خدمات پرداخت و تجارت الکترونیک نیز اطلاعات مربوط به سفارش خرید و تراکنش مالی بر این بسترها منتقل می‌گردند. با توجه به وجود انواع تهدیدات امنیتی موجود در بسترهای انتقال اطلاعات، لازم است تا مکانیسم‌هایی برای به حداقل رساند تأثیرات و مخاطرات این تهدیدات پیاده‌سازی گردند تا بتوان امنیت این‌گونه خدمات را تضمین نمود.

مفهوم امنیت در تجارت الکترونیک در چند شاخه اصلی موردبحث قرار می‌گیرد که به‌عنوان خدمات امنیتی شناخته می‌گردند. در ادامه مطلب به بررسی بیشتر آن‌ها خواهیم پرداخت.

در سیستم‌های پرداخت الکترونیک مبتنی بر کارت‌های اعتباری و کارت‌های بدهی، کارت ابزار اصلی پرداخت است. به‌منظور امن‌سازی و تدوین استاندارهای یکپارچه در حوزه امنیت صنعت کارت مراجع و دستگاه‌های بین‌المللی وجود دارد. به‌طور خاص شورای بین‌المللی استانداردهای امنیتی پرداخت PCI (Payment Card Industry) به‌عنوان مرجع قانون‌گذار بین‌المللی در نظر گرفته می‌شود که در کلیه حوزه‌ها ابزار پرداخت، ابزار پذیرش کارت، نرم‌افزارهای پردازشگر تراکنش و محیط انتقال اطلاعات تراکنش استانداردهای گوناگونی را تدوین نموده است. استاندارد PCI-DSS (استاندارد امنیت داده‌های محیط انتقال و پردازش تراکنش)، استاندارد PA-DSS (استاندارد امنیت نرم‌افزارهای پرداخت) و استاندارد PCI-PTS (استانداردهای امنیتی مربوط به ماژول‌های سخت‌افزاری نقطه شروع تراکنش و ترمینال پذیرش کارت) به‌عنوان اصلی‌ترین استانداردهای مورداستفاده در سیستم‌های پرداخت الکترونیک هستند.

مهم‌ترین استانداردهایی که در خصوص سیستم‌های پرداخت توسط PSPها و شاپرک موردتوجه و پیاده‌سازی قرار می‌گیرد، استانداردهای PA-DSS و PCI-DSS است. استاندارد PCI-PTS مربوط به شرکت تولیدکننده دستگاه‌های پذیرش کارت‌های بانکی است. استاندارد PCI-DSS بیان می‌دارد که کلیه سازمان‌هایی که در تولید و انتقال و پردازش تراکنش با داده‌های کارت نقشی دارند می‌بایست الزامات امنیتی مشخصی را پیاده‌سازی نمایند.

با توجه به اینکه در شبکه‌های پرداخت موجود در ایران و سایر کشورهای دنیا از بسترهای مخابراتی مانند اینترنت، شبکه‌های دیتا شرکت مخابرات و اپراتورهای تلفن همراه برای انتقال تراکنش استفاده می‌گردد، نمی‌توان توقع داشت که ارگان‌های تأمین‌کننده این بسترها که غیر بانکی هستند، برای انتقال تراکنش‌های پرداخت، استاندارد PCI-DSS را پیاده‌سازی نمایند. چالش اصلی مورد در طراحی و پیاده‌سازی سیستم‌های پرداخت الکترونیک نیز همین است.

با استفاده از خدمات امنیتی می‌توان چالش ذکر شده را مدیریت نمود. خدمات امنیتی در سیستم‌های تجارت الکترونیک بر اساس زیرساخت کلید عمومی یا PKI (Public Key Infrastructure) پیاده‌سازی و ارائه می‌گردند. این خدمات شامل احراز هویت کاربر فرستنده اطلاعات (Authentication)، کنترل تمامیت و عدم امکان تغییر محتوی (Integrity)، محرمانگی اطلاعات (Confidentiality)، انکارناپذیر بودن محتوی و فرستنده توسط گیرنده (Non-Repudiation)، دسترسی‌های مجاز به داده‌ها (Access Control) بوده و برای تأمین امنیت در سیستم‌های تجارت الکترونیک موردنیاز هستند.

محرمانگی اطلاعات (Confidentiality)

بر اساس تعاریف موجود، در سیستم‌های تجارت الکترونیک، اطلاعاتی که درجه اهمیت بالا و حساس دارند باید فقط توسط افراد مجاز قابل‌دسترسی و خواندن باشد. این اطلاعات باید به نحوی از دسترس سایر افراد دور بوده و در تمامی مسیر انتقال محرمانه باقی بماند، مشابه نامه‌های محرمانه‌ای که در ادارات و سازمان‌ها منتقل می‌گردد.

برای این منظور از روش‌ها و پروتکل‌های رمزنگاری گوناگون استفاده می‌گردد. رمزنگاری دانشی است برای امن‌سازی محتوی توسط الگوها و الگوریتم ریاضی که بر اساس درجه اهمیت اطلاعات، متدولوژی‌ها و پروتکل‌های گوناگونی را در اختیار قرار می‌دهد. به کمک رمزنگاری، اصل متن پیام و محتوی اطلاعات به کمک کلید و الگوریتم ریاضی تبدیل به رمز می‌گردد و فقط توسط کسانی که الگوریتم و کلید رمزگشایی را در اختیار دارند قابل خواند خواهد بود.

رمزنگاری به‌صورت کلی به دو دسته متقارن و نامتقارن تقسیم‌بندی می‌گردد ولی موضوع پروتکل‌های رمزنگاری و مشخصات هرکدام بسیار مفصل بوده و از حوصله این مقاله خارج است. لازم به ذکر است که شیوه رمزنگاری، استفاده از رمزنگاری نامتقارن و زیرساخت کلید عمومی (PKI) است. با استفاده از خدمت محرمانگی و در صورت استفاده از الگوریتم متناسب می‌توان تا سطح بسیار بالائی اطلاعات تراکنش‌های مالی و سفارشات تجاری را از تهدیداتی نظیر تخریب، تغییر و خواندن غیرمجاز در زمان انتقال محافظت نمود.

احراز هویت کاربر فرستنده اطلاعات (Authentication)

در یک خدمت تجارت الکترونیکی که بر بستر شبکه انجام می‌گیرد، برای جلوگیری از هر نوع سوءاستفاده توسط هکرها و افراد غیرمجاز، نیاز است که یک شناسه‌ی غیرقابل تغییر که مدرک شناسایی فرستنده محتوی است به همراه محتوی ارسال گردد. به‌عنوان‌مثال در خدمات پرداخت الکترونیک، اگر فردی به‌جز فرد صاحب کارت یا حساب بخواهد درخواست انجام تراکنشی را برای بانک ارسال نماید، باید هویت وی را نشان دهد در غیر این صورت امکان پردازش تراکنش نباید داده شود تا از سوءاستفاده افراد غیرمجاز جلوگیری شود.

این خدمات امنیتی در حال حاضر در تراکنش‌های مبتنی بر کارت‌های مغناطیسی و بسته به نوع ترمینال و بستر انجام تراکنش توسط رمز اول، رمز دوم یا CVV2 و تاریخ انقضاء کارت پوشش داده می‌شود. این اطلاعات می‌بایست فقط در اختیار فرد دارنده کارت باشد در غیر این صورت سایر افراد نیز می‌توانند با داشتن این اطلاعات اقدام به انجام تراکنش به‌جای دارنده و مالک اصلی کارت نمایند. لذا در خدمت احراز هویت، هدف کنترل و شناسایی درخواست دهنده یا فرستنده تراکنش است. در زیرساخت کلید عمومی از امضاء دیجیتال و کلید خصوصی فرد فرستنده، اصالت هویت وی را می‌تواند تشخیص داد.

تمامیت، عدم‌تغییر محتوی (Integrity)

بسترهای عمومی انتقال داده‌های خدمات الکترونیکی مانند اینترنت در دسترس کلیه کاربران این خدمات قرار دارد. عمومی بودن این بستر سبب شده تا برخی افراد سودجو، خرابکار یا حتی بدافزارهایی مانند انواع ویروس‌ها، تهدیدات جدی برای خدمات تجاری و مالی محسوب گردند.

مجدد به یک مثال ساده در زمینه پرداخت الکترونیک می‌پردازیم. پیام‌هایی که برای یک تراکنش مالی منتقل می‌گردد، شامل فیلدهای اطلاعاتی بسیار مهمی است. اطلاعاتی مانند رمز دارنده کارت، مبلغ تراکنش، شناسه مربوط به پذیرنده و سایر اطلاعات حساس که هرکدام در زمان انتقال دچار تغییر شوند می‌تواند فاجعه‌بار باشد. فرض کنید محتوی مربوط به رمز کارت به‌وسیله بدافزار یا به علت خرابی شبکه دچار تغییر گردد، احراز هویت دارنده کارت با خطا مواجه می‌گردد. یا اگر مبلغ تراکنش دچار تغییر شود، مغایرت مالی رخ می‌دهد و اگر تغییری در شناسه مربوطه به پذیرنده رخ دهد، در فرآیند تسویه‌حساب اختلال و مغایرت روی می‌دهد. لذا مکانیسمی نیاز است که بتوانیم صحت و تمامیت اطلاعات را در مقصد کنترل نماییم.

در تجارت الکترونیک در دو حوزه، تمامیت محتوی تراکنش را کنترل می‌نمایند. حوزه اول، تمامیت و بی‌نقصی در محتوی (Content Integrity) یعنی محتوی در مقصد دقیقاً همانی باشد که در مبدأ ارسال شده است و دوم اصالت فرستنده (Integrity of Origin) یعنی اینکه مطمئن باشیم که خود فرد موردنظر، اطلاعات تراکنش را ارسال کرده است نه فردی به‌جای وی.

در تراکنش‌ها شبکه بانکی و تجارت الکترونیک، موضوع تمامیت محتوی توسط کلید MAC (Message Authentication Control) یا کلید کنترل اصالت پیام انجام می‌گیرد. این خدمت با استفاده از یک کلید اختصاصی و توافق شده بین مبدأ و مقصد تراکنش و توابع ریاضی درهم‌ساز (Hash) محتوی، پیاده‌سازی می‌گردند.

خدمات امنیتی و مکانیسم‌های ذکر شده، می‌توانند سایر خدمات امنیتی موردنیاز سیستم‌های تجارت الکترونیک را پوشش دهند. خدماتی مانند عدم انکار و کنترل دسترسی‌های غیرمجاز که همگی با زیرساخت PKI قابل پیاده‌سازی هستند.

امنیت در تراکنش‌های مالی بر بستر تلفن همراه

اصولاً تلفن همراه می‌بایست وسیله ارتباطی و تماس تلفنی سیار باشد، ولی بر اساس تکاملی که در سال‌های گذشته داشته است، خود را در بسیاری از حوزه زندگی روزمره کاربران وارد نموده است. حوزه بانکی و خدمات پرداخت نیز از موضوع مستثنا نمانده‌اند.

با توجه به حساسیت خدمات بانکداری، اولین و مهم‌ترین خصوصیت هر ترمینال و ابزار بانکی داشتن امنیت مناسب است. امن نمودن تلفن‌های همراه برای خدمات بانکی و پرداخت تاکنون بسیار موردتوجه کارشناسان حوزه امنیت سایبری و بانکداری بوده است ولی تاکنون راهکار جامع و قابل‌اطمینانی برای این منظور ایجاد نشده است. حتی PCI نیز تاکنون نتوانسته استاندارد امنیتی مناسبی را برای تلفن‌های همراه ارائه دهد و اصولاً تلفن‌های همراه را ازنظر سخت‌افزاری برای این منظور مجاز نمی‌داند. استفاده از زیرساخت کلید عمومی و پیاده‌سازی آن در تلفن همراه چالش اصلی طراحان راهکارهای بانکی است.

در زیر برخی از روش‌های امن‌سازی که در سال‌های اخیر در امن‌سازی راهکارهای پرداخت تلفن همراه مورداستفاده قرار گرفته است عنوان شده‌اند:

رمزنگاری داده‌های تراکنش در تلفن همراه با استفاده از کلید و استفاده از فضای سیم‌کارت به‌عنوان فضای امن نگهداری کلید
سیم‌کارت‌های UICC و شبیه‌سازی SE (Secure Element) به‌عنوان فضای امن نگهداری کلیدهای رمزنگاری
استفاده از اتصال امن بر SSL‌ بر بستر اینترنت و توکن‌های یک‌بارمصرف برای فعال‌سازی کد کاربری و ورود به App
استفاده از نرم‌افزارهای کاربردی با امکان رمزنگاری متقارن (روشی که بسیاری از موبایل بانک‌های مبتنی بر SMS‌ از آن استفاده کرده‌اند)
استفاده از شبیه‌سازی کارت به‌صورت نرم‌افزاری / مجازی و ثبت اطلاعات کارت در محیط امنی خارج از تلفن همراه و فراخوانی کارت به‌وسیله نام (Nickname) یا شناسه نگاشت شده به‌جای استفاده از شماره کارت (مدلی که در ابتدا برای خدمت USSD از آن استفاده می‌شد)
افزودن چیپ سخت‌افزاری SE جهت نگهداری کلید ‌(توسط شرکت اَپل) و پروتکل Tokenization
در بین روش‌های ذکر شده، مدل شبیه‌سازی کارت (مدل ۵) و استفاده از چیپ سخت‌افزاری SE (مدل ۶) بسیار کاربردی و موفق بوده‌اند. شرکت اپل با استفاده از ماژول سخت‌افزاری SE (Secure Element) برای نگهداری کلیدهای رمزنگاری و پروتکل Tokenization خود انقلابی در این صنعت به پا کرد و توانست برای کلیه iPhone های نسل ۶ به بعد امکان انجام تراکنش‌های پرداخت را با استفاده از واسط سخت‌افزاری NFC به‌صورت امن پیاده‌سازی کند ولی استفاده از این فناوری‌ها را محدود به مدل پرداختی خود یا همان Apple Pay نموده است و سایر راهکارهای بانکی مجوز استفاده از این زیرساخت را ندارند.

مدل ۴ در سال‌های گذشته توسط بانک‌های ایران بسیار استفاده شده است. این روش نیز تنها مقداری سطح امنیت را بالا می‌برد. در این روش از رمزنگاری متقارن بین App و سرویس‌دهنده اصلی استفاده می‌شود. کلید رمزنگاری در App به‌صورت نرم‌افزاری نگهداری می‌شود و تا زمانی که نرم‌افزار به‌روزرسانی نگردد امکان تعویض آن به‌صورت امن وجود ندارد. لذا مشکل اصلی در این روش عدم وجود فضای امن برای نگهداری کلید و عدم وجود زیرساخت تبادل و مدیریت کلید است و یک هکر با کمی تلاش می‌تواند هم از الگوی ثابت رمزنگاری پیام‌ها آگاه گردد و هم با استفاده از متن برنامه App به کلید رمزنگاری دسترسی پیدا نماید.

در مدل سوم عملاً از تلفن همراه و زیرساخت اپراتور برای امن‌سازی تراکنش و انجام تراکنش استفاده نمی‌گردد و نمی‌توان این راهکار را به‌عنوان راهکار امن‌سازی تراکنش‌ها تلفن همراه تلقی نمود، بلکه در این روش تلفن همراه کاملاً مانند یک دستگاه رایانه با استفاده از بستر اینترنت اقدام به ارائه خدمات بانکی می‌نماید. این روش در حال حاضر دارای امنیت مناسب بوده و موردپذیرش جامعه بانکی قرار گرفته است.

مدل ۵ یک شیوه شبیه‌سازی کارت بوده و به‌صورت خلاقانه‌ای برای اولین خدمت پرداخت با USSD پیاده‌سازی شد. در این روش اطلاعات کارت در یک پورتال اختصاصی خدمات USSD توسط شرکت PSP دریافت می‌شد و به سلیقه کاربر، یک نام برای کارت وی تخصیص می‌یافت. این روش به روش ثبت کارت شهرت داشت. با این روش، اطلاعات موردنیاز انجام یک تراکنش شامل نام کارت و رمز دوم بر بستر USSD منتقل می‌گشت و تا سطح مناسبی مصونیت دارنده کارت پوشش داده می‌شد. متأسفانه با گذشت زمان و ورود سایر کدهای USSD در حوزه خدمات بانکی، بانک مرکزی استفاده از این روش را نادیده گرفت و شرکت‌های PSP کلیه تراکنش‌ها را با دریافت اطلاعات شماره کارت و رمز دوم انجام می‌دادند. اتفاقی که در زمان خود نادیده گرفته شد و الآن سبب شده که شاپرک اقدامی ضربتی در خصوص محدودسازی و ممنوع سازی ارائه خدمات بر بستر USSD نماید.

تحلیل امنیتی پروتکل USSD و ارائه خدمات پرداخت مبتنی بر این بستر

در بخش‌های قبل ذکر شد که هیچ شبکه انتقال داده‌ای ضریب امنیتی ۱۰۰٪ نمی‌تواند داشته باشد، اما هر شبکه برای فراهم نمودن امنیت خود از راهکارهای خاصی استفاده می‌نماید. بستر انتقال تراکنش USSD استانداردهای امنیتی خاص خود را دارد. با توجه به اینکه اپراتور تلفن همراه ملزم به پیاده‌سازی استانداردهای PCI نیست لذا در طراحی این استانداردها به‌هیچ‌عنوان حساسیت داده‌های تراکنش‌های بانکی دیده نشده است؛ ولی بااین‌حال یکی از امن‌ترین شبکه‌های موجود در جهان شبکه‌های اپراتور تلفن همراه است. امنیت در این نوع شبکه‌ها از دیدگاه‌های مختلف موردتوجه قرار می‌گیرد؛ اما به‌طور کل دو نوع امنیت را می‌توان مورد واکاوی قرار داد: امنیت درون‌شبکه‌ای و امنیت برون شبکه‌ای.

در مورد دومی باید گفت سیستم‌های امنیتی تا حدی قدرتمند هستند که می‌توانند معدود مواردی که قابلیت تخریب و یا بروز مشکل برای آن‌ها را به وجود می‌آورد را ناچیز دانست اما امنیت درون‌شبکه‌ای به گونه دیگری موردبررسی قرار می‌گیرد که امنیت USSD نیز در این مقوله قابل‌تحلیل و بحث است. واقعیت این است که هرگونه اطلاعاتی که از سمت مشترک به سمت اپراتور انتقال میابد قابلیت شنود را دارد اما این بدان معنا نیست که اپراتور هر سیستمی (ماشین و یا انسان) دسترسی به این نوع اطلاعات را داشته باشد. بگذارید ببینیم درواقع USSD چگونه کار می‌کند.

در حالت سنتی (GSM) کدهای USSD به‌مانند SMS به‌صورت سیگنال به سمت شبکه اپراتور مخابره می‌گردد. این کدها درون شبکه SS7 تبدیل به دیتا می‌گردد. تا این نقطه به لحاظ امنیت درون‌شبکه‌ای هیچ مشکلی وجود ندارد. ولی از زمانی که پیام USSD با کدینگ ASCII یا UNICODE در بستر TCP-IP منتقل می‌گردند، قابلیت Log پیدا می‌کند. طبعاً Logهای مذکور قابل بازخوانی هستند. این اتفاقی است که در شبکه اپراتور موبایل به وقوع می‌پیوندد و طبعاً می‌تواند سبب نگرانی‌هایی سیستم بانکی یا دروازه پرداخت شود. لذا برای امن‌سازی تراکنش‌های انتقالی بستر USSD باید محیط امنی برای انتقال تراکنش ایجاد نمود که در آن اپراتور تلفن همراه در کل مسیر انتقال به‌صورت نامرئی باشد و حتی با Log برداری از اطلاعات تراکنش هیچ نوع سوءاستفاده‌ای از اطلاعات کارت افراد نتواند انجام دهد.

برای این کار تلاش‌هایی شده است که تاکنون توسط بانک مرکزی و شاپرک حمایت نشده‌اند. در حقیقت راهکارهای ارائه‌شده تاکنون به‌صورت آزمایشگاهی باقی مانده‌اند و نیاز است تا به‌صورت تجاری درآیند.

اگر بخواهیم خدمات امنیتی سیستم‌های تجارت الکترونیک را در یک پرداخت USSD مدل‌سازی نماییم، همچنان شماره کارت و رمز به‌عنوان ابزار شناسایی بانک و حساب دارنده و رمز کارت جهت احراز هویت وی بکار می‌رود و هیچ خدمت رمزنگاری و امنیتی دیگری برای محافظت از اطلاعات کارت وجود ندارد. همچنین مشخص نیست که دستور پرداخت توسط دارنده ثبت شده است یا اپراتور در حال انجام پرداخت به‌جای صاحب کارت است!

لذا دو خدمت امنیتی اساسی در مدل‌های موجود پرداخت با USSD نیاز است. یکی محرمانگی اطلاعات تراکنش در زمان انتقال بر بستر USSD و دیگری کنترل اصالت فرد پرداخت‌کننده در زمان پرداخت. برای رسیدن به امنیت در تراکنش‌ها USSD نیاز است تا خدمات امنیتی مناسبی پیاده‌سازی گردند. مشابه خدمت شبیه‌سازی کارت یا رمزنگاری اطلاعات USSD با کلید رمزنگاری ذخیره‌شده در فضائی امن مانند سیم‌کارت یا SE.

آیا قوانین جدید در خصوص محدودسازی خدمات پرداخت بر USSD مشکلی را حل می‌کند؟

در نیمه مهرماه سال جاری، شاپرک با ذکر موضوع صیانت از حقوق دارندگان کارت‌های بانکی، محدودیت‌هایی را در ارائه خدمات پرداخت بر بستر USSD به شرکت‌های PSP‌ ابلاغ کرد. تراکنش‌ها مانده‌گیری و خرید کالا و خدمات به‌طور کامل ممنوع شدند و تراکنش‌ها پرداخت قبوض و خرید شارژ نیز با سقف مبلغ ۲ میلیون ریال مجاز به پذیرش خواهند بود.

ولی آیا با اعمال این محدودیت‌ها، صیانت از حقوق دارندگان محقق می‌گردد؟ آیا در ۴ سال گذشته که میلیون‌ها تراکنش USSD انجام‌شده، اطلاعات کارت دارندگان اهمیتی برای بانک مرکزی و شاپرک نداشته است؟ آیا اطلاعات کارت دارندگان توسط اپراتورها ثبت و نگهداری شده است و امکان سوءاستفاده دارند؟ پاسخ تمامی این سؤالات واضح و مشخص است و تمامی کارشناسان حوزه بانکداری الکترونیک می‌دانند که با محدودسازی جدید، هیچ تغییری در حفاظت از اطلاعات کارت دارندگان صورت نمی‌پذیرد. همچنان اطلاعات کارت شامل شماره کارت و رمز بر بستر USSD به‌صورت حفاظت نشده برای تراکنش‌های خرید شارژ و پرداخت قبوض انتقال می‌یابند.

بزرگ‌ترین گاف در حوزه ارائه خدمات پرداخت با USSD زمانی رخ داد که مدل اولیه پیاده‌سازی خدمات پرداخت بر بستر USSD از سوی بانک مرکزی نادیده گرفته شد. مدل شماره ۵ که در راهکارهای امن‌سازی پرداخت‌های همراه ذکر شد. کارشناسان و طراحان اولین سامانه ارائه خدمات پرداخت USSD، با استفاده از مدل شماره ۵ کلیه نیازمندی‌های امنیتی ذکر شده در استاندارد PCI-DSS را به‌طور کامل پوشش دادند و برای اولین و آخرین بار مجوز رسمی فعالیت در این حوزه را از بانک مرکزی دریافت نمودند. ولی با ورودPSP های دیگر به این عرصه، بانک مرکزی بدون توجه به مدل شماره ۵ و مجاب نمودنPSP های تازه‌وارد به پیاده‌سازی آن، توجهی به مدل ارائه خدمات این شرکت‌ها ننمود. مدلی که همچنان بدون وجود کوچک‌ترین امنیتی برای ارائه خدمات پرداخت USSD در کل شبکه بانکی ایران استفاده می‌گردد. این موضوع سبب گردید که شماره کارت و رمز دوم به‌صورت حفاظت نشده بر بستر USSD انتقال یابد. در حقیقت بانک مرکزی و اداره نظام پرداخت که مسئولیت صدور مجوز و نظارت بر پروتکل‌ها و ابزارهای پرداخت و شرکت‌های PSP را بر عهده داشت در آن زمان از کنار این مسئله به‌سادگی گذشت. شرکت شاپرک هم در طی ۳ سال گذشته توجهی به موضوعات امنیتی در حوزه پرداخت USSD‌ نداشته و با تصمیم‌گیری عجولانه و ابلاغیه ضربتی و هماهنگ نشده باPSP‌ ها، پذیرندگان USSD را با ضرر و زیان مواجه نموده است.

محدودسازی جدید شاپرک نه‌تنها جلوی نقل‌وانتقال ناامن اطلاعات دارندگان را نگرفته است، بلکه نارضایتی و صدمات مالی زیادی را به ارائه‌دهندگان خدمات پرداخت و پذیرندگانشان تحمیل نموده است. با توجه به وضعیت فعلی بهتر است که شاپرک به این سؤالات پاسخ مناسب و قانع‌کننده‌ای ارائه دهد: آیا با این محدودیت‌های جدید، اطلاعات کارت مردم بر بستر USSD‌ امن شده است؟ چرا راهکار ارائه‌شده جهت ارائه خدمات پرداخت بر بستر USSD‌ که با مدل شبیه‌ساز کارت مورد حمایت برای امن‌سازی این بستر قرار نگرفت؟ چرا راهکارهای امنیتی مبتنی بر رمزنگاری و نگهداری کلید در سیم‌کارت یاApplet های رمزنگاری مبتنی بر سیم‌کارت مورد حمایت قرار نگرفتند؟ آیا بهتر نبود یک مهلت زمانی مناسب یا روشی جهت امن‌سازی ارائه می‌شد؟ و اما مهم‌ترین سؤال اینکه علت واقعی این اعمال محدودیت‌ها چیست؟

آینده خدمات USSD به کجا می‌رود؟

متأسفانه علیرغم اینکه پروژه USSD کار خود را به‌خوبی آغاز کرد اما با کمترین توجه به نکات امنیتی توسط شرکت‌های PSP توسعه یافت. جالب آنکه شرکت‌ها و مشاغلی که از سامانه‌های USSD برای کسب‌وکار خود بهره برده و می‌برند هرگز سعی ننموده‌اند به این نکته توجه داشته باشند که ارائه‌دهندگان اولیه این خدمت راهکارهای متعددی چه به لحاظ کاربری و چه ازنظر امنیتی بر این پروژه داشته‌اند.

به‌عبارتی‌دیگر می‌توان گفت تعجیل در ورود به بازار سبب شد تا نقاط کور و گره‌هایی که می‌توانست در آینده برای این خدمت به وجود آید و توسط متخصصین آن موردبررسی و ایده پردازی شده بود در سیستم باقی ماند.

درنهایت علامت سؤالی در مقابل امنیت داده‌ها و اطلاعات به وجود آمد؛ اما اکنون سؤال این است که آیا می‌توان USSD را امن نمود در حدی که سیستم بانکی کشور با نگاه مثبت‌تری به آن نگاه کند؟ پاسخ مثبت است شاید بهتر باشد یک بار دیگر تیم متخصصین نظریه‌پرداز، طراح و تولیدکننده اولیه USSD کشور دوباره گرد هم آمده و وضعیت موجود را موردبررسی قرار داده و راهکارهای سیستماتیک خود را جهت شفاف نمودن وضعیت USSD به متولیان و قانون‌گذاران مرتبط با این کسب‌وکار را ارائه دهند.

از ابتدابه‌ساکن اعتقاد بر آن بوده است که USSD یکی از بهترین روش‌های نقل‌وانتقال داده است مشروط بر آنکه از نگاه غیرتخصصی به فرایندهای آن نگاه نشود. در وضعیت موجود به‌طور جد می‌توان گفت وضعیت نقل‌وانتقال اطلاعات بر این بستر به‌طور اسفناکی نامطمئن است. بهترین پیشنهاد این است که بدون توجه به وضعیت فعلی به چند سال گذشته بازگشت و مسیر را باز مهندسی نمود. قطع به‌یقین با تغییر معماری فعلی به آنچه قرار بود انجام گردد به سرویس پاک USSD دست خواهیم یافت. در خصوص شیوه‌های امن‌سازی این سرویس روش‌هایی توسط این متخصصین طراحی شده است و امید است در آینده نزدیک شاهد پیاده‌سازی یکی از آن‌ها باشیم.

Untitled-1

نویسنده: آرش نکوئی‌مهر؛ کارشناس ارشد سیستم‌های تجارت الکترونیک

بردیا دارایی: پرسرعت‌ترین و کم‌هزینه‌ترین سوئیچ پرداخت کشور را نوشتیم

بردیا دارایی: پرسرعت‌ترین و کم‌هزینه‌ترین سوئیچ پرداخت کشور را نوشتیم

هرچند وقت ‌یک‌بار در صنعت فناوری اطلاعات بانکی و پرداخت فردی پیدا می‌شود که پدیده‌ای است برای خودش و معمولاً ادعاهایی هم می‌کند که برهم‌زننده یا به زبان امروزی‌ها Disruptive است. هرچند این واژه بیشتر برای استارتاپ‌های خلاق و ساختارشکنانه امروزی استفاده می‌شود ولی می‌توان آن را به افرادی که تحولی چشم‌گیر در یک صنعت ایجاد می‌کنند هم نسبت داد. آخرین نمونه از این افراد که با جسارتی ویژه به وسط میدان آمد عبدالحمید منصوری بود که کمر همت برای ارائه سامانه یکپارچه بانکی برای بانک‌های بزرگ کشور بسته بود؛ ادعایی که پای خیلی از فعالین صنعت را به زمین چسباند و منتظرند ببیند او تیمش سرانجام چه می‌کنند.

news1

از منصوری که بگذریم مدت‌ها بود دیگر کسی ادعای خاصی در صنعت نداشت و همه دچار روزمرگی و تکرار شده بودند و انگار همه از وضعیت آشفته موجود راضی‌اند و یا اگر هم راضی نیستند حاضر نیستند کاری برایش بکنند و به قول قدیمی‌ها «وا داده‌اند.» اما ظاهراً دوباره شاهد یک پدیده در صنعت پرداخت کشور هستیم؛ بردیا دارایی، کسی که برای اولین بار از طریق راه پرداخت پرده از ادعاهای بزرگی بر می‌دارد و معتقد است می‌تواند تغییری بزرگ در سوئیچ بانکی و پرداخت در کشور را رقم بزند. او ادعا می‌کند پرسرعت‌ترین و کم‌هزینه‌ترین سوئیچ پرداخت کشور را توسعه داده است.

در دوراهی رفتن و ماندن، ماندن را انتخاب کرد
ورودی کارشناسی رشته نرم‌افزار کامپیوتر سال ۸۰ دانشگاه صنعتی شریف است و ارشدش را هم در همین رشته و در همین دانشگاه گرفته است. مدتی هم هوش و توانایی ذهنی‌اش را در المپیاد کامپیوتر خرج کرده است و حتی مدال برنز کشوری را به دست آورده است؛ ولی بعد از این که متوجه می‌شود این چیزها عطشش برای انجام یک کار خاص را سیراب نمی‌کند به سرش می‌زند به جمع کثیر مغزهای فراری کشورمان بپیوندد. در همین حال و هوا بود که بنا به دلایلی که خیلی هم برایمان بازش نمی‌کند و احتمالاً شخصی هم هستند، عطای رفتن را به لقایش می‌بخشد و در همین کشور به دنبال سیراب کردن عطشش برای انجام یک کار خاص می‌رود. به گفته خودش یکی دو سالی را در حوزه‌های زیادی از فناوری اطلاعات فعالیت می‌کند، از کد نویسی و برنامه‌نویسی برای حوزه‌های مختلف گرفته تا انجام کارهای شبکه و … تا اینکه صنعت بانکی را انتخاب کرده و همین‌جا ماندگار می‌شود.

ورودش به صنعت بانکی
دارایی درباره دلیل انتخاب صنعت بانکی برای حوزه فعالیت همیشگی‌اش می‌گوید: «آن اوایل در حوزه‌های مختلفی فعالیت کردم و در این بین حوزه پرداخت و بانکی ازلحاظ درآمدی حوزه مناسبی بود و از طرفی هم به نظر می‌رسید سیستم بانکی یک حالت بکر دارد و افراد زیادی روی آن کار نکرده‌اند؛ حتی هنوز هم در سیستم بانکی ویژگی عجیب‌وغریبی نمی‌بینیم و همان چیزی که در قدیم وجود داشته همچنان ‌همان وجود دارد. در حوزه‌هایی مثل وفاداری بانک‌ها هم که می‌شود گفت دیگر اصلاً هیچ کاری انجام نشده است و نهایت کاری که انجام می‌شود این است که یک مدل بی‌پایه و اساس مطرح می‌شود که در آن‌هم بیشتر شاید فروش دستگاه کارت‌خوان و جسم کارت مطرح شود تا سیستم وفاداری. به‌هرحال تصمیم گرفتم که در حوزه بانکی کار کنم.»

شاپرک، فرصتی برای نمایش توانایی دارایی
در زمانی که در سامان بود سوئیچی را نوشته بود که به دلیل مهیا نبودن شرایط هیچ‌وقت موفق نشده بود آن را به جایی برساند ولی با روی کار آمدن شاپرک فرصت مناسبی بود تا بتواند آن را با کمک پرداخت الکترونیک سامان بر روی شاپرک تست کند. او دراین‌باره می‌گوید: «سوئیچی تشکیل شد که کاملاً مبتنی بر نرم‌افزار Open Source بود. البته خود من اعتقادی به آن سیستم نداشتم ولی همان سیستمی که من اعتقادی به آن نداشتم به‌قدری خوب پیش رفت که خود من هم انتظارش را نداشتم و سیستمی که ده سال در آنجا کار می‌کرد را کنار گذاشتند. سوئیچی که در سپ از همان اوایل کار استفاده کردیم به نظر من کار خاصی نبود ولی ظاهراً خیلی بهتر از سوئیچ‌های موجود جواب داده بود.»

به دنبال چیزی فراتر از سوئیچ
او در ادامه صحبت‌هایش با تأکید می‌گوید: «هدف من هیچ‌وقت کارمندی کار کردن نبود. همین بود که من از سپ بیرون آمدم و بهمن‌ماه دو سال پیش به همراه دیگر دوستانم استارتی زدیم و به فکر از نو نوشتن یک سوئیچ افتادیم یا حتی یک قدم جلوتر، سوئیچ ننویسیم؛ بلکه یک بستر یا فریم‌ورکی برای انتقال پیام بنویسیم که اگر کسی خواست بتواند آن را به صورت سوییچ بانکی و پرداختی استفاده کند یا اگر خواست آن را بستر تبادل پیام با Core کند. اگر کسی خواست برای USSD استفاده کند و یا حتی به‌عنوان بستر EDI در بنادر استفاده گردد.
چنین چیزی را ساختیم و در آن زمان هم سیستم تجارت الکترونیک پارسیان مشکلات و قطعی‌های زیادی داشت و ما به آن‌ها گفتیم که چنین سیستمی داریم ولی تست نشده است. یکی از ورژن‌ها را بالا آوردیم و بااینکه اختلالات بسیاری هم ایجاد کرد اما بازهم توانستیم آن را اجرا کنیم. بعد از این کمی هم از پشتوانه پارسیان برای توسعه آن استفاده کردیم چراکه باید آن را تکمیل می‌کردیم؛ در حال حاضر این سوئیچ در تجارت الکترونیک پارسیان کار می‌کند.»

تغییر مسیر
بردیا دارایی بعد از همه چالش‌ها و بالا و پایین‌های زندگی کاری‌اش سرانجام فکر می‌کند به کاری که همیشه آرزویش را داشته است خیلی نزدیک شده است و آن چیزی نیست جز ارائه یک سرویس ویژه به صنعت. بردیا دارایی اکنون رئیس هیئت‌مدیره شرکت اطلاعات فن‌آوری کویر کومش است که با نام تجاری اینتِک شناخته شده است. از او می‌خواهیم کمی درباره شکل‌گیری این شرکت برایمان توضیح دهد. رئیس هیئت‌مدیره شرکت اینتک می‌گوید: «ما این شرکت را سال ۸۵ در سمنان تأسیس کردیم و بیشتر کارهای مبتنی بر شبکه انجام می‌دادیم. ناگهان اساس کار را تغییر دادیم. البته این تغییر مسیر کاری شرکت و رفتن به سمت سیستم بانکی خیلی سخت بود و مجاب کردن سهامداران شرکت کاری سخت‌تر؛ چراکه من خودم سهامدار عمده شرکت نیستم. ولی در هر صورت ما ریسک این کار را پذیرفتیم و معتقدیم که ممکن است اوایل کار کمی سخت باشد ولی درنهایت کار خوبی می‌شود.»

تمرکز اصلی اینتک، بازار سوئیچ است
به گفته دارایی شرکت ۳۰ نفره اینتک به‌طور خاص در حوزه راهکارهای پرداخت فعالیت می‌کند و محصول و تمرکز اصلی‌شان روی سوئیچ است که روی این سوئیچ هم ادعای زیادی دارند. البته اینتک را می‌توان یک هلدینگ دانست چراکه در حوزه‌های مختلف دیگر که با هسته کسب‌وکاری این شرکت در ارتباط است نیز شرکت‌های دیگری را ایجاد کرده است ازجمله در حوزه‌های وفاداری، سخت‌افزار، اپراتوری و حتی حوزه بین‌الملل.

رئیس هیئت‌مدیره شرکت اطلاعات فن‌آوری کویر کومش تأکید می‌کند که آن‌ها هر محصولی که در حوزه پرداخت مورد نیاز شرکت‌ها باشد را دارند و در این بین انرژی ویژه‌ای روی سوئیچ پرداخت گذاشته‌اند؛ اما قبل از اینکه در مورد سوئیچ برایمان بگوید کمی در مورد دیگر فعالیت‌هایشان توضیح می‌دهد و می‌گوید: «ما دفتری در استانبول داریم. چراکه قصد ما این بود که واقعاً به حوزه EMV وارد شویم و کیف پولی دهیم که مجوز EMV را داشته باشد. همچنین قصد داریم که از دانش و توان داخلی برای توسعه محصولات نرم‌افزاری علی‌الخصوص در حوزه پرداخت در ترکیه استفاده نماییم. ما کسانی را داشتیم که این کار را کرده بودند و می‌دانستیم چرا در ایران این کار انجام نمی‌شود. برای همین ما سعی داریم در خارج از ایران این مجوز را بگیریم و یک کیف پول جامع ارائه کنیم. علاوه بر این یک محصول ما که جدید است و هنوز وارد بازار نشده است مربوط به حوزه وفاداری است؛ نه‌فقط برای شرکت‌های پرداخت بلکه برای هتل‌ها، رستوران‌ها و جاهایی که حالت زنجیره‌ای دارند. وفاداری حوزه‌ای است که در تمام دنیا روی آن کار می‌کنند ولی در ایران به‌ندرت کسی وارد آن شده و اگر هم کسی کاری موفقی انجام داده در حوزه فروش کارت و دستگاه کارت‌خوان بوده است.»

چرا سریع‌ترین و کم‌هزینه‌ترین؟
دارایی دیگر می‌رود سر اصل مطلب و از سوئیچی که ادعایش را می‌کند می‌گوید: «من می‌توانم کاملاً ادعا کنم که تقریباً تمامی سوئیچ‌های ایران Open Source بوده و یا پایه خارجی دارند. این اولین دلیلی است که ما ادعا می‌کنیم عملکرد سوئیچ ما بالاست چراکه مطمئن هستیم خودمان از اول تا آخرش را تولید کرده‌ایم و ما مدل صد در صد مطابق به کسب‌وکار ایران را در این سوئیچ استفاده می‌کنیم و آن مدلی است که خیلی جاها استانداردها را رعایت نمی‌کند. هرجایی که بخواهیم می‌توانیم آن را بهینه‌سازی کنیم و کارایی و سرعت عمل را به حداکثر مقدار ممکن برسانیم.»

ضعف سوئیچ را با سخت‌افزار نمی‌پوشانیم
او در خصوص عیب استفاده از نرم‌افزارهای open source می‌گوید: «در صورت استفاده از نرم‌افزارهای open source رایج اگر مشکلی وجود داشته باشد نمی‌توانید دیگر به‌راحتی به آن دست بزنید چون اگر آن کار را انجام دهید، یک جای کار را حل کرده‌اید و مجدد طرف مقابل یک ریلیز جدید به شما می‌دهد و همه‌چیز را به هم می‌ریزد؛ اما دست ما باز است و ضعف سوئیچ خود را با سخت‌افزار نمی‌پوشانیم.
ما ادعا می‌کنیم که سوئیچمان اگر روزی یک‌میلیون دستگاه کارت‌خوان رویش تراکنش داشته باشند یک سرور DL380 جواب کارش را می‌دهد و فکر کنم افرادی که در این صنعت دستی بر آتش دارند به‌خوبی متوجه فرق هزینه اولیه و نگهداری چنین سروری با سرورهای غول‌پیکر فعلی می‌شوند.
کل Over head که سوئیچ ما روی تراکنش می‌گذارد بالای ۲۰ میلی‌ثانیه نیست. درنتیجه برای ما مهم نیست که چقدر تراکنش داشته باشیم. با توجه به قیمت DL380 ما می‌توانیم با ۳۰-۴۰ میلیون تومان برای سخت‌افزار چیزی حدود یک‌میلیون دستگاه کارت‌خوان را پشتیبانی کنیم؛ مقایسه کنید با هزینه‌های میلیاردی فعلی. البته فراموش نکنیم که این ربطی به هزینه‌های مربوط به الزامات امنیتی شاپرک ندارد و برخی از هزینه‌ها را شما از هر سوئیچی که استفاده کنید باید بپردازید که بر اساس سطح امنیت و سطح دسترسی‌پذیری تعیین می‌گردد؛ اما همچنان ازلحاظ اجرایی برای ما همین یک سرور کافی است.
پس به زبانی ساده بخواهم بگویم سوئیچی که ما ادعای ارائه‌ی آن را می‌کنیم نه‌تنها ازلحاظ زمان پاسخ‌دهی به تراکنش‌ها از تمام سوئیچ‌های موجود در کشور سریع‌تر عمل می‌کند بلکه ازلحاظ هزینه‌ای به‌شدت ارزان‌تر و به‌صرفه‌تر است. البته این نکته هم ناگفته نماند که چیزهایی هم هستند که کلاً از دست ما خارج هستند.»

دیگر خدمات اینتک در حوزه پرداخت
بردیا دارایی رئیس هیئت‌مدیره شرکت اینتک در ادامه می‌گوید: «ما یک سری ویژگی‌هایی داریم که قاعدتاً صرف شرکت‌های پرداخت الکترونیک هستند. انواع مدل کسب‌وکارهای شرکت‌های پرداخت الکترونیک را مدیریت می‌کند. ما می‌توانیم مبحث انبار را داشته باشیم، همین‌طور مدیریت پذیرنده‌ها، PM‌ها، EM ها و سرکشی به دستگاه‌ها را داشته باشیم. شبکه تخفیف راه بیندازیم. به‌عبارت‌دیگر مدل‌های کسب‌وکار خاص؛ یعنی اینکه شما بخواهید Third Party هندل کنید. در پروژه‌‌های مختلف وارد شوید. در این زمینه شرکت‌های پرداخت الکترونیک نمی‌توانند به پیمانکار خود وابسته باشند که این کار را برایشان انجام دهد. بلکه ما سرویسی را با یک سری مشخصات در اختیارش قرار می‌دهیم و سوئیچ کار را خود شرکت انجام می‌دهد. تقریباً هر کسب‌وکاری که شرکت‌های پرداخت الکترونیک دارند را ما کاملاً در اختیار داریم.
در حوزه صادرکنندگی هم سیستم‌هایی داریم که فقط مختص خودمان است. سیستم سورنا کارت که بر روی کارت‌خوان‌های مختلف، مانده‌حساب‌های مختلف داشته باشیم. شما وقتی کارت را بر روی دستگاه کارت‌خوان می‌کشید، خود دستگاه به شما حساب‌های مختلفتان را در پشت کارت نشان می‌دهد و شخص می‌گوید که برای مثال می‌خواهم از حساب رستوران خود خرید کنم. این کار به درد شرکت‌های بزرگ می‌خورد. مثلاً سازمان بزرگی که بخواهد بن کارت بدهد و نمی‌خواهد تعداد زیادی بن کارت بدهد و این قضیه را بدین شکل هندل می‌کند؛ و یا فرد فقط با پول رستورانش در رستوران خرید کند و با پول پوشاکش خرید لباس‌هایش را انجام دهد. حتی شما می‌توانید یک حساب پشتیبان بر روی کارت خود داشته باشید که هر زمان کارت شما پول کم آورد، بتوانید از حساب اصلی خود پول کم کنید. به‌طور خودکار سورنا کارت شما به وفاداری شما تبدیل می‌شود.
علاوه بر این‌ها ما حالت multi-currency را نیز رویش هندل می‌کنیم که ممکن است در ایران زیاد کاربرد نداشته باشد اما وقتی بحث امتیازات پیش می‌آید، ممکن است امتیازات از گروه‌های مختلف داشته باشیم، امتیازات نوع ۱، ۲، ۳ و … که قابلیت تبدیل شدن به یک پولی را داشته باشد. برای مثال هر هزار امتیاز مبلغش یک تومان باشد که حتی در آن حالت هم مانند وفاداری می‌شود که امتیاز شخص را به اعتبار تبدیل کرده که بتواند آن را خرج کند. صادرکننده ما کاملاً rule base است یعنی اینکه اصلاً بسته نیست و هر مدلی که خواستید می‌توانید آن را تعریف کنید.»

از قومس تا کومش
از قابلیت‌های سوئیچ که می‌گذریم از دارایی درباره نام شرکت می‌پرسیم؛ اینکه چرا کویر کومش؟ و از او می‌خواهیم کمی هم بحث هلدینگ بودن اینتک را برایمان باز کند.
او می‌گوید: «کومش اسم قدیم سمنان است که قبل‌تر از آن هم قومس بوده و بعد از مدتی تبدیل به کومش شده است و خودم هم اصالتاً سمنانی هستم. کویر هم که به‌نوعی به حوزه فناوری اطلاعات اشاره می‌کند که در مقایسه با دنیا ما انگار در کویر برهوت به سر می‌بریم.
در مورد ایجاد شرکت‌های زیرمجموعه هم باید بگویم که ترجیح ما بر این است که به‌صورت پروژه‌ای شرکت را بزرگ نکنیم. بلکه سعی کرده‌ایم شرکت‌های کوچک دیگری را در کنار خود داشته باشیم تا وقتی مثلاً در حوزه سخت‌افزار نیازی داریم، شرکت دیگری برای انجام این کار داشته باشیم و خودمان همچنان روی کار اصلی‌مان متمرکز بمانیم. در حال حاضر اینتک حدود ۵ شرکت دارد ازجمله شرکت انیگما که فقط روز کارهای وفاداری برای پذیرنده‌ها کار می‌کند. دیگری شرکت توسعه ارتباطات نسل پنجم است که حوزه sim application و کارهای اپراتوری را انجام می‌دهد. همچنین شرکت اینتکسا را داریم که در حوزه کارت‌خوان موبایلی یا همان M-POS فعالیت دارد. علاوه بر این‌ها شرکتی در حوزه بازار خارجی در کشور ترکیه داریم»

بومی‌سازی سخت‌افزار
او در پایان با اشاره به اینکه آن‌ها نمایندگی انحصاری XAC در ایران را دریافت کرده‌اند در مورد مدل همکاری‌اش با این برند می‌گوید:
«مثل خیلی از دیگر شرکت‌های داخلی ما نمی‌رویم آن طرف آب ببینیم آن‌ها چه چیزی دارند و از بین آن‌ها یکی چیزی را انتخاب کنیم برداریم بیاوریم. بلکه ما به آن‌ها درخواست می‌دهیم که چه چیزی برای ما بسازند و اینکه چه ویژگی‌ها و قابلیت‌هایی داشته باشد.
از دید یک شرکت اروپایی یا آمریکایی، PCI یک‌جور تعریف شده و از دید ما یک‌جور دیگر است و ما باید آن‌ها را مجبور کنیم که تفسیر ما را انجام دهند؛ به‌عبارت‌دیگر، ما سخت‌افزار را بومی‌سازی و شخصی‌سازی می‌کنیم چراکه مخصوصاً برای بحث کارت‌خوان موبایلی واقعاً به این موضوع احتیاج داریم.»

گفتگو با بردیا دارایی، رئیس هیئت‌مدیره شرکت اینتک در سایت راه پرداخت