تبلیغات
قطره (ای از زندگی یک درگیر کامپیوتر) - مطالب آذر 1398
 
اگر قادر نیستی خود را بالا ببری ،همانند سیب باش تا با افتادنت اندیشه ای بالا برود.

کارمزد بدون خدمت / معضلات پدیده کارمزدخواهی برای صنعت پرداخت

نوشته شده توسط :سعید كلانتری
شنبه 9 آذر 1398-06:08 ب.ظ

انجام یک خدمت بدون دریافت کارمزد و هزینه یک عمل خداپسندانه و بسیار نیکوست اما به دلایل مشخصی همیشه و توسط هر فردی امکان‌پذیر نیست. هر کسب‌وکاری برای ادامه حیات خود نیازمند این است که هزینه خدمات خود را دریافت کند و اگر بودجه دولتی به کسب‌وکارها تعلق نگیرد و یا حمایتی از آنها نشود قطعاً نمی‌توانند در درازمدت سرویس‌های رایگان ارائه کنند.

انجام یک خدمت و دریافت هزینه متناسب با آن معقول و پذیرفته است و این یک رابطه برد- برد است زیرا هم ارائه‌دهنده خدمات می‌تواند به حیات خود ادامه دهد و هم دریافت‌کننده خدمات از دریافت سرویس با هزینه معقول راضی است.

انجام ندادن خدمت و دریافت کارمزد امر پسندیده‌ای نیست و می‌تواند به نوعی دزدی یا باجگیری قلمداد شود اما وقتی مبلغ کارمزد کم باشد این امر قابل چشم‌پوشی است و شخص متضرر شده نیز پیگیری نمی‌کند. این مورد در صنعت پرداخت ما وجود دارد.

شاید مبلغ کارمزد تراکنش‌های بانکی چندان زیاد نباشد اما توجه به دو نکته مرا موظف کرده که به بحث درباره آن بپردازم.

  • مبلغ کارمزد ناچیز است اما تعداد تراکنش‌ها ممکن است زیاد باشد؛ بنابراین در مجموع و در شبکه بانکی مبلغ آن نیز قابل توجه خواهد بود. (متاسفانه من امکان برآورد ندارم.)
  • این روش و رویه غلط است و من موظفم درباره آن بنویسم. من تصمیم‌گیر نیستم و مدیران این صنعت باید در این باره تصمیم بگیرند ولی من به عنوان یک کارشناس صنعت پرداخت باید به بررسی ابعاد آن بپردازم.

مطابق با مستند شاپرک، در صنعت پرداخت دو گونه تراکنش مالی داریم:

  • تراکنش‌های مالی یک‌مرحله‌ای
  • تراکنش‌های مالی دومرحله‌ای

در تراکنش مالی یک‌مرحله‌ای، نیازی به تاییده انجام تراکنش وجود ندارد و فقط درخواست تراکنش برای انجام آن کافی است. نمونه اصلی آن دریافت موجودی حساب بانکی است. دریافت موجودی حساب بانکی یا تراکنش موجودی یک تراکنش یک‌مرحله‌ای است؛ یعنی شما درخواست مشاهده موجودی حسابتان را می‌کنید. مبلغ موجودی به اطلاع شما می‌رسد و همزمان کارمزد از حساب شما کم می‌شود. اما درصورتی‌که به دلایل مختلف مثل قطع شبکه، اختلال در عملکرد ابزار پرداخت، سوئیچ‌های پرداخت و یا شبکه شتاب، موفق به دریافت موجودی حسابتان نشوید و روی صفحه عابر بانک پیام موفق را نبینید، عملاً کارمزد موجودی از حساب شما کسر شده است ولی شما خدمتی دریافت نکرده‌اید.

در تراکنش مالی دومرحله‌ای برای اطمینان از صحت انجام تراکنش و کسر پول از حساب خریدار خدمت و یا کالا باید تأییدیه دریافت شود و در صورت دریافت نشدن تاییده تراکنش به صورت پیش فرض اصلاح و پول به حساب دارنده کارت واریز می‌شود؛ یعنی به طور پیش‌فرض تراکنش ناموفق است، مگر آنکه خلافش ثابت شود. (فرایند مغایرت‌گیری هم وجود دارد.)

تراکنش‌هایی مثل خرید، پرداخت قبض، شارژ و غیره جزو تراکنش‌های دومرحله‌ای هستند. در چنین تراکنش‌هایی بعد از اینکه درخواست شما به بانک صادرکننده کارت شما رسید و پول از حساب شما کسر شد، شبکه پرداخت منتظر اعلام تاییده از سمت شما می‌ماند. در صورتیکه تأیید کنید، پول به حساب پذیرنده واریز می‌شود، در غیراینصورت پول به حساب دارنده کارت واریز می‌شود.

این چرخه موجب اطمینان از کسر وجه فقط در صورت دریافت سرویس است. حالا چرا تراکنش مانده‌گیری یک مرحله‌ای است، احتمالاً در زمانی که قانون نوشته شده بابت تراکنش‌های مانده، کارمزدی دریافت نمی‌شده و چون بار مالی نداشته و دارنده کارت ضرری نمی‌کرده لزومی نیز برای تایید تراکنش وجود نداشته است. چون فرضاً خدمت به دارنده کارت  نمی‌شده و فرد قادر بود به دفعات زیاد درخواست موجودی کند تا سرویس و خدمت مورد نظر خود را دریافت کند.

ولی مدت‌هاست که شرایط عوض‌شده است. شما برای دریافت خدمت مانده و یا موجودی کارمزدی برابر ۱۲۰۶ ریال پرداخت می‌کنید بنابراین باید سرویس را دریافت کنید و معقول نیست آنقدر کارت بکشید و کارمزد بدهید تا بالاخره بتوانید موجودی خود را مشاهده کنید.

شاید بگویید چون کارمزد بسیار کم است و ارزش تراکنش تاییده را ندارد ولی این به شرطی معقول است که در مورد بقیه تراکنش‌های با مبلغ کم هم نیازی به تاییده و اصلاحیه نباشد و چون می‌دانیم در مورد یک تراکنش هزار ریالی هم باید تاییده و اصلاحیه بفرستیم پس نتیجه می‌گیریم این سیاست رسمی قانون‌گذار نبوده بلکه بعد از تصویب قانون کارمزد برای موجودی در نظر گرفته شده و قانون‌گذار هم عمداً آنرا نادیده گرفته است.

بر طبق گزارش مانده‌گیری سال ۹۷ بانک مرکزی، تراکنش‌های مانده‌گیری بر روی پایانه‌های فروش برابر یک میلیارد و دویست‌میلیون عدد بوده است. می‌توان در نظر گرفت که تعداد تراکنش‌های مانده‌گیری بر روی بقیه ابزارها مثل عابربانک‌ها و اپلیکیشن‌ها هم برابر همین عدد باشد. (من گزارش رسمی پیدا نکردم ولی قطعاً وجود دارد)

مجموعاً در سال ۹۷ حدود دو میلیارد تراکنش مانده‌گیری در کشور وجود داشته است که اگر فرض کنیم ضریب شکست یک‌هزارم درصد باشد، یعنی سالی دو میلیون تراکنش ناموفق موجود که رقم مالی آن برابر دو میلیارد و ۴۱۲ میلیون ریال می‌شود؛ که رقم کمی نیست. درصورتی‌که ضریب شکست تراکنش را برابر یک‌صدم در نظر بگیریم، عدد فوق ده‌برابر می‌شود. با توجه رشد تراکنش سالانه این رقم برای سال ۹۸ بیشتر نیز است.

لذا به نظر می‌رسد که قانون‌گذار باید در قوانین تغییر ایجاد کند و تراکنش مانده‌گیری را هم جزو تراکنش‌های دومرحله‌ای قرار دهد تا درصورتی‌که تراکنش انجام موجودی و یا همان دریافت‌مانده موفقیت‌آمیز نبود و دارنده کارت سرویسی دریافت نکرد، کارمزد کسر شده به‌حساب شخص برگردد.

همان‌گونه که هر تراکنشی که موجب کسر وجه از حساب دارنده کارت می‌شود، نیاز به دریافت تاییده و یا اصلاحیه دارد، لذا تراکنش موجودی هم نیاز به تأییدیه و یا اصلاحیه دارد. نمی‌شود که سرویس نگرفت و کارمزد داد. ولی با توجه به شرایط شبکه پرداخت و هزینه‌ای که ممکن است این اصلاح داشته باشد، تصمیم‌گیری را می‌گذاریم به عهده مدیران مربوطه.



طرحی برای کاهش مبلغ کارمزد کارت‌به‌کارت تراکنش‌های خرد

نوشته شده توسط :سعید كلانتری
شنبه 9 آذر 1398-06:07 ب.ظ

یکی از تراکنش‌های پرمصرف و کاربردی، تراکنش کارت‌به‌کارت است. تراکنش کارت‌به‌کارت برای تراکنش‌های زیر یک‌میلیون تومان برابر پانصد تومان است که در ظاهر مبلغ چندانی نیست. ولی وقتی‌که تراکنش کارت‌به‌کارت پنج‌هزارتومانی هم پانصد تومان کارمزد داشته باشد، مقدار آن چشمگیر است.

در ادامه طرحی پیشنهاد می‌شود که با آن، مبلغ کارمزد این تراکنش‌ها با تبدیل تراکنش به دو تراکنش کاهش یابد و از این طریق درآمدزایی هم ایجاد شود.

 

قراردادهای (مفروضات) این پیشنهاد

  1. هزینه کارت‌به‌کارت برای هر تراکنش زیر یک‌میلیون تومان ۵۰۰ تومان است.
  2. هزینه هر کارت‌به‌کارت درصورتی ‌که کارت مبدا و مقصد متعلق به یک بانک باشد، ۲۵ تومان است.
  3. ما نرم‌افزاری داریم (سوئیچ) که می‌تواند یک تراکنش کارت‌به‌کارت را تبدیل به دو تراکنش کارت‌به‌کارت بکنیم و مجوز لازم را به‌عنوان یک شرکت فین تک و استارت‌آپ از بانک مرکزی گرفته‌ایم. به این نرم‌افزار سوئیچ پرداخت می‌گوییم.
  4. به شرکت پرداخت استارت‌آپ که مجوزهای مربوطه را اخذ کرده و این سوئیچ پرداخت و اپلیکیشن موبایلی و درگاه پرداخت اینترنتی آن را فراهم کرده است، در این مستند شرکت نامیده می‌شود.
  5. یک درگاه اینترنتی و یک برنامه پرداخت موبایلی طراحی شده است که در این مستند به هریک از آن دو، برنامه پرداخت گفته می‌شود.

 


ادامه مطلب

پرداخت هزینه‌های مربوط به خودرو، با کیف پول مبتنی بر پلاک خودرو

نوشته شده توسط :سعید كلانتری
شنبه 9 آذر 1398-06:06 ب.ظ

یکی از فاکتورهای مهم درصنعت پرداخت، اطمینان از هویت کسی است که پول از حساب او کسر می‌شود. در پرداخت سنتی همیشه از یک دفترچه حساب و یا کارت استفاده میشده است که به‌وسیله آن و احیانا کارت شناسایی هویت، از صحت هویت صاحب حساب اطمینان حاصل میشد. ولی در روش‌های نوین پرداخت، ابزارها و شناسه‌های دیگری برای صحت و اطمینان از پرداخت ایجاد شده است.

به گزارش آرمان اقتصادی، در ابتدا می‌توان به کارت‌های مغناطیسی و رمز عبور و بعد به ماهیت‌هایی مثل شماره موبایل، گوشی همراه اشاره کرد. بعضا از ویژگی‌های بیولوژی و بیومتریک مثل قرنیه چشم و اثرانگشت برای تایید هویت پرداخت‌کننده استفاده می‌شود.

در این مطلب یک شناسه هویتی دیگر را می‌خواهیم معرفی کنیم. شناسه‌ای که نحوه تعامل با آن در ایران برای ما مشخص است و لذا این مقاله برای مصرف در ایران نوشته شده است.

 


ادامه مطلب

مخاطرات پیمانکاران پایانه‌های فروشگاهی

نوشته شده توسط :سعید كلانتری
شنبه 9 آذر 1398-06:05 ب.ظ

به گزارش خبرهای بانکی، وجود پیمانکاران و شرکت‌های مختلف برای تهیه نرم‌افزارهای پایانه‌های فروشگاهی در صنعت پرداخت اتفاق جدیدی نیست و همواره وجود داشته است. ولی به نظر می‌رسد در سال‌های اخیر رشد بیشتری کرده است و شرکت‌های زیادی به‌عنوان پرداخت‌یار و یا قرارداد هدایت تراکنشی وارد این عرصه شده‌اند. البته یکی از دلایل رشد و ورود شرکت‌های متخلف ورود برندهای مختلف شرکت‌های چینی به صنعت پرداخت ایران است.

در کنار ورود شرکت‌های جدید و نوپا به این صنعت، تغییر دیگری که در بازار رخ داده است، افزایش تعداد و برندهایی است که برای اتصال به سوئیچ‌های شرکت پرداخت از شبکه اینترنت به‌جای شبکه تلفنی و یا DIAL استفاده می‌کنند. می‌خواهیم در این مطلب به ریسک‌های دو اتفاق بالا توجه کنیم.

مهم‌ترین دغدغه امنیتی در شبکه پرداخت کشور، حفظ و مراقبت از PIN و PAN کاربران است. با توجه به اینکه ما از کارت‌های مغناطیسی استفاده می‌کنیم، لو رفتن PIN و PAN کارت‌ها به‌راحتی می‌تواند موجب سوءاستفاده و سرقت پول از حساب‌های بانکی شود.

ازنظر نگارنده، مهم‌ترین ریسکی که با ورود شرکت‌ها و برندهای مختلف به شبکه پرداخت کشور وارد می‌شود، ذخیره شدن اطلاعات کارت افراد توسط این شرکت‌های جدید و پایانه‌های آنها است.‌ در ابتدا به دو ریسک متداول استفاده از برنامه‌نویس کارتخوان مختلف اشاره می‌کنم:

    برنامه‌نویس می‌تواند در برنامه دست‌کاری کند تا درصورتی‌که کارت‌های خاصی (مثلاً کارت متعلق به برنامه‌نویس) روی کارتخوان کشیده شد، دستگاه بعد از یک ثانیه مکث پیام تراکنش موفق را چاپ کند. این تراکنش هرگز به سوئیچ شرکت پرداخت ارسال نمی‌شود و لذا پول از حساب کسر نمی‌شود. همچنین گزارش این تراکنش هم در پایانه ثبت نخواهد شد. لذا دارنده پایانه به‌سختی خواهد توانست ثابت کند چنین تراکنشی انجام داده است.

    برنامه‌نویس می‌تواند اطلاعات کارت دارنده کارت مثل track2 و شماره رمز را ذخیره کند و آن را به برنامه‌نویس متخلف تحویل دهد تا برنامه‌نویس متخلف با استفاده از آن از کارت کپی تهیه کند و تخلف انجام دهد.

چک کردن برنامه تولیدشده توسط شرکت‌های متعدد به سادگی میسر نیست و این شرکت‌ها عموماً توان نظارت بر برنامه‌های تولید شده توسط برنامه‌نویسان خود را ندارند؛ لذا در صورت بی‌دقتی هردو احتمال بالا ممکن است. ولی باید توجه کرد که خسارت ریسک شماره یک با ریسک شماره دو بسیار متفاوت است.

در مورد شماره یک برنامه‌نویس متخلف در صورت خرید با مبلغ بالا خیلی زود شناسایی می‌شود. لذا باید با مبالغ پایین تخلف انجام دهد و خرید انجام دهد. همچنین فقط روی پایانه‌هایی می‌تواند تخلف انجام دهد که نرم‌افزار خودش نصب شده باشند.

ولی در مورد دو اطلاعات کارت بی‌شماری با مبالغ مختلف به دست می‌آید که با آنها می‌توان روی پایانه‌های شرکت‌ها تخلف کرد و چون اطلاعات کارت‌ها از روی کارتخوان‌های مختلف به دست آمده است، ردیابی سخت می‌شود.

سوالی که اینجا پیش می‌آید این است که برنامه‌نویس متخلف چگونه می‌تواند به اطلاعات کارت‌های ذخیره شده دسترسی پیدا کند و آنها را مورد استفاده قرار دهد؟ در گذشته که پایانه‌ها up dial بودند، امکان ارسال اطلاعات برای برنامه‌نویسان به آدرس دلخواه بسیار سخت و حتی ناممکن بود ولی امروزه با توجه به اینترنتی شدن پایانه‌های فروشگاهی، فقط لازم است یک پیام رمز شده به یک آدرس وب در اینترنت ارسال شود و اطلاعات کارت به‌صورت رمز شده در یک دیتابیس ذخیره شود.

هدف از این یادداشت ارائه راهکار به متخلفین نیست. بدیهی است که برنامه‌نویسان متخلف قطعاً راهکارها و ایده‌هایی دارند که حتی ممکن است به فکر ماهم نرسیده باشد زیرا چو دزدی با چراغ آید، گزینه‌تر برد کالا.

هدف از این مطلب توجه مدیران شرکت‌های پرداخت به استفاده از برنامه‌نویسان مختلف و ناشناخته در طراحی برنامه‌های پایانه‌ها است. باید مدیران حتماً سورس برنامه‌ها را دریافت کنند. در صورت امکان برای ممیزی آنها اقدام کنند. تست‌های امنیتی برای اطمینان از صحت عملکرد برنامه‌ها انجام دهند و تنها فاکتورها برای مشخص کردن برنده‌های مناقصه مبلغ و تحویل کار در زمان مناسب نباشد.

به نظر نگارنده در صورت بروز چنین تخلفی، کشف متخلف و برنامه متخلف بسیار سخت است و ممکن است اصلاً ممکن نباشد. حتی درصورت دستگیری فرد سوءاستفاده کننده، ممکن است او هرگز لو ندهد به چه روشی این مشخصات را به دست آورده است.

سو برداشت دیگری که ممکن است از این مطلب شود، عدم ایجاد فرصت برای رشد شرکت‌ها و افراد مستعد و نوپا در این صنعت است. بدیهی است که افراط و تفریط هردو ناپسند است و باید به جوانان و شرکت‌های مستعد هم فرصت رشد و ارائه خلاقیت داد؛ زیرا وقوع این تخلف توسط برنامه‌نویسان یک شرکت پرداخت و یا یک شرکت معتبر نیز وجود دارد، ولی در شرکت‌های پرداخت و در شرکت‌های معتبر قطعاً نظارت بیشتری بر برنامه‌نویسان و کدهای تولید شده دارند و کدها توسط واحدهای مختلف مورد بررسی قرار می‌گیرد. همچنین بر روی خود افراد نیز نظارت بیشتری وجود دارد و برای به دست آوردن جایگاه و ماندگاری در این صنعت راه درازی را پیموده‌اند.

ضروری است که کلیه مدیران شرکت‌های پرداخت، شرکت‌های ناظر و واحد امنیت باید ریسک حضور برنامه‌نویسان و شرکت‌های برنامه‌نویسی پایانه‌های فروشگاهی را مدنظر قرار دهند و با ایجاد فرایندها و دستورالعمل‌های مناسب از وقوع تخلفات جلوگیری کنند. لیست ریسک‌ها قطعا بیشتر از موارد اشاره‌شده در این مطلب است.

هدف اصلی این مطلب فقط افزایش نظارت مؤثر و سازنده و توجه به ریسک‌ها است. در مطلب بعدی به یک راهکار عملی مناسب برای کاهش ریسک و جلوگیری از نشت اطلاعات کارت توسط پایانه‌ها اشاره خواهم کرد.



جای خالی اپلیکیشن بانک مرکزی برای تامین امنیت پرداخت‌ها

نوشته شده توسط :سعید كلانتری
شنبه 9 آذر 1398-06:03 ب.ظ

فرض کنید ساعت ۳ بامداد است که ناگهان با یک اس‌ام‌اس از خواب بیدار می‌شوید. اس‌ام‌اس نشان می‌دهد مبلغ بیست میلیون تومان از حساب کارت شما برداشت شده است. اگر کمی هوشیار باشید سریع متوجه می‌شوید که دچار نوعی فیشینگ، اسکیمر، هک، دزدی و یا غیره شده‌اید. چه کار می‌توانید بکنید؟

فرض کنید که روی دستگاه کارتخوان کارت می‌کشید و رسید نمی‌گیرید، یا رسید را دور می‌اندازید ولی به دلایلی متوجه می‌شوید که موجودی کارت شما کمتر از انتظار است، بنابراین فکر می‌کنید که مغازه‌دار بیشتر کارت کشیده است. چکار می‌توانید بکنید اگر مغازه دار قبول نکند؟ راستی برای حذف راهکار رسید کاغذی، با وجود تحریم‌ها، قیمت‌ها و دغدغه‌های زیست محیطی پیشنهاد شما چیست؟

به نظر نگارنده با ارائه یک اپلیکیشن کارآمد توسط شرکت‌های زیرمجموعه بانک مرکزی، شاپرک و شتاب می‌توان به معضلات بالا به راحتی رسیدگی کرد.

بانک مرکزی می‌تواند شرکت‌های زیر مجموعه خودش مانند شاپرک و شتاب را موظف کند که اپلیکیشن کارآمدی را تولید کنند تا دارندگان کارت، کارت خود را روی آن رجیستر کنند و سپس از تمام تراکنش‌هایی که توسط کارت‌های آنها انجام می‌شود به صورت اینترنتی و در لحظه مطلع شوند. همچنین پذیرندگان نیز می‌توانند پایانه خود را در سامانه رجیستر کنند و از تراکنش‌های خود مطلع شوند.

 

ارائه یک اپلیکیشن کارآمد راه‌حل مشکلات بالا

اما هدف اصلی و کارکردی که به نظر نگارنده لازم است به خاطر آن این برنامه تولید شود، تأیید تراکنش است. در سیستم پرداخت موجود، در لحظه تراکنش پول به حساب پذیرنده واریز نمی‌شود و حداقل هشت ساعت طول می‌کشد؛ من به این زمان زمان طلایی جلوگیری از تخلف می‌گویم.

اپلیکیشن باید به صورتی طراحی شود که دارنده کارت بتواند هر تراکنشی که در اپلیکیشن بانک مرکزی به دارنده کارت اعلام می‌شود را به عنوان تخلف ثبت کند. در صورتی‌که تراکنشی به عنوان تخلف ثبت شود، تاریخ واریز آن یک روز به عقب می‌افتد و شخص فرصت دارد در این مدت با ارائه مدارک مثبته، احراز تخلف را قطعی کند که این کار می‌تواند از طریق شعب بانک و یا مراجع قانونی دیگر انجام شود.

زمانی‌ که تراکنشی به عنوان تخلف ثبت شود، به پذیرنده نیز در مورد آن اطلاع‌رسانی می‌شود، او هم مدارک خود را در صورت نیاز ارائه می‌کند. همچنین در صورتی که پذیرنده بعد از احراز هویت دومرحله‌ای بپذیرد که اختلاف حساب وجود دارد و تراکنش اشتباه بوده است (مثلاً مبلغ اشتباهی بیشتر وارد شده است.) تراکنش تبدیل به تراکنش اصلاحیه می‌شود و پول به حساب دارنده کارت برمی‌گردد.

 

چه مشکلاتی در مسیر پیاده سازی ارائه اپلیکیشن برای جلوگیری از تخلفات مالی دارد؟

  • باتوجه به اینکه قطعاً توان طراحی این برنامه در داخل وجود دارد ولی در هر صورت با توجه به تعداد بالای تراکنش روزانه درگاه‌های مختلف طراحی یک نرم افزار سریع و کارامد و بدون قطعی دغدغه معقولی است.
  • قطعاً مثل هر پدیده دیگری فرهنگ استفاده از این اپلیکیشن به مرور ایجاد می‌شود و در روزهای اول ممکن است عده‌ای بی‌جهت تراکنش‌ها را تخلف اعلام کنند، ولی درصورت دریافت کارمزد برای اعلام هر تخلف قطعاً فرهنگ سازی می‌شود.
  • جا افتادن این طرح با توجه به اینکه نیاز به گوشی هوشمند وجود دارد، قطعاً صد در صد نخواهد بود ولی می‌تواند بخش مناسبی از جامعه را پوشش دهد. به خصوص افرادی که در حساب‌های خود مبالغ بالا دارند.
  • لازم به توضیح است که این سامانه برای جلوگیری از استفاده پدیده‌هایی مثل فیشینگ و اسکیمر و چیزهای مشابه است که تقلب و نبود معامله واقعی بین مشتری و پذیرنده واضح است و برای دعواهای حقوقی و قضایی دو طرف باید به دادگاه رسیدگی کنند و چون رسیدگی به این دعاوی در حوزه شاپرک و شتاب نیست، لذا پول در زمان مقرر به حساب پذیرنده واریز می‌شود.

فواید پیاده سازی ارائه اپلیکیشن برای جلوگیری از تخلفات مالی چیست؟

  • کاهش پرونده‌های فیشینگ و استفاده از اسکیمر. در شرایط فعلی پول از حساب دارنده کارت کم می‌شود و به حساب فرد متخلف واریز می‌شود. فرد متخلف شروع به گردش پول در بین حساب‌های مختلف می‌کند که پیگیری را سخت می‌کند. در صورتیکه پول در مبدأ متوقف شود، رسیدگی به پرونده بسیار سریع و آسان می‌شود.
  • در صورت قبول رسیدگی به تراکنش‌های مربوط به قماربازی و شرط‌بندی به عنوان تراکنش‌های ممنوعه، می‌توان از واریز مبالغ این تراکنش‌ها هم جلوگیری کرد.
  • می‌توان از رسیدهای کاغذی بی‌نیاز شد و درصورت قبول مشتری رسید صادر نشود.
  • دارندگان کارت می‌توانند از کلیه تراکنش‌های خود در صورت موفقیت و غیره به همراه سابقه آنها (مثل فروشگاهی که خرید کرده‌اند) مطلع شوند.
  • با ارائه وب‌سرویس به شرکت‌های علاقه‌مند و پیشرو می‌توان نرم‌افزارهایی برای مدیریت مالی کلیه حساب‌های فرد ایجاد کرد.
  • پذیرندگان در پایان روز و هفته می‌توانند از سامانه گزارش‌گیری کنند و لذا نیازی به گزارش‌گیری از پایانه خود و مصرف کاغذ ندارند که این موجب کاهش مصرف کاغذ می‌شود.


کارت به کارت از روی پایانه: فرصت‌ها و راهکارها

نوشته شده توسط :سعید كلانتری
شنبه 9 آذر 1398-03:40 ب.ظ

یکی از اهداف دولت الکترونیک و گرایش به سمت ارائه خدمات الکترونیک، سهولت دسترسی مردم به خدمات روزمره است. یکی از مهم‌ترین خدماتی که در سال‌های اخیر مبتنی بر خدمات الکترونیک و فناوری توسعه پیدا کرده، خدمات بانکداری است.

در خدمات بانکداری سعی می‌شود در حد امکان مراجعه مشتریان و صاحبان حساب و صاحبان کارت به شعب بانک کم شود. همچنین سفرهای درون‌شهری کاهش یابد و اشخاص در هرجایی که هستند، محل کار و یا منزل بتوانند فقط با اتصال به اینترنت خدمات خود را انجام دهند.

در راستای کاهش مراجعه به شعب، کاهش حمل وجه نقد و سهولت انجام معاملات و ضریب نفوذ، پایانه‌های فروشگاهی در کشور بسیار افزایش یافته و کاربرد و استفاده آن روزبه‌روز در حال گسترش است. امروزه علاوه بر مغازه، در بین دست‌فروش‌ها، پیک‌ها و بقیه افراد فعال در حوزه کسب‌وکار می‌توانید یک پایانه فروش ببینید.


یکی از تراکنش‌های پرکاربرد روزانه افراد، تراکنش کارت به کارت است. امروزه این تراکنش، به دو طریق قابل انجام است: جابجایی و مراجعه به یکی از کیوسک‌ها یا دستگاه‌های خودپرداز، یا استفاده از نرم‌افزار و اپلیکیشن‌های پرداخت رسمی.

در این مطلب پیشنهاد می‌شود ابزار دیگری هم به دسته ابزارهای ممکن برای انجام خدمات کارت به کارت اضافه شود که پایانه‌های فروشگاهی است و سپس به فرصت‌ها و راهکارهای آن بپردازد.

مهم‌ترین دلیلی که تابه‌حال شرکت‌های پرداخت به سراغ تراکنش‌های کارت به کارت روی پایانه‌های فروشگاهی نرفته‌اند، ندادن مجوز از سوی بانک مرکزی و شرکت شاپرک است. نویسنده به این موضوع آگاه است؛ ولی تلاش می‌کند با مطرح کردن آن، تلاشی برای بازنگری قانونی و تشویق مسئولین به صدور مجوز انجام داده باشد.

.

تعاریف

سامانه هریم: سامانه هریم یا هدایت رمز یکبار مصرف یا سامانه ارزش‌افزوده شتاب، سامانه‌ای است که توسط بانک مرکزی در حال راه‌اندازی است که به کلیه درگاه‌های پرداختی که از رمز دوم استفاده می‌کنند و نیز به کلیه بانک‌ها متصل است. هرگاه دارنده کارت بخواهد یک تراکنش با استفاده از رمز دوم انجام دهد، یک درخواست رمز دوم پویا برای بانک صادرکننده ارسال می‌شود. بانک، رمز دوم پویا را به شماره همراه تعیین شده دارنده کارت پیامک می‌کند. دارنده کارت رمز دریافتی را در سامانه پرداخت وارد می‌کند و تراکنش انجام می‌شود.

هاب شاپرک: سوئیچ کارت به کارت شاپرک، سامانه‌ای که توسط آن تراکنش‌های کارت به کارت به‌ صورت متمرکز انجام می‌شود و در حال راه‌اندازی است.

.

فرصت‌ها

اولین مزیت استفاده از پایانه‌ها برای استفاده از خدمت کارت به کارت، ضریب نفوذ آنهاست. با توجه به اینکه حداقل نیاز پایانه‌ها برای انجام تراکنش، یک خط تلفن شهری و نیز ضریب نفوذ خطوط تلفن شهر بسیار بیشتر از اپلیکیشن موبایل و اینترنت است، لذا قطعاً با ارائه این خدمت بر دستگاه‌های کارت‌خوان، دسترسی افراد به این خدمت با سهولت بسیار زیادی مواجه خواهد شد و این مسئله به‌خصوص در شهرستان‌ها مشهود خواهد بود.

با توجه به اینکه انجام این خدمت با دستگاه کارت‌خوان بسیار ساده‌تر از انجام آن به‌وسیله گوشی تلفن همراه خواهد بود، برای افراد مسن نیز انجام این خدمت بسیار سادتر است.

مزیت بعدی اجرا و پیاده‌سازی تراکنش‌های کارت به کارت بر روی پایانه‌های فروش، کاهش تجمع مشتریان مقابل دستگاه‌های خودپرداز بانکی و نیز کاهش هزینه‌های نگهداری آن دستگاه‌ها است؛ زیرا آنها دستگاه‌های پرهزینه‌تری نسبت به کارت‌خوان‌ها هستند.

همچنین از نظر شرکت‌های پرداخت و شبکه بانکی، این نوع تراکنش کارمزد مناسب‌تری نسبت به تراکنش خرید دارد.

مزیت دیگر وجود این تراکنش‌ها بر روی پایانه‌های فروشگاهی، استفاده صاحبان پایانه‌ها در دریافت آنی پول است. می‌دانیم که در روش فعلی تسویه شاپرک، پول در حداقل هشت ساعت بعد به حساب دارنده کارت واریز می‌شود؛ ولی در روش کارت به کارت، در همان لحظه به حساب دارنده کارت مقصد واریز می‌شود.

البته از نظر بانک مرکزی، مزیت بالا ممکن است یک قبح و تهدید حساب شود، زیرا تراکنش‌های با ماهیت خرید را به سمت تراکنش‌های کارت به کارت سوق می‌دهد. البته با توجه به راه‌اندازی قریب‌الوقوع هاب شاپرک و نظارت بر اینگونه تراکنش‌ها، این تراکنش‌ها نیز رصد می‌شود و در مورد آنها تصمیم‌گیری خواهد شد.

لازم به ذکر است که با توجه بالا بودن کارمزد تراکنش کارت به کارت، این تراکنش برای پرداخت‌های خرد مناسب نیست و رقیبی برای بازیگران حوزه پرداخت خرد نخواهد بود.

.

روش‌های انجام تراکنش

انجام تراکنش کارت به کارت به دو صورت ممکن است: کارت حاضر (card present) و بدون حضور کارت (card not present).

در تراکنش کارت حاضر باید اطلاعات کارت به همراه رمز اول آن استفاده شود. در تراکنش‌های بدون حضور کارت به شماره کارت، رمز دوم، CVV2 و تاریخ انقضای کارت نیاز است.

لازم به یادآوری است که تراکنش‌های کارت به کارت در زمان فعلی خارج از شبکه شاپرک و توسط بانک‌ها انجام می‌شود که مقرر شده است به‌زودی توسط هاب شاپرک به صورت متمرکز انجام شود که این خود موجب ایجاد فرصت‌های جدید برای شرکت‌های پرداخت است.

پروتکل ارتباطی بین پایانه‌های فروشگاهی و سوئیچ‌های شبکه پرداخت مبتنی بر ISO8583 است؛ اما ارتباط با سامانه‌های کارت به کارت عموماً به‌صورت وب‌سرویس و مبتنی بر جیسون است. با توجه به اینکه شبکه کارت به کارت از شبکه پرداخت مستقل بوده، لذا لازم است روی تجمیع کننده‌ها و قبل از ورودی سوئیچ‌های پرداخت با استفاده از تعریف یک NII جدا برای تراکنش‌های کارت به کارت، مسیر تراکنش را به سرور کارت به کارت انتقال دهیم تا در آن سرور به سادگی مسیج ISO8583 به یک جیسون تبدیل شود.

نکته مهم که باید به آن توجه کرد، امنیت ارتباط است. به نظر نگارنده امنیت ارتباط از دو روش قابل ابتیاع است. بهترین روش امن کردن کل ارتباط پایانه‌ها با لبه ورودی شرکت پرداخت به‌وسیله ارتباط TLS ایجاد شده که نیز الزام و توصیه شرکت شاپرک است.

ولی با توجه به اینکه ممکن است در جاهایی میسر نباشد، می‌توانیم در این کانال از همان روش PIN block استفاده و برای رمز دوم و CVV2 به همراه تاریخ به صورت یک رشته توسط تابع PIN block رمز ایجاد کنیم. همچنین در درگاه ورودی کانال به وسیله سامانه HSM و مدیریت کلید، آن را رمزگشایی و رمز دوم و بقیه اطلاعات را از آن استخراج کنیم.

پیاده‌سازی هر دو روش بر روی دستگاه‌های کارت‌خوان ممکن است؛ ولی برای انجام آن به صورت کارت حاضر باید تراکنش را به بانک ارسال کرد. زیرا با توجه به مستندات منتشر شده از هاب شاپرک این تراکنش در آن دیده نشده است.

پیاده‌سازی تراکنش کارت به کارت بدون حضور کارت بر روی پایانه‌ها، قبلاً یک دغدغه و ریسک بزرگ امنیتی داشت. با توجه به فیشینگ‌ها و پرونده‌های زیادی که در این باب وجود داشت، اضافه کردن این خدمت به دستگاه‌های کارت‌خوان، موجب انجام این تخلف بر روی کارت‌خوان‌های افراد می‌شد که خودبه‌خود صاحب مغازه‌ها و شرکت‌های پرداخت را در حوزه تخلفات درگیر می‌کرد.

اما امروزه با توجه به راه‌اندازی سامانه هریم و استفاده از رمز یکبار مصرف این ریسک به شدت کاهش یافته است و صاحبان کسب‌وکار می‌توانند به مشتریان خود اجازه دهند از دستگاه‌های کارت‌خوان مغازه برای انجام این تراکنش استفاده کنند.

بااین‌حال می‌توان برای رعایت مسائل امنیتی، این تراکنش‌ها را در فاز اول فقط روی پایانه‌های ثابتی که در مغازه‌ها و محل‌هایی با دوربین مداربسته نصب شده‌اند، فعال کرد.

.

نتیجه گیری

هم‌اکنون انجام تراکنش کارت به کارت بر روی پایانه‌های فروشگاهی ممنوع است، ولی با توجه به سهولتی که برای کاربران ایجاد می‌کند، به نظر می‌رسد لازم است صدور مجوز برای آنها توسط مراجع ذی‌صلاح مورد بازنگری قرار گیرد. هم‌اکنون اکثر شرکت‌های پرداخت، این خدمت را بر روی اپلیکیشن‌های تلفن همراه خود ارائه می‌کنند، اما ارائه آن بر روی کارت‌خوان می‌تواند نیاز بیشتری از جامعه را برطرف کند و ضریب نفوذ خدمات بانکداری الکترونیک را افزایش دهد.

بدیهی است که این تغییر در خدمات و سرویس‌دهی نیازمند بررسی ریسک‌های موجود است. در این مطلب به ریسک امنیت ارتباط پرداخته شد. البته به ریسک‌هایی مانند جلوگیری از استفاده از کارت‌های دزدی، تطابق اطلاعات دارنده کارت و مالک پایانه، حتی دغدغه‌های سازمان امور مالیاتی اشاره نشده؛ اما برطرف کردن آنها سخت نیست، فقط نیازمند همت و اراده سازمان‌های ذی‌ربط است.

کلام آخر: اضافه کردن انجام خدمت کارت به کارت به پایانه‌های فروشگاهی دارای فرصت‌هایی است که با مدیریت صحیح می‌تواند بر تهدیدهای آن غلبه کند.



اندامها در پیکره شرکت پرداخت

نوشته شده توسط :سعید كلانتری
شنبه 9 آذر 1398-03:38 ب.ظ

می خواهم شرکتهای پرداخت را به اندامهای یک انسان تشبیه کنم و نقش هریک را مشخص کنیم. برای این کار نیاز است که در ابتدا من کمی در مورد شرکتهای پرداخت و واحدهای آن توضیح دهم و سپس واحدها را به اندامهای یک پیکر تشبیه کنم.

شرکتهای پرداخت، شرکتهایی هستند که به پرداخت های مبتنی بر کارت ( با حضور کارت یا بدون حضور کارت) در شبکه شاپرک می پردازند. شرکتهای پرداخت ملزم به رعایت الزامات شاپرک هستند و قطعا از نظر ساختاری و تعداد پرسنل و و واحدها با هم متفاوت هستند ولی فکر می کنم همگی در در داشتن بعضی از واحدها مشترک باشند. یا به نوعی می توان گفت وجود این واحدها در این شرکتها الزامی و حتمی است که سعی می شود در این نوشته به نقش کلی انها اشاره شود. قطعا در شرکتهای مختلف نقش های دیگری هم دارند.

1-      واحد امور مشتریان: این واحد وظیفه بازاریابی و جذب مشتری و ورود اطلاعات مشتری به سایت پذیرندگان  را دارد. البته واحد بازاریابی و جذب مشتری ممکن است د راختیار توسعه بازار و یا واحد مستقلی به نام بازرگانی و .... باشد

2-      سایت پذیرندگان: سامانه ارسال اطلاعات پذیرندگان به شاپرک است. سایت پذیرندگان باید بعد از دریافت تاییدیه از شاپرک در خصوص اطلاعات ارسالی ، این اطلاعات را در سوئیچ هم درج کند. وظیفه اصلی ان یکسان بودن  اطلاعات شاپرک و سوئیچ است.

3-      شاپرک: شرکتی است متعلق به بانکها و بانک مرکزی که وظیفه ان اتصال شرکتهای پرداخت به شبکه شتاب و شبکه بانکی است.

4-      شبکه شتاب : شبکه ای است که بانکها کشور را بهم متصل می کند و بوسیله ان پول بین بانکها جابجا می شود. یعنی پول از حساب یک نفر در بانک ملی برداشت می شود و  به حساب یک نفر در بانک ملت واریز می شود.

5-      پذیرنده : افرادی که اقدام به دریافت پایانه و یا ابزار پذیرش از شرکتهای پرداخت می کنند و شماره  حساب  بانکی و یا همان شبای خود را برای واریز وجوه  پرداخت شده در ابزار پذیرش را اعلام می کنند.

6-      سوئیچ : نرم افزار یا مجموعه ابزاری است که تراکنشها را از ابزارهای پذیرش دریافت می کند. بعد از بررسی و صحت سنجی آنها  را برای شاپرک ارسال می کند. و پاسخ را دریافت کرده و به ابزار پذیرش می دهد. چرخه حیات یک تراکنش از زمانی است که اطلاعات کارت در ابزار پذیرش وارد می شود تا زمانی که پول به حساب صاحی پایانه واریز می شود و واحد سوئیچ بر کل چرخه حیات یک تراکنش نظارت دارد.

7-      ابزار پذیرش : به پایانه فروشگاهی و یا درگاه اینترنتی و یا حتی سرکد USSD می توان ابزار پذیرش گفت. به طور عام هر ابزار و سامانه ای که در ان اطلاعات کارت دریافت می شود واز طریق ان پرداخت انجام می شود را ابزار پذیرش می نامیم.

8-      واحد ابزار پرداخت: وظیفه ان رسیدگی به امورات فنی درگاه های پرداخت و ابزارهای پذیرش و رسیدگی و بروز کردن آن ها است.

9-      امور نمایندگان : وظیفه رسیدگی و مراقبت از درگاه های پرداخت بخصوص درگاه های پرداخت فروشگاهی که نیاز به حمایت های مثل تامین کاغذ رسید دارند را بعهده دارند.

10-   کال سنتر یا همان مرکز تماس: واحدی است که مشتریان و دارندگان کارت در صورتیکه به مشکلی در فرایند تراکنش یا تسویه پول برخورد کنند با یان واحد تماس می گیرند.

11-   واحد مغایرت : چنانچه پرداختی انجام شود ولی مبلغ پول کسر شده از حساب دارنده کارت به حساب دارنده پایانه فروشگاه واریز نشود، عموما مشکل توسط واحد مغایرت بر طرف می شود. همچنین در صورتیکه گپرداخت ناموفقی وجود داشته باشد و پول کسر شده به حساب دارنده کارت برگشت داده نشود، عموما واحد مغایرت مشکل را برطرف می نماید.

12-   واحد NOC و یا مانیتورینگ : که وظیفه پایش 7در 24 تراکنشها و سلامت سیستمها را دارد.

13-   واحد امنیت : وظیفه نظارت بر فرایندهای شرکت پرداخت و حفظ مثلث امنیت را دارا می باشد.

14-   واحد دیتابیس : وظیفه نگهداری اطلاعات و داده ها را به مدت طولانی با حفظ اصول و در دسترس بودن انها برای گزارشات را برعهده دارد.

15-   واحد دیتاسنتر : که وظیفه نگهداری و حفظ و بستر سازی از کلیه سرورها و ابزارهای ارتباطی و حفظ داده و غیره را دارد.

حال فرض می کنیم که شرکت پرداخت یک انسان است و هر یک از اجزای یک شرکت پرداخت را به اندامهای این انسان یا پیکر تشبیه می کنیم:


ادامه مطلب



درباره وبلاگ:



آرشیو:


طبقه بندی:


آخرین پستها:


پیوندها:


پیوندهای روزانه:


صفحات جانبی:


نویسندگان:


ابر برچسبها:


آمار وبلاگ:







The Theme Being Used Is MihanBlog Created By ThemeBox