خداوند کشور ما را از خشکسالی، دروغ، جنگ و سامانههای ناامنی مانند سامانه پیوند در امان بدارد.
بانک مرکزی به عنوان نهاد حاکمیتی، سامانههای مورد نیاز شبکه بانکی خود را از طریق شرکت خدمات انفورماتیک توسعه میدهد.
در سال ۱۳۹۴ با توجه به اختلاف نظرهایی که در خصوص استفاده از USSD در شبکه بانکی به وجود آمد، و نظر بانک مرکزی مبنی بر ممنوعیت استفاده از USSD در شبکه بانکی و در نهایت فشار اپراتورهای موبایل، بانک مرکزی تصمیم بر ایجاد سامانهای به نام سامانه پیوند گرفت تا ضعف امنیتی USSD را حداقل در حوزه احراز هویت کاهش دهد. سامانه پیوند شکل گرفت، اما نه به آن شکلی که قرار بود و سامانه پیوند تبدیل شد به سامانهای که عموم امکاناتش در راستای سادهسازی کاربری کارت بانکی در وب سایتها، اپلیکیشنها و همچنین USSD گردید. یعنی در زمانی که قرار بود با کمک سامانه پیوند امنیت برای استفاده از USSD ایجاد گردد، سامانهای به وجود آمد که نه تنها دغدغههای امنیتی را کاهش نداد، بلکه خود تبدیل شد به یک زنگ خطر.
در این یادداشت سعی بر آن خواهم داشت تا سامانه پیوند را از چند دیدگاه متفاوت مورد بررسی قرار دهم.
دیدگاه امنیتی
اطلاعات یک کارت بانکی (کارت مگنت یا مغناطیسی) به صورت عام شامل شماره کارت (Primery Account Number) یا همان شماره ۱۶ رقمی چاپ شده بر روی کارت بانکی، تاریخ انقضا و CVV2 است. این اطلاعات از دیگاه امنیتی با نام Card Holder Data شناخته میشوند و این اطلاعات بسیار محرمانه به حساب آمده نبایستی افشا گردد، چرا که با استفاده از این اطلاعات میتوان از یک حساب بانکی پول برداشت کرد. تنها موسسات مالی مورد تایید بانک مرکزی می توانند این اطلاعات را دریافت کرده و یا امکان دریافت این اطلاعات را در اختیار اپلیکیشنها و وبسایتها قرار دهند (مانند درگاههای پرداخت).
نگهداری این اطلاعات برای انجام تراکنش فقط برای صادر کننده آن کارت ممکن و قانونی است و باقی شرکتها و بانکها فقط امکان نگهداری شماره کارت را با شرایط امنیتی بسیار بالا، برای مصارف حسابداری خواهند داشت.
در صورتی که کاربر یکبار اطلاعات کارت(شماره کارت و تاریخ انقضا) خود را در یکی از اپلیکیشنها و یا وب سایتهایی که به سامانه پیوند متصل هستند وارد کنند، این اطلاعات در سامانه پیوند ثبت میگردد و این عمل خلاف مقررات و استانداردهای بینالمللی است. البته در شرایطی شرکتها می توانند شماره کارت را نگهداری کنند، اما نه برای انجام تراکنش.
در شبکههایی مانند ویزا و مستر کارت، این عملیات از طریق توکنی که متناظر اطلاعات کارت در نزد صادرکننده است انجام میشود و نه در نزد ویزا و مستر (چرا که صادر کننده کارت نیستند). ظاهرا بانک مرکزی تصورش بر این بوده که در این حوزه می تواند نقش ویزا و مستر را بازی کند و توکن در سامانه پیوند تولید و متناظر اطلاعات کارت قرار میگیرد. علاوه بر ان جمعآوری اطلاعات کارت تمام کاربران شبکه بانکی در یک سرویس مرکزی، منطقی به نظر نمیرسد.
دیدگاه محرمانگی اطلاعات کاربر
از دیدگاه محرمانگی اطلاعات کاربر، سامانه پیوند شاهکار زده است.
کاربر این حق را دارد که اطلاعات کارت خود را نزد هر کسی که خواست افشا کند، اما در این صورت خود بایستی مسئولیت خطرات ناشی از آن را به عهده بگیرد.
در سامانه پیوند اگر از اطلاعات کارت خود در سامانههای یک بانک استفاده کنید، این اطلاعات برای دیگر بانکهای متصل به سامانه پیوند نیز قابل استفاده خواهد بود. به عنوان مثال در صورتی که کاربر اطلاعات یک کارت را در سامانه اینترنت بانک ملت وارد کرده و یک تراکنش بانکی انجام دهد، در صورت استفاده از سامانه بانک ملی یا پیامرسان بله به عنوان مثال که به سامانه پیوند متصل است، اطلاعات کارت بانکی خود را مشاهده خواهد کرد.
دقت کنید که این اتفاق بدون اطلاع کاربر و بدون مجوز او انجام شده است و کاربر حق انتخابی برای ثبت یا عدم ثب اطلاعات کارت خود ندارد و فقط با یکبار استفاده این اطلاعات بین تمامی بانکها و در سامانه پیوند به اشتراک گذاشته میشود.
گذشته از اطلاعات کارت، همین که یک کاربر دارای چه حسابهای بانکی در کدام بانکهاست نیز جزو اطلاعات محرمانه کاربر به حساب میآید و نبایستی به اشتراک گذاشته شود.
لازم به ذکر مجدد است که تمامی این امکانات به بهانه ایجاد سهولت در عملیات انجام تراکنش پیاده شده است. یعنی امنیت فدای سهولت شده.
دیدگاه اجتماعی
در حال حاضر که ما فقط و فقط کارت دبیت داریم و تراکنش آنلاین، شاید اطلاعات کارت به محرمانگی اطلاعات کارت در دیگر کشورها نباشد، اما اگر روزی و روزگاری کارت اعتباری به روشی که در دیگر کشورها وجود دارد، در ایران نیز پیادهسازی شد، ایجاد این فرهنگ غلط که شماره کارت خیلی هم اطلاعات مهمی نیست، میتواند خطر آفرین باشد.
در پایان لازم است اشاره کنم به این نکته که با توجه به بخشنامه جدید بانک مرکزی مبنی ایجاد محدودیتهایی برای خدمات مبتنی بر USSD از ابتدای سال ۹۷، به نظر میرسد که سامانه پیوند عملا کارآیی خود را از دست خواهد داد و بهتر از یا جمعآوری شود و یا اینکه مورد بازبینی عمیقی قرار گیرد و کاربرد آن تغییر یابد و وظیفه ایجاد سهولت را به کنار گذارد.
در خصوص سامانه پیوند باز هم یادداشتهایی تخصصیتر خواهم نوشت.
