تسهیل کار پرداخت‏‏‌یاری‏‏‌ها با خطر نشت داده

کارشناسان امنیتی معتقدند که پرداخت‌‌‌یارها باید امنیت سیستم‌ها را ارتقا دهند تا از خطر نشت اطلاعات کاربران جلوگیری کنند

در مصوبه جدید کارگروه تعامل‌‌‌پذیری دولت الکترونیکی، سازمان امور مالیاتی مکلف به ارائه سرویس استعلام وضعیت ثبت‌‌‌نام مالیاتی به شرکت‌های پرداخت‌‌‌یاری شد. ارائه سرویس‌‌‌های انطباق اطلاعات هویتی و کدپستی از طریق مرکز تبادل اطلاعات به شرکت‌های پرداخت‌‌‌یاری، بخش دیگری از مصوبه کارگروه تعامل‌‌‌پذیری دولت الکترونیکی است؛ مصوبه‌‌‌ای که از نظر فعالان حوزه فین‌‌‌تک باعث تسهیل کار شرکت‌های پرداخت‌‌‌یاری شده و در نهایت فرآیند ثبت‌‌‌نام پذیرندگان را بسیار راحت‌‌‌تر خواهد کرد. با این همه موضوع قابل‌‌‌توجه، نشت اطلاعات کاربران است. کارشناسان امنیت شبکه معتقدند که حفاظت از اطلاعات هویتی و مالیاتی کاربران تا پیش از این زیر نظر مرکز ملی تبادل اطلاعات بود، اما حالا این اطلاعات در اختیار شرکت‌هایی‌‌‌ خواهد بود که مشخص نیست از چه استانداردهای امنیتی پیروی می‌کنند. به عقیده آنها باید استانداردهای مربوط به استفاده از این سرویس‌‌‌ها را به شرکت‌های پرداخت‌‌‌یاری داده باشند و خود شرکت‌ها هم باید امنیت سیستم‌هایشان را ارتقا دهند تا بتوانند از خطر نشت اطلاعات کاربران جلوگیری کنند.

مصوبه‌‌‌ای برای تسهیل ثبت‌‌‌نام پذیرندگان

کارگروه تعامل‌‌‌پذیری دولت الکترونیکی در جلسه‌‌‌‌‌‌ای که نهم آبان ماه برگزار شد، مصوبه ارائه سرویس‌‌‌های انطباق اطلاعات هویتی و استعلام وضعیت‌‌‌ ثبت‌‌‌نام مالیاتی را به شرکت‌های پرداخت‌‌‌یاری تصویب کرد. این طرح بنا به درخواست شرکت‌های پرداخت‌‌‌یاری برای اجرای مواد ۱۰ و ۱۱ قانون پایانه‌‌‌های فروشگاهی و سامانه مؤدیان در جلسه کارگروه تعامل‌‌‌پذیری دولت الکترونیکی مطرح شد و در نهایت با موافقت اعضای این کارگروه به تصویب رسید. بر این اساس، از این پس شرکت‌های پرداخت‌‌‌یاری می‌توانند از طریق مرکز ملی تبادل اطلاعات به سرویس‌‌‌های تطبیق اطلاعات هویتی و سرویس استعلام کد پستی دسترسی پیدا کنند و در ارائه درگاه پرداخت اینترنتی (IPG) به مشتریان خود از این سرویس‌‌‌های تطبیق هویتی و استعلام مکانی استفاده کنند. در مصوبه کارگروه تعامل‌‌‌پذیری دولت الکترونیکی آمده است: «سرویس‌‌‌های انطباق اطلاعات هویتی و سرویس استعلام کد پستی از طریق کارورهای‌‌‌ مرکز ملی تبادل اطلاعات در اختیار شرکت‌های پرداخت‌‌‌یاری قرار گیرد.» همچنین قرار شد سازمان امور مالیاتی به شرکت‌های پرداخت‌‌‌یاری یک سرویس استعلامی نیز ارائه کند.

به این ترتیب شرکت‌های پرداخت‌‌‌یاری می‌توانند از وضعیت ثبت‌‌‌نام مالیاتی مشتریان خود اطلاع پیدا کنند و با توجه به وضعیت ثبت‌‌‌نامی درخواست‌‌‌دهنده، ارائه درگاه پرداخت اینترنتی را انجام دهند. در متن مصوبه کارگروه تعامل‌‌‌پذیری عنوان شده است: «سازمان امور مالیاتی یک سرویس به نام استعلام وضعیت ثبت‌‌‌نام مالیاتی را از طریق کارورهای‌‌‌ مرکز ملی تبادل اطلاعات برای ارائه به شرکت‌های پرداخت‌‌‌یاری ارائه کند.»

در ادامه این مصوبه میزان دسترسی شرکت‌های پرداخت‌‌‌یاری به اطلاعات سازمان امور مالیاتی مشخص شده است. بر این اساس، میزان دسترسی شرکت‌های پرداخت‌‌‌یاری در دو محور ثبت‌‌‌نام‌‌‌ یا عدم‌ثبت‌‌‌نام و مقدار عددی خواهد بود. در متن مصوبه به این موضوع اشاره شده است: «این سرویس در ورودی شناسه ملی به همراه کد رهگیری ثبت‌‌‌نام مالیاتی و در خروجی دو قلم اطلاعاتی بلی/خیر (بلی به معنی ثبت‌‌‌نام تا مرحله تعیین‌‌‌شده توسط امور مالیاتی و خیر به معنی عدم‌تکمیل ثبت‌‌‌نام) و یک شناسه عددی که در صورت اعلام عدم‌تکمیل ثبت‌‌‌نام (مقدار برگشتی خیر) این قلم اطلاعاتی یک عدد نشانگر شماره مرحله در فرآیند ثبت‌‌‌نام امور مالیاتی است.»

به نظر می‌رسد که مصوبه جدید فرآیند ثبت‌‌‌نام پذیرندگان را در شرکت‌های پرداخت‌‌‌یاری به‌‌‌طور قابل‌‌‌توجهی تسهیل کند. محمدمهدی فاطمیان رئیس انجمن فین‌‌‌تک در این باره به خبرنگار «دنیای‌اقتصاد» می‌‌‌گوید: «در فرآیند ثبت‌‌‌نام، پرداخت‌‌‌یارها برای دریافت درگاه پرداخت اینترنتی از شاپرک موظف هستند که از کاربران کد مالیاتی دریافت کنند تا در نهایت بتوانند به آنها درگاه بدهند. در خصوص موضوع استعلام پرونده مالیاتی که در کارگروه اقتصاد دیجیتال مصوب شد، این بحث مطرح بود که وقتی کاربر به یک پرداخت‌‌‌یار مراجعه می‌کند، این شرکت بتواند کد رهگیری مالیاتی مربوط به آن فرد را استعلام بگیرد و نیازی نباشد فرد برای دریافت کد مالیاتی‌‌‌اش به پنل مالیاتی‌‌‌ مراجعه کند و در نهایت پس از دریافت کد، آن را به شرکت پرداخت‌‌‌یار ارائه دهد. این مصوبه چنین فرآیندی را تسهیل کرده است. به‌‌‌ طور کلی در این فرآیند قرار نیست اطلاعات عجیب و اضافه‌‌‌ای به شرکت‌های پرداخت‌‌‌یاری داده شود.»

او در ادامه می‌‌‌افزاید: «موضوع دیگری هم که مطرح بوده است اما در این جلسه مصوب نشده، بحث ثبت‌‌‌نام پرونده مالیاتی است. پیشنهاد این بود که وقتی کاربر می‌‌‌خواهد درگاه پرداخت بگیرد، به جای آنکه دوباره به پنل سازمان مالیاتی مراجعه کند و همان اطلاعات هویتی را که در پنل شرکت پرداخت‌‌‌یار برای دریافت درگاه وارد کرده بود، مجددا در پنل سازمان مالیاتی برای دریافت کد رهگیری مالیاتی وارد کند، پرداخت‌‌‌یارها بتوانند آن را در سامانه مالیات ثبت کنند و کد مالیاتی را بگیرند. با این حال این موضوع هنوز تصویب نشده است. استعلام هویتی هم در حد همان احراز هویت اولیه است، مانند همان موضوع تطابق کد ملی با شماره موبایل و از این دست اطلاعات.»

به طور کلی شرکت‌های پرداخت‌‌‌یاری برای ارائه درگاه پرداخت به پذیرندگان، طبق آیین‌‌‌نامه چگونگی مبارزه با پولشویی، باید اطلاعات هویتی آنها را به‌‌‌طور کامل بررسی می‌‌‌کردند. بنا به گفته فعالان این حوزه، این فرآیند در گذشته از طریق شرکت‌های واسطه انجام می‌‌‌شد و زمان انجام آن را طولانی می‌‌‌کرد. مصطفی امیری دبیر انجمن فین‌‌‌تک و مدیرعامل زرین‌‌‌پال در این‌باره به «دنیای‌اقتصاد» می‌‌‌گوید: «طبق آیین‌‌‌نامه چگونگی مبارزه با پولشویی، یکسری تکالیف برای اشخاص و در واقع کسب‌و‌کارهایی تعریف شده است که با سرویس‌‌‌های مالی در ارتباط هستند. این شرکت‌ها باید یکسری بررسی‌‌‌ها را از اطلاعات هویتی گرفته تا مسائل مرتبط با پرونده مالیاتی و مجوزهای کسب‌وکارها و فعالیتی که در حوزه انجام می‌دهد، انجام دهند. در آن قانون، به نهادهای حاکمیتی تکلیف شده است تا این دسترسی‌‌‌ها را در اختیار شرکت‌های پرداخت‌‌‌یاری قرار دهند.»

او در ادامه اظهار کرد: «واقعیت این است که قانون‌گذار به صورت مشخص تکلیف کرده است که اطلاعات باید به صورت کامل بررسی شود و بعد سرویس مالی در اختیار پذیرندگان قرار داده شود. عملا با تخصیص ندادن سرویس‌‌‌های این‌چنینی، مسیر برای شرکت‌های پرداخت‌‌‌یاری طولانی‌‌‌تر می‌‌‌شد. ما طی سالیان گذشته تمام این بررسی‌‌‌ها را از طریق سیستم‌های واسطه دیگر انجام می‌‌‌دادیم و فرآیند طولانی‌‌‌تری را می‌‌‌گذراندیم. اینجا هدف و خواست کارگروه آن بوده است که این عملیات را به نحوی تسهیل کند. تا پیش از تصویب شدن این مصوبه، پروسه پردازش حداقل ۴ ساعت اداری را تلف می‌‌‌کرد. حالا با اجرای این مصوبه، اطلاعات بر‌خط می‌شود. هر چند هنوز این سرویس در اختیار ما قرار نگرفته است، اما با در اختیار قرار گرفتن این سرویس، در زمان اداری حداقل یک زمان ۴ساعته صرفه‌‌‌جویی خواهد شد. در مجموع این سرویس سبب کوتاه شدن یک بازه زمانی ۱۰ساعته برای ارائه درگاه پرداخت خواهد شد.» مهدی عبادی دبیر سابق انجمن فین‌‌‌تک و مدیرعامل و هم‌‌‌بنیان‌گذار شرکت وندار نیز در خصوص تاثیر این مصوبه بر فعالیت شرکت‌های پرداخت‌‌‌یاری به خبرنگار «دنیای‌اقتصاد» می‌‌‌گوید: «این مصوبه به‌‌‌طور کلی تغییر خوبی برای شرکت‌های پرداخت‌‌‌یاری خواهد بود. ما در ثبت‌‌‌نام کاربران و گرفتن درگاه برای آنها - به دلایل مشکلاتی که در کد مالیاتی‌‌‌شان وجود داشت- دچار چالش‌‌‌های زیادی بودیم. دسترسی به این سرویس‌‌‌ها به ما اجازه می‌دهد تا کاربران را به راحتی ثبت‌‌‌نام کرده و کد مالیاتی‌‌‌شان را استعلام کنیم و چالش‌‌‌هایی که در این زمینه وجود داشت، از بین برود.»

خطر نشت اطلاعات

هر چند این مصوبه فرآیند ثبت‌‌‌نام پذیرندگان را در شرکت‌های پرداخت‌‌‌یاری تسهیل می‌کند، اما خطر نشت اطلاعات کاربران طی این فرآیند وجود دارد. کارشناسان حوزه امنیت شبکه معتقدند که برای جلوگیری از چنین اتفاقی باید به شرکت‌های پرداخت‌‌‌یاری استانداردهای مربوط به استفاده از این سرویس‌‌‌ها داده شود و خود شرکت‌ها هم باید امنیت سیستم‌هایشان را ارتقا دهند. در همین راستا سعید سوزنگر، کارشناس حوزه امنیت شبکه، به «دنیای‌اقتصاد» می‌‌‌گوید: «زمانی که یک وب‌‌‌سرویس یا ای‌‌‌پی‌‌‌آی (API) در اختیار چند سرویس‌‌‌دهنده قرار بگیرد، این امکان وجود دارد که تمهیدات لازم برای موضوع نشت داده در مقصد، یعنی در همان مرکز ملی تبادل اطلاعات، تعریف شده باشد. برای مثال شاید مشخص شده باشد که برای جلوگیری از گردآوری و جمع‌‌‌آوری داده، روزانه و در دقیقه به صد خدمت پاسخ دهند. با این همه مساله اینجاست که سطح امنیت دسترسی به این وب‌‌‌سرویس‌‌‌ها که تا پیش از این زیر نظر مرکز ملی تبادل اطلاعات بوده، حالا در اختیار شرکت‌هایی‌‌‌ است که مشخص نیست از چه استانداردهای امنیتی پیروی می‌کنند و چه تیم‌‌‌های امنیتی دارند.»

او در ادامه اضافه می‌کند: «در نشت داده کلی ممکن است دغدغه زیادی وجود نداشته باشد، اما در حال حاضر تعداد زیادی از شرکت‌های پرداخت‌‌‌یاری به این سرویس دسترسی خواهند داشت که سطح امنیت‌‌‌شان مشخص نیست؛ در نتیجه اگر آن شرکت پرداخت‌‌‌یاری سیستم امنیتی مناسبی نداشته باشد و به نوعی نشت داده هدفمند صورت بگیرد، از اطلاعات کاربران سوءاستفاده می‌شود. با این همه این شرکت‌ها برای دریافت اطلاعات باید به مرکز ملی تبادل اطلاعات درخواست‌‌‌شان را بفرستند. در این مرکز جلوی درخواست‌‌‌های نامحدود و خارج از عرف گرفته می‌شود و تا زمانی که درخواست ارسال نشود، داده‌‌‌ای هم وارد سیستم پرداخت‌‌‌یاری نخواهد شد.»

او با تاکید بر اینکه تنها نگرانی موجود آن است که شرکت‌های پرداخت‌‌‌یاری سیستم امنیتی ناامن داشته باشند، ادامه داد: «در این صورت ممکن است یک نفر در دقیقه صد درخواست بفرستد و در یک روز اطلاعات ده‌هزار نفر را جمع‌‌‌آوری کند. تا پیش از این باید یک سازمان دولتی را با آن همه سیستم امنیتی هک می‌‌‌کردند و به این داده‌‌‌ها دسترسی پیدا می‌‌‌کردند. اما حالا با هک یک شرکت پرداخت‌‌‌یاری که از سیستم متن باز یا کرک‌شده استفاده می‌کند، به راحتی می‌توانند به داده کاربران دسترسی پیدا کنند. بنابراین باید استانداردهای مربوط به استفاده از این سرویس جدید را به شرکت‌های پرداخت‌‌‌یاری بدهند و خود شرکت‌ها هم امنیت سیستم‌هایشان را ارتقا دهند. به طور کلی شرکت‌های پرداخت‌‌‌یاری یکسری الزامات حداقلی را پشت سر می‌‌‌گذارند تا بتوانند از شاپرک خدمات بگیرند، ولی این مسائل امنیتی مربوط به مسائل بانکی است. حالا باید علاوه بر آن تمهیدات، استاندارد و الزاماتی هم جهت دسترسی به سیستم‌های مالیاتی و هویتی در نظر گرفته شود.»

مصطفی امیری دبیر انجمن فین‌‌‌تک نیز با تاکید بر این موضوع که باید روی اطلاعاتی که در اختیار سکوها قرار می‌گیرد، نظارت وجود داشته باشد، می‌‌‌گوید: «سال‌هاست که بحث نشت اطلاعات مطرح است. حالا به واسطه گستردگی بسیار زیاد، حساسیت‌‌‌ بسیاری هم روی این موضوع به وجود آمده است. البته کارگروه (تعامل‌‌‌پذیری دولت الکترونیکی) مراقب موضوع نشت داده‌‌‌ها است و جایی که نیاز نبوده خروجی داده شود، سعی شده است تا کمترین میزان اطلاعات از مرکز ملی تبادل اطلاعات خارج شود. البته باید روی اطلاعاتی که در اختیار سکوها قرار داده می‌شود نیز نظارت وجود داشته باشد. به نظر می‌رسد راهکارهایی وجود داشته باشد که خطر نشت اطلاعات کاهش پیدا کند. به‌‌‌ طور کلی به نظر می‌رسد که با تصویب این مصوبه در ارائه خدمت به مشتری نهایی تغییر فاحشی اتفاق خواهد افتاد.»

مهدی عبادی، مدیرعامل و هم‌‌‌بنیان‌گذار شرکت وندار، در خصوص چالش‌‌‌هایی که ممکن است کاربران درباره نشت داده داشته باشند، به «دنیای‌اقتصاد» می‌‌‌گوید: «اولا اینکه پرداخت‌‌‌یارها الزاما این دیتاها را پیش خود نگه نمی‌‌‌دارند و تنها در زمان ثبت‌‌‌نام از آنها استفاده می‌کنند. یعنی دیتا را ذخیره نمی‌‌‌کنند تا بعد بخواهد برای آن اتفاقی بیفتد. دوما آنکه پرداخت‌‌‌یارها در هر صورت برای احراز هویت، اطلاعات هویتی پذیرندگان را به صورت دستی دریافت می‌‌‌کردند. در حال حاضر این شرایط مکانیزه شده و تغییری در آن ایجاد نشده است. درخصوص نشت اطلاعات مالیاتی هم باید گفت که اینها اطلاعات عجیبی نیستند که نشت‌‌‌شان مشکل ایجاد کند. در حقیقت تنها استعلام می‌شود که آیا مالکیت کد رهگیری مالیاتی در اختیار پذیرنده هست یا خیر. تنها در همین حد اطلاعات رد و بدل خواهد شد.»

کارشناسان معتقدند که این مصوبه جدید می‌تواند در تسهیل فرآیند‌‌‌های رایج در کار شرکت‌های پرداخت‌‌‌یاری راهگشا باشد و آن را قدمی در جهت حفظ حقوق پذیرندگان هم می‌‌‌دانند. با این حال موضوع امنیت داده‌‌‌های شخصی افراد و تهدید نشت اطلاعات، اگر جدی گرفته نشود، می‌تواند در ادامه به پاشنه آشیل اجرای این مصوبه تبدیل شود. حال باید دید که تمهید مرکز ملی تبادل اطلاعات برای چنین خطری چه خواهد بود.