به گزارش خبرهای بانکی، وجود پیمانکاران و شرکتهای مختلف برای تهیه نرمافزارهای پایانههای فروشگاهی در صنعت پرداخت اتفاق جدیدی نیست و همواره وجود داشته است. ولی به نظر میرسد در سالهای اخیر رشد بیشتری کرده است و شرکتهای زیادی بهعنوان پرداختیار و یا قرارداد هدایت تراکنشی وارد این عرصه شدهاند. البته یکی از دلایل رشد و ورود شرکتهای متخلف ورود برندهای مختلف شرکتهای چینی به صنعت پرداخت ایران است.
در کنار ورود شرکتهای جدید و نوپا به این صنعت، تغییر دیگری که در بازار رخ داده است، افزایش تعداد و برندهایی است که برای اتصال به سوئیچهای شرکت پرداخت از شبکه اینترنت بهجای شبکه تلفنی و یا DIAL استفاده میکنند. میخواهیم در این مطلب به ریسکهای دو اتفاق بالا توجه کنیم.
مهمترین دغدغه امنیتی در شبکه پرداخت کشور، حفظ و مراقبت از PIN و PAN کاربران است. با توجه به اینکه ما از کارتهای مغناطیسی استفاده میکنیم، لو رفتن PIN و PAN کارتها بهراحتی میتواند موجب سوءاستفاده و سرقت پول از حسابهای بانکی شود.
ازنظر نگارنده، مهمترین ریسکی که با ورود شرکتها و برندهای مختلف به شبکه پرداخت کشور وارد میشود، ذخیره شدن اطلاعات کارت افراد توسط این شرکتهای جدید و پایانههای آنها است. در ابتدا به دو ریسک متداول استفاده از برنامهنویس کارتخوان مختلف اشاره میکنم:
برنامهنویس میتواند در برنامه دستکاری کند تا درصورتیکه کارتهای خاصی (مثلاً کارت متعلق به برنامهنویس) روی کارتخوان کشیده شد، دستگاه بعد از یک ثانیه مکث پیام تراکنش موفق را چاپ کند. این تراکنش هرگز به سوئیچ شرکت پرداخت ارسال نمیشود و لذا پول از حساب کسر نمیشود. همچنین گزارش این تراکنش هم در پایانه ثبت نخواهد شد. لذا دارنده پایانه بهسختی خواهد توانست ثابت کند چنین تراکنشی انجام داده است.
برنامهنویس میتواند اطلاعات کارت دارنده کارت مثل track2 و شماره رمز را ذخیره کند و آن را به برنامهنویس متخلف تحویل دهد تا برنامهنویس متخلف با استفاده از آن از کارت کپی تهیه کند و تخلف انجام دهد.
چک کردن برنامه تولیدشده توسط شرکتهای متعدد به سادگی میسر نیست و این شرکتها عموماً توان نظارت بر برنامههای تولید شده توسط برنامهنویسان خود را ندارند؛ لذا در صورت بیدقتی هردو احتمال بالا ممکن است. ولی باید توجه کرد که خسارت ریسک شماره یک با ریسک شماره دو بسیار متفاوت است.
در مورد شماره یک برنامهنویس متخلف در صورت خرید با مبلغ بالا خیلی زود شناسایی میشود. لذا باید با مبالغ پایین تخلف انجام دهد و خرید انجام دهد. همچنین فقط روی پایانههایی میتواند تخلف انجام دهد که نرمافزار خودش نصب شده باشند.
ولی در مورد دو اطلاعات کارت بیشماری با مبالغ مختلف به دست میآید که با آنها میتوان روی پایانههای شرکتها تخلف کرد و چون اطلاعات کارتها از روی کارتخوانهای مختلف به دست آمده است، ردیابی سخت میشود.
سوالی که اینجا پیش میآید این است که برنامهنویس متخلف چگونه میتواند به اطلاعات کارتهای ذخیره شده دسترسی پیدا کند و آنها را مورد استفاده قرار دهد؟ در گذشته که پایانهها up dial بودند، امکان ارسال اطلاعات برای برنامهنویسان به آدرس دلخواه بسیار سخت و حتی ناممکن بود ولی امروزه با توجه به اینترنتی شدن پایانههای فروشگاهی، فقط لازم است یک پیام رمز شده به یک آدرس وب در اینترنت ارسال شود و اطلاعات کارت بهصورت رمز شده در یک دیتابیس ذخیره شود.
هدف از این یادداشت ارائه راهکار به متخلفین نیست. بدیهی است که برنامهنویسان متخلف قطعاً راهکارها و ایدههایی دارند که حتی ممکن است به فکر ماهم نرسیده باشد زیرا چو ی با چراغ آید، گزینهتر برد کالا.
هدف از این مطلب توجه مدیران شرکتهای پرداخت به استفاده از برنامهنویسان مختلف و ناشناخته در طراحی برنامههای پایانهها است. باید مدیران حتماً سورس برنامهها را دریافت کنند. در صورت امکان برای ممیزی آنها اقدام کنند. تستهای امنیتی برای اطمینان از صحت عملکرد برنامهها انجام دهند و تنها فاکتورها برای مشخص کردن برندههای مناقصه مبلغ و تحویل کار در زمان مناسب نباشد.
به نظر نگارنده در صورت بروز چنین تخلفی، کشف متخلف و برنامه متخلف بسیار سخت است و ممکن است اصلاً ممکن نباشد. حتی درصورت دستگیری فرد سوءاستفاده کننده، ممکن است او هرگز لو ندهد به چه روشی این مشخصات را به دست آورده است.
سو برداشت دیگری که ممکن است از این مطلب شود، عدم ایجاد فرصت برای رشد شرکتها و افراد مستعد و نوپا در این صنعت است. بدیهی است که افراط و تفریط هردو ناپسند است و باید به جوانان و شرکتهای مستعد هم فرصت رشد و ارائه خلاقیت داد؛ زیرا وقوع این تخلف توسط برنامهنویسان یک شرکت پرداخت و یا یک شرکت معتبر نیز وجود دارد، ولی در شرکتهای پرداخت و در شرکتهای معتبر قطعاً نظارت بیشتری بر برنامهنویسان و کدهای تولید شده دارند و کدها توسط واحدهای مختلف مورد بررسی قرار میگیرد. همچنین بر روی خود افراد نیز نظارت بیشتری وجود دارد و برای به دست آوردن جایگاه و ماندگاری در این صنعت راه درازی را پیمودهاند.
ضروری است که کلیه مدیران شرکتهای پرداخت، شرکتهای ناظر و واحد امنیت باید ریسک حضور برنامهنویسان و شرکتهای برنامهنویسی پایانههای فروشگاهی را مدنظر قرار دهند و با ایجاد فرایندها و دستورالعملهای مناسب از وقوع تخلفات جلوگیری کنند. لیست ریسکها قطعا بیشتر از موارد اشارهشده در این مطلب است.
هدف اصلی این مطلب فقط افزایش نظارت مؤثر و سازنده و توجه به ریسکها است. در مطلب بعدی به یک راهکار عملی مناسب برای کاهش ریسک و جلوگیری از نشت اطلاعات کارت توسط پایانهها اشاره خواهم کرد.
شرکتهای ,یک ,پرداخت ,کارت ,برنامهنویس ,اطلاعات ,این مطلب ,ممکن است ,است که ,اطلاعات کارت ,برنامهنویس متخلف
درباره این سایت