گفت و گوی تکفا با دکتر ولی فاطمی
منبع: http://iranwsis.org


اشاره: گفت و گو با دکتر ولی فاطمی، پس از آن انجام می‌شد که ما یک میزگرد با مدیران بانک‌های بزرگ برگزار کرده‌بودیم و پس از آن هم با معاون بانک مرکزی مصاحبه‌ای داشتیم. از این رو این امکان را داشتیم تا با بهره‌گیری از نکات و مشکلاتی که از قبل با آنها آشنا شده‌بودیم، گفت و گوی تخصصی‌تری را با دکتر فاطمی انجام دهیم. وی که دوره‌های کارشناسی و کارشناسی ارشد خود را در دانشگاه صنعتی شریف و دوره‌ی دکتری را در دانشگاه صنعتی امیرکبیر در رشته‌ی مهندسی کامپیوتر گذرانده‌است، سوابق و تجارب کاری بسیار مفید و ارزنده‌ای در زمینه‌ی نرم افزارهای مرتبط با بانکداری الکترونیکی دارد. وی با شرکت ملی انفورماتیک در زمینه‌ی سیستم‌های اتوماسیون بانکی، با شرکت لاله کامپیوتر و یکی از صندوق‌های قرض الحسنه در زمینه‌ی طراحی سیستم و بالاخره با شرکت کیش ویر در راستای طراحی و پیاده‌سازی سیستم‌های اتوماسیون بانکی همکاری داشته‌است. بانک ملت، بانک سامان، بانک اقتصاد نوین، موسسه‌ی اعتباری توسعه و صندوق انصار جزو مراکزی هستند که دکتر فاطمی در زمینه‌ی طراحی سیستم بانکداری الکترونیکی با آنها کار می‌کند. وی همچنین با کمیته‌ی پرداخت خود بانک مرکزی نیز همکاری می‌کند. اطلاعات و تجربیات وسیع و عملی دکتر فاطمی می‌تواند برای ما و شما جالب و خواندنی باشد:

فکر می‌کنید از چه زمانی در ایران خرید اینترنتی قابل اجرا باشد؟
ما در زمینه‌ی پرداخت الکترونیکی یا اینترنتی از چند سال پیش کارمان را با بانک سامان شروع کرده‌ایم. یکی از مهمترین دستاوردهایی که در حال حاضر وجود دارد، مربوط به بحث بانک اینترنتی است، به طوری که شما بتوانید عملیات بانکی به راحتی و بدون نیاز به حضور در شعبه انجام بدهید. یعنی علاوه بر اطلاع رسانی، دریافت صورت حساب و موجودی، بتوانید تبادل‌ الکترونیکی پول را نیز اجرا کنید. به عنوان مثال درخواست وام یا چک را بتوانید در اینترنت انجام دهید یا عملیات کارت را آنجا ثبت کنید. به طور کلی یک دروازه‌ای برای ورود به دنیای تجارت الکترونیکی( E-Commerce) فراهم شده‌است. در کنار این خدمات، ما بحث پرداخت اینترنتی را باپیاده سازی دو استاندارد مختلف برای پرداخت‌های خرد و کلان به انجام رسانده‌ایم. در مورد پرداخت‌های خرد قاعدتا سهولت و سادگی استفاده خیلی مهم است و امنیت در اولویت دوم اهمیت می‌با‌شد. البته بیمه در کنار این قضیه لازم است، اما بیمه‌ی مربوط به آن هم خیلی سنگین نیست. بحث دیگر در مورد پرداخت‌های کلان است که بیشتر در مورد معاملات بین سازمان‌های تجاری با یکدیگر(B2B) و یا بین سازمان‌های تجاری با دولت (B2G) و یا بین دولت‌ها با یکدیگر(G2G)برای تبادل مبالغ زیاد می‌باشد، یعنی مبالغ بالای چند صدهزار تومان یا چند میلیون تومان. در این سطوح، دیگر اشخاص، کمتر درگیر هستند و بیشتر شرکت‌ها لازم دارند که ارتباطات مالی خودشان را انجام دهند. در این پروتکل امنیت اولویت اول است و عدم انکار طرفین در انجام معامله اصل اساسی است. یعنی در دنیای مجازی یا اینترنت، ثبت سوابق و کار باید به گونه‌ای انجام شود که هیچ کس نتواند درستی آن را انکار کند. پروتکل مشهوری که در این زمینه در تمام دنیا وجود دارد، «ست» (Set) است که ما شکل ساده شده‌ای از این پروتکل را اجرا کرده‌ایم. این دو نرم افزار در حال حاضر در بانک سامان عملیاتی شده‌است. تا کنون در سطح کشور نزدیک به 60 مورد عقد قرارداد انجام شده و به زودی ارایه‌ی خدمات خرید یا فروش مجازی شروع می‌شود. این خدمات در حال حاضر با کارت بانک سامان در حال اجرا و قابل توسعه به عملیات کارت‌های عضو شتاب نیز می‌باشد. البته ما این خدمات را با کارت‌های عضو شتاب شروع و به صورت آزمایشی هم چند هفته راه‌اندازی کردیم، اما متاسفانه به خاطر نگرانی از عدم امنیت کافی در زیرساخت کارت‌های بانک‌های بزرگ و واکنش منفی چند بانک دولتی به توصیه‌ی بانک مرکزی به طور محدود تا زمانی که در یک کمیته‌ی خاص در بانک مرکزی ضرورت‌های بستر امنیتی برای بانک‌ها تدوین و ارایه شود، متوقف شده‌است. در زمانی که بانک‌ها در یک زمان‌بندی منطقی این امنیت را اجرا بکنند، این خدمات را به صورت یک کار فراگیر می‌توانیم انجام دهیم. من می‌توانم قول بدهم که ظرف 3-2 ماه آینده شرکت‌های بسیار زیادی خواهیم داشت که این سرویس را به مردم ارایه خواهند کرد.

یعنی واقعا می‌توان امیدوار بود که ظرف 3-2 ماه آینده بانکداری اینترنتی در ایران راه‌اندازی شده باشد؟
پرداخت اینترنتی حتما راه خواهد افتاد. خدمات بانک اینترنتی را بعضی بانک‌ها در حال حاضر هم دارند. من بیشتر منظورم موضوع پرداخت اینترنتی بود. همین الان شما می‌توانید با استفاده از اینترنت، یک خرید کارت تلفن یا کارت اینترنت را داشته باشید. اول مهر، زمان افتتاح سایت رجا است. من فکر می‌کنم راه اندازی خرید اینترنتی از سایت رجا به عنوان یک سایت مورد نیاز قشر گسترده‌ای از مردم، یک حرکت مناسبی خواهد بود. کافی است بانک مرکزی هم آن محدودیت را از روی بانک‌ها بردارد که ما بتوانیم به سرعت این خدمات را به صورت گسترده به مردم ارایه بدهیم. شرکت‌ها با جدیت تمام علاقمند هستند که این خدمت را ارایه کنند. یعنی برعکس بیشتر بانک‌ها که آمادگی پذیرش این ریسک را ندارند. شرکت‌هایی هم داریم که ریسک کامل عملیات را می‌پذیرند. هر چند که فروشنده بابت فروش اینترنتی یک درصدی از پرداخت را هزینه می‌کند،. فروشنده‌های بسیاری به این قضیه علاقمند هستند و استقبال بیش از حد است. سیستم‌های بانکی دولتی به خاطر ماهیت دولتی بودن خود، عموما نگران مشکلات عملیات باشند، تا اینکه به صورت کلی بحث درآمد و خدمات را ببینند. به این دلیل که هنوز در سیستم‌های دولتی ما مدیریت ریسک (Risk Management) و کارایی جایگاهی ندارد. نمی‌توانیم بگوییم که این مدیر باید در مقابل کاری که انجام داده، این قدر ریسک پذیری داشته‌باشد. به خاطر چند هزار تومان یک مدیر دولتی که چندین میلیون تومان گردش مالی (Turn Over) داشته بازخواست می‌شود و این یکی از بزرگ‌ترین معضل‌ها در سیستم‌های دولتی ایران است. اگر ما بتوانیم بحث مدیریت ریسک را جا بیاندازیم و از آن طرف بیمه‌ها هم برخورد فعال‌تری داشته‌باشند، طبیعتا نه ضرر مالی متوجه بنگاه‌های مالی می‌شود و نه مدیری متهم می‌شود. استفاده کننده از خدمات و فروشنده، هر یک هزینه‌ی محدودی را می‌پردازند و در مقابل از یک سرویس خیلی خوب و راحت بهره می‌گیرند.

با توجه به اینکه سیستم خرده‌فروشی در ایران هنوز حالت سنتی دارد و فروشگاه‌های زنجیره‌ای بزرگ و گسترده به اندازه‌ی کافی موجود نیست، فکر می‌کنید فروشگاه‌های کوچک می‌توانند سرویس اینترنتی مناسبی را ارایه بدهند؟
واقعیت این است که اگر ما بخواهیم سراغ خیل خرده فروش خیابانی برویم، شاید مشکلاتی داشته‌باشد، ولی یک چیز خوبی که در این چند مدت من خودم در تبلیغات دیده‌ام، خیلی از مغازه‌های معمولی، کالاهای خود را در رادیو یا تلویزیون یا روزنامه آگهی می‌کنند. این نشان می‌دهد که این خرده فروش آنچنان که ما فکر می‌کنیم در حد یک بقالی نیست. وقتی مثلا یک مانتوفروشی در خیابان ولیعصر تهران آگهی تلویزیونی پخش می‌کند و چندین میلیون برای آگهی‌اش هزینه می‌کند، این نشان می‌دهد که فرهنگ فروش، حتی در فروشگاه‌های کوچک نیز مطرح شده‌است. فروش اینترنتی هم یکی از راه‌های خیلی خوب برای عرضه یا ارایه‌ی محصول است. یک بسترسازی که اتفاقا چند شرکت بزرگ و خصوصی دارند آن را انجام می‌دهند، ایجاد فروشگاه‌های مجازی بزرگ و فروش و عرضه یا اجاره‌ی فضای لازم است. در این فروشگاه دیگر بحث زمین نیست که شما یک ملک را اجاره کنید، مثلا یک یا چند کیلوبایت را رزرو می‌کنید و از این راه محصولتان را عرضه می‌کنید. یعنی من فکر می‌کنم در مدت کوتاهی این فرهنگ برای اغلب فروشگاه‌های معتبر جا می‌افتد. جاهایی که محصولات خاصی را عرضه می‌کنند، قطعا برایشان صرف می‌کند که سالیانه مبلغ صد هزار تومان هزینه کنند و کل اجناسشان را در اینترنت عرضه نمایند. ما در ایران بین 3 تا 4 میلیون کارت در دست مردم داریم. 500 هزارتا از این 4-3 میلیون خیلی راحت می‌توان گفت که به اینترنت دسترسی دارند.
شما می دانید که نزدیک 50 درصد نقل و انتقال پول در شهرهای بزرگ، به ویژه تهران انجام می‌شود. ما حداقل اگر این قسمت را پوشش بدهیم، به اندازه‌ی کافی تبادل پول را کم می‌کنیم. یکی از بزرگترین مشکلات بانک مرکزی بحث گردش پول و از رده خارج کردن پول‌های فرسوده است. خوشبختانه بانک مرکزی نزدیک به 2 یا 3 ماه است که بعد از یک دوره رکود چند ساله، در این قضیه خیلی خوب فعال شده. الان کمیته‌هایی هم برای این کار تشکیل شده‌اند. یکی از این کمیته‌ها، کمیته‌ی پرداخت پول الکترونیکی یا پرداخت خرد است که بعد از ابلاغیه‌ای که آقای رییس جمهور مبنی بر تعیین 3 ماه برای برنامه‌ریزی‌ پول الکترونیک و تبادل الکترونیکی پول، این کمیته ظرف برای عملیاتی‌سازی آن انجام وظیفه می‌کند.
به ویژه در زمینه‌ی کارت‌های هوشمند نیز در ایران یک مقدار مشکل داریم. کارت‌های مغناطیسی از نظر بحث امنیت جواب‌گو نیستند. کارت‌های هوشمند هم به خاطر انحصاری فناوری‌شان در دست شرکت‌هایی که ما مشکل تحریم را با آنها داریم، امکان استفاده از امکانات موجود دنیا را در این زمینه به ما نمی‌دهد. در مورد ویزا و مسترکارت، امکان صدور برای بانک‌های ایران وجود ندارد و متاسفانه سایر کارهایی که در بانک‌های ما تا به حال انجام شده، بیشتر کارهایی بوده که یک دیدگاه‌های سلیقه‌ای و بومی شده در آن به کار گرفته شده‌‌است. الان مشکلی که داریم 3 یا 4 نوع کارت داریم و این کارت‌ها هیچ کدام نمی‌توانند در بانک‌های دیگر پذیرفته شوند. مثل مشکلی که ما در زمینه‌ی چک‌ها داشتیم که با ابتکار ارایه‌ی ایران چک این مساله حل شد. البته مرکز شتاب در حال حاضر توسط بانک مرکزی برای پرداخت کارتی بین بانکی راه‌اندازی شده، ولی فعلا فقط کارت‌های مغناطیسی را قبول می‌کند. بانک مرکزی برای تدوین استاندارد صدور کارت هوشمند فعال شده‌است. این وحدت رویه باعث می‌شود که همه‌ی بانک‌ها در آینده از یک الگوی خاص استفاده کنند و بتوانند کارت‌های همدیگر را پرداخت کنند و امیدواریم هم در قضیه‌ی پرداخت و هم در قضیه‌ی خدمات فروشگاهی (ATM و POS) و این طور مسایل هم به این وحدت رویه برسیم. مشکلی که الان در ایران داریم این است که نمی‌توانیم بستر ویزا و مسترکارت را داشته‌باشیم. بانک مرکزی باید وحدت رویه را برای همه‌ی سطوح ایجاد بکند.
بحث دیگر، توسعه‌ی بستر پذیرش کار در فروشگاه‌ها می‌باشد. در حال حاضر حتی 10 هزار پایانه‌ی فروشگاهی هم نداریم. طبق برآوردی که انجام شده، در ایران حدود 300 هزار تا از این پایانه‌ها لازم می‌باشد. تا وقتی که به آن نقطه نرسیم، همیشه مجبوریم یک مقدار پول در جیبمان بگذاریم. بانک مرکزی باید انگیزه و زمینه‌ی این سرمایه‌گذاری را فراهم آورد. بانک‌های دولتی در حال حاضر توانایی و انگیزه‌ی کافی برای این کار را ندارند و طبق دستور ریاست جمهوری قرار است شرکت‌های خصوصی در این قضیه فعال شوند که حرکت بسیار بسیار زیبا و مثبتی است. چاره‌ی دیگری هم نداریم. اگر بخواهیم منتظر باشیم که سیستم دولتی فعال شود یا بحث‌های تحریم حل بشود، زمان می‌برد. بحث سوم هم بحث شبکه‌ها یا سوییچ‌هایی است که باید برای مبادلات ایجاد شود. بانک مرکزی فعلا مرکز شتاب را راه‌اندازی کرده و باید با اصلاح و تکمیل آن به بهترشدن خدمات کمک کند.

در مورد پرداخت‌های خرد فرمودید که این مساله حل شده و ظرف چند ماه آتی به جاهای خوبی می‌رسیم. در مورد پرداخت‌های کلان چه برنامه‌هایی در دست اجرا است؟
در مورد پرداخت کلان، به صورت آزمایشی با چند شرکت این کار اجرا شده‌است. مشکل‌ترین قسمت، نیاز به گواهی‌نامه‌ی دیجیتالی است و این که وزارت بازرگانی برای صدور گواهی‌نامه‌های دیجیتالی برای افرادی که می‌خواهند از این پروتکل استفاده کنند آمادگی داشته‌باشد. تا وقتی که وزارت بازرگانی که از طرف دولت برای انجام این کار مامور شده و قراردادی را که برای این کار دارد، نتواند اجرا کند، هر کاری که انجام بشود، یک کار محدود است. شاید یک بانک به تنهایی بخواهد گواهی‌نامه صادر کند، ولی جزو ضوابط گواهی‌نامه‌های دیجیتالی این است که باید این گواهی‌نامه از یک مرکز معتبر بین‌المللی گرفته شده‌باشد و هیچ کدام از این مراکز بین‌المللی به راحتی آن را به ما نمی‌دهند. من هفته‌ی پیش شنیدم که یک گواهی نامه از کشور سوئد گرفته شد، اگر قضیه‌ی بستر گواهی‌نامه‌ی دیجیتالی حل بشود، فقط مشکل قوانین و مقررات قضایی را داریم که امیدوارم طبق لوایحی که مجلس برای تجارت الکترونیکی تصویب کرده و در رفت و برگشت با شورای نگهبان است، آن مسایل هم حل بشود. باید کار را شروع کنیم و برویم جلو و کم‌کم مشکلات را حل کنیم. اگر مشکلات زمان‌بر بین دولت و مجلس و شورای نگهبان نباشد، قطعا دولت می‌تواند در یک پروسه‌ی اصلاحی آزمایشی ظرف مدت 6 ماه با 5-4 لایحه‌ی مکمل به یک نقطه‌ی مناسبی برسد. اگر این دو نکته را ما حل کنیم، دیگر برای پرداخت کلان هیچ مشکلی نداریم. در پرداخت کلان مبالغ بالا است و بیمه به این راحتی جلو نمی‌آید. من فکر می‌کنم از نظر فنی، آمادگی کامل وجود دارد. ما نمونه‌ی شرکت‌ها و بانک‌هایی را داریم که آمادگی کامل دارند. البته این کار به صورت محدود همین الان هم راه افتاده، اما با توافق طرفین. الان خود فروشنده امضا می‌کند و وکالت می‌دهد که من همه‌ی مشکلات احتمالی را قبول می‌کنم. خوب در بحث تجارت عمومی نمی‌توان با همه قرارداد امضا کرد، بلکه باید به یک نحوی دلایل محکمه پسند برای هر کاری وجود داشته باشد. اگر این دو مشکل را از نظر فنی حل بکنیم، می‌توانیم در مورد پرداخت کلان اینترنتی فراگیر هم امیدوار باشیم.

در پرداخت‌های اینترنتی یکی از مشکلات، امضای الکترونیکی است. یکی از مدیران بانک‌ها در میزگردی که داشتیم اذعان داشت که هنوز امضای الکترونیکی از نظر دایره‌ی حقوقی بانک‌ها قابل اعتماد نیست. این مشکل به ویژه در مورد پرداخت‌های کلان چگونه حل شده‌است؟
در پروتکل پرداخت کلان نیاز به اداره یا گواهی‌نامه‌های دیجیتالی است. امضای دیجیتالی به کمک گواهی‌نامه‌ی دیجیتالی انجام می‌شود. یعنی وقتی شخصی گواهی‌نامه را دریافت کرد، به کمک آن هر سند اینترنتی یا الکترونیکی را می‌تواند امضای دیجیتالی ‌کند. ولی بدون این قضیه، ما تنها راهی که داریم، همان طور که اشاره کردم، توافق در قرارداد است. نمونه‌اش هم همین کارت‌های خودپرداز است که بانک از دارنده‌ی کارت، تعهد می‌گیرد که هر گونه عملیات که از طریق دستگاه خودپرداز با کارت وی انجام بشود، با مسوولیت خود دارنده است. ما مجبور هستیم با قرارداد و وکالت‌نامه کار کنیم و در واقع ادارات حقوقی بانک‌ها با این فرم‌ها و تعهدهایی که از از افراد می‌گیرند، مسوولیت را از خود سلب می‌کنند. ادارات حقوقی بانک‌ها طبق قوانین قضایی تا زمانی که قانون پذیرش امضای الکترونیکی در مجلس تصویب و به سیستم قضایی و ادارات حقوقی بانک‌ها و وکلا اعلام نشود، نمی‌توانند کار دیگری بکنند.
می‌دانید که گواهی‌نامه‌ی دیجیتالی را قرار است دفاتر اسناد رسمی به مردم بدهند. همان‌طور که برای درخواست شناسنامه به اداره‌ی ثبت مراجعه می‌کنیم برای گواهی‌نامه‌ی دیجیتالی هم مراجعه می‌کنیم. یعنی یک پروسه‌ای است که در نهایت سیستم قضایی انجام می‌دهد. در سیستم پرداخت کلان هم فروشنده و هم خریدار باید گواهی‌نامه داشته‌باشد تا بتوانند با هم تبادل مالی انجام بدهند.

این گواهی‌نامه‌ها با شماره‌ی ملی افراد ارتباط دارد؟
قطعا باید به نحوی اطلاعات انحصاری هم جزو مشخصات گواهی‌نامه ثبت شود که از تکراری بودن جلوگیری شود. البته یکی از مهم‌ترین روال‌ها احراز هویت کامل برای جلوی از تکرار می‌باشد. البته داشتن دو گواهی‌نامه مشکلی ایجاد نمی‌کند، اشکال عمده گرفتن گواهی‌نامه با عناوین جعلی می‌باشد. همین دلیل هم بدون احراز هویت این است که کسی به اسم شخص دیگری بتواند گواهی‌نامه بگیرد. به همین دلیل احراز هویت یکی از بخش‌های ضروری است و به همین دلیل هم بدون احراز هویت حضوری به هیچ عنوان گواهی‌نامه به کسی داده نمی شود.

گواهی‌نامه‌ی اصلی یا مادر باید در یکی از شرکت‌های بین المللی ثبت می‌شود؟
در خصوص این بحث فرض کنید در ویندوز (windows) بخواهید یک امضای دیجیتالی یا یک کار اینترنتی انجام شود، یک تعدادی گواهی‌نامه‌ی مادر در داخل خود نرم افزار وجود دارد. اگر گواهی‌نامه‌ی شما از طریق گواهی‌نامه‌های مادر قابل شناسایی باشد، به سادگی عملیات امضای دیجیتالی انجام می‌گیرد. در غیر این صورت باید یک گواهی‌نامه‌ی جدید روی آنها درج (Insert) شود. از این نظر یک الزام صددرصد نیست، ولی یک الزام عملیاتی است که اگر نباشد، درد سر ساز است.

این مساله مشکلات امنیتی ایجاد نمی‌کند؟ یعنی آن شرکت بین‌المللی به تمام مبادلات ما دسترسی پیدا نمی‌کند؟
ببینید، این دیگر برمی‌گردد به فناوری که وجود دارد. الان گواهی‌نامه‌ها را مثلا از نظر الگوریتم رمزنگاری از 1024RSA بیت استفاده می‌کنند. تا الان در دنیا توانایی شکستن تا 512 بیت طول کلید، آن هم با حجم عملیات و هزینه‌ی سنگین فراهم شده‌است.

من از دید شرکت صادرکننده‌ی گواهی‌نامه بحث می‌کنم، نه یک هکر.
پروتکل طوری است که کلید اصلی امنیتی را خود شما دارید. در واقع در این پروتکل، یک کلید مخفی دارد و یک کلید عمومی وجود دارد. کلید عمومی در اختیار همه، از جمله صادرکننده‌ی گواهی‌نامه قرار می‌گیرد، اما کلید مخفی در اختیار خود شخص است. بنابراین امنیت در دست خود شما است. نکته‌ی مهم پروتکل این است که فقط با کلید خصوصی رمز باز می شود و هیچ کس دیگری نمی‌تواند آن را باز کند. بحث امنیتش اینجاست که به چه احتمالی می‌توان از کلید عمومی به کلید خصوصی رسید. دقیقا این نکته امنیتی اینجاست. این احتمال برای بیت‌های پایین الان کم‌کم دارد راحت می‌شود. اما برای بیت‌های 1024 هنوز امکان پذیر نمی‌باشد. البته باید در طول زمان با پیشرفت فناوری از طول کلید طولانی‌تر نیز استفاده گردد.

سناریوی خرید را اگر ممکن است برای ما تشریح کنید که به چه ترتیب شروع می‌شود و ادامه پیدا می‌کند؟ این مساله در پروتکل پرداخت خرد و کلان چه تفاوتی دارد؟
در پرداخت خرد خریدار پس از اینکه با فروشنده بر سر خرید توافق کرد، به بانک اعلام می‌کند که می‌خواهم این مبلغ را در وجه آن فروشنده پرداخت کنم. ما در این پروتکل رابطه‌ی بین فروشنده و خریدار را برای دستور خرید حذف کرده‌ایم. رابطه بین خریدار و بانک وجود دارد. یعنی خریدار به بانک می گوید که این مبلغ در وجه فروشنده پرداخت بشود. با این دستور آن مبلغ در وجه فروشنده پرداخت می‌شود و یک رسید دریافت می‌کند. خریدار رسید را به فروشنده تحویل می‌دهد. فروشنده رسید را با بانک چک می‌کند. اگر بانک تایید کرد که این مبلغ به حساب وی واریز شده، جنس را تحویل خریدار می‌دهد یا خدمات را ارایه می‌کند. مثلا رمز و مشخصات یک کارت تلفن را به خریدار می‌دهد یا مثلا بلیط برایش صادر می‌شود. شما چک را در ذهنتان بیاورید. خریدار چکی را به فروشنده می دهد (خریدار به بانک دستور می‌دهد که این مبلغ را به حساب فروشنده واریز کن). بانک هم پول را واریز می‌کند و رسید به او می‌دهد. خریدار خودش رسید را تحویل فروشنده می‌دهد. فروشنده رسید را با بانک چک می‌کند. کل عملیات به صورت الکترونیکی انجام می‌شود. در قضیه‌ی پرداخت کلان، یک مقدار قضیه سناریو سخت‌تر است، چرا که امنیت باید بیشتر باشد. در پرداخت خرد سناریو با 3 مرحله‌ی ساده، تکمیل می‌شود، اما در پرداخت کلان، شاید 9 مورد رفت و آمد وجود دارد. خریدار در واقع از فروشنده تقاضای خرید می‌کند. فروشنده به خریدار فاکتور امضا شده می‌دهد. به عبارت بهتر یک فاکتور امضا می‌کند. خریدار هم فاکتور را امضا می‌کند و به فروشنده برمی‌گرداند. اصل عدم انکار در این پروتکل مهم است. باید مراحل دقیق و کامل باشد که هیچ کس نتواند رد کند. بعد فروشنده فاکتور را برای بانک می‌فرستد. بانک مبلغ را پرداخت و تایید آن را به فروشنده ارسال و در نهایت فروشنده تاییدیه‌ی دریافت پول را به خریدار اعلام می‌کند.

اگر بعد از طی این مراحل، در نهایت کالا به دست خریدار نرسید، چه می‌تواند بکند؟
در اینجا به بحث تقدم و تاخر زمانی اشاره نگردید. برای بعضی از کالاها، بانک به فروشنده می‌گوید تا فاکتور امضاشده‌ی کاغذی یا مثلا تا رسید امضا شده‌ی مشتری تحویل بانک نشود، پول پرداخت نمی‌گردد. یعنی باید شرکت رسید کالا را تحویل دهد. اگر نیاز به ارسال کالا باشد، عموما پرداخت در وجه فروشگاه پس از تایید دریافت کالا توسط خریدار صورت می‌گیرد. بیمه هم اینجا دخالت می‌کند. شرکتی که حمل و نقل کالا را بر عهده دارد، باید تضمین کافی یا بیمه‌نامه‌ی لازم را داشته‌باشد.بنابراین فرض بر این است که جنس حتما می رسد و اگر نرسد، بیمه خسارت خریدار را جبران می‌کند.

خریدار با فروشنده ارتباط برقرار می‌کند و زیر رسید فروشنده را امضا می‌کند. قاعدتا فروشنده با این اسم رمز یا امضا آشنا می‌شود. چه تضمینی هست که خود فروشنده از این امضا سو استفاده نکند؟

به نکته‌ی خوبی را اشاره کردید. امضا یک عدد یا رمز نیست. عدد امضا یک تابع ریاضی است که براساس مبلغ فاکتور، شماره‌ی فاکتور و اطلاعات فروشنده و خریدار متغیر است. یعنی یک مجموعه‌ی اطلاعات با هم ترکیب و امضای الکترونیکی گرفته می‌شود. این اطلاعات ثابتی نیست که با یک بار، استفاده افشا گردد، درضمن فقط رایانه می‌تواند تایید کند.

اشاره‌ای داشتید به کلیدهای عمومی و خصوصی. لطفا در این مورد توضیح بیشتری ارایه فرمایید.
گواهی‌نامه‌های دیجیتالی بر زیر ساخت کلید عمومی(Public Key Infrastructure - PKI)ارایه شده‌اند. در این الگوریتم که اصطلاحا به الگوریتم رمزنگاری نامتقارن هم معروف است، دو کلید وجود دارد. یک کلید مخفی خصوصی (Private) و یک کلید عمومی (Public). اطلاعاتی که به کمک کلید خصوصی رمز بشود، فقط به کمک کلید عمومی قابل بازشدن است و برعکس، اطلاعاتی که با کلید عمومی رمز بشود، فقط با کلید خصوصی قابل باز شدن است. بنابراین اگر من به عنوان یک فرستنده‌ی A بخواهم اطلاعاتی برای گیرنده‌ی B بفرستم، با کلید عمومی B رمز می‌کنم. کلید عمومی آن کلیدی است که در اختیار همه است، مثل نشانی پست الکترونیکی. این اطلاعات رمزشده را فقط و فقط شخص B می‌تواند با کلید خصوصی خود باز کند.

با سرعت بسیار پایین اینترنت در ایران، به نظر شما برای عمومی شدن پرداخت اینترنتی مشکلی ایجاد نمی‌شود؟ پرسش دیگر این که حتی طراحی و پشتیبانی سایت‌ها نیز در ایران خیلی ضعیف است. به عنوان مثال وقتی 50 نفر هم زمان بخواهند وارد سایت بسیاری از موسسات بزرگ دولتی شوند، مشکل پیدا می‌کند. به نظر شما چه راه حلی وجود دارد؟
تا جایی که من اطلاع دارم متاسفانه هنوز بستر‌های خیلی پرسرعت خدمات اینترنت نداریم. اتفاقا مشکل خوبی را شما اشاره کردید. شما می‌دانید که اغلب میزبان‌های اینترنتی ما در کشورهای خارجی مثل کانادا هستند، اگر میزبان اینترنت در کشور خودمان باشد، سرعت خدمات رسانی در ایران خیلی بیشتر می‌شود. این مساله یک ضرورت بسیار جدی است. من فکر می‌کنم وقتی نیازش کم‌کم ایجاد بشود، برنامه‌ریزی برای آن هم تسریع می‌شود. اخیرا شرکت‌های خصوصی هم در این زمینه فعال ‌شده‌اند. قوانین و مقررات هم تا اندازه‌ای برای این کار تصویب شده‌است. با کارهای اخیر شرکت مخابرات، مثل راه‌اندازی نقطه‌های دسترسی انتهایی شبکه‌ی دیتای کشور (PAP) در این زمینه به نحوی دارد تسریع می‌شود. متاسفانه مشکل دیگر، سکون سال 96 در دنیا در زمینه‌ی کوچک سازی (Down Sizing)است که به ایران هم منتقل شد، بدون اینکه تب دومش، یعنی استفاده از رایانه‌های بزرگ، به عنوان پردازش‌گر اصلی به ایران برسد. البته شاید دلیل عمده‌اش هم تحریم‌هایی است که برای ایران در نظر گرفته شده‌است. صرفا از نظر فناوری، تحت تاثیر این تحریم‌ها بسترهای اساسی فناوری ما تضعیف و از نیازها عقب افتاده‌ایم. درست است که از نظر بعد سیاسی می‌گوییم تحریم را تحمل می‌کنیم، اما خوب در بعد فناوری برای ما مشکل ایجاد می‌کند. رایانه‌های بزرگمان (Main Frame) هم اصلا در اندازه‌ای نیستند که کارهای سنگین و جدید را انجام دهند و البته که فناوری‌های دست دوم است. اخیرا بعضی از بانک‌ها سرور‌های جدیدی خریده‌اند، ولی خوب هیچ کدام به صورت جدی مورد استفاده قرار نگرفته‌اند. واقعیت این است که ما فناوری سرورهای بزرگ می‌خواهیم و آن هم هزینه‌ها و مجوزهای لازم را می‌خواهد. همین که مدیریت کشور به این باور برسد که باید این کار را انجام بدهد، من فکر می‌کنم در نظامات بین‌المللی می‌توان بستر لازم را فراهم کرد و با توجه به این که در حال حاضر بیشتر میزبان‌های اینترنتی یا روی رایانه‌ی شخصی (PC) است یا روی رایانه‌های بزرگی که راندمان زیادی ندارند، قطعا با عمومی و فراگیرشدن سرویس‌ها دچار مشکل خواهیم شد.

مشکل دیگری که وجود دارد بحث بستر مخابراتی است. به عنوان مثال وقتی که بخواهیم بانکداری الکترونیکی در ایران داشته باشیم، اولین الزامی که برای ما ایجاد می‌کند، این است که به طور هم زمان تمام شعب اتصال برخط داشته‌باشند.
برای ارایه‌ی سرویس‌های خدمات نوین تمام سیستم‌های بانک‌ها به صورت متمرکز خواهند بود. خدمات اینترنتی با تجربه‌ی موجود در بانک خصوصی با 20 شعبه، وقتی محور شعبه قرار گیرد، شدیدا دچار مشکل می‌شود. بنابراین در صورت تمرکز همین که مرکز بانک ارتباط مطمین اینترنتی داشته‌باشد کافی خواهد بود و اتصال برخط شعب برای بانک اینترنتی ضرورتی ندارد.
بحث این است که ما قبل از بانکداری اینترنتی، باید بانکداری برخط (Online Banking) را داشته باشیم تا بتوانیم خدمات بانکداری اینترنتی ارایه کنیم. شعبه‌های بانک‌های ما، بیشتر جزیره‌های مستقل از هم هستند که لازم است اطلاعات به صورت متمرکز فقط در مرکز بانک به صورت برخط در اختیار شعبه‌ها قرار گیرد.

ولی مدیران بانک‌ها از ضعف بستر مخابراتی به عنوان یک مشکل اساسی یاد می‌کنند.
بانک‌های ملی، صادرات و کشاورزی تمام شعبشان از سیستم ماهواره استفاده می‌کنند. بستر مخابرات هم هیچ نقشی ندارد. به نظر من این توجیه مدیران ما است. سیستم سیبا، سیستم سپهر، سیستم مهر و به طور کلی تمام سیستم‌های جاری از ماهواره استفاده می‌کنند و طبق ادعای شرکت خدمات، 7/99 درصد ضریب دسترسی ماهواره‌هایشان است. یعنی 3 دهم درصد در سال قطعی داشته‌اند. ما عموما یاد گرفته‌ایم که بگوییم دیگری مشکل دارد. درست است که مخابرات خوب نداریم، اما این که هر مشکلی را به مخابرات ارتباط بدهیم، این را من قبول ندارم. من از مخالف‌های جدی این بحث هستم. مخابرات ما خوب نیست، ولی هر مشکلی هم که داریم، مربوط به مخابرات نیست.

بحث فرهنگ سازی پرداخت الکترونیکی در ایران هنوز جا نیفتاده‌است. به نظر شما وظیفه‌ی چه کسی است که روی این مقولات فرهنگ سازی کند؟ دولت، بانک‌ها یا بخش خصوصی؟
خوشبختانه پس از این کنفرانس پول الکترونیکی که به همت شورای عالی اطلاع‌رسانی برگزار شد، یک محمل خیلی خوبی را برای توسعه در تمام زمینه‌ها ایجاد کرد. بعد از آن کنفرانس جلسه‌ای که با حضور رییس جمهور، مدیرعاملان بانک‌ها و وزارت فناوری اطلاعات و دارایی و همه‌ی اجزای درگیر برگزار شد، بر طبق آن، کمیته‌ی پیگیری شکل گرفت که جلسات آن تشکیل می‌شود. همه‌ی این اجزا دارند شناسایی می‌شوند و برای تک‌تک آنها برنامه‌ریزی می‌شود. در بحث فرهنگ‌سازی، روابط عمومی تمام بانک‌ها فعال شده‌اند. حتی بودجه‌اش را هم شورای عالی اطلاع‌رسانی قبول کرده که یک سری فرهنگ‌سازی عمومی توسط بانک‌ها صورت گیرد. برای بحث بیمه پیشنهاد شده‌است که دولت تضمین بیمه را بر عهده بگیرد. برای تجهیزات خودپرداز بانک‌ها تشویق شده‌اند تا سال آینده 21 هزار دستگاه خودپرداز نصب نمایند. تعداد کارت‌ها قرار است تا سال آینده طبق برنامه‌ریزی 2 برابر بشود. این کمیته، وظیفه‌‌ی برنامه‌ریزی و پیگیری اقدامات اجزای درگیر در اجرای این عملیات را بر عهده دارد. من فکر می‌کنم اولین نتایج این حرکت، ظرف دوسه ماه آینده می‌تواند خودش را نشان بدهد و تا آخر امسال و اوایل سال آینده بتوانیم وضعیت خوبی داشته باشیم.

چنانچه نکته دیگری هست بفرمایید.
ما چون نمی‌توانیم در ایران شرکت‌های معتبر صدور و استانداردسازی کارت داشته‌باشیم، باید یک کسی متولی باشد. دو تا سناریو داریم، یکی این که یک شرکت خصوصی مثل ویزا که متعلق به بانک‌ها باشد این کار را بکند. سناریوی دیگر این که بانک مرکزی این کار را انجام بدهد که خوشبختانه بانک مرکزی این مسوولیت را پذیرفته و امیدوار هستیم که این حرکت را بتواند در زمان خیلی خوبی اجرا کند. از جمله وظایف بانک مرکزی این است که وحدت رویه را برای بانک‌ها ایجاد نماید. الان در ایران حرکت‌های گوشه و کناری انجام شده که جواب‌گو نیستند و نمی‌توانند موفق باشند. یکی بحث کارت سوخت است، یکی بحث کارت مترو است، پارکومتر، کارت اتوبوس. ببینید برای همه‌ی اینها تبلیغ شده، اما هیچ کدام از این پروژه ها موفق نیستند، مگر اینکه بانک مرکزی یک باید کارت هوشمند استانداردی برای پرداخت پول خرد با یک شناسه‌ی کاربری (Application ID) ثابت که همه‌ی بانک‌ها بتوانند این کارت را برای مشتریانشان صادر کنند. این کارت به عنوان کیف پول الکترونیکی و به جای حمل پول خرد مورد استفاده قرار می گیرد. به طوری که در مترو، در پارکومتر، در پمپ بنزین و... بتوان از آن برای پرداخت استفاده نمود. بانک مرکزی خوشبختانه این نقش را شروع کرده و اگر بتواند ظرف چند ماه آینده این استاندارد را اعلام کند و اجازه‌ی صدور این کارت را به بانک‌ها بدهد، فکر می‌کنم یک حرکت سریع و خوبی انجام خواهد شد. به جای این که یک کارت مترو یک کارت اتوبوس، یک کارت تلفن و ...، به مردم بدهیم، باید یک کارت به عنوان کارت هوشمند پرداخت پول خرد به مردم داده‌شود. با داشتن این کارت، مشکل پرداخت همه‌ی سازمان‌ها می‌تواند به راحتی حل ‌شود. پیشنهاد این است که این کارت رمز نداشته باشد. می‌شود تعریف کرد که قابل شارژ باشد یا نباشد، چون رمز ندارد و اگر کسی کیف شما را بزند، نمی‌توانید شکایت کنید که شماره‌ی سریال این پول مال من بوده. کارت گم شده و هر کس می‌تواند از آن استفاده کند. این کارت که سقفش مثلا 10 یا 20 هزار تومان است، به جای پول خرد در دست مردم هست. دیگر لازم نیست که هر بانک یک R&D داشته‌باشد. ما خیلی امیدواریم که بانک مرکزی این حرکت را به سرعت به یک نقطه‌ای برساند که به یک محصول تبدیل شود. به جای این که راه رفته‌ی همه‌ی کشورها را طی کنیم، می‌توانیم با یک حرکت شش ماهه یا یک ساله، ببینیم که یک کارت پرداخت داریم و می‌توانیم با امنیت و خیال راحت خدماتمان را دریافت نماییم. ما امیدواریم که به زودی یک کارت اعتباری (Credit Card) ، کارت پول و کارت پول خرد استاندارد ملی داشته‌باشیم. الان رایان کارت، ثمین کارت، کارت هوشمند بانک ملت، بانک کشاورزی و ... هر کدام یک الگوی خاصی دارند. امیدواریم که اراده‌ی عمومی و اراده‌ی ملی برای این عملیات تقویت شود و بتواند به نقطه‌ی مثبتی برسد. ما خیلی امیدواریم زودتر مردم ما از این خدمات استفاده کنند.

سایت وزارت علوم تحقیقات و فناوری ایران در تاریخ 2007/10/12 ساعت 22:14 توسط مرکز امنیتی دلتا دستکاری شده و صفحه ای با نام Delta.html برروی آن قرار گرفت.
به گزارش بخش خبر شبکه فن آوری اطلاعات ایران، از تیم امنیتی دلتا، این دستکاری به عنوان زیر سئوال بردن و یا تحقیر کسی نبوده و تنها هدف از اینکار نشان دادن وجود ضعف امنیتی در این سایت می باشد.

لینک تائیدیه دستکاری در Zone-h:
http://www.zone-h.org/component/option,com_mirrorwrp/Itemid,160/id,6716333