کارشناسان امنیتی معتقدند که پرداختیارها باید امنیت سیستمها را ارتقا دهند تا از خطر نشت اطلاعات کاربران جلوگیری کنند
در مصوبه جدید کارگروه تعاملپذیری دولت الکترونیکی، سازمان امور مالیاتی مکلف به ارائه سرویس استعلام وضعیت ثبتنام مالیاتی به شرکتهای پرداختیاری شد. ارائه سرویسهای انطباق اطلاعات هویتی و کدپستی از طریق مرکز تبادل اطلاعات به شرکتهای پرداختیاری، بخش دیگری از مصوبه کارگروه تعاملپذیری دولت الکترونیکی است؛ مصوبهای که از نظر فعالان حوزه فینتک باعث تسهیل کار شرکتهای پرداختیاری شده و در نهایت فرآیند ثبتنام پذیرندگان را بسیار راحتتر خواهد کرد. با این همه موضوع قابلتوجه، نشت اطلاعات کاربران است. کارشناسان امنیت شبکه معتقدند که حفاظت از اطلاعات هویتی و مالیاتی کاربران تا پیش از این زیر نظر مرکز ملی تبادل اطلاعات بود، اما حالا این اطلاعات در اختیار شرکتهایی خواهد بود که مشخص نیست از چه استانداردهای امنیتی پیروی میکنند. به عقیده آنها باید استانداردهای مربوط به استفاده از این سرویسها را به شرکتهای پرداختیاری داده باشند و خود شرکتها هم باید امنیت سیستمهایشان را ارتقا دهند تا بتوانند از خطر نشت اطلاعات کاربران جلوگیری کنند.
مصوبهای برای تسهیل ثبتنام پذیرندگان
کارگروه تعاملپذیری دولت الکترونیکی در جلسهای که نهم آبان ماه برگزار شد، مصوبه ارائه سرویسهای انطباق اطلاعات هویتی و استعلام وضعیت ثبتنام مالیاتی را به شرکتهای پرداختیاری تصویب کرد. این طرح بنا به درخواست شرکتهای پرداختیاری برای اجرای مواد ۱۰ و ۱۱ قانون پایانههای فروشگاهی و سامانه مؤدیان در جلسه کارگروه تعاملپذیری دولت الکترونیکی مطرح شد و در نهایت با موافقت اعضای این کارگروه به تصویب رسید. بر این اساس، از این پس شرکتهای پرداختیاری میتوانند از طریق مرکز ملی تبادل اطلاعات به سرویسهای تطبیق اطلاعات هویتی و سرویس استعلام کد پستی دسترسی پیدا کنند و در ارائه درگاه پرداخت اینترنتی (IPG) به مشتریان خود از این سرویسهای تطبیق هویتی و استعلام مکانی استفاده کنند. در مصوبه کارگروه تعاملپذیری دولت الکترونیکی آمده است: «سرویسهای انطباق اطلاعات هویتی و سرویس استعلام کد پستی از طریق کارورهای مرکز ملی تبادل اطلاعات در اختیار شرکتهای پرداختیاری قرار گیرد.» همچنین قرار شد سازمان امور مالیاتی به شرکتهای پرداختیاری یک سرویس استعلامی نیز ارائه کند.
به این ترتیب شرکتهای پرداختیاری میتوانند از وضعیت ثبتنام مالیاتی مشتریان خود اطلاع پیدا کنند و با توجه به وضعیت ثبتنامی درخواستدهنده، ارائه درگاه پرداخت اینترنتی را انجام دهند. در متن مصوبه کارگروه تعاملپذیری عنوان شده است: «سازمان امور مالیاتی یک سرویس به نام استعلام وضعیت ثبتنام مالیاتی را از طریق کارورهای مرکز ملی تبادل اطلاعات برای ارائه به شرکتهای پرداختیاری ارائه کند.»
در ادامه این مصوبه میزان دسترسی شرکتهای پرداختیاری به اطلاعات سازمان امور مالیاتی مشخص شده است. بر این اساس، میزان دسترسی شرکتهای پرداختیاری در دو محور ثبتنام یا عدمثبتنام و مقدار عددی خواهد بود. در متن مصوبه به این موضوع اشاره شده است: «این سرویس در ورودی شناسه ملی به همراه کد رهگیری ثبتنام مالیاتی و در خروجی دو قلم اطلاعاتی بلی/خیر (بلی به معنی ثبتنام تا مرحله تعیینشده توسط امور مالیاتی و خیر به معنی عدمتکمیل ثبتنام) و یک شناسه عددی که در صورت اعلام عدمتکمیل ثبتنام (مقدار برگشتی خیر) این قلم اطلاعاتی یک عدد نشانگر شماره مرحله در فرآیند ثبتنام امور مالیاتی است.»
به نظر میرسد که مصوبه جدید فرآیند ثبتنام پذیرندگان را در شرکتهای پرداختیاری بهطور قابلتوجهی تسهیل کند. محمدمهدی فاطمیان رئیس انجمن فینتک در این باره به خبرنگار «دنیایاقتصاد» میگوید: «در فرآیند ثبتنام، پرداختیارها برای دریافت درگاه پرداخت اینترنتی از شاپرک موظف هستند که از کاربران کد مالیاتی دریافت کنند تا در نهایت بتوانند به آنها درگاه بدهند. در خصوص موضوع استعلام پرونده مالیاتی که در کارگروه اقتصاد دیجیتال مصوب شد، این بحث مطرح بود که وقتی کاربر به یک پرداختیار مراجعه میکند، این شرکت بتواند کد رهگیری مالیاتی مربوط به آن فرد را استعلام بگیرد و نیازی نباشد فرد برای دریافت کد مالیاتیاش به پنل مالیاتی مراجعه کند و در نهایت پس از دریافت کد، آن را به شرکت پرداختیار ارائه دهد. این مصوبه چنین فرآیندی را تسهیل کرده است. به طور کلی در این فرآیند قرار نیست اطلاعات عجیب و اضافهای به شرکتهای پرداختیاری داده شود.»
او در ادامه میافزاید: «موضوع دیگری هم که مطرح بوده است اما در این جلسه مصوب نشده، بحث ثبتنام پرونده مالیاتی است. پیشنهاد این بود که وقتی کاربر میخواهد درگاه پرداخت بگیرد، به جای آنکه دوباره به پنل سازمان مالیاتی مراجعه کند و همان اطلاعات هویتی را که در پنل شرکت پرداختیار برای دریافت درگاه وارد کرده بود، مجددا در پنل سازمان مالیاتی برای دریافت کد رهگیری مالیاتی وارد کند، پرداختیارها بتوانند آن را در سامانه مالیات ثبت کنند و کد مالیاتی را بگیرند. با این حال این موضوع هنوز تصویب نشده است. استعلام هویتی هم در حد همان احراز هویت اولیه است، مانند همان موضوع تطابق کد ملی با شماره موبایل و از این دست اطلاعات.»
به طور کلی شرکتهای پرداختیاری برای ارائه درگاه پرداخت به پذیرندگان، طبق آییننامه چگونگی مبارزه با پولشویی، باید اطلاعات هویتی آنها را بهطور کامل بررسی میکردند. بنا به گفته فعالان این حوزه، این فرآیند در گذشته از طریق شرکتهای واسطه انجام میشد و زمان انجام آن را طولانی میکرد. مصطفی امیری دبیر انجمن فینتک و مدیرعامل زرینپال در اینباره به «دنیایاقتصاد» میگوید: «طبق آییننامه چگونگی مبارزه با پولشویی، یکسری تکالیف برای اشخاص و در واقع کسبوکارهایی تعریف شده است که با سرویسهای مالی در ارتباط هستند. این شرکتها باید یکسری بررسیها را از اطلاعات هویتی گرفته تا مسائل مرتبط با پرونده مالیاتی و مجوزهای کسبوکارها و فعالیتی که در حوزه انجام میدهد، انجام دهند. در آن قانون، به نهادهای حاکمیتی تکلیف شده است تا این دسترسیها را در اختیار شرکتهای پرداختیاری قرار دهند.»
او در ادامه اظهار کرد: «واقعیت این است که قانونگذار به صورت مشخص تکلیف کرده است که اطلاعات باید به صورت کامل بررسی شود و بعد سرویس مالی در اختیار پذیرندگان قرار داده شود. عملا با تخصیص ندادن سرویسهای اینچنینی، مسیر برای شرکتهای پرداختیاری طولانیتر میشد. ما طی سالیان گذشته تمام این بررسیها را از طریق سیستمهای واسطه دیگر انجام میدادیم و فرآیند طولانیتری را میگذراندیم. اینجا هدف و خواست کارگروه آن بوده است که این عملیات را به نحوی تسهیل کند. تا پیش از تصویب شدن این مصوبه، پروسه پردازش حداقل ۴ ساعت اداری را تلف میکرد. حالا با اجرای این مصوبه، اطلاعات برخط میشود. هر چند هنوز این سرویس در اختیار ما قرار نگرفته است، اما با در اختیار قرار گرفتن این سرویس، در زمان اداری حداقل یک زمان ۴ساعته صرفهجویی خواهد شد. در مجموع این سرویس سبب کوتاه شدن یک بازه زمانی ۱۰ساعته برای ارائه درگاه پرداخت خواهد شد.» مهدی عبادی دبیر سابق انجمن فینتک و مدیرعامل و همبنیانگذار شرکت وندار نیز در خصوص تاثیر این مصوبه بر فعالیت شرکتهای پرداختیاری به خبرنگار «دنیایاقتصاد» میگوید: «این مصوبه بهطور کلی تغییر خوبی برای شرکتهای پرداختیاری خواهد بود. ما در ثبتنام کاربران و گرفتن درگاه برای آنها – به دلایل مشکلاتی که در کد مالیاتیشان وجود داشت- دچار چالشهای زیادی بودیم. دسترسی به این سرویسها به ما اجازه میدهد تا کاربران را به راحتی ثبتنام کرده و کد مالیاتیشان را استعلام کنیم و چالشهایی که در این زمینه وجود داشت، از بین برود.»
خطر نشت اطلاعات
هر چند این مصوبه فرآیند ثبتنام پذیرندگان را در شرکتهای پرداختیاری تسهیل میکند، اما خطر نشت اطلاعات کاربران طی این فرآیند وجود دارد. کارشناسان حوزه امنیت شبکه معتقدند که برای جلوگیری از چنین اتفاقی باید به شرکتهای پرداختیاری استانداردهای مربوط به استفاده از این سرویسها داده شود و خود شرکتها هم باید امنیت سیستمهایشان را ارتقا دهند. در همین راستا سعید سوزنگر، کارشناس حوزه امنیت شبکه، به «دنیایاقتصاد» میگوید: «زمانی که یک وبسرویس یا ایپیآی (API) در اختیار چند سرویسدهنده قرار بگیرد، این امکان وجود دارد که تمهیدات لازم برای موضوع نشت داده در مقصد، یعنی در همان مرکز ملی تبادل اطلاعات، تعریف شده باشد. برای مثال شاید مشخص شده باشد که برای جلوگیری از گردآوری و جمعآوری داده، روزانه و در دقیقه به صد خدمت پاسخ دهند. با این همه مساله اینجاست که سطح امنیت دسترسی به این وبسرویسها که تا پیش از این زیر نظر مرکز ملی تبادل اطلاعات بوده، حالا در اختیار شرکتهایی است که مشخص نیست از چه استانداردهای امنیتی پیروی میکنند و چه تیمهای امنیتی دارند.»
او در ادامه اضافه میکند: «در نشت داده کلی ممکن است دغدغه زیادی وجود نداشته باشد، اما در حال حاضر تعداد زیادی از شرکتهای پرداختیاری به این سرویس دسترسی خواهند داشت که سطح امنیتشان مشخص نیست؛ در نتیجه اگر آن شرکت پرداختیاری سیستم امنیتی مناسبی نداشته باشد و به نوعی نشت داده هدفمند صورت بگیرد، از اطلاعات کاربران سوءاستفاده میشود. با این همه این شرکتها برای دریافت اطلاعات باید به مرکز ملی تبادل اطلاعات درخواستشان را بفرستند. در این مرکز جلوی درخواستهای نامحدود و خارج از عرف گرفته میشود و تا زمانی که درخواست ارسال نشود، دادهای هم وارد سیستم پرداختیاری نخواهد شد.»
او با تاکید بر اینکه تنها نگرانی موجود آن است که شرکتهای پرداختیاری سیستم امنیتی ناامن داشته باشند، ادامه داد: «در این صورت ممکن است یک نفر در دقیقه صد درخواست بفرستد و در یک روز اطلاعات دههزار نفر را جمعآوری کند. تا پیش از این باید یک سازمان دولتی را با آن همه سیستم امنیتی هک میکردند و به این دادهها دسترسی پیدا میکردند. اما حالا با هک یک شرکت پرداختیاری که از سیستم متن باز یا کرکشده استفاده میکند، به راحتی میتوانند به داده کاربران دسترسی پیدا کنند. بنابراین باید استانداردهای مربوط به استفاده از این سرویس جدید را به شرکتهای پرداختیاری بدهند و خود شرکتها هم امنیت سیستمهایشان را ارتقا دهند. به طور کلی شرکتهای پرداختیاری یکسری الزامات حداقلی را پشت سر میگذارند تا بتوانند از شاپرک خدمات بگیرند، ولی این مسائل امنیتی مربوط به مسائل بانکی است. حالا باید علاوه بر آن تمهیدات، استاندارد و الزاماتی هم جهت دسترسی به سیستمهای مالیاتی و هویتی در نظر گرفته شود.»
مصطفی امیری دبیر انجمن فینتک نیز با تاکید بر این موضوع که باید روی اطلاعاتی که در اختیار سکوها قرار میگیرد، نظارت وجود داشته باشد، میگوید: «سالهاست که بحث نشت اطلاعات مطرح است. حالا به واسطه گستردگی بسیار زیاد، حساسیت بسیاری هم روی این موضوع به وجود آمده است. البته کارگروه (تعاملپذیری دولت الکترونیکی) مراقب موضوع نشت دادهها است و جایی که نیاز نبوده خروجی داده شود، سعی شده است تا کمترین میزان اطلاعات از مرکز ملی تبادل اطلاعات خارج شود. البته باید روی اطلاعاتی که در اختیار سکوها قرار داده میشود نیز نظارت وجود داشته باشد. به نظر میرسد راهکارهایی وجود داشته باشد که خطر نشت اطلاعات کاهش پیدا کند. به طور کلی به نظر میرسد که با تصویب این مصوبه در ارائه خدمت به مشتری نهایی تغییر فاحشی اتفاق خواهد افتاد.»
مهدی عبادی، مدیرعامل و همبنیانگذار شرکت وندار، در خصوص چالشهایی که ممکن است کاربران درباره نشت داده داشته باشند، به «دنیایاقتصاد» میگوید: «اولا اینکه پرداختیارها الزاما این دیتاها را پیش خود نگه نمیدارند و تنها در زمان ثبتنام از آنها استفاده میکنند. یعنی دیتا را ذخیره نمیکنند تا بعد بخواهد برای آن اتفاقی بیفتد. دوما آنکه پرداختیارها در هر صورت برای احراز هویت، اطلاعات هویتی پذیرندگان را به صورت دستی دریافت میکردند. در حال حاضر این شرایط مکانیزه شده و تغییری در آن ایجاد نشده است. درخصوص نشت اطلاعات مالیاتی هم باید گفت که اینها اطلاعات عجیبی نیستند که نشتشان مشکل ایجاد کند. در حقیقت تنها استعلام میشود که آیا مالکیت کد رهگیری مالیاتی در اختیار پذیرنده هست یا خیر. تنها در همین حد اطلاعات رد و بدل خواهد شد.»
کارشناسان معتقدند که این مصوبه جدید میتواند در تسهیل فرآیندهای رایج در کار شرکتهای پرداختیاری راهگشا باشد و آن را قدمی در جهت حفظ حقوق پذیرندگان هم میدانند. با این حال موضوع امنیت دادههای شخصی افراد و تهدید نشت اطلاعات، اگر جدی گرفته نشود، میتواند در ادامه به پاشنه آشیل اجرای این مصوبه تبدیل شود. حال باید دید که تمهید مرکز ملی تبادل اطلاعات برای چنین خطری چه خواهد بود.