فروشگاههای ایرانی اپلیکیشن چگونه اصالت اپهای مالی را صحتسنجی میکنند؟
اپلیکیشنهای مالی به دلیل ماهیت حساس دادهها، به طور ذاتی در معرض خطر هک شدن و سوءاستفاده قرار دارند. نبود ساختار امن برای اپلیکیشنهای مالی، میتواند منجر به عواقب جدی برای کاربران مانند سرقت هویت، کلاهبرداری مالی و حتی آسیب به اعتبار آنها شود.
پلتفرمهایی که کاربران از طریق آن، برنامههای مالی را دانلود و نصب میکنند، برای صحتسنجی و تعیین اصالت اپلیکیشنها چارچوب سختگیرانهای دارند و اقدامات متعددی برای حفظ امنیت کاربران خود را انجام میدهند. احراز هویت ساختارمند و بررسی برنامه از لحاظ فنی از جمله مراحلی است که در فرآیند صحتسنجی برنامههای بانکی و مالی توسط پلتفرمهای ایرانی Android و IOs صورت میگیرد.
فرآیند اعتبارسنجی اپلیکیشنهای مالی
حسین بیات، مدیر تیم بررسی و انتشار برنامههای کافه بازار، در اینباره میگوید: برای اعتبار سنجی و صحت در اپلیکشنهای بانکی و مالی که با سرمایه مردم سروکار دارد، سختگیری بیشتری به خرج میدهیم. هنگام بارگذاری این برنامه در پلتفرم کافه بازار ابتدا هویت شخص حقیقی برای ثبت درخواست برنامه بانکی باید احراز شود.
بیات در ادامه توضیح میدهد: اگر شخصی به عنوان مسئول IT یک مجموعه رسمی به پلتفرم ما برنامهای ارائه کند باید از طریق ایمیل رسمی بانک و شرکت مالی موردنظر صورت گیرد. همچنین حتما آدرس ایمیل روی دامنه اصلی آن سازمان باشد. ضمن این بررسیها، لازم است هویت شخص درخواستدهنده و اپلیکیشن در سربرگ رسمی مهر و موم شده از سوی بانک یا موسسه مالی تایید شود. بدینصورت از اعتبار و امنیت برنامه مطمئن میشویم. بعد از تاییدیه کامل به منظور تعیین هویت و رسمی بودن برنامه، وقتی توسط توسعهدهندگان ثبت درخواست برنامه را در کافه بازار میدهند؛ توسط سپر بازار، بررسی برنامه با تعدادی آنتیویروس بین المللی کارآمد و قوی صورت میگیرد. این مرحله برای اطمینان از مخرب نبودن فایل اپلیکشن انجام میشود. پس از این برنامه ارئه شده برای مشکلات احتمالی مجددا بررسی میشود و اگر مشکلی باشد، برای رفع آن به توسعهدهنده ارجاع داده میشود.
حسام سلیمانی، مدیر تیم پشتیبانی توسعهدهندگان مایکت، میگوید: برای تایید صحت اپلیکیشن خدمات بانکی در مایکت، یک فرآیند چند مرحلهای تعریف شده است. در ابتدا طی یک رویه جامع در پلتفرم مایکت تمامی برنامهها پیش از انتشار توسط کارشناسان ما تست و بررسی میشوند تا از صحت عملکرد برنامه اطمینان حاصل شود. برای برنامههای حوزه مالی و پرداخت هم این بررسی با حساسیت بیشتری انجام میشود که از صحت عملکرد و امنیت نسخه نصبی اطمینان پیدا کنیم.
او ادامه میهد: نکته دیگری که همواره به آن دقت میشود این است که اپلیکیشنهای بانکی صرفا از سمت همان بانک در مایکت اجازه انتشار پیدا میکنند و در رابطه با سایر اپلیکیشنهای خدمات مالی هم ما بهدقت، منبع و اصالت توسعهدهندگانی را که قصد انتشار چنین برنامههایی را دارند بررسی و ارزیابی میکنیم تا از اصالت شخص حقیقی، همچنین اعتبار کسبوکار و سرویس ارائه شده، اطمینان پیدا کنیم.
برای سیستم عامل IOS از آنجا که اپلیکیشنهای داخلی بانکی و پرداختیارها در اپاستور موجود نیستند و همواره با محدودیت مواجه میشوند، حمید کوچکزاده، مدیر ارشد تجاری CCO سیب اپ، توضیح میدهد؛ برای اطمینان برای کاربران دارای آیفون، صحتسنجی برنامههای مالی شامل همراه بانکها، پرداختیارها و اپلیکیشنهای مربوط به تراکنش و معاملات رمزارزی را به طور گسترده طی مراحل و چارچوبی دقیق انجام میدهیم.
کوچکزاده تاکید میکند: برای انتشار اپهای مالی و بانکی باید با یک هویت حقوقی اقدام شود. یعنی نیاز است آن شخص از طریق ایمیل سازمانی و دامین رسمی همان کسبوکار یا بانک، درخواست خود را در سیباپ ثبت کند. علاوهبر این موارد برای احراز هویت طبق ساختار پلتفرم ما، باید شرکت یا موسسه مورد نظر در پنل کاربری خود تصویر روزنامه رسمی به همراه آخرین تغیرات، تصویر کارت ملی مدیرعامل و گواهی معامله ارزش افزوده را بارگذاری کند. هویت تمامی اطلاعات به وسیله سیب اپ احراز میشود و پس از اطمینان از صحت اطلاعات وارد شده، با ادمین فرد ایجاد کننده آن حساب و درخواست موردنظر برای انجام مابقی مراحل ارتباط گرفته میشود.
تضمین امنیت و اصالت اپلیکیشنهای مالی
مدیر تیم پشتیبانی توسعه مایکت توضیح میدهد، نسخه برنامههای مالی پیش از اینکه اجازه انتشار در مایکت را پیدا کنند، از سوی کارشناسان مایکت تست و بررسی میشوند. در ابتدا زمانی که یک توسعهدهنده، نسخه apk برنامه را در پنل توسعهدهندگان مایکت بارگذاری میکند، پنل توسعهدهنده به صورت خودکار و با استفاده از نرمافزارهای امنیتی مورد استفاده، امنیت نسخه را از جهات مختلف بررسی میکند و در صورتی که مورد تایید باشد، اجازه بارگذاری نسخه داده میشود.
او ادامه میدهد: در مرحله بعدی، کارشناسان مایکت با نصب نسخه apk برنامه روی یک یا چند دستگاه اندرویدی، عملکرد اپلیکیشن را در شرایط واقعی میسنجند و بررسی امنیتی نسخه برنامه از نظر دسترسی به اطلاعات کاربران و بدافزارهای احتمالی، با استفاده از معتبرترین و پرکاربردترین آنتیویروسهای موجود، بخشی مهم و حیاتی از مراحل انتشار است. این فرآیند از دو روش بررسی خودکار سیستمی Multi AV و موتور بررسی با بیش از ۱۲ آنتی ویروس معتبر انجام میشود. سپس کارشناسان به صورت دستی بررسیها را انجام میدهند. با این روشها درصد اطمینان از امنیت و اصالت برنامه افزایش پیدا میکند.
بیات درمورد این موضوع اضافه میکند که بانکها در مرکز ایجاد امنیت کاربران و سنجش اعتبار اپلیکشنهای خود بسیار حساستر از هر آزمایشگاه امنیتی دیجیتالی دیگری قرار دارند. او تاکید میکند بانکها تمام سعی خود را برای تضمین امنیت کاربران انجام میدهند، اما برای اینکه اپلیکشن جعلی یا دستکاری شده در پلتفرم کافه بازار برای کاربران منتشر نشود، مراحل صحتسنجی دقیقتر به پلتفرم ما سپرده میشود. به گفته مدیر تیم بررسی و انتشار، پس از ارزیابی برنامه در سپر امنیتی بازار و اطمینان از مخرب نبودن آن، آزمایش کارایی اپلیکشن مالی و عملکرد صحیح آن به تیم انتشار محول میشود تا خطاهای احتمالی را بررسی کنند.
کوچکزاده نیز درباره این موضوع توضیح میدهد: پس از تایید اصالت و عملکرد برنامه، ما اپلیکیشن را با نماد اعتبار مشخصی در پلتفرم سیباپ آپلود میکنیم تا برای استفاده توسط کاربران مورد اطمینان است. از طرفی او اضافه میکند با توجه به سپرهای امنیتی پلتفرم سیب اپ، بارگذاری فایل اپلیکیشن درصورت صحتسنجی از سالم بودن فایل و شخص ارسالکننده صورت میگیرد. اما اگر برنامه در اختیار شخص ثالثی قرار بگیرد و با دستکاری در ساختار فنی آن در پلتفرم ما قرار بگیرد، با توجه به زیرساخت فنی سیب اپ برنامه مخرب شناسایی و کرش میشود و با ایحاد توقف در عملکرد برنامه از ادامه فرآیند فایل جعلی جلوگیری میشود.
اقدامات پلتفرمها در حفظ امنیت داده کاربران
مدیر تجاری سیباپ درمورد داده کاربران میگوید: داده خاصی از اطلاعات کاربران در پلتفرم ما ذخیره نمیشود. با توجه به ساختار پلتفرم اپاستور و سیستم عامل IOS اجازه ثبت اطلاعات کاربران داده نمیشود. حتی بعد از دانلود اپلیکیشن اینکه چه کسی، چه اپلیکیشنی را دانلود کرده به عنوان داده محرمانه کاربر حفظ میشود و حریم خصوصی کاربران محسوب میشود.
کوچکزاده در ادامه اضافه میکند: برای حفظ کاربران از تهدید سرقت سایبری سعی میکنیم در پیش از انتشار اپلیکیشن ساختارمند عمل کنیم و حتی اگر کاربران ما دچار سوءاستفاده مالی یا اطلاعاتی شوند از جانب سیباپ برای اقدام به شکایت، حمایت میشوند.
مدیر تیم بررسی و انتشار برنامههای کافه بازار در این رابطه میگوید: در کافه بازار حفظ حریم شخصی و دادههای کاربران بسیار اهمیت دارد به گونهای که تمام توسعهدهندگان برنامهها به ویژه اپلیکیشنهای مالی را ملزم میکنیم که حتما در مستندات برنامه خود درمورد دادههایی نظیر شماره تماس، ایمیل و غیره به کاربران اطلاع دهند که چه استفادهای خواهند کرد. بیات تاکید میکند، حتی میزان دسترسی هر یک از برنامهها به دستگاه کاربران باید کاملا شفافسازی شود که آیا نیاز چنین دسترسی ضروری است و در اپلیکیشن کاربرد دارد. او میگوید: از اینرو هیچ برنامهای در پلتفرم ما وجود ندارد که دسترسی غیر ضروری به دستگاه و اطلاعات کاربران داشته باشد.
مدیر تیم پشتیبانی توسعهدهندگان مایکت در مورد امنیت داده کاربران توضیح میدهد: ما در مایکت به عنوان یک منبع معتبر در حفظ امنیت داده کاربران در اپلیکیشنهای بانکی، در قدم اول اطمینان پیدا میکنیم که منبع ارسال و انتشار یک برنامه مالی، منبع اصلی و رسمی آن برنامه باشد. با این حال، طبق گفته سلیمانی؛ حفظ امنیت دادههای کاربران در سرویسهای مالی، بر عهده مالک آن سرویس است و مایکت به عنوان یک فروشگاه برنامههای اندرویدی از نظر فنی امکان ورود به بحث امنیت دادههای کاربر در یک برنامه مالی را ندارد و تنها وظیفه خود را نظارت دقیق بر عملکرد و اطمینان از صحت عملکرد آن سرویس، میداند.
رسیدگی به شکایات کاربران در صورت بروز مشکل
سلیمانی مدیر تیم پشتیبانی توسعهدهندگان مایکت در این خصوص عنوان میکند: کاربران از چندین طریق میتوانند گزارش و دغدغههای خود در رابطه با عملکرد برنامه و بازیهای مختلف منتشر شده در مایکت، از جمله حوزه مالی و پرداخت، را برای تیم ما ارسال کنند. بخش نظرات به صورت منظم از طرف کارشناسان مایکت پایش میشود. همچنین کاربران میتوانند از طریق راههای ارتباطی دیگر (تماس تلفنی، ثبت درخواست از طریق بخش پشتیبانی برنامه مایکت، صفحات شبکههای اجتماعی مایکت و غیره)، گزارشهای خود را به اطلاع ما برسانند.
او همچنین ادامه میدهد؛ متخصصان مایکت الگوریتمهای مشخصی طراحی و پیادهسازی کردهاند که با پایش مداوم و خودکار صفحات تمامی برنامهها، در کنار تمامی موارد از جمله گزارشهای کاربران، به صورت شبانهروزی در حال پردازش و مشخص کردن برنامههایی هستند که از سمت کاربران به عنوان برنامههای مخرب، مشکلدار یا ناامن معرفی شدهاند.
کوچکزاده مدیر تجاری سیب اپ اشاره میکند اگر کاربر گزارشی درمورد خطایی از سوی اپلیکشین به پلتفرم ما بدهد، از طریق پنل اپلیکیشن به ادمین منتقل میشود. یا از طریق ایمیل، پیامک یا کامنت، شکایت به مدیریت حقوقی اطلاعرسانی میشود. اگر مورد حاد یا تکرارپذیر باشد، حتما پیگیری از طرف خود سیب اپ به طور مستقیم از طریق روشهای دیگری چون تماس مستقیم با شرکت و بانک انجام میشود. در صورت وجود مشکل، برنامه معلق میشود و آن را برای کاربران جدید از دسترس خارج میکنیم تا مشکل برطرف شود.
به طور کلی به گفته مدیر بازرسی این پلتفرم، اپلیکیشنهای مالی به دلیل اهمیتی که دارند از جهت امنیت به طور دورهای توسط تیم آنها با بررسی تیکت کاربران ارزیابی میشود تا بدون باگ یا بدافزار در سیباپ قابل دانلود باشد.
بیات نیز توضیح میدهد که در کافه بازار با توجه به گزارش کاربران، ابتدا بررسی میشود که بر اساس چه مشکلی بوده است و از سوی خود تیم کافه بازار آزمایش میشود. سپس از توسعهدهنده مشکل پیگیری میشود و تا زمان اصلاح، نصب و اجرای آن برنامه معلق میشود.
همچنین او میگوید: اگر مشکل سوءاستفاده برای کاربران پیش آمده باشد کافه بازار در راهنمایی و حمایت از آنها در شکایت به قوه قضاییه یا سازمان ذیربط تمام سعی خود را میکند. البته به طور کلی از همان ابتدا برای بارگذاری برنامههای مربوط به شرکتهای کارگزاری بورسی در نهایت دقت، صدور جواز رسمی شرکت یا به عنوان مثال تاییدیه از فرابورس و فتا را برای فعالیت آنلاین با استفاده از برنامهشان پیگیری میکنیم.
به جز اپلیکیشنهای بانکی در مورد برنامههای مالی در حوزه رمزارزی و فروش طلای خام کافه بازار سعی میکند از سازمان و اتحادیههای مربوطه از داشتن مجوز آن کسبوکارها اطمینان حاصل کند.
مستندات و آموزش توسعهدهندگان توسط پلتفرمها
مدیر تیم بررسی و انتشار کافه بازار میگوید: درمورد آموزش توسعهدهندگان برای رعایت الزامات فنی و امنیتی در این مورد وبسایت developer.cafebazar.ir راهاندازی شده است تا مستندات امنیتی محتوایی برای برنامهنویسان که قصد دارند چه در داخل و چه از خارج از کشور اپلیکیشنی را در بازار منتشر کنند ارائه کند. علاوهبر این موضوع، برنامهنویسان بانکها و سایر کسبوکارها برای توسعه برنامههای خودشان میتوانند با تیم پشتیبانی فنی در ارتباط باشند تا با راهنمایی آنها حتی به صورت دورهای طبق قوانین کافهبازار بهروزرسانی انجام دهند.
مدیر پشتیبانی فنی مایکت نیز اضافه میکند: آموزشها و مستندات فنی عمومی و تخصصی در رابطه با برنامهنویسی اندروید را در اختیار توسعهدهندگان مایکت قرار میدهیم که از طریق «پایگاه دانش مایکت» قابل دسترسی است. ما با توسعهدهندگان خود ارتباط مداوم و نزدیکی داریم و در صورتی که در رابطه با ساخت برنامه یا اضافه کردن ویژگیهای امنیتی و نکات فنی، ابهام یا سوال داشته باشند، در کنارشان هستیم و اطلاعات و مستنداتی را که لازم دارند در اختیار آنها قرار میدهیم.
استاندارها و گواهینامههای پلتفرمها برای اعتبارسنجی
سلیمانی توضیح میدهد ما فراتر از استانداردها و قوانین ناظر بر شبکه بانکی کشور، اقدامی انجام نمیدهیم. اما توسعهدهندگانی که قصد انتشار برنامههای ارائهدهنده خدمات مالی را دارند، در چارچوب قوانین کشور و همچنین قوانین انتشار برنامهها و فعالیت در مایکت، ممکن است لازم باشد مجوزها و مستندات مختلفی را به پلتفرم ما ارائه بدهند. بر اساس نوع خدماتی که در برنامه ارائه شده است، مجوز یا قراردادهای مرتبط باید ارائه شود. به عنوان مثال، یک اپلیکیشن در محیط خود، بخش کارت به کارت اضافه کرده است، لازم است مجوز فعالیت در این حوزه از بانک مرکزی و همچنین قراردادهای خود با بانکها و سایر سرویسهای معتبر فعال در این حوزه را (با حفظ محرمانگی) به مایکت ارائه دهد.
بیات هم اشاره میکند: به طور کلی بررسیها برای صحتسنجی برنامهها در کافه بازار یک فرآیند استاتیک و داینامیک است و فعالیت ما محدود به تعدادی آنتیویروس نمیشود. براساس تجربیات بازار، مقالات بهروز آزمایشگاههای امنیتی توسط تیم بخش سپر امنیتی مطالعه میشود و حتی درصورت امکان پیادهسازی و سیستم ارزیابی امنیتی بهروزرسانی میشود.
او در پایان توضیح میدهد: در شرایطی که بعضی از برنامههایی که در کافه بازار منتشر و با خطای گوگل “Block by protect ” مواجه میشود؛ یعنی به عنوان یک برنامه مخرب یا دچار مشکل در بخش فنی شناخته میشود، پیش از قرار گرفتن روی پلتفرم میتوان برای رفع آن اقدام کرد. در حالی که امکان شناسایی آن برای برنامههای داخلی در گوگل پلی وجود ندارد. به دلیل تحریمها اگر تشخیص دهد برنامه از حساب کاربری ایرانی آپلود شده است، فوراً آن را مسدود میکند. بنابراین اعتبارسنجی برنامههای ایرانی بهویژه در بخش مالی توسط گوگلپلی قابل استناد نیست.