10 بهمن 1396 - 09:35

آیا می‌توان امنیت اطلاعات کارت را بر بستر USSD ایجاد کرد؟

توقف فروش شارژ و قبوض ویژه در بستر USSD بر اساس بخشنامه بانک مرکزی با این پرسش همراه است که آیا امکان برقراری امنیت به‌طور کامل در این بستر وجود دارد یا خیر ؟
کد خبر : ۸۱۲۹۷
پرداخت موبایلی

مدیر امنیت شرکت شاپرک در گفتگو با خبرنگار ایبِنا در خصوص توقف فروش شارژ بر بستر USSD و اینکه این روند به‌صورت موقتی است یا در آینده با امنیت بالاتر بازگشایی می‌شود، گفت: تبادل اطلاعات کارت بر بسترهای مختلفی انجام می‌شود. یکی از راهکارها و الزامات استاندارد برای کاهش ریسک در این‌گونه تبادلات، استفاده از رمزنگاری است. لذا کانال‌هایی که رمزنگاری مبدا تا مقصد پشتیبانی نمی‌کنند، ازجمله USSD، برای تبادل اطلاعات کارت مناسب نیستند.


افشین لامعی افزود: همواره نوعی تضاد بین امنیت و سهولت استفاده از سرویس برای مشتری وجود دارد. با این‌حال آنچه به‌عنوان سهولت استفاده در USSD گفته می‌شود، تا حدودی عادت مشتریان به استفاده از این کانال است.


وی اظهارداشت: با گسترش نفوذ اینترنت پرسرعت و گوشی‌های هوشمند در حال حاضر کانال‌های دسترسی دیگری مثل اپلیکیشن های موبایل وجود دارد که می‌تواند در صورت رعایت استانداردهای امنیتی، ازجمله رمزنگاری اطلاعات حساس از مبدأ تا مقصد و یا نشان‌گذاری، به‌عنوان جایگزین مورداستفاده قرار گیرد و تجربه کاربری جذاب‌تری را هم به کاربران ارائه کند.


لامعی در پاسخ به این پرسش که فرایند رمزنگاری مبدا تا مقصد در بستر USSD امکان‌پذیر است یا خیر، گفت: USSD یک پروتکل پیام‌رسانی است. در این‌گونه پروتکل‌ها، الگوریتم استاندارد رمزنگاری پیام‌ها یا باید در داخل خود پروتکل پشتیبانی شود یا اینکه یک روش رمزنگاری استاندارد، از طریق بستر تبادل پیام‌ها به پروتکل اضافه شود. هیچ‌یک از این دو مورد در ساختار فعلی USSD پشتیبانی نمی‌شود.


 نوآوری در حوزه الگوریتم‌های رمز، ادعای سنگینی است


وی در پاسخ به این پرسش که منظور از رمزنگاری در بخشنامه بانک مرکزی، چه روش‌ها و الگوریتم‌هایی است، گفت: سیاست ابلاغ‌شده، سیاست درستی است. اما اینکه کدام روش رمزنگاری، یک روش استاندارد به‌حساب می‌آید، در دنیای امنیت موضوع واضح و بدون ابهامی است و قرار هم نیست روش رمزنگاری جدیدی اختراع شود. نوآوری در حوزه الگوریتم‌های رمز، ادعای سنگینی است که بدون طی کردن مسیر طولانی و پیچیده آکادمیک و سپس صنعتی آن، قابل‌ پذیرش نیست.


وی در پاسخ به این پرسش که آیا با راه‌اندازی سامانه پیوند امنیت در بستر USSD تامین نشد، تصریح کرد: سامانه پیوند در مقطعی که اجرا شد، بهبود خوبی در بحث امنیت ایجاد کرد اما نتوانست مشکل را به‌طور کامل رفع کند.


ایجاد یک سیستم نشان گذاری به منظور برقراری امنیت در کانال هایی که امکان رمز نگاری ندارند


مدیر امنیت شرکت شاپرک خاطرنشان کرد: در کانال‌هایی که امکان رمزنگاری از مبدأ تا مقصد ندارد، باید یک سیستم نشان‌گذاری که همه ویژگی‌های فنی لازم را داشته باشد طراحی و اجرا شود. در این صورت است که آن کانال از قلمرو اطلاعات کارت که مستلزم رعایت استانداردهای سخت‌گیرانه امنیتی است، خارج می‌شود.


به نظر می‌رسد، برقراری کامل امنیت به‌ منظور محافظت از اطلاعات کارت به‌ صورت نقطه‌ به‌ نقطه و از مبدا تا مقصد در ساختار فعلی بستر USSD امکان‌پذیر نیست و این امکان وجود ندارد.


برچسب ها: افشین لامعی کدهای USSD مدیر امنیت شرکت شاپرک
ارسال‌ نظر
فیلم و پخش زنده
بیشتر
بانکی شو؛

نحوه خرید سکه از مرکز مبادله ارز و طلای ایران 

سواد مالی
بیشتر
پربیننده ها