شاپرک : نگاهی به پرداخت الکترونیک

[Drago]

خب،بعد از اینکه عالم و آدم رو متهم به کم‌کاری کردیم،واسه اینکه خودمون متهم به این موضوع نشیم،بیایم یه بحث راه بندازیم که هم علمی باشه،هم عملی و هم کاربردی.
از یه طرف یه چیزی یاد بگیریم،از یه طرف سرمون گرم بشه،از یه طرف هم بتونیم توی مجالس و مهمونی های خانوادگی و غیره رشته سخن رو به دست بگیریم و کلی «مهندس آی تی» بازی در بیاریم
این رو هم بگم که از راه افتادن شاپرک چندماهی میگذره،اما از اونجایی که ترجیح میدم بحث هایی که میکنیم بیشتر عمقی باشه تا ناشی از جوزدگی،ترجیح دادم یه کمی وایسیم آبها از آسیاب بیفته،بعد!
========================
اولین بیایم ببینیم شاپرک چیه : شبکه الکترونیک پرداخت کارت.البته در اصل این یه شرکته که سال ۱۳۹۰ تاسیس شده و وظیفه اش «نظارت دقیق و همه جانبه بر عملیات پرداخت الکترونیک و حصول اطمینان از رعایت استانداردها و ضوابط و همچنین افزایش سطح امنیت نظام پرداخت در کشور» توصیف شده.

حالا این شرکت،اومده یه سری قوانین و مقررات رو پیاده سازی میکنه.یه سری از این قوانین قبلا توی قوانین بانک مرکزی بوده،اما اجرا نمیشده،یه سری از این قوانین هم قبلا بوده و اجرا میشده.یه مجموعه ای هم جدیدا به وجود اومده.مثلا اینکه اگر تراکنش موفق نبود حداکثر ظرف ۷۲ ساعت پول به حساب دارنده کارت برگرده از قبل بوده و اجرا میشده،اینکه واریز وجه از طریق پایانه های فروش نباید آنی باشه قبلا بوده و اجرا نمیشده.

حالا با این توضیح تقریبا مختصر،در نظر دارم که بیایم و بررسی کنیم : شاپرک چطور کار میکنه؟ فوایدش چیه؟ بدی هاش چیه؟ چرا انتقال پول نباید آنی باشه؟ چرا مثلا از طریق اینترنت آنی هست،اما با POS نه؟ اصلا اینکه انتقال آنی نیست چیز خوبیه یا بد؟ در کشورهای دیگه چطوره؟ چرا بازاری ها از این سیستم ناراضی اند؟ ایا بچه های تجارت الکترونیک از این موضوع خوشحالند؟ و هر سوال دیگه ای که ممکنه به ذهن شما بیاد! اصلا اولین سوالی که توی ذهن خودم اومد این بود که فرق شاپرک با شتاب چیه؟! شما همچین سوالی نداشتید؟ به جواب رسیدید؟


پی نوشت : اول از همه توصیه میکنم یه نگاهی به سایت شاپرک بندازید.خودشون سعی کردن به یه سری از این سوالها پاسخ بدن،اما ما برای خودمون میخوایم از منابع مختلف به جواب برسیم،چون به قول معروف «هیچ بقالی به ماست خودش نمیگه ترش»!

 

[danialfx]

من اولین بار اسم شاپرک رو در زمان راه اندازیش داخل روزنامه ها خوندم.

در جایی که مغازه دار ها اعتراض زیادی داشتن که چرا عملیات به صورت آنی صورت نمیگیره و باید مدت زیادی صبر کنیم تا تسویه حساب انجام بشه.

مثل اینکه شاپرک در راستای افتضاحاتی که انیاک به وجود اورد راه اندازی شده و هدفش امنیت مالی بوده و دقیقا این آنی پرداخت نشدن پول نیز به همین دلیل طراحی شده هست.

اصولا یکی از معایب این سیستم همین هست که سرویس دهنده نمیتونه نسبت به پرداخت سرویس گیرنده اعتماد داشته باشه. مسائلی از قبیل :
اینکه پولی که از کارت مورد نظر پرداخت شده پول سالمی نبوده ( منظورم همون پولشویی هست که جدیدا تو ایران و توسط سیستم های پرداخت الکترونیک به شدت رایج شده - البته توسط کلاهبردارن)
اینکه دزدی صورت گرفته شده باشه و هدف تبدیل شدن پول به کالا باشه.
و ...
تو این موارد اگر بعد از 72 ساعت متوجه بشن که این پول مشکل داشته. به طور مشخص تسویه حسابی با سرویس دهنده انجام نمیشه و تنها کسی که ضرر میکنه خود سرویس دهنده هست. چون بعد از اینکه سرویس گیرنده کارش انجام شد دیگه دسترسی بهش وجود نداره.

این یکی از معایب عمده این سیستم هست که از نظر من همین عیب میتونه تو یه کشور با سازو کارهای درست کلا استفاده از این سرویس رو غیرممکن کنه . چون اعتمادی که باید برای دو طرف مبادله کننده به وجود بیاد از بین میره و این خودش سرویس دهنده ها رو متمایل میکنه به اینکه بخوان از پول نقد استفاده کنن.
یعنی زحمات چند ساله ای که برای راه اندازی این سیستم ها به راه افتاد میتونه ظرف مدت کوتاهی خیلی راحت از بین بره و فرهنگی که به وجود اومد دوباره به قهقرا بره و به طور مشخص این سیستم به نفع سیستم تجارت الکترونیک کشورمون نیست.


پ ن : الان که به سایتشون مراجعه کردم دیدم برای اشکالات پاسخ هایی دادن که میشه تو بحث های اینده بیشتر درموردشون حرف زد.

 

[Drago]

خب چیزی که من فهمیدم اینه که با وجود شاپرک وقتی یه انتقال میخواد انجام بگیره (از طریق POS) این اتفاق میفته :
اطلاعات برداشت از حساب دارنده کارت به سوییچ شاپرک منتقل میشه و پول از حسابش کم میشه،در نزدیک ترین زمانی که برای انجام ادامه تراکنش در نظر گرفته شده اطلاعات واریز به حساب پذیرنده انجام میشه.
اینکه بحث اعتماد رو مطرح میکنی،خودشون میگن انجام انتقال وجه (در مواردی غیر از خرید کالا) و کارت به کارت کردن پول توسط POS اصلا غیرقانونیه و نباید انجام بشه.برای این کار باید از سیستم های اینترنتی یا ATM استفاده بشه.
مورد پولشویی هم نکته بسیار مهمیه.خب اصولا روش اینه که من یه پول کثیف دارم،میام باهاش یه خرید سوری انجام میدم(مثلا توی مغازه شما)،بعد پول نقد رو از شما میگیرم دیگه.اینها میگن اینجوری جلوی این روش رو هم گرفتیم،به نظرت تا چه حد موثره؟ البته یکی از باگ های بزرگش رو گفتی،اگه خرید سوری نبود چی؟!! (مثلا پول رو به طلا تبدیل کرده بود) اونوقت پذیرنده کارت ضرر میکنه!

یه چیز دیگه ای هم که من شنیدم این بود که میگفتن یه سری از بانکها،تعدادی از تراکنش هایی که بین حسابهای بانک خودشون بوده (یعنی من که حساب بانک الف دارم به دانیال که حساب بانک الف داره) رو اعلام و گزارش نمیکردن! که خب راه فساد و پولشویی رو باز میکنه.و با انتقال همه تراکنش ها روی سوییچ شاپرک،دیگه این کار هم امکان پذیر نیست.

اما نمیفهمم چرا میگی اعتماد مردم کم میشه.خب چند ساعت تاخیر در اتمام تراکنش و در عوض ایجاد امنیت بیشتر قابل پذیرش نیست؟

 

[mohandeseit]

البته برای مقابله با قضیه پولشویی اینا از امضای کور جزئی استفاده میشه کرد.
چون امضای کور تام واقعا" دیگه همه چیز تمومه..از اونور با همین امضای کور تام تحریمها رو بالنسبه دور میزنن.
البته خب انقده سوتی دادن که اعتماد مردم سلب شده فعلا"، البته تاخیر به ازای امنیت مشکلی نداره ولی خب هردوتا با هم بهتره و اینجوری بهتر میشه اعتماد مردم رو جلب کرد چون تاخیر باعث میشه اونهایی که علم کافی ندارن به سیستم شک کنن.به نظرم هنوزم تو مرحله آزمون و خطاس

 

[mohandeseit]

به نظرم میاد اول باید به طور کلی ساختار غیربهینه و نامناسب بانکی اصلاح بشه بعد بریم سراغ امنیت تجارت الکترونیک به طور اختصاصی امنیت تبادلات بین بانکی و...
مثلا" وقتی ی نفر انقده نفوذ داره که میتونه قوانینو دور بزنه دیگه شما بیای قوی ترین پروتکل امنیت تجارت الکترونیک رو طراحی کنی فایده نداره...اولین کاری که باید کرد اینه که BACKDOOR نداشته باشه.

اضافه بر مطلب:ما میام به تکنولوژی هسته ای دست پیدا میکنیم ولی هنوز نمیدونیم که سیستمهای کامپیوتری این وسط خیلی مهمن و فک میکنیم کار تموم شدس..همین میشه که ویروسهایی مثه استاکس نت،گاوس،فلیم و... کارمونو میسازن

 

[danialfx]

البته برای مقابله با قضیه پولشویی اینا از امضای کور جزئی استفاده میشه کرد.
چون امضای کور تام واقعا" دیگه همه چیز تمومه..از اونور با همین امضای کور تام تحریمها رو بالنسبه دور میزنن.
ا

در مورد امضای کور جزئی و امضای کور تام تا جایی که میشه توضیح میدی؟

( به اضافه اصطلاح انگلیسی و مثالی در موردش )

به نظرم میاد اول باید به طور کلی ساختار غیربهینه و نامناسب بانکی اصلاح بشه بعد بریم سراغ امنیت تجارت الکترونیک به طور اختصاصی امنیت تبادلات بین بانکی و...

مثلا" وقتی ی نفر انقده نفوذ داره که میتونه قوانینو دور بزنه دیگه شما بیای قوی ترین پروتکل امنیت تجارت الکترونیک رو طراحی کنی فایده نداره...اولین کاری که باید کرد اینه که BACKDOOR نداشته باشه.

اضافه بر مطلب:ما میام به تکنولوژی هسته ای دست پیدا میکنیم ولی هنوز نمیدونیم که سیستمهای کامپیوتری این وسط خیلی مهمن و فک میکنیم کار تموم شدس..همین میشه که ویروسهایی مثه استاکس نت،گاوس،فلیم و... کارمونو میسازن

البته قرار شد اینجا شاپرک رو بررسی کنیم. فکر کنم مقوله امنیت نیاز به بحث گسترده تری غیر از این تاپیک داشته باشه.


---------------------

امیرجان. در مورد پستت فردا با یک مثال پاسخ میدم.

 

[mohandeseit]

بله قرار شد فقط در مورد شاپرک صحبت کنیم اما خب این مسائل بی ربط به شاپرک نیس.
امضای کور امضایی هست که در اون امضا کننده با توجه به اعتماد و اطمینانی که به درخواست کننده دارد بدون دیدن متن آنرا امضا میکند.اصطلاحش میشه blind signature.دو ویژگی مهمشم blindness و untraceability هس.در امضای کور جزئی یا partial چون اطمینان یا trust کم هس ذکر میشه که امضا برای موارد خاصی معتبر است.
البته در fair blind signature یا امضای کور منصفانه اشخاص خاصی که تایید صلاحیت شده اند میتونن ردیابی کنن و مانع پولشویی و... بشن.

 

[danialfx]

خب چیزی که من فهمیدم اینه که با وجود شاپرک وقتی یه انتقال میخواد انجام بگیره (از طریق POS) این اتفاق میفته :
اطلاعات برداشت از حساب دارنده کارت به سوییچ شاپرک منتقل میشه و پول از حسابش کم میشه،در نزدیک ترین زمانی که برای انجام ادامه تراکنش در نظر گرفته شده اطلاعات واریز به حساب پذیرنده انجام میشه.
اینکه بحث اعتماد رو مطرح میکنی،خودشون میگن انجام انتقال وجه (در مواردی غیر از خرید کالا) و کارت به کارت کردن پول توسط POS اصلا غیرقانونیه و نباید انجام بشه.برای این کار باید از سیستم های اینترنتی یا ATM استفاده بشه.
مورد پولشویی هم نکته بسیار مهمیه.خب اصولا روش اینه که من یه پول کثیف دارم،میام باهاش یه خرید سوری انجام میدم(مثلا توی مغازه شما)،بعد پول نقد رو از شما میگیرم دیگه.اینها میگن اینجوری جلوی این روش رو هم گرفتیم،به نظرت تا چه حد موثره؟ البته یکی از باگ های بزرگش رو گفتی،اگه خرید سوری نبود چی؟!! (مثلا پول رو به طلا تبدیل کرده بود) اونوقت پذیرنده کارت ضرر میکنه!

یه چیز دیگه ای هم که من شنیدم این بود که میگفتن یه سری از بانکها،تعدادی از تراکنش هایی که بین حسابهای بانک خودشون بوده (یعنی من که حساب بانک الف دارم به دانیال که حساب بانک الف داره) رو اعلام و گزارش نمیکردن! که خب راه فساد و پولشویی رو باز میکنه.و با انتقال همه تراکنش ها روی سوییچ شاپرک،دیگه این کار هم امکان پذیر نیست.

اما نمیفهمم چرا میگی اعتماد مردم کم میشه.خب چند ساعت تاخیر در اتمام تراکنش و در عوض ایجاد امنیت بیشتر قابل پذیرش نیست؟

اول باید امنیت بیشتر رو تعریف کنیم. به نظرت لزوما اینکه نقل و انتقال با چند ساعت تاخیر انجام بشه تا چه حد امنیت به وجود میاره ؟

اگه قرار باشه همه تراکنش ها به سوییچ شاپرک منتقل بشه. خب میشه تراکنش ها رو ظرف زمانی کمتر ( مثلا 1 ثانیه ) انتقال داد. 1 ثانیه زمان ثبتش داخلش سیستم شاپرک.

مثالی برای عدم اعتماد میزنم. البته منظورم از عدم اعتماد برای فروشنده ها بود.

شخصی یه کارت بانکی به همراه رمزش پیدا میکنه که اتفاقا پول زیادی هم داخلش هست. صاحب کارت هم متوجه نشده. اگه این شخص بخواد با دستگاه ATM پول برداشت کنه. دوربین های مربوطه تصویرش رو بایگانی میکنن و خیلی راحت شناسایی میشه.
برای همین اون شخص باید فکر دیگه ای کنه.
اون شخص میره از طریق دستگاه pos مثلا خرید طلا انجام میده. اون شخص کالای مورد نظرش رو میگیره ولی پول هنوز به حساب کسی که کالا رو نفروخته منتقل نشده. قبل اینکه این انتقال پول به حساب فروشنده انجام بشه اعلام میکنن که این کارت دزدی بوده و تمام پولی هم که باهاش خرید انجام شده دزدیه.
این وسط این پول به نظرتون چی میشه ؟ ایا به حساب فروشنده انتقال پیدا میکنه ؟ چه تضمین اجرایی وجود داره که این پول به حساب فروشنده واریز بشه و دوباره به کارت مورد نظر برگردونده نشه ؟

برای همین میگم که برای فروشنده تضمین کافی وجود نخواهد داشت و یک ترسی برای فروشنده ها به وجود میاره. و این عامل فروشنده ها رو سوق میده که به پول نقد روی بیارن. در حالی که تمام هدف و تبلیغات از چند سال گذشته این بوده که نقل و انتقالات کاغذی پول به کمترین حد ممکن برسه.

 

[samira.it]

من زياد تخصصي صحبت نميكنم همه پستارو هم نخوندم
اينكه بگيم چند ساعت تاخير قابل پديرش هست يا نيست؟به نظر من نيست اولا من نميدونم رو چه حسابي اين چند ساعتو طرح ميكنن آيا همه پولا مثلا در عرض 6 ساعت رو حساب ميشينه؟من ديدم يه پولي در عرض 5 ساعت و ديگري بيشتر از 48 ساعت رو حساب من نشسته مبالغشم زياد در خور توجه نبوده
حداقل براي اشخاص امثال من معايبش بيشتر از فوايدشه
چون به طور مثال حداقل روزي 10 تا بيمه ثالث ميزنم كه به طور متوسط حق بيمه اشون ميشه 5 ميليون .نود درصد مشتريا از pos پرداخت ميكنن وجه رو مشكل اينجاس كه من بايد در ساعت بانكي همان روز اين پولو به حساب بيمه مركزي واريز كنم ولي پولي تو حساب من نيست

 

[Drago]

(بعد از نوشتن این پست متوجه شدم که به ظاهر زیاد دارم از این سیستم طرفداری میکنم! من نه وکیل مدافع این شرکت هستم نه علاقه خاصی بهش دارم،صرفا میخوام بحث صورت بگیره )

به نظرم میاد اول باید به طور کلی ساختار غیربهینه و نامناسب بانکی اصلاح بشه بعد بریم سراغ امنیت تجارت الکترونیک به طور اختصاصی امنیت تبادلات بین بانکی و...
مثلا" وقتی ی نفر انقده نفوذ داره که میتونه قوانینو دور بزنه دیگه شما بیای قوی ترین پروتکل امنیت تجارت الکترونیک رو طراحی کنی فایده نداره...اولین کاری که باید کرد اینه که BACKDOOR نداشته باشه.

اضافه بر مطلب:ما میام به تکنولوژی هسته ای دست پیدا میکنیم ولی هنوز نمیدونیم که سیستمهای کامپیوتری این وسط خیلی مهمن و فک میکنیم کار تموم شدس..همین میشه که ویروسهایی مثه استاکس نت،گاوس،فلیم و... کارمونو میسازن

پس شما فکر میکنید از بین بردن روابط پشت پرده و تکیه بر قانون و قانونمداری مهم تر از بحث های فنی و تخصصیه؟ البته نکته جالب و مهمی رو اشاره کردید!

البته در مورد استاکس و فلیم و غیره هم فکر نکنم در اون حد کوتاهی صورت گرفته باشه،به هرحال این یه حمله‌ی هدفدار و برنامه ریزی شده در بلند مدت بوده،نه اینکه یکی یه BackTrack نصب کرده باشه دوتا اسکریپت اجرا کنه! البته انکار نمیکنم که همچین تاسیساتی که اهمیتی بیشتر از مسائل فنی پیدا کرده و سیاسی شده باید تدابیر امنیتی خیلی بهتری داشته باشه.

اگه قرار باشه همه تراکنش ها به سوییچ شاپرک منتقل بشه. خب میشه تراکنش ها رو ظرف زمانی کمتر ( مثلا 1 ثانیه ) انتقال داد. 1 ثانیه زمان ثبتش داخلش سیستم شاپرک.

مثالی برای عدم اعتماد میزنم. البته منظورم از عدم اعتماد برای فروشنده ها بود.
...
چه تضمین اجرایی وجود داره که این پول به حساب فروشنده واریز بشه و دوباره به کارت مورد نظر برگردونده نشه ؟

برای همین میگم که برای فروشنده تضمین کافی وجود نخواهد داشت و یک ترسی برای فروشنده ها به وجود میاره. و این عامل فروشنده ها رو سوق میده که به پول نقد روی بیارن. در حالی که تمام هدف و تبلیغات از چند سال گذشته این بوده که نقل و انتقالات کاغذی پول به کمترین حد ممکن برسه.

ببین دانیال بحث صدها تراکنش در ثانیه است که اطلاعاتش وابسته به شبکه هم هست،نمیشه توی یه ثانیه اتفاق بیفته که!

مثالت بسیار جالب بود،توی سرچ هامون ببینیم اصلا چه جوابی به این سوال داده شده.یا حتی بریم ببینیم در پرداخت های غیرالکترونیک چه جوابی برای این موضوع هست؟ (مثلا من مقداری پول کثیف به دست آوردم و از دانیال طلا میخرم و چک میدم،اگه من کشف بشم و حسابم مسدود بشه دانیال طلاها رو از دست داده و پولی هم نمیتونه به دست بیاره...)

اينكه بگيم چند ساعت تاخير قابل پديرش هست يا نيست؟به نظر من نيست اولا من نميدونم رو چه حسابي اين چند ساعتو طرح ميكنن آيا همه پولا مثلا در عرض 6 ساعت رو حساب ميشينه؟من ديدم يه پولي در عرض 5 ساعت و ديگري بيشتر از 48 ساعت رو حساب من نشسته مبالغشم زياد در خور توجه نبوده
حداقل براي اشخاص امثال من معايبش بيشتر از فوايدشه
چون به طور مثال حداقل روزي 10 تا بيمه ثالث ميزنم كه به طور متوسط حق بيمه اشون ميشه 5 ميليون .نود درصد مشتريا از pos پرداخت ميكنن وجه رو مشكل اينجاس كه من بايد در ساعت بانكي همان روز اين پولو به حساب بيمه مركزي واريز كنم ولي پولي تو حساب من نيست

این نقل قول از سایت شاپرکه : «هم اکنون در طول روزهای کاری در هفت نوبت وجوه مربوط به فروش به حساب پذیرندگان واریز می‌شود و تقریباً از ساعت هشت صبح هر دو تا سه ساعت یک‌بار وجه فروش انجام شده به حساب فروشنده واریز می‌شود. تنها در صورتی که بعد از ساعت ۱۸ فروشی انجام گیرد پول آن در روز بعد به حساب فروشنده واریز خواهد شد و در سایر موارد پول در همان روز به حساب وی خواهد رفت».اما وقتی شما از بیرون به عنوان یک کاربر این سیستم نظر دیگه ای داری،میتونه نشون دهنده ضعف یا نارسایی باشه.

البته این موردی که میگید پولتون رو باید از حساب منتقل کنید و غیره،به خاطر اینه که شما سیستمون رو بر اساس همون روش آنی طراحی کردید (یا کردند).یعنی همچین شرایطی توش در نظر گرفته نشده که خب با توجه به قوانین پرداخت های الکترونیک طراحی باید عوض بشه.

============
بیایم یه کم فنی تر بحث کنیم؟
وقتی یه تراکنش انجام میدیم،مثلا من میرم پیش samira.it و بیمه میخرم و پولش رو با کارت پرداخت میکنم...چه اتفاقی میفته دقیقا؟

============
برای دوستان علاقه مند به داده کاوی : یکی از دلایل پدید آمدن این سیستم تحلیل داده ها و داده کاوی تراکنش ها هست.

 

[R-Quantum]

مراحل پرداخت:
1.کشیدن کارت توسط خریدار
2. اتصال به بانک خریداربرای انتقال داده ها (منظور اگه کارت خریدار برا بانک ملی هستش به بانک ملی متصل میشه) که به این مرحله میگن buyer payment access poin
3.پرداخت کلا 3 لایه هستش که لزومی به گفتنش نمیبینم ولی تو لایه سوم که مربوط به سیستم بانکی هستش شامل 2 بخش میشه :1. clearing house , بخش دوم هم central bank. تو بخش اولی داده ها مربوط به خریدار مثل مشخصات خریدار ، مشخصات کارتش و ... به این قسمت فرستاده میشه تا اطلاعات خریدار کاملا مورد بازرسی قرار بگیره و اگه مشکلی تو اطلاعات مثل جعلی نبودن هویت خریدار و شماره حساب و ... نبود ، این بخش به بخش دوم یعنی بانک مرکزی اوکی میده که اطلاعات خریدار درسته و چنین کسی با این حساب بانکی وجود داره .
4.انجام تراکنش های انتفال توسط بانک مرکزی(این قسمت واقعا توسط بانک مرکزی انجام میشه ؟ منظورم اینه که کلیه تراکنش ها اعم از برداشت از حساب خریدار و واریز به حساب فروشنده توسط بانک مرکزی انجام میشه ؟کسی دیگه ای این کار رو نمیکنه ؟ الان سیستم شاپرک میخواد جایگزین این بخش شه یا بخش clearing house ؟)
5. بانک مرکزی با بانک فروشنده ارتباط برقرار میکنه و پول رو بحساب فروشنده میریزه. این مرحله رو بهش میگن seller payment access point
تمام

 

[dzzv_13]

بحث جالبی شد و مفید

مثلا" وقتی ی نفر انقده نفوذ داره که میتونه قوانینو دور بزنه دیگه شما بیای قوی ترین پروتکل امنیت تجارت الکترونیک رو طراحی کنی فایده نداره...اولین کاری که باید کرد اینه که BACKDOOR نداشته باشه.

اضافه بر مطلب:ما میام به تکنولوژی هسته ای دست پیدا میکنیم ولی هنوز نمیدونیم که سیستمهای کامپیوتری این وسط خیلی مهمن و فک میکنیم کار تموم شدس..همین میشه که ویروسهایی مثه استاکس نت،گاوس،فلیم و... کارمونو میسازن

قبلا دکتر جلالی (رئیس پدافند غیرعامل) مهمون برنامه ایی بود و میگفت این اشتباه خیلی بزرگی هست که مثلا ما برای مراکز امنیتی خودمون بیاییم از دیوایسهای شرکت های امریکایی (مثلا سیسکو) استفاده کنیم .. پس اگر چنین باشه پس در جایی که پولهای هنگفتی در روز جابه جا میشه نباید مشکلاتی مثل بک دور وجود داشته باشه ..
و این ویروسهایی که مناطق هسته ایی نفوذ میکنن ضعف در سیستم نیست .. بلکه خرابکاری هست
=========================

در مورد اینکه انتقال پول آنی باشه یا نه .. بنظرم اینکه آنی باشه بهتر هست ولی باید به حجم مبادلات و خطاهایی که ممکنه رخ بده هم توجه کرد .. مثلا برای من اتفاق افتاده که به شماره ایی زنگ زدم و درست هم شماره گرفتم .. ولی بدلیل خطا (که در بحث شبکه ها خوندیم که درصد کم شدن خطا وجود دارد ولی غیرممکنه به صفر برسه) جایی دیگه ایی رو گرفتم .. !!

پس بحث آنی بودن خوب هست ولی به شرطی که همراه با امنیت باشه
و بنظرم این چیزی که امیر نقل کرد

تقریباً از ساعت هشت صبح هر دو تا سه ساعت یک‌بار وجه فروش انجام شده به حساب فروشنده واریز می‌شود

خیلی خوب هست و اگر شبکه های مطمئنتر همراه با سوپر کامپیوترهای قوی تری داشته باشیم قطعا این زمان هم کمتر میشه ..

============================

اگه قرار باشه همه تراکنش ها به سوییچ شاپرک منتقل بشه. خب میشه تراکنش ها رو ظرف زمانی کمتر ( مثلا 1 ثانیه ) انتقال داد. 1 ثانیه زمان ثبتش داخلش سیستم شاپرک.

اول فکر میکردم چنین امکانی وجود نداره که در یک ثانیه بشه تموم کارها رو در ایران کرد ولی این مطلب رو پیدا کردم :
"ابر رایانه دانشگاه صنعتی امیرکبیر دارای توان پردازشی 34 میلیارد عملیات در ثانیه و سرعتی برابر 40 گیگابایت است" .. به نقل از خبرگزاری مهر

پس از نظر سخت افزاری مشکلی نیست .. فقط میمونه بحث امنیت (که خطا سیستمی صورت نگیره) و پول پاک (برا جلوگیری از پولشویی)

 

[rezaferdosi]

سلام دوستان
اول - در خصوص سیستم هایی مثل سوئیچ کارت که پردازش براساس تعداد تراکنش در ثانیه محاسبه می شود. منظور از تراکنش یک رشته حرفی عددی است که مثلا در مورد کارت های بانکی تابع ISO 8583 است. واحد آن هم TPS است که مخفف Transaction Per Second است. در مورد شتاب و شاپرک این فاکتور خیلی زیاد است و مثلا سوئیچ شاپرک دارای 500 TPS است.

دوم - موضوع را بیشتر از نظر فنی مورد توجه قرار داده اید در حالی که ممکن است علت تغییر روش واریز به حساب فروشندگان تجاری (Business Process) باشد.

 

[mohandeseit]

در پاسخ به دراگو جان باید بگم منظورم از back door فقط ضعف سیستم امنیتی هست نه بک ترک و اسکریپت اینا و این واقعیتی غیرقابل انکاره سیستمهای قبلی خیلی ضعیف بودن.امیرحسین جان خرابکاری در نتیجه ضعف اتفاق میفته حالا چه به صورت سایبری و چه بصورت فیزیکی

 

[Drago]

مراحل پرداخت:
1.کشیدن کارت توسط خریدار
2. اتصال به بانک خریداربرای انتقال داده ها (منظور اگه کارت خریدار برا بانک ملی هستش به بانک ملی متصل میشه) که به این مرحله میگن buyer payment access poin
3.پرداخت کلا 3 لایه هستش که لزومی به گفتنش نمیبینم ولی تو لایه سوم که مربوط به سیستم بانکی هستش شامل 2 بخش میشه :1. clearing house , بخش دوم هم central bank. تو بخش اولی داده ها مربوط به خریدار مثل مشخصات خریدار ، مشخصات کارتش و ... به این قسمت فرستاده میشه تا اطلاعات خریدار کاملا مورد بازرسی قرار بگیره و اگه مشکلی تو اطلاعات مثل جعلی نبودن هویت خریدار و شماره حساب و ... نبود ، این بخش به بخش دوم یعنی بانک مرکزی اوکی میده که اطلاعات خریدار درسته و چنین کسی با این حساب بانکی وجود داره .
4.انجام تراکنش های انتفال توسط بانک مرکزی(این قسمت واقعا توسط بانک مرکزی انجام میشه ؟ منظورم اینه که کلیه تراکنش ها اعم از برداشت از حساب خریدار و واریز به حساب فروشنده توسط بانک مرکزی انجام میشه ؟کسی دیگه ای این کار رو نمیکنه ؟ الان سیستم شاپرک میخواد جایگزین این بخش شه یا بخش clearing house ؟)
5. بانک مرکزی با بانک فروشنده ارتباط برقرار میکنه و پول رو بحساب فروشنده میریزه. این مرحله رو بهش میگن seller payment access point
تمام

بسیار عالی! ممنون از توضیحاتتون.فکر کنم یه جایی یه وقتی مجبورتون کنم اون ۳ مرحله رو توضیح بدید!!

سوالی که بولد کردید هم نکته ی خوبیه.شخصا نمیدونم،باید بگردیم.

۱.قبلا دکتر جلالی (رئیس پدافند غیرعامل) مهمون برنامه ایی بود و میگفت این اشتباه خیلی بزرگی هست که مثلا ما برای مراکز امنیتی خودمون بیاییم از دیوایسهای شرکت های امریکایی (مثلا سیسکو) استفاده کنیم .. پس اگر چنین باشه پس در جایی که پولهای هنگفتی در روز جابه جا میشه نباید مشکلاتی مثل بک دور وجود داشته باشه ..
و این ویروسهایی که مناطق هسته ایی نفوذ میکنن ضعف در سیستم نیست .. بلکه خرابکاری هست

============================
۲.اول فکر میکردم چنین امکانی وجود نداره که در یک ثانیه بشه تموم کارها رو در ایران کرد ولی این مطلب رو پیدا کردم :
"ابر رایانه دانشگاه صنعتی امیرکبیر دارای توان پردازشی 34 میلیارد عملیات در ثانیه و سرعتی برابر 40 گیگابایت است" .. به نقل از خبرگزاری مهر

پس از نظر سخت افزاری مشکلی نیست .. فقط میمونه بحث امنیت (که خطا سیستمی صورت نگیره) و پول پاک (برا جلوگیری از پولشویی)

۱.البته اون بحث استفاده از دیوایس های امریکایی که بیشتر جوکه نه یه حرف تخصصی! ما بیایم بشینیم از صفر روتر بسازیم؟! یا از چین بخریم؟؟! خودت میدونی که کاری که روتر میکنه شفافه.برخلاف توهمات عده ای هیچ چیز عجیب غریب و جاسوسی ای توش نیست!! باورتون نمیشه از طباطبایی بپرسید!
اما ربط دیوایس امریکایی یا ایرانی یا هرچی رو با بک دور نفهمیدم. البته فکر کنم یه کمی هم در منظور من،تو و mohandeseit از «بک دور» تفاوت وجود داره.من منظورم از بک دور هر نوع راهی برای دور زدن سیستم هست،چه فیزیکی باشه،چه نرم افزاری،چه قانونی،چه اخلاقی و ... اما اگه اشتباه نکنم منظور تو بحث نرم افزاریش باشه.چیزی که قبلا گفتیم این بود که طرف چون به پایگاه های قدرت متصله هرنوع تخلف بانکی رو انجام میده(همون بک دور!!)،حالا هی سیستم پرداخت الکترونیک عوض بشه یا پیشرفت کنه،فرقی توی کار اون نمیکنه.
اینکه گفتی ضعف نیست خرابکاری است،خب سیستم رو از قسمت ضعیفش بهش آسیب میزنن و خرابکاری میکنن دیگه! البته هیچ سیستمی صد در صد امن نیست و قبول دارم.

۲.ابرکامپیوتر دانشگاه امیرکبیر رو که نمیارن بزارن واسه شاپرک که! البته نمیگم میان Core i7 میزارن (انقدر هم ابله نیستم!!) اما اون سیستم خیلی خاص هست و مختص همون سازمان هم هست.همه زمان لازم هم مربوط به پردازش خود اطلاعات نیست.

(اون که نوشته سرعتش ۴۰ گیگابایته یعنی چی؟ قدرت ابر کامپیوتر یا همون سرعتش رو که با فلاپس در نظر میگرفتن...پتا فلاپس و اینا)

سلام دوستان
اول - در خصوص سیستم هایی مثل سوئیچ کارت که پردازش براساس تعداد تراکنش در ثانیه محاسبه می شود. منظور از تراکنش یک رشته حرفی عددی است که مثلا در مورد کارت های بانکی تابع ISO 8583 است. واحد آن هم TPS است که مخفف Transaction Per Second است. در مورد شتاب و شاپرک این فاکتور خیلی زیاد است و مثلا سوئیچ شاپرک دارای 500 TPS است.

دوم - موضوع را بیشتر از نظر فنی مورد توجه قرار داده اید در حالی که ممکن است علت تغییر روش واریز به حساب فروشندگان تجاری (Business Process) باشد.

سلام.
خوش اومدید.امیدوارم بتونیم از اطلاعات و همراهیتون در بقیه تاپیک ها هم استفاده کنیم.
۱.در مورد سیستم هایی مثل سویچ های کارت و امثالهم اطلاعاتی دارید که بهمون بدید؟

۲.اون هم نکته‌ی بسیار مهمیه! میتونه اصلا بحث شبکه ای/پردازشی نباشه.دید شما چیه؟ فرآیندهای تجاری بانک مرکزی در تعامل با کسب و کارها منظورتونه دیگه؟ خب،چه تغییری میتونه کرده باشه؟

در پاسخ به دراگو جان باید بگم منظورم از back door فقط ضعف سیستم امنیتی هست نه بک ترک و اسکریپت اینا و این واقعیتی غیرقابل انکاره سیستمهای قبلی خیلی ضعیف بودن.امیرحسین جان خرابکاری در نتیجه ضعف اتفاق میفته حالا چه به صورت سایبری و چه بصورت فیزیکی

من البته همونطور که گفتم منظورم یه چیزی فراتر از نرم افزار بود.اما در اون موضوع خاص که گفتم،منظورم این بود که سیستم انقدری هم که عموم مردم فکر میکنن ضعیف نبوده و این حملات به هرحال برنامه ریزی شده بوده.اما سیستم هم اون قدری که متخصصین (مثل شما) انتظار دارن قدرتمند نبوده.

 

[mohandeseit]

در مورد بدبینی که به device های آمریکایی وجود داره اینو بگم که لزومی به اعتماد به device های چینی هم نیست شاید اونا بدتر باشه...به هرحال کیفیت کلیه device های آمریکایی غیرانکاره...اما خب اینم باید در نظر بگیریم که در جنگ اول خلیج فارس نقطه نفوذ آمریکا در سیستمهای عراق که البته خودش همه رو راه انداخته بود براش پرینترهای HP بود.

 

[IRANI91]

4.انجام تراکنش های انتفال توسط بانک مرکزی(این قسمت واقعا توسط بانک مرکزی انجام میشه ؟ منظورم اینه که کلیه تراکنش ها اعم از برداشت از حساب خریدار و واریز به حساب فروشنده توسط بانک مرکزی انجام میشه ؟کسی دیگه ای این کار رو نمیکنه ؟ الان سیستم شاپرک میخواد جایگزین این بخش شه یا بخش clearing house ؟)

به گفته ی یکی از مسئولین «ما بازوی بانک مرکزی هستیم. یعنی ما طبق تکالیف و اساسنامه‌ای که بانک مرکزی بر ما محول کرده است وظیفه داریم نظام پرداخت یک‌پارچه کشور را از طریق شاپرک مدیریت کنیم.»

تا جای که من فهمیدم مشکلاتی که شاپرک دارد
-1همانطور که دانیال گفت پایین اوردن امنیت فروشنده و بالا بردن امنیت صاحب کارت . و این ترس برای فروشنده وجود دارد که در صورت دزدی بودن کارت خسارت وارده را کی قراره جبران کند؟چون همانطور که می دونید در عرض 72 ساعت پول به حساب صاحب کارت بر می گردد.
-2دیگر مشکلش برای مواردی که به پول نقد نیاز دارند مثل طلا یا ارز, انی نبود برای این موارد یعنی یه مشکل بزرگ؟

اما مزایای هم دارد
-1انی نبودن و گردش پول یعنی خلق نقدینگی که این به اقتصاد کشورمون کمک می کند چون در اکثر موارد ما به واریز انی نیاز نداریم.
-2جدا کردن تراکنش های اینترنتی از پوز باعث دقت بیشتر می شد.

 

[mohandeseit]

کلا" ایده و تفکر خوبیه اما به مرور باید نقاط ضعفشو برطرف کن...چون با وضع فعلی خیلی جالب نیست.

 

[sanamsayna]

سلام قبل از همه آقا امیر دستت درد نکنه واقعا بحث جالبیه و از سواد مهندسان تالارمون لذت می برم و استفاده می کنم . تصمیم گرفته بودم دیگه نظر فنی بدم یعنی با اسناد و مدارک حرف بزنم ولی چون نت ام مشکل داره زیاد نتونستم چیزی پیدا کنم فقط یه کمی خوندم چند تا مورد رو می خواستم بگم ( باز نظرم همین جوریه یعنی فنی نیست ) در مورد آنی بودن یا غیر آنی بودن به نظرم چون آنی نیست و از آنجا که تا اون حد که باید شناخته بشه شناخته نیست در نتیجه به همین دلیل افراد زیاد اعتماد نمی کنن ( یعنی به این فکر می کنن تا سه روز چی بشه کی قراره جواب بده و مشکلات فنی اینا در نتیجه این خودش ایجاد مشکل می کنه ) درسته امنیت مهمه ولی تاخیر هم مهمه یعنی باید در تعادل باشند نه اینکه فقط روی یکی تمرکز کنیم .دلیل این سه روز رو من نفهمیدم چرا سه روز؟ چرا مثلا یک روز نه؟یکی هم در مورد پشتیبانی من متوجه نشدم پشتیبانیش چه جوریه یعنی در چه حدیه قویه یا متوسط ( از نظر پاسخویی به مشکلات و پرداخت های ناموفق )؟