فینتکهای ایران هنوز روش مشخصی برای احراز هویت مشتریان خود ندارند
نحوه احراز هویت استارتآپ فینتک زرینپال در شبکههای اجتماعی مورد بحث و انتقاد قرار گرفته است. ماجرا از زمانی شروع شد که یک تصویر از شخص درخواست کننده برای دریافت خدمات منتشر شد که نه ...
در دیجیاتو ثبتنام کنید
جهت بهرهمندی و دسترسی به امکانات ویژه و بخشهای مختلف در دیجیاتو عضو ویژه دیجیاتو شوید.
عضویت در دیجیاتوتازههای تکنولوژی
نحوه احراز هویت استارتآپ فینتک زرینپال در شبکههای اجتماعی مورد بحث و انتقاد قرار گرفته است. ماجرا از زمانی شروع شد که یک تصویر از شخص درخواست کننده برای دریافت خدمات منتشر شد که نه تنها کپی مدارکش را در دست دارد بلکه یک فرم لازم را نیز امضا کرده و تمام مدارک را در دست دارد. اکنون سوال اینجاست که زرین پال چرا به این شکل کاربرانش را احراز هویت میکند؟
تجربهی تپسی در هفته گذشته یک بار دیگر یادآوری کرد که هیچ پلتفرم آنلاینی امنیت کامل ندارد و باید احتمال افشای اطلاعات کاربران را هم در نظر گرفت. این در حالیست که در تصاویر دریافتی زرین پال از کاربران متقاضی استفاده از سرویسهایش، تصویر شخص، نام او، کپی مدارک و همچنین نمونه امضای آنها جمعآوری میشود و انتشار همین اطلاعات بر مبنای یک باگ امنیتی میتواند یک فاجعه باشد.
«مصطفی امیری»، مدیرعامل زرین پال هم البته عقیده دارد که این روش، یک فرایند بهینه نیست اما راهی جز این وجود ندارد. او در همین رابطه به دیجیاتو میگوید: «ما کپی شناسنامه و کارت ملی میگرفتیم اما قاضی به ما میگوید از کجا مشخص است که این مدارک متعلق به همان فرد است. میگفتیم با حساب بانکی کراس چک شده و استعلامها هم گرفته شده، اما قاضی این مسئله را نمیپذیرفت. ما به اجبار قضات وارد این مسیر شدهایم. واقعیت این هست که هیچ سرویس کاربردی برای احراز هویت به بخش خصوصی داده نشده است.»
امیری در پاسخ به این سوال که آیا نگهداری این اطلاعات و مدیریت آن نمیتواند خطرناک باشد، میگوید: «عکس و شناسنامه و تصویری که در آنجا وجود دارد قابل استفاده نیست. این روش دستکم از روش قبلی که ما تصویر خام شناسنامه و کارت ملی را دریافت میکردیم به مراتب امنتر است.» او همچنین اشاره میکند که تمام فینتکها از این روش یا روشهای مشابه برای احراز هویت استفاده میکنند. همه اینها در حالیست که به گفته امیری، حتی سامانه شاهکار نیز از نظر قاضی پذیرفته نیست:
«قاضی سامانه شاهکار را نمیپذیرد و میگوید این روش، الزاماً احراز هویت نیست. از طرفی درست هم میگوید. نمیشود احراز کرد که الزاماً در آن لحظهای که تایید انجام شده، من تاییدی را انجام دادهام یا شخص دیگری به جای من اینکار را کرده است.»
«محمدجعفر نعناکار»، مدیرکل حقوقی سازمان فناوری اطلاعات ایران در گفتگو با دیجیاتو راههای دیگری را نیز برای احراز هویت مطرح میکند: «یکی از کارهایی که میشود انجام داد این است که یک مامور دولتی شما را احراز هویت کند. در حوزه دیجیتال هم باید امضای دیجیتالی از طریق دفاتر اسناد رسمی اقدام کرد. سیستمهای دیگری هم وجود دارد. برای مثال میتوانند گواهی امضا از دفاتر اسناد رسمی دریافت کنند.» این البته در حالیست که بعضی کسبوکارها اندازه بزرگ و مشتریان زیادی دارند و ارجاع آنها به دفاتر اسناد رسمی یک اخلال زمانی را در کار آنها و حجم انبوه کاربران به وجود میآورد.
نعناکار البته سامانه شاهکار را یک رویکرد سادهتر میداند که در آن، شماره موبایل و کد ملی با ثبتاحوال و اپراتور موبایل چک میشود و سپس شخص خدماتی را دریافت میکند. او در پاسخ به این مسئله که مدیرعامل زرین پال میگوید قاضی چیزی به نام سامانه شاهکار را قبول ندارد، میگوید: «شاهکار یک روش KYC است و من نمیدانم چرا چنین مسئلهای بیان می شود، چراکه اصل بر صحت اسناد است و نه بر عدم آن.»
اما در نهایت آیا تمام کسبوکارهای حوزه فینتک از روشی که زرینپال در پیش گرفته است استفاده میکنند و از مشتریان خود تصاویری به این شکل جمعآوری میکنند؟ «مهدی عبادی»، دبیر انجمن فینتک ایران در گفتگو با دیجیاتو پاسخ به این سوال را منفی میداند و میگوید:
«کسبوکارهای مختلف فینتک از روشهای متفاوتی برای احراز هویت استفاده میکنند. مسئله اینجاست که پلیس فتا و دادستانی شناخت دقیقی از احراز هویت ندارند و نمیدانند شامل چه پارامترهایی میشود. به همین دلیل کسبوکارها مجبور میشوند که هرچقدر میتوانند اطلاعات بیشتری از کاربران خود دریافت کنند. در این میان بعضی از کسبوکارها تجربه کاربری افراد را مد نظر قرار میدهند و چنین کاری که زرین پال انجام داده را نمیکنند، بعضی کسبوکارها هم مانند زرین پال تلاش میکنند تا اطلاعات بیشتری از کاربران داشته باشند.»
عبادی میگوید قوه قضاییه و پلیس فتا باید اعلام کنند که وقتی صحبت از احراز هویت میشود دقیقاً به چه اطلاعاتی نیاز دارند چراکه کسبوکارها اساساً نباید چنین حجمی از اطلاعات را گردآوری کنند، چون خطر امنیتی در پلتفرمهای آنلاین همیشه وجود دارد.
او همچنین در خصوص نحوه انجام احراز هویت میگوید: «احراز هویت باید توسط یک نهاد حاکمیتی انجام شود و کسبوکار هم صرفاً پاسخش را دریافت کند. اما در حال حاضر چارهای برای کسبوکارها هم وجود ندارد. از طرفی چون قاضی، دادستانی و پلیس فتا تعریف صحیحی از احراز هویت ندارند، زمانی که یک کسبوکار چنین روشی را به آنها نشان میدهد، میگویند خوب است و همه از همین روش استفاده کنند. همهی این موارد به دلیل این است که یک فرایند سیستماتیک برای احراز هویت وجود ندارد.»
برای گفتگو با کاربران ثبت نام کنید یا وارد حساب کاربری خود شوید.