امن سازی پرداخت / راهکار جامع برای ایجاد سامانه ملی پرداخت مبتنی بر شاخص‌های نوین بیومتریک

پایگاه خبری بانکداری الکترونیک- سید سامان میرنبوی* یاسر قلیش‌لی**- برخی از شاخصه‌های منحصر به‌فرد مانند اثر انگشت، قرنیه چشم و صدا به صورت گسترده ای وارد صنایعی نظیر بانکداری و پرداخت شده و برخی دیگر از شاخصه‌ها، مانند DNA، هنوز در حوزه‌های محدودی به کار گرفته می‌شود اما شاخصه «الگوی رگ‌های بدن» که شاخصی کاملا منحصر به‌فرد است و با اسکن کف دست و دریافت مدل گردش خون فرد، الگوی رگ‌ها را استخراج می‌کند، مدتی است که در برخی از کشورها برای احراز هویت به کار گرفته شده و می‌توان از ترکیب این شاخصه با کیف پول الکترونیک، از آن به عنوان جایگزین خوبی برای کارت‌های بدهی و اعتباری نام برد. این راهکار، مطلعی نوین و در راستای پاسخ به سوال «چرا باید فرد برای انجام فعالیت پرداخت خود از ابزاری به غیر از خودش استفاده کند» است اما آنچه که نگارندگان تاکید و قصد دارند در این مستند به آن بپردازد؛ پیشنهاد سامانه ای متمرکز یا اپراتوری واسط (aggregator) است که شامل بانک اطلاعاتی بیومتریک در ابر داده‌ای است.

در این نظام، مشتریان نظام بانکی ترجیحا بر‌اساس شاخص «الگوی رگ‌های بدن» برای شناسایی، احراز و فراخوان می‌شوند و پس از اسکن کف دست و مدل‌سازی در نقطه مصرف، می‌توانند با تطبیق شاخص در نقاط پذیرش، از کانال‌های پذیرش فیزیکی که برای پرداخت تعبیه شده است بهره‌مند شوند.‌ این پیشنهاد با توجه به کاربردهای آن در معماری موجود شبکه بانکی کشور و در صورت استفاده از کلیدی مکمل نظیر تلفن همراه برای احراز هویت ثانویه، می‌تواند ضمن تحقق ۱۰۰درصد احراز، چارچوبی قابل اجرا در کانال‌های فیزیکی و راهکاری منطقی در صورت ایجاد ساز و کار و بسترسازی مهیا کند.

قطعا در سال‌های کوتاه آتی، شاخص‌های بیومتریک به عنوان یکی از شریان‌های توسعه با سرعت بیشتری به جریان اصلی نوآوری در دستگاه‌های تلفن همراه و‌ پرداخت‌های الکترونیکی تبدیل خواهند شد. شناسایی افراد و احراز هویت آنها که به اعتمادی متقابل بین افراد یا کاربران با سازمان‌های ارائه دهنده خدمت (Service Provider) منجر شود امری الزامی‌و ضروری در جامعه و صنعت است. شناسایی‌های بیومتریک براساس دو مدل «تمایز» و «تداوم مدل» از صفات بدنی کاربران انجام می‌شود [۶]. در ادامه این مقاله نقش هر یک از ذی‌نفعان در بستری امن مبتنی بر تکنولوژی Secure Palm، نحوه اتصال به سامانه‌های ملی نظیر کیف پول، دلایل و مزایای انتخاب این روش تشریح شده است.

۱. ادبیات موضوع

۱.۱شاخص‌های بیومتریک
شاخص‌های بیومتریک، مدت‌های مدیدی است که در کشورهای توسعه یافته و پیشرفته در صنعت بانکداری و پرداخت الکترونیک به عنوان ابزاری قدرتمند در جهت شناسایی، احراز هویت فیزیکی و امنیتی مورد استفاده قرار گرفته است. این روش عموما از طریق اندازه‌گیری یک یا چند شاخص فیزیولوژیک انسان عمل می‌کند. برخی از این شاخص‌ها فیزیکی بوده که شامل اثرانگشت، الگوی خون، ساختار صورت، الگوی عنبیه چشم و غیره است و برخی دیگر به صورت رفتاری است که شامل شاخص‌هایی مانند مدل راه رفتن، نحوه بیان کلمات، مدل تایپ کردن و غیره است. مهم‌ترین ویژگی این شاخص‌ها عدم امکان فراموش کردن، گم شدن یا کپی کردن است [۲]. از میان شاخص‌های فوق الذکر، شاخص‌های فیزیکی پر کاربردتر بوده‌اند و از میان آنها شاخص‌های اثرانگشت، الگوی خون، الگوی عنبیه و ساختار صورت بیش از دیگر شاخص‌ها در صنایع مختلف، بالاخص صنعت بانکداری الکترونیکی و پرداخت به کار گرفته شده‌اند. اشاره به این نکته خالی از لطف نیست که در حال حاضر بیش از ۵۰ درصد بازار در استفاده از شاخصه‌های بیومتریک، از شاخص اثرانگشت استفاده می‌شود. ولیکن پیش بینی می‌شود تا سال ۲۰۲۰ شاخصه‌های دیگر بیومتریک بتوانند ۷۲ درصد سهم را جذب کنند و شاخص اثرانگشت به ۲۸ درصد سهم کاهش یابد [۱۵]. از میان این شاخص‌ها، شاخص الگوی خون یکی از جدیدترین مفاهیم و تکنولوژی‌هاست. اطلاعات جزئی در خصوص مابقی شاخص‌ها را می‌تواند در مطالب زیادی [۲،۳،۴،۵،۸،۹] پیدا نمود فلذا در این مقاله تنها به تشریح جزئی شاخص الگوی خون پرداخته می‌شود.

۱.۱.۲ الگوی خون
الگوی رگ‌های خون بدن نشان می‌دهد رگ‌های خون برای هر فرد حتی در بین دوقلوهای همسان نیز منحصر به‌فرد است. به بیان دیگر این الگوی عروق خونی که در زیر پوست بدن پنهان است در طولانی مدت پایدار بوده و برای هر فرد خاص است. کف دست افراد یک تابلو پیچیده از عروق و رگ‌ها و همچنین مشخصه‌های خاص دیگر برای شناسایی است که در طول عمر افراد تغییر ناپذیر باقی می‌ماند. به دلیل آنکه رگ‌های خونی در زیر پوست دست هستند و امکان کپی یا دزدی در آن صفر است، این روش بسیار امن و مطمئن برای احراز هویت است [۱۶]. برخلاف اثر انگشت، الگوی رگ‌های خونی در برابر بریدگی، خدشه، چربی و کثیفی کف دست مقاوم بوده و تغییر نمی‌کنند. همچنین برخلاف الگوی صورت که ظاهر است و می‌تواند اسکن شود، بدون حضور فرد امکان بازسازی و اسکن را ندارد.

در واقع تابع الگوی رگ‌های خون برای انتقال خون از نقطه‌ای به نقطه‌ای دیگر در بدن است و لذا در تمام سطح بدن یکسان است؛ بنابراین رگ‌های موجود در کف دست، پشت دست و حتی انگشتان را می‌توان با نور مادون قرمز (infrared illumination) به راحتی اسکن کرده و برای احراز هویت فرد به کار برد [۱۰]. نور به کف دست بازتاب می‌گردد و تصویر و نور بازگشتی از کف دست ثبت می‌‌شود. هموگولوبین موجود در رگ‌های خون، اشعه مادون قرمز را جذب می‌‌کند و در نتیجه کاهش میزان انعکاس باعث می‌‌شود که الگوی رگ‌های خون به صورت یک تصویر سیاه و سفید ضبط شود [۱۷].

شرکت Fujitsu با محصول Palm Secure به‌جای انگشت، فرد باید کف دست خود را وارد دستگاه کند. در این حالت دستگاه یک عکس بیومتریک ایجاد کرده که در ابرداده‌ای (cloud) خود نگهداری می‌‌کند. پس از آن اگر فرد دست خود را روی دستگاه دیگری که مالک مشترک دارد، بگذارد دستگاه داده جدید را با داده‌های قبلی تطبیق داده و احراز هویت فرد تایید/عدم تایید می‌شود. محصول Fujitsu از سال ۲۰۰۵ ارائه شده است ولیکن به طور گسترده و برای مصارف خانگی به کار گرفته نشد. در حال حاضر بیش از ۳۵ هزار دستگاه ATM در برزیل، ایتالیا و ژاپن برای احراز هویت فرد از این تکنولوژی استفاده می‌کنند [۱۸].

در مدل اثر انگشت، شناسایی صحیح اثر انگشت در کنار کیفیت دستگاه Reader، کیفیت پوست دست فرد نیز موثر است. در واقع در صورتی که پوست دست آلودگی خارجی داشته باشد یا آنکه در اثر سوختگی یا بریدگی آسیب دیده باشد، کیفیت شناسایی و احراز هویت فرد به شدت افت کرده و ممکن است نیاز باشد فرد چندین بار اثر انگشت خود را وارد کند. در مدل شناسایی قرنیه چشم، در کنار تجهیزات گران قیمت آن، مدت زمان شناسایی قرنیه نسبتا بیشتر از مدل اثر انگشت یا الگوی رگ‌های بدن است. همچنین در این روش ارتفاع دستگاه بر سهولت و راحتی مشتری در پرداخت تاثیر بسزایی خواهد داشت. به همین جهت روش الگوی رگ‌های خون بدن، با رفع معایب فوق، سرعت اجرا را افزایش داده و در عین حال از ثبات بیشتری برخوردار است و همچنین با توجه به احتمال صفر دزدیده شدن الگوی خون فرد، از امنیت بالاتری نیز برخوردار است.

۲.۱.۲    مزایا و معایب بیومتریک
مهم‌مترین مزیت روش‌های بیومتریک این است که چیزی مانند کارت، تلفن همراه یا هر ابزار دیگری به فرد اضافه نمی‌شود و امکان گم شدن یا دزدیده شدن ندارد. مهم‌ترین عیب این روش‌ها کنترل حریم خصوصی (Privacy) فرد است. به طور کلی مزایای روش‌های بیومتریک و درصد تاثیرگذاری و اهمیت هر یک از این مزایا در شکل زیر آورده شده است [۱].

 
مزایا روش‌های بیومتریک و میزان تاثیر آنها [۱]

از جمله سایر مواردی که در دنیا و در طراحی سیستم پرداخت الکترونیکی در نظر گرفته شده است می‌توان به استاندارد‌سازی، سادگی، سودمندی و قابلیت اعتماد اشاره کرد. در لایه تکنولوژی و مکانیسم‌هایی که در پرداخت‌های الکترونیکی مبتنی بر شاخص‌های نوین (مدل گردش خون) بیومتریک می‌توان از آنها استفاده کرد می‌توان به موارد رمزنگاری، نرم‌افزار / سخت‌افزار مورد اعتماد، برقرای ارتباطی امن، تاییدیه دیجیتالی و Public & Private Key Infrastructure اشاره کرد.

مجموعه معایبی که برای روش‌های بیومتریک عنوان می‌شود و میزان اهمیت هر یک از عوامل در شکل زیر آورده شده است [۱]. منظور از سازگاری، میزان انعطاف پذیری و تغییرات در تجهیزات به نسبت انعطاف‌پذیری در نیازهای بازار و خدمات است. همچنان که عنوان شد مهم‌ترین عیب این روش‌ها، حریم خصوصی است. با توجه به اینکه عمدتا از روش‌های بیومتریک در موارد نظامی، پلیس یا امنیتی استفاده شده است، حریم خصوصی مورد خدشه ممکن است قرار گیرد. به همین جهت در حال حاضر چندین کمیسیون یا بخش دولتی و خصوصی در حفظ حریم خصوصی آغاز به کار کرده‌اند که قوانین و دستورالعمل‌های مشخصی را نیز تدوین کرده‌اند [۱۳].

معایب شاخص‌های بیومتریک و میزان اهمیت آنها [۱]

منظور از تطابق‌پذیری، زمانی است که شاخص بیومتریک مورد اندازه‌گیری قرار می‌گیرد ولیکن با الگوهای از پیش ثبت شده همخوانی ندارد یا آنکه امکان اندازه گیری (به دلایل محیطی مانند سر و صدا یا گردوخاک یا دلایل شخصی مانند چربی انگشت یا آسیب) شاخص وجود ندارد. به طور مثال در روش الگوی رگ خون بدن، پس از ۸ سالگی الگوی رگ‌های فرد تقریبا ثابت بوده و دستگاه با احتمال ۹۹۹۹۲/۹۹ درصد تشخیص درست خواهد داد. ولی در هر حال از هر ۱۰ میلیون آزمون، ۸ مورد دچار عدم تطبیق‌پذیری می‌شود.

۲.۱ شاخص‌های بیومتریک در پرداخت
سیستم‌های بیومتریک با استفاده از فناوری‌ها و مفاهیم مختلف به صورت گسترده‌ای در صنعت پرداخت به کار گرفته شده‌اند. در حال حاضر بیش از ۳۵۰ میلیون نفر تا سال ۲۰۱۵ در حال استفاده از شاخص‌های بیومتریک برای استفاده در خصوص احراز هویت و یا مجوزهای مالی هستند که پیش‌بینی می‌شود این تعداد تا سال ۲۰۲۰ به بیش از ۳ میلیارد کاربر صنعت پرداخت برسد [۱۵]. شاخص‌های بیومتریک با ایجاد یک لایه بسیار مقاوم سوم روی لایه‌های امنیتی تراکنش‌های مالی، امنیت پرداخت را به حداکثر ممکن افزایش می‌دهد. به طور کلی سه لایه امنیتی که در تراکنش‌های پرداخت در حال حاضر وجود دارد عبارتند از [۱۴]:

• برخی چیزهایی که به همراه مشتری است مانند توکن، کارت یا امضا.
• برخی چیزهایی که مشتری می‌داند مانند رمز عبور (Password)، شماره شناسایی شخصی (PIN)، سوال اختصاصی ویا تصادفی.
• برخی چیزهایی که مشتری وجود دارد مانند شاخص‌های بیومتریک در هر دوسطح رفتاری و فیزیکی.

در هر حال مدل و فرآیند استفاده از شاخص‌های بیومتریک در تراکنش‌های مالی به شرح شکل زیر است. در واقع سه لایه امنیتی یاد شده پس از درگاه‌های اتصال مشتری به بانک، موسسه یا PSP قرار می‌گیرد و پس از احراز هویت نهایی به زیرسیستم‌های بانک جهت انجام تراکنش مالی وصل می‌شود.

محل قرار گیری لایه‌های امنیتی در فرآیند تراکنش مالی [۱۴]
 

در کشور لهستان، بانک BPS Bank با همکاری شرکت هیتاچی دستگاه‌های خودپرداز مبتنی بر شاخص‌های بیومتریک را به بازار ارائه نمود. دستگاه‌های مذکور براساس رگ انگشت عمل می‌کردند [۱۴]. کشور ژاپن به عنوان یکی از بزرگ‌ترین کشورهای استفاده‌کننده از شاخص‌های بیومتریک در دستگاه‌های خودپرداز است. در این کشور بیش از ۸۰ هزار دستگاه خودپرداز و ۱۵ میلیون مشتری از این سیستم‌ها بهره‌برداری می‌‌کنند که بخش اعظم آنها از سال ۲۰۰۶ با استفاده از الگوی رگ‌های خون عمل می‌‌کنند. پس از زلزله و سونامی‌۲۰۱۱ بسیاری از ژاپنی کارت‌های بانکی و مدارک حیاتی خود را گم کرده یا نابود شده بودند. به همین جهت یکی از بانک‌های ژاپن (Ogaki Kyoritsu) دستگاه‌های خودپرداز خود را به شاخص بیومتریک الگوی رگ خون مجهز کرد.

در مدل‌های یاد شده در واقع شاخص‌های بیومتریک بیشتر جهت احراز هویت و شناسایی به کار رفته‌اند. ولیکن تجربه‌های مستقیم برای استفاده از این شاخص‌ها در پرداخت نیز بوده است. شرکت‌های تولید کننده گوشی‌های هوشمند تلفن همراه که همزمان به ارائه کیف پول نیز پرداخته‌اند مانند اپل (Apple Pay) و سامسونگ (Samsung Pay) و ارائه دهندگان زیرساخت‌های تلفن همراه مانند گوگل، مایکروسافت و اپل، از شاخص‌های بیومتریک در سامانه‌های پرداخت خود استفاده کرده‌اند.

شاید موفق‌ترین مدل پیادسازی شده پرداخت بیومتریک و اولین آن در جهان، توسط شرکت NTT DOCOMO در ژاپن پیاده‌سازی شد. در سال ۲۰۰۴ این شرکت، با استفاده از گوشی‌های فوجیتسو مانند F۹۰۱iC که به سنسورهای اثرانگشت AuthenTec مجهز بود، امکان خرید در فروشگاه‌های فیزیکی را فعال کرد [۱۵]. شرکت اپل با ارائه شاخص اثرانگشت روی گوشی‌های iPhone ۵S اجرای پرداخت بیومتریک خود را آغاز کرد. هر چند این روش تنها برای تایید فرآیند خرید در iTunes و Apple's App Store به کار گرفته می‌شود [۱۵]. شرکت سامسونگ نیز با مجهز کردن گوشی Galaxy S۵ خود به سنسورهای اثر انگشت امکان احراز هویت افراد را در برخی فروشگاه‌ها و PayPal با لمس اثرانگشت فعال کرد. ترکیب شاخصه الگوی رگ‌های خون با کیف پول الکترونیک و جایگزین کارت‌های بدهی و اعتباری (Debit & Credit Cards) اولین بار در سال ۲۰۱۴ در کشور سوئد و با برند Quixter طراحی و به کار گرفته شد. در واقع مشتریان به جای استفاده از کارت یا تلفن هوشمند خود یا پرداخت نقدی، کف دست خود را در فاصله کمی‌از اسکنر قرار می‌دهند و احراز هویت انجام می‌شود و سپس از حساب مشتری که متصل به کف دست مشتری است، مبلغ خرید کسر می‌شود.

۲. معماری پیشنهادی
با توجه به موارد فوق در بخش‌های قبلی شامل شاخص‌های بیومتریک، مدل‌های قرارگیری آنها و تجربیات اجرایی، پیش‌بینی می‌شود با اتصال شاخص بیومتریک مشتری به حساب بانکی، کارت‌های خرید یا اعتباری یا کیف پول مشتری، امکان خرید را برای مشتری بدون نیاز به حمل وسیله‌ای دیگر به کار برد. در نتیجه این موضوع نیازمند طراحی اولیه است.

۱.۳ نقش ذی‌نفعان
پیش از معرفی ذی‌نفعان و نقش آنها، باید توجه کرد که سه شاخصه اصلی «مدیریت»، «مانیتورینگ» و "AGGREGATION" در شناسایی ذی‌نفعان با استفاده از شاخصه‌های بیومتریک اهمیت دارد. با استفاده از این شاخص‌ها، ذی‌نفعان زیر انتخاب شده و نقش هریک تدوین می‌‌شود.

۱.۱.۳ بانک مرکزی
با توجه به اینکه دولت‌ها حافظ حریم خصوصی و امنیت شهروندان هستند، مهم‌ترین نقش را در سامانه‌های مبتنی بر بیومتریک باید دولت ایفا کند. لذا دولت‌ها باید هم از لحاظ استانداردسازی، نظارتی و هم از لحاظ مالی چنین زیرساخت‌هایی را حمایت کرده و اجرا کنند [۱]. در شبکه بانکی کشور نیز، بانک مرکزی به نیابت از دولت مهم‌ترین نقش را در حفظ امنیت و حریم خصوصی مشتریان شبکه پرداخت برعهده دارد.

۲.۱.۳ بانک یا موسسات مالی/ PSP
بانک‌ها، موسسات مالی و اعتباری و شرکت‌های PSP، در صورت پیاده‌سازی این سیستم‌ها، جدا از اینکه دیگر نیازی به جسم کارت و برخی تجهیزات نظیر، دستگاه‌های صدور و شخصی‌سازی نیازی نخواهند داشت، هزینه‌های نگهداری و پرستاری‌شان به شکل کاملا محسوسی کاهش خواهد یافت و باید تجهیزات و بسترهای نرم‌افزاری دیگری را جایگزین نمایند. با تحلیل و ارزیابی اقتصادی که معمول گردیده، جدا از با صرفه بودن پیاده‌سازی مدل‌های شناسایی و احراز هویت بیومتریک، هزینه‌های فنی و کشف تقلب به شدت کاهش و اعتماد و اطمینان متقابل بین ارائه‌دهنده و گیرنده نیز افزایش خواهد یافت.

۳.۱.۳ فروشندگان / مشتریان
مطابق با الزامات امنیتی شبکه‌هایی نظیر شاپرک، پس از اجرای سامانه‌های مبتنی بر شناسایی و احراز هویت بیومتریک؛ مشتری باید شخصا نسبت به ورود شناسه و احراز هویت به یوخود اقدام کند؛ بنابراین مطابق با دستورالعمل‌های قبلی و الزامات امنیتی، دستگاه‌های پذیرش باید روی پیشخوان، در اختیار یا قابل دسترس برای مشتری قرار گیرد. با این مدل احتمال مفقود شدن کارت، دزدی، سوء‌استفاده از کارت به هر نحوی نظیر کشیدن کارت روی چند پایانه، در نقطه نبود «دید مستقیم» نیز منتفی خواهد شد و هزینه‌های کشف و اقدامات عملیاتی در حوزه «افتا» نیز کاهش خواهد یافت و نهایتا، پذیرندگان یا فروشندگان (Merchant)، مشتریان یا دریافت‌کنندگان نهایی خدمات اطمینان و اعتماد بیشتری نسبت چرخه و صنعت پرداخت الکترونیک خواهند داشت.

۴.۱.۳ مجری (Aggregator)
نقش واسط بین ارائه‌دهندگان خدمت با شهروندان، تمرکز زیادی رروی امنیت دارد. همچنین باید تقلب (Fraud)، حمایت از نفع ذی‌نفعان، بهینه‌سازی تکنولوژی‌ها، غربالگری و پیاده‌سازی در سطح گسترده در دستور کار قرار گیرد. نظارت بر حسن اجرای دستورات بانک مرکزی و همچنین تعیین نوع استفاده از تکنولوژی‌ها و سطح استفاده از آنها از دیگر مهم‌ترین وظایف و نقش واسط‌هاست [۱]. فلذا نیاز است سازمانی واسط و مجری بین ذی‌نفعان اصلی جهت اجرای موارد فوق‌الذکر آماده شود.

۲.۳ سامانه ملی پرداخت بیومتریک
همچنان که در صدر عنوان شد، نیاز است برای مدیریت این چرخه، سامانه‌ای متمرکز بین ذی‌نفعان جهت مدیریت تراکنش‌ها و نظارت‌های فنی ایجاد شود. در این‌گونه موارد عموما سه راهکار وجود دارد که به شرح زیر است.

۱.۲.۳ مدل‌های اجرایی
• مدل تمرکز زدا: در این مدل فرآیندها و سیاست‌گذاری‌ها به صورت مستقل در هر سازمان ارائه‌دهنده خدمت (بانک یا PSP) انجام می‌شود. فرآیندهای مالی و اجرایی هر بانک می‌تواند با بانک‌های دیگر همپوشانی و حتی تضاد داشته باشد. هر مشتری در هر سازمان باید شاخص‌های بیومتریک خود را ثبت کند و این باعث تکرر فرآیند و همچنین تحت خطر قرار گرفتن امنیت و حریم خصوصی مشتری شود. در این مدل‌ها عموما سرعت اجرا بالاست و در عین حال باعث صرف هزینه و زمان بیشتر می‌شود.

• مدل تمرکزی: در این مدل‌ها روش‌های اجرا بالا به پایین است و کنترل کلاهبرداری و ریسک راحت‌تر انجام می‌شود و سیاست‌ها توسط قدرت مرکزی تدوین و تعیین می‌‌شود. از لحاظ اقتصادی و سیاسی این مدل توجیه بیشتری دارد. مزیت مهم این روش تخصیص مناسب و بهتر منابع مالی و اجراست و همچنین کنترل متمرکز سیاست و اجرائیات کمک شایانی به کنترل ریسک، کلاهبرداری، حفط حریم‌خصوصی و امنیت می‌کند.

• مدل ترکیبی (فدرالی): این مدل ترکیب از دو روش فوق است. یک قدرت مرکزی با مسئولیتی کلی تعیین کننده معماری کلان، سیستم پذیرش مرکزی، رابط بین سازمان‌ها و استانداردهای فرآیندهاست. در نتیجه اجرا و مدل اجرا در هر سازمان با توجه با چارچوب کلان، انجام می‌شود. در این مدل استقلال هر سازمان جهت تدوین استراتژی‌های داخلی و نوع خدمات حفظ می‌شود و عملکرد بهبود یافته و بهره‌وری افزایش می‌یابد.

۲.۲.۳ سامانه ملی
با توجه به موارد بالا، پیشنهاد می‌شود که سامانه «ملی پرداخت بیومتریک» در کنار سوئیچ‌های ملی «شتاپ» و «شاپرک» طراحی شود. این سامانه، موظف است که سیاست‌های کلان، دستورالعمل‌های کلی، رویه‌ها و چارچوب‌هایی تدوین کند؛ همچنین سوئیچ متمرکزی بین ذی‌نفعان قرار می‌گیرد و از دریافت چند‌باره شاخص بیومتریک شهروندان و احراز هویت آنها جلوگیری می‌کند.

به بیان دیگر هر شهروند یک «شناسه بیومتریک ملی (National Biometric ID)» نزد سامانه ملی دریافت خواهد کرد. این شناسه متشکل است از تعدادی شاخصه‌های بیومتریک که شهروندان در سامانه ملی آنها را ثبت می‌کنند. با توجه به اینکه این شاخص‌ها یک‌بار و توسط بانک مرکزی (به عنوان هسته و مالک مرکزی) از شهروندان دریافت می‌شود، امنیت و حریم شخصی شهروندان به طور کامل حفظ می‌شود.

به طور کلی بانک مرکزی به معرفی شعب مشخصی در سطح کشور (که می‌تواند شعب برخی از بانک‌ها باشد یا شعب مستقلی راه‌اندازی شود یا از دفاتر خدمات الکترونیک پلیس ۱۰+ استفاده شود) می‌پردازد. شهروندان به این شعب مراجعه می‌کند و شاخص‌های اثرانگشت و الگوی رگ خون بدن را ثبت می‌کند و پس از ثبت نام، «شناسه بیومتریک ملی» خود را دریافت می‌‌کند. اجرای این فرآیندها توسط مجری (Aggregator) انجام می‌شود.

سپس بانک‌ها و PSP می‌توانند انواع خدمات و پرداخت مبتنی بر شاخص‌های بیومتریک را طراحی کرده و با مجهز کردن درگاه‌های خود (به طور مثال Reader واقع در فروشگاه) امکان دریافت این خدمات را به مشتریان ایجاد کنند. رابط بین سازمان‌ها و فرآیند شناسایی با استفاده از «شناسه بیومتریک ملی» و توسط «سامانه ملی پرداخت بیومتریک» انجام می‌گیرد.

۳.۲.۳ فرآیند پیاده‌سازی و بهره‌مندی از شاخص‌های بیومتریک
فرآیند و نحوه شناسایی، پیاده‌سازی و عملکرد سیستم‌های پرداخت مبتنی بر شاخص‌های بیومتریک، به عنوان مهمترین و حساس‌ترین مراحل در چرخه پرداخت الکترونیک محسوب می‌شود. در واقع این سیستم با اعمال تغییرات در نظام شناسایی از سیستم پرداخت فعلی الگو گرفته است؛ بنابراین نقاط مشترک زیادی با سیستم فعلی دارد. با این توضیح و به طور کلی، فلوچارت استفاده از شاخص‌های بیومتریک برای شناسایی و احراز هویت، دارای پنج گام اصلی است که در فلوچارت نمایش داده شده است و گام‌ها نیز تبیین شده است.

فلوچارت استفاده از شاخص‌های بیومتریک برای احراز هویت

۳.۳ معماری کلان
با توجه به نقش ذی‌نفعان، مدل ترکیب اجرا و جایگاه «سامانه ملی پرداخت بیومتریک » معماری کلان پیشنهادی به شرح شکل زیر است.

 معماری کلان پیشنهادی

۳. نتیجه‌گیری
اگرچه استفاده از شاخص بیومتریک جهت احراز هویت به صورت گسترده مراحل اولیه طفولیت خود را طی می‌کند در نتیجه استفاده از آنها در مدل‌های پرداخت به شدت محدود بوده و تجربیات بسیار اندکی پیاده‌سازی شده است تا بتواند راهگشا و هدایت‌گری برای دیگر سازمان‌ها و بانک‌ها باشد. بهره‌گیری از تکنولوژی و ترکیب آن با سیستم‌ها و نظام‌های گوناگون جدا از فرهنگ‌سازی به هنگام و غنای فنی نیازمند مجری و پیاده‌ساز متجرب دارد. تجربیات نشان می‌دهد که هنوز روش‌های بیومتریک برای شهروندان تجربه‌ای user-friend ناست. این موضوع به علت تکرر در ثبت شاخص و همچنین خطاهای هنگام خواندن، به نظر برای شهروندان چندان دلپسند نیست. از سوی دیگر وجود پایگاه‌های داده پراکنده و زیرساخت‌های کٌند، باعث افزایش زمان انجام تراکنش شده است. به همین جهت در مدل پیشنهادی سامانه‌ای ملی در نظر گرفته شده است که با تجمیع ظرفیت‌ها و هزینه‌ها به صورت متمرکز بتوان زیرساختی سریع را تهیه کرد.

بخش دیگری که باید مورد توجه قرار گیرد و بانک مرکزی به آن ورود کند، مباحث فرهنگی است. به بیان ساده‌تر از نگاه شهروندان، چرا باید رفتار پرداخت خود را از استفاده از کارت‌های بانکی به صورت پرداخت بیومتریک تغییر دهند؛ بنابراین باید فرهنگ سازی مناسبی در کنار ایجاد زیرساختی مطمئن صورت گیرد تا سیستم‌هایی نوین و مقیاس‌پذیر و منعطف با قابلیت‌ها و با امکان ارائه خدمات ارزش افزوده جدید نمایان شوند.

بنابراین در این مقاله سعی شده است، از معضلاتی که باعث عدم موفقیت تجربه‌های قبلی شده است، استفاده شده و مدل، معماری و نقش‌های فوق‌الذکر در مقاله تدوین شود.

* سید سامان میرنبوی - کارشناس ارشد بانکداری و پرداخت الکترونیک
** یاسر قلیش‌لی - کارشناس ارشد برنامه‌ریزی و توسعه کسب و کار