فعالان حوزه پرداخت:‌ ایران اکسس مانند فیلترینگ ناکارآمد است

سه هفته است که درگاه‌های پرداخت، ایران اکسس شده‌اند. اتفاقی که به کسب‌وکارهای آنلاین بسیاری ضربه زده و فروششان را کاهش داده است. در حالی که شنیده می‌شود این محدودیت موقتی و به علت مسائل امنیتی اعمال شده، اما برخی فعالان احتمال می‌دهند که این محدودیت هم  به سرنوشت سایر محدودیت‌های موقتی (مانند فیلتر اینستاگرام) دچار شود. همین امر کسب‌وکارها را در برزخ یک تصمیم سخت قرار داده است.

به گزارش «فن‌زی» ایران اکسس معمولاً اولین راهکار دولتمردان برای مقابله با حملات سایبری احتمالی است. روشی که البته به اعتقاد کارشناسان چندان اثربخش نیست، اما شاید سادگی این کار، آنها را ترغیب به چنین اقدامی می‌کند.

با توجه به شرایط خاص فعلی کشور درگاه‌های پرداخت از اواسط مهرماه، ایران اکسس شده‌اند. پرداخت‌یاری «پی‌استار»، 14 مهر با انتشار مقاله‌ای در وبلاگ خود اعلام کرد با تصمیم شاپرک و تا اطلاع ثانوی، تراکنش‌های اینترنتی با آی‌پی غیرایرانی با محدودیت مواجه خواهند شد.

این بدان معناست که اگر فروشگاهی سرور آن در خارج از کشور قرار دارد، نمی‌تواند مشتریان را برای نهایی کردن خریدشان به درگاه پرداخت هدایت کند. از سوی دیگر، حتی اگر سرور فروشگاه در داخل کشور باشد، کاربری که به خاطر فیلترینگ مجبور است به طور دائم از فیلترشکن استفاده کند، به درگاه پرداخت منتقل نخواهد شد. کمتر کسی نیز احتمالاً می‌داند که برای رفع مشکل باید VPN خود را خاموش کند. این محدودیت موجب شده تا حجم خریدهای موفق و فروش کسب و کارهای آنلاین کم شود و اثر منفی بر تجارت الکترونیک بگذارد.

کاهش شدید تراکنش فروشگاه‌ها

«حمیدرضا ذوالفقار»، مدیرعامل درگاه پی‌زیتو به «شبکه شرق» گفت بحث ایران اکسس شدن درگاه‌های پرداخت به صورت رسمی اطلاع‌رسانی نشده، بلکه فعالان حوزه پرداخت با مشاهده مشکلات پیش آمده و پیگیری، متوجه این امر شدند: «اعلام کردند سرویس‌های پرداخت به دلیل مسائل امنیتی ایران اکسس شده‌اند. سه هفته از آن زمان گذشته و هیچ مرجع رسمی در این باره شفاف سازی نکرده است.»

او این اتفاق را نگران کننده دانست؛ چراکه تجربه نشان داده هرگاه در شرایط بحرانی، تصمیماتی موقت گرفته می‌شود، این محدودیت ادامه‌دار خواهد بود. نمونه آن نیز مسأله فیلتر موقتی اینستاگرام است که بعد از دو سال همچنان مسدودیت آن ادامه دارد.

این فعال حوزه پرداخت‌یاری به مشکلات کسب‌وکارهای آنلاینی که از سرویس‌های خارجی استفاده می‌کنند اشاره کرد و گفت حجم تراکنش اکثر آنها به شدت کم شده و تراکنش‌های موفقشان کاهش یافته است: «در واحد پشتیبانی، شاهد حجم زیادی نگرانی و استرس کسب‌وکارها هستیم که نمی‌دانند مشکل موقتی خواهد بود یا خیر. هیچ اطلاع‌رسانی رسمی نیز انجام نمی‌شود و نمی‌دانیم از کجا باید پیگیری کنیم.»

او در پاسخ به این سؤال که آیا علاوه بر PSPها، پرداخت‌یارها نیز با چنین مشکلاتی روبه رو شدند یا خیر گفت: «دسترسی به همه پرداخت‌یارها کامل قطع نشده، چون آنها یک واسط بین فروشگاه و درگاه پرداخت هستند و شرایط را مدیریت می‌کنند. اما کاربرانی که آی‌پی غیر ایرانی دارند، درگاه پرداخت به درستی به آنها نمایش داده نمی‌شود.» 

محدودیت دسترسی راه خوبی برای مقابله با حملات سایبری نیست

آیا مسائل امنیتی، دلیل موجهی برای ایران اکسس است؟ ذوالفقار در پاسخ به این سوال «شبکه شرق» گفت: «اگر بحث هک باشد، تأثیرگذار نیست. هکر می‌تواند یک سرور داخلی تهیه کرده و از آن حمله کند. تنها تفاوتی که دارد این است که می‌توانند بفهمند از کدام سرور حمله انجام شده، اما طبیعتا هکر داخل ایران نخواهد بود. با این کار تنها می‌توان جلوی حملات DDoS را گرفت که این ابتدایی‌ترین راه‌حل برای مقابله با چنین حملاتی است.»

به باور او در ایران زیرساخت و سرویس CDN خوبی فراهم است و برای جلوگیری از حملات DDoS می‌توان از راه‌حل‌های دیگری استفاده کرد. ذوالفقار در پاسخ به این سؤال که ادامه دار شدن چنین شرایطی چه تبعاتی برای تجارت الکترونیک دارد، گفت: «این تصمیم به تجارت الکترونیک ضربه خواهد زد. میزان تراکنش‌های موفق کم شده، دردسر مشتریان برای خرید آنلاین زیاد می‌شود و عملاً یک بازگشت به عقب خواهیم داشت. این تصمیم مانند فیلترینگ، ناکارآمد است. برخی با استفاده از سایت‌های واسط می‌توانند این محدودیت را دور بزنند و همین امر موجب مشکلات جدیدی خواهد شد. شکل‌گیری چنین واسطی می‌تواند کلاهبرداری و مسائل امنیتی را بیشتر کند.»

او با انتقاد از افزایش محدودیت‌ها در حوزه پرداخت الکترونیک به «شبکه شرق» گفت طبق مصوبه اخیر شاپرک، باید فروشگاه‌های آنلاین کد ملی خریدار را احراز کنند و آن را به درگاه پرداخت ارسال کنند. درگاه کد ملی خریدار را با کد ملی کارت پرداخت کننده چک می‌کند و اگر مغایرت داشته باشند، تراکنش لغو می‌شود. 

ذوالفقار از این مساله به عنوان یک ضربه بزرگ به تجارت الکترونیک و پرداخت آنلاین یاد کرد: «این امر در حال حاضر برای طلافروشی‌ها اجباری است و احتمالا تا آذرماه برای همه فروشگاه‌ها الزامی شود. این محدودیت‌های جدید دائماً آسیب بزرگی به تجارت الکترونیک و فروشگاه های الکترونیک می‌زنند.»

 API درگاه‌های بانکی هم ایران اکسس شده

«سروش احمدی»، کارشناس فناوری اطلاعات درباره ماجرای پیش آمده به شبکه شرق گفت: «این برای اولین بار است که جدا از بحث درگاه که مخاطب آن «کاربران عادی» هستند، شاپرک دستور داده که دسترسی به API درگاه‌های بانکی هم ایران اکسس شود. این یعنی وب‌سایت‌ها و اپلیکیشن‌هایی که سرور خارج از ایران دارند، دیگر نمی‌توانند از درگاه‌های پرداخت ایرانی برای وب‌سایت‌شان استفاده کنند.» به گفته او در چنین حالتی آنها یا باید قید درگاه پرداخت را بزنند یا به سرورهای داخلی مهاجرت کنند.

در حالی که از کلیدواژه امنیت برای توجیه این محدودیت استفاده شده، احمدی معتقد است که این موضوع به امنیت هیچ ارتباطی ندارد و API های پرداخت کاملا خصوصی عمل می‌کنند: «از قدیم یک لیست سفید IP دارند که صاحبان سایت‌ها باید آی‌پی سایت خود را به شرکت‌های پرداخت اعلام کنند تا سرور آنها امکان ارتباط با API پرداخت را داشته باشد. در چنین شرایطی مهم نیست که آی‌پی متعلق به کدام کشور باشد و مشکل امنیتی ایجاد نمی‌کند.»

به گفته وی در دنیا به غیر از ایران که با مسائل تحریم روبه رو است، دسترسی به درگاه پرداخت یک فروشگاه آنلاین برای خریداران از سراسر دنیا فراهم است؛ چرا که شرکت‌ها به دنبال سود بیشتر هستند و خودشان را محدود به بازار یک کشور نمی‌کنند. این در حالی است که کاربر ایرانی در خارج از کشور برای استفاده از اینترنت بانک خود مجبور است VPN ایران بخرد.

احمدی نیز معتقد است امکان دور زدن محدودیت درگاه‌های پرداخت وجود دارد، اما نیازمند هزینه گزافی است و از پس هر کسی بر نمی‌آید.

چالش‌های استفاده از سرور داخلی

با محدودیتی که به وجود آمده، کسب‌وکارها مجبور هستند از سرورهای داخلی استفاده کنند تا همچنان درگاه پرداخت برای کاربرانشان نمایش داده شود. این درحالی است که آنها نمی‌دانند که محدودیت اخیر واقعاً موقتی است یا قرار است دائمی باشد.

مهاجرت به سرورهای داخلی هم اگرچه امری شدنی است، اما چالش‌های خاص خود را دارد. به طور مثال اگر قیمت سرورهای آلمان با ایران را مقایسه کنیم با یک اختلاف قیمت سه برابری روبه رو می‌شویم.

سرور آلمان با تجهیزات به‌روزتر، امکان پس‌پرداخت سرویس‌های پیشرفته DDOS و فضای SSD بیشتر چیزی معادل 350 هزار تومان قیمت دارد، اما سرویس داخلی با مشخصاتی به مراتب پایین‌تر از سرورهای خارجی نزدیک به یک میلیون تومان هزینه بر می‌دارد.

بحث‌های فنی مثل سرعت سایت برای کاربران خارج از ایران، SEO (بهینه‌سازی سایت برای موتورهای جستجو مثل گوگل) وجود دارد که کسب‌وکارهای آنلاین ترجیح می‌دهند از سرورهای خارجی برای میزبانی وبسایتشان استفاده کنند. 

برای کسب اطلاعات بیشتر دراین خصوص تا زمان انتشار این گزارش بارها با شاپرک به عنوانیکی از تصمیم‌گیران در این زمینه تماس گرفتیم که پاسخی به اینپیگیری‌ها داده نشد.