احراز هویت و صلاحیت کاربران با سامانه «امتا» ممکن شد

سامانه احراز مشتریان تجارت الکترونیکی (امتا)، در سال جاری با هدف رفع نیاز کسب‌و‌کارهای الکترونیکی در خصوص شناسایی و احراز مشتریان خود و همچنین تسهیل فرایند تعامل مشتریان با کسب‌و‌کارها در بستری امن طراحی و پیاده‌سازی شده است.‌

اگرچه دفتر توسعه تجارت الکترونیکی پیش از این اعلام کرده بود خاستگاه اصلی این سامانه، نیازی بود که کسب‌و‌کارهای الکترونیکی داشتند اما برخی منتقدان کارکرد و فعالیت آن را به نوعی موازی‌کاری با سامانه شاهکار وزارت ارتباطات قلمداد می‌کردند.‌

براي اطلاع دقیق‌تر از کارکردهاي سامانه امتا و نیز تفاوت‌های آن با سامانه شاهکار مصاحبه‌ای را با صدرالدین نورالدینی مدیر پروژه احراز مشتریان تجارت الکترونیکی(امتا) ترتیب دادیم که مشروح آن در پی می‌آید.

 

*برای شروع لطفا به‌طور کلی بگویید که احراز هویت در سامانه امتا بر چه اساسی صورت گرفته و شاخص‌های شما در احراز هویت کاربران چه بوده است؟

اگر زیست‌بوم تجارت الکترونیکی یا زنجیره ارزش کل اقتصاد دیجیتال را بررسی کنید متوجه می‌شوید که این موضوع به سه لایه دولت، تجارت و مصرف‌کننده تقسیم می‌شود. بنابراين در این سه لایه تعاملات و ارتباطات شکل می‌گیرد و برای هر کدام از این لایه‌ها احراز هویت صورت گرفته و خدماتی ارایه می‌شود. ‌اما آنچه که در ادبیات احراز هویت مغفول مانده آن است که در لایه تجارت، احراز هویت به تنهایی نیازمندی ارایه‌دهنده خدمت را برطرف نمی‌کند و در کنار آن می‌بایست هویت فرد مشخص شود. ‌همچنین می‌بایست یک سری از صلاحیت‌ها و اطلاعات تکمیلی مربوط به واحد کسب‌و‌کار مربوطه هم بررسی شود و در آنجا است که ارایه خدمت صورت می‌گیرد.

این امر در لایه ارتباطی دولت با کسب‌وکارها به موضوعاتی مثل بیمه و مالیات مربوط می‌شود.‌ در واقع در لایه بیمه و مالیات کسب‌و‌کارها اگر بخواهند ثبت نامی را به شکل اینترنتی انجام دهند همه فرایندها باید طی شود و ما تاکنون سازوکار و رویه مشخصی را برای این موضوع تعریف نکرده‌ایم تا ببینیم با چه رویه‌ای باید این نیازمندی را پوشش دهیم؛ در نتیجه خیلی از سازمان‌ها مجبورهستند در خصوص بحث احراز هویت فراخوان داده و سپس افراد به شکل حضوری برای رسیدگی به واحدهای مربوطه دولتی رجوع کنند. البته برخی سازمان‌ها نیز رویه‌هایی را تدوین کرده‌اند که استاندارد نیست. ‌توجه داشته باشید که ما در قوانین و مقررات نیز برای این موضوع پیش‌بینی لازم را نداشته‌ایم.

از سوی دیگر اگر لایه حاکمیت بخواهد به کاربران نهایی ارایه خدمت دهد تا حدود زیادی مساله احراز هویت حل می‌شود اما زمانی که بخواهد به واحد کسب‌و‌کاری و تجارت ارایه خدمت کند در کنار احراز هویت آن واحد کسب‌و‌کار، نیازمند بررسی یک سری مجوزها و یک سری صلاحیت‌های دیگر از جمله سوء‌پیشینه و مکان فرد و واحد کسب‌و‌کار است که همه این‌ها باید در یک واحد فرایند غیر دیجیتال انجام شود.‌ تاکنون متاسفانه هیچ سازوکار مشخصی برای آن تعریف نشده و در هر کجا شکل خاصی دارد.‌

 

*در خصوص احراز هویت فعالان حوزه تجارت الکترونیکی اوضاع به چه شکل است و چگونه عمل می‌شود؟

همین موضوع را اگر در لایه تجارت بررسی کنیم با مباحثی مثل سکوهای تجارت الکترونیکی، بازارهای الکترونیکی و بسترهای آگهی الکترونیکی مواجه می‌شویم که هر کدام فضایی را فراهم کردند که واحدهای کسب‌و‌کار بیایند و کالا و خدمت خود را ارایه دهند.‌ برای تحقق این امر البته نیازمند آن هستند که واحد کسب‌و‌کار مربوطه را احراز هویت و صلاحیت کنند.‌ برای مثال یک کسب‌و‌کار حمل‌و‌نقل اینترنتی برای آنکه به رانندگان مجوز فعالیت دهد در کنار احراز هویت و بررسی گواهی‌نامه می‌بایست‌ بیمه‌نامه شخص ثالث، سوء‌پیشینه راننده و مواردی دیگر را نیز بررسی کند که در حال حاضر این کار حضوری انجام شده و زمانبر است و درصد خطا را هم افزایش می‌دهد.

باتوجه به آنچه ذکر شد و حجم بالای کار صرفا احراز هویت دغدغه اصلی نیست و مساله اصلی را حل نمی‌کند و احرازهای مختلفی وجود دارد و زمانی که ما سامانه امتا را طراحی و پیاده‌سازی می‌کردیم با این چشم‌انداز جلو رفتیم.

سرویس شاهکار درواقع صرفا یک سرویس تطبیق شناسه ملی و شماره موبایل است که در نهایت می‌توان آن را یکی از ابزارهای احراز هویت در نظر گرفت. ‌بنابراین در نبود ابزار مناسب شاهکار کارکرد مناسبی داشته است و تا حدودی نقیصه فضای دیجیتال ما را هم جبران کرده است.

 

* شورای‌عالی فضای مجازی سندی را در خصوص بحث احراز هویت ابلاغ کرده است.‌ آیا دغدغه‌ها و نکات مورد نظر شورا در زمان طراحی سامانه امتا مد نظر قرار گرفته است؟

در بحث احراز هویت مواردی که در سند شورای‌عالی فضای مجازی ابلاغ شده شامل همان نکاتی است که در امتا به آنها پرداخته‌ایم و بررسی صلاحیت و احراز هویت را به صورت یکپارچه شامل می‌شود.

بحث دیگری نیز در امتا وجود دارد اما در خصوص مصرف‌کننده بوده است و در آن بحث هویت و صفات مشتریان و نیز نیاز مشتریان لحاظ شده است.‌ ما متوجه شدیم که مشتریان بسته به کالا و خدمتی که دریافت می‌کنند به هر سایت فروش آنلاین کالایی که مراجعه می‌کنند آن سایت یک سری اطلاعاتی از آنها می‌گیرد که این اطلاعات نیز براساس خود اظهاری است و ابزاری برای بررسی صحت آن وجود ندارد.

 همچنین مشخص نیست که اطلاعات وارد شده حتی اگر صحیح باشند متعلق به فردی باشند که آن را اظهار کرده است، بنابراین وجه تمایز دیگری بین سامانه امتا و شاهکار است.‌

لذا ما براساس ادبیات زیرساخت کلیدی کشورمان سطح‌بندی‌هایی را انجام داده‌ایم و در دل امتا مبتنی بر این سطح‌بندی‌ها اطمینان می‌یابیم که اطلاعات اظهار شده متعلق به فرد اظهارکننده باشد.

 

*این سطح‌بندی‌ها بر چه اساسی صورت می‌گیرد؟

اگر کسب‌و‌کاری خدماتی را ارایه می‌دهد که ریسک بالایی نداشته و مربوط به مسایل مالی نیست این سطح یک احراز را پوشش می‌دهد.‌ اگر اسنادی قرار است رد و بدل شود و نیاز به امضای دیجیتال داشته باشد و این اسناد معتبر و سازمانی باشند در سطح دو رده‌بندی می‌شوند و اگر یک سری سندهای مالی خاص امضا و رد و بدل شود در سطح سه رده‌بندی شده و احراز هویت آن با یک سری شاخص‌های بیشتر و چندعاملی انجام می‌شود.‌

ما در «امتا» لاگین به کسب‌و‌کار را براساس نوع کاری که قرار است انجام شود دسته‌بندی کرده‌ایم و ریسک کسب‌و‌کارها را می‌سنجیم و اعلام می‌کنیم چه کاربرانی با چه سطحی از احراز می‌توانند در آنجا لاگین کرده و خدمت خود را دریافت کنند.

 

* سامانه امتا برای حفظ و صیانت داده‌های مشتریان چه نکاتی را مد نظر گرفته است و آیا دیتاهای رد و بدل شده به‌صورت رمزنگاری منتقل می‌شوند؟

موضوع صیانت از داده‌های مشتریان امروز در دنیا نیز یک بحث روز است و قوانینی نیز در سطح جهانی مصوب شده و در ایران هم لایحه‌ای در این زمینه تبیین شده است.‌ در امتا خود فرد می‌آید و اطلاعاتش را اظهار می‌کند و ما فقط از طریق وب‌سرورهای حاکمیتی تاییدیه‌های آن را می‌گیریم.

همچنین در اختیار قرار دادن اطلاعات نیز با مدیریت خود فرد صورت می‌گیرد که این اطلاعات را خودش در اختیار کسب‌و کار قرار دهد و اگر خود فرد اجازه ندهد این اطلاعات انتقال پیدا نمی‌کند. ‌افزون بر این، کسب‌و‌کار نیز مطمئن خواهد بود اطلاعاتی که به دستش می‌رسد یک اطلاعات احراز شده و صحیح است و صرفا مبتنی بر خوداظهاری نیست.

وجه تمایزی که وجود دارد این است که شناسه‌ای را طراحی کرده‌ایم که در فضای مجازی معتبر است و فرد با آن شناسه مي‌تواند كار خود را انجام دهد.‌ ما کدملی اظهار شده در امتا را در اختیار کسب‌و‌کار قرار نمی‌دهیم؛ در نتیجه ما صرفا نام و نام خانوادگی، آدرس و جنسیت را به عنوان سرویس پایه در نظر می‌گیریم.‌ یک سری کسب‌و‌کارها البته اعلام کرده‌‌اند که به کدملی نیاز دارند و ما بررسی می‌کنیم و چنانچه نیازمندی آنها صرفا برای ارایه به دستگاه‌های قانونی باشد، اطلاعات را به کسب‌‌کار نمی‌دهیم بلکه شناسه کاربری امتا را ارایه داده و کدملی را در اختیار مراجع قانونی مربوطه قرار می‌دهیم که این موضوع نیز صرفا در خصوص نیاز به استعلام قانونی است.‌ هدف ما آن است که مدیریت کنیم تا کسب‌و‌کارها اطلاعات اضافی دریافت نکنند.‌

 

*وعده ارایه احراز هویت با امضای الکترونیکي و بر بستر بلاک‌چین که گفته می‌شد قرار است در امتا محقق شود به کجا رسیده است؟

برخی به ما می‌گفتند در دنیا بحث سرویس‌های غیرمتمرکز مطرح است پس چرا طراحی امتا را مبتنی بر یک سرویس متمرکز گذاشته‌اید. در پاسخ باید بگویم نخست اينكه سرویس‌های غیرمتمرکز در دنیا نیز هنوز به بلوغ لازم و سطح کاربری عام نرسیده‌اند.‌ دوم، نیازمندی ما در حال حاضر به شکلی بود که مجبور بودیم سرویس خود را به شکل متمرکز طراحی کنیم ولی این را در چشم‌اندازمان دیده‌ایم که هر زمان دنیا به سمت غیرمتمرکز رفت ما نیز سرویس‌مان را به سمت لایه‌های غیرمتمرکز ببریم.

تسلیت

دیدگاه‌ها

    ارسال دیدگاه