در
هر دو حالت مقداری پول از حساب شما کسر و به حساب مقصد واریز میشود. هرچند
در اصل قضیه اینگونه است که مقداری پول از حساب شما کسر میشود و در حساب
بانک شما میماند. ازآنسو بانک مقصد همان مقدار پول را از حساب خود کسر و
به حساب مقصد واریز میکند.
تسویهحسابهای بینبانکی هم معمولا در ساعات خلوت مثل نیمهشبها که حجم تراکنشهای مالی کم است، صورت میگیرند.
کل
فرآیندهای این انتقال وجه در داخل شبکه بانکی رخ میدهد. حتی اگر تمهیدات
امنیتی نرمافزاری هم برای آن در نظر گرفته نشده باشد، به دلیل اینکه
همهچیز درون شبکه بانکی است و دسترسی به آن برای افراد و کامپیوترهای خارج
از شبکه سخت است؛ در نتیجه سیستم حدی از امنیت را دارا است.
اما
هنگامی که میخواهید یک پرداخت اینترنتی انجام دهید، از آنجایی شما در
اینترنت هستید و دائما در معرض تهدید قرار دارید، باید تمهیدات امنیتی برای
جلوگیری از هرگونه سرقت اطلاعات استفاده شود.
اگر چنین تمهیداتی
رعایت نشوند، اولین چیزی که احتمالا رخ میدهد این است که کسی اطلاعات
کارت بانکی شما را سرقت کرده و مقداری پول از حساب شما برداشت کند.
رمزنگاری اطلاعات
امروزه برای اینکه وبسایتها و سرویسهای متعدد بتوانند امنیت کاربران و خودشان را حفظ کنند، از رمزنگاری استفاده میکنند.
معمولترین روش رمزنگاری هم استفاده از رمزنگاری TLS یا Transport Layer Security است که به اتصال https مشهور است.
سیستمهای
پرداخت اینترنتی هم برای اینکه بتوانند امنیت پرداختها را تامین کنند از
دو لایه رمزگذاری استفاده میکنند. لایه اول رمزگذاری استفاده از همین
پروتکل TLS یا https در دامنه وبسایتها یا اپلیکیشنها است..
لایه
دوم امنیتی، کلیدهای رمزگذاری است که هر سایت پرداختکننده یا بانک در
اختیار وبسایتها یا اپلیکیشنها پذیرنده قرار میدهند و با استفاده از
این کلید دادهها را رمزگذاری میکنند.
برای اینکه سیستم امنیتی و نحوه انجام یک پرداخت اینترنتی را توضیح دهیم بگذارید بهتر است کمی رمزگذاری https را تشریح کنیم.
رمزگذاری چیست؟
رمزگذاری
یا رمزنگاری، مفهوم اولیه سادهای دارد. رمزگذاری یعنی اینکه شما اطلاعات
را با استفاده از یک کلید رمزنگاری یا همان دستورالعمل رمزگذاری، به شکل
دیگری درمیآورید. تنها افرادی میتوانند اطلاعات شما را بخوانند که کلید
رمزگذاری را داشته باشند. بگذارید یک مثال ابتدایی بزنیم.
فرض کنید من میخواهم عبارت «سلام» را بهصورت رمزگذاری شده ارسال کنم.
ابتدا
یک قرارداد رمزنگاری یا همان کلید رمزنگاری (Encryption Key) باید تعریف
کنیم؛ مثلا فرض کنید در قرارداد رمزنگاری درج میکنیم که:
عبارت
«ن۱ت» همان حرف «س» باشد. «ت۳غ» حرف «ل»، «خ۹۸ن» حرف «الف» و «غ۶۵ی» حرف
«م» باشد. بقیه حرف الفبا، اعداد و علامتها نیز به شکل مشابهی تنظیم
میشوند.
طبق این قرارداد رمزنگاری یا کلید رمزگذاری، کلمه «سلام» به این شکل خواهد بود «ن۱تت۳غخ۹۸نغ۶۵ی».
اگر
کسی در بین راه این پیام را دریافت کند، چیزی از آن نخواهد فهمید. او به
دلیل اینکه قرارداد رمزنگاری یا کلید رمزگذاری را ندارد، نخواهد فهمید
محتوای واقعی این عبارت چیست و چنین پیامی برای او بیمعنی خواهد بود.
اگر
فقط فرد یا افراد دریافتکننده این پیام، کلید رمزگذاری را بدانند،
میتوانند به محتوای واقعی آن دست پیدا کنند. اگر مخاطب شما هم پاسخ خود را
با استفاده از همین کلید رمزنگاری ارسال کند تنها شما و افرادی که این
کلید رمزگذاری را دارند، میتوانند محتوا پیامتان را متوجه شوند.
رمزگذاری https چیست؟
رمزگذاری https برای دو منظور استفاده میشود: تایید هویت و رمزگذاری ارتباط.
۱- تایید هویت
برای
اینکه یک ارتباط امن بین مرورگر شما و سرور یک وبسایت برقرار شود، نوع
خاصی از کلیدها رمزنگاری استفاده میشوند. این کلیدها شامل کلیدهای عمومی
(Public key) و کلیدهای خصوصی (Private key) هستند. کلیدهای عمومی
بهصورت پیشفرض روی مرورگرها و سرورها نصب هستند و یا نصب میشوند.
کلیدهای هم خصوصی فقط و فقط روی سرور نصب میشوند.
پیامها با استفاده از یک کلید عمومی رمزگذاری میشوند. رمزگشایی این اطلاعات فقط با داشتن کلید خصوصی ممکن است.
هنگامی
که برای مثال شما به وبسایت تجارتنیوز که از این پروتکل برای تامین
امینت کاربران خود استفاده میکند، مراجعه میکنید، مرورگر شما در ابتدا
مجوزهای سایت (Certificates) را از سرور تجارتنیوز دریافت میکند.
سایت
تجارتنیوز از شرکت Unizeto Technologies S.A تاییدیه گرفته است. فهرستی
از این تاییدیهها همراه با کلیدهای عمومی هر مجوز، بهصورت پیشفرض در هر
مرورگر نصب هستند.
اگر سایتی از مجوزی استفاده کند که در این فهرست
مورد اعتماد مرورگر وجود نداشته باشد، پیامی مبنی بر ناامن بودن سایت به
کاربر نشان میدهد و توصیه میکند که وارد سایت نشوید.
۲- رمزگذاری
وقتی
مرورگر مجوز سایت را تایید کرد، یک کلید رمزگذاری برای این ارتباط یا کلید
جلسه (Session key) تولید میکند. سپس این کلید را با استفاده از کلیدهای
عمومی رمزگذاری میکند و به سرور میفرستد.
پس از این کار، سرور این پیام را با استفاده از کلید خصوصی خود باز میکند و کلید ارتباط یا کلید جلسه را میخواند.
توجه
داشته باشید که کلید خصوصی فقط و فقط در اختیار سرور است و اگر فردی در
میانه راه این پیام را بدزدد، نمیتواند پیام را رمزگشایی و کلید ارتباطی
بین کامپیوتر شما و سرور را به دست بیاورد.
وقتی سرور کلید جلسه را
که توسط مرورگر شما تولید شده است، دریافت کرد، پیامی را با استفاده از این
کلید جلسه رمزگذاری کرده و به کامپیوتر شما میفرستد. در این مرحله مرورگر
شما متوجه میشود که یک ارتباط امن با استفاده از این کلید با سرور ایجاد
شده است.
به این کار اصطلاحا دست دادن (Handshake) گفته میشود.
کلید
ارتباط یا همان کلید جلسه، کلیدی است که با استفاده از آن مرورگر شما و
سرور به رمزگذاری و رمزگشایی پیامهای مبادلهشده میپردازند و ارتباط را
امن میکنند.
درگاههای پرداخت اینترنتی
درگاههای پرداخت اینترنتی در حالت کلی به دو صورت هستند. درگاههای مستقیم و درگاههای غیرمستقیم.
درگاههای پرداخت اینترنتی مستقیم
درگاههای
پرداخت اینترنتی مستقیم معمولا توسط خود بانکها یا شرکتهای زیرمجموعه
بانکها ساخته میشوند. این درگاهها مستقیما به بانکها متصل هستند و
مستقیما تراکنشها را انجام میدهند.
ساخت چنین درگاههایی مجوزها و
پشتیبانی فنی زیادی لازم دارند. به همین چنین درگاههایی را معمولا
شرکتهای بزرگ یا خود بانکها ایجاد میکنند. درگاههایی مثل گوگل پی
(Google Pay) و اپل پی (Apple Pay) از این نوع هستند.
در ایران ۱۲
شرکت وجود دارند که درگاه پرداخت اینترنتی مستقیم ارائه میدهند. این
شرکتها باید از طرف بانک مرکزی مجوز فعالیت داشته باشند.
اگر
تاکنون پرداخت الکترونیکی انجام داده باشید، نام برخی از این درگاههای
پرداخت مستقیم را احتمالا مشاهده کردهاید. مثل درگاه بهپرداخت بانک ملت
یا بانک پارسیان.
در این حالت معمولا سایت پذیرنده از شما میخواهد
که درگاه پرداخت موردنظر خود را انتخاب کنید. بعد از کاربر به این درگاه
پرداخت ارجاع داده میشود. این شرکتها معمولا بهازای تراکنشهایی که از
طریق آنها انجام میشود، کارمزدی از سوی بانک دریافت میکنند.
درگاههای پرداخت مستقیم چند سالی است جهت اعمال نظارتها و جلوگیری از تقلب و سوءاستفاده تحت دامنه شاپرک فعالیت میکنند.
درگاههای پرداخت اینترنتی غیرمستقیم
درگاههای
پرداخت الکترونیکی غیرمستقیم توسط شرکتهای کوچک ارائه میشوند. تعداد این
درگاههای پرداخت در ایران زیاد است. این درگاههای پرداخت، مستقیما با
سیستم بانکی در ارتباط نیستند.
وقتی پرداختی به این شرکتها ارجاع
داده میشود آنها پرداخت را به یکی از درگاههای پرداخت مستقیم هدایت
میکنند و در نهایت شما مشخصات کارت خود را در صفحهای وارد میکنید که
توسط یکی از این شرکتهای پرداخت مستقیم ایجاد شده و زیر دامنه shaparak.ir
قرار دارد.
چه تفاوتی بین درگاههای پرداخت مستقیم و غیرمستقیم وجود دارد؟
فرض
کنید شما بهتازگی یک وبسایت اینترنتی برای فروش برخی خدمات راهاندازی
کردهاید. برای اینکه بتوانید هزینه خدمات خود را دریافت کنید، لازم است یک
ابزار پرداخت در سایت خود قرار دهید.
برای اینکه بتوانید سایت خود را به یک درگاه پرداخت مستقیم وصل کنید، کارهای اداری پیچیده و طولانی لازم است.
سایت
شما باید نشان تاییدیه نماد اعتماد الکترونیکی و مجوز فعالیت صنفی داشته
باشید و از طرف سیستم بانکی هم باید تاییدیه فعالیت بگیرید. البته چند مورد
دیگر همچون داشتن وبسایت طراحیشده و رعایت قوانین جمهوری اسلامی نیز
وجود دارند که بدیهی هستند.
دریافت این مجوزها معمولا زمانبر و
هزینهبر است. به همین دلیل معمولا فقط شرکتهای بزرگ سراغ استفاده از
درگاههای پرداخت مستقیم میروند. اگر پرداختها از طریق یک درگاه پرداخت
مستقیم انجام شوند، کارمزدی ندارند.
اما برای اینکه یک درگاه پرداخت غیرمستقیم در سایت خود ایجاد کنید، به این مجوزها و کارهای اداری پیچیده احتیاجی نیست.
فقط
کافی است یک اسکن از کارت ملی و شناسنامه خود را در هنگام ثبتنام در سایت
این شرکتهای پرداخت اینترنتی غیرمستقیم ثبت کنید. با این کار فقط پس از
۲۴ ساعت درگاه پرداخت شما فعال خواهد بود.
البته این نکته را هم
باید در نظر داشته باشید که درگاههای پرداخت اینترنتی غیرمستقیم در هر
تراکنش بین ۱ تا ۲.۵ درصد از مبلغ تراکنش را بهعنوان کارمزد دریافت
میکنند.
چنین درگاههایی این مزیت را هم دارند که ممکن است همزمان
با چندین درگاه پرداخت اینترنتی مستقیم در ارتباط باشند. در نتیجه هنگام
پرداخت، اگر یکی از آنها دچار مشکل شود، سیستم مشتری را به درگاه دیگری
هدایت میکند. در نتیجه میتوانید اطمینان داشته باشید که مشتری شما
بهراحتی پرداخت خود را انجام خواهد داد.
درگاههای پرداخت غیرمستقیم معمولا در بازه زمانی ۷۲ساعته با شما تسویهحساب میکنند.
نرم افزار crm دیدار، اتفاقی بزرگ برای کسب و کارهای کوچک و متوسط ◄