skip to Main Content
محتوای اختصاصی کاربران ویژهورود به سایت

فراموشی رمز عبور

با شبکه های اجتماعی وارد شوید

عضو نیستید؟ عضو شوید

ثبت نام سایت

با شبکه های اجتماعی وارد شوید

عضو نیستید؟ وارد شوید

فراموشی رمز عبور

وارد شوید یا عضو شوید

جشنواره نوروزی آنر
انتخاب سردبیر

فروشگاه‌های ایرانی اپلیکیشن چگونه اصالت اپ‌های مالی را صحت‌سنجی می‌کنند؟

۶ مرداد ۱۴۰۳

زمان مطالعه : ۱۲ دقیقه

تاریخ به‌روزرسانی: ۷ مرداد ۱۴۰۳

اپلیکیشن‌های مالی به دلیل ماهیت حساس داده‌ها، به طور ذاتی در معرض خطر هک شدن و سوءاستفاده قرار دارند. نبود ساختار امن برای اپلیکیشن‌های مالی، می‌تواند منجر به عواقب جدی برای کاربران مانند سرقت هویت، کلاهبرداری مالی و حتی آسیب به اعتبار آنها شود.

به گزارش پیوست، پلتفرم‌هایی که کاربران از طریق آن، برنامه‌های مالی را دانلود و نصب می‌کنند، برای صحت‌‌سنجی و تعیین اصالت اپلیکیشن‌ها چارچوب سخت‌گیرانه‌ای دارند و اقدامات متعددی برای حفظ امنیت کاربران خود را انجام می‌دهند. احراز هویت ساختارمند و بررسی برنامه از لحاظ فنی از جمله مراحلی است که در فرآیند صحت‌سنجی برنامه‌های بانکی و مالی توسط پلتفرم‌های ایرانی Android و IOs صورت می‌گیرد.

فرآیند اعتبارسنجی اپلیکیشن‌های مالی

حسین بیات، مدیر تیم بررسی و انتشار برنامه‌های کافه بازار
حسین بیات، مدیر تیم بررسی و انتشار برنامه‌های کافه بازار

حسین بیات، مدیر تیم بررسی و انتشار برنامه‌های کافه بازار، در این‌باره می‌گوید: برای اعتبار سنجی و صحت در اپلیکشن‌های بانکی و مالی که با سرمایه مردم سروکار دارد، سخت‌گیری بیشتری به خرج می‌دهیم. هنگام بارگذاری این برنامه در پلتفرم کافه بازار ابتدا هویت شخص حقیقی برای ثبت درخواست برنامه بانکی باید احراز شود.

بیات در ادامه توضیح می‌دهد: اگر شخصی به‌ عنوان مسئول IT یک مجموعه رسمی به پلتفرم ما برنامه‌ای ارائه کند باید از طریق ایمیل رسمی بانک و شرکت مالی موردنظر صورت گیرد. همچنین حتما آدرس ایمیل روی دامنه اصلی آن سازمان باشد. ضمن این بررسی‌ها، لازم است هویت شخص درخواست‌دهنده و اپلیکیشن در سربرگ رسمی مهر و موم‌ شده از سوی بانک یا موسسه مالی تایید شود. بدین‌صورت از اعتبار و امنیت برنامه مطمئن می‌شویم. بعد از تاییدیه کامل به منظور تعیین هویت و رسمی بودن برنامه، وقتی توسط توسعه‌دهندگان ثبت درخواست برنامه را در کافه بازار می‌دهند؛ توسط سپر بازار، بررسی برنامه با تعدادی آنتی‌ویروس بین المللی کارآمد و قوی صورت می‌گیرد. این مرحله برای اطمینان از مخرب نبودن فایل اپلیکشن انجام می‌شود. پس از این برنامه ارئه شده برای مشکلات احتمالی مجددا بررسی می‌شود و اگر مشکلی باشد، برای رفع آن به توسعه‌دهنده ارجاع داده می‌شود.

حسام سلیمانی، مدیر تیم پشتیبانی توسعه‌دهندگان مایکت، می‌گوید: برای تایید صحت اپلیکیشن خدمات بانکی در مایکت، یک فرآیند چند مرحله‌ای تعریف شده است. در ابتدا طی یک رویه جامع در پلتفرم مایکت تمامی برنامه‌ها پیش از انتشار توسط کارشناسان ما تست و بررسی می‌شوند تا از صحت عملکرد برنامه اطمینان حاصل شود. برای برنامه‌های حوزه مالی و پرداخت هم این بررسی با حساسیت بیشتری انجام می‌شود که از صحت عملکرد و امنیت نسخه نصبی اطمینان پیدا کنیم.

 او ادامه می‌هد: نکته‌ دیگری که همواره به آن دقت می‌شود این است که اپلیکیشن‌های بانکی صرفا از سمت همان بانک در مایکت اجازه انتشار پیدا می‌کنند و در رابطه با سایر اپلیکیشن‌های خدمات مالی هم ما به‌دقت، منبع و اصالت توسعه‌دهندگانی را که قصد انتشار چنین برنامه‌هایی را دارند بررسی و ارزیابی می‌‎کنیم تا از اصالت شخص حقیقی، همچنین اعتبار کسب‌وکار و سرویس ارائه شده، اطمینان پیدا کنیم.

برای سیستم عامل IOS از آنجا که اپلیکیشن‌های داخلی بانکی و پرداخت‌یارها در اپ‌استور موجود نیستند و همواره با محدودیت مواجه می‌شوند،‌ حمید کوچک‌زاده،‌ مدیر ارشد تجاری CCO سیب اپ، توضیح می‌دهد؛ برای اطمینان برای کاربران دارای آیفون، صحت‌سنجی برنامه‌های مالی شامل همراه بانک‌ها،‌ پرداخت‌یارها و اپلیکیشن‌های مربوط به تراکنش و معاملات رمزارزی را به طور گسترده طی مراحل و چارچوبی دقیق انجام می‌د‌هیم.

کوچک‌زاده تاکید می‌کند: برای انتشار اپ‌های مالی و بانکی باید با یک هویت حقوقی اقدام شود. یعنی نیاز است آن شخص از طریق ایمیل سازمانی و دامین رسمی همان کسب‌وکار یا بانک، درخواست خود را در سیب‌اپ ثبت کند. علاوه‌بر این موارد برای احراز هویت طبق ساختار پلتفرم ما،‌ باید شرکت یا موسسه مورد نظر در پنل کاربری خود تصویر روزنامه رسمی به همراه آخرین تغیرات، تصویر کارت ملی مدیرعامل و گواهی معامله ارزش افزوده را بارگذاری کند. هویت تمامی اطلاعات به وسیله سیب اپ احراز می‌شود و پس از اطمینان از صحت اطلاعات وارد شده، با ادمین فرد ایجاد کننده آن حساب و درخواست موردنظر برای انجام مابقی مراحل ارتباط گرفته می‌شود.

 

 تضمین امنیت و اصالت اپلیکیشن‌های مالی

مدیر تیم پشتیبانی توسعه مایکت توضیح می‌دهد، نسخه برنامه‌های مالی پیش از اینکه اجازه انتشار در مایکت را پیدا کنند، از سوی کارشناسان مایکت تست و بررسی می‌شوند. در ابتدا زمانی که یک توسعه‌دهنده، نسخه apk برنامه را در پنل توسعه‌دهندگان مایکت بارگذاری می‌کند، پنل توسعه‌دهنده به صورت خودکار و با استفاده از نرم‌افزارهای امنیتی مورد استفاده، امنیت نسخه را از جهات مختلف بررسی می‌کند و در صورتی که مورد تایید باشد، اجازه بارگذاری نسخه داده می‌شود.

حسام سلیمانی، مدیر تیم پشتیبانی توسعه‌دهندگان مایکت
حسام سلیمانی، مدیر تیم پشتیبانی توسعه‌دهندگان مایکت

او ادامه می‌دهد: در مرحله بعدی، کارشناسان مایکت با نصب نسخه apk برنامه روی یک یا چند دستگاه اندرویدی، عملکرد اپلیکیشن را در شرایط واقعی می‌سنجند و بررسی امنیتی نسخه برنامه از نظر دسترسی‌ به اطلاعات کاربران و بدافزار‌های احتمالی، با استفاده از معتبرترین‌ و پرکاربردترین آنتی‌ویروس‌های موجود، بخشی مهم و حیاتی از مراحل انتشار است. این فرآیند‌ از دو روش بررسی خودکار سیستمی Multi AV و موتور بررسی با بیش از ۱۲ آنتی ویروس معتبر انجام می‌شود. سپس کارشناسان به صورت دستی بررسی‌ها را انجام می‌دهند. با این روش‌ها درصد اطمینان از امنیت و اصالت برنامه افزایش پیدا می‌کند.

بیات درمورد این موضوع اضافه می‌کند که بانک‌ها در مرکز ایجاد امنیت کاربران و سنجش اعتبار اپلیکشن‌های خود بسیار حساس‌تر از هر آزمایشگاه امنیتی دیجیتالی دیگری قرار دارند. او تاکید می‌کند بانک‌ها تمام سعی خود را برای تضمین امنیت کاربران انجام می‌دهند،‌ اما برای اینکه اپلیکشن جعلی یا دستکاری شده در پلتفرم کافه بازار برای کاربران منتشر نشود، مراحل صحت‌سنجی دقیق‌تر به پلتفرم ما سپرده می‌شود. به گفته مدیر تیم بررسی و انتشار، پس از ارزیابی برنامه در سپر امنیتی بازار و اطمینان از مخرب نبودن آن،‌ آزمایش کارایی اپلیکشن مالی و عملکرد صحیح آن به تیم انتشار محول می‌شود تا خطاهای احتمالی را بررسی کنند.

کوچک‌زاده نیز درباره این موضوع توضیح می‌دهد: پس از تایید اصالت و عملکرد برنامه، ما اپلیکیشن را با نماد اعتبار مشخصی در پلتفرم سیب‌اپ آپلود می‌کنیم تا برای استفاده توسط کاربران مورد اطمینان است. از طرفی او اضافه می‌کند با توجه به سپرهای امنیتی پلتفرم سیب اپ، بارگذاری فایل اپلیکیشن درصورت صحت‌سنجی از سالم بودن فایل و شخص ارسال‌کننده صورت می‌گیرد. اما اگر برنامه در اختیار شخص ثالثی قرار بگیرد و با دستکاری در ساختار فنی آن در پلتفرم ما قرار بگیرد، با توجه به زیرساخت فنی سیب اپ برنامه مخرب شناسایی و کرش می‌شود و با ایحاد توقف در عملکرد برنامه از ادامه فرآیند فایل جعلی جلوگیری می‌شود. 

اقدامات پلتفرم‌ها در حفظ امنیت داده کاربران

مدیر تجاری سیب‌اپ درمورد داده کاربران می‌گوید: داده‌ خاصی از اطلاعات کاربران در پلتفرم ما ذخیره نمی‌شود. با توجه به ساختار پلتفرم اپ‌استور و سیستم عامل IOS اجازه ثبت اطلاعات کاربران داده نمی‌شود. حتی بعد از دانلود اپلیکیشن اینکه چه کسی، چه اپلیکیشنی را دانلود کرده به عنوان داده محرمانه کاربر حفظ می‌شود و حریم خصوصی کاربران محسوب می‌شود.

حمید کوچک‌زاده،‌ مدیر ارشد تجاری CCO سیب اپ
حمید کوچک‌زاده،‌ مدیر ارشد تجاری CCO سیب اپ

 

کوچک‌زاده در ادامه اضافه می‌کند: برای حفظ کاربران از تهدید سرقت سایبری سعی می‌کنیم در پیش از انتشار اپلیکیشن ساختارمند عمل کنیم و حتی اگر کاربران ما دچار سوء‌استفاده مالی یا اطلاعاتی شوند از جانب سیب‌اپ برای اقدام به شکایت، حمایت می‌شوند.

مدیر تیم بررسی و انتشار برنامه‌های کافه بازار در این رابطه می‌گوید: در کافه بازار حفظ حریم شخصی و داده‌های کاربران بسیار اهمیت دارد به گونه‌ای که تمام توسعه‌دهندگان برنامه‌ها به ویژه اپلیکیشن‌های مالی را ملزم می‌کنیم که حتما در مستندات برنامه خود درمورد داده‌هایی نظیر شماره تماس،‌ ایمیل و غیره به کاربران اطلاع دهند که چه استفاده‌ای خواهند کرد. بیات تاکید می‌کند، حتی میزان دسترسی هر یک از برنامه‌‌ها به دستگاه کاربران باید کاملا شفاف‌سازی شود که آیا نیاز چنین دسترسی ضروری است و در اپلیکیشن کاربرد دارد. او می‌گوید: از این‌رو هیچ برنامه‌ای در پلتفرم ما وجود ندارد که دسترسی غیر ضروری به دستگاه و اطلاعات کاربران داشته باشد.

مدیر تیم پشتیبانی توسعه‌دهندگان مایکت در مورد امنیت داده کاربران توضیح می‌دهد: ما در مایکت به عنوان یک منبع معتبر در حفظ امنیت داده کاربران در اپلیکیشن‌های بانکی، در قدم اول اطمینان پیدا می‌کنیم که منبع ارسال و انتشار یک برنامه مالی، منبع اصلی و رسمی آن برنامه باشد. با این حال، طبق گفته سلیمانی؛ حفظ امنیت داده‌های کاربران در سرویس‌های مالی، بر عهده مالک آن سرویس است و مایکت به عنوان یک فروشگاه برنامه‌های اندرویدی از نظر فنی امکان ورود به بحث امنیت داده‌های کاربر در یک برنامه مالی را ندارد و تنها وظیفه خود را نظارت دقیق بر عملکرد و اطمینان از صحت عملکرد آن سرویس، می‌داند.

رسیدگی به شکایات کاربران در صورت بروز مشکل

سلیمانی مدیر تیم پشتیبانی توسعه‌دهندگان مایکت در این خصوص عنوان می‌کند: کاربران از چندین طریق می‌توانند گزارش‌ و دغدغه‌های خود در رابطه با عملکرد برنامه و بازی‌های مختلف منتشر شده در مایکت، از جمله حوزه مالی و پرداخت، را برای تیم ما ارسال کنند. بخش نظرات به صورت منظم از طرف کارشناسان مایکت پایش می‌شود. همچنین کاربران می‌توانند از طریق راه‌های ارتباطی دیگر (تماس تلفنی، ثبت درخواست از طریق بخش پشتیبانی برنامه مایکت، صفحات شبکه‌های اجتماعی مایکت و غیره)، گزارش‌های خود را به اطلاع ما برسانند.

او همچنین ادامه می‌دهد؛ متخصصان مایکت الگوریتم‌های مشخصی طراحی و پیاده‌سازی کرده‌اند که با پایش مداوم و خودکار صفحات تمامی برنامه‌ها، در کنار تمامی موارد از جمله گزارش‌های کاربران، به صورت شبانه‌روزی در حال پردازش و مشخص کرد‌ن برنامه‌هایی هستند که از سمت کاربران به عنوان برنامه‌های مخرب، مشکل‌دار یا ناامن معرفی شده‌اند.

کوچک‌زاده مدیر تجاری سیب اپ اشاره می‌کند اگر کاربر گزارشی درمورد خطایی از سوی اپلیکشین به پلتفرم ما بدهد، از طریق پنل اپلیکیشن به ادمین منتقل می‌شود. یا از طریق ایمیل، پیامک یا کامنت، شکایت به مدیریت حقوقی اطلاع‌رسانی می‌شود. اگر مورد حاد یا تکرارپذیر باشد، حتما پیگیری از طرف خود سیب اپ به طور مستقیم از طریق روش‌های دیگری چون تماس مستقیم با شرکت و بانک انجام می‌شود. در صورت وجود مشکل، برنامه معلق می‌شود و آن را برای کاربران جدید از دسترس خارج می‌کنیم تا مشکل برطرف شود.

به طور کلی به گفته مدیر بازرسی این پلتفرم، اپلیکیشن‌های مالی به دلیل اهمیتی که دارند از جهت امنیت به طور دوره‌ای توسط تیم آنها با بررسی تیکت کاربران ارزیابی می‌شود تا بدون باگ یا بدافزار در سیب‌اپ قابل دانلود باشد.

بیات نیز توضیح می‌دهد که در کافه بازار با توجه به گزارش کاربران، ابتدا بررسی می‌شود که بر اساس چه مشکلی بوده است و از سوی خود تیم کافه بازار آزمایش می‌شود. سپس از توسعه‌دهنده مشکل پیگیری می‌شود و تا زمان اصلاح، نصب و اجرای آن برنامه معلق می‌شود.

همچنین او می‌گوید: اگر مشکل سوءاستفاده برای کاربران پیش آمده باشد کافه بازار در راهنمایی و حمایت از آنها در شکایت به قوه‌ قضاییه یا سازمان ذی‌ربط تمام سعی خود را می‌کند. البته به طور کلی از همان ابتدا برای بارگذاری برنامه‌های مربوط به شرکت‌های کارگزاری بورسی در نهایت دقت، صدور جواز رسمی شرکت یا به عنوان مثال تاییدیه از فرابورس و فتا را برای فعالیت آنلاین با استفاده از برنامه‌شان پیگیری می‌کنیم.

به جز اپلیکیشن‌های بانکی در مورد برنامه‌های مالی در حوزه رمزارزی و فروش طلای خام کافه بازار سعی می‌کند از سازمان و اتحادیه‌های مربوطه از داشتن مجوز آن کسب‌وکارها اطمینان حاصل کند.

مستندات و آموزش توسعه‌دهندگان توسط پلتفرم‌ها

مدیر تیم بررسی و انتشار کافه بازار می‌گوید: درمورد آموزش توسعه‌دهندگان برای رعایت الزامات فنی و امنیتی در این مورد وب‌سایت developer.cafebazar.ir راه‌اندازی شده است تا مستندات امنیتی محتوایی برای برنامه‌نویسان که قصد دارند چه در داخل و چه از خارج از کشور اپلیکیشنی را در بازار منتشر کنند ارائه کند. علاوه‌بر این موضوع، برنامه‌نویسان بانک‌ها و سایر کسب‌وکارها برای توسعه برنامه‌‌های خودشان می‌توانند با تیم پشتیبانی فنی در ارتباط باشند تا با راهنمایی آنها حتی به صورت دوره‌ای طبق قوانین کافه‌بازار به‌روزرسانی انجام دهند.

مدیر پشتیبانی فنی مایکت نیز اضافه می‌کند: آموزش‌ها و مستندات فنی عمومی و تخصصی در رابطه با برنامه‌نویسی اندروید را در اختیار توسعه‌دهندگان مایکت قرار می‌دهیم که از طریق «پایگاه دانش مایکت» قابل دسترسی است. ما با توسعه‌دهندگان خود ارتباط مداوم و نزدیکی داریم و در صورتی که در رابطه با ساخت برنامه یا اضافه کردن ویژگی‌های امنیتی و نکات فنی، ابهام یا سوال داشته باشند، در کنارشان هستیم و اطلاعات و مستنداتی را که لازم دارند در اختیار آنها قرار می‌دهیم.

استاندارها و گواهینامه‌های پلتفرم‌ها برای اعتبارسنجی

سلیمانی توضیح می‌دهد ما فراتر از استانداردها و قوانین ناظر بر شبکه بانکی کشور، اقدامی انجام نمی‌دهیم. اما توسعه‌دهندگانی که قصد انتشار برنامه‌های ارائه‌دهنده خدمات مالی را دارند، در چارچوب قوانین کشور و همچنین قوانین انتشار برنامه‌ها و فعالیت در مایکت، ممکن است لازم باشد مجوزها و مستندات مختلفی را به پلتفرم ما ارائه بدهند. بر اساس نوع خدماتی که در برنامه ارائه شده است، مجوز یا قراردادهای مرتبط باید ارائه شود. به عنوان مثال، یک اپلیکیشن در محیط خود، بخش کارت به کارت اضافه کرده است، لازم است مجوز فعالیت در این حوزه از بانک مرکزی و همچنین قراردادهای خود با بانک‌ها و سایر سرویس‌های معتبر فعال در این حوزه را (با حفظ محرمانگی) به مایکت ارائه دهد.

بیات هم اشاره می‌کند: به طور کلی بررسی‌ها برای صحت‌سنجی برنامه‌‌ها در کافه بازار یک فرآیند استاتیک و داینامیک است و فعالیت ما محدود به تعدادی آنتی‌ویروس نمی‌شود. براساس تجربیات بازار، مقالات به‌روز آزمایشگاه‌های امنیتی توسط تیم بخش سپر امنیتی مطالعه می‌شود و حتی درصورت امکان پیاده‌سازی و سیستم ارزیابی امنیتی به‌روزرسانی می‌شود.

او در پایان توضیح می‌دهد: در شرایطی که بعضی از برنامه‌هایی که در کافه بازار منتشر و با خطای گوگل “Block by protect ” مواجه می‌شود؛ یعنی به عنوان یک برنامه‌ مخرب یا دچار مشکل در بخش فنی شناخته می‌شود، پیش از قرار گرفتن روی پلتفرم می‌توان برای رفع آن اقدام کرد. در حالی که امکان شناسایی آن برای برنامه‌های داخلی در گوگل پلی وجود ندارد. به دلیل تحریم‌ها اگر تشخیص دهد برنامه از حساب کاربری ایرانی آپلود شده است، فوراً آن را مسدود می‌کند. بنابراین اعتبارسنجی برنامه‌های ایرانی به‌ویژه در بخش مالی توسط گوگل‌پلی قابل استناد نیست.

https://pvst.ir/iho

0 نظر

ارسال دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*

برای بوکمارک این نوشته
Back To Top
جستجو