گفت و گو با دکتر ولى فاطمى :كارت‌هاى هوشمند و پول خرد الكترونيكى

تکفا – گفت و گو با دكتر ولى فاطمى، پس از آن انجام مى‌شد كه ما يك ميزگرد با مديران بانك‌هاى بزرگ برگزار كرده‌بوديم و پس از آن هم با معاون بانك مركزى مصاحبه‌اى داشتيم. از اين رو اين امكان را داشتيم تا با بهره‌گيرى از نكات و مشكلاتى كه از قبل با آنها آشنا شده‌بوديم، گفت و گوى تخصصى‌ترى را با دكتر فاطمى انجام دهيم. وى كه دوره‌هاى كارشناسى و كارشناسى ارشد خود را در دانشگاه صنعتى شريف و دوره‌ى دكترى را در دانشگاه صنعتى اميركبير در رشته‌ى مهندسى كامپيوتر گذرانده‌است، سوابق و تجارب كارى بسيار مفيد و ارزنده‌اى در زمينه‌ى نرم افزارهاى مرتبط با بانكدارى الكترونيكى دارد. وى با شرکت ملى انفورماتيک در زمينه‌ى سيستم‌هاى اتوماسيون بانکى، با شرکت لاله کامپيوتر و يكى از صندوق‌هاى قرض الحسنه در زمينه‌ى طراحى سيستم و بالاخره با شرکت کيش وير در راستاى طراحى و پياده‌سازى سيستم‌هاى اتوماسيون بانکى همكارى داشته‌است. بانك ملت، بانک سامان، بانک اقتصاد نوين، موسسه‌ى اعتبارى توسعه و صندوق انصار جزو مراكزى هستند كه دكتر فاطمى در زمينه‌ى طراحى سيستم بانكدارى الكترونيكى با آنها كار مى‌كند. وى همچنين با کميته‌ى پرداخت خود بانک مرکزى نيز همکارى مى‌کند. اطلاعات و تجربيات وسيع و عملى دكتر فاطمى مى‌تواند براى ما و شما جالب و خواندنى باشد:

فکر مى‌کنيد از چه زمانى در ايران خريد اينترنتى قابل اجرا باشد؟
ما در زمينه‌ى پرداخت الکترونيکى يا اينترنتى از چند سال پيش کارمان را با بانک سامان شروع کرده‌ايم. يكى از مهمترين دستاوردهايى که در حال حاضر وجود دارد، مربوط به بحث بانک اينترنتى است، به طورى که شما بتوانيد عمليات بانکى به راحتى و بدون نياز به حضور در شعبه انجام بدهيد. يعنى علاوه بر اطلاع رسانى، دريافت صورت حساب و موجودى، بتوانيد تبادل‌ الكترونيكى پول را نيز اجرا کنيد. به نوان مثال درخواست وام يا چک را بتوانيد در اينترنت انجام دهيد يا عمليات کارت را آنجا ثبت کنيد.

به طور كلى يک دروازه‌اى براى ورود به دنياى تجارت الکترونيکى( E-Commerce) فراهم شده‌است. در کنار اين خدمات، ما بحث پرداخت اينترنتى را باپياده سازى دو استاندارد مختلف براى پرداخت‌هاى خرد و کلان به انجام رسانده‌ايم. در مورد پرداخت‌هاى خرد قاعدتا سهولت و سادگى استفاده خيلى مهم است و امنيت در اولويت دوم اهميت مى‌با‌شد. البته بيمه در کنار اين قضيه لازم است، اما بيمه‌ى مربوط به آن هم خيلى سنگين نيست.

بحث ديگر در مورد پرداخت‌هاى کلان است كه بيشتر در مورد معاملات بين سامان‌هاى تجارى با يكديگر(B2B) و يا بين سازمان‌هاى تجارى با دولت (B2G) و يا بين دولت‌ها با يكديگر(G2G)براى تبادل مبالغ زياد مى‌باشد، يعنى مبالغ بالاى چند صدهزار تومان يا چند ميليون تومان. در اين سطوح، ديگر اشخاص، کمتر درگير هستند و بيشتر شرکت‌ها لازم دارند که ارتباطات مالى خودشان را انجام دهند. در اين پروتكل امنيت اولويت اول است و عدم انکار طرفين در انجام معامله اصل اساسى است. يعنى در دنياى مجازى يا اينترنت، ثبت سوابق و کار بايد به گونه‌اى انجام شود که هيچ کس نتواند درستى آن را انکار کند. پروتکل مشهورى که در اين زمينه در تمام دنيا وجود دارد، «ست» (Set) است که ما شكل ساده شده‌اى از اين پروتکل را اجرا کرده‌ايم. اين دو نرم افزار در حال حاضر در بانک سامان عملياتى شده‌است. تا كنون در سطح كشور نزديک به 60 مورد عقد قرارداد انجام شده و به زودى ارايه‌ى خدمات خريد يا فروش مجازى شروع مى‌شود. اين خدمات در حال حاضر با كارت بانك سامان در حال اجرا و قابل توسعه به عمليات کارت‌هاى عضو شتاب نيز مى‌باشد. البته ما اين خدمات را با كارت‌هاى عضو شتاب شروع و به صورت آزمايشى هم چند هفته راه‌اندازى کرديم، اما متاسفانه به خاطر نگرانى از عدم امنيت کافى در زيرساخت کارت‌هاى بانک‌هاى بزرگ و واکنش منفى چند بانک دولتى به توصيه‌ى بانک مرکزى به طور محدود تا زمانى که در يک کميته‌ى خاص در بانک مرکزى ضرورت‌هاى بستر امنيتى براى بانک‌ها تدوين و ارايه شود، متوقف شده‌است.

در زمانى كه بانک‌ها در يك زمان‌بندى منطقى اين امنيت را اجرا بکنند، اين خدمات را به صورت يک کار فراگير مى‌توانيم انجام دهيم. من مى‌توانم قول بدهم که ظرف 3-2 ماه آينده شرکت‌هاى بسيار زيادى خواهيم داشت که اين سرويس را به مردم ارايه خواهند کرد.

يعنى واقعا مى‌توان اميدوار بود که ظرف 3-2 ماه آينده بانکدارى اينترنتى در ايران راه‌اندازى شده باشد؟
پرداخت اينترنتى حتما راه خواهد افتاد. خدمات بانك اينترنتى را بعضى بانک‌ها در حال حاضر هم دارند. من يشتر منظورم موضوع پرداخت اينترنتى بود. همين الان شما مى‌توانيد با استفاده از اينترنت، يک خريد کارت تلفن يا کارت اينترنت را داشته باشيد. اول مهر، زمان افتتاح سايت رجا است. من فکر مى‌کنم راه اندازى خريد اينترنتى از سايت رجا به عنوان يک سايت مورد نياز قشر گسترده‌اى از مردم، يک حرکت مناسبى خواهد بود.

کافى است بانک مرکزى هم آن محدوديت را از روى بانک‌ها بردارد که ما بتوانيم به سرعت اين خدمات را به صورت گسترده به مردم ارايه بدهيم. شرکت‌ها با جديت تمام علاقمند هستند که اين خدمت را ارايه کنند. يعنى برعکس بيشتر بانك‌ها كه آمادگى پذيرش اين ريسك را ندارند. شرکت‌هايى هم داريم که ريسک كامل عمليات را مى‌پذيرند. هر چند كه فروشنده بابت فروش اينترنتى يک درصدى از پرداخت را هزينه مى‌کند،. فروشنده‌هاى بسيارى به اين قضيه علاقمند هستند و استقبال بيش از حد است. سيستم‌هاى بانکى دولتى به خاطر ماهيت دولتى بودن خود، عموما نگران مشکلات عمليات باشند، تا اينکه به صورت كلى بحث درآمد و خدمات را ببينند. به اين دليل که هنوز در سيستم‌هاى دولتى ما مديريت ريسك (Risk Management) و كارايى جايگاهى ندارد. نمى‌توانيم بگوييم که اين مدير بايد در مقابل کارى که انجام داده، اين قدر ريسک پذيرى داشته‌باشد. به خاطر چند هزار تومان يك مدير دولتى كه چندين ميليون تومان ردش مالى (Turn Over) داشته بازخواست مى‌شود و اين يكى از بزرگ‌ترين معضل‌ها در سيستم‌هاى دولتى ايران است. اگر ما بتوانيم بحث مديريت ريسک را جا بياندازيم و از آن طرف بيمه‌ها هم برخورد فعال‌ترى داشته‌باشند، طبيعتا نه ضرر مالى متوجه بنگاه‌هاى مالى مى‌شود و نه مديرى متهم مى‌شود. استفاده کننده از خدمات و فروشنده، هر يک هزينه‌ى محدودى را مى‌پردازند و در مقابل از يک سرويس خيلى خوب و راحت بهره مى‌گيرند.

با توجه به اينکه سيستم خرده‌فروشى در ايران هنوز حالت سنتى دارد و فروشگاه‌هاى زنجيره‌اى بزرگ و گسترده به اندازه‌ى كافى موجود نيست، فكر مى‌كنيد فروشگاه‌هاى کوچک مى‌توانند سرويس اينترنتى مناسبى را ارايه بدهند؟
واقعيت اين است که اگر ما بخواهيم سراغ خيل خرده فروش خيابانى برويم، شايد مشكلاتى داشته‌باشد، ولى يک چيز خوبى که در اين چند مدت من خودم در تبليغات ديده‌ام، خيلى از مغازه‌هاى معمولى، كالاهاى خود را در راديو يا تلويزيون يا روزنامه آگهى مى‌کنند. اين نشان مى‌دهد که اين خرده فروش آنچنان که ما فکر مى‌کنيم در حد يک بقالى نيست.

وقتى مثلا يک مانتوفروشى در خيابان وليعصر تهران آگهى تلويزيونى پخش مى‌کند و چندين ميليون براى آگهى‌اش هزينه مى‌کند، اين نشان مى‌دهد که فرهنگ فروش، حتى در فروشگاه‌هاى كوچك نيز مطح شده‌است. فروش اينترنتى هم يکى از راه‌هاى خيلى خوب براى عرضه يا ارايه‌ى محصول است. يک بسترسازى که اتفاقا چند شرکت بزرگ و خصوصى دارند آن را انجام مى‌دهند، ايجاد فروشگاه‌هاى مجازى بزرگ و فروش و عرضه يا اجاره‌ى فضاى لازم است. در اين فروشگاه ديگر بحث زمين نيست که شما يک ملک را اجاره کنيد، مثلا يک يا چند کيلوبايت را رزرو مى‌کنيد و از اين راه محصولتان را عرضه مى‌کنيد.

يعنى من فکر مى‌کنم در مدت کوتاهى اين فرهنگ براى اغلب فروشگاه‌هاى معتبر جا مى‌افتد. جاهايى که محصولات خاصى را عرضه مى‌کنند، قطعا برايشان صرف مى‌کند كه ساليانه مبلغ صد هزار تومان هزينه کنند و ک اجناسشان را در اينترنت عرضه نمايند. ما در ايران بين 3 تا 4 ميليون کارت در دست مردم داريم. 500 هزارتا از اين 4-3 ميليون خيلى راحت مى‌توان گفت که به اينترنت دسترسى دارند.

شما مى دانيد که نزديک 50 درصد نقل و انتقال پول در شهرهاى بزرگ، به ويژه تهران انجام مى‌شود. ما حداقل اگر اين قسمت را پوشش بدهيم، به اندازه‌ى کافى تبادل پول را کم مى‌کنيم. يکى از بزرگترين مشکلات بانك مركزى بحث گردش پول و از رده خارج کردن پول‌هاى فرسوده است. خوشبختانه بانک مرکزى نزديک به 2 يا 3 ماه است که بعد از يک دوره رکود چند ساله، در اين قضيه خيلى خوب فعال شده. الان کميته‌هايى هم براى اين کار تشکيل ده‌اند. يکى از اين کميته‌ها، کميته‌ى پرداخت پول الکترونيکى يا پرداخت خرد است كه بعد از ابلاغيه‌اى که آقاى رييس جمهور مبنى بر تعيين 3 ماه براى برنامه‌ريزى‌ پول الكترونيك و تبادل الكترونيكى پول، اين كميته ظرف براى عملياتى‌سازى آن انجام وظيفه مى‌كند.

به ويژه در زمينه‌ى کارت‌هاى هوشمند نيز در ايران يک مقدار مشکل داريم. کارت‌هاى مغناطيسى از نظر بحث امنيت جواب‌گو نيستند. کارت‌هاى هوشمند هم به خاطر انحصارى فناورى‌شان در دست شرکت‌هايى که ما مشکل تحريم را با آنها داريم، امکان استفاده از امكانات موجود دنيا را در اين زمينه به ما نمى‌دهد. در مورد ويزا و مسترکارت، امکان صدور براى بانك‌هاى ايران وجود ندارد و متاسفانه ساير کارهايى که در بانک‌هاى ما تا به حال انجام شده، بيشتر کارهايى بوده که يک ديدگاه‌هاى سليقه‌اى و بومى شده در آن به كار گرفته شده‌‌است. الان مشکلى که داريم 3 يا 4 نوع کارت داريم و اين کارت‌ها هيچ کدام نمى‌توانند در بانک‌هاى ديگر پذيرفته شوند. مثل مشکلى که ما در زمينه‌ى چک‌ها داشتيم که با ابتکار ارايه‌ى ايران چک اين مساله حل شد. البته مركز شتاب در حال حاضر توسط بانك مركزى براى پرداخت كارتى بين بانكى راه‌اندازى شده، ولى فعلا فقط کارت‌هاى مغناطيسى را قبول مى‌کند.

بانک مرکزى براى تدوين استاندار صدور کارت هوشمند فعال شده‌است. اين وحدت رويه باعث مى‌شود که همه‌ى بانک‌ها در آينده از يک الگوى خاص استفاده کنند و بتوانند کارت‌هاى همديگر را پرداخت کنند و اميدواريم هم در قضيه‌ى پرداخت و هم در قضيه‌ى خدمات فروشگاهى (ATM و POS) و اين طور مسايل هم به اين وحدت رويه برسيم. مشکلى که الان در ايران داريم اين است که نمى‌توانيم بستر ويزا و مسترکارت را داشته‌باشيم. بانک مرکزى بايد وحدت رويه را براى همه‌ى سطوح ايجاد بکند.

بحث ديگر، توسعه‌ى بستر پذيرش کار در فروشگاه‌ها مى‌باشد. در حال حاضر حتى 10 هزار پايانه‌ى فروشگاهى هم نداريم. طبق برآوردى که انجام شده، در ايران حدود 300 هزار تا از اين پايانه‌ها لازم مى‌باشد. تا وقتى که به آن نقطه نرسيم، هميشه مجبوريم يک مقدار پول در جيبمان بگذاريم. بانک مرکزى بايد انگيزه و زمينه‌ى اين سرمايه‌گذارى را فراهم آورد. بانک‌هاى دولتى در حال حاضر توانايى و انگيزه‌ى کافى براى اين کار را ندارند و طبق دستور رياست جمهورى قرار است شرکت‌هاى خصوصى در اين قضيه فعال شوند كه حرکت بسيار بسيار زيبا و مثبتى است. چاره‌ى ديگرى هم نداريم. اگر بخواهيم منتظر باشيم که سيستم دولتى فعال شود يا بحث‌هاى تحريم حل بشود، زمان مى‌برد. بحث سوم هم بحث شبکه‌ها يا سوييچ‌هايى است که بايد براى مبادلات ايجاد شود. بانک مرکزى علا مركز شتاب را راه‌اندازى كرده و بايد با اصلاح و تکميل آن به بهترشدن خدمات کمک کند.

در مورد پرداخت‌هاى خرد فرموديد که اين مساله حل شده و ظرف چند ماه آتى به جاهاى خوبى مى‌رسيم. در مورد پرداخت‌هاى کلان چه برنامه‌هايى در دست اجرا است؟
در مورد پرداخت کلان، به صورت آزمايشى با چند شرکت اين کار اجرا شده‌است. مشکل‌ترين قسمت، نياز به گواهى‌نامه‌ى ديجيتالى است و اين كه وزارت بازرگانى براى صدور گواهى‌نامه‌هاى ديجيتالى براى افرادى که مى‌خواهند از اين پروتکل استفاده کنند آمادگى داشته‌باشد. تا وقتى که وزارت بازرگانى که از طرف دولت براى انجام اين کار مامور شده و قراردادى را که براى اين کار دارد، نتواند اجرا کند، هر کارى که انجام بشود، يک کار محدود است.

شايد يک بانک به تنهايى بخواهد گواهى‌نامه صادر کند، ولى جزو ضوابط گواهى‌نامه‌هاى ديجيتالى اين است که بايد اين گواهى‌نامه از يک مرکز معتبر بين‌المللى گرفته شده‌باشد و هيچ کدام از اين مراکز بين‌المللى به راحتى آن را به ما نمى‌دهند. من هفته‌ى پيش شنيدم كه يک گواهى نامه از کشور سوئد گرفته شد، اگر قضيه‌ى بستر گواهى‌نامه‌ى ديجيتالى حل بشود، فقط مشکل قوانين و مقررات قضايى را داريم که اميدوارم طبق لوايحى که مجلس براى تجارت الکترونيکى تصويب کرده و در رفت و برگشت با شوراى نگهبان است، آن مسايل هم حل بشود. بايد کار را شروع کنيم و برويم جلو و کم‌کم مشکلات را حل کنيم. اگر مشکلات زمان‌بر بين دولت و مجلس و شوراى نگهبان نباشد، قطعا دولت مى‌تواند در يک پروسه‌ى اصلاحى آزمايشى ظرف مدت 6 ماه با 5-4 لايحه‌ى مکمل به يک نقطه‌ى مناسبى برسد.

اگر اين دو نکته را ما حل کنيم، ديگر براى پرداخت کلان هيچ مشکلى نداريم. در پرداخت کلان مبالغ بالا است و بيمه به اين راحتى جلو نمى‌آيد. من فکر مى‌کنم از نظر فنى، آمادگى کامل وجود دارد. ما نمونه‌ى شرکت‌ها و بانک‌هايى را داريم که آمادگى کامل دارند. البته اين كار به صورت محدود همين الان هم راه افتده، اما با توافق طرفين. الان خود فروشنده امضا مى‌کند و وکالت مى‌دهد که من همه‌ى مشکلات احتمالى را قبول مى‌کنم. خوب در بحث تجارت عمومى نمى‌توان با همه قرارداد امضا کرد، بلكه بايد به يک نحوى دلايل محکمه پسند براى هر کارى وجود داشته باشد. اگر اين دو مشکل را از نظر فنى حل بکنيم، مى‌توانيم در مورد پرداخت کلان اينترنتى فراگير هم اميدوار باشيم.

در پرداخت‌هاى اينترنتى يکى از مشکلات، امضاى الکترونيکى است. يکى از مديران بانک‌ها در ميزگردى که داشتيم اذعان داشت كه هنوز امضاى الکترونيکى از نظر دايره‌ى حقوقى بانک‌ها قابل اعتماد نيست. اين مشکل به ويژه در مورد پرداخت‌هاى كلان چگونه حل شده‌است؟
در پروتکل پرداخت کلان نياز به اداره يا گواهى‌نامه‌هاى ديجيتالى است. امضاى ديجيتالى به کمک گواهى‌نامه‌ى ديجيتالى انجام مى‌شود. يعنى وقتى شخصى گواهى‌نامه را دريافت کرد، به کمک آن هر سند اينترنتى يا الکترونيکى را مى‌تواند امضاى ديجيتالى ‌کند. ولى بدون اين قضيه، ما تنها راهى که داريم، همان طور كه اشاره کردم، توافق در قرارداد است. نمونه‌اش هم همين كارت‌هاى خودپرداز است كه بانک از دارنده‌ى کارت، تعهد مى‌گيرد كه هر گونه عمليات که از طريق دستگاه خودپرداز با کارت وى انجام بشود، با مسووليت خود دارنده است. ما مجبور هستيم با قراداد و وکالت‌نامه کار کنيم و در واقع ادارات حقوقى بانک‌ها با اين فرم‌ها و تعهدهايى که از از افراد مى‌گيرند، مسووليت را از خود سلب مى‌كنند.

ادارات حقوقى بانک‌ها طبق قوانين قضايى تا زمانى که قانون پذيرش امضاى الکترونيکى در مجلس تصويب و به سيستم قضايى و ادارات حقوقى بانک‌ها و وکلا اعلام نشود، نمى‌توانند كار ديگرى بكنند.

مى‌دانيد که گواهى‌نامه‌ى ديجيتالى را قرار است دفاتر اسناد رسمى به مردم بدهند. همان‌طور که براى درخواست شناسنامه به اداره‌ى ثبت مراجعه مى‌کنيم براى گواهى‌نامه‌ى ديجيتالى هم مراجعه مى‌کنيم. يعنى يک پروسه‌اى است که در نهايت سيستم قضايى انجام مى‌دهد. در سيستم پرداخت کلان هم فروشنده و هم خريدار بايد گواهى‌نامه داشته‌باشد تا بتوانند با هم تبادل مالى انجام بدهند.

اين گواهى‌نامه‌ها با شماره‌ى ملى افراد ارتباط دارد؟
قطعا بايد به نحوى اطلاعات انحصارى هم جزو مشخصات گواهى‌نامه ثبت شود که از تکرارى بودن جلوگيرى شود. البته يکى از مهم‌ترين روال‌ها احراز هويت کامل براى جلوى از تکرار مى‌باشد. البته داشتن دو گواهى‌نامه مشكلى ايجاد نمى‌كند، اشکال عمده گرفتن گواهى‌نامه با عناوين جعلى مى‌باشد. همين دليل هم بدون احراز هويت اين است که كسى به اسم شخص ديگرى بتواند گواهى‌نامه بگيرد. به همين دليل احراز هويت يکى از بخش‌هاى ضرورى است و به همين دليل هم بدون احراز هويت حضورى به هيچ عنوان گواهى‌نامه به کسى داده نمى شود.

گواهى‌نامه‌ى اصلى يا مادر بايد در يکى از شرکت‌هاى بين المللى ثبت مى‌شود؟
در خصوص اين بحث فرض کنيد در ويندوز (Windows) بخواهيد يک امضاى ديجيتالى يا يک کار اينترنتى انجام شود، يک تعدادى گواهى‌نامه‌ى مادر در داخل خود نرم افزار وجود دارد. اگر گواهى‌نامه‌ى شما از طريق گواهى‌نامه‌هاى مادر قابل شناسايى باشد، به سادگى عمليات امضاى ديجيتالى انجام مى‌گيرد. در غير اين صورت بايد يک گواهى‌نامه‌ى جديد روى آنها درج (Insert) شود. از اين نظر يک الزام صددرصد نيست، ولى يک الزام عملياتى است که اگر نباشد، درد سر ساز است.

اين مساله مشکلات امنيتى ايجاد نمى‌کند؟ يعنى آن شرکت بين‌المللى به تمام مبادلات ما دسترسى پيدا نمى‌كند؟
ببينيد، اين ديگر برمى‌گردد به فناورى که وجود دارد. الان گواهى‌نامه‌ها را مثلا از نظر الگوريتم رمزنگارى از 1024RSA بيت استفاده مى‌کنند. تا الان در دنيا توانايى شكستن تا 512 بيت طول كليد، آن هم با حجم عمليات و هزينه‌ى سنگين فراهم شده‌است.

من از ديد شرکت صادرکننده‌ى گواهى‌نامه بحث مى‌کنم، نه يک هکر.
پروتکل طورى است که کليد اصلى امنيتى را خود شما داريد. در واقع در اين پروتکل، يک کليد مخفى دارد و يک کليد عمومى وجود دارد. کليد عمومى در اختيار همه، از جمله صادركننده‌ى گواهى‌نامه قرار مى‌گيرد، اما کليد مخفى در اختيار خود شخص است. بنابراين امنيت در دست خود شما است. نكته‌ى مهم پروتکل اين است كه فقط با كليد خصوصى رمز باز مى شود و هيچ کس ديگرى نمى‌تواند آن را باز كند. بحث امنيتش اينجاست که به چه احتمالى مى‌توان از کليد عمومى به کليد خصوصى رسيد. دقيقا اين نکته امنيتى اينجاست. اين احتمال براى بيت‌هاى پايين الان کم‌کم دارد راحت مى‌شود. اما براى بيت‌هاى 1024 هنوز امكان پذير نمى‌باشد. البته بايد در طول زمان با پيشرفت فناورى از طل كليد طولانى‌تر نيز استفاده گردد.

سناريوى خريد را اگر ممکن است براى ما تشريح کنيد که به چه ترتيب شروع مى‌شود و ادامه پيدا مى‌کند؟ اين مساله در پروتکل پرداخت خرد و کلان چه تفاوتى دارد؟
در پرداخت خرد خريدار پس از اينکه با فروشنده بر سر خريد توافق کرد، به بانک اعلام مى‌کند که مى‌خواهم اين مبلغ را در وجه آن فروشنده پرداخت کنم. ما در اين پروتکل رابطه‌ى بين فروشنده و خريدار را براى دستور خريد حذف کرده‌ايم. رابطه بين خريدار و بانک وجود دارد. يعنى خريدار به بانک مى گويد که اين مبلغ در وجه فروشنده پرداخت بشود. با اين دستور آن مبلغ در وجه فروشنده پرداخت مىشود و يک رسيد دريافت مى‌کند. خريدار رسيد را به فروشنده تحويل مى‌دهد. فروشنده رسيد را با بانک چک مى‌کند. اگر بانک تاييد کرد که اين مبلغ به حساب وى واريز شده، جنس را تحويل خريدار مى‌دهد يا خدمات را ارايه مى‌كند. مثلا رمز و مشخصات يک کارت تلفن را به خريدار مى‌دهد يا مثلا بليط برايش صادر مى‌شود. شما چک را در ذهنتان بياوريد. خريدار چکى را به فروشنده مى دهد (خريدار به بانک دستور مى‌دهد که اين مبلغ را به حساب فروشنده واريز کن). بانک هم پول را واريز مى‌کند و رسيد به او مى‌دهد. خريدار خودش رسيد را تحويل فروشنده مى‌دهد. فروشنده رسيد را با بانک چک مى‌کند.

کل عمليات به صورت الکترونيکى انجام مى‌شود. در قضيه‌ى پرداخت کلان، يک مقدار قضيه سناريو سخت‌تر است، چرا كه امنيت بايد بيشتر باشد. در پرداخت خرد سناريو با 3 مرحله‌ى ساده، تكميل مى‌شود، اما در پرداخت کلان، شايد 9 مورد رفت و آمد وجود دارد. خريدار در واقع از فروشنده تقاضاى خريد مى‌کند. فروشنده به خريدار فاکتور امضا شده مى‌دهد. به عبارت بهتر يک فاکتور امضا مى‌کند. خريدار هم فاکتور را امضا مى‌کند و به فروشنده برمى‌گرداند. اصل عدم انکار در اين پروتکل مهم است. بايد مراحل دقيق و كامل باشد که هيچ کس نتواند رد کند. بعد فروشنده فاکتور را براى بانک مى‌فرستد. بانك مبلغ را پرداخت و تاييد آن را به فروشنده ارسال و در نهايت فروشنده تاييديه‌ى دريافت پول را به خريدار اعلام مى‌كند.

اگر بعد از طى اين مراحل، در نهايت کالا به دست خريدار نرسيد، چه مى‌تواند بکند؟
در اينجا به بحث تقدم و تاخر زمانى اشاره نگرديد. براى بعضى از کالاها، بانک به فروشنده مى‌گويد تا فاکتور امضاشده‌ى کاغذى يا مثلا تا رسيد امضا شده‌ى مشترى تحويل بانك نشود، پول پرداخت نمى‌گردد. يعنى بايد شرکت رسيد کالا را تحويل دهد. اگر نياز به ارسال کالا باشد، عموما پرداخت در وجه فروشگاه پس از تاييد دريافت كالا توسط خريدار صورت مى‌گيرد. بيمه هم اينجا دخالت مى‌کند. شرکتى که حمل و نقل کالا را بر عهده دارد، بايد تضمين كافى يا بيمه‌نامه‌ى لازم را داشته‌باشد.بنابراين فرض بر اين است که جنس حتما مى رسد و اگر نرسد، بيمه خسارت خريدار را جبران مى‌كند.

خريدار با فروشنده ارتباط برقرار مى‌کند و زير رسيد فروشنده را امضا مى‌کند. قاعدتا فروشنده با اين اسم رمز يا امضا آشنا مى‌شود. چه تضمينى هست كه خود فروشنده از اين امضا سو استفاده نكند؟

به نکته‌ى خوبى را اشاره کرديد. امضا يک عدد يا رمز نيست. عدد امضا يک تابع رياضى است که براساس مبلغ فاکتور، شماره‌ى فاکتور و اطلاعات فروشنده و خريدار متغير است. يعنى يک مجموعه‌ى اطلاعات با هم ترکيب و امضاى الکرونيکى گرفته مى‌شود. اين اطلاعات ثابتى نيست که با يک بار، استفاده افشا گردد، درضمن فقط رايانه مى‌تواند تاييد کند.

اشاره