Andrej Komelj, rukovodilac produktnog menadžmenta u "Halcomu" - Sistem plaćanja putem mobilnog telefona u Srbiji među najbezbednijim u svetu

(Andrej Komelj)

Građani Srbije odnedavno su dobili priliku da veliki broj svojih računa plaćaju mobilnim telefonom. Takvu uslugu omogućio im je domaći operator "Telenor" u saradnji sa četiri banke: Komercijalnom, Raiffeisen, Erste i Credit Agricole bankom, na platformi koju je razvio slovenački "Halcom".

"PlatiMo" sistem je zamišljen tako da je ceo proces moguće uraditi u nekoliko koraka. Trgovac korisniku na mobilni telefon šalje račun za plaćanje, korisnik potvrđuje zahtev koji se dalje prosleđuje banci, banka na zahtev korisnika skida novac sa računa i prosleđuje trgovcu, a korisnik dobija obaveštenje o uspešnosti transakcije. Sistem je krajnje pojednostavljen za korisnika koji ne mora da unosi bilo kakav iznos, broj računa, svrhu ili slično, već da samo transakciju potvrdi unosom svog jedinstvenog pin koda.

Aduti novog sistema plaćanja odmah su zapali za oko javnosti, pa se broj korisnika usluge svakodnevno povećava. Najčešće nedoumice postoje po pitanju bezbednosti sistema, iako se ona navodi kao jedna od ključnih prednosti. Koliko je sistem bezbedan, na koji način se garantuje bezbednost i kako je sistem testiran u razgovoru za "eKapiju" otkriva Andrej Komelj, rukovodilac produktnog menadžmenta u "Halcomu".

eKapija: Kao glavne prednosti "PlatiMo" usluge ističu se jednostavnost, povoljnost i bezbednost. Na čemu se zasniva bezbednost sistema?

- Bezbednost se zasniva na tehnologiji PKI (Public Key Infrastructure – infrastruktura javnih ključeva) koja je već dugo poznata u elektronskom bankarstvu i u okviru koje se koriste tzv. PKI ili smart kartice. Karticama se ostvaruje elektronski potpis koji je, ako je urađen prema standardima (a u Srbiji ga propisuje Zakon o elektronskom potpisu) jednako važeći kao i svojeručni. PKI tehnologija radi tako da svaki korisnik ima svoju pametnu karticu što je u slučaju "PlatiMo" servisa sim kartica. Korisnik "PlatiMo" usluge se postaje dobijanjem nove sim kartice sa digitalnim sertifikatom koji izdaje "Telenor", pa svaki korisnik dobija i samo njemu poznat pin kod. Bezbednosni element je matematički koprocesor koji čuva potpisne ključeve. Kada ja, kao korisnik, želim da platim mobilnim telefonom, nalog za plaćanje potvrđujem potpisnim ključem koji je samo meni poznat, jer je tajni i niko ga ne zna, a da bi ga upotrebio moram da ukucam svoj pin kod sa kojim potpisujem elektronski platni nalog i on odlazi do banke.

eKapija: Kakva je uloga banke u proveri?

- PKI tehnologija omogućava banci da drži drugu polovinu mog ključa koji se zove javni ključ. Banka sa javnim ključem proverava da li sam ja elektronski potpisao platni nalog, i utvrđuje da u procesu transakcije nije došlo ni do kakve promene. Matematika koja stoji iza toga su velike brojke, koristi se algoritam RSA. Ako se podaci u toku transakcije izmene, kod provere sa javnim ključem se odmah registruje promena. Tako banka nakon provere biva sigurna u 2 stvari: da sam nalog sigurno popunio ja, jer sam ukucao svoj pin kod koji niko sem mene ne poznaje i da u procesu transakcije nije došlo do bilo kakve promene.

eKapija: Kako je testirana bezbednost sistema?

- Kad smo implementirali uslugu kod "Telenora", kao i na početku svakog našeg projekta, urađena je serija bezbednosnih provera. Testirali smo šta bi se dogodilo kada bi neko ulovio podatke sa "Telenorovog" servera i promenio ih. Rezultati testa su potvrdili da softver automatski prepoznaje da je neko izmenio podatke i odbacuje plaćanje već pre samog slanja do banke.

Elektronski potpis radi prema zakonu, a to znači da je, pre nego smo ovaj sistem pustili u produkciju, nadležno srpsko ministarstvo slalo svoje ljude da pogledaju gde se i kako čuva oprema za izdavanje digitalnih sertifikata, prošli su kroz sve procese kako se to koristi. Na kraju smo dobili i njihovu potvrdu da sistem radi ispravno. Dakle, "Telenor", banke, "Halcom" i Ministarstvo su četiri strane koje kažu da je sistem bezbedan. Mi jako verujemo u PKI tehnologiju i sva naša rešenja su zasnovana na njoj. "PlatiMo" je jedan od retkih primera u svetu gde se koristi toliko visok sistem bezbednosti. Po tom pitanju Srbija je jedna od najnaprednijih država.

eKapija: Da li u "Halcomu" postoji tim koji se bavi hakerskim upadima u sisteme?

- "Halcom" ima bezbednosni sertifikat ISO 27001 koji propisuje koliko ljudi u nekom odeljenju mora da se brine o bezbednosti sistema i kako se to radi. Stalno šaljemo ljude na usavršavanja. Jedan od zahteva srpskog ministartva, da bi uopšte u Srbiji mogli da radimo prema Zakonu o elektronskom potpisu, bio je da imamo dva čoveka koja bi prošla obuku za bezbednosni inženjering. Interno, naši ljudi prate svakodnevne procedure, starajući se da ne dođe do neke promene koja bi ugrozila sistem. Eksterno, svi naši partneri simuliraju hakerske upade na naše sajtove o kojima dobijamo izveštaje, a svi pokazuju da do sada nije bilo nijedne zloupotrebe ni u elektronskom bankarstvu ni u sistemu "PlatiMo".

ekapija: Kako ceo bezbednosni sistem izgleda u praksi dok se odvija transakcija?

- Osnovni princip je da trgovac šalje fakturu u sistem. Ta faktura sadrži sve podatke koji su potrebni za plaćanje, iznos, poziv na broj, svrha plaćanja, identifikacija izdavaoca računa u sistemu. Mi radimo sve provere da znamo da je to registrovan trgovac, da je račun na koji želi da primi uplatu njegov kako bi se sprečila zloupotreba a nakon svih sigurnosnih provera šaljemo račun na telefon. Kada korisnik dobije zahtev, potvrđuje nalog za plaćanje unosom svog pin koda i potvrda plaćanja se ponovo vraća u naš sistem, a mi prosleđujemo račun odgovarajućoj banci. Banka radi proveru digitalnog potpisa, licenci, autorizacije korisnikovog računa i nakon uspešnih provera skida novac sa računa i prebacuje ga. Banka nam zatim vraća informaciju o uspešnoj transakciji a mi je dalje prosleđujemo trgovcu i korisniku.

eKapija: Za vreme transakcije, dakle, Vaš i bankarski sistem vrše bezbednosne provere. Da li to usporava brzinu same transakcije?

- Bezbednosni sistem zasnovan na PKI tehnologiji sve procedure proverava jako brzo. Samo vreme transakcije najviše zavisi od brzine mreže. Podatke šaljemo i dobijamo preko mobilnog telefona, pa ako imate dobar prijem od momenta kada je trgovac poslao račun do vremena kad račun stigne na mobilni telefon korisnika, može proći svega sekunda ili dve. Procesiranje unutar "Halcomovog" sistema i unutar banke zasnovano je na način da traje manje od jedne sekunde, tako da u najboljem slučaju transakcija može da se obavi za manje od 10 sekundi.

eKapija: Koliko usluga košta krajnjeg korisnika?

- Provizije koje banke uzimaju su stvar dogovora trgovaca sa bankom, ali su u svakom slučaju manje od plaćanja platnom karticom. Za korisnika je usluga od banke besplatna a "Telenor" sms poruku za svako uspešno plaćanje naplaćuje 5,9 dinara .

eKapija: Da li na "PlatiMo" treba gledati kao na jednu vrstu elektronskog bankarstva, njegovu dopunu ili potpuno novi vid plaćanja?

- To definitivno jeste novi vid plaćanja. Elektronsko bankarstvo retko koristite za plaćanje u kafani, saobraćaju, a sa "PlatiMo" sistemom možete najrazličitije stvari da uradite. Zato je on novi sistem koji omogućava da sa mobilnim telefonom platite bilo gde, bilo šta i bilo kada.

eKapija: Zašto je u "PlatiMo" servisu budućnost finansijskih transakcija?

- "PlatiMo", kao alternativa modernom papirnom novcu, korisnicima omogućava plaćanje robe i usluga, mesečnih računa, komunalija, kupovinu na Internetu, dopunu bilo kog pripejd broja u "Telenor" mreži, prebacivanje novca drugim "PlatiMo" korisnicima, naručivanje servisa e-uprave.

Sve više stvari se svodi na mobilni telefon i na kraju će sve biti na njemu. Jako je jednostavno kada korisnik sa sobom nosi samo mobilni telefon i ne mora da ima novčanik sa gomilom kartica. Sve se, dakle, seli na mobilni telefon. Uostalom, istarživanja su pokazala da čovek brže primeti da kod sebe nema mobilni telefon nego novčanik.

I.B.