سامانه احراز هویت امتا
سامانه احراز هویت امتا (احراز مشتریان تجارت الکترونیکی) از اولین سامانههای سراسری در حوزه ارائه خدمات هویتی به سازمانها و کسبوکارها است. بهرهگیری از سامانههایی مانند امتا که در سطح ملی فعالیت میکنند میتواند در بلند مدت مزایای قابل توجهی برای کسبوکارها و مردم داشته باشد.
در راستای معرفی قابلیتها و افق پیش روی این سامانه مصاحبهای با آقای دکتر صدرالدین نورالدینی، مدیر سامانه امتا انجام شده است که مشروح آن در ادامه ارائه میشود.
بیشتر بخوانید: هویت دیجیتال چیست؟
لطفاً سامانه احراز هویت امتا را به صورت مختصر معرفی نمایید؟
مرکز توسعه تجارت الکترونیکی به دلیل نیاز کسبوکارها در حوزه احراز هویت وارد شده است. طراحی اولیه سامانه امتا (احراز مشتریان تجارت الکترونیکی) با هدف کلان احراز مشتریان تجارت الکترونیکی و با فرض وجود زیرساختهای لازم در زمینه احراز هویت انجام شده بود. با این پیشفرض، امتا با دریافت اجازه از خود کاربر به دنبال تأمین اطلاعات مورد نیاز کسبوکارها بوده است.
پس از پایان معماری اولیه سامانه امتا در اردیبهشت سال 98 نیاز به احراز هویت مشتریان کسبوکارها به عنوان یک نیاز حاکمیتی مطرح شد و موضوع احراز هویت مشتریان در دستور کار مرکز توسعه تجارت الکترونیکی قرار گرفت. در ادامه با توجه به نیازهای ایجاد شده تغییراتی در طراحی سامانه امتا ایجاد شد تا این سامانه پاسخگوی نیازهای فضای مجازی باشد.
تغییرات گسترده قیمتها در بستر آگهیهای آنلاین باعث شد تا دستگاههای حاکمیتی برای کنترل قیمتها به سمت سامانههای احراز هویت حرکت کنند. احراز هویت نادرست کاربران و عدم اصالتسنجی کالا در این بسترها زمینه را برای سوء استفاده سودجویان فراهم کرده بود.
الزامات ایجاد شده موجب تغییر کلی رویکرد سامانه امتا شد و سامانه برای پاسخگویی به نیازهای کاربران و حل یکی از مشکلات ایجاد شده در فضای مجازی بازطراحی شد. از طرفی با تصویب و ابلاغ سند نظام هویت معتبر در فضای مجازی در شهریور ماه سال 98 زمینه برای توسعه هر چه بیشتر این سرویس ملی فراهم شد. این سامانه با رویکرد مثبت به دنبال حل چالشهای موجود در حوزه احراز هویت است.
با توجه به ضرورت شکلگیری دیدگاه زیستبوم-محور در حوزه هویت دیجیتال، نقش و جایگاه امتا را چگونه میبینید؟
بازیگران و ذینفعان متعددی در زیستبوم هویت دیجیتال حضور دارند و تبادل الکترونیکی بسیار گستردهای در بین آنها وجود دارد. حوزههای بانکداری، بیمه، بورس، کسبوکارها و بخشی از فعالیتهای رسانهای و نظایر آنها در این زیستبوم فعال هستند و باید بخشبندی کلانی در این زیستبوم انجام شود. در همین راستا، خوشهبندی بخشی انجام شده است و خوشههای متفاوتی مانند خوشه تجارت و خوشه سلامت طراحی شده است.
مرکز توسعه تجارت الکترونیکی نیز رویکرد مشابهی را دنبال کرده است. این مرکز به دنبال خوشهبندی فعالیتها در فضای سایبری و تخصیص مسئولیت هر خوشه به سازمان مربوط میباشد. این سازمانها با توجه به شناختی که از خوشه خود دارند میتوانند سرویس احراز هویت با کیفیتی را به بخش خود ارائه دهند. مرکز توسعه تجارت الکترونیک با توجه به تجربه چندین ساله خود در بخش کسبوکارهای الکترونیکی، ارائه نماد اعتماد و تعامل مستقیم با کسبوکارها و شناخت نیاز آنها در حوزههای مختلف به دنبال ارائه خدمات احراز هویت به کسبوکارها است.
از طرفی این سازمان با توجه به سند نظام هویتی معتبر در فضای مجازی باید خدمات هویتی مربوط به موجودیتهای تعریف شده را تجمیع نموده و در اختیار متقاضیان بخش خود قرار دهد.
چه اسناد بالادستی و آییننامههایی برای ایفای نقش امتا وجود دارد؟
قانون تجارت الکترونیک مهمترین سند در این حوزه میباشد. در این سند به صراحت اعلام شده است که هر گونه تبلیغات و بازاریابی در فضای مجازی نیازمند احراز هویت است. امضای الکترونیکی که از الزامات انکارناپذیری در فضای مجازی است از دیگر ابزارهای سازمان توسعه تجارت در این فضا میباشد. از طرفی در ضوابط فنی و اجرایی دولت الکترونیک (مصوب شورای عالی فناوری اطلاعات در سال 1393) چندین پروژه اولویتدار دولت الکترونیک تعریف شده است که یکی از آنها ارائه خدمات احراز هویت و امضای الکترونیکی با مسئولیت دبیرخانه شورای عالی سیاستگذاری گواهی الکترونیکی کشور است که در مرکز توسعه تجارت الکترونیکی مستقر میباشد.
مرکز توسعه تجارت الکترونیکی باید این پروژه را با همکاری بانک مرکزی و ثبت احوال به انجام برساند. سامانه امتا با پشتوانه موارد ذکر شده راهاندازی شده است. سند نظام هویتی معتبر نیز سازمانهایی را مسئول تأمین شناسههای موجودیتها معرفی کرده است مثلاً سازمان ثبت احوال مسئول تأمین شناسه افراد حقیقی ایرانی است. در این سند دو لایه ارتباطی و کاربرد تعریف شده و احراز این شناسهها در برخی از موارد به سازمان متولی واگذار شده است.
سازمان توسعه تجارت در لایه کاربرد میتواند مسئولیت احراز هویت را برای کسبوکارها انجام دهد. مرکز ملی فضای مجازی با توجه به این موارد در لایه کسبوکارهای اینترنتی، مجوز احراز هویت را به سامانه امتا وزارت صمت اعطا کرده است.
چشمانداز امتا را چگونه ارزیابی میکنید؟
در این حوزه دو مبحث فنی و کاربردی وجود دارد. در حوزه فنی، معماری سامانه به نحوی طراحی شده است که پاسخگوی نیاز کسبوکارهای اینترنتی باشد. با این وجود، باید زیرساخت مناسبی برای ارتباط و تعامل با تأمینکنندگان شناسه در قالب پنجره واحد پیشبینی شده در سند نظام هویت معتبر فراهم شود. در بحث کاربردی نیز مطالعات منسجم و عمیقی در مورد کسبوکارهای اینترنتی انجام شده است.
سرویسهای مورد نیاز کسبوکارها با توجه به نیازهای شناسایی شده به شکل اولویتبندی شده و سطحبندی شده تعریف شدهاند و برنامهریزی لازم برای ارائه این خدمات به صورت زمانبندی شده به کسبوکارها انجام شده است.
جهت بهرهمندی از قابلیتهای بخش خصوصی در امتا برنامهریزی شده است؟
با توجه به پتانسیلهای بخش خصوصی در همراستایی با فناوری، پیشبینی لازم برای بهرهمندی از ظرفیتها در امتا انجام شده است؛ با این وجود، حضور و فعالیت بخش خصوصی در این حوزه نیازمند تصمیمگیری نهادهای بالادستی است.
رویکرد سامانه امتا در حوزه تأمین مالی و پایداری اقتصادی به چه صورت است؟
سامانه امتا تا به امروز خدمات خود را به صورت رایگان در اختیار کسبوکارها قرار داده است. با این حال، این موضوع نیازمند تصمیمگیری در سطوح مدیریتی کلان است. اگر سامانه در دسته سرویسهای دولتی قرار گیرد ردیف بودجه مشخصی برای آن تخصیص داده خواهد شد در غیر این صورت باید تعرفه مشخصی برای آن در نظر گرفته شود. مرکز توسعه تجارت تا زمانی که سرویسهای پایه هویتی را به صورت رایگان دریافت نماید، به صورت رایگان نیز خدمات خود را به کسبوکارها ارائه خواهد داد.
در صورت نیاز به تعیین تعرفه نیز باید تعرفه قانونی حداقلی برای کسبوکارها در نظر گرفته شود. در صورتی که بخش خصوصی به این حوزه وارد شود باید زیرساخت لازم برای ایجاد مکانیزمهای عرضه و تقاضا در این بخش فراهم شود تا سرویسی با کیفیت مطلوب در اختیار مردم و کسبوکارها قرار گیرد. از طرفی در شرایط فعلی هم، کسبوکارها برای انجام احراز هویت مشتریان و کارمندان خود هزینههایی را متحمل میشوند.
همچنین برخی کسبوکارها ارائه برخی از خدمات را به احراز هویت کاربر منوط کردهاند که موجب تحمیل هزینههایی به مردم شده است. سامانه امتا میتواند با دریافت هزینه حداقلی این خدمات را در اختیار مردم و کسبوکارها قرار دهد و از این طریق هزینههای خود را تأمین نماید.
آیا موضوع چارچوب اعتماد برای ارتباط امتا با سامانههای مرجع یا دیگر ذینفعان در نظر گرفته شده است؟
چارچوب اعتماد از مؤلفههای اصلی یک نظام هویتی معتبر است. باید نظام اعتماد در ارتباط تأمینکنندگان هویت و شناسه ایجاد شود و زیرساخت موجود، آمادگی لازم برای پیادهسازی هرگونه استاندارد مصوب در این بخش را دارد. با این حال، ورود امتا به این مبحث نیازمند سیاستگذاری در سطح کلان است.
مدت زمان اعتبار استعلامات انجام شده از سامانه امتا چقدر است؟
طراحی سامانه امتا با توجه به سطح ریسک در سه حوزه ثبتنام (Enrolment)، احراز هویت (Authentication) و همپیمانی (Federation) انجام شده است. در سامانه امتا سطوح متفاوتی برای ثبتنام و احراز هویت پیشبینی شده است. به عنوان نمونه، سامانه امتا در دوره اولیه راهاندازی خود برای تضمین هویت حداکثری در کنار استعلام ثبت احوال و سامانه شاهکار دارای یک تراکنش بانکی بود که در حال حاضر با توجه به راحتی کاربر و درخواست کسبوکارها غیرفعال شده است.
با این حال باید چارچوبهای کلانی مصوب شود که سطوح متفاوت را به شکل کامل تعریف نمایند. این چارچوبها باید دستورالعملهای مورد نیاز را در اختیار نهادهای اجرایی قرار دهد. برای مدت زمان اعتبار نیز در چارچوب تعاملپذیری موجود پیشبینی شده است که تأمینکنندگان شناسه و هویت باید هر گونه تغییر را به تجمیعکنندگانی مانند امتا اطلاع دهند. با این حال، این سرویس در حال حاضر در دسترس نیست و سامانه امتا به صورت دورهای از تأمینکنندگان شناسه و هویت استعلام میکند.
به کسبوکارها نیز اعلام شده است در صورت نیاز به احراز هویت مجدد حتما کاربر را به سمت سامانه امتا هدایت کنند. در بحث الزامی که از طرف دادستانی برای استفاده کسبوکارها از سامانه امتا تعیین شده است قرار است یک سند پشتیبان منتشر شود که مدت زمان اعتبار استعلامهای انجام شده را به طور دقیق مشخص مینماید.
امتا در حوزه فراگیری و پوشش افراد کمتوان چه اقداماتی انجام داده است؟
در سامانه امتا به عنوان یک سامانه در سطح ملی، پیشبینیهای لازم در این حوزه انجام شده است ولی با توجه به نیازها و الزامات موجود جامعه و فضای مجازی در زمینه احراز هویت در اولویتهای بعدی توسعه سامانه قرار دارند. این موارد در گذر زمان در راستای بلوغ هر چه بیشتر امتا به این سامانه افزوده خواهند شد.
سامانه امتا در مورد جبران خسارت، اطلاعرسانی در مورد نشت داده و پشتیبانی از حریم خصوصی چه مواردی را مد نظر قرار داده است؟
مرکز توسعه تجارت الکترونیک به واسطه تعاملات خود با کسبوکارها دارای تجربه و دانش مناسبی در این حوزه است. اقدامات مناسبی در حوزه جبران خسارت کسبوکارها و کاربران نهایی انجام شده است.
به عنوان نمونه، با اعلام دادستانی در صورتی که کسبوکارها از سامانه احراز هویت استفاده کنند موضوع مشارکت آنها در جرم در نظر گرفته نخواهد شد. با این حال باید محدوده کارکردی هر یک از کسبوکارها و کاربران تعریف شود. برداشتن مسئولیت از دوش کسبوکارها میتواند نمودی از جبران خسارت یا پیشگیری از خسارت برای آنها باشد.
در مورد نشت داده نیز سامانه امتا کاربر محور بوده و از استانداردهای امنیتی مناسبی برخوردار است. ارائه اطلاعات به کسبوکارها با جلب رضایت کاربر انجام میشود. در طراحی این سامانه به استانداردهای جهانی در این حوزه مانند مقررات عمومی محافظت از داده (GDPR) نیز توجه شده است.
حتی در سامانه امتا کاربر میتواند مدت زمان نگهداری دادههای خود توسط کسبوکار را تعیین نماید. همچنین تأییدیههای امنیتی مورد نیاز برای سامانه امتا از نهادهای مسئول دریافت شده است.
سامانه امتا برنامهای برای ارائه خدمات در حوزه سرویسهای عمومی (دولتی) دارد؟
سامانه امتا از نظر زیرساختی آمادگی لازم را دارد تا سرویسهای هویتی را تا زمان آماده شده زیرساختهای دولتی مورد نیاز در اختیار کسبوکارها قرار دهد. با این وجود، هر کدام از نهادهای دولتی با توجه به الزامات دولت الکترونیکی میتوانند این سرویسها را به صورت جداگانه دریافت کنند.
با این حال، هزینههای مربوط به تجمیع سرویسهای هویتی در امتا انجام شده است و علیرغم طراحی و توسعه اختصاصی این سامانه برای کسبوکارهای اینترنتی، امکان ارائه آن به دیگر نهادها نیز وجود دارد.
بهعنوان مدیر سامانه امتا و یکی از فعالین حوزه هویت دیجیتال، آینده زیستبوم هویت دیجیتال را چگونه ارزیابی میکنید؟
چشمانداز مثبت و روشنی در این حوزه وجود دارد. تغییر رویههای ناشی از شیوع ویروس کرونا نیز مزید بر علت شد تا این حوزه رشد دوچندانی داشته باشد. فعالیتهای متعدد و تسهیلگری خوبی در راستای توسعه سیستمهای ملی هویت دیجیتال انجام شده است. در زمان راهاندازی اولیه سامانه مشکلات متعددی در پیش روی مرکز توسعه تجارت وجود داشت و همکاری خوبی در این حوزه شکل نگرفته بود، اما با این حال، امروز وجود چنین سیستمهایی به یک مطالبه در سطح نهادهای حاکمیتی، کسبوکارها و مردم تبدیل شده است.
در حال حاضر، عناصر و بازیگران اصلی زیستبوم بحث احراز هویت و سرویسهای با کیفیت بالا و تعامل با یکدیگر را به عنوان یک نیاز دنبال میکنند. از طرفی شرکتهای دانشبنیان و خصوصی مانند شرکت برهان نیز به این حوزه ورود پیدا کردهاند و اقدامات شایان توجهی برای توسعه زیستبوم انجام دادهاند.
این حوزه با شتاب بیشتری به رشد خود ادامه خواهد داد و در یکی دو سال آینده شاهد اتفاقات خوب و بلوغ بیشتری در زیستبوم هویت دیجیتال خواهیم بود. حضور سامانههای ملی مانند سامانه امتا سازمان توسعه تجارت، سماوا سازمان فناوری و هدی سازمان ثبت احوال میتواند به رفع نیازهای این بخش کمک کند.
در پایان ضمن تشکر از جناب آقای دکتر نورالدینی که وقت گرانبهای خود را در اختیار ما قرار دادند از فعالین حوزه هویت دیجیتال دعوت میشود برای معرفی محصولات و راهکارها خود در فصلنامه هویت دیجیتال و وبسایت برهان ما از طریق بخش ارتباط با ما در وبسایت در ارتباط باشند.
مصاحبه: تورج اکبری