سامانه احراز هویت

سامانه احراز هویت امتا

سامانه احراز هویت امتا (احراز مشتریان تجارت الکترونیکی) از اولین سامانه‌های سراسری در حوزه ارائه خدمات هویتی به سازمان‌ها و کسب‌وکارها است. بهره‌گیری از سامانه‌هایی مانند امتا که در سطح ملی فعالیت می‌کنند می‌تواند در بلند مدت مزایای قابل توجهی برای کسب‌وکارها و مردم داشته باشد.

در راستای معرفی قابلیت‌ها و افق پیش روی این سامانه مصاحبه‌ای با آقای دکتر صدرالدین نورالدینی، مدیر سامانه امتا انجام شده است که مشروح آن در ادامه ارائه می‌شود.

بیشتر بخوانید: هویت دیجیتال چیست؟

سامانه احراز هویت امتا

لطفاً سامانه احراز هویت امتا را به صورت مختصر معرفی نمایید؟

مرکز توسعه تجارت الکترونیکی به دلیل نیاز کسب‌وکارها در حوزه احراز هویت وارد شده است. طراحی اولیه سامانه امتا (احراز مشتریان تجارت الکترونیکی) با هدف کلان احراز مشتریان تجارت الکترونیکی و با فرض وجود زیرساخت‌های لازم در زمینه احراز هویت انجام شده بود. با این پیش‌فرض، امتا با دریافت اجازه از خود کاربر به دنبال تأمین اطلاعات مورد نیاز کسب‌وکارها بوده است.

پس از پایان معماری اولیه سامانه امتا در اردیبهشت سال 98 نیاز به احراز هویت مشتریان کسب‌وکارها به عنوان یک نیاز حاکمیتی مطرح ‌شد و موضوع احراز هویت مشتریان در دستور کار مرکز توسعه تجارت الکترونیکی قرار گرفت. در ادامه با توجه به نیازهای ایجاد شده تغییراتی در طراحی سامانه امتا ایجاد شد تا این سامانه پاسخگوی نیازهای فضای مجازی باشد.

تغییرات گسترده قیمت‌ها در بستر آگهی‌های آنلاین باعث شد تا دستگاه‌های حاکمیتی برای کنترل قیمت‌ها به سمت سامانه‌های احراز هویت حرکت کنند. احراز هویت نادرست کاربران و عدم اصالت‌سنجی کالا در این بسترها زمینه را برای سوء استفاده سودجویان فراهم کرده بود.

الزامات ایجاد شده موجب تغییر کلی رویکرد سامانه امتا شد و سامانه برای پاسخگویی به نیازهای کاربران و حل یکی از مشکلات ایجاد شده در فضای مجازی بازطراحی شد. از طرفی با تصویب و ابلاغ سند نظام هویت معتبر در فضای مجازی در شهریور ماه سال 98 زمینه برای توسعه هر چه بیشتر این سرویس ملی فراهم شد. این سامانه با رویکرد مثبت به دنبال حل چالش‌های موجود در حوزه احراز هویت است.

با توجه به ضرورت شکل‌گیری دیدگاه زیست‌بوم-‌محور در حوزه هویت دیجیتال، نقش و جایگاه امتا را چگونه می‌بینید؟

بازیگران و ذی‌نفعان متعددی در زیست‌بوم هویت دیجیتال حضور دارند و تبادل الکترونیکی بسیار گسترده‌ای در بین آن‌ها وجود دارد. حوزه‌های بانکداری، بیمه، بورس، کسب‌وکارها و بخشی از فعالیت‌های رسانه‌ای و نظایر آن‌ها در این زیست‌بوم فعال هستند و باید بخش‌بندی کلانی در این زیست‌بوم انجام شود. در همین راستا، خوشه‌بندی بخشی انجام شده است و خوشه‌های متفاوتی مانند خوشه تجارت و خوشه سلامت طراحی شده است.

مرکز توسعه تجارت الکترونیکی نیز رویکرد مشابهی را دنبال کرده است. این مرکز به دنبال خوشه‌بندی فعالیت‌ها در فضای سایبری و تخصیص مسئولیت هر خوشه به سازمان مربوط می‌باشد. این سازمان‌ها با توجه به شناختی که از خوشه خود دارند می‌توانند سرویس احراز هویت با کیفیتی را به بخش خود ارائه دهند. مرکز توسعه تجارت الکترونیک با توجه به تجربه چندین ساله خود در بخش کسب‌وکارهای الکترونیکی، ارائه نماد اعتماد و تعامل مستقیم با کسب‌وکارها و شناخت نیاز آن‌ها در حوزه‌های مختلف به دنبال ارائه خدمات احراز هویت به کسب‌وکارها است.

از طرفی این سازمان با توجه به سند نظام هویتی معتبر در فضای مجازی باید خدمات هویتی مربوط به موجودیت‌های تعریف شده را تجمیع نموده و در اختیار متقاضیان بخش خود قرار دهد.

چه اسناد بالادستی و آیین‌نامه‌هایی برای ایفای نقش امتا وجود دارد؟

قانون تجارت الکترونیک مهم‌ترین سند در این حوزه می‌باشد. در این سند به صراحت اعلام شده است که هر گونه تبلیغات و بازاریابی در فضای مجازی نیازمند احراز هویت است. امضای الکترونیکی که از الزامات انکارناپذیری در فضای مجازی است از دیگر ابزارهای سازمان توسعه تجارت در این فضا می‌باشد. از طرفی در ضوابط فنی و اجرایی دولت الکترونیک (مصوب شورای عالی فناوری اطلاعات در سال 1393) چندین پروژه اولویت‌دار دولت الکترونیک تعریف شده است که یکی از آن‌ها ارائه خدمات احراز هویت و امضای الکترونیکی با مسئولیت دبیرخانه شورای عالی سیاست‌گذاری گواهی الکترونیکی کشور است که در مرکز توسعه تجارت الکترونیکی مستقر می‌باشد.

مرکز توسعه تجارت الکترونیکی باید این پروژه را با همکاری بانک مرکزی و ثبت احوال به انجام برساند. سامانه امتا با پشتوانه موارد ذکر شده راه‌اندازی شده است. سند نظام هویتی معتبر نیز سازمان‌هایی را مسئول تأمین شناسه‌های موجودیت‌ها معرفی کرده است مثلاً سازمان ثبت احوال مسئول تأمین شناسه افراد حقیقی ایرانی است. در این سند دو لایه ارتباطی و کاربرد تعریف شده و احراز این شناسه‌ها در برخی از موارد به سازمان متولی واگذار شده است.

سازمان توسعه تجارت در لایه کاربرد می‌تواند مسئولیت احراز هویت را برای کسب‌وکارها انجام دهد. مرکز ملی فضای مجازی با توجه به این موارد در لایه کسب‌وکارهای اینترنتی، مجوز احراز هویت را به سامانه امتا وزارت صمت اعطا کرده است.

چشم‌انداز امتا را چگونه ارزیابی می‌کنید؟

در این حوزه دو مبحث فنی و کاربردی وجود دارد. در حوزه فنی، معماری سامانه به نحوی طراحی شده است که پاسخگوی نیاز کسب‌وکارهای اینترنتی باشد. با این وجود، باید زیرساخت مناسبی برای ارتباط و تعامل با تأمین‌کنندگان شناسه در قالب پنجره واحد پیش‌بینی شده در سند نظام هویت معتبر فراهم شود. در بحث کاربردی نیز مطالعات منسجم و عمیقی در مورد کسب‌وکارهای اینترنتی انجام شده است.

سرویس‌های مورد نیاز کسب‌وکارها با توجه به نیازهای شناسایی شده به شکل اولویت‌بندی شده و سطح‌بندی شده تعریف شده‌اند و برنامه‌ریزی لازم برای ارائه این خدمات به صورت زمان‌بندی شده به کسب‌وکارها انجام شده است.

جهت بهره‌مندی از قابلیت‌های بخش خصوصی در امتا برنامه‌ریزی شده است؟

با توجه به پتانسیل‌های بخش خصوصی در هم‌راستایی با فناوری، پیش‌بینی لازم برای بهره‌مندی از ظرفیت‌ها در امتا انجام شده است؛ با این وجود، حضور و فعالیت بخش خصوصی در این حوزه نیازمند تصمیم‌گیری نهادهای بالادستی است.

رویکرد سامانه امتا در حوزه تأمین مالی و پایداری اقتصادی به چه صورت است؟

سامانه امتا تا به امروز خدمات خود را به صورت رایگان در اختیار کسب‌وکارها قرار داده است. با این حال، این موضوع نیازمند تصمیم‌گیری در سطوح مدیریتی کلان است. اگر سامانه در دسته سرویس‌های دولتی قرار گیرد ردیف بودجه مشخصی برای آن تخصیص داده خواهد شد در غیر این صورت باید تعرفه مشخصی برای آن در نظر گرفته شود. مرکز توسعه تجارت تا زمانی که سرویس‌های پایه هویتی را به صورت رایگان دریافت نماید، به صورت رایگان نیز خدمات خود را به کسب‌وکارها ارائه خواهد داد.

در صورت نیاز به تعیین تعرفه نیز باید تعرفه قانونی حداقلی برای کسب‌وکارها در نظر گرفته شود. در صورتی که بخش خصوصی به این حوزه وارد شود باید زیرساخت لازم برای ایجاد مکانیزم‌های عرضه و تقاضا در این بخش فراهم شود تا سرویسی با کیفیت مطلوب در اختیار مردم و کسب‌وکارها قرار گیرد. از طرفی در شرایط فعلی هم، کسب‌وکارها برای انجام احراز هویت مشتریان و کارمندان خود هزینه‌هایی را متحمل می‌شوند.

همچنین برخی کسب‌وکارها ارائه برخی از خدمات را به احراز هویت کاربر منوط کرده‌اند که موجب تحمیل هزینه‌هایی به مردم شده است. سامانه امتا می‌تواند با دریافت هزینه حداقلی این خدمات را در اختیار مردم و کسب‌وکارها قرار دهد و از این طریق هزینه‌های خود را تأمین نماید.

آیا موضوع چارچوب اعتماد برای ارتباط امتا با سامانه‌های مرجع یا دیگر ذی‌نفعان در نظر گرفته شده است؟

چارچوب اعتماد از مؤلفه‌های اصلی یک نظام هویتی معتبر است. باید نظام اعتماد در ارتباط تأمین‌کنندگان هویت و شناسه ایجاد شود و زیرساخت موجود، آمادگی لازم برای پیاده‌سازی هرگونه استاندارد مصوب در این بخش را دارد. با این حال، ورود امتا به این مبحث نیازمند سیاست‌گذاری در سطح کلان است.

مدت زمان اعتبار استعلامات انجام شده از سامانه امتا چقدر است؟

طراحی سامانه امتا با توجه به سطح ریسک در سه حوزه ثبت‌نام (Enrolment)، احراز هویت (Authentication) و هم‌پیمانی (Federation) انجام شده است. در سامانه امتا سطوح متفاوتی برای ثبت‌نام و احراز هویت پیش‌بینی شده است. به عنوان نمونه، سامانه امتا در دوره اولیه راه‌اندازی خود برای تضمین هویت حداکثری در کنار استعلام ثبت احوال و سامانه شاهکار دارای یک تراکنش بانکی بود که در حال حاضر با توجه به راحتی کاربر و درخواست کسب‌وکارها غیرفعال شده است.

با این حال باید چارچوب‌های کلانی مصوب شود که سطوح متفاوت را به شکل کامل تعریف نمایند. این چارچوب‌ها باید دستورالعمل‌های مورد نیاز را در اختیار نهادهای اجرایی قرار دهد. برای مدت زمان اعتبار نیز در چارچوب تعامل‌پذیری موجود پیش‌بینی شده است که تأمین‌کنندگان شناسه و هویت باید هر گونه تغییر را به تجمیع‌کنندگانی مانند امتا اطلاع دهند. با این حال، این سرویس در حال حاضر در دسترس نیست و سامانه امتا به صورت دوره‌ای از تأمین‌کنندگان شناسه و هویت استعلام می‌کند.

به کسب‌وکارها نیز اعلام شده است در صورت نیاز به احراز هویت مجدد حتما کاربر را به سمت سامانه امتا هدایت کنند. در بحث الزامی که از طرف دادستانی برای استفاده کسب‌وکارها از سامانه امتا تعیین شده است قرار است یک سند پشتیبان منتشر شود که مدت زمان اعتبار استعلام‌های انجام شده را به طور دقیق مشخص می‌نماید.

امتا در حوزه فراگیری و پوشش افراد کم‌توان چه اقداماتی انجام داده است؟ 

در سامانه امتا به عنوان یک سامانه در سطح ملی، پیش‌بینی‌های لازم در این حوزه انجام شده است ولی با توجه به نیازها و الزامات موجود جامعه و فضای مجازی در زمینه احراز هویت در اولویت‌های بعدی توسعه سامانه قرار دارند. این موارد در گذر زمان در راستای بلوغ هر چه بیشتر امتا به این سامانه افزوده خواهند شد.

سامانه امتا در مورد جبران خسارت، اطلاع‌رسانی در مورد نشت داده و پشتیبانی از حریم خصوصی چه مواردی را مد نظر قرار داده است؟

مرکز توسعه تجارت الکترونیک به واسطه تعاملات خود با کسب‌وکارها دارای تجربه و دانش مناسبی در این حوزه است. اقدامات مناسبی در حوزه جبران خسارت کسب‌وکارها و کاربران نهایی انجام شده است.

به عنوان نمونه، با اعلام دادستانی در صورتی که کسب‌وکارها از سامانه احراز هویت استفاده کنند موضوع مشارکت آن‌ها در جرم در نظر گرفته نخواهد شد. با این حال باید محدوده کارکردی هر یک از کسب‌وکارها و کاربران تعریف شود. برداشتن مسئولیت از دوش کسب‌وکارها می‌تواند نمودی از جبران خسارت یا پیشگیری از خسارت برای آن‌ها باشد.

در مورد نشت داده نیز سامانه امتا کاربر محور بوده و از استانداردهای امنیتی مناسبی برخوردار است. ارائه اطلاعات به کسب‌وکارها با جلب رضایت کاربر انجام می‌شود. در طراحی این سامانه به استانداردهای جهانی در این حوزه مانند مقررات عمومی محافظت از داده (GDPR) نیز توجه شده است.

حتی در سامانه امتا کاربر می‌تواند مدت زمان نگهداری داده‌های خود توسط کسب‌وکار را تعیین نماید. همچنین تأییدیه‌های امنیتی مورد نیاز برای سامانه امتا از نهادهای مسئول دریافت شده است.

سامانه امتا برنامه‌ای برای ارائه خدمات در حوزه سرویس‌های عمومی (دولتی) دارد؟

سامانه امتا از نظر زیرساختی آمادگی لازم را دارد تا سرویس‌های هویتی را تا زمان آماده شده زیرساخت‌های دولتی مورد نیاز در اختیار کسب‌وکارها قرار دهد. با این وجود، هر کدام از نهادهای دولتی با توجه به الزامات دولت الکترونیکی می‌توانند این سرویس‌ها را به صورت جداگانه دریافت کنند.

با این حال، هزینه‌های مربوط به تجمیع سرویس‌های هویتی در امتا انجام شده است و علی‌رغم طراحی و توسعه اختصاصی این سامانه برای کسب‌وکارهای اینترنتی، امکان ارائه آن به دیگر نهادها نیز وجود دارد.

به‌عنوان مدیر سامانه امتا و یکی از فعالین حوزه هویت دیجیتال، آینده زیست‌بوم هویت دیجیتال را چگونه ارزیابی می‌کنید؟

چشم‌انداز مثبت و روشنی در این حوزه وجود دارد. تغییر رویه‌های ناشی از شیوع ویروس کرونا نیز مزید بر علت شد تا این حوزه رشد دوچندانی داشته باشد. فعالیت‌های متعدد و تسهیل‌گری خوبی در راستای توسعه سیستم‌های ملی هویت دیجیتال انجام شده است. در زمان راه‌اندازی اولیه سامانه مشکلات متعددی در پیش روی مرکز توسعه تجارت وجود داشت و همکاری خوبی در این حوزه شکل نگرفته بود، اما با این حال، امروز وجود چنین سیستم‌هایی به یک مطالبه در سطح نهادهای حاکمیتی، کسب‌وکارها و مردم تبدیل شده است.

در حال حاضر، عناصر و بازیگران اصلی زیست‌بوم بحث احراز هویت و سرویس‌های با کیفیت بالا و تعامل با یکدیگر را به عنوان یک نیاز دنبال می‌کنند. از طرفی شرکت‌های دانش‌بنیان و خصوصی مانند شرکت برهان نیز به این حوزه ورود پیدا کرده‌اند و اقدامات شایان توجهی برای توسعه زیست‌بوم انجام داده‌اند.

این حوزه با شتاب بیشتری به رشد خود ادامه خواهد داد و در یکی دو سال آینده شاهد اتفاقات خوب و بلوغ بیشتری در زیست‌بوم هویت دیجیتال خواهیم بود. حضور سامانه‌های ملی مانند سامانه امتا سازمان توسعه تجارت، سماوا سازمان فناوری و هدی سازمان ثبت احوال می‌تواند به رفع نیازهای این بخش کمک کند.

در پایان ضمن تشکر از جناب آقای دکتر نورالدینی که وقت گران‌بهای خود را در اختیار ما قرار دادند از فعالین حوزه هویت دیجیتال دعوت می‌شود برای معرفی محصولات و راهکارها خود در فصلنامه هویت دیجیتال و وب‌سایت برهان ما از طریق بخش ارتباط با ما در وب‌سایت در ارتباط باشند.

مصاحبه: تورج اکبری

سامانه احراز هویت امتا