امنیت پرداخت در راد چگونه تامین می شود؟

در راد شما از امکان پرداخت با استفاده از کارت بانکی خود استفاده میکنید که به شما این قابلیت را می‌دهد که با ذخیره کارت بانکی تنها با رمز دوم خود پرداخت را انجام دهید.

امنیت ذخیره سازی

اولین چیزی که در مورد امنیت پرداخت به ذهن خطور می‌کند نحوه ذخیره سازی کارت‌های بانکی شماست. کارت‌های شما با همکاری شرکت تجارت الکترونیک پارسیان در سرور های تایید شده و تحت نظارت شاپرک (همانند سرورهای درگاه های پرداخت اینترنتی) پشت فایروال‌های قدرتمند بانک، در مکانی بسیار حفاظت شده، با استفاده از تکنیک Tokenization با رعایت استاندارد‌های امنیتی سطح بانکی به صورت رمزنگاری شده با استفاده از سخت افزار رمزنگاری بانکی (HSM) نگه‌داری می‌گردند

این سخت افزار یک جعبه سیاه با قابلیت رمزنگاری داده بدون نیاز به دانستن کلید است که امکان ذخیره سازی دیتای رمزنگاری شده بدون آگاهی را برای اکوسیستم تامین می‌کند به طوری که (به فرض محال) حتی با به سرقت رفتن داده ها برای رمزگشایی نیاز به دسترسی به سخت افزار HSM وجود دارد. حال آن‌که امکان سرقت این سخت افزار از نظر فیزیکی وجود نداشته و علاوه بر امنیت فیزیکی بانکی این سخت افزار در صورت دستکاری شدن یا انتقال بدون اجازه اقدام به پاک کردن تمامی کلید ها نموده و داده ها برای همیشه غیرقابل رمزگشایی می‌گردند.

بنابراین برای نفوذ و سرقت کارت‌های کاربران راد بعد از نفوذ به پایگاه داده (بله معمولا هیچ دیتابیسی غیر قابل هک نیست) علاوه بر یک تانک، به یک ارتش مجهز برای حمله به دیتاسنتر و تسخیر آن و همچنین امکانات شکنجه و بازجویی برای بدست آوردن کلید های سخت افزاری HSM دارید.

انتقال داده ها

داده های کارت از روی گوشی تلفن همراه بر روی خطوط امن SSL TLS 1.2 به سرور منتقل می‌گردد که استانداردی مورد قبول برای جلوگیری از دسترسی MITM است. با این حال در هنگام انتقال دیتاهای پرداخت از رمزنگاری با استفاده از کلید عمومی RSA رمزنگاری شده و با استفاده از زمان امضا می‌شوند تا قابل استفاده مجدد و سرقت نباشند.

علاوه بر این تمامی درخواست های اپلیکیشن راد به سرور با کلید های توکن شده و امضای منقضی شونده ارسال‌ می‌شوند تا امکان Replay attack نیز وجود نداشته باشد.

پس از رمزنگاری کارت شما، یک توکن از کارت شما ساخته می‌شود و برای پرداخت توکن شما به همراه رمز دوم کارت به صورت رمزنگاری شده به Gateway پرداخت تجارت الکترونیک پارسیان ارسال می‌گردد.

همچنین کد های QR ساخته شده برای پرداخت از روی توکن رمزنگاری شده کارت شما یک بار مصرف بوده و تنها تا چند ثانیه اعتبار دارند و به سرعت منقضی می‌گردند تا امکان سو استفاده از آن فراهم نباشد. در نهایت صحت اجرای تمامی این الزامات و استانداردها توسط شاپرک کنترل گردیده و راد به عنوان تنها استارتاپ دارای مجوز PSP از بانک مرکزی در ایران، امنیت داده های شما را گارانتی می‌کند.