کارنگ رسانه اقتصاد نوآوری است. رسانهای که نسخه چاپی آن هر هفته شنبهها منتشر میشود و وبسایت و شبکههای اجتماعیاش هر ساعت، اخبار و تحولات این بخش از اقتصاد را پوشش میدهند. در کارنگ ما تلاش داریم کسبوکارهای نوآور ایرانی، استارتاپها، شرکتهای دانشبنیان و دیگر کسبوکارها کوچک و بزرگی که در بخشهای مختلف اقتصاد نوآوری در حال ارائه محصول و خدمت هستند را مورد بررسی قرار دهیم و از آینده صنعت، تولید، خدمات و دیگر بخشهای اقتصاد بگوییم. کارنگ رسانهای متعلق به بخش خصوصی ایران است.
در گفتوگو با مدیرعامل آیتول مطرح شد / هیچ دسترسی غیرقانونی به دادههای کاربران نداریم
ریحانه هاشمی / سامانه آیتول، کارش را از سال ۱۳۹۸ و با ارائه امکان پرداخت آنلاین عوارض آزادراهی شروع کرد. با افزایش تعداد کاربران این سامانه، دامنه خدمات آن هم گسترش پیدا کرد. امیرحسین عبیری، مدیرعامل آیتول در این گفتوگو درباره ابهاماتی که در زمینه دسترسی آیتول به اطلاعات کاربران وجود دارد، صحبت کرده است.
امیرحسین عبیری، مدیرعامل آیتول، در ابتدای گفتوگو و در پاسخ به این سؤال که سازوکار جمعآوری اطلاعات در آیتول چگونه است، میگوید: «آیتول در ابتدای سال ۱۳۹۸ در بحبوحه راهاندازی عوارض الکترونیک آزادراهی و همزمان با تبلیغات گسترده تلویزیون و اخبار برای پرداخت الکترونیک عوارض آزادراهی، کارش را شروع کرد.
کاربران با ورود به سایت ما میتوانستند عوارض آزادراهی را پرداخت کنند. ذینفع اصلی در واقع وزارت راه بود که توسط شرکت سپندار، دسترسی را برای اپلیکیشنهای مختلفی فراهم کرده بود تا کاربران امکان پرداخت داشته باشند. یعنی همزمان با آیتول، در داخل اپلیکیشنهای دیگر هم این امکان پرداخت وجود داشت.
ولی آیتول مکانیسم متفاوتی داشت؛ بر خلاف سایر درگاههای پرداخت که اپلیکیشنهای موبایلی بودند و به ثبتنام و ورود کاربر نیاز داشتند، آیتول وبسایت بود و نیاز به ثبتنام و ورود نداشت و بدون اجبار کردن کاربر به ورود شماره موبایل، امکان پرداخت عوارض آزادراهی را مهیا کرد.»
او در ادامه میگوید: «آیتول آن زمان برند شناختهشدهای نبود و یک تجربه کاربری شبهدولتی هم داشت و تمرکزی هم روی اصلاح آن نبود. خوشبختانه از مدل ساده پرداخت در آیتول استقبال شد؛ بهطوری که با گذشت ۱۰ روز از آغاز به کار آیتول، بیشتر از روزی هزار کاربر یکتا با استفاده از آیتول، عوارض پرداخت میکردند.
این موضوع باعث شد که ما به فکر توسعه سرویس بیفتیم و این امر با شکلگیری رویکرد جدیدی در شهرداری تهران و مخصوصاً در معاونت فاوا، همزمان شد مبنی بر اینکه شرکتهای خصوصی نیز در پرداخت عوارض مختلف شهرداری، کمک کنند.
تعامل ما با شهرداری منجر به این شد که API پرداخت عوارض شهرداری تهران هم به آیتول اضافه شود. این اتفاق در اردیبهشت و خرداد سال ۱۳۹۸ افتاد. یعنی امکان پرداخت عوارض شهرداری و هزینه خرید مجوز طرح ترافیک هم به آیتول اضافه شد.»
عبیری در پاسخ به اینکه دسترسیهای اطلاعاتی در آیتول بر چه اساسی تعریف میشود، گفت: «دسترسیها طبق پروتکل هر سازمان تعریف میشود. مثلاً بر اساس پروتکل شرکت مجری عوارض آزادراهی، با وارد کردن شماره پلاک هر خودرو امکان دسترسی به موارد بدهی خودرو و تاریخ هرکدام از بدهیها مهیا میشود، بدون اینکه مشخص باشد خودرو از کدام عوارضی و در چه ساعتی رد شده است.»
او در مورد موارد دیگر توضیح میدهد: «در مورد عوارض شهرداری و طرح ترافیک، هیچگاه این دسترسیها بهصورت جزئی وجود نداشته است. فقط میشد با وارد کردن پلاک، روزهای تردد و مبلغ بدهکاری را دید و جزئیات بیشتر شامل اینکه تردد در کدام خیابان و چه ساعتی بوده و توسط کدام دوربین ثبت شده، هیچوقت در اختیار هیچ ارگانی جز شهرداری نبوده است.»
توسعه سرویس و استفاده از دادههای مشتری
مدیرعامل آیتول در مورد سرویسهای اضافهشده میگوید: «ما شروع به توسعه سرویس کردیم و تعداد کاربرانمان بیشتر شد. در سال ۱۳۹۸ بیش از دو میلیون پلاک ماشین یکتا در سامانه ما پرداخت انجام دادند. این افراد از منظر ما کاربران آیتول بودند، ولی شاید خودشان اطلاع نداشتند از چه سامانهای برای پرداخت عوارض استفاده میکنند و از طریق جستوجوی گوگل به آیتول رسیده بودند.
در ادامه، پرداخت عوارض سالیانه هم به سرویسهای ما اضافه شد. در تمامی این موارد، ما طبق ضوابط نهاد ذینفع طرف قرارداد عمل کرده و منطبق با پروتکلهای تعریفشده، داده بدهی را به درخواست کاربر اخذ و تحویل کاربر دادیم.»
او در مورد راهاندازی سامانه فروش آنلاین بیمه نیز میگوید: «در ابتدای سال ۱۳۹۹ و در آغاز پیچیدگیهای ارائه خدمت در شرایط ابهام منتج از ظهور کرونا و با هدف ارائه خدمت در زمان تعطیلی فروشگاههای فیزیکی، سرویس بیمه ما راهاندازی شد که در اواسط اردیبهشت ۱۳۹۹ و با اعتراض بیمه مرکزی بهدلیل فعالیت بدون مجوز موضوع متوقف شد.
از قرار، بیمه مرکزی با هدف همراهی با استارتاپها بهتازگی آییننامه کارگزاری برخط را تهیه کرده بود و ما در آن زمان تازه فهمیدیم که از نظر بیمه مرکزی ما «کارگزار برخط» هستیم. تا آن زمان حدود دو میلیون کاربر با سامانه آیتول تعامل داشتند و این فرصت را غنیمت شمرده بودیم که به حوزه بیمه خودرو هم وارد شویم.
ما هم تلاش کردیم کاربرانی را که از خدمات قبلیمان استفاده کرده بودند، به مشتری بیمه تبدیل کنیم. تعاملات جدی با بیمه مرکزی هم داشتیم. در ابتدای کار خیلی فعالیت محدودی داشتیم. پیگیری موضوعات مرتبط با مجوز در بیمه مرکزی تا پایان سال ۱۳۹۹ ادامه پیدا کرد و بهدلیل اطاله موضوع با هماهنگی ایشان، مجدداً فعالیتمان را تحت نظر این سازمان آغاز کردیم.
نهایتاً در تابستان ۱۴۰۰ مجوز کارگزاری برخط برای ما صادر شد. البته تمام مسیر پیچیدگیهای عجیبی داشت که در این مصاحبه به آن نمیپردازم.»
ماحصل این اتفاقات این شد که دو جنس از دادههای کاربر همیشه برای آیتول اهمیت داشته است؛ یکی شماره پلاک خودرو و دیگری شماره موبایل کاربر. عبیری توضیح میدهد: «کاربران برای استفاده از هرگونه خدمات روی سامانه آیتول، شماره پلاک ماشین را حتماً و شماره موبایلشان را معمولاً وارد میکردند.
ما از این مجموعه داده جهت اطلاعرسانی به کاربران بهمنظور فعالشدن محصولات جدید در سامانه استفاده کردیم. ما از این حیث به جامعهای که بیش از دو میلیون عضو دارد کمک کردیم تا بابت دیرکرد در پرداخت عوارض شهرداری جریمه نشوند.»
مدیرعامل آیتول درباره بلوغ این سامانه برای استفاده از داده مشتری میگوید: «در گذشته، شماره موبایل را از کاربران بهصورت اختیاری میگرفتیم و حتی در بعضی مواقع، شماره موبایل را verify نمیکردیم و این باعث میشد پیامکهای ناخواسته برای افرادی که کاربر سامانه نبودند، برود.
از جایی به بعد تصمیم گرفتیم شمارههای موبایلی را که در سامانه وارد میشد، حتماً verify کنیم تا مطمئن شویم که کاربران سامانه، شماره موبایل خودشان را وارد کردهاند.»
دسترسیهایی که مختص آیتول نیست
عبیری میگوید اینها تمام دسترسیهایی است که آیتول از آغاز فعالیتش داشته و واقعیت هم این است که این دسترسیها، موارد عجیبی نیستند که فقط مختص سامانه آیتول باشد و هر شرکتی میتواند با شرکت سپندار که مجری عوارض آزادراههاست، تعامل کرده و دسترسیهای لازم را برای پذیرندگی پرداخت عوارض دریافت کند.
در مورد عوارض شهرداری و دسترسی به سامانه بیمه برخط هم همین اتفاق میتواند بیفتد. اما تجمیع اینها بهعنوان خدمات خودرویی ابداع آیتول بوده و هنوز هم مزیت این شرکت است و به اعتقاد مدیرعامل، این نوآوری نباید بهعنوان دسترسی خاصی برداشت شود.
عبیری در پاسخ به این سؤال که آیا استفاده از شماره همراه مشتری برای اطلاعرسانی در مورد محصولات دیگر آیتول کار درستی بوده یا نه، توضیح میدهد: «در بحث ارائه سرویس جدید به کاربر، این مسئله مشکلی ندارد و کسبوکارهای حوزه فناوری اطلاعات باید این مسیر را طی کرده و از مشتریان سابقشان برای کسب درآمد از سرویسهای جدیدشان استفاده کنند.»
او ادامه میدهد: «اگر شما بهصورت حضوری به یک دفتر بیمه مراجعه کنید و شماره پلاک خودرویتان را ارائه بدهید، کارگزار بیمه میتواند با استفاده از این شماره به سوابق بیمه خودروی شما دسترسی پیدا کرده و بیمهنامه جدید صادر کند. در حقیقت همان کاری را که آیتول بهصورت آنلاین انجام میدهد، به شکل آفلاین و حضوری انجام میدهد و به همان اطلاعات دسترسی دارد.
آن چیزی که نماینده محلی بیمه ندارد، مشتریان آیتول هستند که قبلاً از آن سرویس گرفتهاند. در تمام وبسایتهای فروش بیمه که کارگزار بیمه مرکزی هستند هم با وارد کردن شماره پلاک میتوانید سوابق بیمه را استعلام کنید. در نتیجه دسترسی برای همه یکسان است.
استفاده از داده مشتریان به اجازه نیاز دارد؟
مدیرعامل آیتول در پاسخ به این سؤال که ممکن است یک نفر عوارض آزادراهی داده باشد، ولی علاقهای به استعلام اطلاعات بیمهاش نداشته باشد، آیا شما اجازه این دسترسی را داشتهاید؟
میگوید: «این موضوع به لحاظ قانونی منعی ندارد و هیچ کسبوکاری بهصورت قانونی از اطلاعرسانی خدمات به مشتریانش منع نشده است. مثلاً اینکه مشتری اسنپ، برای استفاده از اسنپفود پیامک دریافت کند، غیرقانونی نیست، اما میتواند برای بعضی کاربران خوشایند نباشد و ما هم به این نکته آگاهی پیدا کردیم.
برای اینکه جلوی این مسئله را بگیریم، در انتهای پیامکها به کاربران گفتیم میتوانند با فرستادن کلمه Off از دریافت پیامکهای بعدی انصراف بدهند. راه دوم این بود که وقتی کاربران جدیدی وارد سایت آیتول میشدند، یک گزینه قرار دادیم تا بدانیم مایل هستند از سرویسهای جدید آیتول باخبر شوند یا خیر.
راه سوم هم این است که کاربر در داخل سایت میتواند انتخاب کند که بابت چه سرویسهایی پیامک بگیرد و چه سرویسهایی به او اطلاعرسانی نشود.»
عبیری در ادامه توضیح میدهد: «تمام اینها در رابطه کاربران با آیتول مشخص میشود و محدودیت قانونی برای ارسال پیامکهای اینچنینی به کاربران وجود ندارد. چون کاربران برای ما مهم هستند، این امکان را فراهم کردیم تا بتوانند اعلانهایی را که از آیتول میگیرند، شخصیسازی کنند.»
او با بیان اینکه بیشتر نارضایتیها از سمت مشتریان قدیمی بوده، میگوید: «حتی در بین فعالان حوزه فناوری اطلاعات که به این موضوعات احاطه دارند هم کسانی را داشتهایم که از ما پرسیدهاند چطور به شماره ما دسترسی دارید و به ما پیامک میزنید.
بهطور مثال در یک مورد وقتی شماره این فرد را در آیتول بررسی کردیم، مشخص شده که او در سال ۱۳۹۸ یک پرداخت عوارض در سامانه آیتول داشته و مشخصات کامل پرداخت شامل زمان و مبلغ و موارد دیگر هم در دیتابیس ما موجود است. آن زمان برند آیتول کوچک بود و خیلیها نمیدانستند که از آیتول برای پرداخت عوارض استفاده میکنند.»
عبیری در پاسخ به این نکته که مقایسه آیتول با اسنپ مقایسه اشتباهی است، چون مردم اسنپ را بهعنوان یک سوپراپ پذیرفتهاند، اما پذیرش مشابهی نسبت به آیتول بهعنوان یک سامانه جامع خدمات پرداخت شهری شکل نگرفته است، توضیح میدهد: «بررسیهایی که انجام دادهایم، نشان میدهد که کمتر از پنج درصد کاربران ما از این مسئله ناراضی هستند، اما مشکل این است که کاربران ناراضی معمولاً اعلام میکنند و کاربران راضی، رضایتشان را اعلام نمیکنند.»
او ادامه میدهد: «ضعفی که شما به آن اشاره میکنید، در مسئله برندینگ ما کاملاً وجود دارد. در حدود ۱۵ درصد کاربران ما هنوز آیتول را بهعنوان یک سیستم پرداختی میشناسند و ما هنوز نتوانستهایم برند آیتول را بهعنوان یک اپلیکیشن جامع خدمات خودرویی جا بیندازیم.
ما یک زمانی سرویس کارواش را به کاربرانی که اخیراً تردد آزادراهی داشتند و احتمال میدادیم از سفر بازگشته باشند، پیشنهاد میدادیم، اما چون کاربر با دامنه متنوع خدمات ما آشنا نبود، این اتفاق برایش غیرمنتظره به نظر میرسید. البته برای اینکه برندمان بهعنوان اپلیکیشن جامع خدمات خودرویی در ذهن کاربران جا بیفتد، برنامههایی داریم.»
بررسیهای امنیتی سامانه آیتول
آخرین سؤال از مدیرعامل این است که به لحاظ امنیت اطلاعات کاربران چه کارهایی انجام شده که مشتری نگران دادههای شخصیاش نباشد که عبیری پاسخ میدهد: «آیتول دسترسی به داده تردد بهصورت جزئی ندارد و اینکه دقیقاً از چه مسیری تردد کردهاید را نه آیتول و نه هیچ سامانه دیگری نمیداند، اما با این حال امنیت اطلاعات کاربر مهم است، حتی اطلاعات جزئیتر مثل شماره موبایل و شماره پلاک و ما خود را متعهد به حفظ اطلاعات کاربرانمان میدانیم.»
او ادامه میدهد: «برای اینکه مشکل امنیتی نداشته باشیم، با یکی از آزمایشگاههای معتبر دانشگاه شریف همکاری کردیم تا امنیت آیتول را بررسی کند که مشخص شد در آیتول مشکل امنیتیای که باعث شود امنیت کاربران به خطر بیفتد، وجود ندارد. برای بررسی ایرادات احتمالی آیتول که میتوانست به درز اطلاعات منجر شود هم برنامه باگبانتی را اجرا کردیم.
ایرادات نسبتاً سطح پایینی پیدا شد که هیچکدام در حدی نبود که بخواهد داده کاربران را به خطر بیندازد. اگر ایراد مهمی هم پیدا شود، تیم امنیت ما همیشه آماده هستند که این مشکل را رفع کنند.»
امیرحسین عبیری صحبتهایش را با این توضیح به پایان میبرد: «واقعیت این است که برای یک کسبوکار خصوصی، حفظ برند و اعتبار نزد کاربران از هر چیزی مهمتر است. یعنی ما خودمان نسبت به هر نهاد خصوصی حساستر هستیم که دادههای کاربرانمان که همان اعتبار ماست، محفوظ بماند.
ما هم مانند هر کسبوکار دیگری رشد میکنیم، بالغ میشویم و از اشتباهات گذشتهمان درس میگیریم تا در نهایت سرویس بهتری به کاربرانمان ارائه دهیم. در نهایت تأکید میکنم که تمام کسبوکارهای دیگر هم میتوانند با طیکردن مسیری که ما رفتیم، تمام دسترسیهایی را که آیتول در اختیار دارد، کسب کنند و حتی خود ما نیز میتوانیم در این راستا به کسبوکارهای کوچکتر کمک کنیم.»