از افزایش پایداری سیستم زرین‌پال و ساختار جدید آن تا حفظ امنیت اطلاعات کاربران

«هومن نقی‌ای» مدیر ارشد فناوری زرین‌پال (chief technology officer) و سهند حبیبی سرپرست دواپس (DevOps) زرین‌پال در چهارمین قسمت از سلسله گفتگوهای زنده زرین‌پال با محوریت زرین‌پال جدید، به بررسی تغییرات ویژگی‌ها و امکانات نسخه پرداخت یاری برای کاربران و توسعه‌دهندگان و همچنین تغییرات ساختاری زیرساخت‌های فنی زرین‌پال پرداختند. آنها هم‌چنین درباره‌ی داستان قطع‌شدن دیتاسنتر آسیاتک و نحوه حفظ امنیت اطلاعات کاربران در زرین‌پال شفاف‌سازی کردند.

پایداری در سرویس زرین‌پال و مانتیورکردن اطلاعات مورد نیاز تیم فنی و کاربران نیز از دیگر مباحث مطرح شده در این گفت‌وگو بود.

تغییرات جدید ساختار فنی زرین‌پال

هومن نقی‌ای در پاسخ به این سوال که تغییرات جدید زرین‌پال چه بوده است، می‌گوید: با توجه به الزامات پرداخت‌یاری نیاز به نوشتن دوباره‌ی سیستم وجود داشت. در نتیجه سیستم دچار یک بازنگری کلی شد و قسمت‌هایی که پتانسیل بهتر شدن داشتند: مانند ساختار کلی سیستم، پیاده‌سازی‌های سمت اپلیکیشن، BackEnd و FrontEnd و … نیز بهبود یافتند.

چه تغییراتی در اپلیکیشن زرین‌پال به وجود آمده است؟

مدیر ارشد فناوری زرین‌پال در ادامه صحبت‌های خود به ویژگی‌هایی اشاره کرد که از نسخه‌ی جدید اپلیکیشن زرین‌پال حذف شده‌است. حذف کیف پول زرین‌پال به دلیل الزامات پرداخت‌یاری بود چرا که ما باید تراکنش‌ها را از لحظه‌ی ورود تا خروج کنترل می‌کردیم. ویژگی دنگی‌دنگی و خرید شارژ نیز به این دلیل حذف شدند که ما در این نسخه سعی‌کردیم بر روی ماهیت کسب و کاری زرین‌پال (‌B2B) تمرکز کنیم و بهترین حالت ممکن را برای کسب و کارها ارائه دهیم. همین‌طور با جداسازی ویژگی‌هایی که در دسته ‌B2C قرار می‌گیرند نیز بهترین ویژگی‌های مناسب کاربران را در محصولات جدید زرین‌‌پال قرار دهیم.

قصد داریم با جداسازی ویژگی‌هایی که در دسته ‌B2B وB2C قرار می‌گیرند بهترین ویژگی‌های مناسب کسب و کار ها و جداگانه در اختیار آن‌ها قرار دهیم.

او هم‌چنین به این نکته اشاره کرد که با توجه به تحریم‌های اپل، نسخه‌ی IOS زرین‌پال هنوز به اپ‌استور ارائه نشده است و از طرفی اپ‌استورهای ایرانی نیز دارای محدودیت‌هایی هستند که ترجیح تیم زرین‌پال برای قرارگیری آن در اپ استور اپل است. تیم فنی زرین‌پال در حال تلاش برای قرار دادن هرچه سریع‌تر این نسخه در اپ استور است. او همین‌طور به این نکته اشاره کرد که نسخه اندروید زرین‌پال در استورهای مختلف وجود دارد و از نسخه ۴.۱ در دسترس است.

تغییرات زیرساخت فنی نسخه جدید

سهند حبیبی، سرپرست دواپس (DevOps) درباره تغییراتی که برای کاربران غیر ملموس هستند صحبت کرد. او می‌گوید: برخی از سرویس‌های اصلی استک نرم‌افزاری زرین‌پال در این مدت مجدد تنظیم شدند و سعی شده است تا در آن از جدیدترین نسخه‌ها استفاده شود. هم‌چنین در این تغییرات ما یک بخش افزایش ظرفیت فیزیکی داشته‌ایم. هم‌چنین تجهیزات جدید دیتاسنتر خریداری شده است. در بخش مانیتور کردن سرویس‌ها از دو جهت به آن نگاه ویژه‌ای داشته‌ایم. تمام درخواست‌های موفق و ناموفق کاربران مانیتور می‌شود تا اگر که خطایی رخ می‌دهد توسط تیم فنی رصد شود. از سمت دیگر ما دارای سیستم توزیع‌شده‌ی مانیتورینگ وب‌سایت‌ها و دیتاسنترهای اصلی مرتبط با زرین‌پال هستیم. 

او در ادامه درباره‌ی ساختار تیم فنی زرین‌پال صحبت کرد. واحد دواپس که دارای تیم‌های زیرساخت، system administration و  noc است. تیم زیرساخت کار نگهداری و توسعه زیرساخت فیزیکی زرین‌پال را به عهده دارد. تیم system administration کار به روزرسانی سیستم‌های و پایداری آن‌ها را به عهده دارند و وظیفه تیم noc مانتیورکردن مستمر است که در صورت وجود مساله فنی، در هر ساعت از شبانه به رفع خطا بپردازند.

رصد کردن وضعیت درگاه‌های بانکی کشور و انتخاب بهترین درگاه

هومن نقی‌ای در ادامه‌ی این بحث به این نکته اشاره کرد که یکی از اهداف مانیتورینگ ارائه آمارها به کاربران بوده است. به همین دلیل یک صفحه جدید در زرین‌پال راه‌اندازی خواهد شد که وضعیت درگاه های بانکی کشور را رصد کند و از تراکنش‌هایی که سمت PSP های مختلف می‌رود گزارش ارائه دهد. این گزارش‌ها نشان می‌دهد که زرین‌پال بر چه اساسی PSP بهتر را انتخاب می‌کند و سرویس زرین‌پال در آن لحظه چه وضعیتی دارد تا به کاربر اطلاع رسانی شود. یکی دیگر از قسمت‌های مانیتورینگ، رصد وضعیت سرویس‌های داخلی زرین‌پال است. برای مثال قطع ارتباط با دیتاسنترها موجب قطع شدن تراکنش‌های سایر کسب و کارها می‌شود. سهند حبیبی در تکمیل صحبت‌های او اضافه کرد: در مواردی مانند به روزرسانی‌ها که از قبل درباره قطع شدن سیستم‌ها اطلاع داریم سعی می‌کنیم کاربر را در جریان آن قرار دهیم یا در زمان‌هایی این کار را انجام دهیم که کم‌ترین ترافیک وجود دارد. تمامی این اتفاقات و اطلاعات به صورت شفاف داخل این صفحه به کاربران اطلاع رسانی خواهد شد.

زرین‌پال با مانیتور کردن لحظه‌ای تراکنش‌هایی که سمت درگاه پرداخت‌های مختلف می‌رود، بهترین درگاه پرداخت را برای تراکنش انتخاب می‌کند

داستان قطع‌شدن دیتاسنتر آسیاتک

قطع شدن دیتاسنتر آسیاتک مساله‌ای بود که خارج از کنترل ما بود و از جانب تیم زرین‌پال در لحظات اولیه پی‌گیری شد. تیم‌زرین‌پال در برنامه‌های آتی خود سعی دارد با چند دیتاسنتر همکاری داشته باشد ولی هیچ‌وقت نمی‌توان به صورت ۱۰۰% اعلام کرد. چرا که دیتاسنترهای معمولا به صورت به هم پیوسته هستند. اما ما در تلاش هستیم تا با ابزارها و تکنولوژی‌های جدید مانع از بروز مجدد این اتفاقات شویم. زرین‌پال با مانیتور کردن لحظه‌ای تراکنش‌هایی که سمت درگاه پرداخت‌های مختلف می‌رود، بهترین درگاه پرداخت را برای تراکنش انتخاب می‌کند

پایداری در سرویس زرین‌پال

سهند حبیبی در ادامه صحبت‌هایی درباره‌ی پایداری سرویس زرین‌پال را به میان آورد. او می‌گوید: ما همواره سعی داریم تا با استفاده از تکنولوژی‌های جدید تمام جنبه‌های مانیتور سیستم را داشته باشیم. یعنی با شناسایی رفتار کاربر، درخواست‌هایی که به زرین‌پال دارد را پیش‌بینی می‌کنیم همین‌طور ارتباطات زیرساخت کشور را به صورت پیوسته در نظر داریم. در نتیجه UPTIME بودن ما بالا می‌رود و کیفیت سرویس‌دهی به کاربران افزایش پیدا می‌کند. بخشی از این پایداری سمت تمهیدات سخت افزاری است. برای مثال برای نگهداری نسخه هایی از اطلاعات مشتریان و تضمین امنیت آن‌ها در زرین‌پال هزینه‌های زیادی صرف شده و می‌شود. البته در تلاش هستیم بخشی از این را در آینده به صورت نرم‌افزاری پیاده کنیم.

برنامه‌ریزی تیم زرین‌پال از مانیتورینگ تا نگهداری و توسعه تماما در راستای ارائه کیفیت بهتر به کاربران است. در حال حاضر تمام تمرکز ما به روی ارائه بهترین کیفیت به کاربران و در گام بعدی توسعه و گسترش راهکارها است.

در حال حاضر زیر ساخت‌های به کار رفته در زرین‌پال داینامیک‌تر است و با توجه به افزایش ترافیک کاربران این زیرساخت می‌تواند افزایش ظرفیت داشته باشد.

برنامه‌ریزی تیم فنی زرین‌پال از مانیتورینگ تا نگهداری و توسعه تماما در راستای ارائه کیفیت بهتر به کاربران است.

امنیت اطلاعات کاربران در زرین‌پال

مدیر ارشد فناوری زرین‌پال، در پاسخ به این سوال که امنیت اطلاعات کاربران در زرین‌پال چگونه حفظ می‌شود، گفت: بحث امنیت روز به روز درحال تغییر است. مشکلات امنیتی همان‌طور که ایجاد می‌شوند نیز رفع می‌شود.  ما در زرین‌پال تمام سعی خود را کرده‌ایم تا تمامی استانداردهای لازم را برای جلوگیری از نشر اطلاعات را پیاده‌سازی کنیم. نکته مهم دیگری که وجود دارد این است که سیستم‌های زرین‌پال توسط خودمان و سایرین آپدیت می‌شود. در نتیجه همیشه ما می‌توانیم نگاه بهتری به مساله امنیت داشته باشیم و تا حد ممکن سیستم را به‌روز نگه می‌داریم و مدیریت صحیحی روی شبکه‌ی داده‌ها داشته باشیم تا امنیت اطلاعات تا بالاترین جای ممکن باشد.

حبیبی در ادامه‌ی این بحث اضافه کرد که تمامی استانداردهای مربوط به امکانات سخت‌افزاری مربوط به امنیت شبکه و راه‌کارهای نرم‌افزاری در زرین‌پال اجرا و پیاده‌سازی می‌شود زیرا پیوسته از سمت سازمان‌های مربوط در حال آپدیت شدن هستیم. به طور حتم دریافت مجوز پرداخت‌یاری منوط به این شرایط بوده است و در حال حاضر در افراد متخصص از این زمینه استفاده می‌کنیم و آماده همکاری با سایر متخصصین نیز می‌باشیم.

نقی‌ای همچنین در پاسخ به این پرسش که آیا در ماجرای هک‌شدن زرین‌پال، اطلاعاتی از کاربران به بیرون درز کرد یا نه. گفت: مشکل به وجود آمده، از عدم به‌روزرسانی یک سخت افزار بود و به هیچ‌عنوان هیچ اطلاعاتی از کاربران در اختیار کسی قرار نگرفت.

علت هک شدن سایت زرین‌پال، عدم به‌روزرسانی یک سخت افزار بود و به هیچ‌عنوان هیچ اطلاعاتی از کاربران در اختیار کسی قرار نگرفت.

امکانات نسخه جدید پرداخت‌یاری برای توسعه‌دهندگان

هومن نقی‌ای می‌گوید تکنولوژی‌های برقراری ارتباط با توسعه‌دهندگان در نسخه جدید پرداخت‌یاری زرین‌پال در مقایسه با نسخه قبلی بهبود یافته است. برای مثال در نسخه قبل از روش جیسون استفاده می‌شده است که روشی استاتیک بود اما در حال حاضر از تکنولوژی گرف کیوور که به صورت داینامیک است استفاده می‌شود. یعنی پاسخ به درخواست کاربر دقیقا مطابق با نیازهای او خواهد بود و داده‌های اضافی به او داده نخواهد شد. یکی دیگر از تغییرات مهم فایل‌هایی است که به توسعه‌دهندگان ارائه داده‌ایم که سعی کردیم خواناتر، به‌روزتر و در دسترس‌تر باشد. API اصلی پرداخت و API اصلی زرین‌پال هر دو شامل این تغییرات می‌شوند.

تغییر در فایل‌های ارائه شده به توسعه‌دهندگان و تکنولوژی به‌کاررفته در ارسال پاسخ به درخواست کاربران در نسخه جدید تغییر کرده است.

آینده‌ی زیرساخت‌های زرین‌پال

سهند حبیبی در ادامه بحث از زیرساخت‌های زرین‌پال صحبت به میان آورد. او گفت: در راستای افزایش کیفیت سرویس‌دهی به کاربران، توسعه نیروی انسانی واحد دواپس جزو برنامه‌های آینده زرین‌پال است. برای مثال قصد داریم بر روی ارائه سرویس توزیع شده به کاربران تمرکز بیشتری داشته باشیم. همین‌طور قصد داریم از زیرساخت‌های ابری نیز استفاده کنیم. همین طور استفاده از بحث ماشین یادگیری برای ما اهمیت فراوانی دارد و سعی می‌کنیم برای مانیتورکردن هوشمندتر از آن استفاده کنیم. هومن نقی‌ای در ادامه این بحث یادآور شد که تسهیل سیستم احراز هویت نیز یکی دیگر از مواردی بود که به جهت بهبود رابطه کاربر با زرین‌پال طراحی و توسعه یافت.

نقی‌ای و حبیبی همچنین در انتهای گفت‌وگو به پرسش‌های کاربران پاسخ دادند. امکان درخواست بخشی از مبلغ تسویه توسط پذیرنده‌ها، علت کاهش سرعت سایت زرین‌پال و بهبود آن در آینده، زمان انتشار دقیق نسخه ios از جمله پرسش‌های پاسخ داده شده توسط آن‌ها بود.