SABAPAYAMAK

مقدمه:

  با توجه به جنبه رسانه‌ای پیام کوتاه و به منظور کاهش تبعات ناشی از اقدامات غیرقانونی احتمالی، تعریف الزامات امنیتی برای پیشگیری از دسترسی غیرمجاز به پنل کاربران و مشخص بودن منبع ارسال پیامک، یکی از اولویت‌های مهم صباپیامک است. در همین راستا موارد ذیل به عنوان سیاست‌های کلی امنیتی سامانه پیام کوتاه صباپیامک تعیین شده و با نظارت دقیق، اجرا می گردد:

الف) احراز هویت:

  احراز هویت تمامی کاربران سامانه پیام کوتاه صباپیامک الزامی است. مدارک ارسالی کاربران با استفاده از دسترسی های زیرساختی به سازمان ثبت احوال، سامانه امتا، سامانه کدپستی و همچنین سامانه اشخاص حقوقی قوه قضاییه برای اشخاص حقوقی مطابقت داده می شود و عدم وجود مغایرت در زمان ثبت نام در سامانه الزامی است بنابراین کلیه فرم‌های ثبت نام و اطلاعات توافق نامه بهره برداری از خدمات پیام کوتاه صباپیامک می بایست به طور کامل و بر اساس اسناد سجلی تکمیل گردد.

ب) احراز شماره تلفن همراه:

  در سامانه پیام کوتاه صباپیامک، ارتباط با کاربران از بستر پیام کوتاه انجام می گیرد بنابراین احراز مالکیت شماره تلفن همراه کاربران الزامی است. فرآیند احراز مالکیت با استفاده از سامانه شاهکار صورت می گیرد و تطبیق کدملی کاربر یا صاحب امضای شخص حقوقی با کدملی مالک شماره تلفن همراه، در دو مرحله ثبت نام سامانه پیامک و ثبت اطلاعات شماره‌های مجازی الزامی است. بدیهی است چنانجه کاربر متقاضی تغییر شماره تلفن همراه باشد، همه مراحل احراز شماره تکرار می گردد.

پ) رمز یکبار مصرف:

  به منظور ارتقای امنیت کاربران در دسترسی به پنل پیامک و پیشگیری از دسترسی اشخاص ثالث، احراز هویت دو عامله ضروری است بدین صورت که در هر بار ورود به سامانه رمز یکبار مصرف به شماره تلفن همراه کاربران ارسال می گردد. این قابلیت برای کابران فاقد هر گونه هزینه می باشد و غیرفعال کردن آن امکانپذیر نیست.

ت) امنیت درگاه پیام کوتاه:

  با توجه به اینکه ارسال پیامک علاوه بر پنل پیامک، از طریق درگاه پیام کوتاه و روش هایی نظیر SOAP، درخواست http و RESTful API قابل انجام است رعایت نکات امنیتی زیر الزامی است:

1- رمز عبور پنل پیامک می بایست با رمز درگاه متفاوت باشد. به صورت پیش‌فرض رمز درگاه در سامانه تعریف نشده است و کاربر می بایست با مراجعه به بخش تنظیمات در پنل کاربری، رمز درگاه را تعریف نماید.

2- برای ارسال و دریافت پیامک از طریق درگاه، یک توکن امنیتی نیاز است که کاربر می تواند با استفاده از مستندات فنی، روال درخواست توکن را پیاده سازی نماید. به دلایل امنیتی، ساخت توکن از پنل کاربری امکانپذیر نیست و حتما باید در قالب درخواست‌های API انجام شود.

3- تعداد درخواست‌های کاربر برای ارسال از طریق درگاه پیام کوتاه به صورت هوشمند کنترل می‌گردد و متناسب با نوع درخواست و سابقه عملکرد کاربر، سامانه دسترسی به درگاه را به طور موقت یا دائم محدود می کند. افزایش ظرفیت پیش‌فرض استفاده از درگاه، رفع مسدودی کاربر یا IP وی، فقط پس از درخواست کاربر و بررسی رویدادهای مربوطه قابل اصلاح است.

ث) تغییر یا فراموشی رمز عبور:

  رمزهای تعیین شده توسط کاربران برای دسترسی به پنل پیامک و درگاه پیام کوتاه به صورت غیرقابل برگشت رمزنگاری می‌شود. در صورت فراموشی رمز عبور، کاربر می‌بایست از طریق صفحه ورود به سامانه ییامک یا ارتباط با پشتیبانی، تقاضای رمز عبور جدید را ثبت کرده و رمز جدید را از طریق پیام کوتاه دریافت نماید.

ج) مدیریت حالت انتظار:

  برای پیشگیری از سوء استفاده‌های احتمالی در حالتی که سامانه روی یک دستگاه رایانه‌ای باز مانده باشد، با گذشت 10 دقیقه از آخرین فعالیت کاربر در سامانه پیامک، سامانه به طور خودکار کاربر را از پنل کاربری خارج می‌کند و برای استفاده مجدد می‌بایست فرآیند ورود با رمز یکبار مصرف پیامکی تکرار شود.

چ) محدودیت IP :

  دسترسی کاربران به سامانه پیامک می‌بایست از داخل کشور انجام شود بنابراین IPهای خارج از کشور محدود شده و با صفحه دسترسی غیرمجاز مواجه خواهند شد. در همین راستا برای کاربران خدمات درگاه پیام کوتاه صباپیامک که سرور آن‌ها خارج از کشور قرار دارد، ضروری است IPهای مورد استفاده خود را اعلام نمایند تا نسبت به رفع مسدودی اقدامات لازم انجام شود.

ح) تغییر مالک حساب کاربری:

  هر گونه واگذاری پنل کاربری توسط کاربر به اشخاص ثالث ممنوع است و ایجاد دسترسی برای اشخاص ثالث مسئولیت‌های حقوقی و کیفری به دنبال دارد. در مواردی که کاربر به دلایلی علاقمند به انتقال مانده حساب کاربری یا شماره مجازی به شخص ثالث باشد، ابتدا شخص ثالث می‌بایست همه مراحل احراز هویت را طی کرده و پس از ایجاد حساب کاربری اختصاصی، مانده اعتبار و شماره مجازی به پنل اختصاصی وی انتقال می یابد. از آنجایی که سوابق ارسال پیامک، پیامک‌های دریافتی و اطلاعات مخاطبان پیامک‌ها جزء موارد محرمانه تلقی می‌شود، دسترسی اشخاص ثالث به این اطلاعات روی سامانه پیام کوتاه صباپیامک مجاز نیست.

خ) کنترل ارسال‌ پیامک انبوه:

  سامانه صباپیامک به طور هوشمند رفتار کاربران را بررسی می‌کند بنابراین هنگام ارسال پیامک انبوه ممکن است سامانه ثبت درخواست یا ادامه ارسال را منوط به ارائه کد تایید پیامکی نماید. چنانچه کاربر ظرف مدت زمان تعیین شده نسبت به ارائه کد تایید پیامکی اقدام ننماید، درخواست ارسال پیامک حذف یا ادامه ارسال آن متوقف می گردد و فرآیند احراز مجدداً انجام خواهد گرفت.

* به‌روزرسانی‌ها و تغییرات آتی:

  ما در سامانه پیام کوتاه صباپیامک برای حفظ امنیت کاربران و رعایت مقررات قانونی خود را ملزم به اصلاح و بهبود این سیاست‌ها مطابق شرایط کشور و ضوابط قانونی می‌دانیم. هر گونه تغییرات در موارد فوق ضمن درج در این صفحه، از طریق پیامک نیز به کاربران اطلاع‌رسانی می‌گردد.