Dövlət Vergi Xidmətinin rəqəmsal xidmətləri: təhlil, irad və təkliflər

Dövlət Vergi Xidmətinin (DVX) rəqəmsal transformasiyası ilə bağlı son günlərdə bir neçə məqam diqqətimi çəkdi. Gəlin bu məsələləri üç istiqamətdə təhlil edək: 1) SİMA ilə inteqrasiya, 2) təhlükəsizlik və imza texnologiyalarının uyğunluğu, 3) sessiya təhlükəsizliyi (timeout) məsələsi.

1. SİMA imzanın inteqrasiyası — böyük addım, amma hələ tam deyil.

Nəhayət ki, SİMA rəqəmsal imzası DVX-nin 83 elektron xidmətinə inteqrasiya olundu. Əvvəllər cəmi 5 xidmətdə aktiv idi, bu gün isə fərdi sahibkarlar üçün vergi bəyannaməsi, elektron qaimə göndərişi, POS-terminal qeydiyyatı kimi əsas xidmətlər SİMA vasitəsilə, mobil tətbiq üzərindən, üz tanıma funksiyası ilə istifadə oluna bilir. Bu, yalnız texnoloji inkişaf deyil, həm də rəqəmsal identifikasiya bazarında alternativin yaranması, seçim imkanının artması və monopoliyanın yumşaldılması baxımından əhəmiyyətlidir. Qeyd edək ki, bu proses 2023-cü ildən bəri davam edirdi və inteqrasiya heç də sadə keçməyib. Səbəblər məlumdur, amma AzInTelecom və DVX bu mərhələni uğurla başa vurublar. Daha bir müsbət hal – 6 ay müddətinə abunə haqqı olmadan istifadə imkanıdır. Lakin inteqrasiya hələ tam deyil. Hüquqi şəxslər və dövlət qurumları üçün bu imzanın aktiv istifadəsi mümkün deyil. Ümid edirik ki, bu boşluq da tezliklə aradan qalxacaq.

2. Təhlükəsizlik və gücləndirilmiş imzanın praktiki istifadəsi

Keçən həftə DVX tərəfindən vergi kabinetinə giriş məlumatlarının ələ keçirilməsi ilə bağlı xəbərdarlıq yayıldı. Təhlükəsizlik baxımından gücləndirilmiş imza ilə sistemə girişin təşviqi vacib olaraq qeyd edildi. Digər tərəfdən, 2-3 mart tarixlərində ASAN İmza sistemində baş vermiş texniki problemlər nəticəsində bir çox dövlət və bank xidmətlərinə giriş mümkün olmadı. Bu, rəqəmsal identifikasiya sistemlərinin rezerv və çevik alternativlərinin nə qədər vacib olduğunu bir daha göstərdi. Mənim təklifim odur ki, SİMA imzası bank və vergi sistemlərinə daha dərin şəkildə inteqrasiya olunsun – yarımçıq deyil, tam funksional şəkildə. Məsələn, ödəniş və köçürmə əməliyyatlarında SİMA üz tanıma ilə təsdiq imkanı olsa, bu, kiberdələduzluq risklərini əhəmiyyətli dərəcədə azalda bilər. Hazırda DVX sistemində 83 xidmətdən bəzilərində sadəcə giriş və təsdiqləmə kodu ilə proses tamamlanır (məsələn, bəzi bəyannamələrin göndərilməsi). Digərlərində isə (məsələn, e-qaimə imzalanması) üz tanıma ilə imza tələb olunur. Bu yanaşma bir qədər parçalanmış təsir bağışlayır. Kriteriyalar aydın olmalı və istifadəçiyə əvvəlcədən izah edilməlidir ki, hansı xidmət nə ilə imzalanır, hansı mərhələdə üz tanıma tələb olunur.

3. Sessiya təhlükəsizliyi (timeout) — potensial boşluq

Yeni vergi portalında test etdiyim bir məsələ də sessiyanın avtomatik bağlanması (timeout) ilə bağlı oldu. Müşahidəmə əsasən, brauzer açıq qaldığı müddətdə sistem istifadəçini sistemdən çıxarmır, heç bir aktivlik olmasa belə. Bu, əlavə təhlükəsizlik riski yaradır. Azərbaycan Respublikası Mərkəzi Bankının qərarına əsasən, bank sistemlərində timeout müddəti 5-30 dəqiqə arasında tənzimlənir. Amma dövlət portalları üçün bu cür normativ çərçivə tapmaq çətindir – ya mövcud deyil, ya da var mən tapa bilmədim. Əgər brauzer "X" düyməsi ilə bağlanarsa, müəyyən müddətdən sonra sessiya sona çatır. Lakin brauzer açıq qaldıqda hətta saatlarla sistem istifadəçini aktiv saxlayır. Bu isə sui-istifadə halları üçün imkan yarada bilər – xüsusilə də ofis mühitində və ya ortaq cihazlardan istifadə zamanı. Burada təklifim odur ki, DVX sessiya təhlükəsizliyi ilə bağlı normativ çərçivə hazırlasın. Bu riskləri minimallaşdıra bilər. Nəticə olaraq DVX və AzInTelecom-un atdığı addımlar təqdirəlayiqdir. Amma bu uğurların davamlı və dayanıqlı olması üçün təhlükəsizlik və funksional inteqrasiya yanaşma vacibdir. İnanıram ki, bu tənqidlər və təkliflər müvafiq qurumların diqqətindən yayınmayacaq və ölkədə daha təhlükəsiz, əlçatan və çevik rəqəmsal mühitin formalaşmasına töhfə verəcək. Elvin Abbasov, Azərbaycan İnformasiya və Kommunikasiya Texnologiyaları Sənayesi Assosiasiyasının sədri