ابعاد مختلف امنیت در کارت‌خوان‌های موبایلی

دستگاه کارت‌خوان موبایلی دستگاهی جدید است که از سال ۲۰۰۶ در بازار آمریکا پدیدار و با استقبال بسیار زیادی مواجه شده است. بلافاصله پس از تحولی که استیو جابز در دنیا ایجاد کرد، موبایل آیفون به‌عنوان پلتفرمی جدید، محل جولان برنامه‌نویسان تفننی شد.

به گزارش بانکینا، با راه‌اندازی App Store و ارائه SDK برای برنامه‌نویسی روی آیفون، ارائه برنامه‌های متنوع، این بار به‌قصد کسب درآمد نیز محقق شد. بدیهی بود که یکی از زمینه‌هایی که به آن ورود خواهد شد بحث پرداخت بود. برای بار نخست محصولات تماماً نرم‌افزاری ارائه گردید، در دفعات بعد افزودن سخت‌افزار کارت‌خوان به آن مطرح شد و در گام بعد برای ایمن‌سازی آن اقدام گردید. درنتیجه این فعالیت‌ها، راه‌حلی نرم‌افزاری، سخت‌افزاری بانام عمومی کارت‌خوان موبایلی مطرح گردید. امروزه دستگاه‌های کارت‌خوان موبایلی در انواع مختلفی تولید و به کار گرفته می‌شوند. ولی دلیل استقبال گسترده از این ابزار جدید چیست؟

این دستگاه برای On the go Merchant ها وسیله‌ای ایده‌آل است، متخصصان تعمیرات منزل، پیک رستوران‌ها و فست‌فودها و بسیاری از مشاغل دیگر. اتصال کارت‌خوان موبایلی محدود به موبایل نیست، می‌توان آن را به تبلت، کامپیوتر، صندوق فروشگاهی، Vending Machine و یا ابزارهای دیگر متصل نمود. در این وضعیت مرچنت می‌تواند روی تبلت هر نرم‌افزاری ازجمله نرم‌افزار سفارش گیری و خوشامدگویی را نصب کند. این در مقایسه با نرم‌افزار کارت‌خوان بسیار بهتر است.

از دید شرکت پرداخت الکترونیک نیز ارائه چنین ابزاری بسیار مقرون به‌صرفه‌تر از دستگاه کارت‌خوان سنتی است. در کشورهایی که شرکت‌های پرداخت الکترونیک به‌طور رایگان کارت‌خوان در اختیار مرچنت قرار می‌دهد، این موضوع باعث کاهش حجم سرمایه‌گذاری موردنیاز و در کشورهای دیگری که کارت‌خوان به مرچنت فروخته می‌شود، نیز این ابزار باعث کاهش زیاد قیمت شده و حجم فروش بسیار زیاد می‌گردد. هم‌چنین برخی از مرچنت‌ها که قبلاً امکان ارائه سرویس تنها از طریق GPRS POS میسر بود، این بار محصول ارزان‌تری دریافت می‌کنند.

هزینه کم‌تر

مردم با استفاده از کارت‌خوان موبایلی در مقایسه با انجام تراکنش به‌صورت Card Not Present روی درگاه پرداخت اینترنتی کارمزد کمتری می‌پردازند. درواقع این تکنیکی است که از سوی برخی از شرکت‌ها که هردوی آن‌ها را ارائه می‌کنند به کار گرفته می‌شود تا مردم به خرید این دستگاه تمایل بیشتری نشان دهند.

این دستگاه ابزاری مفید برای عملیات مالی Person – to –Person به شمار می‌رود. سابقه ارائه راه‌حل‌های الکترونیکی برای این نوع انتقال وجه در آمریکا طولانی است، دستگاه کارت‌خوان موبایلی بهترین راه‌حل در این حوزه به شمار می‌رود.

کارت‌خوان موبایلی باعث ظهور شکل‌های جدیدی از فرآیند فروش شده است، هرچند که شاید این روش‌ها را بتوان با دیگر ابزارها نیز طراحی و به کار بست، ولی تا قبل از این پدیده، کسی چنین روش‌هایی را ارائه نداده بود.

یک نوع خاص از پیاده‌سازی آن بانام Slide Stand Mini POS وجود دارد که کارکردهای خاصی پیداکرده است. یک Stand که روی میله اصلی آن کار تبلیغاتی انجام می‌شود، در بالای آن صفحه‌ای قرار دارد که روی آن‌یک تبلت قرارگرفته، به دستگاه تبلت، ابزار کارت‌خوان موبایلی متصل است.

در بارها، رستوران‌ها و کافی‌شاپ‌ها، خصوصاً از این دستگاه استفاده فراوانی می‌شود. با اتکا به این دستگاه، عملیات انتخاب و پرداخت وجه روی Stand های مخصوص انجام‌شده و Counter top فروشگاه، محلی برای موضوعات مهم‌تر شده است.

موضوع دیگر استفاده از آن‌ها در کنار میزهای هوشمند در این فروشگاه‌ها است. میزی که پشت آن برای خوردن نشسته‌اید، یک مانیتور لمسی است که با آن غذا را سفارش داده و در کنار میز کارت‌خوان موبایلی بدون اینکه مزاحمتی ایجاد کند، برای پرداخت آماده است.

توسعه دستگاه‌های کارت‌خوان موبایلی

این دستگاه برای اولین بار در آمریکا عرضه شد، ولی هم‌اکنون در کانادا، استرالیا، هنگ‌کنگ و ژاپن هم ارائه می‌شود. در این کشورها آنچه شایسته دقت است، نحوه استفاده و نوع کارت مورداستفاده است. در این کشورها تراکنش با کارت اعتباری به‌صورت پیش‌فرض یا موردی به‌صورت PIN Less پردازش می‌شود. در ارتباط با کارت نقدی نیز، برخی از کارت‌های نقدی آن‌ها به‌صورت Signature Debit Card صادر می‌شوند که تراکنش را می‌توانند به‌صورت PIN-Less ارائه دهند و این امکان به لطف پشتیبانی سیستمی آن‌ها از تراکنش Authorization Hold است؛ بنابراین حجم عمده کارت‌خوان‌ها موبایلی مورداستفاده در دنیا، نیازی به دریافت رمز کارت نداشته و لذا ابزاری نیز برای آن ارائه نمی‌دهند.

تنها در دو سال اخیر است که برخی از تولیدکنندگان از ترکیب کارت‌خوان موبایلی و PIN Pad اقدام به ساخت دسته جدیدی از کارت‌خوان‌های موبایلی باقابلیت دریافت رمز کارت نموده‌اند.

البته بدیهی است که هیچ مانعی بر سر راه استفاده از آن‌ها در شبکه‌های پرداخت غیر بانکی و Closed Loop نیست، امروزه بسیاری از فروشگاه‌ها و مراکز خدماتی، کارت‌های وفادارسازی خود را ارائه می‌دهند، برخی حتی ارز اختصاصی خود را دارند که با آن‌ها می‌توان با استفاده از کارت‌خوان موبایلی استفاده کرد. چنانچه دارای کارت هوشمندی باشید که روی آن چندین برنامه وفادارسازی وجود دارد، استفاده از ترکیب تبلت و کارت‌خوان موبایلی بهترین و جامع‌ترین راه‌حل است تا از موجودی هر برنامه خود مطلع شده، روی تبلت برنامه‌های تکمیلی، کالاهای قابل خریداری، تبدیل آن به پول و … را مشاهده و دنبال کنید. به‌عنوان‌مثال استارباکس بزرگ‌ترین کافی‌شاپ زنجیره‌ای دنیا که دارای سیستم پرداخت مخصوص به خود است، از کارت‌خوان موبایلی استفاده می‌کند.

انواع بسیار مختلفی کارت‌خوان موبایلی از سوی تولیدکنندگان تاکنون ارائه‌شده است. به‌طور مشخص دو کمپانی آمریکایی Id Tech Product و Magtec تنوع بسیار زیادی به محصولاتشان داده‌اند. خصوصاً این شرکت‌ها انواعی از کارت‌خوان موبایلی را ارائه داده‌اند که به همراه کارت‌خوان مغناطیسی و یا بدون آن، امکان پذیرش کارت‌های هوشمند مبتنی بر EMV را نیز فراهم می‌کند.

همان‌گونه که در مبحث PIN Pad تنوع گونه‌های ارائه‌شده، به‌قدری زیاد است که مرز بین POS بودن و PIN Pad بودن را دشوار ساخته، در اینجا نیز مرز بین کارت‌خوان موبایلی با سایر ابزارهای مشابه، به دلیل تنوع زیاد آن قابل‌تشخیص دقیق نیست. شاید بتوان به‌طور انتزاعی مرز تفکیک را این‌گونه تعریف کرد که کارت‌خوان موبایلی دستگاهی است که چاپگر ندارد و پردازش تراکنش نه روی کارت‌خوان موبایلی که روی دستگاه مبدأ صورت می‌پذیرد.

اتصال کارت‌خوان موبایلی به موبایل، تبلت، PC و … به سه روش تاکنون پیاده‌سازی شده است. عمده آن‌ها از طریق پورت صدا، برخی از طریق یواس‌بی و برخی دیگر از طریق بلوتوث به دستگاه اصلی متصل می‌شوند.

امنیت در کارت‌خوان‌های موبایلی چگونه است؟

دستگاه‌های کارت‌خوان موبایلی از قابلیت نرم‌افزاری بانام USB HID (API) بهره می‌گیرند، این ماژول، نرم‌افزاری بسیار کوچک است که باعث می‌شود این دستگاه‌ها بدون نیاز به نصب درایور توسط سیستم‌عامل دستگاه مبدأ شناخته شوند.

در زیر تنوع دستگاه‌های موجود را به‌صورت فهرست‌وار بیان نموده‌ایم:

1. به دلیل تفاوت‌های اساسی در سیستم‌عامل موبایل‌ها، کارخانه سازنده، مدل‌های مختلفی می‌سازد که برخی از آن‌ها با سیستم عامل آی‌اواس و برخی دیگر با اندروید یا دیگر سیستم‌عامل‌ها سازگار هستند. البته مدل‌های سازگار با محصولات اپل نیز به دلیل تغییرات در پورت‌های سری‌های مختلف آیفون متفاوت‌اند.
2. جنس بدنه دستگاه‌ها از پلاستیک فشرده و یا فلز است.
3. برخی از آن‌ها دارای پورت صدا هستند، برخی دیگر پورت یواس‌بی و برخی هر دو را دارند.
4. پورت‌های دستگاه می‌تواند به‌صورت Fixed و یا Retractable headphone jack (USB Port) بدین معنی که پورت‌های دستگاه را وقتی لازم نداریم بتوانیم آن‌ها را به داخل دستگاه بکشانیم.
5. نمونه‌های اولیه، به دلیل اینکه ازیک‌طرف با جک صدا به موبایل وصل می‌شدند، هنگام کشیدن کارت، به‌شدت غیر پایدار بوده و دور خود می‌چرخیدند، مدل‌های جدید معمولاً پایدارکننده دارند؛ زائده‌ای به سمت پایین (در همان سمتی که جک هست) که در دو طرف دستگاه موبایل قفل می‌شود و مانع تکان خوردن آن می‌گردد. برخی از دستگاه‌ها دارای پایدارکننده قابل تنظیم هستند.
6. دستگاه‌ها در اندازه‌های بسیار متفاوت ساخته می‌شوند. معمولاً اگر تنها مگنت‌خوان داشته باشند (MSR Only) دارای کوچک‌ترین اندازه، اگر دارای EMV Slot باشند دارای اندازه بزرگ‌تر و درنهایت اگر دارای PIN Pad باشند بزرگ‌ترین اندازه رادارند، حتی در حالت سوم نیز به‌اندازه نیمی از یک EFTPOS نرمال نخواهند بود.
7. برخی از آن‌ها را می‌توان از راه دور به‌روزرسانی کرد و برخی دیگر را خیر.
8. در برخی از آن‌ها می‌توان به‌صورت ریموت عملیات تغییر کلید را انجام داد و در برخی دیگر خیر.
9. معمولاً دارای خواص Tamper-Resistance و Tamper Evidence هستند.
10.  بسیاری از کارت‌های مغناطیسی دارای خاصیت امنیتی فیزیکی بانام unique magnetic fingerprint هستند، برخی از آن‌ها، آن را متوجه می‌شوند و برخی دیگر خیر.
11. در مدل‌های MSR تمامی آن‌ها اطلاعات آنالوگ خوانده‌شده از کارت را به اطلاعات دیجیتالی تبدیل می‌کنند.
12. تمامی آن‌ها داری بخشی مستقل برای عملیات رمزنگاری درون خود هستند.
13. انواع مختلف آن‌ها Track 2، Track 1,2، Track 2.3، Track 1,2,3 را می‌خوانند. خواندن Track1 برای خواندن نام دارنده کارت و درج عبارت خوشامدگویی است.

دستاوردی جدید برای خواسته‌ای قدیمی

نگاهی بیندازیم به این دستاورد جدید دنیای پرداخت. جک دورسی از بنیان‌گذاران توییتر، دوستی از دوران کودکی خود در شهر سنت‌لوییس میسوری آمریکا بانام جیم مک‌کلوی داشت که در کنار فعالیت اصلی خود به‌عنوان اقتصاددان، از دوران کودکی به شیشه و بلورسازی علاقه داشت و محصولات خود را تولید می‌کرد.

مک‌کلوی به پول فروش شیشه‌ها نیازی نداشت، ولی نمی‌توانست بلورهای شیشه‌ای زیبا و گران‌قیمت خود را که قیمتی بالای هزار دلار داشتند، بفروشد، چراکه دستگاه پذیرش کارت اعتباری نداشت. دستگاه کارت‌خوان وی تنها Cash Card می‌پذیرفت و او حاضر نبود به کارمزد گزاف پذیرش کارت‌های اعتباری تن دهد. در سال ۲۰۰۸، وقتی‌که چند جلسه دیدار با جک دورسی داشت و این دو به دنبال تعریف کسب‌وکار جدیدی بودند، ایده خود را مطرح کرد.

نمونه اولیه دستگاه یک کارت‌خوان مغناطیسی بسیار ساده بود که با یک سیم به‌طور مستقیم به دستگاه آیفون وصل می‌شد. آن‌ها در آغاز نام Squirrel را برگزیدند تا اینکه در ملاقات با یکی از مدیران اپل نام محصول را به اسکویر تغییر دادند. دستگاهی که برای خواندن کارت مغناطیسی ساختند که مکعب کوچک سفیدرنگ بود؛ در ابتدا خبری از هیچ نوع رمزنگاری نبود، حتی اطلاعات کارت که به‌وسیله Magnetic Head خوانده می‌شد به همان صورت مغناطیسی برای موبایل فرستاده می‌شد تا در آنجا پس از تقویت، دیجیتالی شده و بتوان اطلاعات کارت را استخراج کرد.

در سال آوریل سال ۲۰۱۱ کمپانی وریفون که آن‌ها را رقیب خود می‌دید، ادعا کرد که راه‌حل اسکویر ناامن است و یک برنامه‌نویس قوی می‌تواند با نوشتن یک برنامه جایگزین بجای اپلیکیشن اسکویر آن را روی موبایل نصب‌کرده و اطلاعات کارت اعتباری برای این برنامه نیز از کارت‌خوان اسکویر ارسال شود. وریفون یک ویدیو از نفوذ به اسکویر را روی اینترنت منتشر کرد.

ناجوانمردی وریفون

وریفون چندی پیش راه‌حلی بانام Pay Ware ارائه داده، راه‌حلی مبنی بر آیپد مینی، در قالب روکشی که به‌صورت کمربند به دور کمر شخص بسته می‌شد و راه‌حلی بسیار ایده‌آل برای پیک‌های فست فودی‌ها بود، این دستگاه تطابق کاملی با استانداردها داشت.

دورسی در پاسخ به این کار وریفون نوشت: «نه جوانمردانه و نه درست» هم‌چنین نوشت که شاید در آن کار وریفون اطلاعات را از روی کارت خوانده و در خروجی برنامه نوشته‌اند و به‌علاوه آن‌ها سرویس‌های ممانعت از کلاه‌برداری Fraud Protection که از جانب صادرکننده اجرا می‌شود را نادیده گرفته‌اند.

پس‌ازآن اسکویر یک رمزنگاری قوی در دستگاه‌های خود شامل استانداردهای SSL و PGP را به کار گرفت. کلیدهایی با حداقل طول ۲۰۴۸ بیت را در نظر گرفت. پس‌ازآن شماره کارت، اطلاعات نوار مغناطیسی و کد امنیتی در دستگاه موبایل ذخیره نشد. هم‌چنین مجموعه دستورالعمل‌های OWASP(Open Web Application Security Project) را به کار برد؛ و پس از چندی PCI – Compliant (سازگار با PCI) شد.

در ژوئن ۲۰۱۳، شرکت از Square Stand در یک مهمانی در محل Blue Bottle در سانفرانسیسکو پرده‌برداری کرد. این ویرایش جدید باعث می‌شد که بتوان سیستم فروش را به‌طور کامل به هر طرف به‌راحتی چرخاند. Card Reader بزرگ‌تر و پایه چرخان. بیش از یک سال برای ساخت این دستگاه صرف شد و تیمی حدوداً پانزده نفر زیر نظر جسی دروگوسکر مدیر ارشد بخش طراحی و ساخت Accessories اپل آن را ایجاد کردند. این دستگاه با سری جدید آیپد ۲ یعنی ۳rd generation (30-pin connectorer) ساخته شد.

مدتی بعد دستگاهی دیگر بانام Square Register ساخته شد که جایگزینی مناسب برای دستگاه‌های فروشگاهی قدیمی و کارت‌خوان‌های بانکی، بود.

این کمپانی در مدت حیات خود توسط چند نفر سرمایه‌گذار مخاطره پذیر حمایت‌شده است. این کمپانی محصول خود را از مارس ۲۰۱۳ رایگان عرضه نمود و نرم‌افزار آن به‌رایگان از اپ‌استور قابل دانلود است. در مقابل Square کارمزد ۲.۷۵ درصد به ازای هر بار پذیرش کارت اعتباری دریافت کرد. در صورت ورود دستی اطلاعات کارت، کارمزد به ۳.۵ درصد به‌علاوه ۱۵ سنت افزایش می‌یافت. در جمعه هفده آبان هزار و سیصد و نودودو، اسکویر مدل کارمزدی خود را به پرداخت ۲۷۵ دلار شارژ ثابت ماهانه تغییر داد.

محصول پرسروصدای مشابه دیگر از سوی پی‌پال بانام Paypal Here ارائه شد، یک کارت‌خوان موبایلی کوچک‌تر از هر کارت‌خوان موبایلی دیگری که ساخته شد؛ به‌علاوه شکل جسورانه آن‌که به‌صورت یک مثلث بود.

راه‌حل پی‌پال می‌توانست، علاوه بر کارت اعتباری، صورتحساب‌های صادره و چک را نیز بخواند. هم‌چنین دارای سرویس نمایش و ثبت مکان بود. کارمزد دریافتی پی‌پال نیز ۲.۷ درصد به ازای هر کارت بود. البته در صورت تسویه با Paypal debit Card یک درصد از کارمزد Cash back می‌شود. در صورت ورود دستی شماره کارت و یا اسکن کارت، کارمزد دریافتی ۳.۵ درصد بعلاوه ۱۵ سنت است. در صورت پذیرش کارت غیر آمریکایی ۱ درصد کارمزد Cross – border گرفته می‌شود. به‌علاوه نرخ Check Processing آن نیز رایگان است.

برخلاف پشتیبانی اسکویر که تنها از طریق وب‌سایت است، پشتیبانی این محصول در پی‌پال توسط گروه پشتیبانی پرداخت‌های پی‌پال انجام می‌شود. تسویه پی‌پال بلادرنگ است ولی اسکویر روز بعد انجام می‌شود.

کانال پرداخت اصلی هر دو Credit Card و Signature Debit Card non –PIN است. البته پی‌پال تراکنش را با حساب مشتری در پی‌پال (Pay pal Account) تسویه می‌کند که توسط Pay pal Debit Card قابل‌استفاده است. اسکویر روز بعد در Checking Account مشتری می‌ریزد. پی‌پال سرویس خود را در آمریکا، کانادا، هنگ‌کنگ و استرالیا می‌دهد. اسکویر به کانادا و آمریکا اکتفا کرده است.

امنیت چگونه تضمین می‌گردد؟

امنیت. درجایی به‌درستی نوشته بود که نه اسکویر و نه Pay pal here، هیچ‌کدام کارت اعتباری را پردازش نمی‌کنند، هردوی آن‌ها تنها یک تجمیع کننده هستند. اطلاعات تجمیع شده توسط اسکویر توسط Chase Paymentech (درگاه پرداخت متعلق به بانک آمریکایی جی مورگان چیس) پردازش می‌شود؛ و اطلاعات Pay pal here توسط وب‌سایت Paypal. جریان چیست؟

نگرانی‌های امنیتی از ابتدای ارائه این محصول وجود داشته است. حتی امروز که همه آن‌ها از امکانات پیچیده‌ای استفاده می‌کنند و راه نفوذ را بر خود بسته‌اند، باز هم ازنظر امنیت بانکی مورد اشکال هستند. یک زیرکی که تقریباً تمام تولیدکنندگان کارت‌خوان موبایلی به کار می‌برند این است که اعلام می‌کنند آن‌ها PCI-Complaint هستند. این درست است ولی آن‌ها PCI-DSS Complaint نیستند، آن استانداردی که در صنعت پرداخت اجباری است.

واقعیت این است که نهاد PCI-SCC سه نوع استاندارد را منتشر می‌سازد:

• (PCI-DSS) یا PCI Data Security Standard
• (PA-DSS) یا Payment Application Data Security Standard
• (PCI-PTS) یا PIN Transaction Security

آنچه کارت‌خوان موبایلی خود را با آن سازگار نموده‌اند، PA-DSS هست.

در سپتامبر ۲۰۱۰، آقای تروی لیچ معمار ارشد استانداردهای PCI DSS، موضوع زیر را عنوان نمود:

… properly implemented P2PE will allow merchants to reduce their scope in complying with the Payment Card Industry Data Security Standard.

… درواقع، روش‌های پیاده‌سازی الکترونیکی انتقال وجه P2P، به مرچنت‌ها این امکان را می‌دهد که محدوده تطابق‌پذیری موردنیاز استاندارد PCI-DSS را کاهش دهند.

شرکت‌های سازنده از معماری استفاده می‌کنند که معماری به کار گرفته‌شده در سمت کارت‌خوان موبایلی برای رعایت امنیت با یک درگاه پرداخت ایمن را ترکیب می‌کنند تا نیازی به رعایت استاندارد PA-DSS توسط نرم‌افزار نصب‌شده روی موبایل یا تبلت نباشد. به عبارت ساده استفاده از Payment Protect Gateway ضروری است، چراکه آنچه به مرکز ارسال می‌شود، در این صورت می‌تواند یک Message ISO 8583 (و یا بالاتر) نباشد و این امر برنامه‌نویسی سمت کاربر را بسیار راحت می‌کند. دیگر اینکه به کمک PPG تأمین نیازمندی‌های امنیتی PCI راحت‌تر است.

با رمزنگاری در نزدیک‌ترین نقطه به Swipe Reader و بلافاصله پس از کشیدن کارت، «اطلاعات کارت» با استاندارد DES3 رمزنگاری می‌شود. کلید مورداستفاده برای رمزنگاری دینامیک و از روش DUKPT استفاده می‌شود. هیچ کلیدی در هیچ مرحله‌ای برای اپ‌های موبایل قابل‌دسترس نیست. با این روش End to End Encryption محقق می‌شود.

برخی از مدل‌ها علاوه بر این کار، با ارائه سرویس توکن و سرویس Card Authentication سطحی بالاتر از امنیت را ارائه می‌دهند.

آقای باب روسو مدیرعامل PCI –SCC می‌گوید: ما معتقدیم که استاندارد PCI –DSS یک زیرساخت بسیار محکم امنیتی برای نگهداری از اطلاعات پرداخت و سایر داده‌ها به وجود می‌آورد. ولی امنیت با سازگاری با DSS نه آغاز می‌شود و نه پایان می‌یابد، باید به روش‌های خوب امنیتی پرداخت و خود را با آن‌ها تطبیق داد

این سخنی است که از سوی سازندگان کارت‌خوان موبایلی – به‌عنوان ابزاری که تاکنون PCI – SCC بدان روی خوش نشان نداده است – مبنا و الهام‌بخش آنان برای رعایت حد اعلای امنیت، ارائه امکانات جدید امنیتی و نگهداری ایمن اطلاعات کارت (Data Card) شده است.

نرم‌افزار نویسان، اغلب از تبعیت از PCI – DSS روی‌گردان هستند چراکه آن‌ها را مجبور می‌کند، اطلاعات هر چه کمتری در نرم‌افزار خود، حتی برای پردازش، نگهداری کنند. آن‌ها کاری به اطلاعات کارت ندارند و اطلاعات دارنده کارت را جمع-آوری و پردازش می‌کنند.

بر اساس استانداردهای PCI اگر اپی اطلاعات دارنده کارت را حتی به‌صورت رمزنگاری شده، نگهداری کند، باید مطابق با PA – DSS باشد.

علاوه بر آن، PAN کارت، وضعیت رعایت PCI – DSS و PA- DSS را تعیین می‌کند، به این معنا که اگر PAN ذخیره نشود، پردازش نشود و ارسال و دریافت نشود، لازم به به کار بردن PCI – DSS و PA – DSS نیست.

به عبارت ساده اگر اپ به اطلاعات PAN کاری نداشته باشد، آن اپ از محدوده الزامات PA-DSS خارج است؛ بنابراین مستقل ساختن کارت‌خوان موبایلی از نرم‌افزار کاربر (موبایل / تبلت و…) یک موضوع کلیدی است.

نیازمندی‌های PA –DSS در ادامه فهرست شده‌اند:

۱. اطلاعات نوار مغناطیسی و CVV2 و Pin Block نباید نگهداری شود.

۲. ذخیره‌سازی امن و محافظت‌شده اطلاعات دارنده کارت

۳. ارائه قابلیت‌های احراز هویت امن توسط نرم‌افزار

۴. ذخیره‌گیری اطلاعات فعالیت اپ.

۵. پیاده‌سازی اپ‌های پرداخت امن

۶. ایمن‌سازی تبادل اطلاعات به‌صورت بی‌سیم

۷. آزمون آسیب‌پذیری اپ

۸. کمک و تسهیل در پیاده‌سازی یک شبکه امن

۹. اطلاعات دارنده کارت نباید در سروری که به اینترنت متصل است تحت هیچ شرایطی نگهداری شود.

۱۰. تسهیل ارتباط از راه دور امن به نرم‌افزار

۱۱. رمزنگاری اطلاعات حساس در موقع استفاده از شبکه‌های عمومی

۱۲. تمام دسترسی‌های به‌غیراز ارتباط با کنسول مدیریت سیستم باید رمزنگاری شود.

۱۳. مستندسازی و نگهداری آن‌ها، اجرای برنامه‌های آموزشی برای مشتریان، فروشندگان و ارائه‌دهندگان اپ

با استفاده از secure card reader authenticator (SCRA) روی کارت‌خوان موبایلی و مرتبط ساختن موبایل با یک درگاه پرداخت ایمن (Payment Protect Gateway=PPG)، نیازمندی‌های ۳ و ۵ و ۶ و ۷ و ۹ و ۱۰ و ۱۲ تأمین‌شده، تنها مواردی که باید چاره‌اندیشی شود موارد ۱ و ۲ و ۱۱ است. موارد ۸ و ۱۳ نیز که به‌آسانی قابل تحقق است.

چنانچه نکات زیر در پیاده‌سازی راهکار (SCRA و PPG) لحاظ شود نیازمندی‌های باقی‌مانده نیز برطرف می‌شوند

۱. تمامی عملیات خواندن اطلاعات کارت توسط SCRA انجام شود.

۲. ورود رمز و کلید به‌صورت دستی از طریق رابط کاربری برنامه کاربردی مجاز نبوده و ورود PAN برای تراکنش CNP باید به‌وسیله صفحه کلیدی مطابق با استاندارد PCI PED و یا PCI PTS باشد.

این موضوع برای تراکنش در راه‌حل‌های مبنی بر کارت‌های عادی بانکی است؛ در راهکارهای مبنی بر PIN Less نیازی به ورود رمز و درنتیجه استفاده از PED نیست.

۳. تمامی تراکنش‌ها به‌صورت بلا واسطه برای PPG ارسال شوند.

۴. نه مرچنت و نه نرم‌افزار نباید به‌کلیدهای مورداستفاده SCRA دسترسی داشته باشند.

۵. قطعه SCRA باید مطابق استاندارد سطح سه یا بالاتر باشد.

با همه این‌ها تشخیص سازگاری راهکار با PCI – DSS بایستی به‌وسیله بازرسان مجاز نهاد یعنی PCI –QSA تأیید شود.

با توجه به موضوعات فوق، ارائه‌دهندگان کارت‌خوان موبایلی با اتکا به رعایت ایمنی در حد اعلاء در بخش Card Reader راه‌حل‌ها و استفاده از PPG به‌عنوان واسطه و مبدل تراکنش، پیاده‌سازی راه‌حلی بسیار ساده و کاربرپسند را در اختیار توسعه‌دهندگان نرم‌افزارهای سمت کاربر قرار می‌دهند تا آن‌ها بتوانند تنوع زیادی را در محصول خود ایجاد کنند. لازم به ذکر است که تراکنش به‌صورت Card Not Present تحویل سوئیچ می‌شود و در این راهکار نیاز به ورود اطلاعات توسط مشتری بسیار کمتر است.

آخرین خبرها حاکی از آن است که دستگاه کارت‌خوان موبایلی باقابلیت اتصال مستقیم به سوئیچ Acquirer بدون نیاز به واسطه‌گری PPG به بازار آمده است.

آرش حسین‌پور، فعال صنعت پرداخت الکترونیک (arash.hp@gmail.com)

منبع: نشریه بانکداری الکترونیک مرکز فابا