اهمیت توکن کردن برای امنیت زنجیره پرداخت

آیا کارت اعتباری به زعم مشتریان آمریکایی مرده است؟ با رخدادهای اخیر رخنه‌های داده انبوه در کارت اعتباری در خرده‌فروشانی مثل Target , Home Depot دیگر وقت آن رسیده است که صنعت پرداخت بالغ کنونی تغییر کند.

به گزارش بانکینا، در این گزارش برای ترسیم آینده بازار پرداخت در آمریکا تعداد بسیاری از متغیرها شامل داده‌های زیادی از اطلاعات مشتریان در شعب، قانون تغییر مسئولیت پرداخت در اکتبر ۲۰۱۵، میزان امنیت موبایل Europay و مسترکارت و ویزا و پرداخت‌های غیرلمسی EMV و رسیدن درصد نفوذ دستگاه‌های موبایل به بالای ۷۲ درصد مقایسه شدند که کمک خوبی به گروه و متخصصان امنیت و ریسک است.

فارستر پیش‌بینی می‌کند که ایجاد امنیت و رمزنگاری و تراکنش‌ها بر اساس توکن روی کیف پول‌های دیجیتالی و کارت‌های NFC و پرداخت‌های غیرلمسی EMV باعث شده اینها رقبای جدی برای EMV chip and signature و chip and pin payment در آمریکا باشند. همچنین پیش‌بینی می‌کند EMV‌های پلاستیکی تا سال ۲۰۲۰ پذیرش جدی در آمریکا نخواهند داشت.

پرداخت های امن جزو اصول اساسی برای رشد مشتریان و نگهداری آنها

فارستر پیش‌بینی می‌کند که تا سال ۲۰۱۹، ۱۴۲ بیلیون دلار پرداخت‌های موبایلی انجام می‌شود. اطمینان و اعتماد مشتری سبب پذیرش آنها در این شکل جدید پرداخت می‌شود. هنگام پرداخت با دانستن شماره PII مشتری (مشابه شماره ملی در ایران) اطلاعات کارت پرداخت او و عادات خرج کردنش اطلاعات خوبی برای هوش تجاری در اختیار ما می‌گذارد و چنانچه مشتریان نتوانند در مسئولیت نگهداری این اطلاعات حساس به شما اعتماد کنند، جذب رقبایتان خواهند شد. بنابراین مقوله امنیت و ریسک یکی از مولفه‌های اصلی نگهداری و خدمت رسانی به مشتری است. مشتریان انتظار دارند در زنجیره پرداخت اطلاعات شخصی و پرداختی آنها حفظ شود.

روندهای کنونی نشان می‌دهند:

هک کردن تکنولوژی پایانه‌های فروش کنونی بسیار ساده است

در سال ۲۰۱۴ رخنه اطلاعاتی عنوان بسیاری از سر فصل‌های اخبار بود. رخنه اطلاعاتی بسیار هزینه‌بر بودند. بسیاری از آنها در برهه‌ای بدون اینکه مشخص شود باعث از بین رفتن اطلاعات مشتریان می‌شدند. تکنولوژی POSها قدیمی و دارای درجه امنیتی کم است و معمولاً سیستم‌عامل آنها XP است که دستیابی به شماره کارت‌ها را برای هکر میسر می‌کند.

هزینه‌های نقص داده سرسام‌آور است

Home Depot حدود ۴۳ میلیون دلار در سه‌ماهه گذشته صرف نقص داده کرده یا شرکت Target مبلغ هنگفت ۱۴۸ میلیون دلار را صرف جبران تاثیرات رخنه اطلاعاتی در کارت‌های اعتباری خود کرده است. این هزینه‌ها کاملاً اجتناب‌ناپذیرند و به نوعی هشداری برای توجه به تکنولوژی امنیت به شمار می‌روند و اگر از رمزنگاری یا توکن کردن استفاده کرده بودند، این هزینه‌های رفع نقص قطعاً کاهش می‌یافت.

رسوخ امنیتی از بالاترین تا پایین‌ترین سطح خرده‌فروشان را تحت تاثیر قرار می‌دهد

مطالعه اخیر نشان می‌دهد ۴۴ درصد رخنه اطلاعاتی و ۶۰ درصد دزدی اطلاعات رخ داده است. ۴۵ درصد خریداران به خرده‌فروشان بابت نگهداری اطلاعات اعتماد ندارند و بعد از یک رخنه اطلاعاتی ۱۲ درصد خریداران دیگر از خرده‌فروشان خرید نکرده‌اند و ۳۶ درصد کمتر خرید کرده‌اند و ۷۹ درصد آنهایی که به خرید ادامه دادند پول نقد را به کارت ترجیح می‌دهند و آمار نشان می‌دهد در خرید نقدی معمولاً پول کمتری خرج می‌شود.

موبایل‌ها امنیت ارتقایافته خوبی ارائه می‌دهند

زیرساخت پرداخت کنونی برای ۵۰ تا ۶۰ سال پیش که با کارت‌های مغناطیسی خرید می‌شد طراحی شده است. برای پرداخت‌های امروزی به تکنولوژی‌های جدیدتر و احراز هویت قوی‌تر و مقاوم‌سازی کل سیستم پرداخت نیاز است.شکل‌های جدید امنیت پرداخت مثل Starbucks Card نه تنها امنیت بهتری فراهم می‌کنند بلکه مزایای تطبیق‌پذیری نیز دارند.

تجارت الکترونیکی به سمت برتری و نمایان شدن پیش می‌رود

فارستر انتظار دارد فروش آنلاین در آمریکا در سال ۲۰۱۴ به مرز ۲۹۷ بیلیون یا حداقل به ۹ درصد تمام فروش‌ها در آمریکا برسد. بازگشت خالص سرمایه در یک بازه زمانی مشخص (CAGR) از ۱/۱۱ درصد طی سال‌های ۲۰۱۳ و ۲۰۱۸ به یک بازده ۴۴۴ بیلیونی در فروش آنلاین تا سال ۲۰۱۸ برای تجارت الکترونیکی آمریکا پیش‌بینی می‌شود که در این میان امنیت پرداخت آنلاین و تراکنش‌های بدون حضور کارت اهمیت می‌یابد.

توکن کردن، یک اصل اساسی در اکوسیستم پرداخت امن

در حالی که تکنولوژی‌های پرداخت رخنه‌های امنیتی ذاتی دارند ولی در عین حال کنترل‌های امنیتی پیشرفته‌ای ارائه می‌کنند (شکل‌های ۱ و ۲). در مقابل بسیاری از بخش‌های صنعت ما را به این باور رساند که EMV یک راه‌حل جامع برای تمام مسائل امنیتی نیست و دلایل زیر برای این مساله مطرح می‌شوند:

در حالی که EMV دستکاری را تقریباً غیر ممکن می‌سازد، کپی کردن کارت با نوار مغناطیسی بسیار آسان است.
اگر پیشخدمت رستوران کارت شما را از جلوی چشم‌تان دور کرد می‌تواند کپی کاملی از اطلاعات شما داشته باشد و تا زمانی که صورت حساب بگیرید و در آن مبلغی از شما بابت تغییر اطلاعات کسر شده باشد متوجه نخواهید شد.

کارت‌های پلاستیکی EMV از یک چیپ برای صحت کارت بابت تایید خرید استفاده می‌کنند که کار را برای کارت‌های جعلی (دستکاری‌شده) به نسبت کارت‌های نوار مغناطیسی مشکل‌تر می‌کنند.

EMV به خودی خود نمی‌تواند از رخنه اطلاعاتی جلوگیری کند، مانند اتفاقی که برای Target پیش آمد.

EMV بدون توکن کردن شماره کارت و تاریخ انقضا را که در طول تراکنش جا‌به‌جا می‌شوند رمزنگاری نمی‌کند.

EMV یک سر و گردن از تکنولوژی‌های کارت کنونی جلوتر است چون چیپی دارد که مانع جعل است، اما همچنان جلوی جعل خود کارت را نمی‌گیرد یا استفاده آنلاین جعلی از کارت در تراکنش‌های بدون حضور کارت را نیز نمی‌تواند مانع شود.

استفاده از رمزنگاری و توکن کردن بدون EMV از نفوذ جلوگیری می‌کند

رمزنگاری مستلزم به دست آوردن شماره کارت توسط ترمینال POS قبل ارسال در هر جایی از شبکه پرداخت است. مراحل توکن کردن به این شرح است: مرحله اول با اولین تراکنش توسط مشتری جدید، پایانه POS شماره کارت رمزشده را به سرویس توکن کردن PCI-DSS می‌فرستد. بعد از آن در مرحله دوم سرویس توکن کردن با یک شناسه آن را در پایگاه داده می‌نویسد که شماره کارت را به نام پذیرنده کارت آدرس شماره تلفن و سایر اطلاعات پیوند می‌دهد. سپس در سومین مرحله کار احراز هویت به شکل عادی از طرف فروشگاه (پذیرنده) انجام می‌شود. در مرحله چهارم یک توکن (و نه خود شماره کارت) را به فروشگاه (پذیرنده) برمی‌گرداند که تایید تراکنش پرداخت است. برای پرداخت‌های متعاقب و بعد از آن فروشگاه (پذیرنده) تنها توکن (و نه شماره کارت) را می‌فرستد و مرحله سوم به بعد انجام می‌شود.

چرا EMV CHIP-AND-PIN پلاستیکی در اروپا اقبال بیشتری دارد؟

کارت‌های EMV چیپ‌دار در طول یک دهه بسیار در اروپا و آسیا معمول شده‌اند. انجمن کارت‌های انگلستان طی گزارشی در سال ۲۰۱۱ اعلام کرد که کلاهبرداری کارت‌های اعتباری ۶۳ درصد افزایش یافته است؛ همان‌طور که متخصصان مدیریت کلاهبرداری می‌دانند که مبارزه با آنها مثل کندن سر یک مار آبی مشکل است و پذیرش کارت‌های EMV توسط اروپایی‌ها نیز تقریباً آن را نشان می‌دهد:
تیم‌های کلاهبرداری رمز را از کارت‌های EMV CHIP-AND-PIN می‌دزدند .
در کارت‌های EMV دستکاری کردن نوار مغناطیسی اگر غیرممکن نباشد مشکل است. در نتیجه تیم‌های کلاهبرداری نقطه تمرکز خود را تغییر دادند. بعد از اینکه کارت‌های EMV CHIP-AND-PIN در زنجیره پرداخت معرفی شدند، آنها شروع به کپی کردن داده‌ها و شماره PINها از چیپ‌ها کردند و کارت‌های جعلی نوار مغناطیسی‌ای تولید کردند که می‌توانستند با پایانه‌هایی که هم نوار مغناطیسی را قبول می‌کنند و همCHIP-AND-PIN را، پرداخت انجام دهند.
تیم‌های کلاهبرداری به آمریکا و تجارت الکترونیکی نقل مکان کردند.
تیم‌های کلاهبردار عملیات خود را به آمریکا انتقال دادند و شروع به دستکاری کارت‌ها در ماشین‌های خودپرداز کردند.
قانون تغییر مسئولیت اروپایی‌ها باعث شد کارت و ترمینال‌های خود را به‌روز کنند.
این تغییر قانون موجب شد صادرکنندگان کارت تنها کارت‌های CHIP-AND-PIN را تولید کنند و باعث شد فروشگاه (پذیرنده)ها نیز پایانه‌هایی با زیرساخت نوار مغناطیسی را به CHIP-AND-PIN و پایانه‌های غیرلمسی تبدیل کنند.

پذیرش EMV CHIP-AND-PIN پلاستیکی تا سال ۲۰۲۰ در آمریکا رخ نخواهد داد

تغییر قانون تشویق فروشگاه (پذیرنده)ها به استفاده از نوار مغناطیسی به EMV برای اکتبر ۲۰۱۵ برنامه‌ریزی شده بود، اما با محدودیت خودپردازها در سال ۲۰۱۶ انجام می‌شود. با توجه به محدودیت‌های تعیین‌شده زمانی پیش رو باز هم انتظار می‌رود آمریکا در این تغییر (EMV chip & pin & signature) به کندی پیش رود.

همه افراد درگیر در زنجیره ارزش از پذیرندگان کارت گرفته تا فروشگاه (پذیرنده)ها و پذیرنده‌ها، processor‌ها و صادرکننده‌ها باید امنیت را در اولویت قرار دهند. در ادامه مشکلاتی را که افراد در مدیریت ریسک، امنیت و کلاهبردار با آنها درگیرند ذکر می‌کنیم:

EMV از رخنه اطلاعاتی انبوه تعداد زیادی کارت پشتیبانی نمی‌کند.

رخنه اطلاعاتی انبوه و در معرض قرار گرفتن سایر قسمت‌ها هزینه سنگینی برای فروشگاه(پذیرنده) و نه تک تک تراکنش‌ها در بر دارد و EMV هیچ حمایتی از کارت‌های دزدیده‌شده نمی‌کند.

مشخصه توکن کردن EMV و فریم ورک تخصصی آن در سال ۲۰۱۴ تازه ارائه شده‌اند و هنوز پذیرش عمومی پیدا نکرده است.

چیپ EMV بیست سال قدمت دارد.

چیپ EMV همان اطلاعاتی را نگهداری می‌کند که نوار مغناطیسی دیگر کارت‌ها نگهداری می‌کند. البته EMV به صورت رمزشده نگهداری می‌کند.

علاوه بر آن طراحی EMV برای این بوده که قابلیتی به کارت‌های قبلی برای پرداخت با حضور کارت اضافه شود و برای پرداخت‌های بدون استفاده فیزیکی طراحی نشده تا به این نوع کلاهبرداری از آن توجه شود. البته در سال ۱۹۹۵ این نوع تراکنش‌ها بسیار کم صورت می‌گرفتند.

پیاده‌سازی‌های امنیت سه‌بعدی هیچ زمان مورد پذیرش عمومی قرار نگرفتند

پیاده‌سازی‌های امنیت سه‌بعدی که توسط ویزا و مسترکارت و کلید امن (safe key) تایید شدند.مدیریت کلاهبرداری در آمریکا بسیار پیشرفته‌تر است، زیرا مشتریان اصطکاک کمتری تحمل می‌کنند.
اولویت اول زنجیره پرداخت در آمریکا همیشه این بوده که اصطکاک مشتری را کاهش دهد و کار را برای آنها ساده کند. در حالی که بانک‌های آمریکایی در مدیریت کلاهبرداری از عطف به ما سبق استفاده می‌کنند بانک‌های اروپایی از مکانیسم‌های پیشگیری‌کننده مانند احراز هویت دو مرحله‌ای استفاده می‌کنند و همین تمایل آمریکا را به استفاده از EMV کم می‌کند.

کیف پول الکترونیکی و پرداخت‌های موبایل با EMV پلاستیکی تصادم دارند.

فارستر انتظار دارد EMV غیرلمسی پلاستیکی و پرداخت موبایلی غیرلمسی (یک کارت مجازی روی المان امن NFC ) و کیف‌های پول الکترونیکی (اپل‌پی و کیف پول گوگل) به شدت در رقابت با EMV پلاستیکی chip and signature و EMV plastic chip and PIN در بازار پرداخت آمریکا باشند. دلایل آن به شرح زیر است:

نفوذ گوشی‌های هوشمند در آمریکا بسیار بالاست

نزدیک به ۷۲ درصد گوشی‌ها هوشمند هستند که این بازار بزرگی است و فرصت ارتقای امنیتی خوبی برای تمام بازیگران زنجیره پرداخت به شمار می‌رود تا به سوی EMV پلاستیکی حرکت کنند. اتخاذ NFC در گوشی‌های هوشمند به سرعت با گوشی‌های آی‌فون۶ و گلکسی اس۵ و دیگر گوشی‌های مشهور در حال گسترش است.
هزینه شخصی‌سازی کارت‌های بر اساس گوشی از پلاستیکی‌ها کمتر است.
فارستر انتظار دارد که یکی از کارت‌های شرکت‌های American express mastercard visa روی یک المان امن در محیط قابل اعتماد از گوشی موبایل قرار گیرد. در این سناریو مشتری می‌تواند از چیپ NFC تعبیه‌شده روی کارت برای پرداخت غیرلمسی استفاده کند و این هزینه صادرکننده‌ها را برای شخصی‌سازی و فرستادن کارت‌ها به دارنده کارت‌ها کاهش می‌دهد.

امنیت بالای گوشی‌های هوشمند و احراز هویت آنها امنیت پرداخت را بالا می‌برد

یکی از کاستی‌های سیستم‌های کارت پلاستیکی این است که احراز هویت دارنده کارت بدون حضور کارت و با حضور کارت بسیار ضعیف است (رمز چهار تا هشت رقمی هم برای به خاطر سپاری ساده است و هم برای استراق سمع) و پایانه‌های پرداخت می‌توانند درخواست در نظر نگرفتن آن را بدهند. گوشی‌ها حسگر خواندن اثر انگشت دوربین و میکروفن برای پارامترهای بیومتریک هم با حضور کارت و هم بدون حضور کارت دارند. GPS می‌تواند محدوده جغرافیایی برای دارنده کارت‌ها در زمان پرداخت ایجاد کند.

مدیریت تقلب در تراکنش‌های موبایلی قابل اعتمادتر و دقیق‌تر است

پرداخت‌های بر اساس موبایل اطلاعات بیشتری همچون آی‌پی، آدری، مکان و داده‌های سنسور تولید می‌کنند و مدیریت تقلب می‌تواند از این داده‌ها استفاده کند تا تصمیمات آنی بهتری برای استفاده از کارت پرداخت بگیرد. گوشی‌ها می‌توانند برنامه‌هایی چون پی‌پل را اجرا کنند که توانایی مدیریت تقلب EFM را از تامین‌کنندگانی چون ACI و FICO و SAS افزایش می‌دهند تا مدیریت پرداخت بدون حضور کارت بدون اصطکاک انجام شود که از کلیدهای اساسی بخش EFM است.

اکوسیستم بزرگ کیف پول الکترونیکی و EMV غیرلمسی، استفاده از پایانه‌های غیرلمسی را اجباری می‌کند

اتخاذ اپل‌پی، کیف گوگل، MCX، CurrentC و کیف پول الکترونیکی پی‌پل با اینکه رقیب یکدیگر هستند، فروشگاه(پذیرنده)ها را مجبور می‌کنند پایانه‌های POS کنونی را ارتقا دهند تا هم غیرلمسی‌ها و هم نوارهای مغناطیسی و هم چیپ پشتیبانی شود. وقتی پایانه‌های POS از کارت‌های غیرلمسی و NFC روی دستگاه‌های موبایل پشتیبانی کنند فارستر پیش‌بینی می‌کند که بسیاری از مشتریان آمریکایی از نوارهای مغناطیسی به پرداخت‌های غیرلمسی کوچ کنند.
در پرداخت‌های موبایلی توکن کردن بسیار ساده و آماده است. ذخیره شدن شماره حساب مهم‌ترین مساله در بسیاری از رخنه‌های اطلاعاتی مثل مورد سونی و شرکت Mandarin Oriental به شمار می‌رود. در حالی که Current C ، پرداخت اپل و کیف الکترونیکی گوگل اطلاعات را به صورت توکن‌شده در اینترنت منتقل می‌کنند، در مورد EMV این مورد تازه در حال ظهور است و با این سیستم‌ها فروشگاه(پذیرنده) هم نیازی به ذخیره شماره کارت ندارد و در هزینه برای PCI-DSS صرفه‌جویی می‌شود. ولی متخصصان امنیت و ریسک باید توجه داشته باشند که فروشگاه(پذیرنده) می‌تواند اطلاعات PII مشتری را ذخیره کند و توکن را به آن بچسباند و اطلاعات حساس مشتری را در اختیار داشته باشد.

منبع: پیوست