بانک مرکزی با توجه به ضرورت ارتقا امنیت در بخشهای مختلف بانکداری الکترونیکی، نشانه گذاری پرداخت را بهعنوان جدیدترین راهکار افزایش امنیت پرداخت معرفی کرده است.
به گزارش بانکینا، مدیریت کل فناوری اطلاعات اداره نظام های پرداخت بانک مرکزی با تشریح چگونگی “پرداخت مبتنی بر نشان گذاری” سعی در معرفی این خدمت جدید در حوزه بانکداری الکترونیک به مشتریان سیستم بانکی کشور داشته که به شرح زیر است:
در حال حاضر روند توسعه سیستم های پرداخت در راستای بهره برداری از ابزارها و فناوری های جدید به عنوان کانال پرداخت است. این در حالی است که افزایش تعداد کانالهای پرداخت موجب پیچیدتر شدن تامین امنیت و بوجود آمدن تهدیدات جدید در این حوزه شده و بانک ها در حین استفاده از فرصت پیش آمده باید ساز و کارهای جدیدی را نیز برای تامین امنیت بکار گیرند.
برای نمونه اگرچه استفاده از کارت های مبتنی بر EMV میتواند برای تراکنش های کارتی امنیت مورد نیاز را تأمین کند و امکان جعل کارت را کاهش دهد اما بکارگیری این فناوری کاهش تقلب های غیرکارتی و امنیت محیط های نوظهور که از کانال های پرداخت گوناگون استفاده میکنند را پوشش نمی دهد.
در چنین شرایطی سیستم های نشانگذاری پرداخت با جایگزین کردن شماره کارت با نشانه قادرند این نیاز را پاسخ دهند. در مدیریت ریسک دو مقوله احتمال وقوع ریسک و شدت اثر وقوع ریسک اهمیت دارد. طبق نکات مطرح شده سازوکارهای امنیتی مانند EMV احتمال وقوع ریسک را کاهش میدهد در حالی که نشانگذاری به دنبال کاهش شدت اثر وقوع ریسک است.
برای اینکه نشانه های پرداخت بتوانند امنیت مضاعفی در برابر سوءاستفاده های احتمالی تأمین کنند لازم است در دامنه کاربرد خاصی تعریف شده و مورد استفاده قرار گیرند.
استفاده از نشانه پرداخت به نفع مشتری
به صورت کلی استفاده از نشانه های پرداخت برای تمامی ذی نفعان اکوسیستم پرداخت مزایایی را در بردارد. صادرکنندگان کارت و دارندگان کارت میتوانند از روش های پرداخت امن تر و کاهش ریسک تقلب بهرهمند شوند. علاوه بر این با کاهش تهدیدهای حملات برخط و دزدی اطلاعات کارت پذیرندگان و صاحبان کسب وکار نیز از سطوح اطمینان بالاتر در پرداخت بهره خواهند برد.
همچنین شبکه های پرداخت قادر خواهند بود با کمترین تغییر در تعاملات فیمابین و کاهش نیازمندی های امنیتی در سطح شبکه فعالیت کنند.
افزایش امنیت با به کارگیری نشانه پرداخت
علاوه بر مزایای مطرح شده دلیل دیگری وجود دارد که بر اهمیت نشانگذاری افزوده است. با توجه به بخش استاندارد امنیتی PCI DSS هایی از شبکه بانکی که به اطلاعات کارت دسترسی دارند دارای ریسک امنیتی بالایی نیز خواهند بود که با پیاده سازی پرداخت مبتنی بر نشانه و جایگزینی اطلاعات کارت با اطلاعات نشانه دامنه استقرار استاندارد PCI DSS کاهش یافته و انطباق با آن آسان تر خواهد شد.
همچنین با توجه به روند رو به رشد تکنولوژی ها مانند IOT و گسترش فعالیت FinTech ها می توان اظهار داشت که استفاده از سیستم نشان گذاری موجب تسهیل مسیر پیشرفت اینگونه فعالیت ها همراه با کنترل ریسک های امنیتی مرتبط با اطلاعات کارت می شود.
با توجه به اهمیت موضوع پرداخت مبتنی بر نشان گذاری مستند پیش رو به منظور معرفی این موضوع براساس بهروش ها و چارچوب های تایید شده بین المللی تهیه شده است.
نشانه گذاری چیست؟
طبق تعریف ارائه شده در چارچوب فنی نشان گذاری EMVCo فرایندی که طی آن شماره کارت با نشانه جایگزین شود را فرایند نشان گذاری می نامند. نشان گذاری ممکن است به منظور ارتقاء کارایی تراکنش بهینه سازی امنیت تراکنش یا ارائه روش جدیدی برای گسترش امکان فعالیت شرکت های ثالث مانند شرکت های نوپایی که با ارائه خدمات از طریق پرداخت امن و سریع می توانند وارد بازار کار شوند استفاده شود.
برای اینکه نشانه های پرداخت بتوانند امنیت مضاعفی در برابر سوءاستفاده های احتمالی تأمین کنند؛ نشانه پرداخت باید در دامنه خاصی مورد استفاده قرار گیرد؛ برای مثال می توان کاربرد نشانه را براساس کسب وکار کانال پرداخت مشخص موقعیت جغرافیایی مبلغ تراکنش و تعداد تراکنش محدود کرد.
این کنترل های محدودیت دامنه نشانه مزیت کلیدی نشانه های پرداخت بوده و باید هر نشانه تنها در دامنه تعریف شده (کانال پرداخت فروشنده بخصوص و …) قابل استفاده باشد.
کاربرد نشان گذاری در شبکه پرداخت
برخی از موارد کاربرد نشان گذاری در شبکه پرداخت در شکل ۳ نمایش داده شده است.
به عنوان نمونه ای از پرداخت از طریق NFC می توان به شرکت اپل اشاره کرد. این شرکت راهکار پرداخت موبایلی با عنوان Apple-Pay را که از سیستم نشان گذاری استفاده می کند در سال ۲۰۱۴ معرفی نمود. راهکار مذکور علاوه بر پرداخت از طریق NFC امکان پرداخت درون برنامه ای را نیز فراهم ساخته است. در روش پرداخت از طریق NFC زمانیکه یک تراکنش آغاز میشود دستگاه موبایل و یا سرور راه دور یک تراکنش مجاورتی را براساس اطلاعات مربوط به نشانه تولید کرده و از طریق واسط NFC به ترمینال فروش ارسال می کند.
در کاربرد بارکد دوبعدی، جهت آغاز تراکنش در ترمینال فروش، برنامه کاربردی داخل دستگاه موبایل یک بارکد دوبعدی پویا ایجاد میکند.
زمانیکه تراکنش آغاز میشود دستگاه موبایل یک تراکنش شامل اطلاعات مربوط به نشانه پرداخت را تولید کرده و به ترمینال فروشنده ارسال میکند. همچنین این تراکنش می تواند با برقراری ارتباط با کیف پول دیجیتال نیز آغاز شود.
پرداخت اینترنتی به سناریوهایی اشاره دارد که در آن ها دارنده کارت پرداخت را از طریق یک سایت فروشگاه اینترنتی با استفاده از کیف پول دیجیتال برای انتقال پرداخت و سایر اطلاعات سفارش انجام میدهد.
زمانیکه دارنده کارت در یک سایت اینترنتی که از کیف پول دیجیتال پشتیبانی میکند پرداخت را آغاز میکند کیف پول دیجیتال از طریق واسط نرم افزاری مربوطه، اطلاعات مربوط به نشانه پرداخت را به فروشنده ارسال میکند.
کاربرد پرداخت درون برنامه ای نیز به سناریوهایی اشاره دارد که در آن، داده کارت پرداخت از طریق برنامه کاربردی فروشنده دریافت و ذخیره می شود و به منظور برطرف کردن خطر امنیتی ذخیره داده کارت نشانه پرداخت به جای شماره کارت نگهداری می شود.
استقبال از نشانه پرداخت با کیف پول دیجیتال
ارائه دهندگان کیف پول دیجیتال به عنوان یکی از پرکاربردترین درخواست دهندگان نشانه در پرداخت همراه محسوب می شوند. کیف پول دیجیتال برنامه کاربردی است که اصلی ترین هدف آن نگهداری اطلاعات مرتبط با کارت های مشتری به منظور استفاده آسان در هنگام خرید است.
در سیستم نشان گذاری به دلیل کاهش ریسک های امنیتی اطلاعات نشانه به جای اطلاعات کارت ذخیره و نگهداری می شود. ذکر این نکته لازم است که در این نوع پرداخت تراکنش از کیف پول دیجیتال آغاز می شود و اطلاعات مربوط به نشانه را به پلتفرم سمت فروشنده ارسال می کند.
کیف پول دیجیتال می تواند توسط موجودیت های مختلفی ارائه شود که از این جمله می توان به موارد زیر اشاره کرد:
فروشندگان
بانک های صادرکننده کارت
ارائه دهندگان خدمات پرداخت
نکته دیگر در کاربردهای کیف پول دیجیتال این است که ارائه دهنده کیف پول دیجیتال باید مجوز لازم را از بانک های صادرکننده کارت های تحت پوشش دریافت کند.
طبق مطالعات و بررسی های انجام شده عموماً نقش درخواست دهنده نشانه را ارائه دهندگان کیف پول دیجیتال به عهده دارند. بنابراین ارائه دهنده کیف پول دیجیتال در صورتیکه به عنوان درخواست دهنده نشانه ایفای نقش نماید، باید وظایفی را در مرحله صدور و اعطای نشانه انجام دهد.
به عبارتی تمام مسئولیت های درخواست دهنده نشانه برای ارائه دهنده کیف پول دیجیتال در نظر گرفته می شود. ارائه دهنده کیف پول دیجیتال در مرحله انجام تراکنش نقشی ایفا نمی کند مگر اینکه اطلاعات نشانه در سمت کاربر ذخیره نشده و نیاز به دریافت آن اطلاعات از فضای ابری ارائه دهنده کیف پول دیجیتال باشد.
Google و Apple دو قطب ارائه دهنده کیف پول دیجیتال
نمونه هایی از ارائه دهندگان کیف پول دیجیتال شامل موارد زیر هستند:
شرکت Google نمونه ای از ارائه دهندگان کیف پول دیجیتال به نام Google Wallet است که به عنوان درخواست دهنده نشانه در اکوسیستم نشان گذاری نقش ایفا می نماید.
ذخیره سازی در Google Wallet با استفاده از فناوری HCE۱ صورت می پذیرد. کاربران می توانند با استفاده از این کیف پول اقدام به انتقال وجه و یا ارسال درخواست وجه از افراد دیگر را داشته باشند.
بدین منظور تنها کافیست اطلاعات کارت خود را در کیف پول وارد نموده و به یک آدرس ایمیل و یا شماره تلفن همراه وجه مورد نظر را ارسال و یا از آن درخواست وجه کند.
سپس یک پیغام اطلاع رسانی برای گیرنده ارسال خواهد شد. همچنین کاربران Google Wallet می توانند با استفاده از کیف پول خود در سایت های اینترنتی مجهز به نماد Google Wallet خرید آسان و امن را تجربه کند.
در فروشگاه هایی که این کیف پول را پشتیبانی می نمایند باید نماد PayPass بر روی دستگاه کارت خوان آن فروشگاه موجود بوده تا با استفاده از فناوری NFC کاربران اقدام به خرید با استفاده از کیف پول خود نمایند. احراز هویت کاربران با استفاده از ورود رمز عبور کیف پول انجام خواهد شد.
نمونه دیگری از ارائه دهندگان کیف پول دیجیتال شرکت Apple است. این شرکت با شماری از بانک ها قراردادی منعقد کرده و سرویس پرداخت مبتنی بر نشان گذاری را با استفاده از بخش Secure Element تجهیز همراه به کاربران خود در آن بانک ها ارائه می دهد. کاربران Apple باید کارت های بانکی اعم از اعتباری و غیره را در کیف پول همراه گوشی های iPhone خود اضافه کرده و اطلاعات کارت را در آن وارد کند. سپس در برنامه های کاربردی و سایت های اینترنتی مجهز به نماد Apple Pay از خرید آسان و امن بهره ببرند.
همچنین در فروشگاه ها با استفاده از فناوری NFC کاربران می توانند با مجاورت تلفن های همراه و دستگاه کارت خوان و انجام احراز هویت با Touch ID پرداخت های خود را انجام دهند.
منبع: ایبِنا