همه تفاوت‌های سیستم پرداخت ایران و دنیا/ پویا کردن رمز دوم یا پویا کردن CVV2؟

عصر بانک؛ اکوسیستم بانکداری و پرداخت ایران سال‌هاست به دلایل مختلف از جمله تحریم‌ها، به‌صورت جزیره‌ای کم و بیش ایزوله از سایر کشورها درآمده است. جزیره‌ای بودن این اکوسیستم نقاط قوت و ضعفی را در سیستم پرداخت ایران ایجاد نموده است. عصربانک برای بررسی تفاوت‌ها و شبا‎هت‌های سیستم پرداخت در ایران و سایر کشورها و همچنین نقاط قوت و ضعف این جزیره بانکی و پرداخت با آرش وزوایی، کارشناس پرداخت الکترونیک ‌گفت‌وگو کرده است.

تفاوت‌های سیستم پرداخت ایران و دنیا

شبکه ملی پرداخت در ایران و شبکه بین‌المللی پرداخت در دنیا

یکی از اساسی‌ترین تفاوت‌های اکوسیستم پرداخت در کشور ما با سایر کشورها، عدم حضور شبکه‌های بین المللی پرداخت یا International Payment Scheme همانند ویزا و مسترکارت در ایران و شکل‌گیری یکی از جالب‌ترین و پیشرفته‌ترین شبکه‌های ملی پرداخت (Domestic Payment Scheme یا  National Payment Scheme) در جهان است. در این رابطه، می‌توان گفت ایران همانند جزیره‌ای است که از منظر سامانه‌های پرداخت عمومی به هیچ شبکه‌ی بین‌المللی پرداخت دیگری متصل نیست؛ گرچه تابحال چندین بار تلاش‌هایی در جهت عقد تفاهم‌نامه با کشورهای همسایه در راستای پذیرش متقابل کارت‌های صادره دو کشور و عملا ایجاد ارتباط متقابل حداقلی میان اکوسیستم‌های پرداخت طرفین صورت‌ پذیرفته است، اما عملا به دلایل مختلف فنی و غیرفنی از جمله بحث تحریم، نوسان نرخ ارز، عدم وجود استاندارد EMV درکشور و … نتیجه‌ای حاصل نشده و کارت‌های صادره در ایران فقط در شبکه ملی شتاب/شاپرک قابل استفاده هستند.

حال آنکه در اکوسیستم پرداخت اروپایی فقط در تعداد معدودی از کشورها، شبکه‌ی ملی پرداخت وجود دارد (فرانسه آلمان، اسپانیا، ایتالیا، نروژ، بلاروس، بلژیک، دانمارک، پرتغال و صربستان) و مابقی کشورها از شبکه‌های پرداخت بین‌الملل استفاده می‌کنند؛ این بدین معنی است که در بیشتر موارد، کارتی که توسط بانک‌ها صادر می‌شود، اگر فقط عضو شبکه‌های بین‌المللی پرداخت مثل ویزا یا مسترکارت نباشد، حتما با یکی از آن‌ها co-badge شده است. البته درکشورهای دارای شبکه‌ی ملی پرداخت، بانک‌هایی وجود دارند که کارت‌هایی که تنها در شبکه محلی قابل پذیرش است صادر می‌شود که تعدادشان محدود و بازار هدفشان یا اقشار کم درآمدتر جامعه که تمایلی به پرداخت هزینه‌های ماهیانه‌ی کارت‌های ویزا و مستر ندارند، است و یا افرادی است که بالفعل دارای حداقل یک کارت نقدی/اعتباری از شبکه‌های بین‌الملل بوده، و از این کارت جدید تنها انتظار اعطای دسترسی به پول‌شان در ATMها و پرداخت اینترنتی درون کشور را دارند. بنابراین اولین تفاوت ایران و اروپا این است که در ایران به‌دلیل جزیره بودن، کارتها  فقط در شبکه ملی پرداخت که شتاب است قابل استفاده می‌باشد. از شبکه‌های ملی پرداخت در اروپا می‌توان CB در فرانسه، GIRO در آلمان، Bancomat در ایتالیا و Bancontact در بلژیک را نام برد. این شبکه‌های محلی دارای مزایایی هستند، به عنوان مثال در کشور فرانسه معمولا برای برداشت پول از ATM، به دلیل عضویت در این شبکه، کارمزدی دریافت نمی‌شود.

شبکه شاپرک ایران

در مورد شبکه شاپرک در ایران می‌توان گفت که این شبکه مختص به ایران است و در هیچ کجای دنیا شبکه‌ای نظیر آن وجود ندارد! با نگاهی به فلسفه‌ی وجودی این شبکه (افزایش امنیت پس از رخداد معروف افشای اطلاعات کارت‌ها)، کارکرد فعلی آن، و نهایتا عدم وجود چنین موجودیتی در سایر اکوسیستم‌های پرداخت، به‌ نظر میرسد راه‌های بهتری جهت نیل به این مهم می‌توانست وجود داشته باشد.

بدون ورود به جزئیات، می‌توان چنین گفت که هرآن‌چه به لحاظ فنی در شاپرک قابل انجام است، در خود شبکه‌ی شتاب هم قابل انجام بود و صرفا شتاب بایستی نقش بزرگتری برعهده می‌گرفت. عملا شبکه شاپرک با اضافه نمودن یک سوییچ (Switch)  بر سر راه سوئیچ شتاب برای تراکنش‌های کارتی تفاوتی در گردش فنی تراکنش ایجاد نمی‌کند؛ چنانکه تراکنش‌ها پیش از وجود شاپرک هم بدون طی چنین روالی انجام می‌پذیرفتند. با این وجود یکی از مزایای مهم شاپرک، فراهم سازی امنیت در پرداخت‌های اینترنتی است که این خود یکی از تفاوت‌های دو اکوسیستم می‌باشد.

امنیت تراکنش‌های اینترنتی در شبکه شاپرک

یکی از تفاوت‌های عمده دیگر در حوزه پرداخت، بحث امنیت تراکنش‌های اینترنتی است. تا جایی که من می‌شناسم در هیچ کشوری، شبکه‌ای نظیر شبکه‌ی شاپرک که دارندگان کارت برای خرید اینترنتی بایستی به آن Redirect شده و هر PSP دارای یک  Subdomain مستقل باشد وجود ندارد. جهت روشن شدن یکی از دلایل اصلی نبود چنین شبکه‌ای در دنیا مثالی میزنم:

فرض کنید کارت شما توسط بانک HSBC در لندن صادر شده و شما می‌خواهید از شرکت آمازون در آمریکا کالایی خریداری کنید. اگر با مدل پیاده‌سازی در ایران بخواهیم نگاه کنیم، آمازون بایستی شما را به صفحه‌ی کدام PSP و در کدام شبکه‌ی پرداخت کارتی هدایت کند؟ در اینجا PSP چه معنایی می‌تواند داشته باشد؟ شبکه‌ی ملی پرداخت چطور؟ این فروشنده و این بانک هر یک با چند PSP در ارتباط می‌توانند باشند؟ و …

HSBC و آمازون هر دو در سطح بین‌المللی فعالیت می‌کنند و عملا وجود شبکه‌ای مانند شاپرک در صحنه‌ی پرداخت بین‌الملل نشدنی و غیرعملی است. اتفاقی که در واقعیت در هنگام خرید اینترنتی توسط کارت در خارج از ایران بر روی یک پذیرنده می‌افتد این است که خود پذیرنده مانند سایت  Amazon.com اطلاعات کارت شما را می‌گیرد و خودش آن را به ویزا، مسترکارت یا هر شبکه‌ی پرداخت دیگری (مستقیم یا از طریق Payment Processorها) فرستاده و نتیجه را پردازش می‌کند. این مهم، موجب تفاوت بسیار بزرگی در بحث امنیت می‌گردد.

در حقیقت مدلی که در کشور وجود دارد، فارغ از این که تنها در ایران به‌دلیل فضای بومی موجود قابل پیاده‌سازی بوده و در حیطه‌ی پرداخت بین‌الملل اجرایی نیست، مدل امنی است، چراکه شاپرک (که نقش آن می‌تواند توسط شتاب یا یک Bank Association هم ایفا گردد)، کاربر را از طریق واسطی متمرکز به یکی از دوازده PSP معتبر متصل می‌نماید که همگی بر روی دامنه‌ی شاپرک هستند و لذا کاربر با یک کنترل ساده بر آدرس اینترنتی صفحه‌ی پرداخت، دیگر دغدغه‌ی امن بودن یا نبودن محل ورود اطلاعات کارت خود را نخواهد داشت. در واقع PSP بخش مورد اطمینان سیستم پرداخت است در حالی‌ که پذیرنده (در سیستم پرداخت کشور) لزوما نیست. نظارت روی دوازده PSP هم قطعا آسان‌تر از ده‌ها هزار پذیرنده خواهد بود.

رمز دوم کارت فقط در ایران یا در همه دنیا؟

یکی دیگر از تفاوت‌های بنیادی ما با سایر کشورها، وجود رمز دوم کارت در ایران است که مشابه آن در جای دیگری وجود ندارد. همین تفاوت می‌تواند باعث مشکلاتی در تعامل با سایر شبکه‌های پرداخت گردد. به عنوان مثال، امکان انجام تراکنش خرید اینترنتی توسط کارت‌های فعلی روی وبسایت پذیرنده‌‌های خارج از ایران (مثلا پس از اتصال به شبکه‌های بین‌المللی یا حتی در یک قرارداد پذیرش دوجانبه کارت) را تصور کنید. موضوع رمز دوم مسئله‌ای خواهد بود که یا باید توسط شبکه‌ی پذیرندگی بصورت استثنا برای کارت‌های ایرانی پذیرفته، پیاده‌سازی و پردازش شود و یا تراکنش باید بدون رمز دوم انجام گردد.

نکته‌ی جالب توجه اینجاست که برای انجام تراکنش‌های اینترنتی بدون حضور کارت (CNP) در سایر کشورها، اطلاعات رو و پشت کارت کافی بوده و لذا این اطلاعات، اطلاعات حساس (Sensitive Information) محسوب می‌گردند، اما در کشور ما به دلایل متعدد، از ابتدا این‌گونه نبود. درواقع، اطلاعات کارت افراد چه هنگامی‌که کارت خود را به هنگام خرید به صورت فیزیکی دراختیار پذیرنده قرار می‌دهند، چه هنگامی که عکس کارت خود را (برای کارت به کارت نمودن)، برای یکدیگر ارسال می‌کنند و … در خطر است. حتی بعضی بانکها CVV2 را روی کارت چاپ می‌کنند! لذا رمز دوم – که فقط شما می‌دانید یا به عبارتی فقط در ذهن شما هست – تنها حائل امنیتی باقی مانده در این دست تراکنش‌هاست.

شاید برای بسیاری از فعالان یا حتی کاربران عادی این موضوع عجیب باشد که فقط با داده‌هایی مانند شماره کارت، تاریخ انقضا و CVV2 بتوان تراکنش موفق انجام داد، اما این روش به سبب دلایلی که در بالا ذکر شد و البته گاها به همراه برخی روش‌های احراز هویت کمکی مثل تطابق نام و آدرس، در تمام دنیا به کار گرفته می‌شود.

در یک سطح بالاتر، پذیرندگانی که کالای فیزیکی می‌فروشند (مانند انواع خرده‌فروشی‌های آنلاین) بعضا کالا را به آدرس ثبت شده به نام دارنده کارت ارسال می‌کنند و در صورت درخواست ارسال به آدرس دیگری، از انواع دیگر احراز هویت استفاده می‌نمایند.

یکی از روش‌های احراز هویت در تراکنش‌های اینترنتی، روش 3D Secure است که توسط ویزا و مسترکارت مورد استفاده قرار می‌گیرد. در این سطح از احراز هویت که می‌تواند به انتخاب کاربر و یا بانک کاربر، الزام گردد، پیش از انجام قطعی تراکنش یک frame، که از سمت صادر کننده تولید گردیده و پذیرنده هیچ نقشی در محتوای آن ندارد، در مرورگر کاربر باز می‌شود. کاربر در این صفحه با تایید شماره‌ی تلفن همراه خود، کدی را از طریق پیامک دریافت می‌کند که بایستی اطلاعات را در همان قسمت وارد نموده و از این طریق هویت خود را تصدیق نماید. تنها پس از انجام این احراز هویت است که صادرکننده اجازه انجام تراکنش را صادر می‌کند. این frame به لحاظ امنیتی همان نقش subdomain را در صفحه شاپرک ایفا می‌کند که از یک موجودیت trusted نشات می‌گیرد.

درخصوص ارتقای امنیت، روش‌های دیگری مانند CVV2  پویا وجود دارد که در واقع بسته به اینکه بانک این سرویس را به مشتریانش پیشنهاد می‌دهد یا خیر، قابل انتخاب توسط مشتری است.

شخصا تصور می‌کنم روشی که ما در ایران داریم بخاطر وجود فاکتوری که منحصرا دارنده کارت از آن مطلع است، و همچنین عدم ورود این اطلاعات در سایت پذیرنده، از روش معمول در دنیا امن‌تر است، گرچه شاید تجربه‌ی کاربری اندکی پایین‌تر ارائه نماید. و به همین سبب است که طرح جدیدی که درخصوص پویا نمودن این فاکتور ( رمز دوم پویا) در کشور ارائه گردیده، باعث تبدیل این مورد اطلاعاتی منحصر به فرد – که صرفا دارنده کارت از آن آگاه بود – به فاکتوری که دارنده‌ی کارت در اختیار دارد گردیده و نهایتا منجر به کاهش امنیت خواهد شد.

پویا کردن رمز دوم یا پویا کردن CVV2

در این خصوص اگر از منظر استاندارد و best-practice نگاه کنیم، رمز دوم مختص به ایران بوده و یکی از تفاوت‌های سیستم پرداخت ما با سایر کشورهاست که اگر روزی بخواهیم به آنها متصل شویم بایستی این مشکل را به طریقی حل کنیم. بر همین پایه، چون فاکتوری به نام رمز دوم در دنیا تعریف نشده، متغیر آن هم تعریف نشده است.

در کنار این موضوع بایستی توجه نمود که چنانچه هدف، ارتقای امنیت تراکنش‌های CNP با پویاسازی یک پارامتر باشد، این پارامتر به دلایل مشخصی بایستی CVV2 و نه رمز دوم باشد:

نخست این که رمز دوم در شرایط حاضر، پارامتر ارزشمندی است، چرا که تنها دارنده کارت از آن مطلع است و این موضوع، لایه‌ی امنیتی مناسبی را ایجاد نموده، تا حدی که حتی درصورت دسترسی غیرمجاز به اپلیکیشن پرداخت نصب شده روی گوشی کاربر، عملا بدون داشتن رمز دوم خطری کاربر را تهدید نمی‌کند، حال آن که رمز دوم متغیر نهایتا با دسترسی غیرمجاز به گوشی کاربر قابل دسترسی است.

دلیل دوم به بحث انطباق پذیری  برمی‌گردد. اگر روزی قرار بر حذف رمز دوم به منظور اتصال به بقیه دنیا باشد، با وضعیتی که اکنون درخصوص نگهداری شماره کارت و تاریخ انقضا و CVV2 وجود دارد، حتما (حداقل در ابتدای امر) بایستی به سراغ پویاسازی CVV2 برویم و این بدین معناست که هرآنچه تاکنون به منظور ایجاد امنیت از طریق رمز دوم و پویاسازی آن انجام داده‌بودیم را بایستی کنار بگذاریم؛ چراکه پارامتر دیگری جز CVV2 برای پویا کردن وجود ندارد.

دلیل سوم باز هم به بحث انطباق‌پذیری باز می‌گردد. درحال حاضر CVV2 پویا در سایر اکوسیستم‌های پرداخت تعریف شده، بسیاری از سوییچ‌ها آن را پیاده نموده و بدون کوچکترین تغییری در کلیه‌ی شبکه‌های بین‌المللی پرداخت قابل استفاده است؛ در مقابل، رمز دوم و رمز دوم پویا در همه جا ناشناخته بوده و Switch یا CMS خریداری شده از یک تولیدکننده‌ی خارجی باید در سیستم پیاده‌سازی شده و نرم‌افزار سفارشی سازی گردد. درصورتی که حتی اگر CVV2  پویا به عنوان یک گزینه در سیستم موجود نباشد به سبب وجود الگوریتم استاندارد بین‌المللی برای آن، به سادگی قابل درخواست است.