همه چیز درباره پرداخت‌های مبتنی بر نشان‌گذاری

آموزش بانکداری و پرداخت الکترونیک
استفاده از نشانه های پرداخت، برای تمامی ذینفعان اکوسیستم پرداخت، مزایایی را در بردارد. صادرکنندگان کارت و دارندگان کارت میتوانند از روش‌های پرداخت امن‌تر و کاهش ریسک تقلب بهره‌مند شوند. علاوه بر این با کاهش تهدیدهای حملات برخط و دزدی اطلاعات کارت، پذیرندگان و صاحبان کسب وکار نیز از سطوح اطمینان بالاتر در پرداخت بهره خواهند برد. همچنین شبکه‌های پرداخت قادر خواهند بود با کمترین تغییر در تعاملات فی‌مابین و کاهش نیازمندی‌های امنیتی در سطح شبکه فعالیت کنند.

عصر بانک؛ در حال حاضر روند توسعه سیستم‌های پرداخت در راستای بهره‌برداری از ابزارها و فناوری‌های جدید به عنوان کانال پرداخت است. این در حالی است که افزایش تعداد کانالهای پرداخت، موجب پیچیده‌تر شدن تامین امنیت و بوجود آمدن تهدیدات جدید در این حوزه شده و  در حین استفاده از فرصت پیش آمده، باید سازوکارهای جدیدی را نیز برای تامین امنیت بکارگیرند.

پرداخت‌های مبتنی بر نشان‌گذاری

برای نمونه اگرچه استفاده از کارتهای مبتنی بر EMV میتواند برای تراکنش های کارتی امنیت مورد نیاز را تأمین نموده و امکان جعل کارت را کاهش دهد، اما بکارگیری این فناوری،کاهش تقلب‌های غیرکارتی و امنیت محیط‌‌های نوظهور که از کانال‌های پرداخت گوناگون استفاده میکنند را پوشش نمی‌دهد.

در چنین شرایطی سیستم‌های نشان گذاری پرداخت،با جایگزین کردن شماره کارت با نشانه، قادرند این نیاز را پاسخ دهند.

در مدیریت ریسک، دو مقوله احتمال وقوع ریسک و شدت اثر وقوع ریسک اهمیت دارد. طبق نکات مطرح شده،ساز و کارهای امنیتی مانند EMV احتمال وقوع ریسک را کاهش میدهد،در حالی که نشان‌گذاری به دنبال کاهش شدت اثر وقوع ریسک است. برای اینکه نشانه‌های پرداخت بتوانند امنیت مضاعفی در برابر سوءاستفاده های احتمالی تأمین کنند، لازم است در دامنه کاربرد خاصی تعریف شده و مورد استفاده قرار گیرند.

به صورت کلی استفاده از نشانه های پرداخت، برای تمامی ذینفعان اکوسیستم پرداخت، مزایایی را در بردارد. صادرکنندگان کارت و دارندگان کارت میتوانند از روش‌های پرداخت امن‌تر و کاهش ریسک تقلب بهره‌مند شوند. علاوه بر این با کاهش تهدیدهای حملات برخط و دزدی اطلاعات کارت، پذیرندگان و صاحبان کسب وکار نیز از سطوح اطمینان بالاتر در پرداخت بهره خواهند برد. همچنین شبکه‌های پرداخت قادر خواهند بود با کمترین تغییر در تعاملات فی‌مابین و کاهش نیازمندی‌های امنیتی در سطح شبکه فعالیت کنند.

علاوه بر مزایای مطرح شده،دلایل دیگری وجود دارد که بر اهمیت نشان‌گذاری افزوده است. با توجه به استاندارد امنیتی  PCI DSS بخش هایی از شبکه بانکی که به اطلاعات کارت دسترسی دارند دارای ریسک امنیتی بالایی نیز خواهند بود که با پیاده‌سازی پرداخت مبتنی بر نشانه و جایگزینی اطلاعات کارت با اطلاعات نشانه، دامنه استقرار استاندارد PCI DSS کاهش یافته و انطباق با آن آسان‌تر خواهد شد.همچنین با توجه به روند رو به رشد تکنولوژی‌ها، مانند IOT و گسترش فعالیت FinTech ها،میتوان اظهار داشت که استفاده از سیستم نشان‌گذاری موجب تسهیل مسیر پیشرفت اینگونه فعالیت‌ها همراه با کنترل ریسک‌های امنیتی مرتبط با اطلاعات کارت میشود.

با توجه به اهمیت موضوع پرداخت مبتنی بر نشان‌گذاری،مستند پیش‌رو به منظور معرفی این موضوع براساس روش ها و چارچوب های تایید شده بین‌المللی تهیه شده است.

تعاریف

در این بخش از مستند تعاریف اولیه نشان‌گذاری مورد توجه قرار گرفته است.

 

نشانه و انواع آن

 

عبارت نشانه به مقدار جایگزین شماره کارت گفته میشود که در ادامه انواع آن براساس کاربرد و مدت اعتبار تعریف شده است.

 

انواع نشانه براساس کاربرد

 

طبق تعاریف ارائه شده در چارچوب فنی EMVCo و راهنمای نشان‌گذاری DSS PCI براساس کاربردهای نشانه،دو نوع نشانه پرداخت و نشانه غیرپرداخت وجود دارد.

نشانه پرداخت :

– یک شماره 13 تا 19 رقمی با ساختاری مشابه شماره کارت

– قابلیت صدور و مسیردهی تراکنش براساس این نوع نشانه

– لزوم استفاده از این نوع نشانه براساس چارچوب فنی EMVCo

در راهنمای موسسه گارتنر به نشان گذاری بر اساس این نوع نشانه،نشان‌گذاری صادرکننده گفته می شود که نمونه ای از آن در شکل 1 مشاهده میشود.

در این مستند منظور از نشانه،نشانه پرداخت میباشد.

 

نشانه غیر پرداخت:

– یک مقدار جایگزین برای شماره کارت با هدف ذخیره سازی آن به جای شماره کارت

– این نوع نشانه برای ذخیره سازی مورد استفاده قرار می‌گیرد

– عدم امکان صدور یا مسیردهی تراکنش با استفاده از این نوع نشانه

–  قابل استفاده برای انطباق با الزام استاندارد PCI DSS مبنی بر عدم ذخیره سازی شماره کارت به صورت خوانا

 

در راهنمای موسسه گارتنر به نشان‌گذاری براساس این نوع نشانه،نشان‌گذاری پذیرنده گفته می‌شود، که نمونه‌ای از آن در شکل 2 مشاهده می‌شود.

 

انواع نشانه براساس مدت اعتبار

 

طبق تعاریف ارائه شده در چارچوب فنی EMVCo  و راهنمای نشان‌گذاری PCI DSS براساس مدت اعتبار،دو نوع نشانه Multi-use و Single-use وجود دارد.

نشانه Multi-use

اعتبار این نشانه براساس فاکتورهای مشخصی (تاریخ انقضا، تعداد تراکنش، سقف تراکنش و …) تعیین میشود.

مزایا:

– ردیابی چندین تراکنش به کمک این نوع نشانه

– محدود نمودن پیام‌ها میان موجودیت‌های اکوسیستم نشان‌گذاری برای صدور نشانه‌ها

معایب:

– نیازمندی به درجه بالاتری از مکانیزم‌های امنیتی و سطوح ضمانت هنگام صدور این نوع نشانه

– افزایش امکان ایجاد تراکنش تقلبی به دلیل معتبر بودن نشانه در چند تراکنش

نشانه Single-use

این نوع نشانه تنها برای یک تراکنش کاربرد دارد و پس از آن قابل استفاده جهت انجام تراکنش نخواهد بود. این نوع نشانه، معایب و مزایایی را شامل می‌شود که در ادامه به آنها پرداخته شده است.

مزایا:

-افزایش سطح امنیت بنا بر صدور نشانه جدید برای هر تراکنش

– عدم نیازمندی ذخیره‌سازی نشانه سمت دارنده کارت

معایب:

– افزایش پیام‌ها میان موجودیت های اکوسیستم نشان‌گذاری برای صدور نشانه‌ها و تحت تاثیر قرارگرفتن کارایی سیستم‌ها

– پیچیده‌تر شدن تراکنش‌هایی مانند برگشت از خرید به دلیل عدم امکان استفاده از نشانه تراکنش اصلی

– در صورتی که قالب این نوع نشانه براساس چارچوب فنی EMVCo باشد،تعداد نشانه‌های قابل استفاده با محدودیت روبرو خواهد بود.

 

نشان‌گذاری

طبق تعریف ارائه شده در چارچوب فنی نشان‌گذاری EMVCo ،فرایندی که طی آن شماره کارت با نشانه،جایگزین شود را فرایند نشان‌گذاری می‌نامند.

 

نشان‌گذاری ممکن است به منظور ارتقاء کارایی تراکنش، بهینه‌سازی امنیت تراکنش،یا ارائه روش جدیدی برای گسترش امکان فعالیت شرکت‌های ثالث (مانند شرکت‌های نوپایی که با ارائه خدمات از طریق پرداخت امن و سریع می‌توانند وارد بازار کار شوند) استفاده شود.

برای اینکه نشانه‌های پرداخت بتوانند امنیت مضاعفی در برابر سوءاستفاده‌های احتمالی تأمین کنند؛ نشانه پرداخت باید در دامنه خاصی مورد استفاده قرار گیرد؛ برای مثال میتوان کاربرد نشانه را براساس کسب وکار، کانال پرداخت مشخص، موقعیت جغرافیایی، مبلغ تراکنش و تعداد تراکنش محدود کرد.

 

این کنترل‌های محدودیت دامنه نشانه، مزیت کلیدی نشانه‌های پرداخت بوده و باید هر نشانه تنها در دامنه تعریف شده (کانال پرداخت، فروشنده بخصوص و …) قابل استفاده باشد.

 

کاربرد نشان‌گذاری در شبکه پرداخت

 

به عنوان نمونه‌ای از پرداخت از طریق NFC ،میتوان به شرکت اپل اشاره نمود. این شرکت راهکار پرداخت موبایلی با عنوان Apple-Pay را که از سیستم نشان‌گذاری استفاده میکند در سال 2014 معرفی نمود. راهکار مذکور علاوه بر پرداخت از طریق NFC ،امکان پرداخت درون برنامه‌ای را نیز فراهم ساخته است.

در روش پرداخت از طریق NFC زمانیکه یک تراکنش آغاز میشود، دستگاه موبایل و/یا سرور راه دور، یک تراکنش مجاورتی را براساس اطلاعات مربوط به نشانه،تولید کرده و از طریق واسط NFC به ترمینال فروش ارسال میکند.

در کاربرد بارکد دوبعدی ،جهت آغاز تراکنش در ترمینال فروش، برنامه کاربردی داخل دستگاه موبایل یک بارکد دوبعدی پویا ایجاد میکند. زمانی که تراکنش آغاز میشود، دستگاه موبایل یک تراکنش شامل اطلاعات مربوط به نشانه پرداخت را تولید کرده و به ترمینال فروشنده ارسال میکند. همچنین این تراکنش میتواند با برقراری ارتباط با کیف پول دیجیتال نیز آغاز شود.

پرداخت اینترنتی به سناریوهایی اشاره دارد که در آنها دارنده کارت، پرداخت را از طریق یک سایت فروشگاه اینترنتی با استفاده از کیف پول دیجیتال برای انتقال پرداخت و سایر اطلاعات سفارش انجام می‌دهد.

زمانی که دارنده کارت در یک سایت اینترنتی که از کیف پول دیجیتال پشتیبانی میکند پرداخت را آغاز میکند، کیف پول دیجیتال از طریق واسط نرم افزاری مربوطه، اطلاعات مربوط به نشانه پرداخت را به فروشنده ارسال میکند.

کاربرد پرداخت درون برنامه‌ای نیز به سناریوهایی اشاره دارد که در آن، داده کارت پرداخت از طریق برنامه کاربردی فروشنده دریافت و ذخیره میشود و به منظور برطرف کردن خطر امنیتی ذخیره داده کارت، نشانه پرداخت به جای شماره کارت نگهداری می شود.

فعالیت های اکوسیستم نشان‌گذاری

 

مطابق با چارچوب فنی EMVCo،برای پیاده سازی راه حل نشان‌گذاری، لازم است فعالیت‌های جدیدی در اکوسیستم پرداخت تعریف شود که این فعالیت‌ها در دو بخش”درخواست دهنده نشانه” و “سرویس دهنده نشانه” قابل انجام است. در ادامه به بررسی فعالیت‌های مورد نیاز در این دو بخش پرداخته شده است.

 

درخواست دهنده نشانه

درخواست دهندگان نشانه لازم است در ابتدا توسط سرویس دهنده نشانه ثبت شده و با نیازمندی‌های ثبت نام، سیستم‌ها و فرایندهای مختص آنها سازگار باشند. بعد از ثبت موفق، یک شناسه درخواست دهنده نشانه به آنها اعطا خواهد شد. فعالیت کلیدی در نظر گرفته شده در این حوزه، ارائه درخواست نشانه از طرف دارنده کارت به سرویس دهنده نشانه جهت تبدیل شماره کارت به نشانه است.

درخواست دهندگان نشانه میتوانند همان مشارکت کنندگان سنتی صنعت پرداخت یا مشارکت کنندگان نوظهور در این صنعت باشند

ارائه دهندگان کیف پول دیجیتال به عنوان یکی از پرکاربردترین درخواست دهندگان نشانه در پرداخت همراه محسوب میشوند. کیف پول دیجیتال، برنامه کاربردی است که اصلی‌ترین هدف آن نگهداری اطلاعات مرتبط با کارتهای مشتری به منظور استفاده آسان در هنگام خرید است.

در سیستم نشان‌گذاری به دلیل کاهش ریسک‌های امنیتی، اطلاعات نشانه به جای اطلاعات کارت ذخیره و نگهداری میشود. ذکر این نکته لازم است که در این نوع پرداخت،تراکنش از کیف پول دیجیتال آغاز می‌شود و اطلاعات مربوط به نشانه را به پلتفرم سمت فروشنده ارسال میکند.

کیف پول دیجیتال میتواند توسط موجودیت‌های مختلفی ارائه شود که از این جمله میتوان به موارد زیر اشاره کرد:

 

– فروشندگان

– بانک‌های صادرکننده کارت

– ارائه دهندگان خدمات پرداخت

 

نکته دیگر در کاربردهای کیف پول دیجیتال این است که ارائه دهنده کیف پول دیجیتال باید مجوز لازم را از بانک‌های صادرکننده کارت های تحت پوشش،دریافت نماید. طبق مطالعات و بررسی های انجام شده عموما نقش درخواست دهنده نشانه را ارائه دهندگان کیف پول دیجیتال به عهده دارند.

بنابراین ارائه دهنده کیف پول دیجیتال در صورتیکه به عنوان درخواست دهنده نشانه ایفای نقش نماید، باید وظایفی را در مرحله صدور و اعطای نشانه انجام دهد. به عبارتی کلیه مسئولیت های درخواست دهنده نشانه برای ارائه دهنده کیف پول دیجیتال در نظر گرفته میشود.

ارائه دهنده کیف پول دیجیتال در مرحله انجام تراکنش نقشی ایفا نمیکند مگر اینکه، اطلاعات نشانه در سمت کاربر ذخیره نشده و نیاز به دریافت آن اطلاعات از فضای ابری ارائه دهنده کیف پول دیجیتال باشد.

نمونه هایی از ارائه دهندگان کیف پول دیجیتال شامل موارد زیر هستند:

 

شرکت Google نمونه ای از ارائه دهندگان کیف پول دیجیتال به نام Google Wallet است که به عنوان درخواست دهنده نشانه در اکوسیستم نشان گذاری نقش ایفا می نماید. ذخیره سازی در Google Wallet با استفاده از فناوری HCE صورت می پذیرد. کاربران میتوانند با استفاده از این کیف پول اقدام به انتقال وجه و یا ارسال درخواست وجه از افراد دیگر را داشته باشند.بدین منظور تنها کافیست اطلاعات کارت خود را در کیف پول وارد نموده و به یک آدرس ایمیل و یا شماره تلفن همراه وجه مورد نظر را ارسال و یا از آن درخواست وجه نمایند. سپس یک پیغام اطلاع‌رسانی برای گیرنده ارسال خواهد شد. همچنین کاربران Google Wallet میتوانند با استفاده از کیف پول خود در سایت‌های اینترنتی مجهز به نماد Google Wallet خرید آسان و امن را تجربه نمایند. در فروشگاه هایی که این کیف پول را پشتیبانی مینمایند باید نماد PayPass بر روی دستگاه کارت خوان آن فروشگاه موجود بوده تا با استفاده از فناوری NFC کاربران اقدام به خرید با استفاده از کیف پول خود نمایند. احراز هویت کاربران با استفاده از ورود رمز عبور کیف پول انجام خواهد شد.

 

نمونه دیگری از ارائه دهندگان کیف پول دیجیتال شرکت Apple است. این شرکت با شماری از بانک‌ها قراردادی منعقد نموده و سرویس پرداخت مبتنی بر نشان‌گذاری را با استفاده از بخش Secure Element تجهیز همراه به کاربران خود در آن بانک‌ها ارائه میدهد.کاربران Apple باید کارت‌های بانکی اعم از اعتباری و غیره را در کیف پول همراه گوشی‌های iPhone خود اضافه نموده و اطلاعات کارت را در آن وارد نمایند. سپس در برنامه‌های کاربردی و سایت‌های اینترنتی مجهز به نماد Apple Pay از خرید آسان و امن بهره ببرند. همچنین در فروشگاه‌ها با استفاده از فناوری NFC ،کاربران میتوانند با مجاورت تلفن‌های همراه و دستگاه کارتخوان و انجام احراز هویت با Touch ID پرداخت‌های خود را انجام دهند.

 

سرویس‌دهنده نشانه

سرویس‌دهنده نشانه موجودیت/موجودیت‌هایی درون اکوسیستم نشان‌گذاری است که وظیفه ارائه نشانه‌های پرداخت به درخواست دهنده‌گان نشانه را دارد.

سرویس‌دهنده نشانه به عنوان طرف مجاز و صاحب اختیار صدور نشانه‌های پرداخت مسئولیت عملکردهای متفاوت و متعددی را در حوزه توانایی خود دارد.

 

این مسئولیت‌ها شامل و نه محدود به موارد زیر میشوند:

– ثبت نام (Registration ) درخواست دهنده نشانه: فعالیتهایی که برای برقراری ارتباط میان درخواست‌دهنده نشانه و سرویس‌دهنده نشانه مورد نیاز است.

– ثبت نام (Enrollment ) کارت: به موجب این فعالیت شماره کارت کاربر در سامانه پرداخت نشان‌گذاری شده ثبت میشود.

– ارتباط با صادرکنندگان به منظور انجام عملیات شناسایی و اعتبارسنجی: به واسطه این فعالیت،صدور نشانه برای شماره کارت مشخص شده توسط بانک تایید یا رد میشود.

– صدور (Issuance ) نشانه: تولید نشانه برای جایگزینی شماره کارت در این فعالیت به انجام میرسد.

– اعطای (Provisioning) نشانه: براساس فعالیت‌های این قسمت،نشانه تولید شده در مرحله قبل به دارنده کارت تحویل داده میشود.

– کنترل و مدیریت شماره شناسایی بانک: به منظور جلوگیری از ایجاد تداخل میان نشانه و شماره کارت باید نحوه صدور نشانه ها کنترل شود.

– استقرار و نگهداری مداوم نشانگاه (نگاشت میان شماره کارت و نشانه) به صورت امن: نگهداری از نشانه ها در نشانگاه،مستلزم رعایت کردن اصول و الزامات امنیتی است.

– بکاربردن کنترل‌های امنیتی برای محدودسازی کاربرد نشانه: با بکاربردن کنترل‌های امنیتی محدودکننده، اثر وقوع نشت اطلاعات نشانه کاهش خواهد یافت.

– مدیریت کلید: برای رمزنگاری برخی داده های تراکنش به منظور کنترل صحت آنها لازم است روال‌هایی برای مدیریت کلید میان سرویس‌دهنده نشانه و درخواست‌دهنده نشانه برقرار شود.

– مدیریت چرخه حیات نشانه: لازم است سازوکاری به منظور ثبت و به روزرسانی وضعیت نشانه ها در نظر گرفته شود.

– انجام عملیات بازیابی نشانه: در زمان انجام تراکنش مبتنی بر نشانه، لازم است اطلاعات نشانه با اطلاعات کارت جایگزین شده و تراکنش حاوی اطلاعات کارت به بانک صادرکننده ارسال شود.

 

منبع: مدیریت کل فناوری اطلاعات اداره نظامهای پرداخت بانک مرکزی

 

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.