نهانش در پرداخت موبایلی
عصر بانک؛تعریف درست اکوسیستم پرداخت موبایلی و شناسایی تمامی ذینفعان و انتخاب راهکارهای لازم برای حفظ امنیت تراکنشها، از جمله مهمترین موضوعاتی است که در ارائه یک راهکار پرداخت موبایلی باید مورد توجه قرار گیرند. ورود شرکت اپل به دنیای پرداخت موبایلی و ارائه راهکار Apple-Pay در سپتامبر سال 2014 از اهمیت بالایی برخوردار بود، چنانکه از آن به عنوان نقطه عطف در تاریخ این صنعت نام میبرند. یکی از دلایل اهمیت این راهکار این است که امیدها را نسبت به کاربرد فناوری NFC در پرداخت زنده کرد، چرا که تا قبل از آن NFC همانند یک جسد متحرک بود که در همهجا صحبت از آن میشد اما هیچ راهکار فراگیری برای استفاده از آن پیادهسازی نشده بود. دوم اینکه Apple-Pay به عنوان اولین راهکار پرداخت موبایلی است که از توکنهای پرداخت به عنوان یک روش امنیتی استفاده میکند. در واقع اپل پی علاوه بر تمام مکانیسمهای امنیتی رایج در آن زمان، از نهانش (توکنیزاسیون) نیز برای امنسازی تراکنشها بهره برد. نهانش (توکنیزاسیون) به معنای جایگزین کردن اطلاعات حساس در تراکنش پرداخت با یک توکن است. اطلاعات حساس در تراکنش پرداخت، PAN است که در ایران به آن شماره کارت گفته میشود. همزمان با شرکت اپل و دقیقاً در همان روز رونمایی از اپلپی، دو شرکت ویزا و مسترکارت نیز از ورود خود به عرصه فناوری توکنهای پرداخت خبر دادند و از سرویسهای خود به نام VTS و MDES رونمایی کردند. با تاخیر اندکی شرکت امریکن اکسپرس نیز در این عرصه حاضر شد و سرویس ATS خود را ارائه داد. نکته جالب اینکه تنها شش ماه از زمانی میگذشت که شرکت EMVCo گزارشی را برای استانداردسازی نهانش منتشر کرده بود و این بدین معناست که یکی از کوتاهترین زمانهای ورود به بازار یک استاندارد اتفاق افتاده بود. ورود پرشتاب بازیگران بزرگ به این عرصه را میتوان شاهدی بر این مدعا در نظر گرفت که از این به بعد، فناوری نهانش نقش مهمی در پرداختهای موبایلی ایفا خواهد کرد.
نهانش در پرداخت موبایلی
نهانش را معنا کنیم
مفهوم نهانش در پرداختهای موبایلی برای اولین بار از سوی انجمن TCH، که متشکل از 22 بانک تجاری بزرگ آمریکاست، مطرح شد. این انجمن مستندی را در سال 2013 به عنوان مشخصات فنی توکن منتشر و سپس در نیمه اول سال 2014 یک نمونه از آن را پیاده کرد. با توجه به محدود بودن این انجمن به بانکهای عضو، این مشخصات به عنوان یک استاندارد جهانشمول درنیامد تا اینکه سال 2014 کنسرسیوم EMVCo استاندارد خود را در این زمینه منتشر کرد.
گارتنر در گزارشی تحت عنوان «چشمانداز نوآوری توکنیزاسیون»، علاوه بر توضیح مفهوم نهانش، ادعا میکند تا سال 2020 بیش از 20 درصد تمام کیف پولهای موبایلیای که در کل جهان استفاده میشوند از فناوری نهانش (توکنیزاسیون) بهره خواهند برد. در یک مقاله دیگر، موسسه تحقیقاتی UL به بیان ضرورت استفاده از نهانش در پرداختهای موبایلی اشاره میکند. بخش عمدهای از تقلب و کلاهبرداری در پرداختهای غیرکارتی، تقلبهای Cross-Channel هستند که در آنها اطلاعات حساس تراکنش مانند شماره PAN از کانال موبایل مورد هجمه قرار میگیرد و سپس از آن در یک کانال دیگر مانند درگاه اینترنتی پرداخت استفاده میشود. (شکل شماره 1)
فدرال رزرو آمریکا نیز در گزارشی طی سال 2015 به میزان آمادگی برای پذیرش فناوری نهانش در آمریکا میپردازد و در آن بیان میکند که ارائهدهنده سرویس توکن (TSP) باید یا خود بانک صادرکننده باشد یا شرکتی به نیابت از آن بانک.
در گزارش دیگری که توسط موسسه تحقیقاتی Consult Hyperion منتشر شده، به ارتباط مفهوم نهانش با فناوری HCE پرداخته شده است. فناوری HCE، که در مقابل فناوریهای پرداخت مبتنی بر المان امن (SE) قرار دارد، به این معناست که دادههای حساس مورد نیاز پرداخت موبایلی به جای ذخیره شدن در المان امن (SE)، روی یک سرور ابری ذخیره شوند. این دادههای حساس میتواند شامل PAN و کلید اصلی کارت (کلید رمزنگاری EMV) شود. بنابراین در اپلیکیشن پرداخت که روی موبایل نصب شده تنها دادههایی که از نظر محرمانگی درجه پایینتری دارند (به آنهاLimited Use Credential میگویند) ذخیره میشود. در مورد ارتباط بحث نهانش و پرداختهای موبایلی مبتنی بر HCE این نکته دارای اهمیت است که اصولاً دو مفهوم توکن و دادههای Limited use Credential بسیار به هم نزدیکاند. در هر دو مورد ایده اصلی آن است که دادهای که ارزشمند است با مقادیر کمارزش جایگزین شود. بنابراین به صورت تئوری این دو مفهوم میتوانند جایگزین هم شوند و در این حالت، توکن (جایگزین PAN) به عنوان یک داده Limited Use Credential در معماری HCE به کار رود.
در فضای پرداخت، آیتم دادهای که حساسیت بالایی دارد PAN است، چرا که «شناساننده حساب» فرد دارنده کارت است. به نهانش میتوان به عنوان یک مساله مدیریت ریسک در حوزه پرداخت کارتی نگریست. اصل کلیدی در مدیریت ریسک این است که برای ارزیابی کمی ریسک، حاصلضرب «احتمال وقوع ریسک» در «اثر وقوع ریسک» را محاسبه میکنند. کاستن از هر یک از این مقادیر به معنای کم کردن آن ریسک است. روشهایی که تاکنون به عنوان مدیریت تقلب (مدیریت ریسک) در پرداختهای کارتی بیان شد، متمرکز بر کاهش «احتمال وقوع تقلب» بودهاند. EMV شانس تقلب در تراکنشهای CP را به واسطه روشهای سختگیرانه احراز هویت کارت و صاحب کارت کاهش میدهد و الزامات PCI-DSS نیز شانس تقلب را چه در تراکنشهای CP و چه در تراکنشهای CNP با حفظ محرمانگی PAN و نیز جلوگیری از ذخیره آن توسط نهادهای ثالث کم میکند. ناب بودن ایده نهانش در این است که ریسک تقلب در پرداخت را به واسطه کاهش «اثر وقوع تقلب» کاهش میدهد و حتی اگر در مسیر ارسال تراکنش نشت اطلاعاتی صورتی بگیرد، دامنه تهدید محدود میشود.
انواع گوناگون توکن در فضای پرداخت
لازم است در ادامه مقاله بین دو نوع توکن در فضای پرداخت تمایز قائل شویم: توکنهای امنیتی که به آن توکنهای پذیرندگی نیز گفته میشود و نوع دوم، توکنهای صادرکنندگی که به آن توکن پرداخت هم میگویند. مهمترین تفاوت بین این دو توکن در این است که با بهکارگیری توکنهای پرداخت میتوان یک تراکنش خلق کرد اما توکنهای امنیتی نمیتوانند تراکنش ایجاد کنند.
توکن امنیتی مفهوم جدیدی نیست و سالیان سال است که پذیرندگان به جای ذخیره PAN مشتریانشان در سیستمهای بازاریابی یا وفاداری، از مقادیر جایگزین (توکن) استفاده کردهاند و دلیل آن هم الزام PCI-DSS مبنی بر غیرمجاز بودن ذخیره PAN در سامانههای واسط است. اینگونه توکنها نمیتوانند برای ایجاد یک تراکنش مورد استفاده قرار گیرند و در صورت ضرورت، باید ابتدا PAN بازیابی و سپس تراکنش خلق شود. نکته بسیار مهم این است که بازیابی PAN از روی توکن به صورت الگوریتمیک امکانپذیر نیست و صرفاً از طریق یک جدول تناظر به دست خواهد آمد، و این جدول صرفاً در محیطی ذخیره میشود که با الزامات PCI DSS سازگار باشد.
در مقابل، توکنهای پرداخت اصولاً با توکنهای امنیتی متفاوتاند. جدول شماره یک به طور اختصار به این تفاوتها اشاره دارد. دو نکته مهم در این جدول وجود دارد. اول اینکه برای صدور توکنهای پرداخت به یک نقش جدید در اکوسیستم پرداخت نیاز است از آن به عنوان ارائهدهنده سرویس پرداخت (TSP) نام برده شود. TSP میتواند همان بانک صادرکننده کارت یا یک شرکت ثالث به نمایندگی از آن باشد. دوم اینکه توکنهای پرداخت دقیقاً به همان شیوه PAN مورد استفاده قرار میگیرند و فرمت آنها عیناً با PAN یکسان است. به عنوان مثال اگر PAN از 16 رقم تشکیل شده، توکن جایگزین نیز دقیقاً 16 رقم است و اعداد ابتدایی آن برابر با BIN بانک صادرکننده PAN است. بنابراین مسیریابی یک تراکنش توکنی به بانک مورد نظر بدون هیچ پردازش اضافه امکانپذیر است.
اکوسیستم پرداخت مبتنی بر توکن
چارچوب EMVCo که به صورت استانداردی برای نهانش پذیرفته شده، کاملاً با اکوسیستم فعلی پرداخت سازگار است. جدول شماره 2، تاثیر معرفی نهانش (توکنیزاسیون) را روی نقشهای اکوسیستم پرداخت نشان میدهد.
در ادامه این بخش به تفصیل این دو مرحله را بررسی میکنیم:
فرایند تامین توکن
شکل شماره 2 فرایند تامین توکن را مطابق استاندارد EMVCo نشان میدهد. این فرایند، که برای صدور توکن است، یک بار در ابتدای استفاده از راهکار پرداخت موبایلی اتفاق میافتد. پس از آن دیگر هر جا که نیازی به PAN باشد، توکنی که در این مرحله صادر شده است جایگزین آن میشود.
مطابق شکل، دارنده کارت با درخواستکننده توکن (به عنوان مثال اپ پرداخت موبایلی) تعامل میکند و PAN خود را در اختیار او میگذارد. درخواستکننده یک پیام درخواست توکن را به ارائهدهنده سرویس توکن ارسال میکند. این درخواست شامل اطلاعاتی است که به اصطلاح ID&V نامیده میشوند. این اطلاعات نشاندهنده این است که درخواستکننده توکن تا چه میزان از هویت و اعتبار دارنده کارت اطمینان دارد. بر اساس اطلاعات ID&V ارسالی، TSP سطح اطمینان توکن را مشخص میکند. این سطح نشاندهنده میزان قابل اعتماد بودن توکن است و بر اساس آن سقف تراکنشهایی که توسط یک توکن قابل انجام است تعیین میشود. در ادامه این فرایند، ارائهدهنده سرویس توکن TSP به درخواست رسیده پاسخ میدهد و توکن را برای درخواستکننده ارسال میکند. توکنی که در این مرحله صادر میشود ویژگیهایی به شرح زیر دارد:
تاریخ انقضای توکن: همانند تاریخ انقضای کارت، هر توکن هم یک تاریخ انقضا دارد. تاریخ انقضای توکن نمیتواند بیشتر از تاریخ انقضای PAN متناظر باشد.
موقعیت توکن: نشاندهنده محل ذخیره توکن است. به عنوان مثال اینکه توکن در یک اپ موبایلی ذخیره شده است یا درون المان امن (SE) یا روی سرور فروشنده (مثلاً در تراکنشهای card-on-life) ، از آنجا که سطوح امنیتی این موقعیتها متفاوت است، این ویژگی تاثیر زیادی روی تنظیم تاریخ انقضای توکن و همچنین دامنه پذیرش آن دارد.
دامنه پذیرش توکن: مشخصکننده محیطی است که در آن توکن قابل استفاده است. به عنوان مثال ممکن است یک توکن صرفاً برای پرداختهای غیرتماسی یا برای پرداختهای درونبرنامهای یا اینترنتی استفاده شود.
سطح اطمینان توکن: یک شاخص برای بیان میزان اطمینان از این مورد است که توکن به دارنده کارت حقیقی اعطا شده است. شرایطی را در نظر بگیرید که یک شخص متقلب یک PAN را دزدیده باشد و برای آن درخواست صدور یک توکن بدهد. اگر این اتفاق به راحتی رخ دهد، عملاً توکنیزاسیون هدف خود را نقض کرده است. بنابراین ضرورت دارد که تمهیداتی برای اطمینان از اینکه درخواست توکن از طرف دارنده حقیقی PAN و نه یک کلاهبردار ارسال شده، اندیشیده شده باشد. سطح اطمینان توکن به همین موضوع اشاره دارد و بیانگر میزان اطمینان TSP از هویت درخواستکننده توکن است. سطح اطمینان توکن بر اساس سطح هویتسنجی و اعتبارسنجی (ID&V) که در حین فرایند صدور توکن اتفاق افتاده تعیین میشود و بنا بر سطح اطمینان مورد انتظاری که بین درخواستکننده و فراهمکننده توکن توافق میشود، میزان اطلاعات لازم ID&V که باید در درخواست قرار داده شود تغییر میکند.
استاتیک و دینامیک بودن توکن: توکن استاتیک توکنی است که برای تعداد زیادی تراکنش مورد استفاده قرار میگیرد، اما توکن دینامیک صرفاً برای تعداد محدودی (یا حتی یک) تراکنش معتبر است. قابل ذکر است که صدور یک توکن استاتیک نیازمند درجه بالاتری از اطمینان و مکانیسمهای امنیتی است.
در مرحله پردازش تراکنش، TSP تمامی این ویژگیهای توکن را بررسی میکند و بر اساس نتایج این بررسی، ممکن است تراکنش را رد کند یا اینکه با قبول آن، برای بانک صادرکننده ارسال کند.
فرایند پردازش تراکنش توکنی
شکل شماره 3 جریان پردازش یک تراکنش را که در آن توکن جایگزین PAN شده مطابق استاندارد EMVCo نشان میدهد.
مطابق شکل، دارنده کارت، توکن خود را در اختیار پذیرنده میگذارد (مثلاً با نزدیک کردن موبایل NFC-Enabled خود به POS) و پایانه فروش پیام تراکنش را تولید میکند. Cryptogram شامل اطلاعات تراکنش میشود که توسط کلیدهای رمزنگاریای که روی دستگاه ذخیره شده، کد شده است. این پیام از طریق بانک پذیرنده به ارائهدهنده سرویس توکن TSP ارسال میشود. شبکه پرداخت و پروتکلهای مورد استفاده برای این ارسال، همانهایی است که برای تراکنشهای بدون توکن (با استفاده از PAN) به کار میرود. TSP با دریافت پیام و چک کردن برخی موارد همچون معتبر بودن توکن، آن را با PAN واقعی جایگزین میکند و تراکنش به بانک صادرکننده ارسال میشود. سپس بانک صادرکننده میتواند تراکنش را اجرا کند.
پیشنهاد استفاده از نهانش (توکنیزاسیون) در اکوسیستم پرداخت ایران
استفاده از نهانش عاملی کلیدی در موفقیت راهکارهای پرداخت موبایلی به حساب میآید، زیرا این راهکارها با چالشهای امنیتی جدی مانند Cross-Channel Fraud مواجهاند و نهانش این دغدغهها را آنچنان که توضیح داده شد برطرف میکند. سوالی که در این مرحله به ذهن میرسد این است که آیا ضرورتی برای ارائه سرویس نهانش در ایران وجود دارد و اینکه در صورت وجود این ضرورت، چه رویکردهایی برای آن متصور است؟
در مورد ضرورت ارائه این سرویس در ایران ممکن است گفته شود با توجه به اینکه اکثریت مطلق کارتهایی که تاکنون در ایران صادر شدهاند از نوع کارت نقدی (Debit Card) هستند و دارنده کارت هنگام خرید ملزم به ارائه رمز اول کارت است، بنابراین PAN به تنهایی در ایران به آن اندازه حساس نیست و در صورتی که فردی صرفاً PAN یک فرد دیگر را در اختیار داشته باشد، نمیتواند تراکنشی ایجاد کند مگر اینکه به دادههای دیگری مانند رمز نیز دسترسی داشته باشد. در پاسخ باید به این نکته توجه داشت که در ایران تراکنشهای پرداخت موبایلی مانند پرداختهای USSD وجود دارد که در آن نه تنها PAN بلکه تمام اطلاعات لازم دیگر مانند کد CVV2، تاریخ انقضا و رمز دوم نیز روی کانال ارسال میشود. به بیان دیگر، حساسیت PAN در تراکنشهای موبایلی ایران به این است که همراه آن اطلاعات دیگر کارت نیز ارسال میشود و فرصت استفاده غیرمجاز را فراهم میکند.
از طرفی اخیراً شاهد بودهایم که چندین راهکار پرداخت موبایلی از طریق NFC در ایران رونمایی شده و پیشبینی میشود به دنبال آن و پس از تدوین آییننامه پرداخت با NFC در شاپرک، با موجی از راهکارهای مشابه مواجه شویم. این راهکارها یا باید PAN و اطلاعات دیگر کارت را ذخیره کنند، که در این صورت با چالش جدی امنیتی روبهرو خواهند بود یا اینکه از راهکارهای امنیتی استاندارد دنیا مانند نهانش بهره برند.
بنابراین ارائه سرویس نهانش در ایران ضروری به نظر میرسد. بر اساس یافتههای این مقاله، برای ارائه آن در ایران دو رویکرد متفاوت قابل تصور است:
رویکرد توزیعشده
در این رویکرد خود بانک صادرکننده نقش فراهمکننده سرویس توکن (TSP) را ایفا میکند. البته این نقش محدود به PAN کارتهایی میشود که خودش صادر کرده است. این سرویس میتواند در یک راهکار پرداخت موبایلی، که منحصر به پرداخت کارتهای صادرشده از همان بانک است، استفاده شود. بنابراین ارائه یک راهکار پرداخت موبایلی جامع، که قابلیت پرداخت با کارت هر بانکی را داشته باشد، مستلزم این است که به تمام TSPهای مختلف (به تعداد تمام بانکها) متصل شود (شکل 4).
رویکرد متمرکز
در این رویکرد یک نهاد ثالث فرابانکی، که مورد اعتماد تمامی بانکها باشد، متولی ارائه سرویس نهانش میشود. در این صورت هر PAN از هر بانکی در آن قابل تعریف است. این نهاد میتواند نقش حاکمیتی داشته باشد و زیر نظر بانک مرکزی به ارائه سرویس بپردازد. با وجود این سرویس، ارائه یک راهکار پرداخت موبایلی جامع، که قابلیت پرداخت با کارتهای شتابی (از هر بانک) را داشته باشد، مستلزم این است که تنها به یک TSP متصل شود (شکل 5).
همانطور که پیداست، رویکرد دوم همانند مدل مورد استفاده در دنیاست که در آن نقش TSP بر عهده متولیان شبکه پرداخت (همانند شرکتهای VISA و MasterCard) است. هزینه مدل دوم در ایران با توجه به مدیریت متمرکز به مراتب میتواند کمتر از مدل اول باشد و به عنوان مدل پیشنهادی این مقاله ارائه میشود.
منبع: پیوست