راه پرداخت
رسانه فناوری‌های مالی ایران

نگاهی به مزایا و معایب استاندارد EMV / کالایی گران به نام امنیت

مینا نوبهار / سال 83 بانک مرکزی با اعلام نیاز به استفاده از کارت هوشمند با تبعیت از استاندارد EMV و مطابقت با برنامه کاربردی VSDC از بانک‌ها خواست برنامه مهاجرت خود به کارت هوشمند را اعلام کنند. اما هیچ‌کس این دستورالعمل بانک مرکزی را جدی نگرفت و برنامه‌ای برای پیاده‌سازی استاندارد جدید طراحی نشد و همچنان بانک‌ها به صدور کارت‌های مغناطیسی خود ادامه دادند. پروژه EMV به دلایل متعددی همچون گران بودن، نبود زیرساخت‌های مناسب، مشکلات و آسیب‌های استفاده از EMV در کشور محقق نشد؛ پروژه‌ای که به دلیل فضای پساتحریم و اتصال به شبکه جهانی پرداخت از دید بانک مرکزی و بسیاری از صاحب‌نظران ضروری است و باید مقدمات لازم برای اجرایی کردن و پیاده‌سازی آن در کشور هر چه سریع‌تر فراهم شود. هرچند به باور برخی نیز اجرای آن تنها بر چرخه کارت‌های بین‌المللی ضروری است و نیازی به پیاده‌سازی آن روی چرخه کارت‌های داخلی نمی‌دانند. عده‌ای دیگر هم به دلیل فراهم نبودن شرایط و زمان‌بر بودن آن، به‌طورکلی ضرورت چندانی برای تحقق آن نمی‌بینند.

EMV-standard-index-way2pay-94-11-20

پیشینه شکل‌گیری استاندارد EMV

با ظهور کارت‌های هوشمند در دنیا، انتظار می‌رفت کاربرد آن‌ها در سيستم‌های بانکی بیش از سایر حوزه‌ها باشد اما به دلیل مزایای پیشینیان آن‌ها یعنی کارت‌های مغناطیسی، روند گذار به کارت‌های هوشمند در همه کشور‌ها به‌سرعت محقق نشد. ازجمله این مزایا می‌توان به سهولت و گستردگی استفاده از آن اشاره کرد، درحالی‌که کارت‌های هوشمند به‌سادگی قابل‌گسترش نیستند چراکه هزینه تهیه سیستم‌های پرداخت مبتنی بر این نوع کارت‌ها بالاست.

اما باوجود این قبیل معایب، نرم‌افزارهای مخابراتی بسیاری روی اين تراشه‌های هوشمند قرار گرفت و همچنین بانک‌ها نیز در بسیاری از کشورها به دلیل ناتوانی کارت‌های مغناطيسی در برخی حوزه‌ها همچون پرداخت‌های آفلاین، خرد و بدون رمز به سمت کارت‌های هوشمند رفتند.

در همين راستا برای گسترش و شناساندن مزايای کارت‌های هوشمند در مؤسسات مالی و بانک‌ها، سه شرکت پيشرو Visa و Master card و Euro pay اقدام به تدوين مجموعه مشخصاتی برای سهولت و يکسان‌سازی نحوه استفاده از کارت‌های هوشمند کردند که اين مجموعه مشخصات تحت عنوان EMV برگرفته از حروف اول نام این سه شرکت شناخته شد. بعدها برای حمايت و گسترش اين مجموعه مشخصات توسط اين سه شرکت، موسسه‌ای به نام EMV Co ايجاد شد که به‌طور مرتب مجموعه مشخصات را بازنگری و اصلاح می‌کند و قابلیت‌های جديدی به آن می‌افزاید.

یکی از مهم‌ترین تأثیراتی که اين موسسه بر صنعت پرداخت گذاشت، متمایل ساختن آن به‌سوی کارت هوشمند بود. پیش از آن هر موسسه مالی يا بانک و شرکت صادرکننده کارت به سليقه خود عمل می‌کرد و سيستم موردنظر خود را طراحی می‌کرد که متضمن موفقیت آن نبود. همچنین از بابت پذيرش آن در ساير مؤسسات و بانک‌ها چه در داخل و چه در سایر کشورهای دنيا اطمینانی وجود نداشت. علاوه بر این، جایگزین سازی کارت‌های هوشمند به‌جای مغناطيسی عملاً امکان‌پذير نبود ولی با شناساندن مزايای کارت‌های هوشمند و پيدايش مجموعه مشخصات EMV برای اين کارت‌ها، استفاده از آن‌ها فراگير و تبدیل به يک الزام شد.

.

پیشینه کارت‌های هوشمند در ایران

پروژه کارت‌های هوشمند از اواخر دهه 70 به شبکه بانکی ایران معرفی شد؛ هنگامی‌که بانک مسکن کارت هوشمند خود را به‌عنوان جایگزینی برای دفترچه حساب و دفترچه پرداخت اقساط وام‌های مسکن صادر کرد. پس‌ازآن در سال‌های 80-79 بود که شرکت ایز‌ایران کارت هوشمند جدیدی به نام «ثمین» معرفی کرد که پروسه تحقق آن در سال 80 به دلیل مخالفت بانک مرکزی متوقف شد. شرکت خدمات انفورماتیک نیز برای سوئیچ بانک توسعه صادرات و بانک کشاورزی سیستم هایبرید (مغناطیسی و هوشمند) را ایجاد کرده بود. اما باوجود چنین تلاش‌هایی، پروژه کارت‌های هوشمند به‌صورت جدی در دستور کار قرار نگرفته بود. علاوه بر این، هنوز استاندارد EMV جنبه صنعتی پیدا نکرده و در کشور مطرح نبود. تا اینکه در سال 83 این بار خود بانک مرکزی موضوع کارت‌های هوشمند را در دستور ‌کار خود قرار داد و آیین‌نامه‌ای در خصوص استاندارد EMV برای این کارت‌ها تصویب و ابلاغ کرد.

به‌موجب آیین‌نامه مذکور کلیه کارت‌های هوشمندی که مورداستفاده قرار خواهند گرفت بايد منحصراً داراي استاندارد EMV  (20004)  باشند و در همین راستا يک مرجع ذي‌صلاح بين‌المللي استاندارد آن‌ها را تائید کند.

البته مفاد آیین‌نامه به تائید مرجع بین‌المللی محدود نمی‌شد، بحث صدور گواهينامه کليد عمومي براي بانک‌های متقاضي نیز در این آیین‌نامه مطرح شد که در این خصوص قرار بود «مرکز صدور گواهي» اداره نظام‌هاي پرداخت در بانک مرکزي دست‌به‌کار شود. در این میان وظیفه مرکز شتاب نیز انجام تمهيدات لازم برای امکان پردازش تراکنش‌هاي کارت‌هاي هوشمند بود.

نکته مهم دیگر آیین‌نامه این بود که قرار بود تا پايان سال 2005 کارت‌هاي هوشمند در سطح بين‌المللي جايگزين کارت‌هاي مغناطيسي شوند، به همین دلیل بانک‌ها می‌بایست برنامه عملياتي خود را در اين خصوص به بانک ‌مرکزی اعلام می‌کردند.

از آن زمان زمزمه صدور کارت EMV آغاز شد و به دنبال آن، بانک صادرات کارت‌های اعتباری خود را هوشمند ساخت.

سال 1387 بازهم خود بانک مرکزی دست‌به‌کار شد اما صرفاً قوانینی کلی در حوزه کیف پول الکترونیکی تدوین کرد که توجه چندانی به آن نشد و عملاً با آمدن شتاب و گسترش آن، استفاده از کارت هوشمند به تعویق افتاد.

اگرچه از آن زمان تاکنون بانک مرکزی موضع خود مبنی بر الزام گذار به کارت‌های هوشمند EMV را حفظ کرده اما هنوز برنامه دقیقی برای اجرایی کردن آن پیش‌بینی نشده است. ضمن اینکه موضوع تازه‌ای تحت عنوان استفاده از گوشی‌های هوشمند به‌جای ابزار پرداخت مطرح شده؛ موضوعی که در اظهارات ناصر حکیمی مدیرکل فناوری اطلاعات بانک مرکزی در همایش تراکنش امسال نیز مطرح شد. به گفته حکیمی، با آمدن گوشی‌های هوشمند در کنار تأخیر در مهاجرت به EMV شاید فرصتی به وجود آمده که از این فاصله تکنولوژیک با دنیا استفاده و مستقیماً کارت‌های موجود را روی گوشی هوشمند منتقل کنیم؛ به‌طوری‌که از این گوشی‌ها هم به‌عنوان کارت و هم به‌عنوان ابزار پذیرش استفاده کنیم و در هزینه‌های سرمایه‌گذاری برای مهاجرت هم صرفه‌جویی کنیم.

.

تجربه EMV در کشورهای مختلف و رشد تعداد کارت‌های آن در دنیا

سابقه EMV در سرتاسر دنیا به بیش از 14 سال می‌رسد. کشورهای متعددی همچون انگلستان، کانادا، کشورهای خاورمیانه، آفریقا و اتحادیه اروپا به سمت EMV رفته‌اند و تاکنون بیش از 200 گواهینامه EMVco مورد تائید قرار گرفته ‌است.

بر اساس آماری که خود EMVco در آخرین گزارش خود در ماه مه 2015 منتشر کرده، 32 درصد کل تراکنش‌هایی که با کارت تراشه‌دار (چه با تماس چه بدون تماس) در سال 2014 انجام شده، از تکنولوژی تراشه EMV استفاده کرده‌اند که این تعداد به نسبت سال 2013 بیش از 29 درصد افزایش داشته است. در حال حاضر بیش از 4/3 میلیارد کارت EMV در گردش است که نسبت به سال 2013 افزایش 43 درصدی داشته.

تا پایان سال 2014، در کشور آمریکا 101 میلیون فقره از کارت‌های بانکی، EMV بوده که 12/0 درصد از تراکنش‌های این کشور را به خود اختصاص داده بودند. نخستین مهاجرت کارت‌های بانکی این کشور به EMV با پیشگامی Creditcall در آوریل سال 2013 محقق شد. Creditcall پیش‌تر با تولیدکنندگان سخت‌افزار در آمریکا همکاری کرد تا از آمادگی پایانه‌های پرداخت این کشور برای پذیرش کارت‌های تراشه‌دار EMV اطمینان حاصل کند. به دنبال آن American Express، Discovery، Visa و MasterCard در این کشور به سمت EMV رفتند.

در حال حاضر استفاده از کارت‌های EMV در این کشور به‌قدری گسترش یافته که در قوانین مربوط به پرداخت‌ها نیز لحاظ شده است به‌طوری‌که اگر طی قراردادی میان دو موسسه مالی یکی از طرفین EMV نداشته باشد، در صورت وقوع هرگونه مشکلی، موسسه‌ای که EMV ندارد مقصر شناخته می‌شود.

در خاورمیانه و آفریقا نیز از سال 2013 تا 2014 رشد 12 درصدی در استفاده از سیستم EMV به وقوع پیوست به‌طوری‌که تعداد کارت‌های EMV به 116 میلیون افزایش یافت. در همین بازه زمانی در اروپای غربی و شرقی نیز به ترتیب 833 و 153 میلیون کارت EMV وجود داشت. این بدان معنی است که در این مناطق به ترتیب 83 و 40 درصد مردم به استفاده از این سیستم روی آوردند.

.

مزایای EMV

EMV یک استاندارد جهانی برای کارت‌های پرداخت مبتنی بر فناوری تراشه است که به پردازش پرداخت‌های اعتباری کارت‌های دارای تراشه ریزپردازشگر نیز می‌پردازد. علت نام‌گذاری Chip and Pin برای تراکنش‌هایی که با این کارت‌ها صورت می‌گیرد این بوده که برای تائید هویت صاحب حقیقی کارت به پین نیاز است. این درواقع یک روش برای ساده‌سازی است چراکه ویژگی‌های EMV روش‌های تائید دارندگان کارت را نیز دربر می‌گیرد.

.

EMV در مقابل تراکنش‌های مغناطیسی

برخلاف آنچه در تراکنش‌های کارت‌های مغناطیسی صورت می‌گیرد و تنها دو نوع اطلاعات یعنی شماره کارت و تاریخ انقضا را پردازش می‌کند، در کارت‌های تراشه‌دار EMV اطلاعات بسیار زیادی میان کارت، پایانه و بانک پذیرنده یا میزبان پردازشگرها تبادل می‌شود.

تحقق این روند و انجام یک تراکنش موفق، نیازمند اجرای مراحل پیچیده‌ای از پردازش توسط پایانه است. این بدان معنی است که افزودن استاندارد EMV به اپلیکیشن‌های پرداخت می‌تواند کار سخت و اضطراب‌آوری باشد. بااین‌حال استفاده از این نوع کارت‌ها مزیت‌های بسیاری نیز دارد که شاید بتوان مهم‌ترین آن‌ها را در امنیت بالا و کاهش ریسک، کاهش هزینه‌های مخابراتی، داشتن حافظه و پردازشگر خلاصه کرد.

.

امنيت بالا و کاهش ريسک

اگرچه استفاده از کارت‌های مغناطیسی در سال‌های اخیر باعث تسهیل پرداخت‌ها در کشور شد اما بحث فراد و پوز‌های تقلبی نیز از چند سال پیش خبرساز بوده‌اند. باوجود اینکه حجم این فرادها زیاد نبود اما در صورت گستردگی می‌تواند منجر به سلب اعتماد مردم در استفاده از این سیستم پرداخت شود.

بر اساس تجربیات به‌دست‌آمده در سرتاسر دنیا، استفاده از کارت‌های مبتنی بر استاندارد EMV امکان کلاه‌برداری و تخلف (فراد) را به‌شدت کاهش می‌دهد؛ چنانچه طبق برآورد موسسه Visa دست‌کم تا 70 درصد تخلفات کاهش یافته و 90 درصد سوءاستفاده از کارت‌های مفقودی و دزدی قابل‌پیشگیری خواهد بود. دلیل این امر هم مشکل‌تر بودن جعل کارت‌های هوشمند نسبت به کارت‌های مغناطيسی است. فراد علاوه بر امکان سوء‌استفاده از کارت‌های مفقودی یا دزدیده‌شده، شامل هک اطلاعات کارت تعویضی، جعل کردن کارت، کلاه‌برداری بدون حضور کارت فیزیکی و سرقت شناسه کارت نیز می‌شود.

یکی از نمونه‌های موفق EMV در زمینه کاهش فراد در کشور فرانسه تحقق یافت به‌طوری‌که از سال 1992بیش از 80 درصد کاهش فراد داشت. در انگلستان نیز از سال 2008، فراد در کارت‌ها 75 درصد کاهش یافت.

.

کاهش هزينه‌های مخابراتی

برخلاف تراکنش‌های کارت‌های مغناطيسی که اکثر آن‌ها مستلزم اخذ مجوز با اتصال پيوسته (Online Authorization) است، امنيت بالای کارت‌های هوشمند باعث شده انجام تراکنش‌های ناپیوسته (آفلاین) نیز ممکن شود. به همین دلیل هزینه‌های مخابراتی نیز کاهش می‌یابد.

.

وجود حافظه و CPU

اهمیت وجود حافظه و پردازشگر روی کارت‌ها از این جهت است که به کمک آن‌ها می‌توان برنامه‌های متنوعی چون E-PURSE و LOYALTY را نیز روی کارت هوشمند قرار داد؛ برنامه‌هایی که سبب جذب مشتری می‌شوند.

.

الزامات گذار به EMV

تطبیق نظام پرداخت با مشخصات EMV و به‌تبع آن برخورداری از مزایای برشمرده‌شده ممکن نخواهد بود مگر با ایجاد تغییراتی عمده شامل جايگزينی همه کارت‌های مغناطيسی و کارت‌های هوشمند Non-EMV با کارت‌های EMV، ارتقای پايانه‌های P.O.S و ATM جهت پذيرش کارت هوشمند و کارت‌خوان مورد تائید EMV و افزایش قابليت پردازش در ابزارهای Front Office و Back Office. البته تمرکز EMV بیشتر بر حوزه پذیرندگی است تا امنیت کسب‌وکار را بالا ببرد.

در این راستا وظایف مختلفی برای فعالان این حوزه متصور است. به‌عنوان‌مثال بانک‌ها باید در حوزه تجهیزات خود همچون ATM، کیوسک، سوئیچ و دستگاه‌های شخصی‌سازی کارت به سمت EMV بروند.

در حوزه پذیرندگی نیز شتاب، شاپرک و PSPها باید در بخش سوئیچ‌های خود تغییراتی را مبتنی بر EMV اجرا کنند. در دهه 80 تمرکزها بر موضوع خرید پوزهایی بود که قابلیت پشتیبانی از سطوح مختلف EMV را داشته باشند اما پس از مدتی فشار بانک مرکزی کمتر شد و چنین تمرکزی از بین رفت. به‌طوری‌که در حال حاضر کمتر از 50 درصد پوزهای موجود دارای قابلیت خوانش کارت‌های EMV را دارند.

.

گرانی؛ مشکل اصلی کارت‌های هوشمند

در سال 1383 مجموع کارت‌های صادره بانکی در کشور هفت میلیون و 823 هزار فقره کارت بود اما بر اساس آخرین گزارش بانک مرکزی این ارقام تا پایان نیمه اول سال 94 به بیش از 360 میلیون فقره افزایش یافته است. از این تعداد، 243 میلیون کارت برداشت، 116میلیون کارت هدیه، 6/1 میلیون کارت اعتباری و دو میلیون کارت پول الکترونیکی است. در صورت گذار به EMV باید تمامی این کارت‌ها به‌صورت تدریجی تغییر کنند.

علاوه بر این بحث بالا بودن قیمت کارت‌های هوشمند هم وجود دارد. طبق آمارهای موجود در آمریکا قیمت هر کارت هوشمند معمولي بیش از دو تا پنج دلار است، درحالی‌که قیمت کارت مغناطيسی در خریدهای انبوه پنج تا 15 سنت است. با مقایسه قیمت کارت‌های هوشمند با کارت‌های مغناطيسی به‌راحتی می‌توان دریافت چرا بسیاری از کشورها تاکنون به سمت استفاده از کارت‌های هوشمند در شبکه پرداخت خود نرفته‌اند. اما در ایران قیمت به نسبت پایین‌تر است؛ حدود دو هزار تومان برای خرید یک کارت مغناطیسی و حدود پنج تا شش هزار تومان برای خرید کارت هوشمند EMV برآورد می‌شود.

به عقیده بسیاری از صاحب‌نظران قيمت کارت هوشمند در مقابل کارایی و عملکرد آن بهای اندکی است، ضمن اینکه برخلاف کارت‌های مغناطیسی هزينه عمليات، ريسک و هزينه‌های اضافی نیز ندارد. علاوه بر این انتظار می‌رود با استفاده از برنامه‌های متنوع آن امکان جذب سپرده و مشتری، بيشتر و راحت‌تر شود.

همچنین به دلیل اینکه بانک‌ها و پذيرندگان به استفاده از پایانه‌های EMV-POS نیاز دارند و EMV باعث راهيابی انواع برنامه‌ها روی يک کارت هوشمند می‌شود، پايانه‌ها هم ملزم به ارائه قدرت پردازش بالا، تفکیک برنامه‌ها و ساير جنبه‌های موردنیاز برای يک محيط قابل‌اطمینان چند برنامه‌ای می‌شوند. از سوی ديگر با لزوم پردازش داده‌هايی که توسط کارت EMV حاصل می‌شود، بانک‌ها به پردازشگرهای بيشتری نیاز خواهند داشت چراکه به خاطر امنیت بالاتر، حجم روزانه داده‌های تولیدشده با هر کارت هوشمند دو تا چهار برابر داده‌هایی است که يک کارت مغناطيسی تولید می‌کند. بنابراین علاوه بر حوزه صدور کارت و هزینه‌های آن، در بخش پایانه‌های پذیرش نیز هزینه‌های بسیاری نیاز است. در این خصوص بسیاری از 300 تا 500 میلیون دلار سرمایه‌گذاری در کل کشور برای انجام تغییرات نرم‌افزاری در پایانه‌ها صحبت می‌کنند.

.

امنیت پایین در خرید آنلاین

باوجود اینکه مهم‌ترین مزیت کارت‌های EMV بحث امنیت عنوان می‌شود، اما به باور بسیاری این به معنی وجود امنیت کامل نیست و بحث فراد، فقط از حالت ساده به فرآیندی پیچیده‌ مبدل خواهد شد که به ابزارهای بیشتری نیاز دارد.

موضوع امنیت EMV در شورای استانداردهای امنیتی PCI یا صنعت کارت پرداخت نیز مطرح شده است. به عقیده اعضای این شورا به‌عنوان تنظیم‌کننده قوانین خرده‌فروشان در پذیرش کارت‌های پرداخت، استفاده از کارت‌های EMV استانداردهای امنیتی موجود را تغییر نخواهد داد.

علاوه بر این‌ها، متخصصان بسیاری در حوزه کارت‌های پرداخت به این نتیجه رسیده‌اند که اگرچه حرکت به سمت کارت‌های chip and pin ممکن است تقلب در فروشگاه را کاهش دهد اما از کلاه‌برداری در خریدهای آنلاین جلوگیری نمی‌کند. باوجود اینکه برای تکمیل تراکنش خرید آنلاین نیاز به واردکردن پین است اما هکرها به‌راحتی می‌توانند از طریق شماره کارت، پین را هم هک کنند. چنانچه در بریتانیا از زمانی که فناوری EMV را در کارت‌ها پیش گرفتند -یعنی از سال 2004 تا سال 2014- اگرچه آمار فراد در فروشگاه‌ها 63 درصد کاهش یافت اما فرادهای خرید آنلاین 120 درصد افزایش پیدا کردند.

برای جلوگیری از چنین سوءاستفاده‌هایی بسیاری از متخصصان معتقدند با استفاده از NFC که یا به‌صورت یک یواس‌بی است یا روی پی‌سی نصب شده، می‌توان کارت EMV را تائید و بدین ترتیب تراکنش آنلاین را تکمیل کرد. تراشه نصب‌شده روی این کارت‌ها در پرداخت با موبایل‌هایی که از NFC پشتیبانی می‌کنند نیز قابل‌استفاده است. به همین دلیل است که پیش‌بینی می‌شود در سال 2016 برخی روش‌های تائید هویت با NFC بسیار رایج شود.

باوجود تمام معایب و مزایایی که استاندارد EMV دارد، نمی‌توان منکر گستردگی روزافزون آن در سرتاسر دنیا بود.

تحقق EMV در کشور با توجه به جمعیت 80 میلیونی ایران، تعداد شعب، پوزها و ATMها نیازمند یک برنامه دو تا پنج‌ساله خواهد بود؛ ضمن اینکه تمامی بانک‌ها و اعضای شبکه بانکی باید بر سر پیاده‌سازی این استاندارد هم‌صدا شوند. همچنین تاکنون برنامه آموزشی فراگیری برای کارشناسان فنی در خصوص EMV وجود نداشته و بسیاری از آن‌ها از جزییات دقیق این استاندارد اطلاعی ندارند؛ بنابراین پروژه EMV علاوه بر سرمایه‌گذاری در بخش نرم‌افزاری، سخت‌افزاری و به‌طورکلی در زیرساخت‌های لازم، نیازمند رفع اختلاف‌نظرها، آموزش و به‌کارگیری نیروی انسانی خبره در حوزه EMV و از همه مهم‌تر سرعت عمل است؛ موضوعی که با آغاز روزشمار برای سفر نمایندگان بانک‌های مهم بین‌المللی به ایران بیش از همیشه اهمیت یافته است.

منبع: پیوست

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.