مدل‌های مختلف کیف ‌پول در رقابت با یکدیگر / جدال با فناوری

مدیران بانک مرکزی می‌گویند سرمایه‌گذاری روی فرآیند سرویس‌دهی از طریق کارت، شرط بستن روی اسب مرده است. برنامه‌ریزی بانک مرکزی برای تنظیم مقررات کیف پول الکترونیکی پس از نمایشگاه MWC ناگهان تغییر کرد. پیش‌ازاین نمایشگاه و رونمایی از سرویس‌های مختلف پرداخت روی موبایل رگولاتور پولی و بانکی کشور با گام‌های محتاط به سمت راه‌اندازی کیف‌ پول الکترونیکی قدم برمی‌داشتند و طبق گفته مدیران این بخش بسیاری از فرآیندها در حال تکمیل شدن و به بهره‌برداری رسیدن بود؛ اما ناگهان ورق برگشت. مدیران این بخش به این نتیجه رسیدند که زمان چرخش فناوری فرا رسیده ‌است.

پروژه‌هایی که تا پیش‌ازاین برای راه‌اندازی کیف‌ پول الکترونیکی در دست اقدام بود برای یک بازنگری متوقف شد تا با فناوری روز همگام شوند؛ اما سؤال این است که چگونه باید عمل کرد؟ کارشناسان اعتقاد دارند برای رسیدن به کیف ‌پول الکترونیکی چاره‌ای جز پیاده‌سازی SECURE ELEMENT نیست؛ اما تفاوت ساختارهای ایران با سایر کشورها موجب می‌شود امکان پیاده‌سازی کامل مدل آن‌ها نباشد. از سویی به دلیل جدید بودن این فناوری، در سایر کشورها نیز هنوز به استاندارد قطعی‌ای دست پیدا نکرده‌اند و در حال آزمودن روش‌های مختلف برای استفاده از کیف‌ پول روی گوشی تلفن همراه هستند. از همین رو می‌توان گفت ما احتمالاً در این بخش با جهش تکنولوژی مواجهیم و به سراغ فناوری‌ای می‌رویم که از پیشینه‌اش استفاده نکرده‌ایم.

عنصر امن

عنصر امن (secure element) پلتفرمی temper resistant (معمولاً یک میکروکنترل‌کننده‌ امن تراشه) است که می‌تواند اپلیکیشن‌ها و اطلاعات محرمانه و رمزنگاری‌شده‌ را با حفظ امنیت کامل و مطابق با قوانین و الزامات امنیتی میزبانی کند. سال‌ها زمان صرف شده است تا سیستمی ایجاد شود که امنیت پرداخت همراه را تضمین کند یا لااقل بالا ببرد؛ راه‌حل‌های ارائه‌شده کنونی در این زمینه متکی به عنصر امن (SE) هستند. SE یا عنصر امن، کارت هوشمند کوچکی در تلفن‌ همراه است که دسترسی به آن محدود است و کدگذاری شده. این چیپ‌ها یا کارت‌های هوشمند EMV یا به‌اصطلاح تراشه‌ها توانسته‌اند بسیاری از روش‌های دزدی را حذف کنند. بر اساس گزارش‌های موجود دور زدن سیستم هوشمند EMV بسیار دشوار است. علاوه بر این، فرصت هتک امنیت و تقلب در این سیستم محدود شده است؛ زیرا فقط مقدار اندکی از داده‌ها رویشان (اطلاعات کاربر و دستگاه‌های رمزگذاری‌ها) ذخیره می‌شود. این امر باعث می‌شود هکرها مجال چندانی نداشته باشند.

SE ها درواقع مرحله‌ تکاملی امنیت در فناوری هستند. تراشه‌ تعبیه‌شده در کارت‌های اعتباری و نقدی، دال بر توجه به نیازهای امروز در دنیای تلفن‌های همراه و اقتصاد پسامدرن است. امروزه با توجه به اپلیکیشن‌های متعددی که در بازار وجود دارد، حفظ امنیت یکی از مهم‌ترین دغدغه‌ها به شمار می‌رود.

حضور SE در VAS (خدمات ارزش‌افزوده مخابرات) ضرورتی غیر‌قابل‌انکار است. احراز هویت، شناسایی، مدیریت امضاها و PIN ها همه‌ در ارتباط با VAS قرار دارند و VAS نیز خود به محیطی حفاظت‌شده و امن نیازمند است. مثلاً در پرداخت کاربر مهم است که اعتبار او قابل‌مشاهده نباشد. پردازش تراکنش در قالب SE با توجه به منابع قابل‌اعتماد بانکی، نرم‌افزار مورد اعتماد که در SE تلفن‌ همراه ذخیره شده است، در محیطی امن و با حفظ امنیت اطلاعات کاربر صورت می‌پذیرد. تا بدین جا گوگل‌ولت و اپل‌پی تلاش کرده‌اند مشکلات موجود در پرداخت‌های همراه را که از طریق POS ها و اپلیکیشن‌ها صورت می‌گیرد، حل کنند. گوگل با معرفی فناوری HCE در سال‌های اخیر، تعریف عنصر امن (SE) را توسعه داده است. HCE بر نوعی فناوری عنصر امن بر پایه ابر مبتنی است.

.

HCE ،Tokens و دستگاه انگشت‌نگاری

گوگل در آغاز کیف پول google wallet) V1.0) خود را بر اساس SE ارائه داد. رویکرد این کیف پول‌ چندان قابل‌توجه نبود؛ به همین دلیل شرکت‌هایی مثل ورایزون، AT&T و T-Mobile تصمیم گرفتند از برند خود با عنوان Soft card پشتیبانی کنند و دسترسی به عنصر امن خودشان را برای دیگر SE ها بستند. گوگل چاره‌ دیگری نداشت جز ادامه دادن مسیر.

امروز کیف پول V3.0 گوگل مبتنی بر SE نیست و در عوض با استفاده از فناوری‌ای با عنوان HCE) host-based card emulation) کار می‌کند که در آن card emulation و SE به‌صورت جداگانه قرارگرفته‌اند؛ برای مثال در HCE وقتی یک گوشی هوشمند اندرویدی که به قابلیت NFC مجهز است، در برابر ترمینال غیرتماسی قرار گرفته می‌شود، کنترل‌کننده‌ NFC در داخل گوشی، ارتباط را از طریق ترمینال به host هدایت می‌کند. گوگل‌ولت درخواست host را دریافت می‌کند و با شماره کارتی مجازی و با استفاده از پروتکل استاندارد برای تکمیل معامله پاسخ می‌دهد. به ‌این ‌ترتیب شماره کارت مجازی جایگزین شماره واقعی کارت می‌شود. اطلاعات واقعی کارت در سیستم ابر حفظ می‌شوند.

HCE هرگونه اطلاعات ذخیره‌شده روی گوشی را آسیب‌پذیر در نظر می‌گیرد و درنتیجه ذخیره‌سازی اطلاعات را محدود به هاست (host) یا پایگاه داده‌های ابر می‌کند. این پایگاه داده‌ها با امنیت بالا اداره می‌شود. با روی کار آمدن HCE دیگر نیازی به کارت هوشمند نیست. همه‌چیز موجود در سیستم‌عامل گوشی شماست.

.

جلوگیری از دسترسی‌های غیرمجاز در HCE به چهار رکن بستگی دارد:

• استفاده از کلیدهای محدود: کلیدهای محدود از سوءاستفاده جلوگیری می‌کنند.
• tokenss میزان ریسک را با استفاده از PAN که استفاده از داده‌ها را از طریق سیستم پرداخت محدود می‌کند، پایین می‌آورند.
• ابزارهای انگشت‌نگاری: دستگاه انگشت‌نگاری اعتبار سنجی را انجام می‌دهد.
• تحلیل ریسک موجود در تراکنش‌ها: ارائه‌دهندگان تحلیل داده‌ها پرداخت‌های واقعی را ارزیابی می‌کنند و فعالیت غیرمعمول را تشخیص می‌دهند.

.

امنیت HCE متکی بر مدیریت اطلاعات در سطح دستگاه‌ها و سیستم‌ها با افزایش و بالا بردن اکوسیستم‌های ابرداده‌ها اعمال می‌شود. هرچقدر داده‌های بیشتری تجزیه‌وتحلیل شوند، امنیت سیستم بالاتر می‌رود.

از سوی دیگر کاربر نیز می‌بایست امنیت را چک کند، اطلاعات محلی را ارائه دهد، میزان ریسک را ارزیابی کند و به‌روزرسانی را در موعد مقرر انجام دهد. ارتباط مداوم با مشتری، تست اطلاعات و اعتبار آن‌ها میزان ریسک را کاهش می‌دهد. درواقع HCE نسبت به SE بیشتر به شبکه‌ها از نظر همیشگی بودن آن متکی است. HCE در اندروید ۴٫۴ KitKat و بلک‌بری OS 10 پشتیبانی می‌شود.

.

پرداخت‌های همراه اپل، مجهز به SE برای حفظ امنیت اطلاعات کاربر

اپل اخیراً دو گونه فناوری ابرمحور و SE را در یکدیگر ادغام کرده است. درواقع اپل‌پی از SE در راستای ذخیره‌ Token ها، پرداخت کاربر و تاچ آی‌دی (Touch ID) برای احراز هویت چندعاملی استفاده می‌کند. این امر به اپل امکان می‌دهد از قدرت local data و backend data برای مدیریت ریسک استفاده کند و تمام شک و شبهه را در زمینه حفظ امنیت از بین ببرد.

بدین ترتیب اپل با استفاده از عناصر کارآمد دو دنیای SE و ابر و افزودن چند عامل دیگر، سیستمی قوی ایجاد کرده است. فناوری ایجادشده از جانب اپل، دو نوع مختلف از ارتباطات بی‌سیم را با یکدیگر ترکیب کرده است؛ در درجه اول برای اینکه سیگنال را از آی‌فون به دستگاه گیرنده بفرستد تا پرداخت آغاز شود، از طریق NFC عمل می‌کند. رابط بی‌سیم دوم برای برقراری ارتباط با اطلاعات از ترمینال فروش به فرآیند پرداخت واقعی استفاده می‌شود.

اپل همچنین روشی امنیتی برای محافظت از اطلاعات کاربران طراحی کرده که در بسیاری از موارد شبیه به secure enclave است که کاربران آی‌فون s5 از آن استفاده می‌کردند و داده‌های اثرانگشت را مخفی نگه می‌داشت. این secure element باعث تضمین و ایجاد اطمینان می‌شود که داده‌های پرداخت حساس کاربر فقط روی تلفن‌ همراه خودش به‌طور جداگانه ذخیره‌شده‌اند. برای انجام پرداخت، نامی مستعار ایجاد می‌شود که می‌تواند روند را تشخیص دهد و وقتی کاربر تلفن‌ همراهش را در برابر POS پرداخت قرار می‌دهد، آن نام مستعار به همراه کد رمزنگاری‌شده به دستگاه منتقل می‌شود. کد توسط بخش backend که هویت مستعار را شناسایی می‌کند، رمزگشایی می‌شود اما در هیچ زمانی نمی‌تواند اطلاعات پرداخت را دریابد.

اپل برخلاف گوگل از فناوری HCE استفاده نمی‌کند. اپل‌پی اطلاعات کارت واقعی را در داخل SE ذخیره نمی‌کند. همین امر است که اپل‌پی را در مقابل soft card و Google Wallet 1.0 قرار می‌دهد. در عوض در سیستم اپل‌پی، token با ترمینال غیرتماسی ارتباط برقرار می‌کند. شبکه شناسایی token را شناسایی می‌کند و token را تبدیل به رمز واقعی می‌کند و برای تأیید تشخیص این PAN را به صادرکننده ارسال می‌کند.

نکته مهم دیگر این است که اپل عنصر امن را در داخل دستگاه تعبیه کرده است تا از چالش‌های اجتناب‌ناپذیر از جانب MNO ها (اپراتور شبکه‌های تلفن ‌همراه) جلوگیری کند. درواقع در سیستم پرداختی اپل به‌جای ذخیره اطلاعات کاربر، مثل شماره کارت اعتباری یا نقدی و دیگر اطلاعات، Token در SE ذخیره می‌شود. Token شماره کارت کاذب است که طی فرآیند خرید، رمزگشایی و به PAN واقعی تبدیل می‌شود. شبکه‌های پرداخت این رمزگشایی را از طریق استاندارد EMVCo بر عهده می‌گیرند. اپل‌پی‌ اطلاعات را به بانک کاربر می‌فرستد و بانک کاربر، Token را ارائه می‌دهد. این token در SE رمزی پویا ایجاد می‌کند. بانک token و token key را دریافت می‌کند و cvv key به آن می‌افزاید. این token key و token به اپل‌پی برمی‌گردند و به‌ این ‌ترتیب این شرکت با استفاده از token امنیت پرداخت را تضمین می‌کند. درواقع در این فرآیند، رمزی پویا ایجاد می‌شود که ترکیبی است از token، token key، میزان تبادل و غیره. در درجه دوم در cvv پویایی ایجاد می‌شود و در نهایت پرداخت صورت می‌گیرد. در هر پردازش شماره‌ای جدید به وجود می‌آید که اپل طبق آن رمزی پویا ایجاد می‌کند تا امنیت پردازش تضمین شود. اپل در گذشته نیز نوآوری‌هایی در زمینه پرداخت همراه داشته است اما این سیستم ارائه‌شده جدید تقریباً سیستمی بی‌نظیر و کامل در دنیای امروز به حساب می‌آید. اپل جان تازه‌ای به فناوری پرداخت بخشیده است؛ فناوری‌ای که روزهای خاموشی و نابودی خود را سپری می‌کرد. هیچ مسئله‌ای در زمینه پرداخت الکترونیکی مهم‌تر از مبحث امنیت نبوده است؛ بنابراین اپل توانست «اگر» ها و «کاش» ها را ممکن کند.

نکته‌ای که باید بدان توجه کرد این است که هیچ روش امنیتی‌ای وجود ندارد که نقص نداشته باشد و نشود با صرف هزینه، زمان کافی و نیروی متخصص و فنی، سیستم امنیتی‌اش را مختل کرد؛ هیچ‌چیز کاملاً سیاه‌وسفید نیست.

.

بازگشت NFC

امروزه استفاده از چیپ‌های ان‌اف‌سی در دستگاه‌های هوشمند به طرز چشمگیری افزایش یافته، به‌طوری‌که در بزرگ‌ترین دستگاه‌های هوشمند جهان نیز از فناوری ان‌اف‌سی استفاده شده است. فناوری ان‌اف‌سی ارتباط کدگذاری‌شده‌ بی‌سیم با برد کوتاه در حد فاصل چهار سانتی‌متر یا کمتر است که توانایی تبادل اطلاعات با سرعت ۴۲۴KB/s دارد. ان‌اف‌سی این قابلیت را دارد که با کارت‌های هوشمند غیرتماسی و دستگاه‌های مجهز به این فناوری، ارتباط برقرار کند و بدین ‌ترتیب اطلاعات تبادل شوند. NFC مخفف near field communication است و نسخه پیشرفته همان چیزی است که در کارت‌های هوشمند استفاده می‌کنیم.

این فناوری به‌طور اختصاصی برای کار در گوشی‌های تلفن همراه طراحی شده است و سه ویژگی کلی دارد که روند توسعه آن را شفاف می‌کند. ویژگی اول این فناوری، قابلیت استفاده به‌جای کارت‌های غیرتماسی است؛ به‌طوری‌که می‌توان از این فناوری دقیقاً همانند کارت‌های موجود برای پرداخت‌های خرد استفاده کرد. ویژگی دوم این امکان را برای شما فراهم می‌آورد که از این فناوری به‌عنوان قرائت‌گر برچسب‌های غیرفعال آراف‌آی‌دی (در تعامل تبلیغاتی و غیره) استفاده کنید. ویژگی سوم این فناوری نیز این قابلیت را ایجاد می‌کند که بتوان هم به‌عنوان خواننده و هم به‌عنوان فرستنده و در حالت شخص به شخص برای تبادل اطلاعات بین دو دستگاه مجهز به NFC از آن بهره برد.

این فناوری با وای‌فای و بلوتوث گوشی کاربر هماهنگ است و اجازه‌ برقراری ارتباط بین دو دستگاه را از فاصله‌ دور نمی‌دهد؛ درنتیجه امنیت تضمین می‌شود. امروزه مهم‌ترین کاربرد ان‌اف‌سی، پرداخت پول از طریق گوشی‌های هوشمند است. کاربر برای این کار تنها می‌بایست اطلاعات مربوط به کارت اعتباری خود را در گوشی‌اش ذخیره کند و هنگام خرید، گوشی را به دستگاه ان‌اف‌سی‌خوان فروشگاه یا شرکت نزدیک کند تا پرداخت انجام شود؛ به همین سادگی!

.

بانک‌ها

امروزه داشتن سیستم امنیتی قابل‌اتکا یکی از مهم‌ترین اصول برای حفظ یکپارچگی سیستم است. حفظ امنیت حین ارائه تسهیلات و سهولت در استفاده از آن‌ها، از خصوصیات هر پرداخت همراه موفق است. از آنجا که پرداخت‌های (NFC (HCE یا CE ارتباط بی‌سیم برقرار می‌کنند و دریچه‌ای جدید برای پرداخت‌های همراه هستند، نقشی مهم و کلیدی در استراتژی بانک‌ها دارند. بانک‌ها در این میان باید به مجموعه‌ای از عوامل توجه کنند؛ طبعاً شرایط بومی هر کشور برای پیاده‌سازی و انتخاب رویکرد بسیار مهم است؛ مثلاً SE در بازارهای پیشرفته، نسبت به HCE سریع‌تر عمل می‌کند و ارزان‌تر است.

از سوی دیگر ارائه خدمات را باید با توجه به اهداف و نوع تراکنش‌ها تحلیل کرد. همچنین می‌بایست انعطاف را در سیستم بالا برد. همکاری بین اپراتورهای تلفن ‌همراه و دیگر عاملان در این میان برای رسیدن به استانداردهای بالا بسیار کارآمد خواهد بود. البته در این میان احراز هویت بیومتریک، گامی نزدیک‌تر به واقعیت است. فناوری احراز هویت بیومتریک باوجوداینکه مدت‌زمانی ا‌ست راه افتاده اما در ا‌پلیکیشن‌های محدودی استفاده می‌شود. بااین‌حال ‌پیش‌بینی می‌شود در آینده نقشی مهم و حیاتی در تجارت همراه عهده‌دار شوند. اسکنرهای اثرانگشت که در سامسونگ و آی‌فون ایجاد شده‌اند، فرآیند تراکنش را با استفاده از touch ID و NFC انجام می‌دهند. احراز هویت بیومتریک فقط محدود به اثرانگشت نیست. مثلاً در بریتانیا طرحی ارائه شده است که بتوان از طریق شناسایی صدای انسان این کار را انجام داد. سال ۲۰۱۴ فناوری‌هایی با خود به همراه آورد که می‌توانند نیروی صنعت تلفن‌ همراه را دوچندان کنند.

بر اساس گزارش *Edgar, Dunn & Company با عنوان Advanced payments report در سال ۲۰۱۵، وقتی این ‌پرسش مطرح می‌شود که کدام فناوری احتمال دارد بهتر از فناوری‌های دیگر عمل کند و صنعت تلفن همراه را ‌پیش ببرد، در ۷۰ درصد موارد به فناوری‌های NFC (چه از نظر نرم‌افزاری یعنی HCE و چه از نظر سخت‌افزاری یعنی چیپ) اشاره می‌شود. به ‌این ‌ترتیب طبق آمار ارائه‌شده‌، استفاده از NFC 28 درصد رشد داشته است؛ یعنی رقم ۷۳ درصدی امسال در مقابل میزان ۴۵ درصدی سال پیش بسیار جالب‌توجه است. فناوری‌های دیگر مثل BLE، بیومتریک و کدهای QR چندان رشدی نداشته‌اند. فناوری‌های مربوط به صدا نیز از ۴۲ درصد به ۲۷ درصد کاهش‌یافته‌اند.

دیگر مانند قبل صدای اعتراضی به گوش نمی‌رسد که NFC را در حال احتضار بداند یا این فناوری برای تجارت بی‌فایده خوانده شود. NFC بین تلفن و POS ارتباط برقرار می‌کند. واضح است ترکیب این فناوری‌ها می‌تواند میزان امنیت و رضایت کاربر را بالا ببرد و شانس بیشتری برای موفقیت حاصل کند.

در برخی کشورها چارچوب رگولاسیون (تنظیم مقررات) برای ارائه خدمات پول الکترونیکی وجود دارد؛ درحالی‌که کشورهای دیگر چنین ساختاری ندارند. رابطه بین اپراتورها و رگولاتور در کشورهای مختلف متفاوت است؛ مثلاً در فیلیپین، اپراتور تلفن‌ همراه می‌تواند فعالیت‌های بانکی را انجام دهد اما سیستم کشورهایی مثل کنیا، تانزانیا، هند و بنگلادش بسته‌تر است و بانک‌ها چارچوب را تعیین می‌کنند. در اروپا، آمریکا و ژاپن، نظام چارچوب‌ها در مقابل MNO ها انعطاف‌ دارد.

دغدغه‌ رگولاتورها در این میان سوءاستفاده از پول الکترونیکی در راستای پول‌شویی و کلاه‌برداری است که می‌تواند به اقتصاد کشور آسیب بزند. مسئله مهم این است که رگولاتور باید صرفاً وظیفه‌ نظارتی خود را انجام دهد و اجازه ندهد قوانین دست‌ و پاگیر مانع پیشرفت شود. طبیعتاً هیچ شبکه تلفن همراه و هیچ بانکی نمی‌تواند به‌خودی‌خود و به‌تنهایی کاری پیش ببرد و نیاز به همکاری دارند. همکاری اما همان فیل در اتاق تاریک است که همه بر سر لزوم وجودش توافق دارند اما بنا بر علایق و منافع خود از آن حرف می‌زنند؛ اما چیزی که اقتصاد امروز می‌طلبد، سهولت و سرعت انجام کارهاست.

* EDC یا Edgar, Dunn & Company سازمان مستقل خدمات مالی و خدمات ‌پرداخت‌های جهانی است که در سال ۱۹۷۸ تأسیس شد و خدمات متنوعی در زمینه مشاوره در مورد خدمات ارائه می‌دهد. این سازمان اداراتی در شهرهایی مثل فرانکفورت، لندن، ‌پاریس و سیدنی دارد و استراتژی‌های مناسب را به بیش از ۳۵ کشور در شش قاره ارائه می‌دهد.

مینا پاکدل

منبع: ماهنامه پیوست؛ شماره 27