پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
حمیدرضا نورصالحی؛ مشاور و طراح سیستمهای پیشرفته علم و فنآوری/ قطعاً مزایای اعمال یک سیستم چرخشی در طراحی سیستمها به سبک متدولوژی RUP در تولید نرمافزارهای رایانهای که در طی آن تکرار دائمی چهار مرحله inception, Elaboration, Construction و Transition برای تکامل سیستم در نظر گرفته میشود، بر کسی پوشیده نیست.
ولی اینکه یک سازمان تجاری در ابعاد EMV از سالها قبل به نام تدوین استاندارد پرداخت، وعده ارائه امنیت در تمامی کانالها را بدهد ولی در نهایت در آستانه سال 2017 میلادی که تب استفاده از موبایل برای پرداخت دنیا را فرا گرفته است، شاهد باشیم که همچنان بخش قابلاطمینان آن خدمتی که ارائه میدهد، فقط شامل ارائه کارتهای تراشه دار است، یک رفتار حرفهای محسوب نمیشود.
متأسفانه با مراجعه به وبسایت EMVco مشاهده میشود که این مجموعه با ارائه 4 مستند جامع در نسخه 4.3 به سال انتشار 2011 میلادی و سایر بهروزرسانیها، هنوز در عصر کارتهای تراشه دار درجا میزند و آنچه تحت عنوان گسترش اسکیمای قدرتمند EMV به سایر روشهای پرداخت غیر تماسی (Contact less) و موبایلی معرفی میکند، در حد Draft و در صف انتظار RFC است. این مسئله تا جایی اهمیت دارد که بانک مرکزی اتحادیه اروپا در طی یک گزارش جامع، پایان سال 2017 میلادی را آخرینمهلت برای تعیین تکلیف مکانیزم Point of Interaction معرفی شده توسط آن سازمان مشخص کرده و مشخصاً نگرانیهای زیادی درباره نبود امنیت بین دو لایه Payment Processor و لایه POI را مطرح کرده است.
ایده پیادهسازی لایه POI پس از ورود بازیگران قدرتمندی همچون Apple و Samsung به بازار پرداخت موبایلی شکل گرفته و در طی آن این مکانیزم بهصورت یک تجمیع کننده، کلیه روشهای پرداخت تماسی و غیر تماسی، همچنین کارتی و غیر کارتی کاربران را از درون EMV Kernel یکپارچه کرده و بهاینترتیب سعی نموده است بدون اعمال تغییرات گسترده در Data Flow های اسکیمای قدیمی خود، راهکاری (Solution) برای پاسخگویی به تغییر رفتار مشتری نهایی ارائه دهد که البته آنچه همگان از EMV انتظار دارند، نه راهکار، بلکه ارائه یک استاندارد بر اساس Best Experiences است که مشخصاً بانک مرکزی اتحادیه اروپا به نبود تجربه کافی در لایه POI ایراد دارد.
البته در حالی وظیفه لایه POI در نسل بعدی EMV به شرح زیر بسیار گسترده و با اهمیت توصیف میشود که در همایش Black Hat 2016 (اواخر تابستان) به ضعف ارتباط بین لایه Processor با POI اشاره شده و موردحمله موفق توسط انواع روشهای نرمافزاری و سختافزاری (Shimmers) قرار گرفته است:
Point of Interaction (POI) System – In the context of EMV Next Gen, the POI System is considered to host the user interfaces for the cardholder and merchant, Payment System network connectivity, peripheral devices .such as PIN pads and receipt printers, and the Adaptation Layer
در واقع مکانیزم POI قرار است باعث شود نسل بعدی EMV صاحب قابلیتهای زیر گردد:
EMV Next Generation (Next Gen) establishes a common, robust technology platform to support a variety of interfaces—contact, contactless, mobile, etc.—for both online and offline processing
به همین جهت شرکتهایی همچون China Union Pay که روزی اقدام به پیروی از EMV کرده بودند در بحث روشهای پرداخت غیر تماسی و موبایلی راه خود را جدا کرده و به سمت نوآوری و تصاحب سهم بازار حرکت کردهاند که این رفتار شرکتهای مطرح دنیا درسهای قابلتوجهی برای شبکه بانکی و جامعه پرداخت کشور دارد و در ادامه مسئولیت بزرگی بر دوش رگولاتور شبکه بانکی قرار میدهد.
منابع:
- بانک مرکزی اتحادیه اروپا
- Black Hat 2016
- وبسایت EMVco
