کارت به کارت از روی پایانه: فرصت‌ها و راهکارها

نویسنده: راه پرداخت در تاریخ 3 آذر سال 1398 ساعت 12:09 4

سعید کلانتری، کارشناس سوییچ و ابزار پرداخت / یکی از اهداف دولت الکترونیک و گرایش به سمت ارائه خدمات الکترونیک، سهولت دسترسی مردم به خدمات روزمره است. یکی از مهم‌ترین خدماتی که در سال‌های اخیر مبتنی بر خدمات الکترونیک و فناوری توسعه پیدا کرده، خدمات بانکداری است.

در خدمات بانکداری سعی می‌شود در حد امکان مراجعه مشتریان و صاحبان حساب و صاحبان کارت به شعب بانک کم شود. همچنین سفرهای درون‌شهری کاهش یابد و اشخاص در هرجایی که هستند، محل کار و یا منزل بتوانند فقط با اتصال به اینترنت خدمات خود را انجام دهند.

در راستای کاهش مراجعه به شعب، کاهش حمل وجه نقد و سهولت انجام معاملات و ضریب نفوذ، پایانه‌های فروشگاهی در کشور بسیار افزایش یافته و کاربرد و استفاده آن روزبه‌روز در حال گسترش است. امروزه علاوه بر مغازه، در بین دست‌فروش‌ها، پیک‌ها و بقیه افراد فعال در حوزه کسب‌وکار می‌توانید یک پایانه فروش ببینید.

ببینید: اپلیکیشن‌های پرداخت امکان کارت به کارت چه بانک‌هایی را دارند؟

یکی از تراکنش‌های پرکاربرد روزانه افراد، تراکنش کارت به کارت است. امروزه این تراکنش، به دو طریق قابل انجام است: جابجایی و مراجعه به یکی از کیوسک‌ها یا دستگاه‌های خودپرداز، یا استفاده از نرم‌افزار و اپلیکیشن‌های پرداخت رسمی.

در این مطلب پیشنهاد می‌شود ابزار دیگری هم به دسته ابزارهای ممکن برای انجام خدمات کارت به کارت اضافه شود که پایانه‌های فروشگاهی است و سپس به فرصت‌ها و راهکارهای آن بپردازد.

مهم‌ترین دلیلی که تابه‌حال شرکت‌های پرداخت به سراغ تراکنش‌های کارت به کارت روی پایانه‌های فروشگاهی نرفته‌اند، ندادن مجوز از سوی بانک مرکزی و شرکت شاپرک است. نویسنده به این موضوع آگاه است؛ ولی تلاش می‌کند با مطرح کردن آن، تلاشی برای بازنگری قانونی و تشویق مسئولین به صدور مجوز انجام داده باشد.

تعاریف

سامانه هریم: سامانه هریم یا هدایت رمز یکبار مصرف یا سامانه ارزش‌افزوده شتاب، سامانه‌ای است که توسط بانک مرکزی در حال راه‌اندازی است که به کلیه درگاه‌های پرداختی که از رمز دوم استفاده می‌کنند و نیز به کلیه بانک‌ها متصل است. هرگاه دارنده کارت بخواهد یک تراکنش با استفاده از رمز دوم انجام دهد، یک درخواست رمز دوم پویا برای بانک صادرکننده ارسال می‌شود. بانک، رمز دوم پویا را به شماره همراه تعیین شده دارنده کارت پیامک می‌کند. دارنده کارت رمز دریافتی را در سامانه پرداخت وارد می‌کند و تراکنش انجام می‌شود.

هاب شاپرک: سوئیچ کارت به کارت شاپرک، سامانه‌ای که توسط آن تراکنش‌های کارت به کارت به‌ صورت متمرکز انجام می‌شود و در حال راه‌اندازی است.

فرصت‌ها

اولین مزیت استفاده از پایانه‌ها برای استفاده از خدمت کارت به کارت، ضریب نفوذ آنهاست. با توجه به اینکه حداقل نیاز پایانه‌ها برای انجام تراکنش، یک خط تلفن شهری و نیز ضریب نفوذ خطوط تلفن شهر بسیار بیشتر از اپلیکیشن موبایل و اینترنت است، لذا قطعاً با ارائه این خدمت بر دستگاه‌های کارت‌خوان، دسترسی افراد به این خدمت با سهولت بسیار زیادی مواجه خواهد شد و این مسئله به‌خصوص در شهرستان‌ها مشهود خواهد بود.

با توجه به اینکه انجام این خدمت با دستگاه کارت‌خوان بسیار ساده‌تر از انجام آن به‌وسیله گوشی تلفن همراه خواهد بود، برای افراد مسن نیز انجام این خدمت بسیار سادتر است.

مزیت بعدی اجرا و پیاده‌سازی تراکنش‌های کارت به کارت بر روی پایانه‌های فروش، کاهش تجمع مشتریان مقابل دستگاه‌های خودپرداز بانکی و نیز کاهش هزینه‌های نگهداری آن دستگاه‌ها است؛ زیرا آنها دستگاه‌های پرهزینه‌تری نسبت به کارت‌خوان‌ها هستند.

همچنین از نظر شرکت‌های پرداخت و شبکه بانکی، این نوع تراکنش کارمزد مناسب‌تری نسبت به تراکنش خرید دارد.

مزیت دیگر وجود این تراکنش‌ها بر روی پایانه‌های فروشگاهی، استفاده صاحبان پایانه‌ها در دریافت آنی پول است. می‌دانیم که در روش فعلی تسویه شاپرک، پول در حداقل هشت ساعت بعد به حساب دارنده کارت واریز می‌شود؛ ولی در روش کارت به کارت، در همان لحظه به حساب دارنده کارت مقصد واریز می‌شود.

البته از نظر بانک مرکزی، مزیت بالا ممکن است یک قبح و تهدید حساب شود، زیرا تراکنش‌های با ماهیت خرید را به سمت تراکنش‌های کارت به کارت سوق می‌دهد. البته با توجه به راه‌اندازی قریب‌الوقوع هاب شاپرک و نظارت بر اینگونه تراکنش‌ها، این تراکنش‌ها نیز رصد می‌شود و در مورد آنها تصمیم‌گیری خواهد شد.

لازم به ذکر است که با توجه بالا بودن کارمزد تراکنش کارت به کارت، این تراکنش برای پرداخت‌های خرد مناسب نیست و رقیبی برای بازیگران حوزه پرداخت خرد نخواهد بود.

روش‌های انجام تراکنش

انجام تراکنش کارت به کارت به دو صورت ممکن است: کارت حاضر (card present) و بدون حضور کارت (card not present).

در تراکنش کارت حاضر باید اطلاعات کارت به همراه رمز اول آن استفاده شود. در تراکنش‌های بدون حضور کارت به شماره کارت، رمز دوم، CVV2 و تاریخ انقضای کارت نیاز است.

لازم به یادآوری است که تراکنش‌های کارت به کارت در زمان فعلی خارج از شبکه شاپرک و توسط بانک‌ها انجام می‌شود که مقرر شده است به‌زودی توسط هاب شاپرک به صورت متمرکز انجام شود که این خود موجب ایجاد فرصت‌های جدید برای شرکت‌های پرداخت است.

پروتکل ارتباطی بین پایانه‌های فروشگاهی و سوئیچ‌های شبکه پرداخت مبتنی بر ISO8583 است؛ اما ارتباط با سامانه‌های کارت به کارت عموماً به‌صورت وب‌سرویس و مبتنی بر جیسون است. با توجه به اینکه شبکه کارت به کارت از شبکه پرداخت مستقل بوده، لذا لازم است روی تجمیع کننده‌ها و قبل از ورودی سوئیچ‌های پرداخت با استفاده از تعریف یک NII جدا برای تراکنش‌های کارت به کارت، مسیر تراکنش را به سرور کارت به کارت انتقال دهیم تا در آن سرور به سادگی مسیج ISO8583 به یک جیسون تبدیل شود.

نکته مهم که باید به آن توجه کرد، امنیت ارتباط است. به نظر نگارنده امنیت ارتباط از دو روش قابل ابتیاع است. بهترین روش امن کردن کل ارتباط پایانه‌ها با لبه ورودی شرکت پرداخت به‌وسیله ارتباط TLS ایجاد شده که نیز الزام و توصیه شرکت شاپرک است.

ولی با توجه به اینکه ممکن است در جاهایی میسر نباشد، می‌توانیم در این کانال از همان روش PIN block استفاده و برای رمز دوم و CVV2 به همراه تاریخ به صورت یک رشته توسط تابع PIN block رمز ایجاد کنیم. همچنین در درگاه ورودی کانال به وسیله سامانه HSM و مدیریت کلید، آن را رمزگشایی و رمز دوم و بقیه اطلاعات را از آن استخراج کنیم.

پیاده‌سازی هر دو روش بر روی دستگاه‌های کارت‌خوان ممکن است؛ ولی برای انجام آن به صورت کارت حاضر باید تراکنش را به بانک ارسال کرد. زیرا با توجه به مستندات منتشر شده از هاب شاپرک این تراکنش در آن دیده نشده است.

پیاده‌سازی تراکنش کارت به کارت بدون حضور کارت بر روی پایانه‌ها، قبلاً یک دغدغه و ریسک بزرگ امنیتی داشت. با توجه به فیشینگ‌ها و پرونده‌های زیادی که در این باب وجود داشت، اضافه کردن این خدمت به دستگاه‌های کارت‌خوان، موجب انجام این تخلف بر روی کارت‌خوان‌های افراد می‌شد که خودبه‌خود صاحب مغازه‌ها و شرکت‌های پرداخت را در حوزه تخلفات درگیر می‌کرد.

اما امروزه با توجه به راه‌اندازی سامانه هریم و استفاده از رمز یکبار مصرف این ریسک به شدت کاهش یافته است و صاحبان کسب‌وکار می‌توانند به مشتریان خود اجازه دهند از دستگاه‌های کارت‌خوان مغازه برای انجام این تراکنش استفاده کنند.

بااین‌حال می‌توان برای رعایت مسائل امنیتی، این تراکنش‌ها را در فاز اول فقط روی پایانه‌های ثابتی که در مغازه‌ها و محل‌هایی با دوربین مداربسته نصب شده‌اند، فعال کرد.

نتیجه گیری

هم‌اکنون انجام تراکنش کارت به کارت بر روی پایانه‌های فروشگاهی ممنوع است، ولی با توجه به سهولتی که برای کاربران ایجاد می‌کند، به نظر می‌رسد لازم است صدور مجوز برای آنها توسط مراجع ذی‌صلاح مورد بازنگری قرار گیرد. هم‌اکنون اکثر شرکت‌های پرداخت، این خدمت را بر روی اپلیکیشن‌های تلفن همراه خود ارائه می‌کنند، اما ارائه آن بر روی کارت‌خوان می‌تواند نیاز بیشتری از جامعه را برطرف کند و ضریب نفوذ خدمات بانکداری الکترونیک را افزایش دهد.

بدیهی است که این تغییر در خدمات و سرویس‌دهی نیازمند بررسی ریسک‌های موجود است. در این مطلب به ریسک امنیت ارتباط پرداخته شد. البته به ریسک‌هایی مانند جلوگیری از استفاده از کارت‌های دزدی، تطابق اطلاعات دارنده کارت و مالک پایانه، حتی دغدغه‌های سازمان امور مالیاتی اشاره نشده؛ اما برطرف کردن آنها سخت نیست، فقط نیازمند همت و اراده سازمان‌های ذی‌ربط است.

کلام آخر: اضافه کردن انجام خدمت کارت به کارت به پایانه‌های فروشگاهی دارای فرصت‌هایی است که با مدیریت صحیح می‌تواند بر تهدیدهای آن غلبه کند.