راه پرداخت
رسانه فناوری‌های مالی ایران

 پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشت‌ماه ۱۳۹۰ شروع کرده و اکنون پرمخاطب‌ترین رسانه ایران در زمینه فناوری‌های مالی، بانکداری و پرداخت و استارت‌آپ‌های فین‌تک است.

امنیتانتخاب سردبیرپی‌تک

دنیا برای کاهش تقلب‌ در کارت‌های بانکی چه راهی رفته و ما چه کرده‌ایم؟ / چند روایت معتبر

برخی کشورهای دنیا سال‌هاست به این نتیجه رسیده‌اند که کارت‌های مغناطیسی نمی‌توانند امنیت لازم را تامین کند؛ بنابراین شبکه‌های پرداخت کارتی در دنیا به سمت استفاده از کارت‌های هوشمند رفته‌اند. مزیت کارت‌های هوشمند نسبت به کارت‌های مغناطیسی این است که اولا ایمنی انجام تراکنش‌ها را تا حد قابل قبولی تضمین می‌کنند و دوما با نصب برنامه‌های کاربردی مختلف درون تراشه روی کارت امکانات جدیدی به کارت بانکی می‌افزایند

نویسنده: مرضیه شمس 0

ماهنامه عصر تراکنش شماره 30 / کارت‌های بانکی آمدند تا مردم برای برداشت پول کمتر به بانک‌ها مراجعه کنند و این نیاز را با استفاده از کارت‌خوان‌های فروشگاهی و خودپردازها رفع کنند، اما مهم‌تر از آن قرار بود که این کارت‌ها موجب تامین امنیت شوند. در حال حاضر امنیت کارت‌های بانکی با افزایش سطح دانش سارقان و کلاهبرداری‌هایی مانند فیشینگ و اسکیمینگ مورد تهدید قرار گرفته است. هنوز هم در فروشگاه‌ها و خریدهایی که با دستگاه کارت‌خوان انجام می‌شود، افراد رمز کارت خود را به فروشنده اعلام می‌کنند. این می‌تواند ساده‌ترین روش برای تقلب باشد تا فروشنده یا یک شخص ثالث با کپی‌کردن و دانستن رمز به‌راحتی اقدام به هک کند.  

بانک مرکزی جمهوری اسلامی ایران سال‌هاست که با اجرای طرح‌های مختلف می‌خواهد از تقلب در کارت‌های بانکی بکاهد. جدیدترین طرحی که اکنون درصدد بود آن را تا دی‌ماه امسال اجباری کند، استفاده مردم از رمز پویا برای کارت‌های بانکی است. طرحی که زمزمه‌های آن از دو سال پیش ایجاد شد و راه طولانی را در این مسیر مانند استفاده مشتریان از دستگاه OTP یا نصب نرم‌افزار رمزساز طی کرد و حالا به ایجاد سامانه متمرکز مبتنی بر پیامک رسیده است.

اگر از هزینه‌هایی که قرار است برای اجرای این طرح صرف شود، بگذریم، این سوال مطرح می‌شود که اجرای رمز پویا و اجباری‌شدن آن می‌تواند از آمار سرقت‌های اینترنتی مبتنی بر کارت بکاهد یا اشتباهی روی اشتباهات قبلی است؟ آیا عمر استفاده از کارت‌های مغناطیسی برای کارت‌های بانکی که در حال حاضر از آن استفاده می‌شود، تمام نشده است؟ در دنیا برای جلوگیری از فیشینگ و امنیت بیشتر از چه راهکارهایی استفاده می‌شود؟ ما چقدر با استانداردهای جهانی که در صنعت پرداخت مبتنی بر کارت در نظر گرفته شده، منطبق هستیم؟ برای اینکه به جواب این سوال‌ها برسیم، نیاز است در ابتدا به مفاهیمی مانند تقلب و ابعاد آن، کارت‌های مغناطیسی و هوشمند، کارت‌های اعتباری و نقدی، استانداردهای PCI و EMV بپردازیم.

هنوز اندر خم یک کوچه

برخی کشورهای دنیا سال‌هاست به این نتیجه رسیده‌اند که کارت‌های مغناطیسی نمی‌توانند امنیت لازم را تامین کنند، بنابراین شبکه‌های پرداخت کارتی در دنیا به سمت استفاده از کارت‌های هوشمند رفته‌اند. این کارت‌ها یک تراشه دارند که نقش نوار مغناطیسی در کارت‌های قدیمی‌تر را بازی می‌کنند. این تراشه‌ها دارای پردازنده و حافظه هستند که قابلیت اجرای برنامه‌های کاربردی در پایانه‌ها را دارند.

نگاهی به بازار کارت‌های اعتباری در بریتانیا از سال ۲۰۱۴ تا ۲۰۱۹

مزیت کارت‌های هوشمند نسبت به کارت‌های مغناطیسی این است که اولا ایمنی انجام تراکنش‌ها را تا حد قابل قبولی تضمین می‌کنند و دوما با نصب برنامه‌های کاربردی مختلف درون تراشه روی کارت امکانات جدیدی به کارت بانکی می‌افزایند. به‌عنوان‌ مثال، امکان استفاده از کارت بانکی در تراکنش‌های آفلاین؛ در حالی ‌که کارت‌های مغناطیسی فقط در تراکنش‌های آنلاین قابل استفاده هستند.

به‌دلیل ضعف کارت‌های مغناطیسی در تامین امنیت، در سطح بین‌المللی مقرر شد که از پایان سال ۲۰۰۵ استفاده از این کارت‌ها در بانک‌های عضو شبکه‌های جهانی پرداخت متوقف شود و کاربری کارت‌هایی که دست مردم بود نیز به‌تدریج و با انقضای اعتبار کارت‌ها تمام شود. با وجود این فعالیت‌ها و افزایش هر ساله تعداد سوءاستفاده از اطلاعات کارت‌های بانکی هنوز کارت‌های بانکی ما همان کارت‌های مغناطیسی 15 سال پیش هستند.

جای خالی کارت‌های اعتباری

مساله دیگری که هنوز در ایران بر خلاف دنیا رواج نیافته است، بحث استفاده از کارت‌های اعتباری است؛ کارت‌های هوشمندی که در دنیا برای جلوگیری از فیشینگ و امنیت بیشتر در پرداخت‌های مبتنی بر کارت از آن استفاده می‌شود، چراکه در کارت‌های اعتباری پولی وجود ندارد و بر اساس اعتبار فرد در آخر ماه یا سال با او تسویه می‌شود.

در فرهنگ آکسفورد، کارت اعتباری چنین تعریف شده است: «کارتی که بانک یا غیر آن در اختیار مشتری قرار می‌دهد و او می‌تواند کالا و خدمات مورد نیاز خود را دریافت کند.» شاید بتوان از آمریکا به‌عنوان اولین کشور ارائه‌دهنده کارت‌های اعتباری نام برد. با استناد به دایره‌المعارف بریتانیکا، استفاده از کارت اعتباری به دهه 1920 برمی‌گردد؛ زمانی‌ که بخشی از هتل‌های زنجیره‌ای و شرکت‌های نفتی آمریکا، مشتریان خود را تشویق به استفاده از این کارت کردند. استفاده از این کارت پس از جنگ جهانی دوم و خروج از رکود اقتصادی شهرت یافت.

اسکناس یا کارت اعتباری، مساله این است / گسترش کارت‌های اعتباری از نشانه‌های حرکت جهانی به سوی اقتصادی بدون پول نقد است

در دنیا انواع کارت‌های نقدی و اعتباری وجود دارد. کارت‌های نقدی یا «دبیت‌کارت» همان کارت‌های بانکی ما هستند که به دارنده آن این امکان را می‌دهد که به حساب خود نزد یک موسسه مالی دسترسی الکترونیکی داشته باشد. بعضی از این کارت‌ها دارای مبلغی پول هستند که به‌وسیله آن عملیات پرداخت انجام می‌شود، اما کارت‌های اعتباری یا «کردیت‌کارت» به دارنده آن این امکان را می‌دهد که بر پایه نوع قرارداد، از خدمات و کالاهایی برخوردار شده و سالانه یا ماهانه بهای آن را بپردازد. به عبارت دیگر یک حد اعتبار به کاربر اختصاص داده می‌شود که می‌تواند از آن پولی را برای پرداخت قرض بگیرد. مسترکارت، ویزا و JCB از کارت‌های اعتباری معتبر جهانی هستند که البته این کارت‌ها در ایران کاربردی ندارند.

در واقع کارت‌های اعتباری، فرم مناسبی از پرداخت هستند. شما کارت اعتباری خود را به فروشنده ارائه می‌دهید و فروشنده کارت شما را برای ارسال اطلاعات خرید در دستگاه صادرکننده کارت اعتباری می‌کشد. سپس صادرکننده پول را می‌پردازد و این خرید را به مانده حساب اعتباری شما می‌افزاید. شما در این صورت حدود 14 تا 20 روز برای پرداخت صورت‌حساب خود وقت دارید. اگر پرداخت انجام نشود یا بیش از حد اعتباری خود، خرج کرده باشید، هزینه شما زیاد شده و در واقع ممکن است به امتیاز اعتباری خود آسیب بزنید.

کارمزد کارت‌های اعتباری؛ پردردسر یا بی‌دردسر؟

صادرکنندگان کارت‌های اعتباری به کارمزد به‌عنوان بخش مهمی از منابع درآمدشان نگاه می‌کنند و به ‌نظر می‌رسد هر ساله به‌دنبال راه‌های جدیدی برای افزایش این کارمزد هستند.

سایت CreditCards.com مطالعه‌ای انجام داده که در آن یکصد کارت اعتباری را مورد بررسی قرار داده است. در مجموع به این کارت‌ها، ۵۹۱ کارمزد تعلق می‌گیرد که بیشتر آنها به‌خاطر دیرکرد پرداخت و هزینه پیش‌پرداخت بوده و در مقابل، کمترین کارمزد هم به‌خاطر هزینه برداشت بیش از حد از کارت، از کاربر دریافت شده است. در این نظرسنجی، کارت‌های مسترکارت First Premier Bank، بیشترین میزان کارمزدها و کارت‌های ویزای Pentagon Federal Credit Union Promise، کمترین میزان کارمزدها را به‌خودشان اختصاص داد‌ه‌اند.

چرا مسترکارت؟

تا اینجا به ارزش استفاده از کارت‌های اعتباری در دنیا پرداختیم، حالا برای اینکه بدانیم کارت‌های اعتباری چه خصوصیاتی دارند که می‌توانند از بروز تقلب هم جلوگیری کنند، مسترکارت را مثال می‌زنیم. در سال ۱۹۶۶ گروهی از بانک‌ها یک اجماع بین‌المللی کارت را تشکیل دادند که سه سال بعد در سال ۱۹۶۹ به مسترشارژ تبدیل شد؛ ۱۰ سال بعد هم نام آن به مسترکارت تغییر یافت و نام برند آن به نیروی غالب بازار تبدیل شد. در دهه ۱۹۹۰ مسترکارت اولین برنامه بدهی آنلاین جهانی را راه انداخت و کمپین ارزشمند و موثر آنها در سال ۱۹۹۷ معرفی شد.

نوار مغناطیسی مشکی پشت تمام مسترکارت‌ها، سه نوع متفاوت از اطلاعات را دربر دارد. اولین خط شامل نام دارنده کارت، تاریخ انقضای کارت و سایر اطلاعات شخصی مانند پین یا محدودیت اعتبار مشتری است. دومین خط شماره کاربری فرد و روز آغاز استفاده از آن است. سومین مورد نیز به اطلاعات خودپرداز مربوط می‌شود.

باید گفت مسترکارت اولین شرکتی بود که از هولوگرام برای مبارزه با تقلب استفاده کرد. هولوگرام در کارت‌های اعتباری از چندین لایه از تصاویر که از زوایای مختلف گرفته شده و در بالای هر یک انباشته شده، ایجاد می‌شود. این موضوع از تقلب جلوگیری می‌کند؛ چراکه تصاویر چندگانه قادر به اسکن‌کردن با اسکنر کامپیوترهای نوری نیست، یا با دستگاه‌های فتوکپی، کپی نمی‌شود.

مسترکارت از سال ۲۰۰۶ به یک شرکت عمومی چندملیتی تبدیل شد. قبل از ارائه عمومی آن در سراسر جهان، مسترکارت به‌صورت یک شرکت تعاونی فعالیت می‌کرد که متعلق به بیش از ۲۵ هزار موسسه مالی بود که برند مسترکارت، روی کارت‌های اعتباری این موسسات درج می‌شد.

مسترکارت به دارنده خود این امکان را می‌دهد تا بدون وجود محدودیت زمانی و مکانی به موجودی حساب خود دسترسی داشته باشد. مسترکارت در حقیقت نوعی کیف پول الکترونیکی است که نیاز کاربر را از همراه داشتن پول نقد در دادوستدهای روزمره مرتفع می‌سازد.

فرایند صدور کارت‌های اعتباری مانند مسترکارت بدین صورت است که بانک عامل تضمین‌هایی مانند سند ملک یا اتومبیل را از مشتری دریافت کرده و بر اساس ارزش وثیقه مشتری درصدی را به‌عنوان اعتبار به ارزش پول موجود در حساب مسترکارت او می‌افزاید. بانک صادرکننده این اسناد را برای احراز اقامت درخواست‌کننده در کشور مورد نظر بانک دریافت کرده و پس از بررسی سوابق مالیاتی درخواست‌کننده، اعتبار اولیه او را بر اساس فیش حقوقی یا اعتبارنامه مالیاتی او تعیین می‌کند.

تقلبی که گریزناپذیر است

هرچند بحث تقلب در کارت‌های اعتباری پیش از پیدایش اینترنت نیز وجود داشت، اما با فراگیر شدن اینترنت، کلاهبرداری‌های جدیدی هم حول آن شکل گرفت. تقلب در واقع به این معنی است که یک نفر از کارت اعتباری شخص دیگر به دلایل شخصی استفاده کند و فرد دیگر یا حتی صادرکننده کارت بی‌اطلاع باشد.

بروز تقلب در معاملات کارت اعتباری از طریق اینترنت با توجه به گزارش گارنو تقریبا ۱۵ بار بیشتر از معاملات در دنیای واقعی و رودررو است. همچنین در حالی‌ که گم‌شدن یا دزدیده‌شدن کارت از رایج‌ترین انواع سوءاستفاده است، سرقت هویت، دستکاری، جعل کارت و سوءاستفاده از ایمیل، از دیگر کلاهبرداری‌هایی است که درصد قابل توجهی را به خود اختصاص داده‌اند.

راه‌های بسیاری برای کلاهبرداری در کارت اعتباری وجود دارد که همزمان با پیشرفت فناوری، روش‌ها و فناوری کلاهبرداران نیز پیشرفت کرده است. پس می‌توان نتیجه گرفت که نمی‌توان به‌طور کامل جلوی کلاهبرداری‌های مبتنی بر کارت را گرفت. چنانچه شرکت‌های پرداختی در دنیا مانند مسترکارت و ویزا دو درصد از سودشان را به موضوع فیشینگ اختصاص داده‌اند و می‌دانند که این ریسک را باید بپذیرند.

جالب اینجاست که دارندگان کارت حداقل توجه را به کلاهبرداری در معاملات کارت‌های اعتباری و مسئولیت‌هایشان در قبال کارت، بر اساس قوانین حاکم در همه کشورها دارند. دارنده کارت فقط گزارش سرقت و اتهامات مربوط به کارت خود را در معاملات مشکوک به بانک می‌دهد و بانک شروع به بررسی از طریق آن فرد و کسب‌وکار یا فرایندهای بازپرداختی می‌کند. به ‌همین دلیل بسیاری از بانک‌ها حتی استانداردهایی جهت محدود کردن مسئولیت کارت در جایی که افراد کارت خود را از دست داده‌اند، دارند.

لزوم انطباق شرکت‌های پرداختی با استاندارد  PCI DSS

موسسان سیستم پرداخت مانند مسترکارت، در بحث امنیت کارت‌های اعتباری کار بزرگ‌تری را انجام دادند که تدوین استانداردهای جهانی بود؛ استانداردهایی که پیروی و منطبق‌شدن با آنها جزء الزامات هر سازمانی است که درگیر فرایندهای ذخیره‌سازی، پردازش یا انتقال داده‌های صاحبان کارت است؛ هر زمان که یک پرداخت کارتی صورت می‌گیرد ـ حالا می‌خواهد این پرداخت درون‌فروشگاهی باشد، یا آنلاین یا از طریق موبایل ـ زیرساخت پذیرش و پردازش این پرداخت باید امن و مطمئن باشد.

Data security Standard) PCI DSS) مجموعه جامعی از قوانین است که برای ارتقای سیستم امنیتی داده‌های مربوط به صنعت کارت‌های پرداخت وضع شده و هدف آن، کمک جهت تسهیل روند اتخاذ تمهیدات مربوط به داده‌های پایدار در یک جامعه جهانی است. این استاندارد توسط موسسان سیستم پرداخت برندهای تجاری شورای استانداردهای امنیتی PCI ایجاد شده که از میان آنها می‌توان به سازمان‌های بزرگ پرداخت الکترونیک مانند آمریکن‌اکسپرس،  Discover financial،  JCB international و MasterCard Worlwiade Inc اشاره کرد.

PCI DSS یک استاندارد امنیت اطلاعات است که هر کسب‌وکاری با هر حد و اندازه، برای استفاده از کارت‌های پرداخت و همچنین ذخیره، پردازش یا ارسال اطلاعات صاحب کارت باید آن را دریافت کند. بنابراین، اخذ استاندارد امنیت اطلاعات صنعت کارت‌های پرداخت، برای فروشندگانی که از فناوری کارت پرداخت در سیستم فروش خود استفاده می‌کنند و شرکت‌هایی که اطلاعات شخصی دارندگان این نوع کارت را دارند، یک موضوع مهم و ضروری است.

این استاندارد جامع در واقع نوعی استاندارد امنیتی چندوجهی است که شامل نیازمندی‌هایی برای مدیریت امنیت، سیاست‌ها، رویه‌ها، معماری شبکه، طراحی نرم‌افزار و دیگر تمهیدات حفاظتی حساس بوده و کمک به بانک‌ها و موسسات مالی، جهت حفاظت از داده‌های مربوط به حساب‌های مشتریان‌شان را به‌عنوان هدف خود در نظر می‌گیرد.

PCI DSS توسط همه نهادهای درگیر در پردازش کارت پرداخت، از جمله پذیرندگان، بانک‌های پذیرنده، صادرکنندگان و ارائه‌دهندگان خدمات و سایر نهادهای درگیر در ذخیره، پردازش یا انتقال اطلاعات دارنده کارت یا داده‌های حساس احراز هویت کاربرد دارد.

چرا این استاندارد مهم است؟

هرچند الزامات PCI DSS نسبت به دیگر استانداردهای صنعت، بیشتر ابعاد فنی دارد و بسیاری از شرکت‌ها هم به ‌نظر می‌رسد که چندان توجهی به مدیریت بخش‌های بی‌شماری که در زیرساخت فناوری اطلاعات پرداخت باید مورد کنترل قرار گیرند، ندارند، اما عدم تطابق با این استاندارد خطرناک خواهد بود و عواقب منفی آن شامل از دست دادن سرمایه، سرقت هویت، پرداخت جریمه‌های مالی و آسیب‌های اعتباری است. تحقیقات وریزون در سال ۲۰۱۸ نشان می‌دهد که هیچ‌کدام از سازمان‌هایی که نقض داده کارت‌های پرداخت برایشان اتفاق افتاده، به‌طور تمام و کمال با الزامات PCI DSS انطباق نداشتند.

استاندارد PCI DSS چیست و چه اهمیتی دارد؟

این استاندارد در شش اصل مشخص، 12 الزام را برای هر کسب‌وکاری، اعم از فروشندگان، شرکت‌های ارائه‌دهنده خدمات کارت و بانک‌ها که اطلاعات دارندگان کارت‌های پرداخت را ذخیره، پردازش یا منتقل می‌کنند، در نظر گرفته است که این ملزومات، یک چارچوب کاری برای محیط امن پرداخت کارتی را تعریف می‌کند.

در ایران می‌توان گفت عمده‌ترین عامل ایجاد تقاضای خدمات PCI-DSS، شرکت شاپرک است. این شرکت از طریق مقرراتی که تعیین می‌کند، شرکت‌های فعال در حوزه پرداخت را به رعایت استاندارد PCI-DSS دعوت می‌کند. البته الزاماتی که شاپرک اعلام کرده، بنا به نظر برخی کارشناسان امنیت، در برخی موارد جزئی‌تر از آن چیزی است که در استاندارد PCI-DSS نوشته شده است. به ‌نظر می‌رسد شاپرک، خودش ارزیابی امنیتی شرکت‌های خدمات پرداخت را انجام می‌دهد، در حالی‌ که در دنیا این کار به شرکت‌های ثالث که مجاز به ارزیابی امنیتی هستند، سپرده می‌شود.

استاندارد EMV و امنیتی که برای کارت‌های هوشمند ایجاد می‌کند

بازار کارت‌های هوشمند جهانی در سال ۲۰۱۷، حدود ۱۳ میلیارد دلار بوده که پیش‌بینی می‌شود این رقم تا سال ۲۰۲۶ به 65.32 میلیارد دلار برسد.

باید گفت که ایالات متحده آخرین منطقه‌ای بوده که به سمت پذیرش و استفاده از تراشه روی فناوری کارت رفته است، اما نکته جالب این است که در کمتر از چهار سال نرخ پذیرش این تراشه‌ها در ایالات متحده از آسیا اقیانوسیه هم پیشی گرفت.

از آنجا که سرویس‌دهندگان بسیاری در سطح جهان خدمات بانکی مرتبط با کارت هوشمند را ارائه می‌کنند، در صورتی که هر یک بخواهند از سیستم خاص خود استفاده کنند، امکان اتصال این سیستم‌ها به یکدیگر بسیار مشکل می‌شود. از این رو شرکت‌های مطرح در این زمینه مانند ویزا، مسترکارت و یوروپی اقدام به ارائه یک استاندارد واحد به نام EMV کردند. هدف اصلی از ارائه این استاندارد، امکان به‌کارگیری یک کارت در تمام نقاط جهان است. در حال حاضر این استاندارد توسط EMVCo  مدیریت می‌شود. EMVCo  کنسرسیومی است که توسط مسترکارت، ویزا، جی‌سی‌بی، آمریکن‌اکسپرس، چایناکمپانی و دیسکاور کنترل می‌شود.

EMV یک استاندارد جهانی برای کارت‌های پرداخت مبتنی بر فناوری تراشه است که به پردازش پرداخت‌های اعتباری کارت‌های دارای تراشه ریزپردازشگر نیز می‌پردازد. علت نام‌گذاری Chip and Pin برای تراکنش‌هایی که با این کارت‌ها صورت می‌گیرد این بوده که برای تایید هویت صاحب حقیقی کارت به پین نیاز است.

کارت‌های EMV (که کارت‌های تراشه یا IC نیز نامیده می‌شود) کارت‌های هوشمندی هستند که اطلاعات را به جای نوار مغناطیسی روی مدار مجتمع، ذخیره می‌کنند. هدف از طراحی کارت هوشمند EMV کاهش احتمال وقوع هر گونه سوءاستفاده و کلاهبرداری از طریق نوار مغناطیسی است.

استانداردی اضطراب‌آور، اما پرمزیت

کارت‌های تراشه‌دار EMV ممکن است با خطا هم روبه‌رو شوند؛ بر خلاف آنچه در تراکنش‌های کارت‌های مغناطیسی صورت می‌گیرد و تنها دو نوع اطلاعات یعنی شماره کارت و تاریخ انقضا را پردازش می‌کند، در کارت‌های تراشه‌دار EMV اطلاعات بسیار زیادی میان کارت، پایانه و بانک پذیرنده یا میزبان پردازشگرها تبادل می‌شود.

تحقق این روند و انجام یک تراکنش موفق، نیازمند اجرای مراحل پیچیده‌ای از پردازش توسط پایانه است. یعنی افزودن استاندارد EMV به اپلیکیشن‌های پرداخت می‌تواند کار سخت و اضطراب‌آوری باشد. با این حال استفاده از این نوع کارت‌ها مزیت‌های بسیاری نیز دارد که شاید بتوان مهم‌ترین آنها را در امنیت بالا و کاهش ریسک، کاهش هزینه‌های مخابراتی، داشتن حافظه و پردازشگر خلاصه کرد.

ما کجا هستیم؟

در ایران هنوز از کارت‌های مغناطیسی که به‌راحتی قابل جعل‌شدن هستند، استفاده می‌شود؛ هرچند ما در صحبت‌کردن از فناوری یا ناتمام‌گذاشتن پروژه‌ها دستی بر آتش داریم. سال گذشته بود که عبدالناصر همتی، رئیس‌کل بانک مرکزی در هشتمین همایش بانکداری الکترونیک و نظام‌های پرداخت از فراهم‌شدن امکان مهاجرت از کارت‌های مغناطیسی بانکی به سمت کارت‌های هوشمند یا EMV خبر داد، اما تاکنون خبری مبنی بر اجرای این پروژه از سوی بانک مرکزی شنیده نشده است.

این را هم می‌دانیم که بانک مرکزی در سال 1383 برای مهاجرت از کارت‌های مغناطیسی به کارت‌های هوشمند، پروژه‌ای را طراحی کرد که همان سال‌ها به‌دلیل هزینه‌بر بودن کارت‌های هوشمند نسبت به کارت‌های مغناطیسی، توسعه تعداد کارت‌های صادره بانک‌ها و همچنین عدم تحرک آنها این پروژه متوقف شد و اکنون از آن سال که همزمان با متوقف‌شدن کارت‌های مغناطیسی بانک‌های عضو شبکه‌های جهانی پرداخت بوده، سال‌ها می‌گذرد. در حال حاضر ابزارهای کارت در ایران جایگاه مناسبی ندارد و همین امر باعث شده آمار فیشینگ بالا برود.

بانک مرکزی اکنون درصدد اجرای طرح‌هایی مانند اجباری‌کردن رمز پویا بر کارت‌های بانکی مغناطیسی است. این نهاد احتمالا این موضوع را در نظر نگرفته که امنیت یک موضوع اختیاری است و نباید به‌صورت تحمیلی اعمال شود.

برخی کارشناسان می‌گویند که در دنیا رمز دوم ثابت وجود ندارد و کارت‌ها دارای یک رمز ایستای چهار یا شش‌رقمی و همچنین کد سه‌رقمی CVV هستند و در بعضی مواقع اصلا رمز وارد نمی‌شود. رمز یک‌بار مصرف در شرایط خاص و برای دسترسی به حساب مورد استفاده قرار می‌گیرد یا در پرداخت‌های غیرحضوری از شیوه‌هایی مانند 3D Secure ویزا یا مسترکارت بهره می‌برند که در حقیقت مسئولیت پردازش تراکنش را از دوش بانک صادرکننده کارت یا پذیرنده برداشته و بر عهده پردازشگر ثالث مانند ویزا یا مسترکارت می‌گذارد. همین موضوع منافع زیادی برای بانک‌ها دارد و از طرفی باعث می‌شود هزینه ریسک از مشتری دریافت شده و در قالب بیمه‌های پوشش‌دهنده ریسک در مواقع لزوم جبران خسارت شود.

با توجه به فرایندی که در بحث امنیت در پرداخت وجود دارد و از آنها نام برده شد، پس می‌توان این امکان را برای افراد ایجاد کرد تا از روش‌های بهتری برای جلوگیری از تقلب در کارت استفاده کنند.

مرضیه شمس

با اینکه سال ۱۳۸۸ رشته روابط عمومی را انتخاب کردم، اما آمال و آرزوهایم با سازوکار این رشته سنخیتی نداشت و پا به دنیای خبرنگاری و روزنامه‌نگاری گذاشتم. در سال ۹۶ با قبولی در کارشناسی ارشد علوم ارتباطات اجتماعی علامه خواستم به حوزه سیاست و جامعه وارد شوم که بخت و اقبالم این بود تا در راه پرداخت با دنیای فناوری و فین‌تک آشنا شوم و حالا خبرنگار حوزه بورس این رسانه هستم.

مطالب پیشنهادی مطالب بیشتر از این نویسنده
ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.