چرا EMV که یک استاندارد معمول در حوزه پرداخت است، در ایران به جایی نرسیده است؟

استادی داشتیم که می‌گفت کشور ما سرزمین پروژه‌های ناتمام است. پروژه‌هایی که بارها بر سر زبان‌ها آمده و قصه چه خواهیم کرد و چه می‌شود سر داده، اما در عمل راه به‌جایی نبرده‌اند. پروژه راه‌اندازی کارت‌های تراشه‌دار مبتنی بر استاندارد EMV یکی از این پروژه‌هاست که سال‌هاست می‌خواهد اجرا شود، اما در نیمه راه معطل مانده است. استانداردی که اکنون نزدیک به دو دهه از آن می‌گذرد و بسیاری از کشورها برای به حداقل رساندن تقلب در کارت‌های بانکی آن را اجرا کرده‌اند

نویسنده: مرضیه شمس در تاریخ 6 اسفند سال 1398 ساعت 11:44 0

مساله‌ای که همه به آن اعتقاد دارند این است که اتصال به شبکه‌های بین‌المللی و حرکت به سمت تراکنش‌های بین‌المللی با رعایت استانداردها و زیرساخت‌های EMV امکان‌پذیر است. با توجه به اهمیت این استاندارد حداقل در تراکنش‌های بین‌المللی لازم است شناخت کاملی نسبت به آن حتی در حوزه فنی داشته باشیم. در این گزارش ضمن بررسی محتوای فنی، تعریف و مزیت‌های این استاندارد می‌خواهیم به این موضوع بپردازیم که وضعیت ما در صورت لزوم مهاجرت به EMV چگونه است و ارزش‌افزوده‌های مورد انتظار چیست؟ عدم انطباق با EMV چگونه باعث می‌شود که نتوانیم با دنیا ارتباط برقرار کنیم؟ و در یک کلام چرا استاندارد EMV در ایران پیاده‌سازی نمی‌شود؟

EMV چیست و چه کاری انجام می‌دهد؟

واژه EMV تشکیل شده است از سه کلمه Europaycard ،Mastercard ،Visa است. این سه شرکت بزرگ مشخصات اولین استاندارد در حوزه اکوسیستم کارت‌های نقدی و اعتباری مبتنی بر تراشه را تدوین و ارائه دادند. بعدها شرکت Europaycard توسط شرکت Mastercard خریداری شد و سپس شرکت JCB ژاپن و امریکن اکسپرس و شرکت‌های دیگر نیز به این کنسرسیوم پیوستند. هدف از ارائه این استاندارد، ارائه روشی مشترک با استفاده از فناوری‌های تراشه و ترکیب آن با تکنولوژی رمزنگاری متقارن و نامتقارن در جهت پذیرش کارت‌های مختلف بانکی در اکوسیستم‌های متفاوت و صادرکنندگان متفاوت در نقطه پذیرش بود. به‌طوری‌که هم امنیت تراکنش تأمین و از بسیاری از تقلب‌ها جلوگیری شود و هم نیاز به قرار دادن ماژول امنیتی در پایانه‌ها مرتفع شود.

دنیا برای کاهش تقلب‌ در کارت‌های بانکی چه راهی رفته و ما چه کرده‌ایم؟ / چند روایت معتبر

EMV استانداردی برای پرداخت با کارت‌های نقدی و کارت‌های اعتباری است. مزیت‌های اصلی این استاندارد شامل امنیت، کنترل بهینه و مطمئن تراکنش‌های برون خط و استفاده از چند برنامه کاربردی روی یک کارت است. این استاندارد از دو قسمت تشکیل می‌شود؛ یکی نحوه تعامل بین کارت هوشمند و پایانه را تعریف می‌کند و بر پایه استاندارد ایزو ۷۸۱۶ بنا شده است. دوم هم اینکه این تعامل را در لایه‌های داده و کاربر تعریف می‌کند که EMVI2 نامیده می‌شود.

انجام تراکنش با این کارت‌ها می‌تواند بدون استفاده از رمز یا با استفاده از آن باشد. این بستگی به کاربرد مورد انتظار از کارت و تراکنش دارد. EMV خصوصیت‌های فیزیکی و الکترونیکی، نحوه تخصیص داده و عملکردها در کارت و چگونگی ساختار امنیت کار را توضیح می‌دهد. جزئیات برنامه‌های مالی شخصی بر عهده شرکت‌های تولیدکننده و پشتیبان کارت است.

چرا EMV به‌وجود آمد؟

پیشرفت تکنولوژی و بن‌بست فنی کارت‌های نوار مغناطیسی، هزینه ۳۵ میلیون یورویی کلاهبرداری در اروپا، مقیاس کوچک خدمات قابل ارائه، تقلب کارت در انگلستان همیشه بالاتر از ایالات متحده آمریکا بوده است. دلیل اصلی آن، استفاده شناسایی آفلاین کارت در تراکنش‌های صورت پذیرفته در مقابل شناسایی آنلاین در آمریکا است. با افزایش پایدار میزان تقلب در انگلستان و تلاش‌های بین‌المللی برای کاهش آن، راهکار EMV به وجود آمد.

اولین کارت‌های بانکی پلاستیکی دهه ۱۹۵۰ به‌وجود آمد. پس از آن در دهه 1970 کارت‌های دارای نوار مغناطیسی شکل گرفتند. در سال 1974 پتنت چیپ کارت حافظه و در سال 1977 چیپ کارت‌های میکروپروسسور اختراع شدند. پس از اینکه اولین کارت‌های هوشمند تجاری در سال 1979 ایجاد شدند، بانک‌های فرانسوی کارت‌های تراشه‌دار BO را راوانه بازار کردند.

موفقیت مهاجرت فرانسه به کارت تراشه‌دار بنای پیاده‌سازی عظیم آن در بنگاه‌های داخلی در اروپا شد. کارت‌ تراشه‌دار موجب ایجاد امنیت برای تراکنش‌های داخلی بود در صورتی که کارت‌های مغناطیسی همچنان برای همکاری‌های بین المللی الزامی بود.

بدین ترتیب فناوری استفاده از میکروچیپ در کارت‌های بانکی برای اولین بار در سال ۱۹۸۴ توسط بانک‌های فرانسوی با هدف کاهش تقلب انجام شد. با آغاز دهه 90 میلادی کشورهای اروپایی یکی پس از دیگری به این روند پیوستند تا اینکه در سال ۱۹۹۴ به شکلی متحد و مدون با مشارکت یوروپی، مسترکارت و ویزا این استاندارد به کشورهای اروپایی ابلاغ شد. در همین زمان ژاپن و بریتانیا هم از این استاندارد پیروی کردند. این روند پیوستن به EMV همچنان ادامه داشت و برندهایی مثل جی‌اس‌بی، امریکن‌اکسپرس، دیکاور و دیگران به‌مرور با این استاندارد همراه شدند. بر این اساس شرکت‌های ویزا، مسترکارت، امریکن‌اکسپرس طی سال‌های 2011 و 2012 پروژه مهاجرت خود را آغاز کردند.

میزان استفاده دنیا از کارت‌های هوشمند EMV

اکنون نزدیک به دو دهه از انتشار نسخه اولیه استاندارد EMV می‌گذرد. مطابق آخرین آماری که در سایت EMVco منتشر شده، در سطح جهانی، 76.7 درصد معاملات با کارت تراشه EMV انجام شده است. البته در این گزارش ذکر شده که داده‌ها مربوط به یک دوره 12 ماهه است. در مناطقی که EMV به تازگی در آن مستقر شده یا به‌طور فعال در حال رها شدن است، ممکن است رقم گزارش 12 ماهه عقب بیفتد و درصد معاملات فعلی را تحت تأثیر قرار دهد.

آمار زیر آخرین آمار از American Express ،Discover ،JCB ،Mastercard ،UnionPay و Visa را در استفاده از کارت تراشه نشان می‌دهد. در سطح جهانی، 58.7 درصد کارت‌های صادر شده دارای استاندارد EMV هستند.

راه نرفته و ناتمام

شاید در ایران مساله تقلب در سیستم بانکی، آنطور که باید مطرح نشده و دغدغه پرداختن به EMV بیش از اینکه مربوط به مبحث تقلب باشد، به تراکنش‌های آفلاین و فراهم شدن این امکان با استفاده از کارت‌های هوشمند بازمی‌گردد.

بسیاری هم معتقد هستند که عدم مهاجرت ایران به EMV می‌تواند به دلیل تحریم و به دنبال آن فقدان ارتباطات بانک، نرخ ارز و گران تمام شدن هزینه تکنولوژی، عدم اعتقاد به مهاجرت از سوی رگولاتور و برخی بانک‌ها در مقطع زمانی خاص، عدم اعتقاد به استفاده از فناوری‌های جدیدتر غیر از تراشه و پیچیدگی در اجرا و به دنبال آن هزینه تمام شده تراکنش باشد.

حدود سه سال پیش نیز ایران قرار بود به سوئیچ روسیه از طریق شبکه شتاب و شاپرک متصل شود که به‌دلیل برجام و تحریم‌ها، این موضوع هم مسکوت ماند و پیگیری نشد. شاید ادامه آن پروژه به مهاجرت ایران به EMV منجر می‌شد. با این حال بد نیست که به نخستین زمزمه‌های این مهاجرت در کشورمان نگاهی بیندازیم و بررسی کنیم که دقیقا دلیل اصلی مهاجرت نکردن ایران یه یک استاندارد معمول در دنیا چیست؟

ابراهیم حسینی‌نژاد، مدیرعامل شرکت توسعه فناوری اطلاعات گردشگری در رابطه با تاریخچه این موضوع گفت: «موضوع مهاجرت به EMV اولین بار در سال 13۸۵ در بانک مرکزی مطرح شد و در آن مقطع از بانک‌ها خواسته شد برنامه پنج ساله‌ای برای این مهاجرت تهیه کنند. حتی بانک ملت با این هدف اقدام به خرید کارت‌های تراشه‌دار کرده بود که نشان از اجرای این کار از سوی این بانک است. در واقع این یک رویداد بسیار گسترده است که اکنون با پیچیده‌تر شدن شبکه و افزایش بازیگران صنعت بانکداری الکترونیک و پرداخت، هر روز بر پیچیده شدن آن افزوده می‌شود.»

تا رفع کامل تحریم‌ها مهاجرت به EMV انجام نمی‌شود

او با اشاره به اینکه ایالات متحده هم به دلیل بلوغ شبکه خود، این پروژه را با همکاری شرکت‌های زیادی از سال ۲۰۱۴ شروع کرد، گفت: «هرچند این کشور موفق بود، ولی هزینه‌های زیادی را هم متحمل شد. همزمان با برجام نیز بانک‌ها و شرکت‎های این حوزه خیز خوبی برای یادگیری برداشتند و به سمت این موضوع حرکت کردند. اما در ایران با بسته شدن موضوع و فرصت برجام این اتفاق نیز خاموش شد. به نظر می‌رسد الگو و طرح‌واره فعلی شبکه ملی ایران که در دنیا نظیر ندارد به همراه تعداد بالای تراکنش‌های این شبکه، سرمایه‌گذاری‌های گسترده شبکه بانکی و کسب‌وکارها بر الگوی فعلی و مهمتر از همه مکانیزم تسهیم کارمزد فعلی، رفته رفته این مهاجرت را دشوارتر می‌کند. در کنار آن برخی امکانات جدید ناشی از استاندارد EMV را از مشتریان و کسب‌وکارها سلب و پیاده‌سازی و مهاجرت به این استاندارد را هر روز دشوارتر می‌کند.»

به‌گفته او باید در نظر داشته باشیم که در کنار توسعه این استاندارد در شبکه کارتی که بسیار سخت و هزینه‌بر است، نیاز به ارتقای ابزارهای پذیرش و البته رویه‌های موجود داریم که مساله را پیچیده‌تر می‌کند. بهره‌گیری از مشاوران خبره در این حوزه، طراحی یک برنامه بلندمدت برای این موضوع و مهم‌تر از همه تغییر مکانیزم کارمزد به نحوی که صادرکنندگان کارت انگیزه لازم برای همراهی در این طرح بزرگ ملی را داشته باشند، لازمه اجرای چنین طرحی است. البته به نظر نمی‌رسد تا رفع کامل تحریم‌ها بتوانیم به این مسائل ورود جدی داشته باشیم، ولی با توجه به تجربه شبکه شتاب، شاپرک و الگوبرداری از نظام‌های برخی کشورهای متأخر در این حوزه مانند چین می‌توانیم مزایای این استاندارد را به طرح‌واره فعلی شبکه ملی کارتی اضافه کنیم.

مزیت‌های استاندارد EMV

برخلاف آنچه در تراکنش‌های کارت‌های مغناطیسی صورت می‌گیرد و تنها دو نوع اطلاعات یعنی شماره کارت و تاریخ انقضا را پردازش می‌کند، در کارت‌های تراشه‌دار EMV اطلاعات بسیار زیادی میان کارت، پایانه و بانک پذیرنده یا میزبان پردازشگرها تبادل می‌شود. جلوگیری از کپی شدن کارت بانکی محافظت در مقابل کلاهبرداری‌های جعلی از طریق شناسایی چیپ کارت و گوشی هوشمند، سهولت در پذیرش کارت‌های مختلف در اکوسیستم‌ها و اسکیم‌های مختلف و صادر شده توسط صادرکنندگان مختلف در پایانه‌ها بدون نیاز به SAM از جمله مزایای استفاده آر کارت‌های مبتنی بر استاندارد EMV است.

علاوه بر این روال‌های تصدیق اصالت کارت و تأیید هویت مشتری به صورت آفلاین از طریق کارت‌های تراشه‌دار امکان‌پذیر است. سرویس‌های ارزش افزوده نیز بر روی سرویس‌های پایه با استفاده از قابلیت‌های تراشه نظیر کیف پول ارائه می‌شود.

سرنوشت کارت‌های اعتباری پس از پیاده‌سازی تراشه‌ها و پین‌کدها

راه رسیدن به این مزایا از طریق به‌کارگیری فناوری رمزنگاری نامتقارن RSA و با استفاده از روال‌های امنیتی SDA و DDA در کارت‌های مبتنی بر تراشه است. واژه SDA یا همان احراز هویت داده‌های ساکن (Static Data Authentication) و DDA یا همان احراز هویت داده‌های پویا (Dynamic Data Authentication) است. این دو روال در یک تراکنش در پایانه في‌مابین تراشه کارت و پایانه اجرا می‌شود. در حقیقت پایانه فروش دو مساله بسیار مهم برایش احراز می‌شود. اول اینکه کارت مذکور توسط صادرکننده اصلی تولید و شخصی‌سازی شده و جعل نشده است. دوم اینکه کارت مذکور از روی کارت دیگری کپی نشده است و جلوی اسکیم کارت گرفته می‌شود.

به‌طور کلی استاندارد EMV در نقطه پذیرش، تعامل بین تراشه و پایانه را در طی یکجریان تراکنش تعریف و خلاصه می‌کند که شامل روال‌های گزینه‌های پردازش، انتخاب برنامه کاربرد داده‌ها، تأیید دارنده کارت، احراز هویت داده، مدیریت ریسک پایانه، مدیریت ریسک کارت، احراز هویت صادر کننده، پردازش و تکمیل اسکریپت است.

مزیت کارت‌های هوشمند نسبت به کارت‌های مغناطیسی این است که اولاً ایمنی انجام تراکنش‌ها را تا حد قابل قبولی تضمین می‌کنند و دوما با نصب برنامه‌های کاربردی مختلف درون تراشه روی کارت امکانات جدیدی به کارت بانکی می‌افزایند. به‌عنوان‌ مثال، امکان استفاده از کارت بانکی در تراکنش‌های آفلاین؛ در حالی ‌که کارت‌های مغناطیسی فقط در تراکنش‌های آنلاین قابل استفاده هستند.

به‌دلیل ضعف کارت‌های مغناطیسی در تأمین امنیت، در سطح بین‌المللی مقرر شد که از پایان سال ۲۰۰۵ استفاده از این کارت‌ها در بانک‌های عضو شبکه‌های جهانی پرداخت متوقف شود و کاربری کارت‌هایی که دست مردم بود نیز به‌تدریج و با انقضای اعتبار کارت‌ها تمام شود. با وجود این فعالیت‌ها و افزایش هر ساله تعداد سوءاستفاده از اطلاعات کارت‌های بانکی هنوز کارت‌های بانکی ما همان کارت‌های مغناطیسی 15 سال پیش هستند.

کارت‌های هوشمند چگونه از تقلب جلوگیری می‌کنند؟

هرچند بحث تقلب در کارت‌های اعتباری پیش از پیدایش اینترنت نیز وجود داشت، اما با فراگیر شدن اینترنت، کلاهبرداری‌های جدیدی هم حول آن شکل گرفت. تقلب در واقع به این معنی است که یک نفر از کارت اعتباری شخص دیگر به دلایل شخصی استفاده کند و فرد دیگر یا حتی صادرکننده کارت بی‌اطلاع باشد.

کارت‌های تراشه‌دار EMV ممکن است با خطا هم روبه‌رو شوند؛ بر خلاف آنچه در تراکنش‌های کارت‌های مغناطیسی صورت می‌گیرد و تنها دو نوع اطلاعات یعنی شماره کارت و تاریخ انقضا را پردازش می‌کند، در کارت‌های تراشه‌دار EMV اطلاعات بسیار زیادی میان کارت، پایانه و بانک پذیرنده یا میزبان پردازشگرها تبادل می‌شود.

تحقق این روند و انجام یک تراکنش موفق، نیازمند اجرای مراحل پیچیده‌ای از پردازش توسط پایانه است. افزودن استاندارد EMV به اپلیکیشن‌های پرداخت می‌تواند کار سخت و اضطراب‌آوری باشد. اما به‌طور کلی اگر بخواهیم به‌صورت آفلاین در نقطه پذیرش، اصالت از دو بعد صادرکننده و عدم کپی بودن کارت تراشه را احراز کنیم، باید از روش‌های رمزنگاری متقارن و یا نامتقارن استفاده کنیم. اگر روش انتخابی متقارن باشد، نیاز به SAM خواهیم داشت تا کلید اصلی را در آن نگهداری کنیم. اگر از روش نامتقارن استفاده کنیم، به‌دلیل خاصیتی که الگوریتم کلید عمومی در اختیار ما می‌گذارد، نیازی به SAM نخواهیم داشت.

دلیل اصلی در عدم قابلیت کپی شدن کارت EMV، خاصیتی است که روال DDA در اختیار ما می‌گذارد و آن هم نشات گرفته از موهبت الگوریتم RSA در رمزنگاری است که کلید خصوصی در بخش امنیتی کارت ذخیره شده و با مکانیزم‌های امنیتی ویژه‌ای محافظت می‌شود و قابلیت شکسته شدن و کپی شدن این کلید بسیار بسیار سخت و تقریباً نزدیک به صفر است.