راه پرداخت
راه پرداخت؛ رسانه فناوری‌های مالی ایران

آیا NFC امن است؟

به تازگی اطلاعات کارت‌های اعتباری بیش از ۱۱ میلیون مشتری امریکایی استفاده شده در دو فروشگاه زنجیره‌ای معروف به سرقت رفت. این کارت‌های اعتباری از نوع کارت‌های هوشمند پین و چیپ (PIN and Chip) بودند در حالی که بیش از ۹۰ درصد امریکایی‌ها از کارت‌های اعتباری قدیمی مغناطیسی استفاده می‌کنند. کارت‌های هوشمند پین‌‌ و چیپ‌ در اسمارت‌فون‌های مبتنی‌بر فناوری NFC استفاده شده و برای خرید و پرداخت در سرویس‌هایی مانند Google Wallet و Isis به کار گرفته می‌شوند. با این وضعیت باید پرسید آیا این نوع کارت‌ها امن هستند؟ آیا NFC یا Near Field Communication امن است؟ اگر جواب مثبت است چرا روی ترویج آن متمرکز نمی‌شوند و اگر امن نیست پس کدام فناوری جایگزین خواهد شد؟

NFC-Mobile-Payment-way2pay-92-12-06

.

یک سوال: امنیت NFC با کیست؟

پاسخ به این پرسش‌ها تا حدودی پیچیده است. در وهله نخست مشخص نیست که چه کسی مسئولیت نقض اطلاعات در پرداخت‌های NFC را برعهده می‌گیرد؛ خرده‌فروشان، مؤسسه‌های مالی و اعتباری یا شرکت‌های پردازش‌کننده این کارت‌ها مانند ویزا و مسترکارت؟ مشکل بعدی نیاز به میلیون‌ها دستگاه پرداخت POS در فروشگاه‌های خرده‌فروشی و دستگاه‌های خودپرداز(ATM) است. اگر دو مشکل قبلی برطرف شده باشند تازه می‌رسیم به مشکل سومی به نام اسمارت‌فون‌های هوشمند مجهز به چیپ‌ست‌ها و سیگنال‌های NFC.

NFC-retail-mobile-payment-way2pay-92-12-07

.

چرا اپل در برابر استفاده از NFC مقاومت می‌کند؟

شاید به نظر برسد مشکل سوم چندان حاد نباشد اما بهتر است به شما خبر دهیم که یکی از بزرگ‌ترین شرکت‌هایی که از پیوستن به NFC ممانعت می‌کند، شرکت اپل است که هنوز چیپ‌ست NFC را به گوشی تلفن محبوبش آی‌فون اضافه نکرده است. جردن مک‌‌کی، تحلیلگر گروه یانکی در این‌باره می‌گوید: «اپل برای تأمین امنیت بهتر از استفاده NFC ممانعت می‌کند و به دنبال جایگزینی برای آن است. اگر این شرکت سرسختانه مقاوت کند، ممکن است به راه‌حل‌های بهتر و ابداع‌آورانه‌تری برسد اما از NFC برای همیشه دور خواهد شد.»

.

یک نامه حمایتی

در هفته سوم ژانویه ۲۰۱۴ رئیس اتحادیه ملی خرده‌فروشان امریکا (National Retail Federation) نامه‌ای به نمایندگی از ۱۲ هزار فروشگاه به کنگره امریکا نوشت و از کارت‌های هوشمند پین و چیپ حمایت کرد و بیان داشت که اگر این فناوری جایگزین کارت‌های قدیمی مغناطیسی رمزنگاری شده شوند باعث کاهش تقلب‌ها می‌شوند؛ همان‌طور که در انگلیس استفاده از این کارت‌ها رواج یافته و تقلب‌ها ۷۰ درصد کاهش یافته است.

NFC-Chip-way2pay-92-12-07

در این نامه پیشنهاد شده است که بانک‌های امریکا با استفاده از کارت‌های پین‌ و چیپ موافقت کنند اما به جزئیات اجرا و پیاده‌سازی آن اشاره‌ای نشده است. مالوری دانکن، مشاور عمومی اتحادیه NRF در یک گفت‌وگوی تلفنی با نشریه کامپیوترورلد گفت: «هنوز مشخص نیست که اعضای شبکه کارتی امریکا تصمیم به حرکت به سوی کارت‌های پین و چیپ دارند یا خیر. امیدواریم که بانک‌ها کار درست را انجام دهند و به صدور کارت‌های پین و چیپ اقدام کنند.» دانکن ادامه می‌دهد که اتحادیه NRF از اسمارت‌فون‌های NFC و همچنین کارت‌های هوشمند جدید پرداخت پشتیبانی می‌کند. «ما از هر فناوری که کل سیستم پرداخت را امن‌تر می‌کند، استقبال می‌کنیم و به صورت باز رفتار خواهیم کرد.» حداقل این سیستم کارت‌های پین و چیپ هستند اما در گوشی‌های تلفن هوشمند جدید می‌توان از انواع سیستم‌های رمزنگاری پیچیده‌ای در سطوح بالاتری استفاده کرد که کارایی بهتری ارائه می‌کنند.

.

امنیت از نوع EMV

مدت طولانی است که کارت‌های هوشمندی به نام EMV یا Europay MasterCard Visa تولید شده‌اند که مترادف با کارت‌های هوشمند پین و چیپ هستند و از تراشه‌های دارای استاندارد EMV بهره می‌برند. این استاندارد در تاریخ یکم اکتبر سال ۲۰۱۵ تجاری شده و همه می‌توانند از آن استفاده کنند. اگر شرکتی که از این استاندارد از آن تاریخ به بعد پشتیبانی نکند، مسئولیت هرگونه نقض اطلاعات یا تقلب در معاملات را برعهده خواهد داشت. همچنین این قانون به معنای این است که تا یکم اکتبر ۲۰۱۵ تمامی فروشگاه‌ها باید مجهز به پایانه‌های POS دارای این استاندارد شوند که برای هر کدامشان چند صد دلار هزینه در بر خواهد داشت. اما دانکن درباره استاندارد EMV می‌گوید: «دیدگاه‌های بسیار متفاوتی روی امنیت EMV وجود دارد که به این معنا است اتحادیه NRF روی این استاندارد نظر خاصی ندارد. باید تا زمان روشن شدن وضعیت بسیاری از موارد صبر کرد.»

NFC-Used-Smartphones-way2pay-92-12-06

مک‌کی درباره استاندارد EMV می‌گوید: «در حال حاضر، برخی از صادرکنندگان کارت‌های پرداخت هوشمند شروع به تولید کارت‌های با استاندارد EMV کرده‌اند اما نمی‌توان با قطعیت گفت که این استاندارد بهترین راه‌حل است و جلوی هرگونه کلاهبرداری را می‌گیرد.» مک‌کی اعتقاد دارد استاندارد EMV نمی‌تواند جلوی اتفاقی که برای فروشگاه‌های زنجیره‌ای رخ داد را بگیرد اما باعث کاهش محسوس و تأثیرگذاری در کلاهبرداری‌ها با کارت‌های پرداخت می‌شود. پرداخت‌های مبتنی‌بر NFC روی اسمارت‌فون‌های چینی به استاندارد EMV بسیار نزدیک بوده و مزایای مشابه کارت‌های پین و چیپ فراهم می‌کند. بی‌شک پرداخت‌های الکترونیکی مبتنی بر کارت‌های EMV فیزیکی یا کارت‌های هوشمند پین و چیپ روی گوشی‌های NFC امن‌تر از کارت‌های مغناطیسی موجود است. بانک‌ها و مؤسسه‌های مالی و اعتباری کار را ساده کرده‌اند و اعتقاد دارند که اتفاقی که برای فروشگاه‌های زنجیره‌ای رخ داده است نمی‌تواند در سراسر امریکا روی دهد زیرا همه مشتریان از استاندارد EMV استفاده نمی‌کنند.

.

سیستم‌های پرداخت قدیمی همچنان کارا هستند

میشل جانسون، مدیر امور حقوقی اتحادیه ملی مؤسسه‌های اعتباری امریکا (CUNA) می‌گوید: «نمی‌توانیم یک روش پرداخت را به‌طور کامل کنار بگذاریم. مثلاً در فروشگاه‌ها فقط متکی به چیپ‌های روی گوشی‌های موبایل یا کارت‌های هوشمند یا نرم‌افزارها یا استفاده از بارکد باشیم. کارت‌های هوشمند EMV در سراسر امریکا می‌توانند مورد استفاده قرار گیرند به شرط این‌که کارت‌های ترکیبی از کارت‌های هوشمند جدید و کارت‌های مغناطیسی بسازیم که مشتری بتواند در فروشگاه‌های فاقد دستگاه‌های POS مبتنی‌بر EMV نیز پرداخت خود را انجام دهد و خرید کند. یا باید ترتیبی اتخاذ کنیم که در هر فروشگاه یک سیستم پرداخت قدیمی هم وجود داشته باشد.»

.

۲۰۱۵ آخرین مهلت است

وی ادامه می‌دهد به‌روزرسانی امنیتی پرداخت‌های مشتری یک تعهد بسیار بزرگ است: «خیلی مهم است که بدانیم استاندارد EMV تفاوت‌های زیادی روش‌های دیگر ندارد زیرا کارت‌های فیزیکی پین و چیپ دارای آدرس‌های آنلاین نیستند که امکان کلاهبرداری را فراهم کنند. به جای متمرکز شدن روی یک سیستم پرداخت خاص باید شرکت‌ها مسئولیت‌های امنیتی متوجه خودشان را بپذیرند. ما بیش‌تر به یک فریم‌ورک امنیتی فکر می‌کنیم تا این‌که بخواهیم روی یک نوع فناوری متمرکز شویم.» مک‌کی اعتقاد دارد اکتبر ۲۰۱۵ تاریخی است که استاندارد EMV و کارت‌های اعتباری مبتنی‌بر آن گسترده‌تر خواهند شد و جایگزین NFC می‌شوند. البته امریکایی‌ها هنوز به کارت‌های اعتباری مغناطیسی وفادار هستند و به استفاده از تلفن همراه به جای یک کیف پول الکترونیکی و پرداخت‌های NFC در سیستم‌هایی مانند گوگل والت و ایسیس عادت نکرده‌اند.

.

هیچ کجا امنیت صد در صد نداریم

در مجموع آن‌چه که مشخص است سیستم پرداخت به سوی امن‌تر‌ شدن پیش می‌رود اما در این میان کدام فناوری برنده است و تصمیم‌گیرندگان ارشد چه تدابیری اتخاذ می‌کنند، معلوم نیست. به طور مطمئن هیچ فناوری یا سیستمی کاملاً امن نیست و نمی‌تواند از هرگونه کلاهبرداری ممانعت کند اما می‌توان سیستم پرداختی پیاده‌سازی کرد که بسیار امن‌تر است و امکان تقلب و کلاهبرداری ساده و گسترده در آن وجود ندارد.

منبع: ماهنامه شبکه

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.