راه پرداخت
رسانه فناوری‌های مالی ایران

وای به روزی که بگندد EMV

حمیدرضا نورصالحی؛ مشاور و طراح سیستم‌های پیشرفته علم و فن‌آوری/ قطعاً مزایای اعمال یک سیستم چرخشی در طراحی سیستم‌ها به سبک متدولوژی RUP در تولید نرم‌افزارهای رایانه‌ای که در طی آن تکرار دائمی چهار مرحله inception, Elaboration, Construction و Transition برای تکامل سیستم در نظر گرفته می‌شود، بر کسی پوشیده نیست.

ولی اینکه یک سازمان تجاری در ابعاد EMV از سال‌ها قبل به نام تدوین استاندارد پرداخت، وعده ارائه امنیت در تمامی کانال‌ها را بدهد ولی در نهایت در آستانه سال 2017 میلادی که تب استفاده از موبایل برای پرداخت دنیا را فرا گرفته است، شاهد باشیم که همچنان بخش قابل‌اطمینان آن خدمتی که ارائه می‌دهد، فقط شامل ارائه کارت‌های تراشه دار است، یک رفتار حرفه‌ای محسوب نمی‌شود.

متأسفانه با مراجعه به وب‌سایت EMVco مشاهده می‌شود که این مجموعه با ارائه 4 مستند جامع در نسخه 4.3 به سال انتشار 2011 میلادی و سایر به‌روزرسانی‌ها، هنوز در عصر کارت‌های تراشه دار درجا میزند و آنچه تحت عنوان گسترش اسکیمای قدرتمند EMV به سایر روش‌های پرداخت غیر تماسی (Contact less) و موبایلی معرفی می‌کند، در حد Draft و در صف انتظار RFC است. این مسئله تا جایی اهمیت دارد که بانک مرکزی اتحادیه اروپا در طی یک گزارش جامع، پایان سال 2017 میلادی را آخرین‌مهلت برای تعیین تکلیف مکانیزم Point of Interaction معرفی شده توسط آن سازمان مشخص کرده و مشخصاً نگرانی‌های زیادی درباره نبود امنیت بین دو لایه Payment Processor و لایه POI را مطرح کرده است.

ایده پیاده‌سازی لایه POI پس از ورود بازیگران قدرتمندی همچون Apple و Samsung به بازار پرداخت موبایلی شکل گرفته و در طی آن این مکانیزم به‌صورت یک تجمیع کننده، کلیه روش‌های پرداخت تماسی و غیر تماسی، همچنین کارتی و غیر کارتی کاربران را از درون EMV Kernel یکپارچه کرده و به‌این‌ترتیب سعی نموده است بدون اعمال تغییرات گسترده در Data Flow های اسکیمای قدیمی خود، راهکاری (Solution) برای پاسخگویی به تغییر رفتار مشتری نهایی ارائه دهد که البته آنچه همگان از EMV انتظار دارند، نه راهکار، بلکه ارائه یک استاندارد بر اساس Best Experiences است که مشخصاً بانک مرکزی اتحادیه اروپا به نبود تجربه کافی در لایه POI ایراد دارد.

البته در حالی وظیفه لایه POI در نسل بعدی EMV به شرح زیر بسیار گسترده و با اهمیت توصیف می‌شود که در همایش Black Hat 2016 (اواخر تابستان) به ضعف ارتباط بین لایه Processor با POI اشاره شده و موردحمله موفق توسط انواع روش‌های نرم‌افزاری و سخت‌افزاری (Shimmers) قرار گرفته است:

Point of Interaction (POI) System – In the context of EMV Next Gen, the POI System is considered to host the user interfaces for the cardholder and merchant, Payment System network connectivity, peripheral devices .such as PIN pads and receipt printers, and the Adaptation Layer

در واقع مکانیزم POI قرار است باعث شود نسل بعدی EMV صاحب قابلیت‌های زیر گردد:

EMV Next Generation (Next Gen) establishes a common, robust technology platform to support a variety of interfaces—contact, contactless, mobile, etc.—for both online and offline processing

به همین جهت شرکت‌هایی همچون China Union Pay که روزی اقدام به پیروی از EMV کرده بودند در بحث روش‌های پرداخت غیر تماسی و موبایلی راه خود را جدا کرده و به سمت نوآوری و تصاحب سهم بازار حرکت کرده‌اند که این رفتار شرکت‌های مطرح دنیا درس‌های قابل‌توجهی برای شبکه بانکی و جامعه پرداخت کشور دارد و در ادامه مسئولیت بزرگی بر دوش رگولاتور شبکه بانکی قرار می‌دهد.

منابع:

  • بانک مرکزی اتحادیه اروپا
  • Black Hat 2016
  • وب‌سایت EMVco
ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.