راه پرداخت
رسانه فناوری‌های مالی ایران

آیا توکنیزاسیون به نقطه عطف پرداخت همراه در ایران تبدیل می‌شود؟

هفته گذشته، در روز چهارشنبه، بخشنامه‌ای از طرف بانک مرکزی ابلاغ شد که به نظر می‌رسد  می‌تواند نقطه عطفی در تاریخ پرداخت‌های همراه ایران باشد. کمتر پیش می‌آید یک نهاد دولتی نقطه عطف یک مسیر نوآوری باشد. نوآوری چه در زمینه‌های کسب‌وکاری، فناوری، اجتماعی یا اقتصادی از دل کسب‌وکارهای خصوصی واقعی بیرون می‌آید. هرچند در ایران نهاد دولت با این که هوشمندی کافی برای منشا اثر شدن را ندارد منتها جایگاه تاثیرگذاری دارد. روز چهارشنبه شاید نقطه عطفی در مسیر پرداخت ایران باشد. بانک مرکزی از مانا و سهند رونمایی کرد که احتمالا می‌توانیم از آنها با عنوان‌های «ببر خیزان، اژدهای پنهان» یاد کنیم. فعلا این بخشنامه تکه‌های گنگ بسیاری دارد. این که توکنیزاسیون توسط بانک مرکزی معرفی شده احتمالا اگر در مسیر صحیح پیش برود و برخی نخواهند سوار خر مراد شوند نقطه عطفی در پرداخت ایران باشد. شایعه‌ها و حرف‌هایی شنیده شده که خبر از انحراف در موضوع می‌دهد. فعلا از آنها می‌گذریم و با توجه به اهمیت متن بانک مرکزی بخش‌هایی از آن را در ادامه آورده‌ایم که بدانیم ماجرا از چه قرار است. یک مقداری هم سعی کرده‌ایم به زبان ساده اهمیت موضوع را باز کنیم. در آینده نزدیک احتمالا چیزهای بیشتری منتشر می‌شود و دانش‌مان کامل‌تر می‌شود. کسانی که می‌خواهند در زمینه‌ پرداخت‌های همراه فعالیت کنند، خبرها را دقیق رصد کنند.

۱. ارائه خدمات پرداخت دیجیتال و پرداخت همراه با کاربست فرآیند و فناوری نشانگذاری (tokenization) صورت می‌گیرد.

۲. در فرایند نشانگذاری، قسمتی از داده‌های حساس پرداخت مشتریان با «نشانه»های (token) الکترونیکی جایگزین شده و در شبکه پرداخت انتقال می‌یابند. با استفاده از زیرساخت ملی پرداخت و تسویه ، «نشانه»ها در فضایی امن به داده‌های حساس تبدیل شده و پس از آن روال پرداخت مطابق با رویه عادی تکمیل می‌شود.

۳. فرایند نشانگذاری با معرفی دو نهاد در شبکه پرداخت انجام می‌شود:
مراکز ارائه نشانه‌های الکترونیکی (مانا): توسط بانک یا موسسه اعتباری صادرکننده یا نهاد طرف قرارداد با آن راهبری شده و وظیفه ایجاد سامانه نشانگذار و تبدیلات داده‌های حساس به نشانه و بالعکس را بر عهده دارند.

سامانه هدایت نشانه‌های دیجیتال (سهند): سامانه‌ای است یکتا و مستقر در زیرساخت ملی پرداخت و تسویه  که اتصال «مانا»ها به شبکه پرداخت از طریق آن صورت می‌پذیرد.

۴. ارائه خدمات توسط «مانا»ها صرفاً از طريق اتصال به «سهند» امکان‌پذير است.

۵. تراکنش خرید تلفن همراه برای تراکنش‌های نشانگذاری شده تا سقف روزانه تعيين شده براي تراکنش‌هاي نوع موبايل مجاز است و بانک یا موسسه اعتباری صادرکننده ملزم به رعایت این سقف است.

۶. نشانگذاری (توکنیزاسیون) به معنای جایگزین کردن اطلاعات حساس در تراکنش پرداخت با یک توکن است. اطلاعات حساس در تراکنش پرداخت، PAN  است که در ایران به آن شماره کارت گفته می‌شود.

۷. اهمیت این موضوع در این است که بانک مرکزی موضوع تعدد کانال‌ها و پیچیده‌تر شدن تامین امنیت در کانال‌های مختلف را درک کرده و می‌خواهد زمینه را برای رشد کانال‌های مختلف فراهم کند. به عبارتی این بخشنامه یعنی به زودی شاهد رشد اینترنت اشیا، ابزارهای پوشیدنی، پرداخت‌های درون برنامه‌ای و ورود بازیگران غیربانکی به این عرصه خواهیم بود.

۸. استاندارد EMV اهمیت توکنیزاسیون را درک کرده و در این زمینه دستورالعمل‌هایی دارد. اپل‌پی به عنوان پرسروصداترین روش پرداخت همراه مبتنی بر توکنیزاسیون است و شرکت‌های بزرگ پرداخت در دنیا مثل ویزا، مستر و آمکس هم فعالیت‌هایی در این زمینه انجام داده‌اند.

۹. استاندارد PCI-DSS که استاندارد شناخته‌ شده‌ای در صنعت پرداخت است، به مواردی مثل خطر جعل کارت و خطر شنود و افشای اطلاعات پرداخته بود. با توجه به رشد روش‌های مختلف بدون حضور فیزیک کارت، توکنیزاسیون مطرح شده است. به عبارتی به مرور شاهد رشد روش‌های مختلف پرداخت بدون استفاده از فیزیک کارت خواهیم بود. ساده‌تر بگویم. در یک حالت رویایی شاید روزی فرابرسید که یخچال شما ببیند خالی است، خودش به دیجی‌کالا سفارش بدهد و پرداخت را هم از حساب شما انجام دهد. این البته خیلی رویایی است فعلا!

۱۰. در روش‌های پرداختی که کارت در آن حضور ندارد، افراد شماره کارت خود را وارد می‌کنند. در ایران فعلا فقط درگاه‌های پرداخت ۱۲ شرکت PSP این اجازه را دارند که افراد شماره کارت و اطلاعات دیگر را وارد کنند و هیچ جایی این اجازه را ندارد که اطلاعات کارت را دریافت کند. دلیل آن هم ساده است؛ ممکن است این اطلاعات را ذخیره و بعدا از آن سواستفاده کنند. شرکت‌های پرداخت زیرنظر شاپرک قرار دارند و این اجازه را دارند که از طریق درگاه‌های پرداخت اینترنتی اطلاعات کارت را دریافت کنند. همین موضوع تا امروز باعث ایجاد محدودیت‌هایی در رشد روش‌های پرداخت شده است. توکنیزاسیون یا آن‌طور که بانک مرکزی گفته «فرایند نشان‌گذاری» خیلی ساده به معنای جایگزین کردن اطلاعات حساس با یک مقدار جایگزین است. این فرایند از طریق مانا و سهند انجام می‌شود. هنوز به صورت عملی هیچ مانا و سهندی معرفی نشده که بتوان با انگشت آن را نشان داد.

۱۱. تا امروز استانداردهای متعددی در فضای پرداخت الکترونیکی وجود داشته است؛ از جمله مواردی مثل EMV و PCI-DSS. این استانداردها احتمال وقوع ریسک را کاهش می‌دادند. توکنیزاسیون اثر وقوع ریسک را کاهش می‌دهد.

۱۲. در حال حاضر روش‌های مطرح پرداخت در جهان مثل اپل‌پی، سامسونگ‌پی و اندروید پی، هیچ اطلاعات حساسی مربوط به کارت را ندارند. آنها از طریق فرایند نشان‌گذاری از شرکت‌های بزرگ پرداخت مثل ویزا، مسترکارت و آمریکن اکسپرس توکن دریافت می‌کنند. خیلی خیلی ساده، وقتی شماره کارت به توکن تبدیل می‌شود در اصل این شماره رمزگذاری می‌شود و رمزگشانی آن هم توسط شرکت‌های پرداخت انجام می‌شود و این وسط هیچ اطلاعات حساسی به واسطه‌ها داده نمی‌شود. فرض کنید شماره کارت فردی ۱۲۳۴۵۶۷۸۱۲۳۴۵۶۷۸ است. بعد از فرایند نشان‌گذاری این شماره تبدیل می‌شود به ۱۲۳۴۵۶۳۵۴۹۸۷۳۰۲۱. این شماره را اپل‌پی ذخیره می‌کند و وقتی زمان پرداخت آن را به ویزا اعلام می‌کند ویزا می‌داند که این کدام کارت است. طبیعی است که اپل حتی اگر بخواهد از این شماره سواستفاده کند نمی‌تواند چون این شماره یک شماره واقعی نیست.

ببینید: آینده کیف پول الکترونیکی چه خواهد شد / نهانش در پرداخت‌ موبایلی / حسین یعقوبی / پیوست

دانلود کنید:‌ مقاله نهانش (توکنیزاسیون) در پرداخت موبایلی / حسین یعقوبی / نادر قاسمی

دانلود کنید: کاربردهای فناوری NFC در حوزه  پرداخت الکترونیکی / به‌‌پرداخت ملت

دانلود کنید: توکنیزاسیون و  HCE در پرداخت‌های موبایلی

دانلود کنید: معرفی مدل پرداخت برمبنای فناوری  NFC در کشور

دانلود کنید: اینفوگرافی درباره توکنیزاسیون / جمالتو

1 دیدگاه
  1. ناشناس می‌گوید

    به نظر بنده ايجاد روشهای نشانه گذاری اهميت ويژه دارد ولی در اين روش نيز توکن به اندازه شماره کارت بايد امن نگهداری شود. در اپل پی يا موارد مشابه توکن در محيط امنی نگهدای می شود و حتما بايد از دستگاههای هوشمند که حاوی SE هستند استفاده نمود و الا اين روش از عدم حضور کارت خطرناک تر است.

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.