پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
هفته گذشته، در روز چهارشنبه، بخشنامهای از طرف بانک مرکزی ابلاغ شد که به نظر میرسد میتواند نقطه عطفی در تاریخ پرداختهای همراه ایران باشد. کمتر پیش میآید یک نهاد دولتی نقطه عطف یک مسیر نوآوری باشد. نوآوری چه در زمینههای کسبوکاری، فناوری، اجتماعی یا اقتصادی از دل کسبوکارهای خصوصی واقعی بیرون میآید. هرچند در ایران نهاد دولت با این که هوشمندی کافی برای منشا اثر شدن را ندارد منتها جایگاه تاثیرگذاری دارد. روز چهارشنبه شاید نقطه عطفی در مسیر پرداخت ایران باشد. بانک مرکزی از مانا و سهند رونمایی کرد که احتمالا میتوانیم از آنها با عنوانهای «ببر خیزان، اژدهای پنهان» یاد کنیم. فعلا این بخشنامه تکههای گنگ بسیاری دارد. این که توکنیزاسیون توسط بانک مرکزی معرفی شده احتمالا اگر در مسیر صحیح پیش برود و برخی نخواهند سوار خر مراد شوند نقطه عطفی در پرداخت ایران باشد. شایعهها و حرفهایی شنیده شده که خبر از انحراف در موضوع میدهد. فعلا از آنها میگذریم و با توجه به اهمیت متن بانک مرکزی بخشهایی از آن را در ادامه آوردهایم که بدانیم ماجرا از چه قرار است. یک مقداری هم سعی کردهایم به زبان ساده اهمیت موضوع را باز کنیم. در آینده نزدیک احتمالا چیزهای بیشتری منتشر میشود و دانشمان کاملتر میشود. کسانی که میخواهند در زمینه پرداختهای همراه فعالیت کنند، خبرها را دقیق رصد کنند.
۱. ارائه خدمات پرداخت دیجیتال و پرداخت همراه با کاربست فرآیند و فناوری نشانگذاری (tokenization) صورت میگیرد.
۲. در فرایند نشانگذاری، قسمتی از دادههای حساس پرداخت مشتریان با «نشانه»های (token) الکترونیکی جایگزین شده و در شبکه پرداخت انتقال مییابند. با استفاده از زیرساخت ملی پرداخت و تسویه ، «نشانه»ها در فضایی امن به دادههای حساس تبدیل شده و پس از آن روال پرداخت مطابق با رویه عادی تکمیل میشود.
۳. فرایند نشانگذاری با معرفی دو نهاد در شبکه پرداخت انجام میشود:
مراکز ارائه نشانههای الکترونیکی (مانا): توسط بانک یا موسسه اعتباری صادرکننده یا نهاد طرف قرارداد با آن راهبری شده و وظیفه ایجاد سامانه نشانگذار و تبدیلات دادههای حساس به نشانه و بالعکس را بر عهده دارند.
سامانه هدایت نشانههای دیجیتال (سهند): سامانهای است یکتا و مستقر در زیرساخت ملی پرداخت و تسویه که اتصال «مانا»ها به شبکه پرداخت از طریق آن صورت میپذیرد.
۴. ارائه خدمات توسط «مانا»ها صرفاً از طريق اتصال به «سهند» امکانپذير است.
۵. تراکنش خرید تلفن همراه برای تراکنشهای نشانگذاری شده تا سقف روزانه تعيين شده براي تراکنشهاي نوع موبايل مجاز است و بانک یا موسسه اعتباری صادرکننده ملزم به رعایت این سقف است.
۶. نشانگذاری (توکنیزاسیون) به معنای جایگزین کردن اطلاعات حساس در تراکنش پرداخت با یک توکن است. اطلاعات حساس در تراکنش پرداخت، PAN است که در ایران به آن شماره کارت گفته میشود.
۷. اهمیت این موضوع در این است که بانک مرکزی موضوع تعدد کانالها و پیچیدهتر شدن تامین امنیت در کانالهای مختلف را درک کرده و میخواهد زمینه را برای رشد کانالهای مختلف فراهم کند. به عبارتی این بخشنامه یعنی به زودی شاهد رشد اینترنت اشیا، ابزارهای پوشیدنی، پرداختهای درون برنامهای و ورود بازیگران غیربانکی به این عرصه خواهیم بود.
۸. استاندارد EMV اهمیت توکنیزاسیون را درک کرده و در این زمینه دستورالعملهایی دارد. اپلپی به عنوان پرسروصداترین روش پرداخت همراه مبتنی بر توکنیزاسیون است و شرکتهای بزرگ پرداخت در دنیا مثل ویزا، مستر و آمکس هم فعالیتهایی در این زمینه انجام دادهاند.
۹. استاندارد PCI-DSS که استاندارد شناخته شدهای در صنعت پرداخت است، به مواردی مثل خطر جعل کارت و خطر شنود و افشای اطلاعات پرداخته بود. با توجه به رشد روشهای مختلف بدون حضور فیزیک کارت، توکنیزاسیون مطرح شده است. به عبارتی به مرور شاهد رشد روشهای مختلف پرداخت بدون استفاده از فیزیک کارت خواهیم بود. سادهتر بگویم. در یک حالت رویایی شاید روزی فرابرسید که یخچال شما ببیند خالی است، خودش به دیجیکالا سفارش بدهد و پرداخت را هم از حساب شما انجام دهد. این البته خیلی رویایی است فعلا!
۱۰. در روشهای پرداختی که کارت در آن حضور ندارد، افراد شماره کارت خود را وارد میکنند. در ایران فعلا فقط درگاههای پرداخت ۱۲ شرکت PSP این اجازه را دارند که افراد شماره کارت و اطلاعات دیگر را وارد کنند و هیچ جایی این اجازه را ندارد که اطلاعات کارت را دریافت کند. دلیل آن هم ساده است؛ ممکن است این اطلاعات را ذخیره و بعدا از آن سواستفاده کنند. شرکتهای پرداخت زیرنظر شاپرک قرار دارند و این اجازه را دارند که از طریق درگاههای پرداخت اینترنتی اطلاعات کارت را دریافت کنند. همین موضوع تا امروز باعث ایجاد محدودیتهایی در رشد روشهای پرداخت شده است. توکنیزاسیون یا آنطور که بانک مرکزی گفته «فرایند نشانگذاری» خیلی ساده به معنای جایگزین کردن اطلاعات حساس با یک مقدار جایگزین است. این فرایند از طریق مانا و سهند انجام میشود. هنوز به صورت عملی هیچ مانا و سهندی معرفی نشده که بتوان با انگشت آن را نشان داد.
۱۱. تا امروز استانداردهای متعددی در فضای پرداخت الکترونیکی وجود داشته است؛ از جمله مواردی مثل EMV و PCI-DSS. این استانداردها احتمال وقوع ریسک را کاهش میدادند. توکنیزاسیون اثر وقوع ریسک را کاهش میدهد.
۱۲. در حال حاضر روشهای مطرح پرداخت در جهان مثل اپلپی، سامسونگپی و اندروید پی، هیچ اطلاعات حساسی مربوط به کارت را ندارند. آنها از طریق فرایند نشانگذاری از شرکتهای بزرگ پرداخت مثل ویزا، مسترکارت و آمریکن اکسپرس توکن دریافت میکنند. خیلی خیلی ساده، وقتی شماره کارت به توکن تبدیل میشود در اصل این شماره رمزگذاری میشود و رمزگشانی آن هم توسط شرکتهای پرداخت انجام میشود و این وسط هیچ اطلاعات حساسی به واسطهها داده نمیشود. فرض کنید شماره کارت فردی ۱۲۳۴۵۶۷۸۱۲۳۴۵۶۷۸ است. بعد از فرایند نشانگذاری این شماره تبدیل میشود به ۱۲۳۴۵۶۳۵۴۹۸۷۳۰۲۱. این شماره را اپلپی ذخیره میکند و وقتی زمان پرداخت آن را به ویزا اعلام میکند ویزا میداند که این کدام کارت است. طبیعی است که اپل حتی اگر بخواهد از این شماره سواستفاده کند نمیتواند چون این شماره یک شماره واقعی نیست.
ببینید: آینده کیف پول الکترونیکی چه خواهد شد / نهانش در پرداخت موبایلی / حسین یعقوبی / پیوست
دانلود کنید: مقاله نهانش (توکنیزاسیون) در پرداخت موبایلی / حسین یعقوبی / نادر قاسمی
دانلود کنید: کاربردهای فناوری NFC در حوزه پرداخت الکترونیکی / بهپرداخت ملت
دانلود کنید: توکنیزاسیون و HCE در پرداختهای موبایلی
دانلود کنید: معرفی مدل پرداخت برمبنای فناوری NFC در کشور
دانلود کنید: اینفوگرافی درباره توکنیزاسیون / جمالتو
به نظر بنده ايجاد روشهای نشانه گذاری اهميت ويژه دارد ولی در اين روش نيز توکن به اندازه شماره کارت بايد امن نگهداری شود. در اپل پی يا موارد مشابه توکن در محيط امنی نگهدای می شود و حتما بايد از دستگاههای هوشمند که حاوی SE هستند استفاده نمود و الا اين روش از عدم حضور کارت خطرناک تر است.