EMV نوشداروی پرداخت کارتی نیست

آیا کارت اعتباری به‌زعم مشتریان آمریکایی مرده است؟ با رخدادهای اخیر رخنه‌های داده انبوه در کارت اعتباری در خرده‌فروشانی مثل Target, Home Depot دیگر وقت آن رسیده است که صنعت پرداخت بالغ کنونی تغییر کند.

به گزارش ماهنامه پیوست، در گزارش فارس‌تر برای ترسیم آینده بازار پرداخت در آمریکا تعداد بسیاری از متغیرها شامل داده‌های زیادی از اطلاعات مشتریان در شعب، قانون تغییر مسئولیت پرداخت در اکتبر ۲۰۱۵، میزان امنیت موبایل Europay و مستر کارت و ویزا و پرداخت‌های غیر لمسی EMV و رسیدن درصد نفوذ دستگاه‌های موبایل به بالای ۷۲ درصد مقایسه شدند که کمک خوبی به گروه و متخصصان امنیت و ریسک است.

فارس‌تر پیش‌بینی می‌کند که ایجاد امنیت و رمزنگاری و تراکنش‌ها بر اساس توکن روی کیف پول‌های دیجیتالی و کارت‌های NFC و پرداخت‌های غیر لمسی EMV باعث شده این‌ها رقبای جدی برای EMV chip and signature و chip and pin payment در آمریکا باشند. همچنین پیش‌بینی می‌کند EMV های پلاستیکی تا سال ۲۰۲۰ پذیرش جدی در آمریکا نخواهند داشت.

 

پرداخت‌های امن جزو اصول اساسی برای رشد مشتریان و نگهداری آن‌ها

فارس‌تر پیش‌بینی می‌کند که تا سال ۲۰۱۹، ۱۴۲ بیلیون دلار پرداخت‌های موبایلی انجام می‌شود. اطمینان و اعتماد مشتری سبب پذیرش آن‌ها در این شکل جدید پرداخت می‌شود. هنگام پرداخت با دانستن شماره PII مشتری (مشابه شماره ملی در ایران) اطلاعات کارت پرداخت او و عادات خرج کردنش اطلاعات خوبی برای هوش تجاری در اختیار ما می‌گذارد.

چنانچه مشتریان نتوانند در مسئولیت نگهداری این اطلاعات حساس به شما اعتماد کنند، جذب رقبایتان خواهند شد؛ بنابراین مقوله امنیت و ریسک یکی از مؤلفه‌های اصلی نگهداری و خدمت‌رسانی به مشتری است. مشتریان انتظار دارند در زنجیره پرداخت اطلاعات شخصی و پرداختی آن‌ها حفظ شود. روندهای کنونی نشان می‌دهند:

 

هک کردن تکنولوژی پایانه‌های فروش کنونی بسیار ساده است.

در سال ۲۰۱۴ رخنه اطلاعاتی عنوان بسیاری از سرفصل‌های اخبار بود. رخنه اطلاعاتی بسیار هزینه‌بر بودند. بسیاری از آن‌ها در برهه‌ای بدون اینکه مشخص شود باعث از بین رفتن اطلاعات مشتریان می‌شدند. تکنولوژی کارت‌خوان‌ها قدیمی و دارای درجه امنیتی کم است و معمولاً سیستم‌عامل آن‌ها XP است که دستیابی به شماره کارت‌ها را برای هکر میسر می‌کند.

 

هزینه‌های نقص داده سرسام‌آور است.

Home Depot حدود ۴۳ میلیون دلار در سه‌ماهه گذشته صرف نقص داده کرده یا شرکت Target مبلغ هنگفت ۱۴۸ میلیون دلار را صرف جبران تأثیرات رخنه اطلاعاتی در کارت‌های اعتباری خود کرده است. این هزینه‌ها کاملاً اجتناب‌ناپذیرند و به‌نوعی هشداری برای توجه به تکنولوژی امنیت به شمار می‌روند و اگر از رمزنگاری یا توکن کردن استفاده کرده بودند، این هزینه‌های رفع نقص قطعاً کاهش می‌یافت.

 

رسوخ امنیتی از بالاترین تا پایین‌ترین سطح خرده‌فروشان را تحت تأثیر قرار می‌دهد.

مطالعه اخیر نشان می‌دهد ۴۴ درصد رخنه اطلاعاتی و ۶۰ درصد دزدی اطلاعات رخ داده است. ۴۵ درصد خریداران به خرده‌فروشان بابت نگهداری اطلاعات اعتماد ندارند و بعد از یک رخنه اطلاعاتی ۱۲ درصد خریداران دیگر از خرده‌فروشان خرید نکرده‌اند و ۳۶ درصد کمتر خرید کرده‌اند و ۷۹ درصد آن‌هایی که به خرید ادامه دادند پول نقد را به کارت ترجیح می‌دهند و آمار نشان می‌دهد در خرید نقدی معمولاً پول کمتری خرج می‌شود.

 

موبایل‌ها امنیت ارتقا یافته خوبی ارائه می‌دهند.

زیرساخت پرداخت کنونی برای ۵۰ تا ۶۰ سال پیش که با کارت‌های مغناطیسی خرید می‌شد طراحی شده است. برای پرداخت‌های امروزی به تکنولوژی‌های جدیدتر و احراز هویت قوی‌تر و مقاوم‌سازی کل سیستم پرداخت نیاز است.

شکل‌های جدید امنیت پرداخت مثل Starbucks Card نه‌تنها امنیت بهتری فراهم می‌کنند بلکه مزایای تطبیق‌پذیری نیز دارند.

 

تجارت الکترونیکی به سمت برتری و نمایان شدن پیش می‌رود.

فارس‌تر انتظار دارد فروش آنلاین در آمریکا در سال ۲۰۱۴ به مرز ۲۹۷ بیلیون یا حداقل به ۹ درصد تمام فروش‌ها در آمریکا برسد. بازگشت خالص سرمایه در یک بازه زمانی مشخص (CAGR) از ۱/۱۱ درصد طی سال‌های ۲۰۱۳ و ۲۰۱۸ به یک بازده ۴۴۴ بیلیونی درفروش آنلاین تا سال ۲۰۱۸ برای تجارت الکترونیکی آمریکا پیش‌بینی می‌شود که در این میان امنیت پرداخت آنلاین و تراکنش‌های بدون حضور کارت اهمیت می‌یابد.

 

توکن کردن، یک اصل اساسی در اکوسیستم پرداخت امن

درحالی‌که تکنولوژی‌های پرداخت رخنه‌های امنیتی ذاتی دارند ولی درعین‌حال کنترل‌های امنیتی پیشرفته‌ای ارائه می‌کنند (شکل‌های ۱ و ۲). در مقابل بسیاری از بخش‌های صنعت ما را به این باور رساند که EMV یک راه‌حل جامع برای تمام مسائل امنیتی نیست و دلایل زیر برای این مسئله مطرح می‌شوند:

 

درحالی‌که EMV دست‌کاری را تقریباً غیرممکن می‌سازد، کپی کردن کارت با نوار مغناطیسی بسیار آسان است.

اگر پیشخدمت رستوران کارت شمارا از جلوی چشمتان دور کرد می‌تواند کپی کاملی از اطلاعات شما داشته باشد و تا زمانی که صورت‌حساب بگیرید و در آن مبلغی از شما بابت تغییر اطلاعات کسر شده باشد متوجه نخواهید شد. کارت‌های پلاستیکی EMV از یک چیپ برای صحت کارت بابت تأیید خرید استفاده می‌کنند که کار را برای کارت‌های جعلی (دستکاری‌شده) به نسبت کارت‌های نوار مغناطیسی مشکل‌تر می‌کنند.

 

EMV به‌خودی‌خود نمی‌تواند از رخنه اطلاعاتی جلوگیری کند، مانند اتفاقی که برای Target پیش آمد.

EMV بدون توکن کردن شماره کارت و تاریخ انقضا را که در طول تراکنش جابه‌جا می‌شوند رمزنگاری نمی‌کند . EMV یک سر و گردن از تکنولوژی‌های کارت کنونی جلوتر است چون چیپی دارد که مانع جعل است، اما همچنان جلوی جعل خود کارت را نمی‌گیرد یا استفاده آنلاین جعلی از کارت در تراکنش‌های بدون حضور کارت را نیز نمی‌تواند مانع شود.

 

استفاده از رمزنگاری و توکن کردن بدون EMV از نفوذ جلوگیری می‌کند.

رمزنگاری مستلزم به دست آوردن شماره کارت توسط ترمینال POS قبل ارسال در هرجایی از شبکه پرداخت است. مراحل توکن کردن به این شرح است:

مرحله اول با اولین تراکنش توسط مشتری جدید، پایانه POS شماره کارت رمز شده را به سرویس توکن کردن PCI-DSS می‌فرستد. بعدازآن در مرحله دوم سرویس توکن کردن با یک شناسه آن را در پایگاه داده می‌نویسد که شماره کارت را به نام پذیرنده کارت آدرس شماره تلفن و سایر اطلاعات پیوند می‌دهد.

سپس در سومین مرحله کار احراز هویت به شکل عادی از طرف فروشگاه (پذیرنده) انجام می‌شود. در مرحله چهارم یک توکن (و نه خود شماره کارت) را به فروشگاه (پذیرنده) برمی‌گرداند که تأیید تراکنش پرداخت است. برای پرداخت‌های متعاقب و بعدازآن فروشگاه (پذیرنده) تنها توکن (و نه شماره کارت) را می‌فرستد و مرحله سوم به بعد انجام می‌شود.

 

چرا EMV CHIP-AND-PIN پلاستیکی در اروپا اقبال بیشتری دارد؟

کارت‌های EMV چیپ‌دار در طول یک دهه بسیار در اروپا و آسیا معمول شده‌اند. انجمن کارت‌های انگلستان طی گزارشی در سال ۲۰۱۱ اعلام کرد که کلاه‌برداری کارت‌های اعتباری ۶۳ درصد افزایش یافته است؛ همان‌طور که متخصصان مدیریت کلاه‌برداری می‌دانند که مبارزه با آن‌ها مثل کندن سر یک مار آبی مشکل است و پذیرش کارت‌های EMV توسط اروپایی‌ها نیز تقریباً آن را نشان می‌دهد:

 

تیم‌های کلاه‌برداری رمز را از کارت‌های EMV CHIP-AND-PIN می‌دزدند.

در کارت‌های EMV دست‌کاری کردن نوار مغناطیسی اگر غیرممکن نباشد مشکل است. درنتیجه تیم‌های کلاه‌برداری نقطه تمرکز خود را تغییر دادند. بعدازاینکه کارت‌های EMV CHIP-AND-PIN در زنجیره پرداخت معرفی شدند، آن‌ها شروع به کپی کردن داده‌ها و شماره PIN ها از چیپ‌ها کردند و کارت‌های جعلی نوار مغناطیسی‌ای تولید کردند که می‌توانستند با پایانه‌هایی که هم نوار مغناطیسی را قبول می‌کنند و هم CHIP-AND-PIN را، پرداخت انجام دهند.

 

تیم‌های کلاه‌برداری به آمریکا و تجارت الکترونیکی نقل‌مکان کردند.

تیم‌های کلاه‌بردار عملیات خود را به آمریکا انتقال دادند و شروع به دست‌کاری کارت‌ها در ماشین‌های خودپرداز کردند.

 

قانون تغییر مسئولیت اروپایی‌ها باعث شد کارت و ترمینال‌های خود را به‌روز کنند.

این تغییر قانون موجب شد صادرکنندگان کارت تنها کارت‌های CHIP-AND-PIN را تولید کنند و باعث شد فروشگاه (پذیرنده) ها نیز پایانه‌هایی با زیرساخت نوار مغناطیسی را به CHIP-AND-PIN و پایانه‌های غیر لمسی تبدیل کنند.

 

پذیرش EMV CHIP-AND-PIN پلاستیکی تا سال ۲۰۲۰ در آمریکا رخ نخواهد داد

تغییر قانون تشویق فروشگاه (پذیرنده) ها به استفاده از نوار مغناطیسی به EMV برای اکتبر ۲۰۱۵ برنامه‌ریزی شده بود، اما با محدودیت خودپردازها در سال ۲۰۱۶ انجام می‌شود. با توجه به محدودیت‌های تعیین‌شده زمانی پیش رو بازهم انتظار می‌رود آمریکا در این تغییر (EMV chip & pin & signature) به‌کندی پیش رود. بنا بر سه دلیل زیر:

همه افراد درگیر در زنجیره ارزش از پذیرندگان کارت گرفته تا فروشگاه (پذیرنده) ها و پذیرنده‌ها، processor ها و صادرکننده‌ها باید امنیت را در اولویت قرار دهند. در ادامه مشکلاتی را که افراد در مدیریت ریسک، امنیت و کلاه‌بردار با آن‌ها درگیرند ذکر می‌کنیم:

 

EMV از رخنه اطلاعاتی انبوه تعداد زیادی کارت پشتیبانی نمی‌کند.

رخنه اطلاعاتی انبوه و در معرض قرار گرفتن سایر قسمت‌ها هزینه سنگینی برای فروشگاه (پذیرنده) و نه تک‌تک تراکنش‌ها در بر دارد و EMV هیچ حمایتی از کارت‌های دزدیده‌شده نمی‌کند. مشخصه توکن کردن EMV و فریم ورک تخصصی آن در سال ۲۰۱۴ تازه ارائه شده‌اند و هنوز پذیرش عمومی پیدا نکرده است.

 

چیپ EMV بیست سال قدمت دارد.

چیپ EMV همان اطلاعاتی را نگهداری می‌کند که نوار مغناطیسی دیگر کارت‌ها نگهداری می‌کند. البته EMV به‌صورت رمزشده نگهداری می‌کند. علاوه بر آن طراحی EMV برای این بوده که قابلیتی به کارت‌های قبلی برای پرداخت با حضور کارت اضافه شود و برای پرداخت‌های بدون استفاده فیزیکی طراحی نشده تا به این نوع کلاه‌برداری از آن توجه شود. البته در سال ۱۹۹۵ این نوع تراکنش‌ها بسیار کم صورت می‌گرفتند.

• پیاده‌سازی‌های امنیت سه‌بعدی هیچ زمان موردپذیرش عمومی قرار نگرفتند.
• پیاده‌سازی‌های امنیت سه‌بعدی که توسط ویزا و مستر کارت و کلید امن (safe key) تأیید شدند.
• مدیریت کلاه‌برداری در آمریکا بسیار پیشرفته‌تر است، زیرا مشتریان اصطکاک کمتری تحمل می‌کنند.

اولویت اول زنجیره پرداخت در آمریکا همیشه این بوده که اصطکاک مشتری را کاهش دهد و کار را برای آن‌ها ساده کند. درحالی‌که بانک‌های آمریکایی در مدیریت کلاه‌برداری از عطف به ما سبق استفاده می‌کنند بانک‌های اروپایی از مکانیسم‌های پیشگیری‌کننده مانند احراز هویت دومرحله‌ای استفاده می‌کنند و همین تمایل آمریکا را به استفاده از EMV کم می‌کند.

 

کیف پول الکترونیکی و پرداخت‌های موبایل با EMV پلاستیکی تصادم دارند.

فارس‌تر انتظار دارد EMV غیر لمسی پلاستیکی و پرداخت موبایلی غیر لمسی (یک کارت مجازی روی المان امن NFC) و کیف‌های پول الکترونیکی (اپل‌پی و کیف پول گوگل) به‌شدت در رقابت با EMV پلاستیکی chip and signature و EMV plastic chip and PIN در بازار پرداخت آمریکا باشند. دلایل آن به شرح زیر است:

 

نفوذ گوشی‌های هوشمند در آمریکا بسیار بالاست.

نزدیک به ۷۲ درصد گوشی‌ها هوشمند هستند که این بازار بزرگی است و فرصت ارتقای امنیتی خوبی برای تمام بازیگران زنجیره پرداخت به شمار می‌رود تا به‌سوی EMV پلاستیکی حرکت کنند. اتخاذ NFC در گوشی‌های هوشمند به‌سرعت با گوشی‌های آی‌فون ۶ و گلکسی اس ۵ و دیگر گوشی‌های مشهور در حال گسترش است.

 

هزینه شخصی‌سازی کارت‌های بر اساس گوشی از پلاستیکی‌ها کمتر است.

فارس‌تر انتظار دارد که یکی از کارت‌های شرکت‌های American express mastercard visa روی یک المان امن در محیط قابل‌اعتماد از گوشی موبایل قرار گیرد. در این سناریو مشتری می‌تواند از چیپ NFC تعبیه‌شده روی کارت برای پرداخت غیر لمسی استفاده کند و این هزینه صادرکننده‌ها را برای شخصی‌سازی و فرستادن کارت‌ها به دارنده کارت‌ها کاهش می‌دهد.

 

امنیت بالای گوشی‌های هوشمند و احراز هویت آن‌ها امنیت پرداخت را بالا می‌برد.

یکی از کاستی‌های سیستم‌های کارت پلاستیکی این است که احراز هویت دارنده کارت بدون حضور کارت و با حضور کارت بسیار ضعیف است (رمز چهار تا هشت رقمی هم برای به خاطر سپاری ساده است و هم برای استراق سمع) و پایانه‌های پرداخت می‌توانند درخواست در نظر نگرفتن آن را بدهند.

گوشی‌ها حسگر خواندن اثرانگشت دوربین و میکروفن برای پارامترهای بیومتریک هم با حضور کارت و هم بدون حضور کارت دارند. GPS می‌تواند محدوده جغرافیایی برای دارنده کارت‌ها در زمان پرداخت ایجاد کند.

 

مدیریت تقلب در تراکنش‌های موبایلی قابل‌اعتمادتر و دقیق‌تر است.

پرداخت‌های بر اساس موبایل اطلاعات بیشتری همچون آی‌پی، آدری، مکان و داده‌های سنسور تولید می‌کنند و مدیریت تقلب می‌تواند از این داده‌ها استفاده کند تا تصمیمات آنی بهتری برای استفاده از کارت پرداخت بگیرد.

گوشی‌ها می‌توانند برنامه‌هایی چون پی‌پل را اجرا کنند که توانایی مدیریت تقلب EFM را از تأمین‌کنندگانی چون ACI و FICO و SAS افزایش می‌دهند تا مدیریت پرداخت بدون حضور کارت بدون اصطکاک انجام شود که از کلیدهای اساسی بخش EFM است.

 

اکوسیستم بزرگ کیف پول الکترونیکی و EMV غیر لمسی، استفاده از پایانه‌های غیر لمسی را اجباری می‌کند.

اتخاذ اپل‌پی، کیف گوگل، MCX، CurrentC و کیف پول الکترونیکی پی‌پل بااینکه رقیب یکدیگر هستند، فروشگاه (پذیرنده) ها را مجبور می‌کنند پایانه‌های POS کنونی را ارتقا دهند تا هم غیر لمسی‌ها و هم نوارهای مغناطیسی و هم چیپ پشتیبانی شود. وقتی پایانه‌های POS از کارت‌های غیر لمسی و NFC روی دستگاه‌های موبایل پشتیبانی کنند فارستر پیش‌بینی می‌کند که بسیاری از مشتریان آمریکایی از نوارهای مغناطیسی به پرداخت‌های غیر لمسی کوچ کنند.

در پرداخت‌های موبایلی توکن کردن بسیار ساده و آماده است. ذخیره شدن شماره‌حساب مهم‌ترین مسئله در بسیاری از رخنه‌های اطلاعاتی مثل مورد سونی و شرکت Mandarin Oriental به شمار می‌رود.

درحالی‌که Current C، پرداخت اپل و کیف الکترونیکی گوگل اطلاعات را به‌صورت توکن‌شده در اینترنت منتقل می‌کنند، در مورد EMV این مورد تازه در حال ظهور است و با این سیستم‌ها فروشگاه (پذیرنده) هم نیازی به ذخیره شماره کارت ندارد و در هزینه برای PCI-DSS صرفه‌جویی می‌شود؛ ولی متخصصان امنیت و ریسک باید توجه داشته باشند که فروشگاه (پذیرنده) می‌تواند اطلاعات PII مشتری را ذخیره کند و توکن را به آن بچسباند و اطلاعات حساس مشتری را در اختیار داشته باشد.