آسمان زرد کم عمق / مهاجرت به EMV

ماهنامه عصر تراکنش /  EMV یکی از مهم‌ترین روندهایی است که در سال ۱۳۹۷ باید آن را دنبال کنیم. در نشستی با حضور مهدی نظری، معاون توسعه محصول توسن، داود محمدبیگی، مدیر اداره نظام‌های پرداخت بانک مرکزی، علی سیفی، مدیر سیستم‌های کارت شرکت خدمات انفورماتیک و نوش‌آفرین مومن واقفی، مدیر ریسک و امنیت اطلاعات شرکت خدمات انفورماتیک این موضوع بررسی شد که بانک مرکزی برای EMV چه برنامه‌هایی در سر دارد.

همه عزم خود را جزم کرده‌اند تا تقلب در سیستم بانکی به حداقل برسد، ایران و غیر ایران هم ندارد؛ برای کشورهایی مانند مکزیک، برزیل و آمریکا که چیزی حدود ۵۰ درصد از کل حجم تقلب در دنیا را دارند، این مساله قطعا مهم است. در این میان زمزمه‌های یک مهاجرت، چند سالی است که به گوش می‌رسد؛ مهاجرت به EMV!

شاید بسیاری بدانند برای گسترش و شناساندن مزایای کارت‌های هوشمند در موسسات مالی و بانک‌ها، سه شرکت پیشرو ویزا و مسترکارت و یوروپی (که سال ۲۰۰۲ با مسترکارت اغام شد) اقدام به تدوین مجموعه مشخصاتی برای سهولت و یکسان‌سازی نحوه استفاده از کارت‌های هوشمند کردند که این مجموعه مشخصات تحت عنوان EMV برگرفته از حروف اول نام این سه شرکت شناخته شد. بعدها برای حمایت و گسترش این مجموعه مشخصات توسط این سه شرکت، موسسه‌ای به نام EMVCo ایجاد شد که به‌طور مرتب مجموعه مشخصات را بازنگری و اصلاح می‌کند و قابلیت‌های جدیدی به آن می‌افزاید.

یکی از مهم‌ترین تاثیراتی که این موسسه بر صنعت پرداخت گذاشت، متمایل ساختن آن به سوی کارت هوشمند بود. مزیت کارت‌های هوشمند نسبت به کارت‌های مغناطیسی این است که علاوه بر تضمین ایمنی در انجام تراکنش‌ها، امکان نصب برنامه‌های کاربردی مختلف درون‌تراشه روی کارت فراهم می‌شود که با این اقدام، امکانات جدیدی به کارت بانکی افزوده می‌شود. به‌عنوان ‌مثال، امکان استفاده از کارت بانکی در تراکنش‌های آفلاین فراهم می‌شود، در حالی ‌که کارت‌های مغناطیسی فقط برای تراکنش‌های آنلاین قابل استفاده هستند.

[mks_pullquote align=”left” width=”600″ size=”18″ bg_color=”#444444″ txt_color=”#ffffff”]

EMVCo کجاست؟

این نهاد، پذیرش معاملات پرداخت امن را در سراسر جهان تسهیل می‌کند. EMVCo توسط چندین بانک، بازرگانان، پردازنده‌ها، فروشندگان و سایر سهامداران این صنعت پشتیبانی می‌شود.

[/mks_pullquote]

 

ما کجا هستیم؟

چرا ما باید به این مهاجرت تن بدهیم؟ شاید در ایران مساله تقلب در سیستم بانکی، آنطور که باید مطرح نشده است و دغدغه پرداختن به EMV بیش از اینکه مربوط به مبحث تقلب باشد، به تراکنش‌های آفلاین و فراهم شدن این امکان با استفاده از کارت‌های هوشمند بازمی‌گردد. بد نیست اگر به نخستین زمزمه‌های این مهاجرت در کشورمان نگاهی بیندازیم.

بانک مرکزی ایران برای مهاجرت از کارت‌های مغناطیسی به کارت‌های هوشمند، سال 1383 دست‌به‌کار شد. بانک ملت در این مسیر همسو شد، اما راه به جایی نبرد؛ چراکه هزینه صدور این کارت‌ها نسبت به کارت مغناطیسی بیشتر می‌شد. از طرفی تعداد کارت‌های صادرشده بانک‌ها توسعه یافته بود و همه بانک‌ها در این مسیر همراه نبودند. بنابراین قضیه مسکوت ماند تا اینکه در سال ۱۳۸۷ باز هم خود بانک مرکزی دست‌به‌کار شد و قوانینی کلی در حوزه کیف پول الکترونیکی تدوین کرد؛ هرچند توجه چندانی به آن نشد. صحبت از اتصال کارت‌های هوشمند سوخت به شبکه بانکی به میان آمد، اما در عمل تجربه موفقی از آب درنیامد. پروژه کیف پول الکترونیکی روی کارت هوشمند سوخت هم نتوانست پیشرانی در این حوزه باشد.

اگرچه از آن زمان تاکنون بانک مرکزی موضع خود مبنی بر الزام گذار به کارت‌های هوشمند EMV را حفظ کرده، اما هنوز برنامه دقیقی برای اجرایی کردن آن پیش‌بینی نشده است. از سوی دیگر الزام‌های این تغییر رویه، تک‌سویه نیست و فقط به داخل کشور محدود نمی‌شود.

به گفته داود محمدبیگی مدیر اداره نظام‌های پرداخت بانک مرکزی؛ «با سه، چهار کشور وارد مذاکره شدیم که دو نکته خیلی مهم بود. اینکه می‌گفتیم در کشورمان ماهانه 280 هزار میلیارد تومان تراکنش انجام می‌دهیم که 140 هزار میلیارد تومان برای تراکنش‌های خرید است. این یعنی مردم به این نظام پرداختی اعتماد دارند، ولی وقتی درباره مقررات و استانداردها صحبت می‌کردیم، کشور ما نقطه‌ضعف داشت و همین باعث می‌شد که قدرت چانه‌زنی ما در مذاکرات کم شود. عدم انطباق با استانداردها موجب کاهش قدرت چانه‌زنی در روابط و همکاری‌های بین‌المللی می‌شود. همکاری ما با کشورهای خارجی به بلوغ شبکه بانکی داخلی؛ به‌ویژه در شبکه پرداخت می‌انجامد.»

برای آگاهی از روندها درباره تغییر رویه صنعت بانکداری را می‌بتوانیم در پنلی که با حضور متخصصان این حوزه، در هفتمین همایش بانکداری الکترونیک و نظام‌های پرداخت برگزار شد، بررسی کنیم. در این پنل بیش از اینکه ابعاد فنی EMV مورد بررسی قرار گیرد، سیاست‌گذاری‌ آن و راهی که باید برای رسیدن به آن بپیماییم، ترسیم شد؛ اینکه این مهاجرت برای ما چه هزینه‌ای دارد و بانک مرکزی برای آن چه برنامه‌ای در نظر گرفته است؟

در این نشست مهدی نظری، معاون توسعه محصول توسن؛ داود محمدبیگی، مدیر اداره نظام‌های پرداخت بانک مرکزی و علی سیفی، مدیر سیستم‌های کارت شرکت خدمات انفورماتیک حضور داشتند و نوش‌آفرین مومن واقفی، مدیر ریسک و امنیت اطلاعات شرکت خدمات انفورماتیک مدیر پنل بود.

[mks_pullquote align=”left” width=”600″ size=”18″ bg_color=”#444444″ txt_color=”#ffffff”]

استاندارد PCI DSS چیست؟

این استاندارد علاوه‌بر EMV، یکی از استانداردهای بین‌المللی در زمینه پرداخت است. این استاندارد، در زمینه امنیت اطلاعات است که هر کسب‌وکاری با هر حد و اندازه، برای استفاده از کارت‌های پرداخت و همچنین ذخیره‌سازی، پردازش یا ارسال اطلاعات صاحب کارت، باید آن را دریافت کند.

[/mks_pullquote]

 

تدوین برنامه‌ای مدون و با ضمانت اجرایی

نخستین سوال در این پنل، ناظر بر سیاست‌گذاری بانک مرکزی بود؛ اینکه آیا قرار است برنامه‌ای مدون و با ضمانت اجرایی تدوین شود یا خیر؟ داود محمدبیگی، مدیر اداره نظام‌های پرداخت بانک مرکزی، در پاسخ به این پرسش گفت: «در سال ۱۳۸۳ الزام مهاجرت به EMV از سوی بانک مرکزی مطرح شد، اما نیاز بازار نادیده انگاشته شد. انگیزه‌های نظام بانکی برای سرمایه‌گذاری در این چارچوب با دهه‌های ۷۰ و ۸۰ متفاوت است. آن زمان تنها بحث تقلب مطرح بود، اما اکنون این‌طور نیست؛ چراکه رفع تقلب‌ها نیاز به آموزش دارد. پیش‌ران‌های اصلی و شرایط پرداخت ما عوض شده و باید برای آن برنامه‌ریزی کنیم.»

او همچنین تصریح کرد: «بانک‌ها به‌شدت در این حوزه ملزم به نقش‌آفرینی فعال هستند؛ چراکه سهم عمده این کار سمت بانک‌هاست. آنها باید در این زمینه سرمایه‌گذاری کرده و نیروهای خود را آموزش دهند. به هر حال پیش‌ران‌های ما، به‌خصوص در حوزه موبایل، دچار آشفتگی است. کشور نیاز دارد که با توجه به نیازهای جامعه در این حوزه، الگوهای بومی‌شده را ارائه دهد تا بانک‌ها و کسب‌وکارهای فین‌تک‌ برای توسعه محصولات خود در این زمینه اقدام کنند.»

یکی از دلایلی که باعث شد بانک‌ها از همان دهه 80 به‌سراغ کارت‌های هوشمند و استاندارد EMV نروند، بحث هزینه‌ بود؛ موضوعی که به سیاست‌گذاری در این حوزه برمی‌گردد و در پنل تخصصی همایش به آن پرداخته شد. در این‌باره مهدی نظری، معاون توسعه محصول توسن گفت: «وقتی درباره مهاجرت به EMV صحبت می‌کنیم، در کوتاه‌مدت نمی‌توانیم این کار را انجام دهیم؛ بلکه می‌توانیم به‌صورت تدریجی این کار را جلو ببریم. ما نیاز نداریم کلیه ابزارهای کارتی از حالت مغناطیسی خارج شوند. هزینه باید بر اساس تغییرات محاسبه شود که انجام می‌دهیم. ما یکسری تغییرات داریم که شرکت‌های PSP باید برای آن برنامه‌ریزی کنند. سوئیچ پذیرنده به لحاظ اطلاعاتی تغییراتی لازم دارد، ما روی پرداخت‌های آفلاین هم باید کار کنیم. مانند هر پروژه می‌توانیم این هزینه‌ها را تدریجی و به‌مرور مدیریت کنیم.»

علی سیفی، مدیر سیستم‌های کارت شرکت خدمات انفورماتیک، پیمودن این راه را برای ایران خیلی هم کوتاه نمی‌داند. او معتقد است: «برای هر کاری باید برنامه‌ای وجود داشته باشد. پیاده‌سازیEMV هم چند سالی زمان می‌برد. اگر امسال این مهاجرت در کشور ما آغاز شود، دو تا سه سال این کار زمان می‌برد. اصل این بازی قوانین آن است.»

در رابطه با قوانین و فعالیت‌های بانک مرکزی در حوزه EMV، تازه‌ترین مطلب، دیگر به سال 1387 مربوط نمی‌شود؛ بلکه قرار است تا نیمه اول سال آینده ضوابط لازم برای این حوزه با یکسری استانداردهای منطبق با شرایط بومی کشور تدوین شود. این خبر را مدیر اداره نظام‌های پرداخت بانک مرکزی مطرح می‌کند و می‌گوید: «شرایط هم‌اکنون نسبت به دهه 70 تغییر کرده و مشکلاتی در حوزه پرداخت داریم که قطعا باید به آن توجه کنیم؛ ما هنوز نتوانسته‌ایم نیازهای مشتریان را در پرداخت‌های آفلاین تامین کنیم. سال ۱۳۹۴ حدود یک سال در بانک مرکزی برای این موضوع برنامه‌ریزی شد؛ امیدوارم بتوانیم چارچوب پرداخت خود را با یکسری ملاحظات ایجاد کنیم.»

[mks_pullquote align=”left” width=”600″ size=”18″ bg_color=”#444444″ txt_color=”#ffffff”]

به چه تراکنش‌هایی Chip and Pin می‌گویند؟

علت نام‌گذاری Chip and Pin برای تراکنش‌هایی که از طریق کارت‌های EMV صورت می‌گیرد، این بوده که به‌منظور تایید هویت صاحب حقیقی کارت، به پین نیاز است. این در واقع یک روش برای ساده‌سازی است؛ چراکه ویژگی‌های EMV روش‌های تایید دارندگان کارت را نیز دربر می‌گیرد.

[/mks_pullquote]

 

مسیر مهاجرت

علاوه‌ بر اعمال سیاست‌های بانک مرکزی، مسیر حرکت و رسیدن به EMV نه کوتاه است و نه ارزان، اما راهی برای گریز از آن نیست. به‌جز مقابله با تقلب در این استاندارد، به EMV نیاز است؛ چراکه پیشران در سرویس‌های نوین است، اما راهی است که بسیاری از کشورها آن را رفته‌اند و ما می‌توانیم از تجربیات آنها استفاده کنیم؛ نه اینکه در انتظار یک مدل بومی باشیم و چرخ را دوباره اختراع کنیم.