راه ساختنی است

به گزارش پایگاه خبری بانکداری الکترونیک، «افزایش استفاده از کارت‌های نقدی و اعتباری چالش‌هایی جدی برای هر نوع کسب‌وکاری فراهم می‌آورد که با مخاطرات پردازش آنلاین پرداخت‌های کارت اعتباری روبه‌رو هستند. کسب‌وکارهایی که با پول نقد کار می‌کنند، طبیعتا با خطر سرقت هویت یا هک شدن مواجه نیستند، اما کسب‌وکارهای حوزه کارت اعتباری و پرداخت تقریبا برای تمام انواع تراکنش‌های خود با مخاطرات امنیتی روبه‌رو هستند.»

اگر بنا دارید که وارد حوزه پرداخت شوید و کسب‌وکاری در این حوزه راه بیندازید لازم است به آنچه در پی می‌آید توجه لازم را بکنید. هم‌اکنون این حوزه از فعالیت به شدت در سطح جهان در حال رونق و گسترش‌یابی است، سیر مداوم سازمان‌های تجاری، غیرانتفاعی و دولتی که به صورت آنلاین اقدام به فروش کالاها و خدمات خود می‌کنند، بر رونق و رواج این بازار دم به دم می‌افزاید. بنابراین، فضای کافی برای سودآوری و رونق نه‌تنها برای شرکت‌های قدیمی‌تر حوزه پرداخت بلکه برای آغازگران و مبتدیان این راه هم وجود دارد؛ به ویژه این قضیه درباره بازارهای نوظهور صدق می‌کند که پای شرکت‌های معروف پرداخت چندان به آنها باز نشده است.
پس درباره دلایل و انگیزه‌های شروع به کار در این حوزه چندان جای بحثی نمی‌ماند، اما موضوع مهم و حیاتی این است که از کجا آغاز کنیم، و چگونه کار را به پیش ببریم. برخی شرکت‌های مشاور در این حوزه وجود دارند که راهنمایی‌های بسیار خوبی در این زمینه فراهم می‌آورند و در اینجا می‌خواهیم به توصیه‌های شرکت مشاور ایکامچارج (eComCharge) بپردازیم که دستکم 13 سال در زمینه مدیریت و ایجاد سیستم‌ها و خدمات پرداخت تجربه دارد و گام‌های اساسی برای تاسیس یک شرکت پرداخت را به خوبی آموزش می‌دهد و معمولا حاوی پاسخ‌هایی است برای سوالاتی که همیشه مبتدیان این حوزه با آن روبه‌رو هستند.

با کدام وسایل پرداخت می‌بایست کار کرد؟ (بحث یکپارچه‌سازی)
در دنیا ابزارهای بسیار زیاد و متنوعی برای پرداخت اینترنتی هست. پول الکترونیکی، پول رمزنگار، ووچر (کوپن)های پیش پرداخت، پرداخت‌های اس‌ام‌اسی، انتقالات بانکی، چک‌های الکترونیکی، و البته کارت‌های پرداخت بانکی مشهورترین ابزارهای پرداختی هستند که با نرخ فعالیت معینی برای انتقال پول از خریدار اینترنتی به فروشنده اینترنتی مورد استفاده قرار می‌گیرند.
یک ارائه‌دهنده خدمات پرداخت که به پذیرندگان آنلاین کمک می‌کند تا پرداخت‌ها را از طریق اینترنت قبول کنند، یا برای هر تراکنش مقدار ثابتی را به عنوان هزینه می‌گیرد یا درصد مشخصی را نسبت به ارزش تراکنش‌ها یا هر دو حالت. بنابراین، هر اندازه که تراکنش بیشتری انجام شود، پول بیشتری هم عایدش می‌شود.
ممکن است یک ارائه‌دهنده مبتدی خدمات پرداخت (یک شرکت پرداخت) بخواهد به مشتریان بالقوه‌اش پرداخت‌های آنلاینی را ارائه کند که با ابزارهای پراخت بسیار رایج در آن کشور انجام می‌گیرند. دامنه گسترش و شمول هر ابزار پرداخت از منطقه به منطقه و از کشور به کشور متفاوت است. شرکت‌های پیشرو در سطح دنیا بعضا به یک اندازه مطرح و قابل دسترسی هستند و ابزارهای پرداخت محلی بعد از آنها در رتبه دوم قرار دارند و حتی برخی اوقات این محلی‌ها بنا به سلیقه و ترجیح خریداران و فروشندگان یک کشور خاص، دارای جایگاه اول در حوزه پرداخت آن منطقه هستند.

نمودار1) تراکنش‌های خرید با کارت‌های جهانی در 2016 میلادی

 
بنا به یک گزارش در تاریخ ماه مه 2017، کارت‌های شرکت‌های پرداخت معروف مثل ویزا، یونیون پی، مسترکارت، جی.سی.بی، دینرزکلاب/دیسکاور، و امریکن اکسپرس حدود 257.17 میلیارد تراکنش را برای پذیرندگان در سال 2016 به ثبت رساندند. این تراکنش‌ها شامل همه محصولات (کارت‌های) تجاری و مصرفی اعتباری، نقدی و پیش‌پرداخت می‌شود. ارقام کارت‌های نقدی که در نمودار آمده شامل کارت‌های پیش‌پرداخت هم می‌شود. ویزا کارت شامل Visa Inc و Visa Europe می‌شود که در سال 2016 میلادی تبدیل به یک شرکت شدند. کارت‌های اعتباری بانکی به‌ویژه ویزا و مسترکارت پیشران بقیه انواع دیگر رقبا در سراسر دنیا هستند.
یک گزارش تحت عنوان ایکامرس ویکی (EcommerceWiki) بر پایه چندین منبع از جمله انتشارات ارائه‌دهندگان خدمات پرداخت، وب‌سایت‌های خبری و انجمن‌های تجارت الکترونیکی خرید، معتبرترین ابزارهای پرداخت اروپا را گردآوری کرده است:

جدول 1) ابزارهای پرداخت اروپایی
 

ترجیح مشتریان برزیلی این است که با بولتو (boleto) پرداخت‌هایشان را انجام دهند، اکثریت مشتریان ترک با کارت‌های اعتباری پرداخت‌هایشان را انجام می‌دهند و اغلب مشتریان بلژیکی با برند پرداخت محلی خود، Bancontact/MisterCash اقدام به پرداخت می‌کنند.
توجه داشته باشید که ترجیحات پرداخت و سهم بازار روش‌های پرداخت ممکن است طی زمان دچار تغییرات اساسی بشود. 
همیشه روش‌ها و راهکارهای جدید پرداخت آنلاین ابداع می‌شود که می‌تواند به سرعت سهم بازار و ترجیحات پرداخت را به سود خود تصاحب کنند و این سهم‌ها حتی در مورد یک کشور معین می‌توانند برای هر فروشنده و صنعت خاصی متفاوت باشند.
بنابراین، در کل می‌توان گفت که اگر یک ارائه‌کننده خدمات پرداخت بخواهد کارش را با ثبات قدم آغاز کند، بهتر است که از همکاری با کارت‌های پرداخت بانکی ویزا و مسترکارت شروع کند به اضافه یک یا دو روش پرداخت محلی که بیش از بقیه مطرح باشند.
ساده‌ترین راه برای تاسیس یک شرکت پرداخت این است که یک شرکت فروش مستقل (ISO) بنیان بگذارید تا بتوانید پذیرندگان را با خود همراه کنید و پرداخت‌های اعتباری و نقدی آنان را به سوی خود جهت دهی کنید. با این حال، لازم است در نظر داشته باشید که صنعت پرداخت بسیار رقابتی است و به‌زودی باید با رقبای مختلف هم سروکله بزنید که در پی کسب سهمی بیشتر از بازار ممکن است دردسرهایی را دیر یا زود برایتان ایجاد بکنند. شرکت شما حین گسترش حوزه فعالیت خود درصدی از حجم کارت‌های اعتباری، نرخی ثابت برای تراکنش‌های پین‌دار کارت‌های اعتباری، و هر آن چیز به دست آوردنی دیگر در صنعت پراخت را به خود اختصاص خواهد داد.
لزوم انجام پژوهش‌های بازاری: تعداد کسب‌وکارهای خرده‌فروشی در منطقه موردنظرتان را مشخص کنید. درباره نوع امکاناتی که رقبا ارائه می‌کنند و مقدار هزینه‌هایی که می‌گیرند، کسب اطلاع کنید. یک راه مناسب برای فهمیدن آنکه کسب‌وکارهای محلی از چه خدماتی استفاده می‌کنند و همزمان دسترسی به اطلاعات تماس آنها این است که یک پیمایش آزاد انجام دهید. با استفاده از مقیاس پنج امتیازی از هر پذیرنده بپرسید که از چه وسیله پرداختی استفاده می‌کند و تا چه میزان از خدمات ارائه شده راضی است. سپس آدرس ایمیل آنها را بگیرید تا بعدا نتایج پژوهش را برایشان ارسال کنید.
یک طرح کسب‌وکاری بریزید: نحوه عملیاتی کردن کسب‌وکارتان را برنامه‌ریزی کنید، ارزیابی کنید که چه خدماتی ارائه خواهید داد و چگونه هزینه آنها را از مشتریان دریافت خواهید کرد. اندازه نیروی فروش‌تان را مشخص کنید و نحوه پرداختی به آنها را نیز روشن کنید. مقدار سرمایه مورد نیاز برای شروع و عملیاتی کردن ابتدایی شرکت‌تان و نحوه کسب چنان سرمایه‌ای را نیز مشخص کنید و سرانجام نحوه بازاریابی کسب‌وکارتان را نیز برنامه‌ریزی کنید.
با یک شریک بانکی وارد توافق شوید: باید یک بانک ویزا/ مسترکارت داشته باشید تا بتوانید تراکنش‌ها را متعهد شوید و جریان بین‌بانکی را نیز به انجام رسانید. می‌توانید با گرفتن ارتباط با بانک‌های منطقه‌تان یا بانکی که به بازار ترجیحی‌تان خدمات‌رسانی مستقیم می‌کند به این هدف نائل شوید؛ با مدیریت بانک دیدار کنید و یک برنامه کسب‌وکاری را به آنها نشان دهید که برای آنها روشن می‌کند که چگونه خدمات پرداخت پذیرنده در برقراری ارتباط مستحکم با جامعه کسب‌وکاران کوچک به یاری آنها می‌آید.
با یک شرکت لیزینگ شریک شوید: یک شرکت لیزینگ با کمک به صاحبان کسب‌وکارهای کوچک که پول نقدشان اندک است از طریق تامین مالی پایانه‌های پردازش کارت اعتباری، تجهیزات و دستگاه‌های خودپراز آنها، باعث راه انداختن کسب‌وکارهای تازه می‌شود. می‌توانید به مشتریان‌تان یک گزینه برای انتخاب بدهید: ماهانه به مقدار 40 دلار یک پایانه را لیزینگ کنید، یا سرجمع آن را 1150 دلار یا هر مقدار که می‌ارزد، بخرید. اغلب مشتریان آن را لیزینگ خواهند کرد. سپس شرکت لیزینگ در ازای خرید آن پایانه برای شما یک چک می‌فرستد منهای نرخ لیزینگ.
یک منبع عمده‌فروشی تجهیزات بیابید: برای کسب سود از تجهیزات، یا رقابت موفقیت‌آمیز با دیگر ارائه‌کنندگان، باید با یک یا چند تولیدکننده سامانه‌های تراکنشی توافق کنید تا کار توزیع را انجام دهد. برخی شرکت‌های مشهور در این زمینه عبارتند از VeriFone، Hypercom و Diebold.
نیروی فروش استخدام کنید: این افراد مسئول ارتباط با صاحبان کسب‌وکارها و دست یافتن به اطلاعات شغلی آنهاست. به اغلب آنها کارمزد تعلق می‌گیرد یا به طور ماهانه حقوق می‌گیرند به اضافه مبلغی به عنوان کارمزد، و درواقع به عنوان پیمان کاران مستقل فعالیت می‌کنند. نتیجه کار نیروی فروش مستقیما به افزایش حقوق مدیر منتهی می‌شود. باید آنقدر از نظر حقوق و دستمزد به نیروی فروش‌تان برسید که به سراغ کار در شرکت‌های دیگر نروند، البته آنقدر هم زیاده‌روی هم نباید بکنید که سودآوری شرکت را به خطر اندازید.
با امریکن اکسپرس ارتباط بگیرید: این شرکت از ویزا/ مسترکارت کاملا متمایز است و نرخ تخفیفی که به تراکنش‌های پذیرنده‌ها اختصاص می‌دهد بالاتر است. با این حال، یک پایه مشتری ثروتمند و وفادار دارد که نسبت به دیگر دارندگان کارت‌ها، خرج بیشتری برای تراکنش‌ها می‌کنند.

رقابت سایر بازیگران تجارت الکترونیک
PSP‌ها یکی از مهم‌‌ترین سرویس‌های موردنیاز فروشگاه‌‌های اینترنتی یعنی ارسال پول به‌ صورت آنلاین و آفلاین را برای آن‌‌ها فراهم می‌‌کنند. اگرچه این یکی از کلیدی‌‌ترین سرویس‌‌هاست اما تنها سرویس موردنیاز در زنجیره تامین نیست. فروشگاه‌‌های اینترنتی باید یک پورتال آنلاین داشته باشند تا مشتریان بتوانند سفارشات خرید خود را ثبت کنند، محصولات را تحویل دهند، صورتحساب را ارسال کنند و تراکنش‌ها را به سیستم کنترل مالی خود گزارش دهند. این زنجیره زمانی پیچیده‌‌تر می‌شود که این فروشگاه‌ها وارد بازار جهانی و برون‌مرزی می‌شوند. در این مواقع سایر بازیگران تجارت الکترونیک وارد حوزه‌های پرداخت می‌شوند و پرداخت را به سایر پیشنهادات خود می‌افزایند.

افزایش پیچیدگی در پردازش پرداخت‌‌ها
همچنان که رفتار مشتریان در حال تغییر و پیچیده‌ شدن است، انواع کسب‌وکار‌ها نیازمند دریافت پیشنهادات بهینه‌‌سازی برای راهکارهای پرداخت هستند. این موضوع به‌ طور جدی بر پیچیدگی پردازش پرداخت‌‌‌ها و فرآیند‌ها می‌‌افزاید. همچنین بخش دیگری از این پیچیدگی به دلیل اعمال فشار موسسات قانونگذار برای سازگاری با استانداردهای صنعت پرداخت، اعمال فشار برای پرداخت مالیات و مدیریت ریسک و کلاهبرداری است.

بیشینه‌سازی امنیت و کمینه‌سازی مشکلات در پرداخت آنلاین کارت‌های اعتباری
کسب‌وکارهای قرن بیست‌ویکم به نحوی فزاینده خود را در دنیایی می‌یابند که پول نقد پیوسته از رونق می‌افتد. بنابر اعلام فدرال رزرو، استفاده از کارت‌های اعتباری از ابتدای قرن بیست‌ویکم به مقدار 10 میلیارد تراکنش افزایش یافته است. افزایش استفاده از کارت‌های نقدی و اعتباری چالش‌هایی جدی برای هر نوع کسب‌وکاری فراهم می‌آورد که با مخاطرات پردازش آنلاین پرداخت‌های کارت اعتباری روبه‌رو هستند. کسب‌وکارهایی که با پول نقد کار می‌کنند، طبیعتا با خطر سرقت هویت یا هک شدن مواجه نیستند، اما کسب‌وکارهای حوزه کارت اعتباری و پرداخت تقریبا برای تمام انواع تراکنش‌های خود با مخاطرات امنیتی روبه‌رو هستند. در اینجا می‌خواهیم به بزرگ‌ترین مخاطرات آنها در این زمینه بپردازیم.

سرقت هویت
یکی از بزرگ‌ترین مشکلات برای هر نوعی از خرید آنلاین مساله امنیت خط ارتباطی (اتصال) است. مجله پی‌سی ورلد (PC World) به تمام کاربران وب خاطرنشان می‌کند که باید ارتباط بی سیم (وایرلس) خود را ایمن کنند، در غیر این صورت یک کاربر ثالث می‌تواند داده‌های کارت اعتباری را بخواند و دانلود کند. پروتکل انتقال فایل (FTP) به عنوان متن ساده نمایش داده می‌شود و بنابراین بسیار حیاتی است که با استفاده از نرم‌افزار رمزنگار مانع خواندن اطلاعات کارت اعتباری شد. نباید هزینه نشت داده‌ها را دستکم گرفت. به گزارش سمانتک، علاوه بر فشار منفی‌ای که بر شرکت‌هایی می‌رود که در معرض سرقت هویت قرار گرفته‌اند، میانگین هزینه‌های مستقیم وارده سر به 5 میلیون دلار می‌زند. شرکت پردازشگر پرداخت شما باید چنان از امنیت داده‌های آنلاین کارتی حفاظت کند که مخاطرات نشت اطلاعات را کمینه‌سازی کند، اطلاعات مشتریان را همچنان خصوصی نگه دارد، و تراکنش‌های کسب‌وکاری را ایمن کند.

هزینه‌های انطباق
انجام آنلاین پرداخت با کارت اعتباری نیازمند انطباق با توصیه‌های حقوقی است. قوانین ملی و ایالتی انطباق برای تمامی شرکت‌ها معیارهای صنعتی‌ای را ایجاد کرده‌اند که اطلاعات کارت اعتباری را ذخیره، پردازش و انتقال می‌دهند. از جمله بزرگ‌ترین این معیارهای انطباق PCI DSS است. هزینه‌های انطابق می‌تواند بر پایه اندازه و دامنه کسب‌وکار متفاوت باشد. گواهینامه‌های فناوری بسته به اندازه کسب‌وکار دارای طیفی از هزینه‌ها هستند، ولی همه آنها نیازمند اسکن‌های فصلی هستند که سالانه 150 تا 2500 دلار برای هر آدرس IP در نوسان‌اند. بنا به همان گزارش مربوط به هزینه‌ها، شرکتی که 100 هزار کارت اعتباری دارد، برای هر کارت 6 دلار هزینه انطباق پرداخت می‌کند که خود نمایانگر سرمایه‌گذاری عمده‌ای است. به‌ویژه برای کسب‌وکارهای کوچکتر آنلاین بسیار مهم است که ارائه‌کننده پرداخت برای فهمیدن و انطباق با استانداردهای PC چه چیزی ارائه می‌کند.

تراکنش و حجم
هرچه پرداخت‌های کارت اعتباری بیشتر شود، تنگناهای بیشتری هم ظاهر می‌شود. به گزارش شیکاگوتریبون، پردازش کارت‌های تراشه‌دار کاهش یافت و این امر منجر به پیدایش مشتریان ناامیدی شده است که ممکن است حتی ندانند که کارت‌هایشان دارای چنان تراشه‌هایی است. موانع فروش موفقیت آنلاین را هم به خطر می‌اندازند؛ 25 درصد از کسانی که به بخش‌های فروش آنلاین سر زده‌اند می‌گویند که برای اجتناب از مشکلات ثبت‌نام ترجیح داده‌اند به عنوان مهمان در وب‌سایت حاضر شوند، و 50 درصد از آنان نیز گفته‌اند پس از یک بار بازدید، هرگز به وب‌سایت برنگشته‌اند.

مخاطرات امنیتی و روش‌های جلوگیری از آن 
هدف از سازوکارهای امنیتی مورد استفاده در سامانه‌های پرداخت الکترونیکی، پایین آوردن امکان تقلب و انجام تراکنش بدون اطلاع دارنده کارت و عدم افشای اطلاعات وی است. تقلب در صورتی به وقوع می‌پیوندد که پین دارنده کارت افشاء شود و همچنین اشخاص دیگر بتوانند کارت وی را کپی کنند. مشخص است که برای افشای پین مشتری ابتدا باید به PIN Block دسترسی پیدا کرد و سپس با استفاده از کلید مورد استفاده جهت ایجاد آن، پین دارنده کارت را از آن استخراج کرد. برای جلوگیری از این اتفاق می‌توان راهکارهای ذیل را در نظر گرفت: 

1- در هیچ یک از مراحل دریافت و ارسال پیغام، نباید PIN Block در سوئیچ (بانک اطلاعاتی و فایل‌های log) ذخیره شود. 

2- برای جلوگیری از دسترسی به کلید مورد استفاده برای تولی PIN Block، در مواردی که کلیدها باید در پایانه یا سوئیچ Inject شود استفاده از ابزاری مثل کارت هوشمند یا سازوکاری برای جلوگیری از دسترسی شخص واردکننده کلید به تمامی اطلاعات پیشنهاد می‌شود.
3- استفاده از سازوکار توزیع کلید پویا و تغییر رمزهای عملیاتی در بازه‌های زمانی مناسب. 
4-  استفاده از ابزار رمزنگاری سخت‌افزاری برای جلوگیری از دسترسی برنامه‌نویس به کلیدها یا پین از رمز خارج شده در مرحله PIN Translation 

برای جلوگیری از کپی غیرمجاز کارت نیز بهترین کار ممکن عدم ثبت کامل آن در سوئیچ (بانک اطلاعاتی و فایل‌های log  ذخیره) است. مثلا می‌توان تنها بخشی از شماره کارت شامل ۶ رقم سمت چپ (BIN) و ۴ رقم سمت راست را ذخیره کرد یا اینکه در صورت نیاز سوئیچ بانک به آن در زمان ارسال تراکنش Reversal، تمامی اطلاعات Track ۲ را به صورت رمز شده در سوئیچ ذخیره کرد. 

لازم به ذکر است بسیاری از راهکارهای ارائه شده در استانداردهای امنیتی مطرح در نظر گرفته شده‌اند ولی نکته مهمی که نباید از آن غافل شد رعایت نکات ایمنی در توزیع کلیدها در پایانه‌های فروش و سوئیچ است. 

اگر تمام نکات پیشنهادشده در استانداردها رعایت شود ولی قسمت‌های مختلف کلیدها در اختیار یک نفر قرار گیرند، کلید به صورت یک قسمتی، بدون رمز، و با پست الکترونیکی برای PSP ارسال شود، سازوکار Dynamic Key Exchange مورد استفاده قرار نگیرد و… حتی با استفاده از ابزارHSM امکان افشای اطلاعات به سادگی وجود دارد.

منبع: ماهنامه بانکداری آینده شماره 32 خرداد 97