شبکه پرداخت در فاز اول مهاجرت به EMV

به گزارش پایگاه خبری بانکداری الکترونیک ، علی سیفی در گفت و گو با ماهنامه بانکداری آینده اهداف کلی طرح مهاجرت را افزایش امنیت در پرداخت های کارتی، استفاده از استانداردهای بین المللی، آماده سازی مولفه ها و اجزای سامانه پرداخت برای پذیرش کارت های بین المللی و اتصال به اکسیم های بین المللی و استفاده از ابزارهای نوین در پرداخت ذکر می کند.اما مهاجرت و تحقق اهداف مورد نظر جز با آموزش و برنامه ریزی دقیق میسر نیست.

متن این گفت و گو به شرح زیر می باشد:

* بیش از یک سال از تصویب مهاجرت به EMV می‌گذرد؛ لطفاً به صورت خلاصه اهداف کلی و روند اجرای برنامه‌های مصوب توسط شرکت خدمات را بیان کنید؟

از اهداف کلی این طرح، افزایش امنیت در پرداخت‌های کارتی (با کارت و بدون کارت)، استفاده از استانداردهای بین‌المللی، آماده‌سازی مؤلفه‌ها و اجزای سامانة پرداخت برای پذیرش کارت‌های بین‌المللی و اتصال به اسکیم‌های بین‌المللی و استفاده از ابزارهای نوین در پرداخت است.

برنامه‌ریزی صحیح این طرح با پیچیدگی ذاتی آن از فعالیت‌های بسیار مهم آن محسوب می‌شود. پیش‌نیاز این برنامه‌ریزی و شناخت دقیق ابعاد پروژه، ذی‌نفعان، محدودیت‌ها و امکانات موجود و پتانسیل‌هاست. به دنبال آن نیز برنامه‌ریزی کلان برای هر بخش و اولویت‌بندی فازهای اجرایی میسر شد که از مقدمات طرح است.

* لطفاً گراف‌های اجرایی و عملیاتی را که در مورد نمایش کلی نقشه‌های اجرایی و عملیاتی طرح EMV امکان انتشار دارند ارائه و توضیحات لازم را ارائه کنید؟

گراف‌های اجرایی و عملیاتی کار بسیار حجیم و گسترده هستند که در این مقال نمی‌گنجند، لیکن در جلسات برگزارشده با بانک مرکزی، تصمیمات اتخاذشده برای فاز ابتدایی طرح، تمرکز بر تراکنش پرداخت موبایل مبتنی بر EMV و از طریق دستگاه پایا نۀ فروش POS و به صورت آنلاین است. چرا که با وضع موجود، تمرکز بر بحث موبایل و پذیرندگی، حرکت رو به جلوی پروژه را سریع‌تر می‌کند.

* در حوزة زیرساخت (سوئیچ) چه فعالیت‌هایی صورت گرفته و چه بخشی از کارها هنوز در دست اجراست. در این حوزه طبعاً تأکید بر امنیت است با این پیش‌فرض بیشتر روی فرایندهای ضد تقلب سرمایه‌گذاری شده یا زیرساخت EMV ؟

فرایندهای ضد تقلب در استاندارد EMV پیش‌بینی شده‌اند و این دو جدا از هم نیستند. به ویژه اعتبارسنجی ابزار پرداخت، احراز هویت مشتری و اعتبارسنجی تراکنش، همگی در این استاندارد بیان شده است.

مشخصات این استاندارد که باید مطابق با ویژگی‌های سامانة پرداخت در ایران تعریف شود تدوین شده است. این مشخصات با توجه به برنامه‌ریزی‌ای که در حال انجام است و بنا به فراخور در اختیار همة ذی‌نفعان از جمله بانک‌ها، شرکت‌های ارائه‌دهندة سرویس و تهیه‌کنندگان سخت‌افزار و نرم‌افزار ابزارهای پرداخت از طریق بانک مرکزی قرار خواهد گرفت.

* سرمایه‌گذاری در مورد پیاده‌سازی EMV در گذشته در پنج سال حدود 2 میلیارد دلار ، سالانه 400 میلیون دلار بود. حال به نظر شما این برآورد چقدر به واقعیت نزدیک است؟ دیگر اینکه این هزینه چطور میان ارائه‌دهنده و دریافت‌کنندة خدمت و در قالب چه مراحلی تسهیم خواهد شد و در ضمن هزینه‌های ریالی مترتب چند درصد کل هزینه‌های ارزی خواهد بود؟

در این مورد هیچ‌گونه اطلاعات مالی ندارم و نمی‌توانم در مورد اطلاعات دلار ی که شما به آن اشاره کردید، اظهار نظر کنم. به نظرم مبالغی که شما به آن اشاره کردید دور از واقعیت است. تاکنون در مورد تسهیم مبالغ، نظر نهایی به وجود نیامده است و در حیطة نظر بانک مرکزی خواهد بود.

* با فرض درست بودن عدد 2 میلیون دلار برای پنج سال معادل سالانه 400 میلیون دلار اگر تعداد بانک‌ها و مؤسسات و شرکت‌های پرداخت را جمعاً 50 بنگاه در نظر بگیریم برای هر کدام سالانه هشت میلیون دلار خواهد بود که این رقم با دلار حدود 13 هزار تومانی، حدود 12 میلیارد تومان است؛ اگر 20 درصد هم هزینة پشتیبانی در نظر بگیریم عددی میان 14 تا 15 میلیارد تومان خواهد شد. ارزیابی شما در رابطه با این رقم در ازای ظرفیت‌سازی‌های حوزة امنیت و امکان اتصال به شبکة بین‌المللی چیست؟ به نظر شما چقدر این سرمایه‌گذاری ضرورت و در عین حال توجیه اقتصادی دارد؟

همان‌طور که در پاسخ سؤال قبلی بیان کردم؛ ارقامی که بیان کردید نه تأیید و نه تکذیب می‌کنم. لیکن یادمان باشد منافعی که از ارتقاء امنیت و تطابق با استانداردهای بین‌المللی کسب می‌شود در مقایسه با حجم خسارت‌های ناشی از تقلب و توسعه و گسترش آن باید سنجیده شود. به نظر من و با توجه به سطح نفوذ کارت در جامعة ایرانی و افق پرداخت‌های موبایلی و نیز همگام بودن با استانداردهای روز دنیا، لزوم این سرمایه‌گذاری را (با مبالغ متعارف) کاملاً روشن می‌کند.

البته با برنامه‌ریزی مناسب و اولویت‌بندی کارها و پوشش انواع ابزار پرداخت به صورت فازبندی‌شده، هزینة طرح، قابل کنترل‌تر خواهد بود.

* احتمالاً این سؤال برای جامعة بانکی و پرداخت مطرح است که مدل و حجم سرمایه برای بهسازی دو حوزة خودپرداز و شبکة کارت‌خوان چگونه است؟
در ابتدا باید بگویم در حال حاضر 9 برند خودپرداز و 18 برند POS در کشور وجود دارد و تا پایا ن آذرماه 97 نیز بیش از 55 هزار خودپرداز و بیش از شش میلیون دستگاه POS در کشور وجود داشت. بانک‌ها و شرکت‌های PSP با توجه به تعداد و جمعیت ATMها و POS های خود باید طرح به‌روزرسانی به EMV را ساماندهی کنند. با توجه به سیاست‌های بانک مرکزی تطابق POS ها در اولویت اول قرار دارد.

* همان‌طور که می‌دانید اغلب کلاهبرداری‌ها در حال حاضر در قالب CNP انجام می‌شوند؛ در حالی که در طرح EMV به نظر می‌رسد تأکید بر CP است در این مورد راهکار چیست و اساساً تا چه حد این دیدگاه درست است؟ البته این اولویت را درک می‌کنم که اساس پیاده‌سازی EMV فراهم‌سازی بستر اتصال به شبکۀ بین‌الملل است.

آنچه در مورد کلاهبرداری در قالب CNP بیان کردید درست است. در EMV برای استفاده از کارت فیزیکی و کارت مجازی (موبایل) راهکار ارائه شده است. پرداخت با موبایل با استفاده از بستر نشانه‌گذاری می‌تواند امنیت لازم را در پرداخت CNP فراهم کند که این موضوع در طرح، پیش‌بینی شده است و بانک مرکزی بر آن تأکید دارد.

* در بخش آمادگی بانک‌ها چه گام‌هایی از بُعد آموزش‌های مورد نیاز، تغییر زیرساخت‌های مربوط به کارت، شبکة خودپرداز و کارت‌خوان برداشته شده است یا برداشته خواهد شد؟

در شرایط فعلی اطلاع دقیقی از وضعیت آمادگی بانک‌ها ندارم. قرار است به زودی جلساتی با بانک مرکزی و بانک‌های دیگر آغاز و سطح آمادگی مشخص شود. تصور می‌کنم سطح آمادگی فعلی حدود 30 درصد است؛ بنابراین نیاز به آموزش‌های EMV جدی می‌شود. برنامه‌ریزی آموزشی نیز برای بانک‌ها از سمت بانک مرکزی در نظر گرفته شده است. (گرافی در این مورد ندارم) طبق برنامه‌ریزی انجام‌شده اولویت‌ها به گونه‌ای در نظر گرفته شده است که در ابتدای طرح، تغییرات سمت بانک‌ها حداقل باشد. در این مدل تغییرات و هزینه‌های اولیه بیشتر سمت زیرساخت‌های بانک مرکزی و به صورت متمرکز است.

یادمان باشد از دیدگاه صادرکنندگی بانک، صدور کارت هوشمند، پروسة شخصی‌سازی کارت، کارت‌خوان شعب و خودپرداز مدنظر اما در این فاز مطرح نیست.

لیکن آشنایی بانک‌ها با مشخصات EMV و تغییرات جزئی و مورد نیاز در فرایند انجام تراکنش ضروری است که این امر با انتشار مشخصات فنی و ارائة آموزش در زمان خود انجام خواهد شد.

* در همین راستا شرکت‌های پرداخت نیز باید فرایند آمادگی و انجام مهاجرت را طی کنند در این زمینه چه اقداماتی صورت گرفته است یا باید در آینده صورت بگیرد. برنامة کلی را تشریح کنید؟

طبق برنامه‌ریزی و اولویت‌بندی، پرداخت موبایلی از طریق پایا نة فروش در فاز اول قرار دارد و پایا نه‌های فروش باید در بخش پذیرندگی با این استاندارد سازگار شوند. بر این اساس مشخصات فنی این پروژه انتشار خواهد یافت و آموزش‌ها ارائه خواهند شد. بعد از این مرحله شرکت‌های پرداخت باید سخت‌افزار و سیستم پایا نة فروش خود را مجهز و اپلیکیشن آن را تهیه کنند. ضروری است که این اپلیکیشن قبل از عملیاتی شدن باید به تأیید واحد «صدور تأییدیة بانک مرکزی» برسد.

* لطفاً بگویید در تابستان امسال چه برنامه‌هایی در دستور کار دارید؛ اگر در پاییز و زمستان هم برنامه‌ای دارید بیان کنید؛ همچنین در یک مسیر خطی طی پنج سال چه اقداماتی انجام خواهد شد تا مهاجرت کامل شود؟

ره‌نگاشت طرح مهاجرت توسط بانک مرکزی در حال تدوین نهایی است؛ بنابراین پس از آن نقشۀ کلی به ذی‌نفعان (بانک‌ها، پیمانکاران فنی شرکت‌های PSP و …) اعلام، سپس به صورت تدریجی اجرایی خواهد شد.

* با توجه به شرایط تحریم، موانع پیشرو در پیاده‌سازیEMV چه مواردی خواهند بود راهکارها چیست؟

از آنجا که قسمت عمده‌ای از فعالیت‌های مهاجرت به EMV نیاز به به‌روزرسانی‌های سخت‌افزاری دارد تحریم‌ها به شدت بر پیشرفت پروژه تأثیر دارند؛ بنابراین رویکردی انتخاب شد که تغییرات سخت‌افزاری در فازهای ابتدایی کمینه باشند. برای مثال استفاده از پرداخت‌های تلفن همراه مبتنی بر نشانه‌گذاری روی پایا نة فروش

•    چالش تهیة کارت‌های هوشمند: یکی از راهکارها در شرایط فعلی، اولویت اجرای کار با کارت‌های مجازی و از طریق موبایل است که در برنامه‌ریزی دیده شده است؛ به این ترتیب چالش تهیة کارت هوشمند، بسیار کاهش خواهد یافت.
•    احتمال بروز مشکل در تجهیز سخت‌افزار و نرم‌افزارهای سیستمی پایا نه‌هایی که از شرکت‌های تحریم‌کننده خریداری شده است.
•    احتمال مشکل در تجهیز سخت‌افزار و نرم‌افزارهای سیستمی پایا نه‌هایی که بسیار قدیمی هستند؛ پایا نه‌های قدیمی نه تنها با استاندارد EMV بلکه با استانداردهای حیاتی دیگر مانند PCI تطابق ندارند و ضروری است ارتقا یابند.

کسب و کارهای جانبی حاصل از مهاجرت به EMV را ‌به صورت گذرا ذکر کنید.

•    آموزش EMV
•    ایجاد مرکز صدور تأئیدیه
•    ایجاد مرکز درخواست‌کننده توکن
•    تولید اپ موبایل
•    توسعة مراکز آزمون انطباق EMV (کارت و ترمینال)
•    مراکز به‌روزرسانی تجهیزات و دستگاه‌ها

* پازل مهاجرت از منظر ذی‌نفعان به صورت کلی در کنار شبکة بانکی، شبکة پرداخت و مشتریان بانک مرکزی است. در این مورد رگولاتور در مسیر هماهنگی حداکثری برای مهاجرت، چه فاکتورهایی را بیشتر باید مد نظر قرار دهد؟

•    تشکیل جلسات منظم هفتگی با شبکة بانکی و تدوین قوانین و مقررات با اخذ نظرات آنها
•    ارائة گزارش عملکرد و پیشرفت پروژه به ذی‌نفعان
•    دخیل کردن ذی‌نفعان در تدوین مقررات
•    مدیریت ریسک
•    برنامه‌ریزی مهاجرت
•    تعیین مسئولیت‌های ذی‌نفعان
•    توانمندسازی ذی‌نفعان
•    فرهنگ‌سازی و آموزش ذی‌نفعان
•    بازنگری نظام‌های پرداخت کارمزد و تنظیم مقررات

* در مورد اجرای درست EMV به بانک‌ها و شرکت‌های پرداخت چه توصیه‌هایی دارید؟

– اجرای طرح مهاجرت به EMV یک کار زمان‌بر است.
– آشنایی با اکوسیستم پرداخت مبتنی بر استاندارد EMV در درون سازمان شامل بانک و شرکت پرداخت ضروری است.
– ایجاد تصویر درستی از مراحل مختلف مهاجرت به استاندارد EMV در نزد مدیران تصمیم‌گیر باید انجام گیرد.
– لزوم جذاب ماندن کسب و کار به دلیل موجه ماندن سرمایه‌گذاری در ابزارهای پذیرندگی
– شناخت پیچیدگی‌ها و چالش‌های پیش‌رو در شبکة پرداخت کارتی کشور (شرکت شاپرک )
– ایجاد همکاری و هم‌گرایی بین بخشی / سازمانی به هنگام به‌روزرسانی تجهیزات پذیرندگی و دستگاه‌ها
– سیاست دوران گذار هر بانک، خاص خود بانک است و باید تدوین شود.
– سیاست دوران گذار هر PSP ، خاص خود PSP است و باید تدوین شود.
– پشتیبانی همزمان کارت مغناطیسی و هوشمند در سامانه‌ها طی دوران گذار حتماً مد نظر قرار گیرد.
(بانک / PSP / سامانه‌های بین بانکی)

همچنین در هشتمین همایش سالانه بانکداری الکترونیک و نظام های پرداخت که در نهم و دهم بهمن ماه 97 برگزار شد، یک کارگاه تخصصی به نام «چشم انداز و نقشه راه مهاجرت به استاندارد EMV » توسط من ارائه شد که تصور می کنم توجه به آن وضعیت خوبی را نشان خواهد داد.

جهت دریافت فایل این کارگاه تخصصی دریافت فایلکلیک کنید.