شبکه پرداخت در فاز اول مهاجرت به EMV
در گفتگو با علی سیفی، معاون نرم افزار شرکت خدمات انفورماتیک مطرح شد:
سطح آمادگی فعلی بانک ها و شرکت های پرداخت از نظر معاون نرم افزار شرکت خدمات انفورماتیک حدود 30 درصد است؛ بنابراین نیاز به آموزش های EMV گریزناپذیر و جدی است.در همین راستا از سوی بانک مرکزی برنامه ریزی آموزشی نیز برای بانک ها در نظر گرفته شده است.
به گزارش پایگاه خبری بانکداری الکترونیک ، علی سیفی در گفت و گو با ماهنامه بانکداری آینده اهداف کلی طرح مهاجرت را افزایش امنیت در پرداخت های کارتی، استفاده از استانداردهای بین المللی، آماده سازی مولفه ها و اجزای سامانه پرداخت برای پذیرش کارت های بین المللی و اتصال به اکسیم های بین المللی و استفاده از ابزارهای نوین در پرداخت ذکر می کند.اما مهاجرت و تحقق اهداف مورد نظر جز با آموزش و برنامه ریزی دقیق میسر نیست.
متن این گفت و گو به شرح زیر می باشد:
* بیش از یک سال از تصویب مهاجرت به EMV میگذرد؛ لطفاً به صورت خلاصه اهداف کلی و روند اجرای برنامههای مصوب توسط شرکت خدمات را بیان کنید؟
از اهداف کلی این طرح، افزایش امنیت در پرداختهای کارتی (با کارت و بدون کارت)، استفاده از استانداردهای بینالمللی، آمادهسازی مؤلفهها و اجزای سامانة پرداخت برای پذیرش کارتهای بینالمللی و اتصال به اسکیمهای بینالمللی و استفاده از ابزارهای نوین در پرداخت است.
برنامهریزی صحیح این طرح با پیچیدگی ذاتی آن از فعالیتهای بسیار مهم آن محسوب میشود. پیشنیاز این برنامهریزی و شناخت دقیق ابعاد پروژه، ذینفعان، محدودیتها و امکانات موجود و پتانسیلهاست. به دنبال آن نیز برنامهریزی کلان برای هر بخش و اولویتبندی فازهای اجرایی میسر شد که از مقدمات طرح است.
* لطفاً گرافهای اجرایی و عملیاتی را که در مورد نمایش کلی نقشههای اجرایی و عملیاتی طرح EMV امکان انتشار دارند ارائه و توضیحات لازم را ارائه کنید؟
گرافهای اجرایی و عملیاتی کار بسیار حجیم و گسترده هستند که در این مقال نمیگنجند، لیکن در جلسات برگزارشده با بانک مرکزی، تصمیمات اتخاذشده برای فاز ابتدایی طرح، تمرکز بر تراکنش پرداخت موبایل مبتنی بر EMV و از طریق دستگاه پایا نۀ فروش POS و به صورت آنلاین است. چرا که با وضع موجود، تمرکز بر بحث موبایل و پذیرندگی، حرکت رو به جلوی پروژه را سریعتر میکند.
* در حوزة زیرساخت (سوئیچ) چه فعالیتهایی صورت گرفته و چه بخشی از کارها هنوز در دست اجراست. در این حوزه طبعاً تأکید بر امنیت است با این پیشفرض بیشتر روی فرایندهای ضد تقلب سرمایهگذاری شده یا زیرساخت EMV ؟
فرایندهای ضد تقلب در استاندارد EMV پیشبینی شدهاند و این دو جدا از هم نیستند. به ویژه اعتبارسنجی ابزار پرداخت، احراز هویت مشتری و اعتبارسنجی تراکنش، همگی در این استاندارد بیان شده است.
مشخصات این استاندارد که باید مطابق با ویژگیهای سامانة پرداخت در ایران تعریف شود تدوین شده است. این مشخصات با توجه به برنامهریزیای که در حال انجام است و بنا به فراخور در اختیار همة ذینفعان از جمله بانکها، شرکتهای ارائهدهندة سرویس و تهیهکنندگان سختافزار و نرمافزار ابزارهای پرداخت از طریق بانک مرکزی قرار خواهد گرفت.
* سرمایهگذاری در مورد پیادهسازی EMV در گذشته در پنج سال حدود 2 میلیارد دلار ، سالانه 400 میلیون دلار بود. حال به نظر شما این برآورد چقدر به واقعیت نزدیک است؟ دیگر اینکه این هزینه چطور میان ارائهدهنده و دریافتکنندة خدمت و در قالب چه مراحلی تسهیم خواهد شد و در ضمن هزینههای ریالی مترتب چند درصد کل هزینههای ارزی خواهد بود؟
در این مورد هیچگونه اطلاعات مالی ندارم و نمیتوانم در مورد اطلاعات دلار ی که شما به آن اشاره کردید، اظهار نظر کنم. به نظرم مبالغی که شما به آن اشاره کردید دور از واقعیت است. تاکنون در مورد تسهیم مبالغ، نظر نهایی به وجود نیامده است و در حیطة نظر بانک مرکزی خواهد بود.
* با فرض درست بودن عدد 2 میلیون دلار برای پنج سال معادل سالانه 400 میلیون دلار اگر تعداد بانکها و مؤسسات و شرکتهای پرداخت را جمعاً 50 بنگاه در نظر بگیریم برای هر کدام سالانه هشت میلیون دلار خواهد بود که این رقم با دلار حدود 13 هزار تومانی، حدود 12 میلیارد تومان است؛ اگر 20 درصد هم هزینة پشتیبانی در نظر بگیریم عددی میان 14 تا 15 میلیارد تومان خواهد شد. ارزیابی شما در رابطه با این رقم در ازای ظرفیتسازیهای حوزة امنیت و امکان اتصال به شبکة بینالمللی چیست؟ به نظر شما چقدر این سرمایهگذاری ضرورت و در عین حال توجیه اقتصادی دارد؟
همانطور که در پاسخ سؤال قبلی بیان کردم؛ ارقامی که بیان کردید نه تأیید و نه تکذیب میکنم. لیکن یادمان باشد منافعی که از ارتقاء امنیت و تطابق با استانداردهای بینالمللی کسب میشود در مقایسه با حجم خسارتهای ناشی از تقلب و توسعه و گسترش آن باید سنجیده شود. به نظر من و با توجه به سطح نفوذ کارت در جامعة ایرانی و افق پرداختهای موبایلی و نیز همگام بودن با استانداردهای روز دنیا، لزوم این سرمایهگذاری را (با مبالغ متعارف) کاملاً روشن میکند.
البته با برنامهریزی مناسب و اولویتبندی کارها و پوشش انواع ابزار پرداخت به صورت فازبندیشده، هزینة طرح، قابل کنترلتر خواهد بود.
* احتمالاً این سؤال برای جامعة بانکی و پرداخت مطرح است که مدل و حجم سرمایه برای بهسازی دو حوزة خودپرداز و شبکة کارتخوان چگونه است؟
در ابتدا باید بگویم در حال حاضر 9 برند خودپرداز و 18 برند POS در کشور وجود دارد و تا پایا ن آذرماه 97 نیز بیش از 55 هزار خودپرداز و بیش از شش میلیون دستگاه POS در کشور وجود داشت. بانکها و شرکتهای PSP با توجه به تعداد و جمعیت ATMها و POS های خود باید طرح بهروزرسانی به EMV را ساماندهی کنند. با توجه به سیاستهای بانک مرکزی تطابق POS ها در اولویت اول قرار دارد.
* همانطور که میدانید اغلب کلاهبرداریها در حال حاضر در قالب CNP انجام میشوند؛ در حالی که در طرح EMV به نظر میرسد تأکید بر CP است در این مورد راهکار چیست و اساساً تا چه حد این دیدگاه درست است؟ البته این اولویت را درک میکنم که اساس پیادهسازی EMV فراهمسازی بستر اتصال به شبکۀ بینالملل است.
آنچه در مورد کلاهبرداری در قالب CNP بیان کردید درست است. در EMV برای استفاده از کارت فیزیکی و کارت مجازی (موبایل) راهکار ارائه شده است. پرداخت با موبایل با استفاده از بستر نشانهگذاری میتواند امنیت لازم را در پرداخت CNP فراهم کند که این موضوع در طرح، پیشبینی شده است و بانک مرکزی بر آن تأکید دارد.
* در بخش آمادگی بانکها چه گامهایی از بُعد آموزشهای مورد نیاز، تغییر زیرساختهای مربوط به کارت، شبکة خودپرداز و کارتخوان برداشته شده است یا برداشته خواهد شد؟
در شرایط فعلی اطلاع دقیقی از وضعیت آمادگی بانکها ندارم. قرار است به زودی جلساتی با بانک مرکزی و بانکهای دیگر آغاز و سطح آمادگی مشخص شود. تصور میکنم سطح آمادگی فعلی حدود 30 درصد است؛ بنابراین نیاز به آموزشهای EMV جدی میشود. برنامهریزی آموزشی نیز برای بانکها از سمت بانک مرکزی در نظر گرفته شده است. (گرافی در این مورد ندارم) طبق برنامهریزی انجامشده اولویتها به گونهای در نظر گرفته شده است که در ابتدای طرح، تغییرات سمت بانکها حداقل باشد. در این مدل تغییرات و هزینههای اولیه بیشتر سمت زیرساختهای بانک مرکزی و به صورت متمرکز است.
یادمان باشد از دیدگاه صادرکنندگی بانک، صدور کارت هوشمند، پروسة شخصیسازی کارت، کارتخوان شعب و خودپرداز مدنظر اما در این فاز مطرح نیست.
لیکن آشنایی بانکها با مشخصات EMV و تغییرات جزئی و مورد نیاز در فرایند انجام تراکنش ضروری است که این امر با انتشار مشخصات فنی و ارائة آموزش در زمان خود انجام خواهد شد.
* در همین راستا شرکتهای پرداخت نیز باید فرایند آمادگی و انجام مهاجرت را طی کنند در این زمینه چه اقداماتی صورت گرفته است یا باید در آینده صورت بگیرد. برنامة کلی را تشریح کنید؟
طبق برنامهریزی و اولویتبندی، پرداخت موبایلی از طریق پایا نة فروش در فاز اول قرار دارد و پایا نههای فروش باید در بخش پذیرندگی با این استاندارد سازگار شوند. بر این اساس مشخصات فنی این پروژه انتشار خواهد یافت و آموزشها ارائه خواهند شد. بعد از این مرحله شرکتهای پرداخت باید سختافزار و سیستم پایا نة فروش خود را مجهز و اپلیکیشن آن را تهیه کنند. ضروری است که این اپلیکیشن قبل از عملیاتی شدن باید به تأیید واحد «صدور تأییدیة بانک مرکزی» برسد.
* لطفاً بگویید در تابستان امسال چه برنامههایی در دستور کار دارید؛ اگر در پاییز و زمستان هم برنامهای دارید بیان کنید؛ همچنین در یک مسیر خطی طی پنج سال چه اقداماتی انجام خواهد شد تا مهاجرت کامل شود؟
رهنگاشت طرح مهاجرت توسط بانک مرکزی در حال تدوین نهایی است؛ بنابراین پس از آن نقشۀ کلی به ذینفعان (بانکها، پیمانکاران فنی شرکتهای PSP و …) اعلام، سپس به صورت تدریجی اجرایی خواهد شد.
* با توجه به شرایط تحریم، موانع پیشرو در پیادهسازیEMV چه مواردی خواهند بود راهکارها چیست؟
از آنجا که قسمت عمدهای از فعالیتهای مهاجرت به EMV نیاز به بهروزرسانیهای سختافزاری دارد تحریمها به شدت بر پیشرفت پروژه تأثیر دارند؛ بنابراین رویکردی انتخاب شد که تغییرات سختافزاری در فازهای ابتدایی کمینه باشند. برای مثال استفاده از پرداختهای تلفن همراه مبتنی بر نشانهگذاری روی پایا نة فروش
• چالش تهیة کارتهای هوشمند: یکی از راهکارها در شرایط فعلی، اولویت اجرای کار با کارتهای مجازی و از طریق موبایل است که در برنامهریزی دیده شده است؛ به این ترتیب چالش تهیة کارت هوشمند، بسیار کاهش خواهد یافت.
• احتمال بروز مشکل در تجهیز سختافزار و نرمافزارهای سیستمی پایا نههایی که از شرکتهای تحریمکننده خریداری شده است.
• احتمال مشکل در تجهیز سختافزار و نرمافزارهای سیستمی پایا نههایی که بسیار قدیمی هستند؛ پایا نههای قدیمی نه تنها با استاندارد EMV بلکه با استانداردهای حیاتی دیگر مانند PCI تطابق ندارند و ضروری است ارتقا یابند.
کسب و کارهای جانبی حاصل از مهاجرت به EMV را به صورت گذرا ذکر کنید.
• آموزش EMV
• ایجاد مرکز صدور تأئیدیه
• ایجاد مرکز درخواستکننده توکن
• تولید اپ موبایل
• توسعة مراکز آزمون انطباق EMV (کارت و ترمینال)
• مراکز بهروزرسانی تجهیزات و دستگاهها
* پازل مهاجرت از منظر ذینفعان به صورت کلی در کنار شبکة بانکی، شبکة پرداخت و مشتریان بانک مرکزی است. در این مورد رگولاتور در مسیر هماهنگی حداکثری برای مهاجرت، چه فاکتورهایی را بیشتر باید مد نظر قرار دهد؟
• تشکیل جلسات منظم هفتگی با شبکة بانکی و تدوین قوانین و مقررات با اخذ نظرات آنها
• ارائة گزارش عملکرد و پیشرفت پروژه به ذینفعان
• دخیل کردن ذینفعان در تدوین مقررات
• مدیریت ریسک
• برنامهریزی مهاجرت
• تعیین مسئولیتهای ذینفعان
• توانمندسازی ذینفعان
• فرهنگسازی و آموزش ذینفعان
• بازنگری نظامهای پرداخت کارمزد و تنظیم مقررات
* در مورد اجرای درست EMV به بانکها و شرکتهای پرداخت چه توصیههایی دارید؟
– اجرای طرح مهاجرت به EMV یک کار زمانبر است.
– آشنایی با اکوسیستم پرداخت مبتنی بر استاندارد EMV در درون سازمان شامل بانک و شرکت پرداخت ضروری است.
– ایجاد تصویر درستی از مراحل مختلف مهاجرت به استاندارد EMV در نزد مدیران تصمیمگیر باید انجام گیرد.
– لزوم جذاب ماندن کسب و کار به دلیل موجه ماندن سرمایهگذاری در ابزارهای پذیرندگی
– شناخت پیچیدگیها و چالشهای پیشرو در شبکة پرداخت کارتی کشور (شرکت شاپرک )
– ایجاد همکاری و همگرایی بین بخشی / سازمانی به هنگام بهروزرسانی تجهیزات پذیرندگی و دستگاهها
– سیاست دوران گذار هر بانک، خاص خود بانک است و باید تدوین شود.
– سیاست دوران گذار هر PSP ، خاص خود PSP است و باید تدوین شود.
– پشتیبانی همزمان کارت مغناطیسی و هوشمند در سامانهها طی دوران گذار حتماً مد نظر قرار گیرد.
(بانک / PSP / سامانههای بین بانکی)
همچنین در هشتمین همایش سالانه بانکداری الکترونیک و نظام های پرداخت که در نهم و دهم بهمن ماه 97 برگزار شد، یک کارگاه تخصصی به نام «چشم انداز و نقشه راه مهاجرت به استاندارد EMV » توسط من ارائه شد که تصور می کنم توجه به آن وضعیت خوبی را نشان خواهد داد.
جهت دریافت فایل این کارگاه تخصصی دریافت فایلکلیک کنید.