راه ساختنی است
شرکتداری در حوزه پرداخت الکترونیک و مخاطرات آن;
اگر یک ارائهکننده خدمات پرداخت بخواهد کارش را با ثبات قدم آغاز کند، بهتر است که از همکاری با کارتهای پرداخت بانکی ویزا و مسترکارت شروع کند به اضافه یک یا دو روش پرداخت محلی که بیش از بقیه مطرح باشند / همیشه روشها و راهکارهای جدید پرداخت آنلاین ابداع میشود که میتواند به سرعت سهم بازار و ترجیحات پرداخت را به سود خود تصاحب کنند و و این سهمها حتی در مورد یک کشور معین میتوانند برای هر فروشنده و صنعت خاصی متفاوت باشند.
به گزارش پایگاه خبری بانکداری الکترونیک، «افزایش استفاده از کارتهای نقدی و اعتباری چالشهایی جدی برای هر نوع کسبوکاری فراهم میآورد که با مخاطرات پردازش آنلاین پرداختهای کارت اعتباری روبهرو هستند. کسبوکارهایی که با پول نقد کار میکنند، طبیعتا با خطر سرقت هویت یا هک شدن مواجه نیستند، اما کسبوکارهای حوزه کارت اعتباری و پرداخت تقریبا برای تمام انواع تراکنشهای خود با مخاطرات امنیتی روبهرو هستند.»
اگر بنا دارید که وارد حوزه پرداخت شوید و کسبوکاری در این حوزه راه بیندازید لازم است به آنچه در پی میآید توجه لازم را بکنید. هماکنون این حوزه از فعالیت به شدت در سطح جهان در حال رونق و گسترشیابی است، سیر مداوم سازمانهای تجاری، غیرانتفاعی و دولتی که به صورت آنلاین اقدام به فروش کالاها و خدمات خود میکنند، بر رونق و رواج این بازار دم به دم میافزاید. بنابراین، فضای کافی برای سودآوری و رونق نهتنها برای شرکتهای قدیمیتر حوزه پرداخت بلکه برای آغازگران و مبتدیان این راه هم وجود دارد؛ به ویژه این قضیه درباره بازارهای نوظهور صدق میکند که پای شرکتهای معروف پرداخت چندان به آنها باز نشده است.
پس درباره دلایل و انگیزههای شروع به کار در این حوزه چندان جای بحثی نمیماند، اما موضوع مهم و حیاتی این است که از کجا آغاز کنیم، و چگونه کار را به پیش ببریم. برخی شرکتهای مشاور در این حوزه وجود دارند که راهنماییهای بسیار خوبی در این زمینه فراهم میآورند و در اینجا میخواهیم به توصیههای شرکت مشاور ایکامچارج (eComCharge) بپردازیم که دستکم 13 سال در زمینه مدیریت و ایجاد سیستمها و خدمات پرداخت تجربه دارد و گامهای اساسی برای تاسیس یک شرکت پرداخت را به خوبی آموزش میدهد و معمولا حاوی پاسخهایی است برای سوالاتی که همیشه مبتدیان این حوزه با آن روبهرو هستند.
با کدام وسایل پرداخت میبایست کار کرد؟ (بحث یکپارچهسازی)
در دنیا ابزارهای بسیار زیاد و متنوعی برای پرداخت اینترنتی هست. پول الکترونیکی، پول رمزنگار، ووچر (کوپن)های پیش پرداخت، پرداختهای اساماسی، انتقالات بانکی، چکهای الکترونیکی، و البته کارتهای پرداخت بانکی مشهورترین ابزارهای پرداختی هستند که با نرخ فعالیت معینی برای انتقال پول از خریدار اینترنتی به فروشنده اینترنتی مورد استفاده قرار میگیرند.
یک ارائهدهنده خدمات پرداخت که به پذیرندگان آنلاین کمک میکند تا پرداختها را از طریق اینترنت قبول کنند، یا برای هر تراکنش مقدار ثابتی را به عنوان هزینه میگیرد یا درصد مشخصی را نسبت به ارزش تراکنشها یا هر دو حالت. بنابراین، هر اندازه که تراکنش بیشتری انجام شود، پول بیشتری هم عایدش میشود.
ممکن است یک ارائهدهنده مبتدی خدمات پرداخت (یک شرکت پرداخت) بخواهد به مشتریان بالقوهاش پرداختهای آنلاینی را ارائه کند که با ابزارهای پراخت بسیار رایج در آن کشور انجام میگیرند. دامنه گسترش و شمول هر ابزار پرداخت از منطقه به منطقه و از کشور به کشور متفاوت است. شرکتهای پیشرو در سطح دنیا بعضا به یک اندازه مطرح و قابل دسترسی هستند و ابزارهای پرداخت محلی بعد از آنها در رتبه دوم قرار دارند و حتی برخی اوقات این محلیها بنا به سلیقه و ترجیح خریداران و فروشندگان یک کشور خاص، دارای جایگاه اول در حوزه پرداخت آن منطقه هستند.
نمودار1) تراکنشهای خرید با کارتهای جهانی در 2016 میلادی
بنا به یک گزارش در تاریخ ماه مه 2017، کارتهای شرکتهای پرداخت معروف مثل ویزا، یونیون پی، مسترکارت، جی.سی.بی، دینرزکلاب/دیسکاور، و امریکن اکسپرس حدود 257.17 میلیارد تراکنش را برای پذیرندگان در سال 2016 به ثبت رساندند. این تراکنشها شامل همه محصولات (کارتهای) تجاری و مصرفی اعتباری، نقدی و پیشپرداخت میشود. ارقام کارتهای نقدی که در نمودار آمده شامل کارتهای پیشپرداخت هم میشود. ویزا کارت شامل Visa Inc و Visa Europe میشود که در سال 2016 میلادی تبدیل به یک شرکت شدند. کارتهای اعتباری بانکی بهویژه ویزا و مسترکارت پیشران بقیه انواع دیگر رقبا در سراسر دنیا هستند.
یک گزارش تحت عنوان ایکامرس ویکی (EcommerceWiki) بر پایه چندین منبع از جمله انتشارات ارائهدهندگان خدمات پرداخت، وبسایتهای خبری و انجمنهای تجارت الکترونیکی خرید، معتبرترین ابزارهای پرداخت اروپا را گردآوری کرده است:
جدول 1) ابزارهای پرداخت اروپایی
ترجیح مشتریان برزیلی این است که با بولتو (boleto) پرداختهایشان را انجام دهند، اکثریت مشتریان ترک با کارتهای اعتباری پرداختهایشان را انجام میدهند و اغلب مشتریان بلژیکی با برند پرداخت محلی خود، Bancontact/MisterCash اقدام به پرداخت میکنند.
توجه داشته باشید که ترجیحات پرداخت و سهم بازار روشهای پرداخت ممکن است طی زمان دچار تغییرات اساسی بشود.
همیشه روشها و راهکارهای جدید پرداخت آنلاین ابداع میشود که میتواند به سرعت سهم بازار و ترجیحات پرداخت را به سود خود تصاحب کنند و این سهمها حتی در مورد یک کشور معین میتوانند برای هر فروشنده و صنعت خاصی متفاوت باشند.
بنابراین، در کل میتوان گفت که اگر یک ارائهکننده خدمات پرداخت بخواهد کارش را با ثبات قدم آغاز کند، بهتر است که از همکاری با کارتهای پرداخت بانکی ویزا و مسترکارت شروع کند به اضافه یک یا دو روش پرداخت محلی که بیش از بقیه مطرح باشند.
سادهترین راه برای تاسیس یک شرکت پرداخت این است که یک شرکت فروش مستقل (ISO) بنیان بگذارید تا بتوانید پذیرندگان را با خود همراه کنید و پرداختهای اعتباری و نقدی آنان را به سوی خود جهت دهی کنید. با این حال، لازم است در نظر داشته باشید که صنعت پرداخت بسیار رقابتی است و بهزودی باید با رقبای مختلف هم سروکله بزنید که در پی کسب سهمی بیشتر از بازار ممکن است دردسرهایی را دیر یا زود برایتان ایجاد بکنند. شرکت شما حین گسترش حوزه فعالیت خود درصدی از حجم کارتهای اعتباری، نرخی ثابت برای تراکنشهای پیندار کارتهای اعتباری، و هر آن چیز به دست آوردنی دیگر در صنعت پراخت را به خود اختصاص خواهد داد.
لزوم انجام پژوهشهای بازاری: تعداد کسبوکارهای خردهفروشی در منطقه موردنظرتان را مشخص کنید. درباره نوع امکاناتی که رقبا ارائه میکنند و مقدار هزینههایی که میگیرند، کسب اطلاع کنید. یک راه مناسب برای فهمیدن آنکه کسبوکارهای محلی از چه خدماتی استفاده میکنند و همزمان دسترسی به اطلاعات تماس آنها این است که یک پیمایش آزاد انجام دهید. با استفاده از مقیاس پنج امتیازی از هر پذیرنده بپرسید که از چه وسیله پرداختی استفاده میکند و تا چه میزان از خدمات ارائه شده راضی است. سپس آدرس ایمیل آنها را بگیرید تا بعدا نتایج پژوهش را برایشان ارسال کنید.
یک طرح کسبوکاری بریزید: نحوه عملیاتی کردن کسبوکارتان را برنامهریزی کنید، ارزیابی کنید که چه خدماتی ارائه خواهید داد و چگونه هزینه آنها را از مشتریان دریافت خواهید کرد. اندازه نیروی فروشتان را مشخص کنید و نحوه پرداختی به آنها را نیز روشن کنید. مقدار سرمایه مورد نیاز برای شروع و عملیاتی کردن ابتدایی شرکتتان و نحوه کسب چنان سرمایهای را نیز مشخص کنید و سرانجام نحوه بازاریابی کسبوکارتان را نیز برنامهریزی کنید.
با یک شریک بانکی وارد توافق شوید: باید یک بانک ویزا/ مسترکارت داشته باشید تا بتوانید تراکنشها را متعهد شوید و جریان بینبانکی را نیز به انجام رسانید. میتوانید با گرفتن ارتباط با بانکهای منطقهتان یا بانکی که به بازار ترجیحیتان خدماترسانی مستقیم میکند به این هدف نائل شوید؛ با مدیریت بانک دیدار کنید و یک برنامه کسبوکاری را به آنها نشان دهید که برای آنها روشن میکند که چگونه خدمات پرداخت پذیرنده در برقراری ارتباط مستحکم با جامعه کسبوکاران کوچک به یاری آنها میآید.
با یک شرکت لیزینگ شریک شوید: یک شرکت لیزینگ با کمک به صاحبان کسبوکارهای کوچک که پول نقدشان اندک است از طریق تامین مالی پایانههای پردازش کارت اعتباری، تجهیزات و دستگاههای خودپراز آنها، باعث راه انداختن کسبوکارهای تازه میشود. میتوانید به مشتریانتان یک گزینه برای انتخاب بدهید: ماهانه به مقدار 40 دلار یک پایانه را لیزینگ کنید، یا سرجمع آن را 1150 دلار یا هر مقدار که میارزد، بخرید. اغلب مشتریان آن را لیزینگ خواهند کرد. سپس شرکت لیزینگ در ازای خرید آن پایانه برای شما یک چک میفرستد منهای نرخ لیزینگ.
یک منبع عمدهفروشی تجهیزات بیابید: برای کسب سود از تجهیزات، یا رقابت موفقیتآمیز با دیگر ارائهکنندگان، باید با یک یا چند تولیدکننده سامانههای تراکنشی توافق کنید تا کار توزیع را انجام دهد. برخی شرکتهای مشهور در این زمینه عبارتند از VeriFone، Hypercom و Diebold.
نیروی فروش استخدام کنید: این افراد مسئول ارتباط با صاحبان کسبوکارها و دست یافتن به اطلاعات شغلی آنهاست. به اغلب آنها کارمزد تعلق میگیرد یا به طور ماهانه حقوق میگیرند به اضافه مبلغی به عنوان کارمزد، و درواقع به عنوان پیمان کاران مستقل فعالیت میکنند. نتیجه کار نیروی فروش مستقیما به افزایش حقوق مدیر منتهی میشود. باید آنقدر از نظر حقوق و دستمزد به نیروی فروشتان برسید که به سراغ کار در شرکتهای دیگر نروند، البته آنقدر هم زیادهروی هم نباید بکنید که سودآوری شرکت را به خطر اندازید.
با امریکن اکسپرس ارتباط بگیرید: این شرکت از ویزا/ مسترکارت کاملا متمایز است و نرخ تخفیفی که به تراکنشهای پذیرندهها اختصاص میدهد بالاتر است. با این حال، یک پایه مشتری ثروتمند و وفادار دارد که نسبت به دیگر دارندگان کارتها، خرج بیشتری برای تراکنشها میکنند.
رقابت سایر بازیگران تجارت الکترونیک
PSPها یکی از مهمترین سرویسهای موردنیاز فروشگاههای اینترنتی یعنی ارسال پول به صورت آنلاین و آفلاین را برای آنها فراهم میکنند. اگرچه این یکی از کلیدیترین سرویسهاست اما تنها سرویس موردنیاز در زنجیره تامین نیست. فروشگاههای اینترنتی باید یک پورتال آنلاین داشته باشند تا مشتریان بتوانند سفارشات خرید خود را ثبت کنند، محصولات را تحویل دهند، صورتحساب را ارسال کنند و تراکنشها را به سیستم کنترل مالی خود گزارش دهند. این زنجیره زمانی پیچیدهتر میشود که این فروشگاهها وارد بازار جهانی و برونمرزی میشوند. در این مواقع سایر بازیگران تجارت الکترونیک وارد حوزههای پرداخت میشوند و پرداخت را به سایر پیشنهادات خود میافزایند.
افزایش پیچیدگی در پردازش پرداختها
همچنان که رفتار مشتریان در حال تغییر و پیچیده شدن است، انواع کسبوکارها نیازمند دریافت پیشنهادات بهینهسازی برای راهکارهای پرداخت هستند. این موضوع به طور جدی بر پیچیدگی پردازش پرداختها و فرآیندها میافزاید. همچنین بخش دیگری از این پیچیدگی به دلیل اعمال فشار موسسات قانونگذار برای سازگاری با استانداردهای صنعت پرداخت، اعمال فشار برای پرداخت مالیات و مدیریت ریسک و کلاهبرداری است.
بیشینهسازی امنیت و کمینهسازی مشکلات در پرداخت آنلاین کارتهای اعتباری
کسبوکارهای قرن بیستویکم به نحوی فزاینده خود را در دنیایی مییابند که پول نقد پیوسته از رونق میافتد. بنابر اعلام فدرال رزرو، استفاده از کارتهای اعتباری از ابتدای قرن بیستویکم به مقدار 10 میلیارد تراکنش افزایش یافته است. افزایش استفاده از کارتهای نقدی و اعتباری چالشهایی جدی برای هر نوع کسبوکاری فراهم میآورد که با مخاطرات پردازش آنلاین پرداختهای کارت اعتباری روبهرو هستند. کسبوکارهایی که با پول نقد کار میکنند، طبیعتا با خطر سرقت هویت یا هک شدن مواجه نیستند، اما کسبوکارهای حوزه کارت اعتباری و پرداخت تقریبا برای تمام انواع تراکنشهای خود با مخاطرات امنیتی روبهرو هستند. در اینجا میخواهیم به بزرگترین مخاطرات آنها در این زمینه بپردازیم.
سرقت هویت
یکی از بزرگترین مشکلات برای هر نوعی از خرید آنلاین مساله امنیت خط ارتباطی (اتصال) است. مجله پیسی ورلد (PC World) به تمام کاربران وب خاطرنشان میکند که باید ارتباط بی سیم (وایرلس) خود را ایمن کنند، در غیر این صورت یک کاربر ثالث میتواند دادههای کارت اعتباری را بخواند و دانلود کند. پروتکل انتقال فایل (FTP) به عنوان متن ساده نمایش داده میشود و بنابراین بسیار حیاتی است که با استفاده از نرمافزار رمزنگار مانع خواندن اطلاعات کارت اعتباری شد. نباید هزینه نشت دادهها را دستکم گرفت. به گزارش سمانتک، علاوه بر فشار منفیای که بر شرکتهایی میرود که در معرض سرقت هویت قرار گرفتهاند، میانگین هزینههای مستقیم وارده سر به 5 میلیون دلار میزند. شرکت پردازشگر پرداخت شما باید چنان از امنیت دادههای آنلاین کارتی حفاظت کند که مخاطرات نشت اطلاعات را کمینهسازی کند، اطلاعات مشتریان را همچنان خصوصی نگه دارد، و تراکنشهای کسبوکاری را ایمن کند.
هزینههای انطباق
انجام آنلاین پرداخت با کارت اعتباری نیازمند انطباق با توصیههای حقوقی است. قوانین ملی و ایالتی انطباق برای تمامی شرکتها معیارهای صنعتیای را ایجاد کردهاند که اطلاعات کارت اعتباری را ذخیره، پردازش و انتقال میدهند. از جمله بزرگترین این معیارهای انطباق PCI DSS است. هزینههای انطابق میتواند بر پایه اندازه و دامنه کسبوکار متفاوت باشد. گواهینامههای فناوری بسته به اندازه کسبوکار دارای طیفی از هزینهها هستند، ولی همه آنها نیازمند اسکنهای فصلی هستند که سالانه 150 تا 2500 دلار برای هر آدرس IP در نوساناند. بنا به همان گزارش مربوط به هزینهها، شرکتی که 100 هزار کارت اعتباری دارد، برای هر کارت 6 دلار هزینه انطباق پرداخت میکند که خود نمایانگر سرمایهگذاری عمدهای است. بهویژه برای کسبوکارهای کوچکتر آنلاین بسیار مهم است که ارائهکننده پرداخت برای فهمیدن و انطباق با استانداردهای PC چه چیزی ارائه میکند.
تراکنش و حجم
هرچه پرداختهای کارت اعتباری بیشتر شود، تنگناهای بیشتری هم ظاهر میشود. به گزارش شیکاگوتریبون، پردازش کارتهای تراشهدار کاهش یافت و این امر منجر به پیدایش مشتریان ناامیدی شده است که ممکن است حتی ندانند که کارتهایشان دارای چنان تراشههایی است. موانع فروش موفقیت آنلاین را هم به خطر میاندازند؛ 25 درصد از کسانی که به بخشهای فروش آنلاین سر زدهاند میگویند که برای اجتناب از مشکلات ثبتنام ترجیح دادهاند به عنوان مهمان در وبسایت حاضر شوند، و 50 درصد از آنان نیز گفتهاند پس از یک بار بازدید، هرگز به وبسایت برنگشتهاند.
مخاطرات امنیتی و روشهای جلوگیری از آن
هدف از سازوکارهای امنیتی مورد استفاده در سامانههای پرداخت الکترونیکی، پایین آوردن امکان تقلب و انجام تراکنش بدون اطلاع دارنده کارت و عدم افشای اطلاعات وی است. تقلب در صورتی به وقوع میپیوندد که پین دارنده کارت افشاء شود و همچنین اشخاص دیگر بتوانند کارت وی را کپی کنند. مشخص است که برای افشای پین مشتری ابتدا باید به PIN Block دسترسی پیدا کرد و سپس با استفاده از کلید مورد استفاده جهت ایجاد آن، پین دارنده کارت را از آن استخراج کرد. برای جلوگیری از این اتفاق میتوان راهکارهای ذیل را در نظر گرفت:
1- در هیچ یک از مراحل دریافت و ارسال پیغام، نباید PIN Block در سوئیچ (بانک اطلاعاتی و فایلهای log) ذخیره شود.
2- برای جلوگیری از دسترسی به کلید مورد استفاده برای تولی PIN Block، در مواردی که کلیدها باید در پایانه یا سوئیچ Inject شود استفاده از ابزاری مثل کارت هوشمند یا سازوکاری برای جلوگیری از دسترسی شخص واردکننده کلید به تمامی اطلاعات پیشنهاد میشود.
3- استفاده از سازوکار توزیع کلید پویا و تغییر رمزهای عملیاتی در بازههای زمانی مناسب.
4- استفاده از ابزار رمزنگاری سختافزاری برای جلوگیری از دسترسی برنامهنویس به کلیدها یا پین از رمز خارج شده در مرحله PIN Translation
برای جلوگیری از کپی غیرمجاز کارت نیز بهترین کار ممکن عدم ثبت کامل آن در سوئیچ (بانک اطلاعاتی و فایلهای log ذخیره) است. مثلا میتوان تنها بخشی از شماره کارت شامل ۶ رقم سمت چپ (BIN) و ۴ رقم سمت راست را ذخیره کرد یا اینکه در صورت نیاز سوئیچ بانک به آن در زمان ارسال تراکنش Reversal، تمامی اطلاعات Track ۲ را به صورت رمز شده در سوئیچ ذخیره کرد.
لازم به ذکر است بسیاری از راهکارهای ارائه شده در استانداردهای امنیتی مطرح در نظر گرفته شدهاند ولی نکته مهمی که نباید از آن غافل شد رعایت نکات ایمنی در توزیع کلیدها در پایانههای فروش و سوئیچ است.
اگر تمام نکات پیشنهادشده در استانداردها رعایت شود ولی قسمتهای مختلف کلیدها در اختیار یک نفر قرار گیرند، کلید به صورت یک قسمتی، بدون رمز، و با پست الکترونیکی برای PSP ارسال شود، سازوکار Dynamic Key Exchange مورد استفاده قرار نگیرد و… حتی با استفاده از ابزارHSM امکان افشای اطلاعات به سادگی وجود دارد.
منبع: ماهنامه بانکداری آینده شماره 32 خرداد 97