چالش های توسعه MPOS در صنعت پرداخت /سه راهکارایجاد امنیت درخصوص موج چهار پرداخت
مقاله ای از شهاب یوسفی، معاون فناوری اطلاعات شرکت فن آواکارت؛
موج چهارم که ترکیب دستگاههای POSبا Tabletها و یا گوشیهای هوشمند است که همراه خود راحتی و مقرون به صرفه بودن را به امکانات پیشین این صنعت افزوده است./ طبق پیش بینیهای ABIتا سال 2019 بیش از 51 میلیون دستگاه MPOSدر دنیا مورد استفاده قرار خواهد گرفت/دغدغه تعریف چارچوب امنیت این راهکار همچنان مورد بحث است و نتیجه نهایی در این خصوص حاصل نشده است.
به گزارش پایگاه خبری بانکداری الکترونیک،شهاب یوسفی، معاون فناوری اطلاعات شرکت فن آواکارت؛طی مقاله ای موج چهارم پرداخت الکترونیک در جهان و چالش های پیش روی این موج را بررسی کرده است. متن این مقاله در پی می آید:
پیشروی فناوری نوظهور MPOS
فناوری نوظهور MPOSبه همراه خود بحثها و چالشهای فراوانی را در صنعت پرداخت الکترونیک جهان به همراه داشته است. در حقیقت این فناوری به عنوان موج چهارم صنعت پرداختهای حضوری معرفی می گردد.
· موج اول به صندوقهای مکانیکی قدیمی اطلاق گردیده است.
· موج دوم ترکیب پیچیده پایانه فروش و کامپیوتر بودند.
· موج سوم راه کارهای گران POSهای سیار می باشد که قابلیت پرداخت در هر مکان و زمان را میسر ساخته است.
· و موج چهارم که ترکیب دستگاههای POSبا Tabletها و یا گوشیهای هوشمند میباشد که همراه خود راحتی و مقرون به صرفه بودن را به امکانات پیشین این صنعت افزوده است.
طبق پیش بینیهای ABIتا سال 2019 بیش از 51 میلیون دستگاه MPOSدر دنیا مورد استفاده قرار خواهد گرفت[i]. دلایل این فراگیری و رشد را می توان در منافع ذیل جستجو کرد:
· Mobility–پویایی و سیار بودن آن موجب کارایی بالاتر می گردد.
· Low Cost Access Point- پایانه های MPOSهزینه ای به مراتب ارزانتر از پایانه های موجود دارند.
· speeds up transactions- افزایش سرعت بالای انجام تراکنش به دلیل استفاده از بستر دیتای سیم کارت
· Optimized Customer Service- راهکار های ارایه شده مبتنی بر تبلت و یا تلفن های هوشمند موجب توسعه آسان ارزش افزوده به راه کار های پرداخت الکترونیک می گردد.
· Less Training Cost- هزینه آموزش کاربران به سبب فراگیری در بکارگیری تبلت ها و تلفن های هوشمند تا حد زیادی کاهش خواهد داشت.
· Electronic Receipt –کاهش در هزینه های مربوط به رسید تراکنش (با حذف رسید کاغذی) و امکان ارسال رسید تراکنش توسط پیامک و یا ایمیل
در حال حاضر دو مدل کاربردی از MPOSتوسط حدود 80 تولید کننده طراحی گردیده است:
· نوع اول که از مدل Dongle است، از طریق USBو یا Audio Jackبه گوشی متصل میگردد.
· نوع دوم که مدل Externalمیباشد، از طریق تکنولوژیهای بیسیم مانند Bluetoothو Wi-Fiبا گوشی ارتباط برقرار میکنند.
ولیکن با وجود تمامی مزایای عنوان شده دغدغه تعریف چارچوب امنیت این راهکار همچنان مورد بحث است و نتیجه نهایی در این خصوص حاصل نشده است. برای پاسخ به سوال اینکه این دستگاه چه جایگاهی در صنعت پرداخت کشور ما بدست خواهد آورد، لازم است سه راه کار ارایه شده توسط شرکتهای پیشرو در حوزه پرداخت در دنیا را مورد بررسی قرار دهیم.
1-VISA: در برنامه این شرکت برای MPOS[ii]، در حوزه امنیت، استانداردهای مختلفی مانند PCI PTS، PA-DSS، (EMV certification (Level I, Level II, Contactless Level Iو … دخیل میباشند که پس از تأیید برنامهها (Source Codeبرنامه سمت دستگاههای سیار و همچنین برنامه سمت کارتخوان نیز به VISAارسال میگردد) در آزمایشگاههای VISA، عملیاتی میگردند. همچنین حوزه بازاریابی نیز شامل Enterprise Business، Small Micro Merchantsو Acquirersمیباشد که برنامههای خاصی برای آنها وجود دارد.
2-MasterCard: در برنامه این شرکت برای MPOS[iii]، نیز بمانند برنامه VISAدر حوزه امنیت، استانداردها و Best Practiceهای PCIمانند PCI PTS، PCI-DSS،P2PE، PA-DSSEMV certification (Level I, Level II)و … دخیل میباشند. لازم بذکر است که MasterCardبه نوبه خود نیز گواهینامههایی را به این منظور در نظر گرفته است که عبارتاند از M-TIPو TQM.
3-CUP: بازار هدف این شرکت برای MPOSها، بدلیل ارزان بودن راه حل و امنیت بالا، کسب و کارهای کوچک میباشد.
راه حل ارایه شده توسط PCI، P2PEنام دارد.طبق این استاندارد دو Zoneپرداخت تعریف گردیده است یکی Zoneشرکت ارایه دهنده خدمات پرداخت و کارت می باشد و دیگری Zoneنقطه پایانه پذیرش تا نقطه پردازش تراکنش در Zoneشرکت ارایه دهنده خدمات پرداخت می باشد. بنابراین استاندارد اطلاعات تراکنش از ابتدا (کارت خوان MPOS) تا PSPبه صورت رمزنگاری شده منتقل میگردد.
استاندارد P2PEاصول امنیتی ذیل را در راهکار خود بیان داشته است:
· رمزنگاری امن داده های کارت در point-of-interaction (POI)
· برنامه های مورد تایید P2PEدر POI
· مدیریت امن دستگاه های مربوط به رمزنگاری
· مدیریت محیطی که داده ها در آن رمزگشایی می گردند و تمامی داده های رمزگشایی شده
· استفاده از متدولوژی های رمزنگاری امن و عملیات های مربوط به کلیدهای رمزنگاری شامل تولید کلید، انتقال، کلیدگذاری، مدیریت و استفاده از کلیدها
البته شایان ذکر است در نسخه 3، استاندارد PCI-DSSبه پرداخت موبایلی اشاره نشده است. به عقیده بسیاری PCI-SSCدر حال بررسی و تدوین راه حل و یا استاندارد ویژه ای در این خصوص میباشد. اما تا آن زمان، قطعا دنیای کسب و کار مسیر خود را بر اساس P2PEپیش خواهد برد.
Thorstein Veblenجامعه شناس و اقتصاددان آمریکایی با ارایه تئوری جبر فناورانه (technological determinism) بیان میدارد، ذاتاً خود فناوری قدرتی دارد که باعث تغییرات در تمامی ابعاد ساختاری زندگی بشری میگردد. پیرو این تئوری فناوری MPOSنیز به همراه خود تغییرات در سطوح قوانین و الزامات، ساختارهای اجتماعی و ارتباطی صنعت پرداخت الکترونیک جهان را به همراه خواهد داشت. قابل پیش بینی خواهد بود که این فناوری بزودی در صنعت پرداخت کشور ما نیز جایگاه خود را بدست خواهد آورد. لذا مطرح نمودن شفاف دغدغه ها و سوالات در خصوص این فناوری نوین و تاثیر آن در مدل کسب و کار صنعت پرداخت کشور می تواند موجب تسریع در جانمایی آن در معماری کلان این صنعت گردد و قطعا این امر حضور فعال و مشارکت صاحبنظران را می طلبد.
این مقاله با همکاری مهدی رحیمی قاضی کلایه –مدیر امنیت شرکت فن آوا کارت تهیه شده است.
[1]https://www.abiresearch.com/press/mpos-to-make-up-46-of-all-pos-terminals-in-circula
[1]https://technologypartner.visa.com/mPOS/
[1]http://www.mastercard.com/corporate/_assets/img/features/MasterCard_Mobile_POS_Certification_Overview.pdf