چالش های توسعه MPOS در صنعت پرداخت /سه راهکارایجاد امنیت درخصوص موج چهار پرداخت

به گزارش پایگاه خبری بانکداری الکترونیک،شهاب یوسفی، معاون فناوری اطلاعات شرکت فن آواکارت؛طی مقاله ای  موج چهارم پرداخت الکترونیک در جهان و چالش های پیش روی این موج را بررسی کرده است. متن این مقاله در پی می آید:

پیشروی فناوری نوظهور MPOS

فناوری نوظهور MPOSبه همراه خود بحث‌ها و چالش‌های فراوانی را در صنعت پرداخت الکترونیک جهان به همراه داشته است. در حقیقت این فناوری به عنوان موج چهارم صنعت پرداخت‌های حضوری معرفی می گردد.

·  موج اول به صندوق‌های مکانیکی قدیمی اطلاق گردیده است.

· موج دوم ترکیب پیچیده پایانه فروش و کامپیوتر بودند.

· موج سوم راه کارهای گران POSهای سیار می باشد که قابلیت پرداخت در هر مکان و زمان را میسر ساخته است.

·  و موج چهارم که ترکیب دستگاه‌های POSبا Tabletها و یا گوشی‌های هوشمند می‌باشد که همراه خود راحتی و مقرون به صرفه بودن را به امکانات پیشین این صنعت افزوده است.

 طبق پیش بینی‌های ABIتا سال 2019 بیش از 51 میلیون دستگاه MPOSدر دنیا مورد استفاده قرار خواهد گرفت[i]. دلایل این فراگیری و رشد را می توان در منافع ذیل جستجو کرد:

·   Mobility–پویایی و سیار بودن آن موجب کارایی بالاتر می گردد.

· Low Cost Access Point- پایانه های MPOSهزینه ای به مراتب ارزانتر از پایانه های موجود دارند.

·   speeds up transactions- افزایش سرعت بالای انجام تراکنش به دلیل استفاده از بستر دیتای سیم کارت

·  Optimized Customer Service- راهکار های ارایه شده مبتنی بر تبلت و یا تلفن های هوشمند موجب توسعه آسان ارزش افزوده به راه کار های پرداخت الکترونیک می گردد.

·  Less Training Cost- هزینه آموزش کاربران به سبب فراگیری در بکارگیری تبلت ها و تلفن های هوشمند تا حد زیادی کاهش خواهد داشت.

·  Electronic Receipt –کاهش در هزینه های مربوط به رسید تراکنش (با حذف رسید کاغذی) و امکان ارسال رسید تراکنش توسط پیامک و یا ایمیل

در حال حاضر دو مدل کاربردی از MPOSتوسط حدود 80 تولید کننده طراحی گردیده است:

·  نوع اول که از مدل Dongle است، از طریق USBو یا Audio Jackبه گوشی متصل می‌گردد.

· نوع دوم که مدل Externalمی‌باشد، از طریق تکنولوژی‌های بیسیم مانند Bluetoothو Wi-Fiبا گوشی ارتباط برقرار می‌کنند.

ولیکن با وجود تمامی مزایای عنوان شده دغدغه تعریف چارچوب امنیت این راهکار همچنان مورد بحث است و نتیجه نهایی در این خصوص حاصل نشده است. برای پاسخ به سوال اینکه این دستگاه چه جایگاهی در صنعت پرداخت کشور ما بدست خواهد آورد، لازم است سه راه کار ارایه شده توسط شرکت‌های پیشرو در حوزه پرداخت در دنیا را مورد بررسی قرار دهیم.

1-VISA: در برنامه این شرکت برای MPOS[ii]، در حوزه امنیت، استانداردهای مختلفی مانند PCI PTS، PA-DSS، (EMV certification (Level I, Level II, Contactless Level Iو … دخیل می‌باشند که پس از تأیید برنامه‌ها (Source Codeبرنامه سمت دستگاه‌های سیار و همچنین برنامه سمت کارتخوان نیز به VISAارسال می‌گردد) در آزمایشگاه‌های VISA، عملیاتی می‌گردند. همچنین حوزه بازاریابی نیز شامل Enterprise Business، Small Micro Merchantsو Acquirersمی‌باشد که برنامه‌های خاصی برای آن‌ها وجود دارد.

2-MasterCard: در برنامه این شرکت برای MPOS[iii]، نیز بمانند برنامه VISAدر حوزه امنیت، استانداردها و Best Practiceهای PCIمانند PCI PTS، PCI-DSS،P2PE، PA-DSSEMV certification (Level I, Level II)و … دخیل می‌باشند. لازم بذکر است که MasterCardبه نوبه خود نیز گواهینامه‌هایی را به این منظور در نظر گرفته است که عبارت‌اند از M-TIPو TQM.

3-CUP: بازار هدف این شرکت برای MPOSها، بدلیل ارزان بودن راه حل و امنیت بالا، کسب و کارهای کوچک می‌باشد.

راه حل ارایه شده توسط PCI، P2PEنام دارد.طبق این استاندارد دو Zoneپرداخت تعریف گردیده است یکی Zoneشرکت ارایه دهنده خدمات پرداخت و کارت می باشد و دیگری Zoneنقطه پایانه پذیرش تا نقطه پردازش تراکنش در Zoneشرکت ارایه دهنده خدمات پرداخت می باشد. بنابراین استاندارد اطلاعات تراکنش از ابتدا (کارت خوان MPOS) تا PSPبه صورت رمزنگاری شده منتقل می‌گردد.

استاندارد P2PEاصول امنیتی ذیل را در راهکار خود بیان داشته است:

·   رمزنگاری امن داده های کارت در point-of-interaction (POI)

·  برنامه های مورد تایید P2PEدر POI

· مدیریت امن دستگاه های مربوط به رمزنگاری

·  مدیریت محیطی که داده ها در آن رمزگشایی می گردند و تمامی داده های رمزگشایی شده

·   استفاده از متدولوژی های رمزنگاری امن و عملیات های مربوط به کلیدهای رمزنگاری شامل تولید کلید، انتقال، کلیدگذاری، مدیریت و استفاده از کلیدها

البته شایان ذکر است در نسخه 3، استاندارد PCI-DSSبه پرداخت موبایلی اشاره نشده است. به عقیده بسیاری PCI-SSCدر حال بررسی و تدوین راه حل و یا استاندارد ویژه ای در این خصوص می‌باشد. اما تا آن زمان، قطعا دنیای کسب و کار مسیر خود را بر اساس P2PEپیش خواهد برد.

Thorstein Veblenجامعه شناس و اقتصاددان آمریکایی با ارایه تئوری جبر فناورانه (technological determinism) بیان می‌دارد، ذاتاً خود فناوری قدرتی دارد که باعث تغییرات در تمامی ابعاد ساختاری زندگی بشری می‌گردد. پیرو این تئوری فناوری MPOSنیز به همراه خود تغییرات در سطوح قوانین و الزامات، ساختارهای اجتماعی و ارتباطی صنعت پرداخت الکترونیک جهان را به همراه خواهد داشت. قابل پیش بینی خواهد بود که این فناوری بزودی در صنعت پرداخت کشور ما نیز جایگاه خود را بدست خواهد آورد. لذا مطرح نمودن شفاف دغدغه ها و سوالات در خصوص این فناوری نوین و تاثیر آن در مدل کسب و کار صنعت پرداخت کشور می تواند موجب تسریع در جانمایی آن در معماری کلان این صنعت گردد و قطعا این امر حضور فعال و مشارکت صاحبنظران را می طلبد.

 این مقاله با همکاری  مهدی رحیمی قاضی کلایه –مدیر امنیت شرکت فن آوا کارت تهیه شده است.

[1]https://www.abiresearch.com/press/mpos-to-make-up-46-of-all-pos-terminals-in-circula

[1]https://technologypartner.visa.com/mPOS/

[1]http://www.mastercard.com/corporate/_assets/img/features/MasterCard_Mobile_POS_Certification_Overview.pdf