توکن گذاری کافی نیست؛ نقش نرم افزارها در پرداخت های موبایلی امن
نگاهی به امنیت از جانب دستگاه
پرداخت های موبایلی ابری مبتنی بر HCE فصل جدیدی را در صنعت امنیت کارت ها و داده های روی دستگاه ها و هم چنین مدیریت مخاطرات مرتبط با آن آغاز کرده اند./در بررسی اجرای پرداخت های ابری بر HCE و توکن گذاری، دو جنبه مهم را باید در نظر گرفت. یکی صدور توکن ها به صورت پویا و دوم امنیت و مدیریت از جانب خود دستگاه است./امنیت از جانب دستگاه به معنای اجرای المان امن (سکیور المنت) به صورت نرم افزاری است و هدف از آن محافظت از داده های کارت و کلید ها و توابع کریپتوگرافیک است.
به گزارش پایگاه خبری بانکداری الکترونیک،پرداخت های موبایلی ابری مبتنی بر HCE فصل جدیدی را در صنعت امنیت کارت ها و داده های روی دستگاه ها و هم چنین مدیریت مخاطرات مرتبط با آن آغاز کرده اند.
عدم وجود سخت افزار سکیور المنت (المان امن) بر روی همه دستگاه ها، نیاز به نرم افزارهای قوی و کاهش خطر داده های حساس روی حافظه های گوشی ها را افزایش داده است. توکن گذاری به عنوان یک راه حل بسیار مهم می تواند پرداخت های ابری امن را فراهم می کند. این تکنولوژی با جایگزین کردن رشته ای از کاراکترها به نام «توکن» به جای شماره حساب شخصی (PAN) توانسته است از شماره حساب اصلی در مقابل سوء استفاده ها محافظت کند.
آیا روش توکن گذاری کفایت می کند؟
توکن گذاری به معنای استفاده یکبار مصرف از داده ها است. اگر داده های کارت ها در استفاده یکبار مصرف نیز به خطر بیفتند، فقط همان تراکنش در خطر است. با این حال، همانطور که در توصیف توکن گذاری در مستندات EMV آمده است، تعریف توکن، جایگزینی برای PAN است و با استفاده از داده ها برای مصرف یکباره تفاوت دارد. این ویژگی های توکن گذاری در سرویس های تجاری امروزی پیاده سازی می شود اما طول عمر بیشتری دارند. بنابراین دریچه ای برای تقلب های احتمالی باز می ماند. لذا نقش توکن گذاری در امنیت پرداخت های ابری برای پرداخت هایی که ارزش کمی دارند کفایت می کند. نکته اصلی امنیتی تامین شده توسط روش توکن گذاری این است که هکرها نمی توانند از داده های کارت های به سرقت رفته به صورت آنلاین و یا از کانال های دیگر استفاده کنند.
علاوه بر این، داشتن کلیدهای رمزنگاری شده در پایگاه داده های گوشی های همراه نیز آسیب پذیری بحرانی در برابر این گونه حملات دارد.
در بررسی اجرای پرداخت های ابری بر HCE و توکن گذاری، دو جنبه مهم را باید در نظر گرفت. یکی صدور توکن ها به صورت پویا و دوم امنیت و مدیریت از جانب خود دستگاه است.
مدیریت از جانب دستگاه، قابلیتی است که به موجب آن می توان پارامترهای آستانه ای را تحت نظر داشت تا سیاست ایجاد یک تراکنش و پرکردن موجود حساب به خوبی مدیریت شود. برای مثال، اگر یک بانک تصمیم بگیرد که پارامترهای حساب های خود را مقداردهی کند، اگر دستگاهی که برای تراکنش استفاده می شود در فاصله 250 مایلی از مکانی قرار داشته باشد که این داده ها صادر شده اند، این امر امکان پذیر می باشد. در این مورد، سیستم صدور دیجیتال، پارامترهای آستانه ای را ریسِت می کند و کلید استفاده-محدود را مجدداً پر می کند. این مثالی است برای این که ببینیم چگونه داده های موقعیت مکانی می تواند برای مدیریت پارامترهای حساب به صورت پویا مورد استفاده قرار گیرد و پرداخت های ابری به خوبی پیاده سازی شود.
امنیت از جانب دستگاه به معنای اجرای المان امن (سکیور المنت) به صورت نرم افزاری است و هدف از آن محافظت از داده های کارت و کلید ها و توابع کریپتوگرافیک است. علاوه بر این، یکپارچه سازی اپلیکیشن باید در برابر تغییرات اعمال شونده از سوی هکرها نیز مقاوم باشد. باید با به کارگیری تکنیک های متنوع از یکپارچه سازی اپلیکیشن و کریپتوگرافی اصطلاحاً «جعبه سفید» استفاده شود.
در پایان، پرداخت های موبایلی امن، مخصوصا HCE ابری فقط از طریق نفوذ به کلیه ابزارهای امنیت امکان پذیر می باشد. این شامل توکن گذاری شبکه ای و صدور توکن به صورت پویا و مدیریت آن ها و هم چنین نرم افزارهای قوی که بر روی دستگاه نصب است و اسکنر اثرانگشت می باشد. هر چه زودتر این موضوعات را بدانیم، می توانیم رویکرد جامع تری به پرداخت های موبایلی امن داشته باشیم و به دنبال آن پرداخت های موبایلی به جای این که فقط در استفاده پیشگامان تکنولوژی باشد، به اکثریت جامعه نیز بهره می رساند.
کاشیک روی(نویسنده این مقاله)، مدیر ارشد محصولات در شرکت سکوئنت، با دو دهه تجربه در تعریف و تحویل پروژه های نرم افزاری بزرگ مقیاس، و مؤلف همکار در بسیاری از پتنت های پرداخت های موبایلی، NFC و تکنولوژی مدیریت فرایند می باشد.
نویسنده: کاشیک روی
مترجم:سمانه سمیعی
منبع : http://www.mobilepaymentstoday.com