در حال خواندن
نگاهی به مزایا و معایب استاندارد EMV / کالایی گران به نام امنیت
0

مینا نوبهار / سال ۸۳ بانک مرکزی با اعلام نیاز به استفاده از کارت هوشمند با تبعیت از استاندارد EMV و مطابقت با برنامه کاربردی VSDC از بانک ها خواست برنامه مهاجرت خود به کارت هوشمند را اعلام کنند. اما هیچ کس این دستورالعمل بانک مرکزی را جدی نگرفت و برنامه ای برای پیاده سازی استاندارد جدید طراحی نشد و همچنان بانک ها به صدور کارت های مغناطیسی خود ادامه دادند. پروژه EMV به دلایل متعددی همچون گران بودن، نبود زیرساخت های مناسب، مشکلات و آسیب های استفاده از EMV در کشور محقق نشد؛ پروژه ای که به دلیل فضای پساتحریم و اتصال به شبکه جهانی پرداخت از دید بانک مرکزی و بسیاری از صاحب نظران ضروری است و باید مقدمات لازم برای اجرایی کردن و پیاده سازی آن در کشور هر چه سریع تر فراهم شود. هرچند به باور برخی نیز اجرای آن تنها بر چرخه کارت های بین المللی ضروری است و نیازی به پیاده سازی آن روی چرخه کارت های داخلی نمی دانند. عده ای دیگر هم به دلیل فراهم نبودن شرایط و زمان بر بودن آن، به طورکلی ضرورت چندانی برای تحقق آن نمی بینند.
پیشینه شکل گیری استاندارد EMVبا ظهور کارت های هوشمند در دنیا، انتظار می رفت کاربرد آن ها در سیستم های بانکی بیش از سایر حوزه ها باشد اما به دلیل مزایای پیشینیان آن ها یعنی کارت های مغناطیسی، روند گذار به کارت های هوشمند در همه کشور ها به سرعت محقق نشد. ازجمله این مزایا می توان به سهولت و گستردگی استفاده از آن اشاره کرد، درحالی که کارت های هوشمند به سادگی قابل گسترش نیستند چراکه هزینه تهیه سیستم های پرداخت مبتنی بر این نوع کارت ها بالاست.اما باوجود این قبیل معایب، نرم افزارهای مخابراتی بسیاری روی این تراشه های هوشمند قرار گرفت و همچنین بانک ها نیز در بسیاری از کشورها به دلیل ناتوانی کارت های مغناطیسی در برخی حوزه ها همچون پرداخت های آفلاین، خرد و بدون رمز به سمت کارت های هوشمند رفتند.در همین راستا برای گسترش و شناساندن مزایای کارت های هوشمند در مؤسسات مالی و بانک ها، سه شرکت پیشرو Visa و Master card و Euro pay اقدام به تدوین مجموعه مشخصاتی برای سهولت و یکسان سازی نحوه استفاده از کارت های هوشمند کردند که این مجموعه مشخصات تحت عنوان EMV برگرفته از حروف اول نام این سه شرکت شناخته شد. بعدها برای حمایت و گسترش این مجموعه مشخصات توسط این سه شرکت، موسسه ای به نام EMV Co ایجاد شد که به طور مرتب مجموعه مشخصات را بازنگری و اصلاح می کند و قابلیت های جدیدی به آن می افزاید.یکی از مهم ترین تأثیراتی که این موسسه بر صنعت پرداخت گذاشت، متمایل ساختن آن به سوی کارت هوشمند بود. پیش از آن هر موسسه مالی یا بانک و شرکت صادرکننده کارت به سلیقه خود عمل می کرد و سیستم موردنظر خود را طراحی می کرد که متضمن موفقیت آن نبود. همچنین از بابت پذیرش آن در سایر مؤسسات و بانک ها چه در داخل و چه در سایر کشورهای دنیا اطمینانی وجود نداشت. علاوه بر این، جایگزین سازی کارت های هوشمند به جای مغناطیسی عملاً امکان پذیر نبود ولی با شناساندن مزایای کارت های هوشمند و پیدایش مجموعه مشخصات EMV برای این کارت ها، استفاده از آن ها فراگیر و تبدیل به یک الزام شد.پیشینه کارت های هوشمند در ایرانپروژه کارت های هوشمند از اواخر دهه ۷۰ به شبکه بانکی ایران معرفی شد؛ هنگامی که بانک مسکن کارت هوشمند خود را به عنوان جایگزینی برای دفترچه حساب و دفترچه پرداخت اقساط وام های مسکن صادر کرد. پس ازآن در سال های ۸۰-۷۹ بود که شرکت ایز ایران کارت هوشمند جدیدی به نام «ثمین» معرفی کرد که پروسه تحقق آن در سال ۸۰ به دلیل مخالفت بانک مرکزی متوقف شد. شرکت خدمات انفورماتیک نیز برای سوئیچ بانک توسعه صادرات و بانک کشاورزی سیستم هایبرید (مغناطیسی و هوشمند) را ایجاد کرده بود. اما باوجود چنین تلاش هایی، پروژه کارت های هوشمند به صورت جدی در دستور کار قرار نگرفته بود. علاوه بر این، هنوز استاندارد EMV جنبه صنعتی پیدا نکرده و در کشور مطرح نبود. تا اینکه در سال ۸۳ این بار خود بانک مرکزی موضوع کارت های هوشمند را در دستور کار خود قرار داد و آیین نامه ای در خصوص استاندارد EMV برای این کارت ها تصویب و ابلاغ کرد.به موجب آیین نامه مذکور کلیه کارت های هوشمندی که مورداستفاده قرار خواهند گرفت باید منحصراً دارای استاندارد EMV (۲۰۰۰۴) باشند و در همین راستا یک مرجع ذی صلاح بین المللی استاندارد آن ها را تائید کند.البته مفاد آیین نامه به تائید مرجع بین المللی محدود نمی شد، بحث صدور گواهینامه کلید عمومی برای بانک های متقاضی نیز در این آیین نامه مطرح شد که در این خصوص قرار بود «مرکز صدور گواهی» اداره نظام های پرداخت در بانک مرکزی دست به کار شود. در این میان وظیفه مرکز شتاب نیز انجام تمهیدات لازم برای امکان پردازش تراکنش های کارت های هوشمند بود.نکته مهم دیگر آیین نامه این بود که قرار بود تا پایان سال ۲۰۰۵ کارت های هوشمند در سطح بین المللی جایگزین کارت های مغناطیسی شوند، به همین دلیل بانک ها می بایست برنامه عملیاتی خود را در این خصوص به بانک مرکزی اعلام می کردند.از آن زمان زمزمه صدور کارت EMV آغاز شد و به دنبال آن، بانک صادرات کارت های اعتباری خود را هوشمند ساخت.سال ۱۳۸۷ بازهم خود بانک مرکزی دست به کار شد اما صرفاً قوانینی کلی در حوزه کیف پول الکترونیکی تدوین کرد که توجه چندانی به آن نشد و عملاً با آمدن شتاب و گسترش آن، استفاده از کارت هوشمند به تعویق افتاد.اگرچه از آن زمان تاکنون بانک مرکزی موضع خود مبنی بر الزام گذار به کارت های هوشمند EMV را حفظ کرده اما هنوز برنامه دقیقی برای اجرایی کردن آن پیش بینی نشده است. ضمن اینکه موضوع تازه ای تحت عنوان استفاده از گوشی های هوشمند به جای ابزار پرداخت مطرح شده؛ موضوعی که در اظهارات ناصر حکیمی مدیرکل فناوری اطلاعات بانک مرکزی در همایش تراکنش امسال نیز مطرح شد. به گفته حکیمی، با آمدن گوشی های هوشمند در کنار تأخیر در مهاجرت به EMV شاید فرصتی به وجود آمده که از این فاصله تکنولوژیک با دنیا استفاده و مستقیماً کارت های موجود را روی گوشی هوشمند منتقل کنیم؛ به طوری که از این گوشی ها هم به عنوان کارت و هم به عنوان ابزار پذیرش استفاده کنیم و در هزینه های سرمایه گذاری برای مهاجرت هم صرفه جویی کنیم.تجربه EMV در کشورهای مختلف و رشد تعداد کارت های آن در دنیاسابقه EMV در سرتاسر دنیا به بیش از ۱۴ سال می رسد. کشورهای متعددی همچون انگلستان، کانادا، کشورهای خاورمیانه، آفریقا و اتحادیه اروپا به سمت EMV رفته اند و تاکنون بیش از ۲۰۰ گواهینامه EMVco مورد تائید قرار گرفته است.بر اساس آماری که خود EMVco در آخرین گزارش خود در ماه مه ۲۰۱۵ منتشر کرده، ۳۲ درصد کل تراکنش هایی که با کارت تراشه دار (چه با تماس چه بدون تماس) در سال ۲۰۱۴ انجام شده، از تکنولوژی تراشه EMV استفاده کرده اند که این تعداد به نسبت سال ۲۰۱۳ بیش از ۲۹ درصد افزایش داشته است. در حال حاضر بیش از ۴/۳ میلیارد کارت EMV در گردش است که نسبت به سال ۲۰۱۳ افزایش ۴۳ درصدی داشته.تا پایان سال ۲۰۱۴، در کشور آمریکا ۱۰۱ میلیون فقره از کارت های بانکی، EMV بوده که ۱۲/۰ درصد از تراکنش های این کشور را به خود اختصاص داده بودند. نخستین مهاجرت کارت های بانکی این کشور به EMV با پیشگامی Creditcall در آوریل سال ۲۰۱۳ محقق شد. Creditcall پیش تر با تولیدکنندگان سخت افزار در آمریکا همکاری کرد تا از آمادگی پایانه های پرداخت این کشور برای پذیرش کارت های تراشه دار EMV اطمینان حاصل کند. به دنبال آن American Express، Discovery، Visa و MasterCard در این کشور به سمت EMV رفتند.در حال حاضر استفاده از کارت های EMV در این کشور به قدری گسترش یافته که در قوانین مربوط به پرداخت ها نیز لحاظ شده است به طوری که اگر طی قراردادی میان دو موسسه مالی یکی از طرفین EMV نداشته باشد، در صورت وقوع هرگونه مشکلی، موسسه ای که EMV ندارد مقصر شناخته می شود.در خاورمیانه و آفریقا نیز از سال ۲۰۱۳ تا ۲۰۱۴ رشد ۱۲ درصدی در استفاده از سیستم EMV به وقوع پیوست به طوری که تعداد کارت های EMV به ۱۱۶ میلیون افزایش یافت. در همین بازه زمانی در اروپای غربی و شرقی نیز به ترتیب ۸۳۳ و ۱۵۳ میلیون کارت EMV وجود داشت. این بدان معنی است که در این مناطق به ترتیب ۸۳ و ۴۰ درصد مردم به استفاده از این سیستم روی آوردند.مزایای EMVEMV یک استاندارد جهانی برای کارت های پرداخت مبتنی بر فناوری تراشه است که به پردازش پرداخت های اعتباری کارت های دارای تراشه ریزپردازشگر نیز می پردازد. علت نام گذاری Chip and Pin برای تراکنش هایی که با این کارت ها صورت می گیرد این بوده که برای تائید هویت صاحب حقیقی کارت به پین نیاز است. این درواقع یک روش برای ساده سازی است چراکه ویژگی های EMV روش های تائید دارندگان کارت را نیز دربر می گیرد.EMV در مقابل تراکنش های مغناطیسیبرخلاف آنچه در تراکنش های کارت های مغناطیسی صورت می گیرد و تنها دو نوع اطلاعات یعنی شماره کارت و تاریخ انقضا را پردازش می کند، در کارت های تراشه دار EMV اطلاعات بسیار زیادی میان کارت، پایانه و بانک پذیرنده یا میزبان پردازشگرها تبادل می شود.تحقق این روند و انجام یک تراکنش موفق، نیازمند اجرای مراحل پیچیده ای از پردازش توسط پایانه است. این بدان معنی است که افزودن استاندارد EMV به اپلیکیشن های پرداخت می تواند کار سخت و اضطراب آوری باشد. بااین حال استفاده از این نوع کارت ها مزیت های بسیاری نیز دارد که شاید بتوان مهم ترین آن ها را در امنیت بالا و کاهش ریسک، کاهش هزینه های مخابراتی، داشتن حافظه و پردازشگر خلاصه کرد.امنیت بالا و کاهش ریسکاگرچه استفاده از کارت های مغناطیسی در سال های اخیر باعث تسهیل پرداخت ها در کشور شد اما بحث فراد و پوز های تقلبی نیز از چند سال پیش خبرساز بوده اند. باوجود اینکه حجم این فرادها زیاد نبود اما در صورت گستردگی می تواند منجر به سلب اعتماد مردم در استفاده از این سیستم پرداخت شود.بر اساس تجربیات به دست آمده در سرتاسر دنیا، استفاده از کارت های مبتنی بر استاندارد EMV امکان کلاه برداری و تخلف (فراد) را به شدت کاهش می دهد؛ چنانچه طبق برآورد موسسه Visa دست کم تا ۷۰ درصد تخلفات کاهش یافته و ۹۰ درصد سوءاستفاده از کارت های مفقودی و دزدی قابل پیشگیری خواهد بود. دلیل این امر هم مشکل تر بودن جعل کارت های هوشمند نسبت به کارت های مغناطیسی است. فراد علاوه بر امکان سوء استفاده از کارت های مفقودی یا دزدیده شده، شامل هک اطلاعات کارت تعویضی، جعل کردن کارت، کلاه برداری بدون حضور کارت فیزیکی و سرقت شناسه کارت نیز می شود.یکی از نمونه های موفق EMV در زمینه کاهش فراد در کشور فرانسه تحقق یافت به طوری که از سال ۱۹۹۲بیش از ۸۰ درصد کاهش فراد داشت. در انگلستان نیز از سال ۲۰۰۸، فراد در کارت ها ۷۵ درصد کاهش یافت.کاهش هزینه های مخابراتیبرخلاف تراکنش های کارت های مغناطیسی که اکثر آن ها مستلزم اخذ مجوز با اتصال پیوسته (Online Authorization) است، امنیت بالای کارت های هوشمند باعث شده انجام تراکنش های ناپیوسته (آفلاین) نیز ممکن شود. به همین دلیل هزینه های مخابراتی نیز کاهش می یابد.وجود حافظه و CPUاهمیت وجود حافظه و پردازشگر روی کارت ها از این جهت است که به کمک آن ها می توان برنامه های متنوعی چون E-PURSE و LOYALTY را نیز روی کارت هوشمند قرار داد؛ برنامه هایی که سبب جذب مشتری می شوند.الزامات گذار به EMVتطبیق نظام پرداخت با مشخصات EMV و به تبع آن برخورداری از مزایای برشمرده شده ممکن نخواهد بود مگر با ایجاد تغییراتی عمده شامل جایگزینی همه کارت های مغناطیسی و کارت های هوشمند Non-EMV با کارت های EMV، ارتقای پایانه های P.O.S و ATM جهت پذیرش کارت هوشمند و کارت خوان مورد تائید EMV و افزایش قابلیت پردازش در ابزارهای Front Office و Back Office. البته تمرکز EMV بیشتر بر حوزه پذیرندگی است تا امنیت کسب وکار را بالا ببرد.در این راستا وظایف مختلفی برای فعالان این حوزه متصور است. به عنوان مثال بانک ها باید در حوزه تجهیزات خود همچون ATM، کیوسک، سوئیچ و دستگاه های شخصی سازی کارت به سمت EMV بروند.در حوزه پذیرندگی نیز شتاب، شاپرک و PSPها باید در بخش سوئیچ های خود تغییراتی را مبتنی بر EMV اجرا کنند. در دهه ۸۰ تمرکزها بر موضوع خرید پوزهایی بود که قابلیت پشتیبانی از سطوح مختلف EMV را داشته باشند اما پس از مدتی فشار بانک مرکزی کمتر شد و چنین تمرکزی از بین رفت. به طوری که در حال حاضر کمتر از ۵۰ درصد پوزهای موجود دارای قابلیت خوانش کارت های EMV را دارند.گرانی؛ مشکل اصلی کارت های هوشمنددر سال ۱۳۸۳ مجموع کارت های صادره بانکی در کشور هفت میلیون و ۸۲۳ هزار فقره کارت بود اما بر اساس آخرین گزارش بانک مرکزی این ارقام تا پایان نیمه اول سال ۹۴ به بیش از ۳۶۰ میلیون فقره افزایش یافته است. از این تعداد، ۲۴۳ میلیون کارت برداشت، ۱۱۶میلیون کارت هدیه، ۶/۱ میلیون کارت اعتباری و دو میلیون کارت پول الکترونیکی است. در صورت گذار به EMV باید تمامی این کارت ها به صورت تدریجی تغییر کنند.علاوه بر این بحث بالا بودن قیمت کارت های هوشمند هم وجود دارد. طبق آمارهای موجود در آمریکا قیمت هر کارت هوشمند معمولی بیش از دو تا پنج دلار است، درحالی که قیمت کارت مغناطیسی در خریدهای انبوه پنج تا ۱۵ سنت است. با مقایسه قیمت کارت های هوشمند با کارت های مغناطیسی به راحتی می توان دریافت چرا بسیاری از کشورها تاکنون به سمت استفاده از کارت های هوشمند در شبکه پرداخت خود نرفته اند. اما در ایران قیمت به نسبت پایین تر است؛ حدود دو هزار تومان برای خرید یک کارت مغناطیسی و حدود پنج تا شش هزار تومان برای خرید کارت هوشمند EMV برآورد می شود.به عقیده بسیاری از صاحب نظران قیمت کارت هوشمند در مقابل کارایی و عملکرد آن بهای اندکی است، ضمن اینکه برخلاف کارت های مغناطیسی هزینه عملیات، ریسک و هزینه های اضافی نیز ندارد. علاوه بر این انتظار می رود با استفاده از برنامه های متنوع آن امکان جذب سپرده و مشتری، بیشتر و راحت تر شود.همچنین به دلیل اینکه بانک ها و پذیرندگان به استفاده از پایانه های EMV-POS نیاز دارند و EMV باعث راهیابی انواع برنامه ها روی یک کارت هوشمند می شود، پایانه ها هم ملزم به ارائه قدرت پردازش بالا، تفکیک برنامه ها و سایر جنبه های موردنیاز برای یک محیط قابل اطمینان چند برنامه ای می شوند. از سوی دیگر با لزوم پردازش داده هایی که توسط کارت EMV حاصل می شود، بانک ها به پردازشگرهای بیشتری نیاز خواهند داشت چراکه به خاطر امنیت بالاتر، حجم روزانه داده های تولیدشده با هر کارت هوشمند دو تا چهار برابر داده هایی است که یک کارت مغناطیسی تولید می کند. بنابراین علاوه بر حوزه صدور کارت و هزینه های آن، در بخش پایانه های پذیرش نیز هزینه های بسیاری نیاز است. در این خصوص بسیاری از ۳۰۰ تا ۵۰۰ میلیون دلار سرمایه گذاری در کل کشور برای انجام تغییرات نرم افزاری در پایانه ها صحبت می کنند.امنیت پایین در خرید آنلاینباوجود اینکه مهم ترین مزیت کارت های EMV بحث امنیت عنوان می شود، اما به باور بسیاری این به معنی وجود امنیت کامل نیست و بحث فراد، فقط از حالت ساده به فرآیندی پیچیده مبدل خواهد شد که به ابزارهای بیشتری نیاز دارد.موضوع امنیت EMV در شورای استانداردهای امنیتی PCI یا صنعت کارت پرداخت نیز مطرح شده است. به عقیده اعضای این شورا به عنوان تنظیم کننده قوانین خرده فروشان در پذیرش کارت های پرداخت، استفاده از کارت های EMV استانداردهای امنیتی موجود را تغییر نخواهد داد.علاوه بر این ها، متخصصان بسیاری در حوزه کارت های پرداخت به این نتیجه رسیده اند که اگرچه حرکت به سمت کارت های chip and pin ممکن است تقلب در فروشگاه را کاهش دهد اما از کلاه برداری در خریدهای آنلاین جلوگیری نمی کند. باوجود اینکه برای تکمیل تراکنش خرید آنلاین نیاز به واردکردن پین است اما هکرها به راحتی می توانند از طریق شماره کارت، پین را هم هک کنند. چنانچه در بریتانیا از زمانی که فناوری EMV را در کارت ها پیش گرفتند -یعنی از سال ۲۰۰۴ تا سال ۲۰۱۴- اگرچه آمار فراد در فروشگاه ها ۶۳ درصد کاهش یافت اما فرادهای خرید آنلاین ۱۲۰ درصد افزایش پیدا کردند.برای جلوگیری از چنین سوءاستفاده هایی بسیاری از متخصصان معتقدند با استفاده از NFC که یا به صورت یک یواس بی است یا روی پی سی نصب شده، می توان کارت EMV را تائید و بدین ترتیب تراکنش آنلاین را تکمیل کرد. تراشه نصب شده روی این کارت ها در پرداخت با موبایل هایی که از NFC پشتیبانی می کنند نیز قابل استفاده است. به همین دلیل است که پیش بینی می شود در سال ۲۰۱۶ برخی روش های تائید هویت با NFC بسیار رایج شود.باوجود تمام معایب و مزایایی که استاندارد EMV دارد، نمی توان منکر گستردگی روزافزون آن در سرتاسر دنیا بود.تحقق EMV در کشور با توجه به جمعیت ۸۰ میلیونی ایران، تعداد شعب، پوزها و ATMها نیازمند یک برنامه دو تا پنج ساله خواهد بود؛ ضمن اینکه تمامی بانک ها و اعضای شبکه بانکی باید بر سر پیاده سازی این استاندارد هم صدا شوند. همچنین تاکنون برنامه آموزشی فراگیری برای کارشناسان فنی در خصوص EMV وجود نداشته و بسیاری از آن ها از جزییات دقیق این استاندارد اطلاعی ندارند؛ بنابراین پروژه EMV علاوه بر سرمایه گذاری در بخش نرم افزاری، سخت افزاری و به طورکلی در زیرساخت های لازم، نیازمند رفع اختلاف نظرها، آموزش و به کارگیری نیروی انسانی خبره در حوزه EMV و از همه مهم تر سرعت عمل است؛ موضوعی که با آغاز روزشمار برای سفر نمایندگان بانک های مهم بین المللی به ایران بیش از همیشه اهمیت یافته است.منبع: پیوست

درباره نویسنده
عبداله افتاده
دانش آموخته رشته روابط عمومی الکترونیک هستم، به واسطه شرایط زندگی رشته‌های مختلف کاری را تجربه کردم، تا اینکه در سال 1380 با ورود به خبرگزاری ایرنا استان تهران به عنوان خبرنگار متوجه اشتیاق فراوان به این حرفه شدم. از آن زمان تاکنون نیز در رسانه‌های مختلف در حوزه فناوری اطلاعات و ارتباطات مشغول به فعالیت بوده‌ام. موجب خرسندی است اگر انتقادات، پیشنهادات و سوژه های خبری خود را از طریق کانال‌های ارتباطی زیر با من به اشتراک بگذارید.

ارسال یک نظر