اتصال کهربا به دستگاه های کارتخوان آورده اقتصادی برای برخی از شرکت های پرداخت الکترونیک نداشته است

چابک آنلاین، حدیث اسماعیل زاده، هر تغییر، پاسخی بود به یک چالش مشخص و تلاشی برای هماهنگ نگه داشتن شبکه‌ای که هر روز بزرگ ‌تر و پرتراکنش‌ تر می ‌شد.

اما امروز مسئله فقط نوع رمز یا ابزار تأیید نیست؛ مسئله این است که آیا می‌ توان میان انواع مختلف تراکنش تفاوت قائل شد یا همچنان همه پرداخت‌ ها باید از یک مسیر واحد عبور کنند؟ 

در شرایطی که رفتار کاربران متنوع ‌تر شده و ابزارهای پرداخت در دنیا شکل‌ های گوناگون گرفته‌ اند، یکسان دیدن همه سناریوها بیش از گذشته محل تأمل است.

اکوسیستم پرداخت حالا در مرحله ‌ای قرار دارد که باید از نگاه صرفاً مرحله ‌به ‌مرحله عبور کند و به سمت طراحی هوشمندتر فرآیندها حرکت کند، طراحی ‌ای که بتواند هم پاسخ‌گوی مقیاس شبکه باشد و هم تجربه ‌ای روان ‌تر برای کاربر رقم بزند.

برای بررسی ابعاد این موضوع، گفتگویی با " "ساناز دهقانی""، مدیر ریسک و برنامه‌ریزی امنیت شرکت پرداخت الکترونیک سداد صورت گرفته که از نظر می گذرد.

مدیر ریسک و برنامه‌ریزی امنیت شرکت پرداخت الکترونیک سداد با اشاره به سیر تحول احراز هویت در پرداخت‌های کارتی، اظهار کرد : در ابتدای مسیر، پرداخت ‌ها مبتنی بر رمزهای ثابت انجام می ‌شدند و رمز اول و دوم کارت ‌ها ثابت (و عامل دانستنی) بود و همین موضوع ریسک ‌های متعددی ایجاد می‌کرد و زمینه‌ساز فیشینگ گسترده، سرقت اطلاعات و برداشت غیرمجاز چشمگیر از کارت‌های بانکی بود. پس از آن بانک مرکزی به منظور مقابله با این ریسک، اقدام به الزامی کردن انجام تراکنش کارتی غیرحضوری از طریق رمز دوم پویا کرد که برای فراگیر شدن آن در یک برهه زمانی، چاره‌ای جز ارائه رمز پویا از طریق پیامک نبود.

 به بیان دیگر در الزامات اولیه پرداخت بدون حضور کارت با رمز پویا  باید با سازوکار احراز هویت دوعاملی این امر محقق می‌شد و بانک‌ها با ارائه برنامک‌های رمزساز نتوانسته بودند مشتریان خود را به این سمت سوق دهند و این موضوع مسبب بازگشت به احراز هویت تک عاملی (عامل داشتنی سیمکارت) شد.

ساناز دهقانی، در گفتگو با چابک آنلاین، گفت : پس از آن، شبکه شتاب برای تبادل پیام ‌های مرکزی پرداخت، سامانه‌ای با عنوان هریم را راه‌اندازی کرد که این سامانه در واقع نقش یک تسهیل گر برای رمز دوم یک ‌بارمصرف (پویا) را برعهده گرفت. 

وی، بیان کرد :کارکرد اصلی سامانه هریم این بود که امکان ارسال درخواست رمز دوم پویا از سمت پذیرندگی به بانک صادرکننده فراهم شود به‌طوری که بانک بتواند تشخیص دهد دارنده کارت در آن لحظه قصد دریافت رمز دوم پویا برای انجام تراکنش را دارد.

مدیر ریسک و برنامه‌ریزی امنیت شرکت پرداخت الکترونیک سداد، تصریح کرد : اگر قرار بود کاربر در حین پرداخت در درگاه، مستقیماً با بانک خود ارتباط بگیرد و درخواست رمز کند، این فرایند هم پیچیده بود و هم تجربه کاربری ضعیفی ایجاد می‌کرد، بنابراین سامانه هریم دقیقاً برای حل همین مسئله ایجاد شد تا درخواست رمز پویا از پذیرندگی دریافت و به بانک صادرکننده منتقل شود؛ در فاز تکمیلی، اطلاعات و جزئیات کامل‌تری از تراکنش مانند مبلغ و گیرنده به درخواست رمز افزوده شد که منجر به پیوند خوردن رمز پویا به مشخصات تراکنش شد تا بانک درخواست را با مشخصات تراکنش تطبیق دهد.

دهقانی، ادامه داد : همان دکمه درخواست رمز پویا که امروز کاربر فشار می ‌دهد، در واقع به نوعی درخواست احراز هویت را از طریق سامانه هریم به سمت بانک صادرکننده ارسال می ‌شود و بانک نیز رمز را از طریق پیامک در اختیار کاربر قرار می‌دهد به بیان ساده‌تر، این سامانه مسیر احراز هویت مبتنی بر OTP را تسهیل کرده است.

وی تأکید کرد : همین سازوکار، پتانسیل گذار به احراز هویت مبتنی بر ریسک را دارد و اگر اطلاعات تراکنش و محیط پذیرندگی در اختیار سامانه‌ ای مانند هریم یا یک موتور محاسبه ریسک قرار بگیرد، سیستم می‌تواند تصمیم بگیرد که آیا اساساً نیازی به احراز هویت وجود دارد یا نه. 

مدیر ریسک و برنامه‌ریزی امنیت شرکت پرداخت الکترونیک سداد، اذعان کرد : برای مثال، کاربری که با یک اپلیکیشن احرازشده، تراکنش ‌هایی با مبالغ کم دارد، لزوماً نباید درگیر دریافت پیامک و وارد کردن رمز پویا شود. در چنین حالتی، داده‌های رفتاری و اطلاعات دستگاه می‌تواند مبنای تصمیم‌گیری قرار گیرد و تراکنش‌های کم‌ریسک بدون ایجاد اصطکاک انجام شوند.

دهقانی، گفت : سامانه هریم امروز همچنان ماهیتی استاتیک دارد؛ بنابراین لازم است یک مرحله گذار اتفاق بیفتد و داده ‌های کامل‌تری در اختیار این سامانه قرار گیرد تا بتواند به‌صورت هوشمند تصمیم بگیرد که یک تراکنش بدون احراز هویت انجام شود، با رمز پویا پیش برود یا نیازمند احراز هویت قوی ‌تری مانند مراجعه به همراه ‌بانک باشد.

وی، بیان کرد : احراز هویت باید از حالت یکنواخت خارج شود و بر اساس سطح ریسک تراکنش، تصمیم‌گیری کند که برای این موضوع سه سطح را می‌توان مطرح نمود، تراکنش‌های بدون احراز هویت، تراکنش ‌های با احراز هویت معمول (یکبار رمز) و تراکنش‌ های پرریسک که نیازمند احراز هویت قوی‌تر هستند.

مدیر ریسک و برنامه‌ریزی امنیت شرکت پرداخت الکترونیک سداد با اشاره به نمونه‌های جهانی گفت: چنین مدلی در دنیا با مفاهیمی مانند Click to Pay و 3D Secure پیاده‌سازی شده است که در این چارچوب ‌ها، اطلاعات محیط پذیرندگی و رفتار کاربر دریافت می ‌شود و سیستم تصمیم می‌گیرد که پرداخت بدون چالش انجام شود یا کاربر وارد مرحله احراز هویت شود. 

دهقانی اعلام کرد : این استانداردها ذیل نهادهایی مانند EMVco توسعه یافته ‌اند و هدفشان استانداردسازی فناوری‌های پرداخت است، مفهومی که در ایران نیز مشابه آن، از جمله در پرداخت‌های مبتنی بر NFC و طرح کهربا، تجربه شده است.

وی، اضافه کرد: مسئله اینجاست که ما در ایران معمولاً استانداردهای جهانی را با تغییرات زیاد پیاده ‌سازی می‌کنیم و بعد همان نسخه تغییریافته را معادل نمونه اصلی معرفی می‌کنیم. برای مثال، پرداخت با یک کلیک در ایران عملاً همان دایرکت‌ دبیت است، در حالی که Click to Pay در چارچوب EMV تعریف دیگری دارد. در دایرکت‌دبیت، کاربر به پذیرنده اجازه می‌دهد تا در چارچوب سقف و تعداد مشخص، مستقیماً از حساب او برداشت کند و دیگر درگیر انجام هر تراکنش نشود.

مدیر ریسک و برنامه‌ریزی امنیت شرکت پرداخت الکترونیک سداد درباره پرداخت کهربایی و NFC  افزود : این مدل ‌ها نتوانسته ‌اند جایگزین تجربه کارت‌کشیدن شوند زیرا تجربه فعلی کارت فیزیکی و وارد کردن رمز چهاررقمی همچنان ساده ‌تر و سریع‌تر از احراز هویت در گوشی، اسکن QR یا نزدیک کردن موبایل به دستگاه پوز است. کهربامند شدن دستگاه‌های کارتخوان برای برخی PSPها، نه ‌تنها آورده اقتصادی نداشته، بلکه هزینه ‌بر هم بوده است.

تجهیز دستگاه‌های پوز به NFC در شرایطی که هزینه سخت‌افزار بالاست و رفتار کاربر تغییر نکرده، جذابیتی برای این شرکت‌ها ایجاد نمی‌کند به همین دلیل، بخش زیادی از تراکنش‌های کهربایی صرفاً برای پاسخ ‌گویی به رگولاتور  انجام می‌ شود.

مدیر ریسک و برنامه‌ریزی امنیت شرکت پرداخت الکترونیک سداد در پاسخ به این سوال که بزرگترین موانع اجرای احراز هویت منعطف در پرداخت الکترونیک چیست، افزود : بزرگ‌ ترین مانع پیاده ‌سازی سامانه جامع احراز هویت مبتنی بر ریسک در صنعت پرداخت ایران، بی شک قطع ارتباط با شبکه ‌های کارتی و استانداردهای بین‌المللی پرداخت است اگر ارتباطات برون‌مرزی برقرار بود، اسکیم کارت ایران نیز EMV-compliant بود و بسیاری از این فناوری‌ها به‌صورت طبیعی و بدون چالش وارد اکوسیستم پرداخت می‌شدند.