ییادداشت مینا والی | ۱۲ نکته که فعلا درباره پرداخت دیجیتال با استفاده از فناوری توکنیزاسیون در ایران میدانیم …
هفته گذشته، در روز چهارشنبه، بخشنامهای از طرف بانک مرکزی ابلاغ شد که به نظر میرسد نقطه عطفی در تاریخ پرداختهای همراه ایران باشد. بانک مرکزی از مانا و سهند رونمایی کرد که احتمالا میتوانیم از آنها با عنوانهای «ببر خیزان، اژدهای پنهان» یاد کنیم. فعلا این بخشنامه تکههای گنگ بسیاری دارد. با توجه به اهمیت این متن بخشهایی از آن را در ادامه آوردهایم که بدانیم ماجرا از چه قرار است. در آینده نزدیک احتمالا چیزهای بیشتری منتشر میشود و دانشمان کاملتر میشود. کسانی که میخواهند در زمینه پرداختهای همراه فعالیت کنند، خبرها را دقیق رصد کنند.
۱. ارائه خدمات پرداخت دیجیتال و پرداخت همراه با کاربست فرآیند و فناوری نشانگذاری (tokenization) صورت میگیرد.
۲. در فرایند نشانگذاری، قسمتی از دادههای حساس پرداخت مشتریان با «نشانه»های (token) الکترونیکی جایگزین شده و در شبکه پرداخت انتقال مییابند. با استفاده از زیرساخت ملی پرداخت و تسویه، «نشانه»ها در فضایی امن به دادههای حساس تبدیل شده و پس از آن روال پرداخت مطابق با رویه عادی تکمیل میشود.
۳. فرایند نشانگذاری با معرفی دو نهاد در شبکه پرداخت انجام میشود:
مراکز ارائه نشانههای الکترونیکی (مانا): توسط بانک یا موسسه اعتباری صادرکننده یا نهاد طرف قرارداد با آن راهبری شده و وظیفه ایجاد سامانه نشانگذار و تبدیلات دادههای حساس به نشانه و بالعکس را بر عهده دارند.
سامانه هدایت نشانههای دیجیتال (سهند): سامانهای است یکتا و مستقر در زیرساخت ملی پرداخت و تسویه که اتصال «مانا»ها به شبکه پرداخت از طریق آن صورت میپذیرد.
۴. ارائه خدمات توسط «مانا»ها صرفا از طريق اتصال به «سهند» امکانپذير است.
۵. تراکنش خرید تلفن همراه برای تراکنشهای نشانگذاری شده تا سقف روزانه تعيينشده براي تراکنشهاي نوع موبايل مجاز است و بانک یا موسسه اعتباری صادرکننده ملزم به رعایت این سقف است.
۶. نشانگذاری (توکنیزاسیون) به معنای جایگزینکردن اطلاعات حساس در تراکنش پرداخت با یک توکن است. اطلاعات حساس در تراکنش پرداخت، PAN است که در ایران به آن شماره کارت گفته میشود.
۷. اهمیت این موضوع در این است که بانک مرکزی موضوع تعدد کانالها و پیچیدهترشدن تامین امنیت در کانالهای مختلف را درک کرده و میخواهد زمینه را برای رشد کانالهای مختلف فراهم کند. به عبارتی یعنی به زودی شاهد رشد اینترنت اشیا، ابزارهای پوشیدنی، پرداختهای درون برنامهای و ورود بازیگران غیربانکی به این عرصه خواهیم بود.
۸. استاندارد EMV اهمیت توکنیزاسیون را درک کرده و در این زمینه دستورالعملهایی دارد. اپلپی به عنوان پرسروصداترین روش پرداخت همراه مبتنی بر توکنیزاسیون است و شرکتهای بزرگ پرداخت در دنیا مثل ویزا، مستر و آمکس هم فعالیتهایی در این زمینه انجام دادهاند.
۹. استاندارد PCI-DSS که استاندارد شناختهشدهای در صنعت پرداخت است، به مواردی مثل خطر جعل کارت و خطر شنود و افشای اطلاعات پرداخته بود. با توجه به رشد روشهای مختلف بدون حضور فیزیکی کارت، توکنیزاسیون مطرح شده است. به عبارتی به مرور شاهد رشد روشهای مختلف پرداخت بدون استفاده از فیزیک کارت خواهیم بود. سادهتر بگویم، در یک حالت رویایی شاید روزی فرابرسد که یخچال شما ببیند خالی است، خودش به دیجیکالا سفارش بدهد و پرداخت را هم از حساب شما انجام دهد. این البته خیلی رویایی است فعلا!
۱۰. در روشهای پرداختی که کارت در آن حضور ندارد، افراد شماره کارت خود را وارد میکنند. در ایران فعلا فقط درگاههای پرداخت ۱۲ شرکت PSP این اجازه را دارند که افراد شماره کارت و اطلاعات دیگر را وارد کنند و هیچ جایی این اجازه را ندارد که اطلاعات کارت را دریافت کند. دلیل آن هم ساده است؛ ممکن است این اطلاعات را ذخیره و بعدا از آن سوءاستفاده کنند. شرکتهای پرداخت زیرنظر شاپرک قرار دارند و این اجازه را دارند که از طریق درگاههای پرداخت اینترنتی اطلاعات کارت را دریافت کنند. همین موضوع تا امروز باعث ایجاد محدودیتهایی در رشد روشهای پرداخت شده است. توکنیزاسیون یا آنطور که بانک مرکزی گفته «فرایند نشانگذاری» خیلی ساده به معنای جایگزین کردن اطلاعات حساس با یک مقدار جایگزین است. این فرایند از طریق مانا و سهند انجام میشود. هنوز به صورت عملی هیچ مانا و سهندی معرفی نشده که بتوان با انگشت آن را نشان داد.
