عصر پر گویی و پر نویسی گذشت. کوتاه بگوییم، کوتاه بنویسیم. (روزنامه آسیا)       
تعداد بازدید: ۳۸۴
سعید احمدی پویا کارشناس ارشد حوزهٔ پرداخت از استاندارد emv و الزام آن در پروسهٔ بین المللی شدن پرداخت می‌گوید
کد خبر: ۸۹۰۳۹
تاریخ انتشار: ۰۵ ارديبهشت ۱۳۹۷ - ۱۱:۲۵

مقولهٔ امنیت و نزدیک شدن به استانداردهای بین المللی از نان شب برای صنعت پرداخت واجب‌تر است

به گزارش سرمدنیوز، با صحبت اتصال به شبکهٔ پرداخت روسیه و همچنین اعلام آمادگی ایران به کشورهای عراق پاکستان و ترکیه؛ پروسه اتصالات بین المللی جدی‌تر شده است. در این حرکت، مهم‌ترین نیاز برای پذیرفته شدن را باید استانداردها دانست. اگر بخواهیم در دنیا با زبان بین المللی پرداخت صحبت کنیم باید استانداردها را داشته و یا در صورت نداشتن مانند همیشه ریسک را بپذیریم. استاندارد emv که نزدیک به دو دهه از انتشار نسخهٔ اولیهٔ آن می‌گذرد و نسخه‌های متعددی از آن در سطح جهان ارائه شده است را می‌توان الزام ادبیات اتصال بین المللی دانست. بانک مرکزی نیز به نظر عزم خود را برای مهاجرت جزم کرده است اما هنوز اسکیم مشخصی را اعلام نکرده و باید دید آیا شبکه‌ای در کنار شبکهٔ فعلی پرداخت به وجود خواهد آمد و یا به طور کامل به سمت emv مهاجرت می‌کنیم. در این خصوص با سعید احمدی پویا کارشناس ارشد حوزهٔ پرداخت گفت و گویی داشتیم که در ادامه می‌خوانید. همچنین پیشنهاد می‌کنیم سری هم به این مطلب بزنید تا روند تغییرات بحث روی این موضوع را ببینید: تصمیم‌گیری در بانک مرکزی ما یکپارچگی ندارد

احمدی پویا در ابتدا به تشریح استاندارد emv و الزام آن در پروسهٔ بین المللی شدن پرداخت و گفت: یکی از الزامات اتصال به شبکه‌های بین المللی پرداخت الکترونیکی، انطباق با مجموعه استانداردهای PCI و EMV است. اگر بخواهیم به شبکه بین المللی متصل شویم، باید مجموعه‌ای از استانداردها و قوانین را رعایت کنیم و جاهایی که خارج از استاندارد عمل کردیم، باید اصلاح کنیم. در برخی موارد حتی نیاز داریم معماری شبکه پرداخت را اصلاح کنیم به عنوان مثال ما در معماری شبکه پرداخت، شرکت‌های ارائه دهنده خدمات پرداخت یا همان PSP داریم که مستقل از بانک‌ها هستند. در صورتی که شبکه‌های پرداخت بین­المللی فقط بانک‌ها را می‌شناسند و شرکت‌های PSP تنها نقش پروسسور داشته و زیرمجموعه بانک هستند, برای همین حتی باید در مواردی اصلاح معماری شبکه پرداخت را انجام داد.

استاندارد PCI مهم‌ترین استاندارد در حوزه پرداخت کارتی است که محرمانگی اطلاعات کارت را تضمین می‌کند. در مجموعه الزامات شاپرک اکثر الزامات PCI پیاده سازی شده است اما در بانک‌ها نیاز است الزامات مذکور پیاده سازی شود و محرمانگی اطلاعات کارت تضمین شود. برنامه ممیزی دوره‌ای وجود داشته باشد تا تطابق با الزامات مذکور، تداوم داشته باشد؛ پس از حصول اطمینان از تطابق شبکه پرداخت با الزامات مذکور، گواهینامه‌های مربوطه اخذ گردد. از طرفی دیگر، باید حتماً بانک‌ها مجهز به سامانه کشف تقلب یا fraud detection شوند تا از بروز تقلبات و تخلفات جلوگیری گردد. هنوز بسیاری از بانک‌ها به این سامانه مجهز نیستند و ریسک هرگونه اتفاقی، بر عهدهٔ بانک فاقد سامانه است و باید پاسخگوی تقلبات رخ داده باشد.

در موضوع مهاجرت دو بحث صادرکنندگی و پذیرندگی مطرح است. در بحث صادرکنندگی، یکی از اقدامات، اصلاح کارت‌های بانکی است که برایان می‌توان برنامه زمانبندی تعریف کرد. هرکارتی تاریخ انقضا دارد و با منقضی شدن می‌توان کارت مطابق با الزامات EMV صادر کرد تا جایگزین کارت‌های مغناطیسی فعلی شود. در بحث پذیرندگی، باید تمامی ابزارهای پذیرش کارت­های بانکی، باید EMV را پشتیبانی کنند که البته اکثر ابزارهای پذیرش جدید، استاندارد EMV را پشتیبانی می‌کنند.

در حال حاضر، مطابق با الزامات شاپرک ابزارهای پذیرشی قابل بهره برداری در شبکه پرداخت هستند که دارای گواهینامه استاندارد PCI-PED (نسخه ۲ به بالا) و تأییدیه شاپرک باشند و حتی ابزارهای پذیرش با نسخه ۱ گواهینامه استاندارد PCI-PED باید از شبکه پرداخت خارج بشوند که البته جمع­آوری و جایگزینی دستگاه­های مذکور مستلزم هزینه‌های بالایی است و این فرایند باید با یک زمانبندی مناسب انجام شود.

در حال حاضر حدود ۶۰ تا ۷۰ درصد از دستگاه‌های پوز ما EMV را پشتیبانی می‌کنند و باقی نیز نیاز به ارتقای نرم افزاری ساده دارندمگر عمر مفید یک پوز بیش از ۵ سال است؟

مشکل اینجاست در کشور ما به عمر مفید دستگاه توجه نمی­شود. دستگاه تا جایی که بتواند کار می‌کند و زمانی هم که بخواهیم تعویض گردد، با یک تعمیرات ساده، به فرد دیگری واگذار می‌شود و با لحاظ اصلاحاتی به چرخه پرداخت باز می‌گردد.

بحث اتصال به شبکه‌های بین المللی که اخیراً با اتصال به شبکهٔ میر روسیه مطرح شده است را چگونه بدون مهاجرت به EMV توجیه کنیم؟ ایا بهتر نیست با زبان استاندارد در اتصالات بین المللی صحبت کنیم؟

بحث پذیرش ریسک اتصال به شبکه پرداخت بین المللی، بسیار مهم است و با کارمزدهای تبادل شده، رابطه مستقیم دارد. هرچقدر شبکه پرداخت ما ریسک بیشتری دادشته باشد، باید کارمزد بیشتری به شبکه­های بین­المللی پرداخت شود و منابع ارزی بیشتری را از کشور خارج می­شود، آن هم برای تراکنش‌هایی که شاید ارزش این هزینه گزاف را نداشته باشند. یکی از راه­های تعیین کارمزد منطقی و معقول، کاهش ریسک‌ها و پیاده سازی استانداردهای بین المللی است.

هم اکنون که بحث اتصال به شبکه میر روسیه مطرح است، پروژه را فقط بر روی ابزارهای پذیرش با حضور کارت (Card Present) تعریف کرده­اند و به خاطر ریسک‌های موجود در ابزارهای پذیرش بدون حضور کارت (Card Not Present) در محدوده پروژه قرار نگرفتند.

مقولهٔ امنیت و نزدیک شدن به استانداردهای بین المللی از نان شب برای صنعت پرداخت واجب‌تر است

چگونه برای این مهاجرت برنامه ریزی کنیم؟

اول باید هدف را مشخص کنیم. بانک مرکزی باید با همکاری نخبگان شبکه بانکی کشور باید یک کمیته عالی با حضور افراد مشخص و صاحب اختیار، تشکیل دهد. در زیرمجموعه این کمیته، کارگروه‌های متعددی وجود داشته باشد که هر کدام بر روی یک بحث به صورت تخصصی ورود کنند.

هم اکنون این پروژه در بانک مرکزی تعریف شده است و جلسات نامنظمی با بانک‌ها برگزار می‌گردد و با تعدادی پرسشنامه، نظر بانک‌ها اخذ می‌گردد. این روند بسیار کند و فرسایشی خواهد بود. بهتر است با تشکیل کارگروه‌های تخصصی، استراتژی، نقشه راه پروژه و جزئیات مراحل مختلف پروژه، با حضور نمایندگان تام الاختیار بانک در آن حوزه، بررسی و مصوب گردد. با تعیین زمانبندی دقیق، بازه زمانی را برای رسیدن و عبور از هر مرحله در فرایند مهاجرت مشخص گردد و حتی مشوق‌هایی را هم برای بانک‌ها در انجام این فرایند تعیین شود تا هزینه‌های مهاجرت، قابل توجیه باشد؛ از سوی دیگر، روند انجام پروژه، توسط همان کارگروه‌های تخصصی به صورت مداوم پایش شود و هرگونه انحراف از روند پروژه، به کمیته عالی گزارش شود.

این که در پروسه مهاجرت بانک مرکزی دخالت کند ضروری است؟ در تمام دنیا بانک‌های هر کشور به طورمستقیم به یکدیگر متصل می‌شوند.

به گمان بنده، تصور بانک مرکزی این است که اگر بانک‌ها تک تک وارد فرایند مذاکره شوند، ممکن است به خاطر جو رقابتی موجود، شرایط قراردادی را بپذیرند که به نفع کشور نباشد. اما وقتی بانک مرکزی مذاکره می‌کند ظرفیت‌ها را تشریح و روی مدل کارمزدی جامع بحث می‌کند. بانک مرکزی می­خواهد بر مبنای تقسیم ریسک، کارمزدهای بهینه تعیین شود، اما درآخر کار، بانک‌های دوطرف، باید با یکدیگر تعامل کنند و نه بانک‌های مرکزی.

از سوی دیگر، بانک می‌خواهد در قبال هزینه منفعت دریافت کند؛ بعضی اوقات منفعت به صورت اشکار نیست مانند منفعت اخذ استانداردهای بین المللی؛ اما این گونه منافع این برای بخش‌های سنتی بانک که علاقه به ملموس بودن منفعت دارند، مشخص نیست به همین دلیل، شاید الزام بانک مرکزی در این حوزه، می‌تواند به حرکت صحیح بانک‌ها مطابق با استانداردها کمک کند. پیاده سازی استانداردها، هزینه خاص خودش را دارد و این کار باید از نقطه‌ای شروع شود. این آغاز با الزام بانک مرکزی راحت‌تر شکل می‌گیرد.

چگونه منفعت این هزینه برای بانک‌ها در شرایط فعلی نظام بانکی و مشکلات منابع بانکی آشکار شود؟

باید طوفان فکری از سمت نخبگان ایجاد شود و ابعاد موضوع برای بخش سنتی شبکه بانکی آشکار شود؛ به عبارت دیگر باید هزینه فایده پیاده سازی استاندادهای مذکور تشریح شود تا پذیرش هزینه‌های مترتب، ساده‌تر شود.

با توجه به مشخص نبودن اسکیم چه بازهٔ زمانی را برای مهاجرت متصورید؟

باید ببینیمم چه محدوده‌ای برای پروژه در نظر گرفته می‌شود. زمانی قرار می‌شود در کنار شبکه پرداخت فعلی شبکهٔ موازی مطابق با استاندارد EMV ایجاد شود، سوییچ بانکی جدید و کارت‌های جدیدی در کنار سیستم فعلی ایجاد شود. اما در یک شرایط دیگر، محدوه پروژه، مهاجرت تمامی ابزارهای صادرکنندگی و پذیرندگی شبکهٔ فعلی به EMV تعریف می‌گردد.

راستی در ابتدای صحبت‌هایتان گفتید سامانهٔ کشف تقلب. با بحث اتصال به شبکه میر روسیه بدون مهاجرت به EMV و تراکنش کارت‌های مگنت در داخل کشور وجود این سامانه در بانک‌ها ضروری است اما بانک‌های زیادی به این سامانه مجهز نیستند. از طرفی مدتی است به علت نبود این سیستم و ایجاد تراکنش‌های تقلبی خرید شارژ در مبالغ پایین محدود شد کمی در این خصوص ضرورت وجود این سامانه توضیح دهید.

یک موضوع بحث تقلب است. اما فراتر از بحث تقلب، بخث هزینه تراکنش‌های خرد است که بسیار بالا است و در نظام‌های پرداخت سایر کشورها در حوزه تراکنش برون خط یا افلاین تعریف می­شود و از طریق کیف پول الکترونیکی انجام می‌شود. باید هرچه سریعتر سامانه جامع کیف پول در کشور راه اندازی و فراگیر شود تا بتوان با تعریف کیف پول‌های متعدد، تمامی ابزارهای پذیرش تراکنش‌های خرد را پوشش داد و با اتخاذ سیاست کارمزدی برای تراکنش‌های آنلاین، عموم مردم را به سمت بهره گیری از کیف پول الکترونیکی سوق داد.

یک مشکل در نگاه ما به ابزارهای پرداخت الکترونیکی وجود دارد. وقتی یک ابزاری را در کشور مورد بهره­برداری قرار می­دهیم، فلسفه وجودی و کارکردی آن ابزار را فراموش می‌کنیم. کارت بانکی برای محدوده مبلغی خاصی از تراکنش‌ها است و کیف پول الکترونیکی هم برای محدودهٔ مبلغی دیگری است؛ همانطور که ابزارهای دیگر پرداخت الکترونیکی در محدوده مبلغی کلان تعریف می‌شود.

در حال حاضر محدودیت ۵۰۰ میلیون ریالی برای تراکنش‌های خرید بر روی پایانه‌های فروش از سمت بانک مرکزی اعمال شده است. اما پبشتر، تراکنش‌های بسیار بالاتر از این میزان، در شبکه بانکی در حال گردش بود. ابزار این گونه از پرداخت‌ها، در هیچ کجایی از دنیا، کارت بانکی نیست و باید از ابزارهای دیگری استفاده کرد و کارت بانکی فقط برای محدوده‌ای از مبالغ باید استفاده شود. حال ما از این فراتر رفتیم و از شبکه پرداخت و کارت بانکی برای توزیع سبد کالا برای دهک‌های پایین جامعه هم بهره بردیم!

برگردیم به پرسش شما، برای تراکنش‌های خرد باید از بستر کیف پول الکترونیکی بهره جست و برای شناسایی و کشف تراکنش‌های جعلی و تقلبی باید به سامانه‌های کشف تقلب مجهز شد که این سامانه‌ها، از گام‌های ابتدایی برای اتصال با ریسک پایین، به شبکه‌های بین المللی هستند.

گفت و گو از مهکامه صباغ


نظر شما
نام:
ایمیل:
* نظر:
آخرین اخبار