امنیت در کارتخوانهای موبایلی چگونه است؟
چهارشنبه 9 اسفند ماه 1402
امنیت در کارتخوانهای موبایلی چگونه است؟
دستگاه کارتخوان موبایلی دستگاهی جدید است که از سال ۲۰۰۶ در بازار آمریکا پدیدار و با استقبال بسیار زیادی مواجه شده است. بلافاصله پس از تحولی که استیو جابز در دنیا ایجاد کرد، موبایل آیفون بهعنوان پلتفرمی جدید، محل جولان برنامهنویسان تفننی شد. با راهاندازی App Store و ارائه SDK برای برنامهنویسی روی آیفون، ارائه برنامههای متنوع، این بار بهقصد کسب درآمد نیز محقق شد. بدیهی بود که یکی از زمینههایی که به آن ورود خواهد شد بحث پرداخت بود. برای بار نخست محصولات تماماً نرمافزاری ارائه گردید، در دفعات بعد افزودن سختافزار کارتخوان به آن مطرح شد و در گام بعد برای ایمنسازی آن اقدام گردید. درنتیجه این فعالیتها، راهحلی نرمافزاری، سختافزاری بانام عمومی کارتخوان موبایلی مطرح گردید. امروزه دستگاههای کارتخوان موبایلی در انواع مختلفی تولید و به کار گرفته میشوند. ولی دلیل استقبال گسترده از این ابزار جدید چیست؟
این دستگاه برای On the go Merchant ها وسیلهای ایدهآل است، متخصصان تعمیرات منزل، پیک رستورانها و فستفودها و بسیاری از مشاغل دیگر. اتصال کارتخوان موبایلی محدود به موبایل نیست، میتوان آن را به تبلت، کامپیوتر، صندوق فروشگاهی، Vending Machine و یا ابزارهای دیگر متصل نمود. در این وضعیت مرچنت میتواند روی تبلت هر نرمافزاری ازجمله نرمافزار سفارش گیری و خوشامدگویی را نصب کند. این در مقایسه با نرمافزار کارتخوان بسیار بهتر است.
از دید شرکت پرداخت الکترونیک نیز ارائه چنین ابزاری بسیار مقرون بهصرفهتر از دستگاه کارتخوان سنتی است. در کشورهایی که شرکتهای پرداخت الکترونیک بهطور رایگان کارتخوان در اختیار مرچنت قرار میدهد، این موضوع باعث کاهش حجم سرمایهگذاری موردنیاز و در کشورهای دیگری که کارتخوان به مرچنت فروخته میشود، نیز این ابزار باعث کاهش زیاد قیمت شده و حجم فروش بسیار زیاد میگردد. همچنین برخی از مرچنتها که قبلاً امکان ارائه سرویس تنها از طریق GPRS POS میسر بود، این بار محصول ارزانتری دریافت میکنند.
هزینه کمتر
مردم با استفاده از کارتخوان موبایلی در مقایسه با انجام تراکنش بهصورت Card Not Present روی درگاه پرداخت اینترنتی کارمزد کمتری میپردازند. درواقع این تکنیکی است که از سوی برخی از شرکتها که هردوی آنها را ارائه میکنند به کار گرفته میشود تا مردم به خرید این دستگاه تمایل بیشتری نشان دهند.
این دستگاه ابزاری مفید برای عملیات مالی Person – to –Person به شمار میرود. سابقه ارائه راهحلهای الکترونیکی برای این نوع انتقال وجه در آمریکا طولانی است، دستگاه کارتخوان موبایلی بهترین راهحل در این حوزه به شمار میرود.
کارتخوان موبایلی باعث ظهور شکلهای جدیدی از فرآیند فروش شده است، هرچند که شاید این روشها را بتوان با دیگر ابزارها نیز طراحی و به کار بست، ولی تا قبل از این پدیده، کسی چنین روشهایی را ارائه نداده بود.
یک نوع خاص از پیادهسازی آن بانام Slide Stand Mini POS وجود دارد که کارکردهای خاصی پیداکرده است. یک Stand که روی میله اصلی آن کار تبلیغاتی انجام میشود، در بالای آن صفحهای قرار دارد که روی آنیک تبلت قرارگرفته، به دستگاه تبلت، ابزار کارتخوان موبایلی متصل است.
در بارها، رستورانها و کافیشاپها، خصوصاً از این دستگاه استفاده فراوانی میشود. با اتکا به این دستگاه، عملیات انتخاب و پرداخت وجه روی Stand های مخصوص انجامشده و Counter top فروشگاه، محلی برای موضوعات مهمتر شده است.
موضوع دیگر استفاده از آنها در کنار میزهای هوشمند در این فروشگاهها است. میزی که پشت آن برای خوردن نشستهاید، یک مانیتور لمسی است که با آن غذا را سفارش داده و در کنار میز کارتخوان موبایلی بدون اینکه مزاحمتی ایجاد کند، برای پرداخت آماده است.
توسعه دستگاههای کارتخوان موبایلی
این دستگاه برای اولین بار در آمریکا عرضه شد، ولی هماکنون در کانادا، استرالیا، هنگکنگ و ژاپن هم ارائه میشود. در این کشورها آنچه شایسته دقت است، نحوه استفاده و نوع کارت مورداستفاده است. در این کشورها تراکنش با کارت اعتباری بهصورت پیشفرض یا موردی بهصورت PIN Less پردازش میشود. در ارتباط با کارت نقدی نیز، برخی از کارتهای نقدی آنها بهصورت Signature Debit Card صادر میشوند که تراکنش را میتوانند بهصورت PIN-Less ارائه دهند و این امکان به لطف پشتیبانی سیستمی آنها از تراکنش Authorization Hold است؛ بنابراین حجم عمده کارتخوانها موبایلی مورداستفاده در دنیا، نیازی به دریافت رمز کارت نداشته و لذا ابزاری نیز برای آن ارائه نمیدهند.
تنها در دو سال اخیر است که برخی از تولیدکنندگان از ترکیب کارتخوان موبایلی و PIN Pad اقدام به ساخت دسته جدیدی از کارتخوانهای موبایلی باقابلیت دریافت رمز کارت نمودهاند.
البته بدیهی است که هیچ مانعی بر سر راه استفاده از آنها در شبکههای پرداخت غیر بانکی و Closed Loop نیست، امروزه بسیاری از فروشگاهها و مراکز خدماتی، کارتهای وفادارسازی خود را ارائه میدهند، برخی حتی ارز اختصاصی خود را دارند که با آنها میتوان با استفاده از کارتخوان موبایلی استفاده کرد. چنانچه دارای کارت هوشمندی باشید که روی آن چندین برنامه وفادارسازی وجود دارد، استفاده از ترکیب تبلت و کارتخوان موبایلی بهترین و جامعترین راهحل است تا از موجودی هر برنامه خود مطلع شده، روی تبلت برنامههای تکمیلی، کالاهای قابل خریداری، تبدیل آن به پول و … را مشاهده و دنبال کنید. بهعنوانمثال استارباکس بزرگترین کافیشاپ زنجیرهای دنیا که دارای سیستم پرداخت مخصوص به خود است، از کارتخوان موبایلی استفاده میکند.
انواع بسیار مختلفی کارتخوان موبایلی از سوی تولیدکنندگان تاکنون ارائهشده است. بهطور مشخص دو کمپانی آمریکایی Id Tech Product و Magtec تنوع بسیار زیادی به محصولاتشان دادهاند. خصوصاً این شرکتها انواعی از کارتخوان موبایلی را ارائه دادهاند که به همراه کارتخوان مغناطیسی و یا بدون آن، امکان پذیرش کارتهای هوشمند مبتنی بر EMV را نیز فراهم میکند.
همانگونه که در مبحث PIN Pad تنوع گونههای ارائهشده، بهقدری زیاد است که مرز بین POS بودن و PIN Pad بودن را دشوار ساخته، در اینجا نیز مرز بین کارتخوان موبایلی با سایر ابزارهای مشابه، به دلیل تنوع زیاد آن قابلتشخیص دقیق نیست. شاید بتوان بهطور انتزاعی مرز تفکیک را اینگونه تعریف کرد که کارتخوان موبایلی دستگاهی است که چاپگر ندارد و پردازش تراکنش نه روی کارتخوان موبایلی که روی دستگاه مبدأ صورت میپذیرد.
اتصال کارتخوان موبایلی به موبایل، تبلت، PC و … به سه روش تاکنون پیادهسازی شده است. عمده آنها از طریق پورت صدا، برخی از طریق یواسبی و برخی دیگر از طریق بلوتوث به دستگاه اصلی متصل میشوند.
امنیت در کارتخوانهای موبایلی چگونه است؟
دستگاههای کارتخوان موبایلی از قابلیت نرمافزاری بانام USB HID (API) بهره میگیرند، این ماژول، نرمافزاری بسیار کوچک است که باعث میشود این دستگاهها بدون نیاز به نصب درایور توسط سیستمعامل دستگاه مبدأ شناخته شوند.
در زیر تنوع دستگاههای موجود را بهصورت فهرستوار بیان نمودهایم:
به دلیل تفاوتهای اساسی در سیستمعامل موبایلها، کارخانه سازنده، مدلهای مختلفی میسازد که برخی از آنها با سیستم عامل آیاواس و برخی دیگر با اندروید یا دیگر سیستمعاملها سازگار هستند. البته مدلهای سازگار با محصولات اپل نیز به دلیل تغییرات در پورتهای سریهای مختلف آیفون متفاوتاند.
جنس بدنه دستگاهها از پلاستیک فشرده و یا فلز است.
برخی از آنها دارای پورت صدا هستند، برخی دیگر پورت یواسبی و برخی هر دو را دارند.
پورتهای دستگاه میتواند بهصورت Fixed و یا Retractable headphone jack (USB Port) بدین معنی که پورتهای دستگاه را وقتی لازم نداریم بتوانیم آنها را به داخل دستگاه بکشانیم.
نمونههای اولیه، به دلیل اینکه ازیکطرف با جک صدا به موبایل وصل میشدند، هنگام کشیدن کارت، بهشدت غیر پایدار بوده و دور خود میچرخیدند، مدلهای جدید معمولاً پایدارکننده دارند؛ زائدهای به سمت پایین (در همان سمتی که جک هست) که در دو طرف دستگاه موبایل قفل میشود و مانع تکان خوردن آن میگردد. برخی از دستگاهها دارای پایدارکننده قابل تنظیم هستند.
دستگاهها در اندازههای بسیار متفاوت ساخته میشوند. معمولاً اگر تنها مگنتخوان داشته باشند (MSR Only) دارای کوچکترین اندازه، اگر دارای EMV Slot باشند دارای اندازه بزرگتر و درنهایت اگر دارای PIN Pad باشند بزرگترین اندازه رادارند، حتی در حالت سوم نیز بهاندازه نیمی از یک EFTPOS نرمال نخواهند بود.
برخی از آنها را میتوان از راه دور بهروزرسانی کرد و برخی دیگر را خیر.
در برخی از آنها میتوان بهصورت ریموت عملیات تغییر کلید را انجام داد و در برخی دیگر خیر.
معمولاً دارای خواص Tamper-Resistance و Tamper Evidence هستند.
بسیاری از کارتهای مغناطیسی دارای خاصیت امنیتی فیزیکی بانام unique magnetic fingerprint هستند، برخی از آنها، آن را متوجه میشوند و برخی دیگر خیر.
در مدلهای MSR تمامی آنها اطلاعات آنالوگ خواندهشده از کارت را به اطلاعات دیجیتالی تبدیل میکنند.
تمامی آنها داری بخشی مستقل برای عملیات رمزنگاری درون خود هستند.
انواع مختلف آنها Track 2، Track 1,2، Track 2.3، Track 1,2,3 را میخوانند. خواندن Track1 برای خواندن نام دارنده کارت و درج عبارت خوشامدگویی است.
دستاوردی جدید برای خواستهای قدیمی
نگاهی بیندازیم به این دستاورد جدید دنیای پرداخت. جک دورسی از بنیانگذاران توییتر، دوستی از دوران کودکی خود در شهر سنتلوییس میسوری آمریکا بانام جیم مککلوی داشت که در کنار فعالیت اصلی خود بهعنوان اقتصاددان، از دوران کودکی به شیشه و بلورسازی علاقه داشت و محصولات خود را تولید میکرد.
مککلوی به پول فروش شیشهها نیازی نداشت، ولی نمیتوانست بلورهای شیشهای زیبا و گرانقیمت خود را که قیمتی بالای هزار دلار داشتند، بفروشد، چراکه دستگاه پذیرش کارت اعتباری نداشت. دستگاه کارتخوان وی تنها Cash Card میپذیرفت و او حاضر نبود به کارمزد گزاف پذیرش کارتهای اعتباری تن دهد. در سال ۲۰۰۸، وقتیکه چند جلسه دیدار با جک دورسی داشت و این دو به دنبال تعریف کسبوکار جدیدی بودند، ایده خود را مطرح کرد.
نمونه اولیه دستگاه یک کارتخوان مغناطیسی بسیار ساده بود که با یک سیم بهطور مستقیم به دستگاه آیفون وصل میشد. آنها در آغاز نام Squirrel را برگزیدند تا اینکه در ملاقات با یکی از مدیران اپل نام محصول را به اسکویر تغییر دادند. دستگاهی که برای خواندن کارت مغناطیسی ساختند که مکعب کوچک سفیدرنگ بود؛ در ابتدا خبری از هیچ نوع رمزنگاری نبود، حتی اطلاعات کارت که بهوسیله Magnetic Head خوانده میشد به همان صورت مغناطیسی برای موبایل فرستاده میشد تا در آنجا پس از تقویت، دیجیتالی شده و بتوان اطلاعات کارت را استخراج کرد.
در سال آوریل سال ۲۰۱۱ کمپانی وریفون که آنها را رقیب خود میدید، ادعا کرد که راهحل اسکویر ناامن است و یک برنامهنویس قوی میتواند با نوشتن یک برنامه جایگزین بجای اپلیکیشن اسکویر آن را روی موبایل نصبکرده و اطلاعات کارت اعتباری برای این برنامه نیز از کارتخوان اسکویر ارسال شود. وریفون یک ویدیو از نفوذ به اسکویر را روی اینترنت منتشر کرد.
ناجوانمردی وریفون
وریفون چندی پیش راهحلی بانام Pay Ware ارائه داده، راهحلی مبنی بر آیپد مینی، در قالب روکشی که بهصورت کمربند به دور کمر شخص بسته میشد و راهحلی بسیار ایدهآل برای پیکهای فست فودیها بود، این دستگاه تطابق کاملی با استانداردها داشت.
دورسی در پاسخ به این کار وریفون نوشت: «نه جوانمردانه و نه درست» همچنین نوشت که شاید در آن کار وریفون اطلاعات را از روی کارت خوانده و در خروجی برنامه نوشتهاند و بهعلاوه آنها سرویسهای ممانعت از کلاهبرداری Fraud Protection که از جانب صادرکننده اجرا میشود را نادیده گرفتهاند.
پسازآن اسکویر یک رمزنگاری قوی در دستگاههای خود شامل استانداردهای SSL و PGP را به کار گرفت. کلیدهایی با حداقل طول ۲۰۴۸ بیت را در نظر گرفت. پسازآن شماره کارت، اطلاعات نوار مغناطیسی و کد امنیتی در دستگاه موبایل ذخیره نشد. همچنین مجموعه دستورالعملهای OWASP(Open Web Application Security Project) را به کار برد؛ و پس از چندی PCI – Compliant (سازگار با PCI) شد.
در ژوئن ۲۰۱۳، شرکت از Square Stand در یک مهمانی در محل Blue Bottle در سانفرانسیسکو پردهبرداری کرد. این ویرایش جدید باعث میشد که بتوان سیستم فروش را بهطور کامل به هر طرف بهراحتی چرخاند. Card Reader بزرگتر و پایه چرخان. بیش از یک سال برای ساخت این دستگاه صرف شد و تیمی حدوداً پانزده نفر زیر نظر جسی دروگوسکر مدیر ارشد بخش طراحی و ساخت Accessories اپل آن را ایجاد کردند. این دستگاه با سری جدید آیپد ۲ یعنی ۳rd generation (30-pin connectorer) ساخته شد.
مدتی بعد دستگاهی دیگر بانام Square Register ساخته شد که جایگزینی مناسب برای دستگاههای فروشگاهی قدیمی و کارتخوانهای بانکی، بود.
این کمپانی در مدت حیات خود توسط چند نفر سرمایهگذار مخاطره پذیر حمایتشده است. این کمپانی محصول خود را از مارس ۲۰۱۳ رایگان عرضه نمود و نرمافزار آن بهرایگان از اپاستور قابل دانلود است. در مقابل Square کارمزد ۲.۷۵ درصد به ازای هر بار پذیرش کارت اعتباری دریافت کرد. در صورت ورود دستی اطلاعات کارت، کارمزد به ۳.۵ درصد بهعلاوه ۱۵ سنت افزایش مییافت. در جمعه هفده آبان هزار و سیصد و نودودو، اسکویر مدل کارمزدی خود را به پرداخت ۲۷۵ دلار شارژ ثابت ماهانه تغییر داد.
محصول پرسروصدای مشابه دیگر از سوی پیپال بانام Paypal Here ارائه شد، یک کارتخوان موبایلی کوچکتر از هر کارتخوان موبایلی دیگری که ساخته شد؛ بهعلاوه شکل جسورانه آنکه بهصورت یک مثلث بود.
راهحل پیپال میتوانست، علاوه بر کارت اعتباری، صورتحسابهای صادره و چک را نیز بخواند. همچنین دارای سرویس نمایش و ثبت مکان بود. کارمزد دریافتی پیپال نیز ۲.۷ درصد به ازای هر کارت بود. البته در صورت تسویه با Paypal debit Card یک درصد از کارمزد Cash back میشود. در صورت ورود دستی شماره کارت و یا اسکن کارت، کارمزد دریافتی ۳.۵ درصد بعلاوه ۱۵ سنت است. در صورت پذیرش کارت غیر آمریکایی ۱ درصد کارمزد Cross – border گرفته میشود. بهعلاوه نرخ Check Processing آن نیز رایگان است.
برخلاف پشتیبانی اسکویر که تنها از طریق وبسایت است، پشتیبانی این محصول در پیپال توسط گروه پشتیبانی پرداختهای پیپال انجام میشود. تسویه پیپال بلادرنگ است ولی اسکویر روز بعد انجام میشود.
کانال پرداخت اصلی هر دو Credit Card و Signature Debit Card non –PIN است. البته پیپال تراکنش را با حساب مشتری در پیپال (Pay pal Account) تسویه میکند که توسط Pay pal Debit Card قابلاستفاده است. اسکویر روز بعد در Checking Account مشتری میریزد. پیپال سرویس خود را در آمریکا، کانادا، هنگکنگ و استرالیا میدهد. اسکویر به کانادا و آمریکا اکتفا کرده است.
. امنیت چگونه تضمین میگردد؟
امنیت. درجایی بهدرستی نوشته بود که نه اسکویر و نه Pay pal here، هیچکدام کارت اعتباری را پردازش نمیکنند، هردوی آنها تنها یک تجمیع کننده هستند. اطلاعات تجمیع شده توسط اسکویر توسط Chase Paymentech (درگاه پرداخت متعلق به بانک آمریکایی جی مورگان چیس) پردازش میشود؛ و اطلاعات Pay pal here توسط وبسایت Paypal. جریان چیست؟
نگرانیهای امنیتی از ابتدای ارائه این محصول وجود داشته است. حتی امروز که همه آنها از امکانات پیچیدهای استفاده میکنند و راه نفوذ را بر خود بستهاند، باز هم ازنظر امنیت بانکی مورد اشکال هستند. یک زیرکی که تقریباً تمام تولیدکنندگان کارتخوان موبایلی به کار میبرند این است که اعلام میکنند آنها PCI-Complaint هستند. این درست است ولی آنها PCI-DSS Complaint نیستند، آن استانداردی که در صنعت پرداخت اجباری است.
واقعیت این است که نهاد PCI-SCC سه نوع استاندارد را منتشر میسازد:
(PCI-DSS) یا PCI Data Security Standard
(PA-DSS) یا Payment Application Data Security Standard
(PCI-PTS) یا PIN Transaction Security
آنچه کارتخوان موبایلی خود را با آن سازگار نمودهاند، PA-DSS هست.
در سپتامبر ۲۰۱۰، آقای تروی لیچ معمار ارشد استانداردهای PCI DSS، موضوع زیر را عنوان نمود:
… properly implemented P2PE will allow merchants to reduce their scope in complying with the Payment Card Industry Data Security Standard.
… درواقع، روشهای پیادهسازی الکترونیکی انتقال وجه P2P، به مرچنتها این امکان را میدهد که محدوده تطابقپذیری موردنیاز استاندارد PCI-DSS را کاهش دهند.
شرکتهای سازنده از معماری استفاده میکنند که معماری به کار گرفتهشده در سمت کارتخوان موبایلی برای رعایت امنیت با یک درگاه پرداخت ایمن را ترکیب میکنند تا نیازی به رعایت استاندارد PA-DSS توسط نرمافزار نصبشده روی موبایل یا تبلت نباشد. به عبارت ساده استفاده از Payment Protect Gateway ضروری است، چراکه آنچه به مرکز ارسال میشود، در این صورت میتواند یک Message ISO 8583 (و یا بالاتر) نباشد و این امر برنامهنویسی سمت کاربر را بسیار راحت میکند. دیگر اینکه به کمک PPG تأمین نیازمندیهای امنیتی PCI راحتتر است.
با رمزنگاری در نزدیکترین نقطه به Swipe Reader و بلافاصله پس از کشیدن کارت، «اطلاعات کارت» با استاندارد DES3 رمزنگاری میشود. کلید مورداستفاده برای رمزنگاری دینامیک و از روش DUKPT استفاده میشود. هیچ کلیدی در هیچ مرحلهای برای اپهای موبایل قابلدسترس نیست. با این روش End to End Encryption محقق میشود.
برخی از مدلها علاوه بر این کار، با ارائه سرویس توکن و سرویس Card Authentication سطحی بالاتر از امنیت را ارائه میدهند.
آقای باب روسو مدیرعامل PCI –SCC میگوید: ما معتقدیم که استاندارد PCI –DSS یک زیرساخت بسیار محکم امنیتی برای نگهداری از اطلاعات پرداخت و سایر دادهها به وجود میآورد. ولی امنیت با سازگاری با DSS نه آغاز میشود و نه پایان مییابد، باید به روشهای خوب امنیتی پرداخت و خود را با آنها تطبیق داد
این سخنی است که از سوی سازندگان کارتخوان موبایلی – بهعنوان ابزاری که تاکنون PCI – SCC بدان روی خوش نشان نداده است – مبنا و الهامبخش آنان برای رعایت حد اعلای امنیت، ارائه امکانات جدید امنیتی و نگهداری ایمن اطلاعات کارت (Data Card) شده است.
نرمافزار نویسان، اغلب از تبعیت از PCI – DSS رویگردان هستند چراکه آنها را مجبور میکند، اطلاعات هر چه کمتری در نرمافزار خود، حتی برای پردازش، نگهداری کنند. آنها کاری به اطلاعات کارت ندارند و اطلاعات دارنده کارت را جمع-آوری و پردازش میکنند.
بر اساس استانداردهای PCI اگر اپی اطلاعات دارنده کارت را حتی بهصورت رمزنگاری شده، نگهداری کند، باید مطابق با PA – DSS باشد.
علاوه بر آن، PAN کارت، وضعیت رعایت PCI – DSS و PA- DSS را تعیین میکند، به این معنا که اگر PAN ذخیره نشود، پردازش نشود و ارسال و دریافت نشود، لازم به به کار بردن PCI – DSS و PA – DSS نیست.
به عبارت ساده اگر اپ به اطلاعات PAN کاری نداشته باشد، آن اپ از محدوده الزامات PA-DSS خارج است؛ بنابراین مستقل ساختن کارتخوان موبایلی از نرمافزار کاربر (موبایل / تبلت و…) یک موضوع کلیدی است.
نیازمندیهای PA –DSS در ادامه فهرست شدهاند:
۱. اطلاعات نوار مغناطیسی و CVV2 و Pin Block نباید نگهداری شود.
۲. ذخیرهسازی امن و محافظتشده اطلاعات دارنده کارت
۳. ارائه قابلیتهای احراز هویت امن توسط نرمافزار
۴. ذخیرهگیری اطلاعات فعالیت اپ.
۵. پیادهسازی اپهای پرداخت امن
۶. ایمنسازی تبادل اطلاعات بهصورت بیسیم
۷. آزمون آسیبپذیری اپ
۸. کمک و تسهیل در پیادهسازی یک شبکه امن
۹. اطلاعات دارنده کارت نباید در سروری که به اینترنت متصل است تحت هیچ شرایطی نگهداری شود.
۱۰. تسهیل ارتباط از راه دور امن به نرمافزار
۱۱. رمزنگاری اطلاعات حساس در موقع استفاده از شبکههای عمومی
۱۲. تمام دسترسیهای بهغیراز ارتباط با کنسول مدیریت سیستم باید رمزنگاری شود.
۱۳. مستندسازی و نگهداری آنها، اجرای برنامههای آموزشی برای مشتریان، فروشندگان و ارائهدهندگان اپ
با استفاده از secure card reader authenticator (SCRA) روی کارتخوان موبایلی و مرتبط ساختن موبایل با یک درگاه پرداخت ایمن (Payment Protect Gateway=PPG)، نیازمندیهای ۳ و ۵ و ۶ و ۷ و ۹ و ۱۰ و ۱۲ تأمینشده، تنها مواردی که باید چارهاندیشی شود موارد ۱ و ۲ و ۱۱ است. موارد ۸ و ۱۳ نیز که بهآسانی قابل تحقق است.
چنانچه نکات زیر در پیادهسازی راهکار (SCRA و PPG) لحاظ شود نیازمندیهای باقیمانده نیز برطرف میشوند
۱. تمامی عملیات خواندن اطلاعات کارت توسط SCRA انجام شود.
۲. ورود رمز و کلید بهصورت دستی از طریق رابط کاربری برنامه کاربردی مجاز نبوده و ورود PAN برای تراکنش CNP باید بهوسیله صفحه کلیدی مطابق با استاندارد PCI PED و یا PCI PTS باشد.
این موضوع برای تراکنش در راهحلهای مبنی بر کارتهای عادی بانکی است؛ در راهکارهای مبنی بر PIN Less نیازی به ورود رمز و درنتیجه استفاده از PED نیست.
۳. تمامی تراکنشها بهصورت بلا واسطه برای PPG ارسال شوند.
۴. نه مرچنت و نه نرمافزار نباید بهکلیدهای مورداستفاده SCRA دسترسی داشته باشند.
۵. قطعه SCRA باید مطابق استاندارد سطح سه یا بالاتر باشد.
با همه اینها تشخیص سازگاری راهکار با PCI – DSS بایستی بهوسیله بازرسان مجاز نهاد یعنی PCI –QSA تأیید شود.
با توجه به موضوعات فوق، ارائهدهندگان کارتخوان موبایلی با اتکا به رعایت ایمنی در حد اعلاء در بخش Card Reader راهحلها و استفاده از PPG بهعنوان واسطه و مبدل تراکنش، پیادهسازی راهحلی بسیار ساده و کاربرپسند را در اختیار توسعهدهندگان نرمافزارهای سمت کاربر قرار میدهند تا آنها بتوانند تنوع زیادی را در محصول خود ایجاد کنند. لازم به ذکر است که تراکنش بهصورت Card Not Present تحویل سوئیچ میشود و در این راهکار نیاز به ورود اطلاعات توسط مشتری بسیار کمتر است.
آخرین خبرها حاکی از آن است که دستگاه کارتخوان موبایلی باقابلیت اتصال مستقیم به سوئیچ Acquirer بدون نیاز به واسطهگری PPG به بازار آمده است.
شنبه 24 آبان ماه 1393