احمد پیشگاه‌زاده – مدیرعامل شرکت پرداخت الکترونیک سپهر

تحول دیجیتال طی یک دهه گذشته، صنعت پرداخت را در نقطه‌ای قرار داده که بسیاری از استانداردها، چارچوب‌ها و حتی مدل‌های کسب‌وکاری گذشته دیگر پاسخگوی نیازهای امروز نیستند. زمانی که کارت‌خوان‌های کلاسیک و شبکه‌های پرداخت بر پایه تراکنش‌ با کارت‌های مغناطیسی شکل گرفتند، فناوری‌هایی مانند ان‌اف‌سی و موبایل‌های هوشمند، کیف پول‌های نرم‌افزاری و پرداخت‌های ابری حتی به‌صورت یک جریان اصلی مطرح نبودند. اما اکنون سهم پرداخت‌های غیرتماسی در بسیاری از کشورها از مرز ۷۰ درصد عبور کرده و کاربران نه تنها انتظار سرعت بیشتر، بلکه زیرساختی کم‌هزینه‌تر، چابک‌تر و امن‌تر دارند.

در چنین فضایی، فناوری مبتنی بر ابزارهایی غیرکارتخوان نظیر SoftPOS یا Tap to Phone بستر جدیدی برای پذیرش پرداخت ایجاد کرده‌اند؛ بستری که بدون نیاز به دستگاه کارت‌خوان فیزیکی و تنها با استفاده از موبایل پذیرنده، پرداخت‌های غیرتماسی‌ با کارت‌های هوشمند را ممکن می‌کند. اما موضوع فقط یک فناوری جدید نیست. پشت این فناوری، استانداردی شکل گرفته که مسیر آینده امنیت پرداخت را بازنویسی می‌کند. یعنی همان استانداردPCI CPoC .

این یادداشت تلاش می‌کند نشان دهد چراPCI CPoC   به‌عنوان یک استاندارد تخصصی امنیت پرداخت موبایلی، نه تنها مکمل، بلکه در بسیاری از کاربردها جایگزین طبیعی، منطقی و ارزان‌تر استانداردهای قدیمی مانند  PCI DSS  است و چگونه این استاندارد می‌تواند مدل‌های کسب‌وکاری جدیدی برایPSPها، بانک‌ها، فین‌تک‌ها و کسب‌وکارهای کوچک و متوسط ایجاد کند.

PCI DSS؛ استانداردی حیاتی اما گران، پیچیده و مختص نسل گذشته

استاندارد PCI DSS نزدیک به دو دهه پیش با این هدف تدوین شد که امنیت داده‌های کارت در محیط‌های پردازش، ذخیره‌سازی و انتقال تضمین شود. در سال‌هایی که بیشتر تراکنش‌ها از طریق کارت‌خوان‌های مغناطیسی و در محیط‌های On-Premise انجام می‌شد، این استاندارد یک تحول اساسی به‌حساب می‌آمد. الزاماتی مانند حفاظت از داده‌های حساس کارت، کنترل دسترسی، تست‌های نفوذ دوره‌ای، مانیتورینگ و ثبت وقایع، رمزنگاری اطلاعات کارت و مدیریت آسیب‌پذیری‌ها باعث شده بود تا PCI DSS به استاندارد مرجع امنیت پرداخت تبدیل شود.

اما چالشی در میان بود! این استاندارد برای عصر کارت‌خوان‌های سخت‌افزاری طراحی شده بود. اجرای آن هزینه‌بر، پیچیده و به تجهیزات و فرآیندهای گسترده نیاز داشت. شرکت‌هایی که تحت پوشش PCI DSS قرار می‌گیرند باید معماری امنیتی سنگینی ایجاد کنند که برایPSPها و بانک‌ها قابل توجیه است، اما برای پذیرندگان کوچک یا کسب‌وکارهای سیار اصلا عملیاتی و اقتصادی نیست. با رشد پرداخت غیرتماسی و افزایش قدرت پردازش موبایل‌ها، نیاز به استانداردی جدید احساس شد؛ استانداردی که امنیت پرداخت را بدون بار مالی و فرآیند PCI DSS تضمین کند.

PCI CPoC؛ استانداردی برای دنیای جدید پرداخت غیرتماسی

استاندارد PCI CPoC (Contactless Payments on COTS) پاسخی مستقیم به تغییرات بنیادین صنعت پرداخت است. این استاندارد بر بستر دستگاه‌های هوشمند معمولی (Commercial Off-The-Shelf) مانند موبایل و تبلت طراحی شده و امکان انجام تراکنش غیرتماسی را بدون نیاز به ریزتراشه‌های سخت‌افزاری که به‌عنوان یک محیط اجرایی کاملاً امن و ایزوله عمل می‌کردند، فراهم می‌کند و ویژگی کلیدی آن این است که امنیت را از سخت‌افزار به نرم‌افزار و فضای ابری منتقل می‌کند و با استفاده از رمزنگاری، پردازش ابری، مدیریت کلید و معماری سرویس‌محور، سطح امنیتی معادل یا حتی بالاتر از PCI DSS ارائه می‌دهد؛ اما با هزینه‌ای بسیار کمتر. به زبان ساده،PCI CPoC همان استانداردی است که فناوری SoftPOS را ممکن کرده‌است.

چرا PCI CPoC جایگزین طبیعی PCI DSS است؟

نخستین دلیل این جایگزینی کاهش شدید هزینه‌ها است. اجرای PCI DSS نیازمند تجهیزات مخصوص، معماری شبکه امن، سیستم‌های مدیریت لاگ، امنیت فیزیکی و منطقی و تست‌های مداوم است. اما PCI CPoC به جای این الگو، از ساختاری ساده‌تر اما مدرن‌تر استفاده می‌کند که در آن پردازش ابری جای پردازش‌های محلی را می‌گیرد و یک رمزنگاری سرتاسری را رقم می‌زند و در آن Device Attestation و هاردنینگ نرم‌افزاری و Risk Engine مبتنی بر داده اجرا می‌شود. نتیجه این تحول کاهش هزینه هر تراکنش و هزینه راه‌اندازی، تا ۱۰ برابر است.

دلیل دوم آن دستیابی به امنیت معادل و یا بهتر است. در PCI CPoC تمام پردازش‌های حساس در محیط ابری امن انجام می‌شود، در حالی که PCI DSS بخشی از مسئولیت را به محیط پذیرنده منتقل می‌کند. با این کار ریسک حمله فیزیکی کاهش می‌یابد، مدیریت کلید متمرکز می‌شود و به‌روزرسانی امنیتی سریع‌تر و گسترده‌تر می‌شود.

دستاورد سوم چنین تحولی چابکی در عملیات است. PCI DSS انعطاف‌پذیری کمی دارد. تغییرات کوچک هزینه و زمان زیادی می‌طلبد. اما  PCI CPoC در اصل بر پایه موبایل و نرم‌افزار ساخته شده و قابلیت‌هایی نظیر انتشار نسخه‌های جدید بدون توقف سرویس، مقیاس‌پذیری سریع و پشتیبانی از هزاران پذیرنده بدون سخت‌افزار را دارد.

مهم‌ترین پیامد عملی استاندارد  PCI CPoCرواج  SoftPOS است  

اگر PCI CPoC را مغز امنیتی یک تغییر بزرگ بدانیم، SoftPOS مهم‌ترین خروجی عملی آن است SoftPOS به‌گونه‌ای عمل می‌کند که پذیرنده بدون کارت‌خوان فیزیکی بتواند با لمس کارت بانکی مشتری روی موبایل، تراکنش‌های غیرتماسی انجام دهد. به‌طور خلاصه در این تحول موبایل به کارت‌خوان، اپلیکیشن به رابط پذیرندگی و فضای ابری به محیط پردازش بدل می‌شود. برایPSPها این به معنی حذف بخش بزرگی از هزینه‌های عملیاتی است و برای پذیرندگان به معنی عدم وابستگی به ابزارهای پذیرش سنگین و پرهزینه.

 تجربه جهانی و وضعیت ایران در جابجایی تدریجی از PCI DSS به PCI CPoC

امروز صدها  PSPو فین‌تک در اروپا، استرالیا، آمریکای لاتین و شرق آسیا SoftPOS را به‌عنوان مکمل یا حتی جایگزین کارت‌خوان سنتی ارائه می‌دهند. مهم‌ترین دلایل این مهاجرت کاهش هزینه نگهداری کارت‌خوان‌ها، قابلیت توسعه سریع در بازارهای جدید، افزایش تراکنش‌های غیرتماسی، سازگاری با مدل‌های کسب‌وکاری ابری است. در بسیاری از کشورها، سهم SoftPOS از پذیرش پرداخت موبایلی به ۲۰ تا ۳۰ درصد رسیده و سریع‌ترین رشد در بین ابزارهای پذیرش را دارد. این رشد تنها به یمن استاندارد PCI CPoC ممکن شده‌است.

در ایران نیز طی سال‌های اخیر چند PSP و فین‌تک داخلی راه‌حل‌های مبتنی بر SoftPOS را ارائه کرده‌اند. چراکه نیاز به کاهش هزینه‌های شبکه پرداخت و گسترش ابزارهای سیار، SoftPOS  را به گزینه‌ای استراتژیک تبدیل کرده‌است. اما در این میان چالش‌هایی نیز وجود دارد. از جمله آنکه الزامات فعلی شاپرک مبتنی بر مدل‌های قدیمی است، یک اکوسیستم کامل NFC بانکی وجود ندارد، پذیرندگان به موبایل‌های سازگار با این سیستم دسترسی کامل ندارند و مقررات استاندارد  PCI CPoC به‌طور کامل پذیرفته نشده‌است. اما روند بازار نشان می‌دهد که با توسعه NFC و سازگاری موبایل‌های جدید، SoftPOS  به سرعت جایگاه خود را باز خواهد کرد.

با توجه به روندهای جهانی، پیش‌بینی می‌شود طی ۳ تا ۵ سال آینده در این زمینه سه اتفاق مهم رخ دهد. نخست آنکه نقش کارتخوان‌های فیزیکی به مرور از بین می‌روند، پرداخت‌های غیرتماسی به شیوه اصلی پرداخت تبدیل می‌شوند و استاندارد PCI CPoC تبدیل به چارچوب غالب امنیتی می‌شود. در این آینده، زیرساخت پرداخت، بیشتر از سخت‌افزار به نرم‌افزار، موبایل و پردازش امن ابری، منتقل می‌شود.

جمع‌بندی

صنعت پرداخت در حال عبور از یک تحول ساختاری است؛ تحولی که نه با کارت‌خوان‌های جدید، بلکه با استانداردهای جدید هدایت می‌شود. استاندارد PCI CPoC پاسخی هوشمندانه به نیازهای عصر پرداخت غیرتماسی است؛ عصری که در آن امنیت باید انعطاف‌پذیر باشد، پذیرندگی باید ارزان و مقیاس‌پذیر باشد و ابزارها باید بر بستر موبایل و ابری عمل کنند. در بسیاری از کاربردها،PCI CPoC  همان چیزی است که قرار بود PCI DSS طی دهه گذشته باشد؛ اما اکنون با رویکردی مدرن‌تر، ساده‌تر و اقتصادی‌تر محقق شده‌است.

این استاندارد تنها یک الزام امنیتی نیست؛ بلکه مسیر آینده پرداخت سیار، کاهش هزینه شبکه، توانمندسازی کسب‌وکارهای کوچک و خلق مدل‌های اقتصادی نوین است. دنیای پرداخت از «سخت‌افزار محور» به «نرم‌افزار محور» تغییر می‌کند و در این مسیر، PCI CPoC  نقش ستون فقرات امنیتی را بر عهده گرفته‌است.