پرداخت با کارتهای پلاستیکی از اواخر دهه ۸۰ به بخشی از زندگی ما تبدیل شد.
پرداخت برتر، تا پیش از آن، پول نقد بهصورت سکه و اسکناس در کشورمان حرف اول را میزد ولی اکنون پرداخت با کارت، به موضوعی کاملاً عادی و رایج تبدیل شده است.
امروزه در کیف پول هر یک از ما چند کارت پلاستیکی وجود دارد؛ بهطوری که در دورافتادهترین روستاها نیز مردم برای پرداختهای خود از کارت استفاده میکنند.
با این حال مفاهیم فنی این حوزه چندان مورد توجه قرار نگرفته است و ما با کمبود شدید منابع آموزشی در زمینه کارت و پرداخت مواجه هستیم.
برای اینکه بدانید این صنعت چقدر در سالهای گذشته پیشرفت کرده، کافی است یادمان بیاید که در سالهای نهچندان دور چقدر مردم به این صنعت بیاعتماد بودند.
ناگفته نماند که در سایر نقاط دنیا نیز وضعیت، چندان بهتر از ایران ما نیست و اساساً صنعت کارت و پرداخت حوزهای است که کمتر به آن توجه شده است.
موضوع احراز هویت و استانداردهایی که در این صنعت وجود دارد، از جمله مباحث مهمی در صنعت پرداخت به شمار میآید.
موضوعات حائز اهمیت در استانداردهای صنعت پرداخت مواردی را شامل میشود که مجرمان همواره سعی در رسیدن به آنها دارند.
مجرمان میخواهند به موارد زیر دسترسی داشته باشند:
– کارتهای فیزیکی و پینها
– کارتهای فیزیکی
– دادههای کارت بهکاررفته در عملیات تأیید هویت برای تراکنشها
– داده شیار نوار مغناطیسی پین
– داده شیار نوار مغناطیسی
– داده تجارت الکترونیکی


ما چگونه میتوانیم جلوی آنها را بگیریم؟
مجرمان، به ترتیب اولویت، در درجه اول تمایل دارند به کارتهای فیزیکی و پینها دسترسی پیدا کنند.
اگر به هر دلیل نتوانند پینها را به دست آورند، روی کارتهای فیزیکی تمرکز میکنند.
اگر هیچیک از این دو را به دست نیاورند، به سرقت دادههای لازم در عملیات تأیید هویت برای تراکنش روی میآورند.
داده شیار نوار مغناطیسی به همراه پین، صرف داده شیار نوار مغناطیسی و داده یک تراکنش تجارت الکترونیکی، نمونههایی از این دادهها هستند.
سؤال اصلی که مطرح میشود، این است که چگونه میتوانیم از دسترسی مجرمان به موارد مذکور، جلوگیری کنیم.
یک استاندارد بنویسیم و به مردم توضیح بدهیم که چگونه باید از کارتهای فیزیکی و پینها، کارتهای فیزیکی، دادههای کارت بهکار رفته در عملیات تأیید هویت برای تراکنشها، داده شیار نوار مغناطیسی + پین، داده شیار نوار مغناطیسی و داده تجارت الکترونیکی حفاظت کنند.
راهکار، در استانداردها نهفته است
استانداردهایی در مورد نحوه محافظت از پینها، کارتهای فیزیکی و دادههای مورد استفاده برای تأیید هویت تمام انواع تراکنشها تبیین شده است.
اگر همه سازمانها و مردم جهان، از این استانداردهای امنیتی فنی پیروی کنند، تلاشهای مجرمان به درب بسته خواهد خورد.
شبکههای اسکیمای کارت، باور دارند که از این طریق، میتوان با اکثر مجرمان مقابله کرد.
هر یک از شبکههای اسکیمای کارت بزرگ، یعنی آمریکن اکسپرس، دیسکاور، جیسیبی، مسترکارت و ویزا، استانداردهای امنیتی مختص خودشان را دارند تا از دادهها، پینها و فرایند تولید کارتها، محافظت کنند.
در این استانداردها، به بانکها گفته شده که چگونه میتوانند مطمئن شوند تأمینکنندگان آنها و مرچنتها، از دادههایی که شبکههای اسکیمای کارت آنها را متعلق به بانک میدانند، مراقبت کردهاند و در نهایت، اطمینان حاصل کنند که مجرمان قادر نخواهند بود از سیستم پرداخت کارتی، سوءاستفاده کنند.
شکلگیری شورای استاندارد امنیت داده صنعت پرداخت
داشتن پنج مجموعه مختلف از استانداردهای امنیتی که در برخی موارد با هم تناقض داشتند، برای صنعت پرداخت بسیار گیجکننده بود، به همین دلیل، در سال ۲۰۰۶، شورای استاندارد امنیت داده صنعت کارت و پرداخت یا همان PCI SS شکل گرفت.
این شورا با حضور پنج برند کارت، یعنی آمریکن اکسپرس، ویزا، مسترکارت، دیسکاور و جیسیبی شکل گرفت.
در این شورا، بهترین بخشهای هر کدام از استانداردهای شبکههای اسکیمای کارت گزینش شدند تا در استانداردهای صنعت پرداخت کارت به کار گرفته شوند.


ماهیت کار مجرمان در ارتباط با صنعت پرداخت
مجرمان بهدنبال پول نقد و چیزهایی هستند که بتوانند در ازای پول نقد، معامله کنند.
آنها به کارتهای فیزیکی و پینها علاقه دارند.
آنها همچنین به دادههای لازم برای دریافت تأیید هویت علاقه دارند.
استانداردهای شبکههای اسکیمای کارت، به شرکتها میگویند که چگونه باید کارتها، پینها و دادهها را از حمله مجرمان، در امان نگه دارند.
شبکههای اسکیمای کارت، شورای استاندارد PCI SS را شکل دادند تا استانداردهای کل صنعت را تحت مدیریت بگیرند.
مجرمان از دادههای کارت استفاده میکنند تا به پول برسند.
آنها این کار را از دو طریق انجام میدهند.
دریافت پول از دستگاه خودپرداز یا خرید کالا و فروش مجدد آن در ازای دریافت پول.
ترجیح مجرمان بر این است که کارتهای فیزیکی و پینها را به سرقت ببرند.
ولی اگر در این کار توفیقی به دست نیاورند، به سرقت دادههایی روی میآورند که امکان انجام تراکنشهای متقلبانه را برای آنها فراهم میکند.
این دادهها، همانهایی هستند که در عملیات تأیید هویت برای تراکنش، به کار گرفته میشوند.
شبکههای اسکیمای کارت پرداختی، استانداردهایی را تدوین کردهاند تا به مردم حاضر در اکوسیستم پرداخت، بانکهای پذیرنده و بانکهای صادرکننده اعلام کنند که بانکها و تأمینکنندگان آنها و مرچنتها و نهادهای تأمینکننده این کسبوکارها، با چه روشی باید داده کارت را مورد محافظت قرار بدهند.
شبکههای اسکیمای کارت، هر کدام استانداردهای مخصوص به خودشان را دارند، اما در سال ۲۰۰۶، توافق کردند تا یک مجموعه استاندارد کامل برای کل صنعت تدوین کنند. این مجموعه، استانداردهای صنعت کارت و پرداخت نام گرفت.
برگرفته از کتاب: صنعت کارت و پرداخت
نویسنده: آجای کومار