استانداردهای صنعت پرداخت از کجا آمده‌اند؟

پرداخت با کارت‌های پلاستیکی از اواخر دهه ۸۰ به بخشی از زندگی ما تبدیل شد.

پرداخت برتر، تا پیش از آن، پول نقد به‌صورت سکه و اسکناس در کشورمان حرف اول را می‌زد ولی اکنون پرداخت با کارت، به موضوعی کاملاً عادی و رایج تبدیل شده است.

امروزه در کیف پول هر یک از ما چند کارت پلاستیکی وجود دارد؛ به‌طوری که در دورافتاده‌ترین روستاها نیز مردم برای پرداخت‌های خود از کارت استفاده می‌کنند.

با این حال مفاهیم فنی این حوزه چندان مورد توجه قرار نگرفته است و ما با کمبود شدید منابع آموزشی در زمینه کارت و پرداخت مواجه هستیم.

برای اینکه بدانید این صنعت چقدر در سال‌های گذشته پیشرفت کرده، کافی است یادمان بیاید که در سال‌های نه‌چندان دور چقدر مردم به این صنعت بی‌اعتماد بودند.

ناگفته نماند که در سایر نقاط دنیا نیز وضعیت، چندان بهتر از ایران ما نیست و اساساً صنعت کارت و پرداخت حوزه‌ای است که کمتر به آن توجه شده است.

موضوع احراز هویت و استانداردهایی که در این صنعت وجود دارد، از جمله مباحث مهمی در صنعت پرداخت به شمار می‌آید.

موضوعات حائز اهمیت در استانداردهای صنعت پرداخت مواردی را شامل می‌شود که مجرمان همواره سعی در رسیدن به آنها دارند.

مجرمان می‌خواهند به موارد زیر دسترسی داشته باشند:

– کارت‌های فیزیکی و پین‌ها

– کارت‌های فیزیکی

– داده‌های کارت به‌کاررفته در عملیات تأیید هویت برای تراکنش‌ها

– داده شیار نوار مغناطیسی پین

– داده شیار نوار مغناطیسی

– داده تجارت الکترونیکی

ما چگونه می‌توانیم جلوی آنها را بگیریم؟

مجرمان، به ترتیب اولویت، در درجه اول تمایل دارند به کارت‌های فیزیکی و پین‌ها دسترسی پیدا کنند.

اگر به هر دلیل نتوانند پین‌ها را به دست آورند، روی کارت‌های فیزیکی تمرکز می‌کنند.

اگر هیچ‌یک از این دو را به دست نیاورند، به سرقت داده‌های لازم در عملیات تأیید هویت برای تراکنش روی می‌آورند.

داده شیار نوار مغناطیسی به همراه پین، صرف داده شیار نوار مغناطیسی و داده یک تراکنش تجارت الکترونیکی، نمونه‌هایی از این داده‌ها هستند.

سؤال اصلی که مطرح می‌شود، این است که چگونه می‌توانیم از دسترسی مجرمان به موارد مذکور، جلوگیری کنیم.

یک استاندارد بنویسیم و به مردم توضیح بدهیم که چگونه باید از کارت‌های فیزیکی و پین‌ها، کارت‌های فیزیکی، داده‌های کارت به‌کار رفته در عملیات تأیید هویت برای تراکنش‌ها، داده شیار نوار مغناطیسی + پین، داده شیار نوار مغناطیسی و داده تجارت الکترونیکی حفاظت کنند.

راهکار، در استانداردها نهفته است

استانداردهایی در مورد نحوه محافظت از پین‌ها، کارت‌های فیزیکی و داده‌های مورد استفاده برای تأیید هویت تمام انواع تراکنش‌ها تبیین شده است.

اگر همه سازمان‌ها و مردم جهان، از این استانداردهای امنیتی فنی پیروی کنند، تلاش‌های مجرمان به درب بسته خواهد خورد.

شبکه‌های اسکیمای کارت، باور دارند که از این طریق، می‌توان با اکثر مجرمان مقابله کرد.

هر یک از شبکه‌های اسکیمای کارت بزرگ، یعنی آمریکن اکسپرس، دیسکاور، جی‌سی‌بی، مسترکارت و ویزا، استانداردهای امنیتی مختص خودشان را دارند تا از داده‌ها، پین‌ها و فرایند تولید کارت‌ها، محافظت کنند.

در این استانداردها، به بانک‌ها گفته شده که چگونه می‌توانند مطمئن شوند تأمین‌کنندگان آنها و مرچنت‌ها، از داده‌هایی که شبکه‌های اسکیمای کارت آنها را متعلق به بانک می‌دانند، مراقبت کرده‌اند و در نهایت، اطمینان حاصل کنند که مجرمان قادر نخواهند بود از سیستم پرداخت کارتی، سوء‌استفاده کنند.

شکل‌گیری شورای استاندارد امنیت داده صنعت پرداخت

داشتن پنج مجموعه مختلف از استانداردهای امنیتی که در برخی موارد با هم تناقض داشتند، برای صنعت پرداخت بسیار گیج‌کننده بود، به همین دلیل، در سال ۲۰۰۶، شورای استاندارد امنیت داده صنعت کارت و پرداخت یا همان PCI SS شکل گرفت.

این شورا با حضور پنج برند کارت، یعنی آمریکن اکسپرس، ویزا، مسترکارت، دیسکاور و جی‌سی‌بی شکل گرفت.

در این شورا، بهترین بخش‌های هر کدام از استانداردهای شبکه‌های اسکیمای کارت گزینش شدند تا در استانداردهای صنعت پرداخت کارت به کار گرفته شوند.

ماهیت کار مجرمان در ارتباط با صنعت پرداخت

مجرمان به‌دنبال پول نقد و چیزهایی هستند که بتوانند در ازای پول نقد، معامله کنند.

آنها به کارت‌های فیزیکی و پین‌ها علاقه دارند.

آنها همچنین به داده‌های لازم برای دریافت تأیید هویت علاقه دارند.

استانداردهای شبکه‌های اسکیمای کارت، به شرکت‌ها می‌گویند که چگونه باید کارت‌ها، پین‌ها و داده‌ها را از حمله مجرمان، در امان نگه دارند.

شبکه‌های اسکیمای کارت، شورای استاندارد PCI SS را شکل دادند تا استانداردهای کل صنعت را تحت مدیریت بگیرند.

مجرمان از داده‌های کارت استفاده می‌کنند تا به پول برسند.

آنها این کار را از دو طریق انجام می‌دهند.

دریافت پول از دستگاه خودپرداز یا خرید کالا و فروش مجدد آن در ازای دریافت پول.

ترجیح مجرمان بر این است که کارت‌های فیزیکی و پین‌ها را به سرقت ببرند.

ولی اگر در این کار توفیقی به دست نیاورند، به سرقت داده‌هایی روی می‌آورند که امکان انجام تراکنش‌های متقلبانه را برای آنها فراهم می‌کند.

این داده‌ها، همان‌هایی هستند که در عملیات تأیید هویت برای تراکنش، به‌ کار گرفته می‌شوند.

شبکه‌های اسکیمای کارت پرداختی، استانداردهایی را تدوین کرده‌اند تا به مردم حاضر در اکوسیستم پرداخت، بانک‌های پذیرنده و بانک‌های صادرکننده اعلام کنند که بانک‌ها و تأمین‌کنندگان آنها و مرچنت‌ها و نهادهای تأمین‌کننده این کسب‌وکارها، با چه روشی باید داده کارت را مورد محافظت قرار بدهند.

شبکه‌های اسکیمای کارت، هر کدام استانداردهای مخصوص به خودشان را دارند، اما در سال ۲۰۰۶، توافق کردند تا یک مجموعه استاندارد کامل برای کل صنعت تدوین کنند. این مجموعه، استانداردهای صنعت کارت و پرداخت نام گرفت.

برگرفته از کتاب: صنعت کارت و پرداخت

نویسنده: آجای کومار