هر چه نا امن شود شود به آن EMV میزنند، وای به روزی که ..

دوشنبه ۳۰ بهمن ۱۳۹۶ 0 نظر 203 بازدید

هر چه نا امن شود شود به آن EMV میزنند، وای به روزی که .. 

 حمیدرضا نورصالحی؛ مشاور و طراح سیستمهای پیشرفته علم و فن آوری

قطعا مزایای اعمال یک سیستم چرخشی در طراحی سیستمها به سبک متدولوژی RUP در تولید نرم افزار های رایانه ای که در طی آن تکرار دایمی چهار مرحله inception, Elaboration, Construction و Transition برای تکامل سیستم در نظر گرفته میشود، بر کسی پوشیده نیست. ولی اینکه یک سازمان تجاری در ابعاد EMV از سالها قبل به نام تدوین استاندارد پرداخت، وعده ارایه امنیت در تمامی کانالها را بدهد ولی در نهایت در آستانه سال 2017 میلادی که تب استفاده از موبایل برای پرداخت دنیا را فرا گرفته است، شاهد باشیم که همچنان بخش قابل اطمینان آن خدمتی که ارایه میدهد، فقط شامل ارایه کارت های تراشه دار است، یک رفتار حرفه ای محسوب نمیگردد.

متاسفانه با مراجعه به وب سایت EMVco مشاهده میگردد که این مجموعه با ارایه 4 مستند جامع در نسخه 4.3 به سال انتشار 2011 میلادی و سایر به روز رسانی ها، هنوز در عصر کارت های تراشه دار درجا میزند و آنچه تحت عنوان گسترش اسکیمای قدرتمند EMV به سایر روشهای پرداخت غیر تماسی (Contact less) و موبایلی معرفی میکند، در حد Draft و در صف انتظار RFC است.

این مساله تا جایی اهمیت دارد که بانک مرکزی اتحادیه اروپا در طی یک گزارش جامع، پایان سال 2017 میلادی را آخرین مهلت برای تعیین تکلیف مکانیزم Point of Interaction معرفی شده توسط آن سازمان مشخص کرده و مشخصا نگرانی های زیادی درباره نبود امنیت بین دو لایه Payment Processor و لایه POI را مطرح نموده است.

ایده پیاده سازی لایه POI پس از ورود بازیگران قدرتمندی همچون Apple و Samsung به بازار پرداخت موبایلی شکل گرفته و در طی آن این مکانیزم به صورت یک تجمیع کننده، کلیه روشهای پرداخت تماسی و غیر تماسی، همچنین کارتی و غیر کارتی کاربران را از درون EMV Kernel یکپارچه کرده و به این ترتیب سعی نموده است بدون اعمال تغییرات گسترده در Data Flow های اسکیمای قدیمی خود، راهکاری (Solution) برای پاسخگویی به تغییر رفتار مشتری نهایی ارایه دهد، که البته آنچه همگان از EMV انتظار دارند، نه راهکار، بلکه ارایه یک استاندارد بر اساس Best Experiences است که مشخصا بانک مرکزی اتحادیه اروپا به نبود تجربه کافی در لایه POI ایراد دارد.

 البته در حالی وظیفه لایه POI در نسل بعدی EMV به شرح زیر بسیار گسترده و با اهمیت توصیف میشود که در همایش Black Hat 2016 (اواخر تابستان) به ضعف ارتباط بین لایه Processor با POI اشاره شده و مورد حمله موفق توسط انواع روشهای نرم افزاری و سخت افزاری (Shimmers) قرار گرفته است: 

Point of Interaction (POI) System– In the context of EMV Next Gen, the POI System is considered to host the user interfaces for the cardholder and merchant, Payment System network connectivity, peripheral devices such as PIN pads and receipt printers, and the Adaptation Layer. 

 

در واقع مکانیزم POI قرار است باعث شود نسل بعدی EMV صاحب قابلیت های زیر گردد:

 

EMV Next Generation (Next Gen) establishes a common, robust technology platform to support a variety of interfaces—contact, contactless, mobile, etc.—for both online and offline processing

 اما ظاهرا برای تامین امنیت در لایه POI مسایل تا جایی حاد خواهد شد که حرکت به سمت Token و Tokenization اطلاعات کارت بانکی توسط متخصصین پیشنهاد میگردد - یعنی روشی که از روز اول میبایستی پیگیری میشد!! به همین جهت شرکتهایی همچون China Union Pay که روزی اقدام به پیروی از EMV نموده بودند در بحث روشهای پرداخت غیر تماسی و موبایلی راه خود را جدا کرده و به سمت نوآوری و تصاحب سهم بازار حرکت کرده اند که این رفتار شرکتهای مطرح دنیا درسهای قابل توجهی برای شبکه بانکی و جامعه پرداخت کشور دارد و در ادامه مسئولیت بزرگی بر دوش رگولاتور شبکه بانکی قرار میدهد.

 

نام
ایمیل
متن نظر
عبارت داخل تصویر