در حال خواندن
در میزگرد آنلاین با حضور مدیران بانکی و پرداخت الکترونیک کشور عنوان شد: حذف رمز در اولویت پروژه پرداخت موبایلی قرار گیرد
0

در میزگرد آنلاین با حضور مدیران بانکی و پرداخت الکترونیک کشور عنوان شد: حذف رمز در اولویت پروژه پرداخت موبایلی قرار گیرد

نویسنده:  علی اصغر افتاده1399-12-18

فایل صوتی این گفت‌وگو را از اینجا دانلود کنید.

نشریه دیجیتال این گفت‌وگو را از اینجا دانلود کنید.

 

پروژه پرداخت موبایلی مبتنی بر EMV، خدمت جدید بانکی است که به تراکنش‌های «حضوری بدون کارت» معروف هستند. در این روش از فناوری NFC برای پرداخت های بدون تماس استفاده شده است؛ به این ترتیب که اگر گوشی کاربر دارای قابلیت NFC باشد و دستگاه کارت خوان نصب شده نیز چنین قابلیتی را دارا باشد، کاربر می‌تواند با نزدیک کردن گوشی تلفن همراه خود به دستگاه کارت خوان و بدون نیاز به استفاده از فیزیک کارت بانکی، وجه موردنظر را پرداخت کند.

این در حالی است که دو هفته پیش بانک مرکزی با انتشار فیلمی از مراسم رونمایی از پایلوت این پروژه اعلام کرد که زیرساخت بانکی برای ارایه سرویس پرداخت های موبایلی براساس استاندارد EMV آماده شده و بانک ها و شرکت های پرداخت می توانند به ارایه این سرویس اقدام کنند. البته در فیلم آموزشی دیگری که توسط بانک مرکزی منتشر شد گویا قرار است با استقرار استاندارد EMV، انطباق هرچه بیشتر شبکه پرداخت ایران با سایر شبکه‌های بین‌المللی پرداخت کشورهای دیگر تحقق یابد.

به منظور پیاده‌سازی این استاندارد می‌بایست کارت‌های هوشمند جدید جایگزین کارت‌های مغناطیسی فعلی می شد. با توجه به هزینه‌های بالای ورود کارت‌های هوشمند به کشور و شخصی‌سازی آنها برای مشتریان بانکی و نیز محدودیت‌های کشور در شرایط تحریمی، بانک مرکزی تصمیم گرفت تا ضمن تأکید بر استقرار استاندارد EMV، کارت هوشمند فیزیکی صادر نشود. برای اجرای این سیاست، استفاده از تلفن همراه به جای کارت هوشمند و نیز ذخیره‌سازی اطلاعات کارت‌های بانکی مغناطیسی به روشی امن در تلفن همراه هر شخص در دستور کار قرار گرفت.

شرکت خدمات انفورماتیک به عنوان بازوی فنی بانک مرکزی، استاندارد EMV را در قالب طرح ملی به کشور، وارد و آن را بومی-سازی کرد. در نتیجه، تغییرات زیرساختی در سامانه‌های حاکمیتی پرداخت کشور همانند «شتاب»، «شاپرک»، «سهند» و «مانا» اعمال شد. همچنین برای اجرای آزمایشی این طرح، تغییرات لازم برای یک بانک و یک PSP نمونه (شرکت‌های بزرگ در حوزه پولی و مالی) انجام و بدین ترتیب امکان ذخیره‌سازی امن کارت‌های بانکی و پرداخت غیرتماسی با تلفن همراه مبتنی بر استاندارد EMV  در شبکه پرداخت کشور با عنوان «راهکار کهربا» فراهم شد. برای فراگیر شدن این طرح، لازم است سایر بانک‌ها و شرکت‌های PSP پیاده‌سازی‌ها و تغییرات لازم را در سامانه‌های خود انجام دهند.

برای استفاده از پرداخت موبایلی مبتنی بر استاندارد EMV پس از نصب برنامک دارای مجوز بانک مرکزی و انجام فرایند احراز هویت و ثبت اطلاعات کارت مشتری، تلفن همراه آماده بهره‌برداری خواهد بود و انجام تراکنش بر روی پایانه فروش با نزدیک کردن تلفن همراه به پایانه به سهولت میسر می‌شود.

البته گفته شده به دلیل تنوع کسب‌وکار و امنیت بالای این روش، امکان پرداخت تراکنش‌های ریزمقدار بدون وارد کردن رمز کارت نیز در آینده میسر خواهد شد و این امر، به معنای انجام تراکنش امن و سریع بدون تماس با ابزار پرداخت و انتقال هر نوع آلودگی خواهد بود.

از این رو، در این میزگرد آنلاین از سلسله نشست های تخصصی بانکداری و اقتصاد دیجیتال، با عنوان «بررسی اجرای پروژه پرداخت های موبایلی مبتنی بر سامانه کهربا» که با حضور ناصر حکیمی، مشاور مدیرعامل بانک تجارت و پیمان منعم طبری مدیرعامل شرکت ایران کیش برگزار شد، ابهامات، چالش ها و آینده پرداخت موبایلی در ایران، موردبحث و تبادل نظر قرار گرفت. مشروح این گفت وگو، پیش روی شماست. حامی این میزگرد، شرکت به پرداخت ملت است.

 

  • جناب طبری! شرکت ایران کیش و بانک صادرات، دو مجموعه ای بودند که در پروژه پرداخت موبایلی مبتنی بر EMV پیشگام بوده اند. البته بنده تا زمانی که سایر شبکه بانکی به آن اضافه شوند، نام این پروژه را پایلوت می گذارم. به عنوان نخستین پرسش لطفا بفرمایید چه اتفاقی در پرداخت های موبایلی مبتنی بر استاندارد EMV و لایه فنی آن رخ داده است؟ همچنین درباره تغییر معماری شبکه و اینکه تراکنش ها از چه گره هایی عبور می کنند، نیز توضیح دهید.

طبری: البته چون محدوده آن در حد بانک صادرات و ایران کیش است، شاید مفهوم پایلوت را داشته باشد اما هریک از شرکت-های پرداخت دیگر که به شاپرک ۲ متصل شوند، می توانند در این پکیج قرار گیرند و می توان گفت در حال حاضر، وضعیت، عملیاتی شده است. درباره اینکه چگونه انجام شده، باید عرض کنم شبکه، همان شبکه شاپرک است و معماری شبکه تغییر نکرده، فقط کارت فیزیکی، جای خود را به موبایل داده و معادل هر کارت، یک توکن، لحاظ شده و یک اپلیکیشن به نام کهربا در حال تولید است. تلاش دوستان بر این است که built-in بتواند در اپلیکیشن های موبایلی PSPها و بانک ها قرار گیرد. فهرست کارت ها در آن هست و وقتی کارتی را انتخاب می کند، توکن معادل آن را به سمت کارت  می فرستند و کارت همان توکن را به عنوان پن به بانک می فرستد و قاعدتا در سمت سرور، تناظر بین توکن و پَنِ کارت اتفاق می افتد و با وارد کردن رمز اول، تراکنش انجام می شود. بنابراین چندان در معماری شبکه از نظر فرایند انتقال تراکنش، تغییر ایجاد نمی شود اما حُسن کار این است که هر تعداد کارت موجود باشد، روی موبایل معرفی می شود و معادل توکن خواهد بود. بدیهی است تمام بانک هایی که قرار است آن را پشتیبانی کنند، باید این فضا برای آنها حاکم شود که بتوانند معادل توکن کارت های صادرشده قبلی و جدید، در سمت بانک مرکزی نهادینه کنند تا جدول شان یکسان شود و مورداستفاده قرار گیرد. اینکه چگونه اجرایی شود، از سمت بانک ها چندان مطلع نیستم اما درخصوص PSP، اپلیکیشنی است که وقتی جای کارت را می گیرد، فقط باید از دستگاه های کارت خوانی که دارای قابلیت NFC هستند و همچنین گوشی هایی که NFC دارند، استفاده شود تا انتقال دیتا یا توکن صورت گیرد. راه حل های میان بری نیز وجود دارد که در  صورت لزوم، در ادامه عرض خواهم کرد.

  • اشاره کردید اپلیکیشنی به نام کهربا در حال تولید است که در سایر اپلیکیشن ها بنشیند و اطلاعات در آنجا وارد شود؟ این قسمت را درست متوجه نشدم.

طبری: مثلا اگر بنده کارت بانک تجارت، صادرات یا سایر بانک ها را داشته باشم، ایشو کردیم، لیست ها می تواند در آن قرار بگیرد. هریک از این کارت ها، معادل توکنی خواهد داشت که اصطلاحا به آن، AID می گوییم. این توکن ها به دستگاه پوز منتقل می شود و تراکنش  جای آن ارسال می شود.

  • یعنی مثلا ما یک سرویس در سایت خبری مان به نام سرویس فناوری ایجاد می کنیم و یک سرویس یا آیکون هم در اپلیکیشن «پات» ایران کیش به عنوان کهربا قرار می گیرد و نیاز نیست یک اپلیکیشن دیگر استفاده کنیم. درست است؟

طبری: نگاه این است که می تواند اپلیکیشن مجزایی به نام کهربا باشد یا موارد دیگری به نام ماژول که در اصطلاح فنی به آن AAR می گویند؛ ماژول امن که built-in در برنامه های موجود باشد. طبیعی است که اگر ماژول امن داده شود، بسیار بهتر است تا استقلال برنامه های دیگر حفظ شود؛ یعنی مثلا در همان اپلیکیشن پات، بتواند لیست کارت ها را ببیند و از آن طریق توکن را بفرستد. به نظرم این استقلال باید درست شود و بانک مرکزی هم در دستورکار قرار می دهد تا استقلال همراه بانک ها، اپلیکیشن-های PSP و بعضا استارتاپ ها حفظ شود.

  • آقای حکیمی! بعد از رونمایی پایلوت طرح در هفته های گذشته، بسیاری اظهار کردند این روش پرداخت در سال ۹۶، زمان حضور شما در بانک مرکزی هم رونمایی شد. لطفا بفرمایید این طرح با آن زمان، چه تفاوت-هایی دارد و چرا آن زمان با روش شما، اجرایی نشد؟

حکیمی: اولین نکته این است که طرح سال ۹۶، EMV نبود؛ یعنی از ساختارهای مربوط به پرداخت های غیرحضوری استفاده می شد تا پرداخت های حضوری انجام شود. همان طور که تمام اپلیکیشن های موجود روی موبایل، با چهار مولفه شماره کارت، رمز دوم، CVV2 و تاریخ انقضا، از پرداخت غیرحضوری کارتی استفاده می کنند، روی این بستر هم از همین ساختار استفاده شده بود تا پرداخت موبایلی انجام شود. بنابراین هنگام پرداخت باید رمز دوم و CVV2 وارد می شد و تاریخ انقضا نیز اگر کارت، قبلا معرفی شده بود، ذخیره می شد و اگر ذخیره نشده بود، باید وارد می شد. این اقدام در سال ۹۶، در نمایشگاه کتاب رونمایی و امکان پرداخت از طریق موبایل فراهم شد اما همان زمان هم به خاطر تجربه کاربری (UX) پیچیده اش چندان مورداستقبال قرار نگرفت. آنچه الان وجود دارد، پرداخت مبتنی بر EMV است؛ به این معنا که به جای وارد کردن شماره کارت و… که طبق مقررات PCI پیچیدگی های خاص خود را دارد، از توکن شماره کارت برای تبادل استفاده می شود که سهولت بیشتری از نظر امنیتی دارد و امکان مدیریت ریسک را از لحاظ شاخص های لازم برای پرداخت های ریزمقدار فراهم می کند. بنابراین به طور خلاصه اول اینکه در روش جدید استاندارد EMV  معرفی شده  و دوم اینکه تراکنش به جای مولفه های غیرحضوری با مولفه های حضوری انجام می-شود. در این حالت، فقط رمز اول وارد می شود و نیازی به CVV2 و تاریخ انقضا وجود ندارد. بنابراین پیش بینی این است که با استفاده از رمز اول، به عنوان تنها مولفه  لازم برای پرداخت، سهولت بیشتری برای پرداخت های موبایلی ایجاد می شود.

  • فکر می کنید با فرایند موجود، از این طرح استقبال شود؟

حکیمی: اگر NFC وجود داشته باشد و tap and go و بدون رمز جلو برود، سهولت آن بسیار زیاد و از کارت، آسان تر است اما اگر قرار باشد در اپلیکیشن، کارت را انتخاب و سپس رمز را وارد کنیم و بعد موبایل را نزدیک کرده یا از QR استفاده کنیم، تجربه کاربری جذابی برای استفاده آن وجود ندارد زیرا استفاده از کارت و رمز اول، همچنان برتری زمانی دارد.

  • جناب طبری! نظر شما در این زمینه چیست؟ دوستان در بانک مرکزی گفته اند در آینده، بدون پین و tap and go راه اندازی می شوند. یک مثال می زنم. پدرم همیشه می گفت اگر شب اول خواستگاری، بله را بگیرید، با فشار کمتری بیرون می آیید اما اگر به جلسه دوم برسد، تعداد سکه و سایر موضوعات، سخت تر می شود! بالاخره همان جلسه اول جواب بله را بگیریم! در این زمینه نیز اگر برای ورود به بازار این طرح، تجربه کاربری، راحت نباشد، ممکن است در توسعه و استقبال از سوی مردم با شکست مواجه شود. الان استاندارد، EMV شده اما همان طور که آقای حکیمی اشاره کردند در سال ۹۶، مشابه آن، روش پرداخت وجود داشته است. فکر نمی کنم پیچیدگی زیادی در مقایسه با این موضوع داشت و فقط استاندارد آن چیز دیگری بود. آنجا هم استقبال نشد و هیچ اتفاقی هم در سه سال گذشته نیفتاده است. فکر نمی کنید بهتر بود در گام اول ورود به بازار، حداقل به صورت tap and go اتفاق می افتاد تا به شیوه فعلی؟ شخصا فکر می کنم خودم از روش موجود استفاده نکنم. اگر قرار باشد موبایل، اپلیکیشن، انتخاب کارت و ورود رمز را هم داشته باشم، پس چه فرقی می کند. با روش رایج فعلی که کارت در دست خودمان هست و سریعا آن را می کشیم و یک رمز وارد می کنیم. به همین سادگی! نظر شما چیست؟

طبری: فرمایش آقای حکیمی درست است. از آنجا که سیستم، رمز اول را استفاده می کند، تجربه کاربری مناسبی ایجاد می نماید و برای اولین بار در کشور در حال رخ دادن است. بحث EMV یا توکنایز کردن نیز بدیهی است اما درباره اینکه کاربر باید کارتی را انتخاب کند، اگر چند کارت انتخاب کرده باشد، چاره ای نیست. اگر امکان داده شود که خود PSPها یا بانک ها استقلال داشته باشند، فرد می تواند یک کارت را به عنوان پیش فرض تعریف کند و همیشه از آن کارت، کسر شود و انتخاب کارت، نیز کمتر صورت گیرد اما درخصوص اینکه tap and go شود، الان هم امکان آن وجود دارد و از یک مبلغی به پایین  می تواند رمز وارد نشود. فکر می کنم باید آمادگی بانک ها وجود داشته باشد که در آن حالت، CMS بانک، این موضوع را بپذیرد که شناسایی رمز را نخواهد و پین و بدون پین را پشتیبانی کند وگرنه این تراکنش تا سطح CMS می رود و CMSهای بانک می توانند برای این مبالغ، آن را بپذیرند. اینکه این مبلغ، چقدر باشد، بانک مرکزی، باید هرچه زودتر، مشخص کند که بر اساس شنیده ها در دستورکار این نهاد قرار دارد. این اتفاق بیفتد ما هم به سرعت tap and go را راه اندازی می کنیم. به نظرم مبلغ آن می تواند خیلی سریع انتخاب شود و بدون پین بودن آن به CMSهای بانک ها ارتباط دارد مانند رمز پویا که وقتی اجرایی شد، بانک ها باید در سطح CMS، آن را پشتیبانی می کردند و به سرعت این کار را کردند. اگر دستورالعمل آن، سریع تر تدوین و ارائه شود، بانک ها هم می-توانند سریع تر آن را انجام دهند و استقبال خوبی هم از آن خواهد شد.

  • آیا برای تراکنش ها، نیاز به اینترنت وجود دارد و مشتری باید در تمام تراکنش ها، اینترنت داشته باشد؟

طبری: خیر. چون تراکنش از سمت کارت خوان ارسال می شود، خود گوشی اینترنت نیاز ندارد و می تواند اپلیکیشن در قسمت کارتش آفلاین باشد، یک بار کارت را بخواند و به صورت آفلاین انجام دهد و در مسیرهای بعدی، کارت را آفلاین انتخاب کند، روی پوز قرار دهد، سپس دیتای توکن آن ارسال می شود و سایر اقدامات با کانکشن پوز است. اگر پوز زدن و یا GPRS باشد، حتما کانکشن اینترنتی دارد و اگر dial-up باشد، از کانکشن dial-up استفاده می کند.

  • با توجه به روش کنونی که مشتری در ابتدای طرح، باید مراحلی مانند نزدیک کردن موبایلش به کارت خوان – اعم از NFC یا QR – باز کردن اپلیکیشن، انتخاب کارت، وارد کردن مبلغ و رمز توسط وی یا پذیرنده را طی کند، آیا با وجود سهولت کارت در حال حاضر، این روش، کاربر را به استفاده از این طرح مجاب می کند؟ در اینجا، بیشتر منظور کارت خوان هایی است که امکان استفاده از NFC را دارند و یا آنهایی که می توانند QRکد تولید کنند. همچنین اگر درصدی از وضعیت موجود کارت خوان ها در شبکه دارید، بفرمایید.

حکیمی: بزرگ ترین چالش این طرح، همان تجربه کاربری است و اگر بخواهد موفق شود، باید تجربه کاربری برتر در مقایسه با کارت به مشتری بدهد. مراحلی که شما اشاره کردید، نسبتا پیچیده است و اگر از تکنولوژی  NFC استفاده نشود و از QR استفاده و این مراحل، سپری شود، پیچیدگی دارد و مشتری از آن گریزان است و ترجیح می دهد از کارت استفاده کند. طبق آخرین آمار، حدود ۱۵ درصد کارت خوان های ما، قابلیت NFC دارند و در این زمینه محدودیت داریم. در موبایل ها، گوشی های اپل، قابلیت استفاده از NFC ندارند چون محدود به اپل پی شده و این گوشی ها هم از دور خارج می شوند. درباره گوشی های اندرویدی اطلاع دقیقی ندارم اما فکر می کنم بیشتر آنها قابلیت NFC داشته باشند با این حال برخی از آنها محدودیت NFC دارند. بنابراین نمی-توان چندان روی NFC گوشی یا کارت خوان حساب کرد و اگر قرار باشد طرح در سطح گسترده عملیاتی شود، به سمت QRکد خواهد رفت. اگر قرار باشد کارت انتخاب کنیم و رمز وارد کنیم، تجربه کاربری آن، چندان جذاب نخواهد بود اما نکته جناب طبری درخصوص انتخاب کارت پیش فرض و استفاده از مدیریت ریسک در EMVمی تواند کمک کند به اینکه حتی با گذاشتن دوربین جلوی QR کارت خوان، بتوان از آن استفاده کرد اما باز هم محدودیت دیگری وجود دارد زیرا تعداد زیادی از کارت خوان های ما قابلیت تولید QR ندارند. راه حل این است که باید QR استاتیک روی یک پنل در محل فروشنده قرار داده شود که آن هم نیازمند ورود مبلغ است و به روش فعلی کارت شباهت پیدا می کند. به هر حال، اگر قرار باشد این طرح، موفق باشد نباید روی NFC آن، حساب کنیم و روش به سمت QR خواهد رفت. از طرف دیگر باید از قابلیت مدیریت ریسک روی EMV استفاده شود تا پرداخت بدون پین استفاده شود که این امر، مزیت رقابتی نسبت به کارت است.

  • البته در نهایت نفهمیدیم استفاده از روش ها اجباری است یا خیر؟ آیا دوستان می توانند بدون پین جلو بروند؟ مشروط بر اینکه عددها و مابقی جزییات و سیاست های رگولاتور مشخص شود. بعید است کسی به صورت سرخود کاری را انجام دهد. آیا با نظر بنده موافقید که اول باید بدون پین بیاید و بعد به سراغ مراحل بعدی برویم؟

حکیمی: در دنیا، مدیریت ریسک برعهده بانک صادرکننده است و این گونه نیست که محدودیت یا الزام در سطح شبکه گذاشته شود. بانک صادرکننده این قابلیت را به مشتری می دهد و حتی مشتری این قابلیت را برای خودش تنظیم می کند که تا چه عددی به عنوان تراکنش بدون پین باشد. اینها مدیریت ریسک سمت بانک و مشتری است. بنده حرف شما را تایید می کنم. اگر پارامتر مدیریت ریسک استفاده نشود، کار بسیار پیچیده می شود اما اگر اختیار آن به بانک ها بدهند که پارامترهایی را برای مشتری لحاظ کنند که خودش یا خود بانک انتخاب کند و ریسک آن را بپذیرد، امکان استقبال از آن بالاتر است.

  • پس موافقید که بانک مرکزی در این حوزه ورود نکند و به عهده خود بانک ها، PSPها یا فین تک ها و… بگذارد.

حکیمی: به نظرم بانک مرکزی باید قواعد کلی مدیریت ریسک را معرفی کند. فکر می کنم در استانداردی که معرفی کردند، بخشی از آن وجود داشته باشد اما آزادی عمل باید به بانک، مشتری و کسانی که کارت را مدیریت می کنند، داده شود و پارامترها را خودش تنظیم کند.

  • ظاهرا دادن کارت به مشتریان توسط نظام بانکی، هزینه – فایده ندارد. با عدد جدید، ۵۰۰۰ تومان برای صدور کارت توسط بانک ها دریافت می شود اما بانک ها می گویند این عدد برای ما ۱۰٫۰۰۰ تومان تمام می شود و سوبسید می دهیم. لطفا بفرمایید هزینه – فایده آن در حوزه کارت، در مقایسه با روش مرسوم چیست؟

طبری: برداشت من از سوال شما این است که از موبایل استفاده نکنیم و کارت های کانتکت لیست را در بازار بیاوریم. هزینه کارت های کانتکت لیست بالاست. اگر بتوانیم دست بانک ها را باز بگذاریم و خود آنها نیز تا حدی بتوانند در بازار رقابتی، ریسک ها را بپذیرند و بدون پین را راه اندازی کنند، موجب می شود برای این مدل از سرویس ها و پرداخت های tap and go، سرویس های متفاوت و ارزش افزوده عالی ایجاد شود. وقتی این اتفاق رخ دهد، همان گونه که دارنده کارت، موبایل دارای قابلیت NFC خریداری می کند، چون سرویس ها و پروموشن های خوبی همراه آن دریافت می کند، خود دارنده، می تواند هزینه حاصل از کارت کانتکت لیست را بپذیرد. مثلا در زمان صدور گفته شود، ۵۰۰۰ تومان، هزینه کارت بانکی عادی است و ۵۰٫۰۰۰ یا ۱۰۰٫۰۰۰ تومان هزینه کارت کانتکت لیست است اما اگر در این حد باشد که فرد فقط چهار عمل اصلی را با این کارت انجام دهد و نتواند استفاده دیگری از آن ببرد، بدیهی است موردپذیرش دارنده ها نیست و اگر بانک بخواهد آن را نهادینه کند، باید سوبسید بدهد. با این حال، اگر سرویس های زیادی بگذاریم و فقط در فروشگاه نباشد، بلکه در مترو، بلیت اتوبوس و… از آن استفاده شود، دارنده کارت، پذیرای استفاده از آن خواهد شد.

  • آقای لیلازی در گروه پرسیده اند پوشش استاندارد EMV تا چه اندازه بوده و چقدر طول مدت و هزینه تغییر در شرکت های پرداخت و… دارد؟

طبری: آنهایی که کارت خوان با قابلیت NFC دارند، در قسمت کارت خوان باید بتوانند سیستم NFC را بر اساس دستور EMV راه اندازی کنند و کارت ها یا موبایل را وقتی دیتا نزدیک می شود، بخوانند. یک بخش هم این است که اپلیکیشن های موبایلی باید بتوانند ارسال و دریافت اطلاعات از NFC را پیاده سازی کنند اما اصل موضوع این است که وقتی کل فرایند بر مبنای استاندارد EMV ایجاد شده، توکنایزشدن آن، امنیت کارت ها، قرار گرفتن توکن ها در عناصر امنیتی کارت ها، آن قسمت موبایلی اش نقش EMV را بازی می کند. نهایتا در مسیر شبکه از همین شبکه فعلی استفاده می شود، ضمن اینکه باید به شاپرک ۲ هم متصل شوند تا بتوانند از امکانات این سیستم بهره ببرند.

  • آقای حکیمی! اگر جنابعالی هم در این زمینه توضیحاتی دارید، بفرمایید.

حکیمی: اگر هزینه ها را تقسیم کنیم، یک سری هزینه ها، سمت ارائه دهندگان خدمات پرداخت PSPهاست که باید به شاپرک۲ متصل شوند و تمام قواعد آن را پیاده سازی کنند. من فکر نمی کنم این کار، چندان برای شبکه پرداخت، پیچیده باشد چون چابکی شان بالاست و تعدادشان هم کم است، چون فقط ۱۲ شرکت پرداخت وجود دارد. نکته اصلی این است که این کار باید توسط بانک ها، پیاده سازی انجام شود که در این زمینه ۳۴ بانک با حداقل شش هفت پیمانکار داریم. تجربه نشان داده وقتی بانک-ها قرار است این قواعد را در CMS خود پیاده سازی کنند، پنهان کاری زیادی دارند و زمان زیادی برای تست و پیاده سازی سپری می شود. به نظر من، چالش اصلی برای پیاده سازی، سمت بانک هاست. اکثر PSPها از زیرساخت های خودشان استفاده می کنند و تغییر دادن آنها راحت تر است اما در بانک ها، اقدامات پیمانکاری و پیرو آن، قرارداد، چانه زنی و نظایر آن، نیاز است که چالش پیاده سازی محسوب می شود.

  • اگر از بحث چالش ها و دغدغه ها عبور کنیم، پرداخت موبایلی چه مزیتی نسبت به کارت دارد و قرار است چه مشکلی را حل کند؟

حکیمی: اتفاقا می خواهم به چالش فعلی اشاره کنم و اینکه قرار است این چالش یعنی تجربه کاربری را مرتفع کند. در حال حاضر، باید کارت را بیرون بیاورید، آن را بکشید، مبلغ و سپس رمز کارت را وارد کنید تا پرداخت انجام شود. قرار است پرداخت موبایلی زمان را به حداقل برساند. نکته اصلی آن سرعت و سهولت در پرداخت است. نکته بعدی امنیت بیشتر در پرداخت است. اگر کارت و رمز اول نوشته و گم شده باشد، امکان پرداخت وجود دارد اما اگر موبایل گم یا در اختیار دیگری گذاشته شود، چند لایه امنیتی دارد تا پرداخت صورت گیرد. پس، مزیت اصلی در تجربه کاربری و مزیت جانبی آن در کاهش هزینه های صدور کارت است. با این حال، روشی که اخیرا دمو شد، بیانگر این بود که تجربه کاربری آن، از تجربه کاربری کارت، پیچیده تر است. بنابراین اگر از مرحله پایلوت فراتر برویم و آن را به روشی که مردم قرار است از آن استقبال کنند، مدنظر قرار دهیم، تجربه کاربری آن باید در حد tap and go یا اسکن کردن یک بارکد، ساده باشد.

  • شاید برای همه سوال باشد که چرا نماینده بانک مرکزی در این برنامه حاضر نیست در حالی که یکی از اضلاع و ستون های اصلی این ماجرا، بانک مرکزی است. مانند همین موزیکی که چند دقیقه پیش پخش کردیم، الحمدالله جان ما به جان بانک مرکزی، وابسته نیست! برخلاف اظهارات آقای محرمیان، معاون فناوری های نوین بانک مرکزی که در هفته های گذشته، همیشه صحبت از منع حضور توسط روابط عمومی بانک مرکزی می کردند، این هفته، متوجه شدیم منع حضور وجود نداشته است. بنده برای همین برنامه مشخص، از آقای جبل عاملی، مدیر روابط عمومی بانک مرکزی، مجوز حضور نماینده بانک مرکزی را گرفتم اما دوستان در بانک مرکزی فرمودند نیازی به حضور نماینده ما در این برنامه نیست! البته نمی دانم بر چه اساس و استدلالی، عدم نیاز به حضور را در برنامه مطرح کردند اما تصور شخصی ام این است که موضوع، شخصی شده و گویا با رسانه عصر پرداخت، مساله خاص دارند. البته امیدوارم بنده اشتباه کرده باشم. مانند همیشه، مسیر برای بانک مرکزی، شرکت خدمات انفورماتیک و شرکت های زیرمجموعه این بانک، باز است. بگذریم… خب، در این قسمت میزگرد، آقای پویا پوراعظم، کارشناس نظام بانکی را به عنوان میهمان، روی خط داریم. لطفا درخصوص تجربیات بین الملل در حوزه EMV و وضعیت موجود خودمان توضیح دهید.

پوراعظم: بستر فناوری پرداخت های مبتنی بر استانداردهای EMV که پرداخت های بدون تماس مدنظر است، مبتنی بر توکنیزیشن، نشانه گذاری کارت و نظایر آن است که سال ها در اکوسیستم های ویزا، مستر و به ویژه از نظر استانداردسازی در EMV رخ داده است. در این رابطه، باید دقت کنیم صرفا پرداخت از طریق NFC یا پرداخت بدون تماس از طریق QRکد، یکی از موردکاربری های این فناوری است. اگر از یک استاندارد EMV در حوزه توکنیزیشن کارت بانکی استفاده می کنیم و مباحث نشانه-گذاری که از سال های قبل در بانک مرکزی، با سامانه مانا، سهند و… آغاز شده بود، موردکاربری هایی مختلفی حداقل از نظر پرداخت مشتری در دنیا برای آن مطرح است. این موردکاربری ها صرفا به اینکه پرداخت حضوری یا در کنار پوز اتفاق بیفتد، محدود نیست. پرداخت های غیرحضوری در دنیا روی بسترهای خریدهای اینترنتی مبتنی بر QRکد و مواردی می تواند باشد که اساسا پرداخت را تسهیل می کند. این راحت  تر و سریع تر شدن پرداخت، تعاریف مختلفی دارد؛ از اینکه بدون پین باشد یا tap and go یا اینکه کاربر بدون آنکه بخواهد اطلاعات پرداخت یا کارت را در وب سایت، ترمینال یا درگاه وارد کند و صرفا از روی گوشی با یک کلیک روی گزینه پرداخت یا نهایتا احراز هویت آفلاین روی گوشی این کار را انجام دهد، تعریف می شود. دو نکته قابل توجه در این طرح، وجود دارد:

نکته اول اینکه در حوزه توکنیزیشن، بانک مرکزی، اطلاعات دقیقی نداده اما به نظر می رسد آنچه در دنیا در این حوزه اتفاق می-افتد، این است که ارائه خدمات توکنیزیشن که در دنیا معمولا به آن TSP گفته می شود، محدود به یک نهاد خاص نیستند و معمولا نیز در اختیار رگولاتور نیست؛ یعنی ذیل مقررات و الزاماتی که رگولاتور می گذارد و نیز نظارت و مجوزدهی توسط رگولاتور، این امکان را فراهم می سازد که شرکت های خصوصی به عنوان یک موجودیت در اکوسیستم های مبتنی بر پرداخت توکنیزیشن، EMV و پرداخت های بدون تماس، خدمات ارائه کنند و این امر، فضای رقابتی جدید را در شبکه پرداخت شکل می دهد و موجودیت های جدید می توانند در این زمین بازی کنند. البته به نظر می رسد در طرح موردنظر کشور ما، خدمات نشانه گذاری یا همان زیرساخت های توکنیزیشن کارت که عملا منجر به حذف فیزیک کارت یا پرداخت های بدون تماس، سریع تر و راحت تر می-شود، صرفا توسط یک ارائه کننده خدمت انجام می شود که خود رگولاتور است. البته در ویزا و مستر، به این شکل نیست که خودشان به عنوان یک رگولاتور cardskin، ارائه کننده خدمت نشانه گذاری کارت نباشند. بنابراین خودشان هم هستند اما به موجودیت های خصوصی در شبکه پرداخت نیز اجازه می دهند تا مجوز ارائه این خدمات را بگیرند و در فضای رقابتی و فناوری، ایفای نقش کنند.

نکته دوم، ارائه تجربه کاربری است که آقای حکیمی و آقای طبری هم اشاراتی داشتند. موضوع این است که بحث پرداخت با پین یا بدون پین، در استاندارد EMV و آنچه در کشور، پیاده سازی شده، قابل پیکربندی و تنظیم است اما ذات این نوع پرداخت این است که اساسا رمز آنلاین کارت، رمز اول یا در پرداخت های غیرحضوری رمز دوم، عملا حذف شود. این امر، به این معنا نیست که احراز هویت دارنده کارت در تراکنش را نداشته باشیم. در استاندارد EMV نیز احراز هویت دارنده کارت که به آن CVM گفته می شود، از طریق رمزهای آنلاین می تواند اتفاق بیفتد که مشابه آن رمز اول در ترمینال های پرداخت فروشگاهی و یا رمز دوم در پرداخت های غیرحضوری است. با این حال، زمانی که پرداخت های مبتنی بر موبایل و کانتکت لس مطرح می شود، در استاندارد EMV هم به آن اشاره شده و این امکان وجود دارد که احراز هویت دارنده کارت روی گوشی یا دستگاه مشتری اتفاق بیفتد. ما در کشور، چیزی از امنیت آن کم نکردیم. در آن استاندارد هم گفته شده، کاربر به جای اینکه روی ترمینال، رمز آنلاین کارت را وارد کند که شبکه پرداخت و صادرکننده کارت، مطمئن شود وی دارنده کارت است و این امر، برای پوشش سرقت کارت است، احراز هویت می تواند آفلاین و به روی گوشی منتقل شود. وقتی فیزیک کارت وجود ندارد و گوشی موبایل کاربر، به واسطه توکن ذخیره-شده و عناصر رمزنگاری شده و کلیدهای ذخیره شده روی گوشی، نقش کارت را ایفا می کند، در اینجا احراز هویت دارنده کارت، می تواند همان احراز هویت آفلاین روی گوشی باشد؛ یعنی همان پین که ما برخی اوقات در بسیاری از برنامه های هوشمند اپلیکیشن های پرداخت استفاده می کنیم و حتی اثر انگشت، وابسته به شبکه پرداخت و صادرکننده نیست؛ یعنی آن کیف پول هایی که نقش ارائه کننده ابزار پرداخت بدون تماس را ایفا می کنند، می توانند به صورت آفلاین، کاربر را از طریق پین گوشی یا حتی الگوهای موجود بر روی گوشی های هوشمند یا اثر انگشت یا تطابق چهره انجام دهند که فرایندی آفلاین است و در استاندارد EMV به آن CDCVM گفته می شود و ضریب امنیت هم تقریبا بالاست و بار احراز هویت را از روی شبکه پرداخت برمی دارد. فکر می کنم این انتظار، طبیعی باشد که چنین امکانی ایجاد شود تا هم تجربه کاربری بهتری وجود داشته باشد و هم کاربر هیچ تماسی با ترمینال نداشته باشد. این ترمینال می تواند تجارت الکترونیک یا حضوری یا فیزیکی مانند پوز باشد. قطعا اساس و اصول آنچه اتفاق افتاده، مبتنی بر استاندارد EMV است اما موجودیت هایی که در این استاندارد دیده شده اند، همه در فضای غیررگولاتور قرار دارند؛ علاوه بر اینکه رگولاتور هم برای فراهم کردن زیرساخت لازم باید نقش داشته باشد زیرا این اقدام باید در شبکه پرداخت، پردازش شود و همان طور که آقای طبری اشاره کردند سوئیچ شاپرک، سوئیچ بانک صادرکننده و سوئیچ PSP باید تراکنش هایی که توکنایز یا بدون پین هستند، پذیرش و پردازش کند. فارغ از این قسمت، در دنیا، نمونه و تجاربی که اتفاق افتاده، این گونه است که بقیه NTTها و موجودیت ها صرفا توسط رگولاتور مجوزدهی می شوند اما به صورت خصوصی ارائه خدمت می کنند.

نکته سوم، درباره اپلیکیشن های پرداخت برای ارائه خدمت است. این موضوع، قطعا محدود به چند اپلیکیشن نمی شود و اگر قرار است فراگیر شود، همه اپلیکیشن هایی که در این حوزه فعال هستند، اعم از PSPها، پرداخت یارها و هر اپلیکیشن پرداختی که مجوز ارائه این خدمت را دریافت کند، قاعدتا باید بتواند چنین نوع پرداختی را به کاربران خود پیشنهاد دهد. مساله ای که هنوز شفاف نشده و خوب است اگر میهمانان محترم اطلاعاتی دارند، ارائه کنند، این است که در سمت اپلیکیشن پرداخت، آیا بانک مرکزی قرار است مدل مشخص و محدودی را ارائه کند و همه عرضه کنندگان اپلیکیشن  های پرداخت بدون تماس، ملزم به رعایت و استفاده از همان هستند یا اینکه حوزه استفاده از فناوری های مختلف، باز است و نوآوری هم شکل می گیرد؟ برای شفافیت بیشتر مثال می زنم. توکنیزیشن کارت که در آن داده ای به نام توکن، جایگزین کارت می شود و یک سری کلیدهای رمزنگاری جای کلید-هایی را که در کارت های هوشمند EMV قرار دارد، می گیرد، باید روی گوشی تولید شوند و قرار گیرند و اصطلاحا فرایندی به نام provisioning بر روی اپلیکیشن پرداخت اتفاق می افتد. این تولید و ذخیره شدن بر روی گوشی، بنابر نیازهایی که اپلیکیشن پرداخت دارد و شکل ارائه آن، می تواند از فناوری های مختلفی استفاده کند. مثلا می تواند روی سیم کارت قرار گیرد؛ سیم کارت-هایی که نقش عناصر امنیتی را بازی کنند یا می تواند از تکنولوژی های جدید رمزنگاری مانند wifi scripto graphy  که مبتنی بر سخت افزار نیست و یا حتی از عناصر دیگری مانند key store نرم افزاری و نظایر آن استفاده کند. اینکه در حال حاضر، امکان استفاده از کدام یک از اینها در این طرح وجود دارد یا اینکه به یک مدل خاص محدود شده، موضوعی است که ابعاد آن مشخص نشده است. آنچه در دنیا اتفاق می افتد، آن را ذیل یک سری الزامات و قوانین، بانک مرکزی، صرفا قانون گذاری می کند و ارائه دهنده آن کیف پول پرداخت بدون تماس، خودش تصمیم می گیرد از کدام فناوری استفاده کند. این موضوع هم باید شفاف باشد تا ببینیم در این حوزه، یک فضای رقابتی در زمینه فناوری شکل خواهد گرفت یا خیر.

  • اگر میهمانان گرامی میزگرد، درباره اظهارات آقای پوراعظم، نکته ای مدنظر دارند، بفرمایند.

حکیمی: با اظهارات آقای پوراعظم درباره اینکه TSPها باید به عنوان یک نهاد، به این موضوع ورود پیدا کنند، کاملا موافقم چون این جعبه پاندورا که باز شده، ابعاد مختلف و جنبه نهادی، استاندارد و پیاده سازی توسط PSPها، بانک ها، شتاب، شاپرک و… دارد. جنبه نهادی آن هم باید دیده شود از این جهت که چه نهادهایی دخیل خواهند بود تا این skin‌ها ایجاد شود. اگر اجازه بدهید دو سوال، مطرح شد که به آن پاسخ می دهم. سوال اول این بود که کیف پول با روش موجود، خواهد مُرد یا هنوز به دنیا نیامده، قربانی می شود؟ پاسخ من این است که همه چیز بستگی به تجربه کاربری دارد. اگر تجربه کاربری کیف پول، بر پرداخت مبتنی بر EMV برتری داشته باشد، می تواند به کار خودش ادامه دهد اما اگر تجربه کاربری شان مشابه باشد، باید مرگ کیف پول مبتنی بر کارت debit را اعلام کرد. سوال دوم این بود سال ۹۶ که پایلوتی در نمایشگاه کتاب انجام شد، چرا آن موقع از EMV استفاده نشد؟ واقعیت این است که در نقشه راه بانک مرکزی سال ۹۲ تا ۹۴، راه اندازی پروژه EMV، جزء پروژه های نقشه راه بانک مرکزی بود اما با توجه به پیچیدگی آن، هم در زمینه پیاده سازی و هم در حوزه بومی سازی، تا الان طول کشید.

  • با توجه به اینکه تراکنش ها در اپلیکیشن PSPها و بانک ها در این حوزه انجام می شود، تقریبا می توان مشتریان و پذیرنده های خوب را به طور کامل شناسایی کرد. این، همان نگرانی کسب وکاری بود که یک بار شرکت های پرداخت به خاطر آن نتوانستند پروژه پرداخت های QRکد را به سرانجام برسانند و کل پروژه، متوقف شد. آیا اکنون این نگرانی برطرف شده است؟ اگر پاسخ، مثبت است، چگونه؟

طبری: پرداخت بر اساس QR در حال پیاده سازی و اجراست و فرایندهای خود را چک می کند و هنوز جزییات کامل آن مشخص نشده تا بتوان درباره اش قضاوت کرد که آیا مشتریان ارزنده برای PSPهای دیگر مشخص می شود و رقبا از همین اطلاعات می-توانند داشته باشند یا به اصطلاح آن مشتریان را به سمت خودشان جذب کنند یا خیر. ما چند مدل QR داریم: QRهای مبتنی بر موبایل، QRهای غیرحضوری که خوشبختانه شاپرک جدیدا دستورالعمل داده که می توان برای QR ترمینال تعریف کرد که نیاز به نماد اعتماد نداشته باشد و در سطح تراکنش های چهارفاکتوره انجام شود. با ورود این تکنولوژی، QR مبتنی بر حضوری یا پین ۱ اتفاق می افتد چون در حالت دوم که غیرحضوری بوده و QR بدون نماد اعتماد به پذیرنده داده می شد، چهارفاکتوره است. اینکه چگونه جلوی این قضیه گرفته شود، من فکر نمی کنم دلیلی بر جلوگیری از این کار باشد. چون رمز، رمز اول است، PSPها همیشه به دنبال این هستند که به سراغ پذیرنده هایی بروند که تراکنش های خوبی دارند و منافع شان را تامین می کنند و همیشه بر سر این پذیرنده ها، رقابت وجود دارد لذا فکر نمی کنم چون بحث، حضوری و پین ۱ است، این اتفاق بیفتد. اگر اجازه بدهید در این زمینه بیشتر وارد جزییات نشوم، چون خودم هم جزییات آن را دقیق نمی دانم و باید منتظر دستورالعمل های بانک مرکزی باشیم. قاعدتا بانک مرکزی باید اجازه بدهد مدت زمان دیگری بگذرد و تجربه هایی که در صنعت اتفاق افتاده، ببیند و روزی باید این QRها در جایی جمع آوری شوند که همدیگر را بپذیرند و پشتیبانی کنند. البته این اتفاق، نیازمند زمان است. در حالت حضوری QR که سومین حالت موردبحث است، بنده، دغدغه ای که شما اشاره کردید، کمتر احساس می کنم. اجازه بدهید موضوع، کامل شود و دموی آن فرایند را هم ببینیم، آن موقع، قضاوت راحت تر خواهد بود.

  • جای بانک مرکزی خالی است و نمی دانیم چرا دوستان تمایلی به شفاف سازی و تنویر افکار عمومی ندارند. ظاهرا باید به سمت روابط عمومی بانک مرکزی برویم که اهمیت موضوع، از آن طرف بیشتر دیده شود و آقایان در برنامه ها حضور پیدا کنند. اصرار هم ندارم به رسانه ما بیایند. رسانه، زیاد است و به هر رسانه ای که تمایل دارند، عمومی یا تخصصی، پاسخگو باشند. مهم این است که صنعت از حالت ابهام خارج شود. بگذریم… در وضعیت موجود، این پروژه ای که افتتاح شد، فکر نمی کنید بانک مرکزی از جایگاه قانون گذاری و نظارتی خارج شده و از یک محصول تجاری رونمایی می کند. آیا به نظر شما منطقی است بانک مرکزی، از چنین پروژه ای رونمایی کند؟

حکیمی: بانک مرکزی ایران، چه در زمان حضور بنده، چه قبل یا بعد از آن، جایگاه دوگانه داشته و دارد. این جایگاه دوگانه از این منظر قابل تبیین است که هم رگولاتور است و هم فراهم کننده زیرساخت. در واقع، بانک مرکزی، نقش ویزا و مستر را هم خودش بازی می کند. بنابراین اینکه رگولاتور، استانداردها را تعیین می کند، یک طرف ماجراست و پیاده سازی آن در شبکه پرداخت و استانداردهای فنی دادن برای اتصال، نقشی است که به عنوان فراهم کننده زیرساخت فراهم می کند. پاسخ سوال شما، مثبت است. بانک مرکزی هر دو نقش را ایفا می کند: هم نقش استانداردهای فنی و هم تامین زیرساخت ها. بنابراین ریسک ها هم متوجه بانک مرکزی است از این جنبه که آیا این روش، یک روش امن برای پرداخت هست یا خیر و آیا مردم از آن استقبال می کنند یا خیر.

  • گوشی های موبایل، یکی از بازیگران اصلی این طرح هستند و وقتی از این گوشی ها، صحبت می شود، بحث قیمت و سرقت آن به میان می آید. با توجه به افزایش قیمت شدید گوشی ها، آیا مردم راغب می شوند با توجه به خطر سرقت و موضوعات مشابه، گوشی را به عنوان ابزار پرداخت استفاده کنند؟ پیش بینی شما چیست؟

طبری: اینکه ما به مدل NFC خصوصا در لایه گوشی وابستگی داریم، شاید بازدارنده باشد یا جامعه ما را محدود کند. همان طور که آقای حکیمی و پوراعظم هم اشاره کردند وقتی فضا برای استفاده از عدم حضور کارت، باز شود، راه حل های متفاوتی ایجاد می-شود که سهولت استفاده و تجربه کاربری بهتر را برای مشتری، باز خواهد کرد. اگر بانک مرکزی، دستورالعمل مناسبی را منتشر و نقش رگولاتوری را بازی کند، دست بانک ها را درباره سقفی که تعیین می کند، باز بگذارد و استانداردها را تدوین کند تا متناسب با آن بتوانیم راه حل های مختلف را مدنظر قرار دهیم، چه بسا آن را صددرصد وابسته به گوشی های دارای قابلیت NFC نکنیم؛ کمااینکه در دنیا، سیم کارت های دارای قابلیت NFC هم وجود دارد که قادر است هر دستگاهی از آن استفاده کند و NFC آن را میسر سازد. معتقدم اگر دست PSPها و اپلیکیشن ها در انتخاب تکنولوژی، بر اساس استانداردی که به آنها ابلاغ می شود، باز باشد، شاهد گسترش خوبی در این حوزه خواهیم بود اما در حال حاضر که به گوشی ها و کارت خوان های دارای قابلیت NFC مرتبط می-شود و وابسته است، یک تمرین است که از طریق آن، بعدها تجربیاتی کسب و موانع را مشاهده کنیم. اگر بانک مرکزی هم همت خود را برای اجرای این کار بگذارد و سریعا دستورالعمل های مربوطه را بنا به ضرورت های جامعه و بیزینس و با احتساب الزامات امنیتی ارائه کند، شک ندارم این موضوع، جای خودش را سریع تر باز خواهد کرد و در این صورت، بیزینس های خوبی در حوزه پرداخت و بانکی، بر روی آن قابل تعریف است. همچنین کرونا هم به گسترش سریع تر این تکنیک و تکنولوژی کمک می کند. در خصوص سرقت گوشی هم باید عرض کنم در صورت سرقت، کلی مسیر باید طی شود تا اپلیکیشن باز شود و به کارت برسد و اگر به کارت هم برسد، تا یک میزان مشخصی از تراکنش، بدون پین است و بیشتر از آن می تواند محدود باشد. بنابراین باید دید جمع تراکنش بدون پین در روز، چقدر تعیین می شود؛ هم میزانی که پایین تر است و هم اینکه سرجمع آن در روز چقدر باشد. در این فضا، چندان سوءاستفاده مالی سنگین امکان پذیر نیست و می توان امنیت بیشتری ایجاد کرد تا حتی با سرقت گوشی، اتفاق چندانی نیفتد. ضمن اینکه وقتی یک اپلیکیشن، کارت ها را بگیرد، اطلاعات آن باید در عناصر امنیتی دستگاه ها ذخیره شود و بالطبع، فضای ذخیره سازی، فضای بسیار مطمئنی است. بنابراین فکر نمی کنم مساله سرقت و نگرانی از آن، برای دارندگان کارت ایجاد شود. همچنین اگر تعداد سرویس ها زیاد شود، انگیزه برای استفاده افزایش می یابد. همه اینها منوط به دستورالعملی است که بانک مرکزی ارائه می کند و بر اساس آن، چقدر دست شرکت ها را باز می گذارد تا بتوانند سرویس ها را ارائه دهند.

  • البته همچنان درباره سرقت گوشی و استفاده از اطلاعات، نگرانی وجود دارد. متاسفانه وضعیت بد اقتصادی و آمار بالای سارقانی که دستگیر می شوند و جزء سرقت اولی ها هم هستند، نشان می دهد هر فردی که دارای گوشی موبایل نیمه-لاکچری و لاکچری است، به عنوان هدف متحرک برای سارقان است. بگذریم… جناب حکیمی! درباره راهکارtap and go صحبت کردیم اما چرا تا الان پیاده سازی نشد؟ چرا ما باید همیشه یک رمز، وارد کنیم؟ این ماجرا در دنیا جاافتاده است. خود سرویس دهنده ها، بخشی از ریسک را برعهده می-گیرند و عدد مربوط به آن هم که با همه محدودیت هایی که آقای طبری به آن اشاره کردند، می تواند اتفاق بیفتد. مثلا می توان برای آن یک سقف روزانه گذاشت تا بیشتر از یک میزان، تراکنش زده نشود. این امر، می تواند معضل بزرگی را در زمینه حداقل پرداخت های خُرد حل کند. جناب حکیمی! اگر بخش کیف پول را بیشتر توضیح دهید، ممنون می شوم. من هم با شما موافقم اگر این پروژه راه بیفتد، عملا کیف پول، نقش خودش را از دست می دهد. بنابراین قصه کیف پولی که سال ها منتظر آن بودیم، با این روش، قابل حل است. اگر آفلاین نبود، آنلاینش را داریم.

حکیمی: اگر اجازه بدهید، بنده اول درباره بحث سرقت صحبت کنم. اگر مسائل فنی و تجربه کاربری این روش را تقسیم بندی کنم، بدون اغراق باید بگویم، ۲ درصد مساله فنی دارد و ۹۸ درصد مساله تجربه کاربری! یکی از مسائل تجربه کاربری اش همین است که آیا ما راضی می شویم در مرکزی که خرید می کنیم، گوشی مان را در بیاوریم و نگران نباشیم که یک نفر، گوشی را بعد از خرید یا در همان نقطه خرید، سرقت کند. این مساله، اخیرا اتفاق افتاده و وقتی قیمت گوشی، گران می شود، وسیله ای برای هدف قرار می گیرد. این موضوع هم جزء مسائل تجربه کاربری است. هنگامی که در سال ۹۶ و ۹۷، شرکت خدمات انفورماتیک، بحث EMV را به صورت جدی دنبال کرد، چندان به آن توجه نشد یا اصلا مهم نبود چون قیمت گوشی، پایین بود اما الان قضیه، مقداری فرق کرده است. دلیل دیگر برای تاخیر در راه اندازی EMV، این است که بانک مرکزی، سال ۸۴ یک پروژه پایلوت با توسن برای بانک ملت پیش برد که با کارت های هوشمند بود و استاندارد EMV نیاز داشت. با رشد سریعی که اتفاق افتاد، پروژه را به تعویق انداخت. البته بنده دنبال مقصر نیستم اما واقعیت این است که این موضوع، می توانست زودتر اتفاق بیفتد تا اینکه بحث موبایل مطرح شد. قبل از موبایل، استاندارد EMV می توانست فقط روی کارت های هوشمند پیاده شود. در طول ۱۲ سال بحث درباره EMV از جنبه های مختلف، همواره این سوال مطرح بود که آیا با توجه به حجم زیاد کارت های مگنت صادرشده و با توجه به خروج ارز برای کارت هوشمند، به آن سمت حرکت کنیم یا نه؟ پاسخ به این سوال، به سوال اصلی شما می رسد که چرا بدون پین را لحاظ نمی کنیم؟ در این رابطه، مختصات ویژه ای در ایران وجود دارد که در سایر کشورها وجود ندارد و این امر، مدیریت ریسک را سخت می کند. در ایران، اکثر مطلق کارت ها، دبیت و به سپرده اشخاص متصل هستند. بنابراین مدیریت ریسک آن در مقایسه با کارت های اعتباری حساس تر است و بر این اساس، دارنده کارت، اعتبار و اندازه مشخصی دارد و در مقابلِ سرقت نیز از طریق درخواست صورتحساب محافظت می شود. در دنیا، اکثر کارت ها به صورت اعتباری مورد استفاده می گیرد. بنابراین از روز اول، بدون پین بوده و با یک شماره کارت، کارش را انجام می داده است. اگر کارت، سرقت می شد یا مورد سوء استفاده قرار می گرفت، در صورتحساب می توانستید مدعی شوید و درخواست کنید مواردی که خرید انجام نشده بود یا کارت مورد سوءاستفاده قرار گرفته بود، خط بزنید و بانک هم در صورتحساب از شما کسر می کرد. بنابراین در زمینه دِبیت و کِرِدیت در کشور ما و سایر کشورها، به شدت در زمینه رویکردی که باید برای مدیریت ریسک درنظر گرفته شود، تفاوت وجود دارد. همچنین ریسک اتصال به سپرده، بسیار بالاتر از ریسک کارت اعتباری است. کارت اعتباری به دلایل مختلف در کشور ما رایج نشد که خودش بحث مفصلی می طلبد اما اگر بخواهیم با همین کارت های دبیت، کار را جلو ببریم، چالش اصلی آن مدیریت ریسک است.

  • در حالی که اکثر کسب وکارها، نیم نگاه یا تمام نگاهی به تجارت الکترونیکی و پرداخت های درون برنامه ای دارند، آیا این روش از سوی آنها، مورد اقبال قرار خواهد گرفت؟

طبری: استقبال از آن به این موضوع برمی گردد که چقدر با تجربه کاربری خوبی مواجه شویم و چقدر امکان توکنایز وجود دارد و چه امکانی برای آن می گذارند که چه میزان آن، بدون پین و چه میزان با پین، پرداخت شود و چقدر دست اپلیکیشن ها باز است تا بتوانند از این بستر استفاده کنند. به هر حال، اگر پرداخت درون برنامه ای هم بدهند، PSPها می توانند از آن استفاده کنند و بانک-ها می توانند ماژول هایی را بر روی آن قرار دهند و امکاناتی را به آن اضافه کنند و جذابیت استفاده از آن ماژول ها یا پرداخت  درون برنامه ای آنها را فراهم کنند. در قالب چهار فاکتور اصلی، آنچه دمو شده، بیشتر با رمز اول است و موضوع حضوری را حل می کند. در زمینه غیرحضوری، QR، کیف پول، NPG و مانند آن است که چندان به این قسمت، مربوط نمی شود و فکر می کنم دو مقوله جداست. اگر منظورتان از پرداخت درون برنامه ای، برنامه های موبایلی است که باید از چهار فاکتور اصلی استفاده شود. این مدلی که به تازگی دمو شده با توجه به قابلیت NFC آن، بیشتر بحث حضوری است و شاید مفهوم پرداخت درون برنامه ای به این معنا نداشته باشد جز اینکه بگوییم بیزینس هایی بر روی آن شکل خواهد گرفت که از حضوری به عنوان پرداخت درون برنامه ای استفاده شود. همه اینها به دستورالعمل هایی که بانک مرکزی می دهد، برمی گردد و اینکه چقدر انعطاف در آن وجود دارد تا بتوان بیزینس بر روی آن تعریف کرد و دست PSPها و بانک ها چقدر باز است تا طبق الزامات امنیتی عمل کنند و سرویس ها را اضافه نمایند. به نظرم، اگر کمی منعطف نگاه کنیم، با احتساب همه امکانات امنیتی آن، این موضوع، هرچقدر هم تجربه کاربری دشواری داشته باشد، به تدریج جای خود را باز خواهد کرد و همه چیز وابسته به سرویس هایی خواهد بود که پشت سیستم داده می شود.

حکیمی: اگر اجازه بدهید، در همین زمینه، نکته ای عرض کنم. اتفاقا بنده فرصت اصلی را در پرداخت های غیرحضوری می بینم. اگر امکان توکنایز کردن را در برنامک های موبایلی داشته باشیم و از رمز اول یا تراکنش بدون پین استفاده کنیم، در بحث تجارت الکترونیک، تجربه کاربری بهتری برای پرداخت خواهیم داشت. اگر رگولاتور و سایر دست اندرکاران این پروژه، به این موضوع توجه کنند که استفاده از امکانات جدید و توکنایزیشن را برای پرداخت های درون برنامه ای برنامک های موبایل با رمز اول فراهم کنند، سهولتی در پرداخت های تجارت الکترونیک اتفاق می افتد و پیش بینی من این است که پرداخت های تجارت الکترونیکی، به تدریج اهمیتی معادل پرداخت های حضوری پیدا خواهد کرد؛ خصوصا به دلیل کرونا، رشد عجیبی در تجارت الکترونیک رخ داده که بعد از کرونا هم کاهش پیدا نمی کند و ادامه دارد. بنابراین سهولت در پرداخت، یکی از امتیازات مهمی است که می توان به آن توجه کرد.

  • به انتهای برنامه نزدیک می شویم. آقای سیفی، معاون شرکت خدمات انفورماتیک نیز شنونده این میزگرد هستند. چنانچه تمایل داشته باشند، اگر در مباحث، نکاتی کم یا زیاد مطرح شد، خوشحال می شویم توضیحات ایشان را بشنویم. خب، جناب حکیمی! با توجه به اینکه در ماه پایانی سال قرار داریم، درباره وضعیت سال یا سال های بعد هم صحبت می کنیم. به عنوان آخرین سوال، از آنجا که بنده حضرتعالی را به عنوان یک استراتژیست صنعت می شناسم، فکر می کنید چه تصویری از آینده کسب وکار پرداخت الکترونیک در سال های پیش رو می توانیم ترسیم کنیم؟ آیا وضعیت موجود در آینده با دگرگونی خاصی مواجه خواهد شد یا خیر؟

حکیمی: فکر می کنم پاسخ سوال شما را قبل تر عنوان کردم اما دوباره تاکید می کنم. حرکت کلی جامعه ما به سمت پرداخت های تجارت الکترونیکی است و پرداخت های حضوری ما، اگر نگوییم رو به محو شدن است، اما سهم برابری با غیرحضوری پیدا می کنند.  علت اصلی آن، بدون تردید کروناست که هدایتگر اصلی برای رشد تجارت الکترونیک بوده است. وقتی مردم به عرصه تجارت الکترونیک وارد می شوند، راه برگشتی وجود ندارد تا پرداخت حضوری اتفاق بیفتد. از این نظر، وقتی از استاندارد EMV استفاده شود، مانند این است که افراد به دریا یا محیطی وارد شده اند که امکانات بسیار بهتری در اختیار قرار می دهد تا در روش پرداخت انعطاف داشته باشند. به نظر من چند رکن اساسی، مهم هستند که باید در سال آینده مدنظر قرار گیرند: یکی اینکه تجربه کاربری را با نظر بانک ها، PSPها و حتی نظرسنجی از مردم پیش ببریم و این گونه نباشد که در یک جمع محدود، درباره موضوعی که تمام مردم با آن درگیر هستند، تصمیم گیری شود. بنابراین این موضوع، باید با مشارکت همه، تدوین و اجرایی شود. دوم اینکه از فرصت هایی که EMV فراهم می کند فقط در پرداخت های حضوری استفاده نشود بلکه پرداخت های تجارت الکترونیکی به اندازه پرداخت های حضوری مهم هستند و می توان از آن امکانات، برای پرداخت های تجارت الکترونیکی نیز استفاده کرد. سومین نکته، تراکنش های بدون پین و مدیریت ریسک است. این پارامترهای تنظیمی مدیریت ریسک در نحوه استقبال مردم از روش جدید پرداخت مهم است. اصل ماجرا این است که همان طور که در خارج از کشور، اختیاراتی به بانک ها و مشتریان داده شده که این پارامترها را تنظیم کنند، به سمتی حرکت نکنیم که با یک دستورالعمل، پارامترها را تنظیم کنیم و سپس تغییر این دستورالعمل به سال ها و ماه های بعد موکول شود. این دستورالعمل را از همین ابتدا در اختیار بانک ها و مردم قرار دهیم زیرا آنها به بیزینس نزدیک ترند و تجربه بهتری را می توانند به ارمغان بیاورند.

  • لطفا اگر نکته ای برای جمع بندی در پایان میزگرد، مدنظر دارید، بفرمایید.

حکیمی: بنده عرایضم را در سوال قبلی، جمع بندی کردم. متشکرم چون موضوع بسیار جالبی بود و به نظرم ابعاد آن باید کاملا باز و برای تمام بازیگران صنعت، مشخص می شد. ضمنا تلافی تمام روزهایی که این میزگرد، به زمان اضافه کشیده می شد، امروز درآوردید! (به مزاح)

طبری: جمع بندی بنده هم در سوالات قبلی تان وجود داشت. مطمئنا دوستان بانک مرکزی، دغدغه ها را شنیده اند و تصمیم گیری در تدوین دستورالعمل ها، راحت تر و با ملاحظات بیشتری خواهد بود. از اینکه این فضا را ایجاد کردید، متشکرم.

  • ما هم باید به خودمان و میهمانان تبریک بگوییم چون اولین برنامه ای است که طی یک ساعت و نیم به اتمام می رسد! ضمن تشکر از همه عزیزان، باز هم تاکید می کنم لطفا مدیران دولت، بدانند که مردم، ولی نعمت ما هستند و اگر به ابهامات موجود پاسخ دهیم، می توانیم جلوی هرگونه شایعه را بگیریم و با ارائه اطلاعات دقیق و درست، از هدررفت منابع اعم از منابع شرکت های خصوصی یا شرکت هایی که از بیت المال ارتزاق می کنند، جلوگیری کنیم. خواهش من این است دوستان و مدیرانی که شنونده برنامه هستند، باز هم این پیام ما را به مسوولان بانک مرکزی برسانند که واقعا ما به هیچ عنوان، مشکل شخصی با هیچ کدام از عزیزان نداریم. اگر امروز، مقداری تندتر از ۴۰ برنامه قبلی صحبت می کنیم، واقعیت این است که ما هم از اینکه چرا یک مدیر دولتی یا مدیر شرکتی که در جایگاه حاکمیتی قرار دارد، نباید اطلاعات دقیق و شفاف ارائه کند، دلسرد شده ایم. مانند همین موضوع امروز که نه سیاسی بود و نه به فرد خاصی به عنوان عامل پسرفت صنعت پرداخته شد اما باز هم دعوت ما را نپذیرفتند و پاسخگو نبودند. ما دنبال مقصر نیستیم. اینکه بخواهیم بگوییم تقصیر چه کسی بود، خیلی وقت است که از آن گذشته ایم. دیگر وقت برای تلف کردن نداریم و باید به سمت چشم انداز و آینده بهتر حرکت کنیم. ضمن اینکه خبر خوبی هم رسید. ظاهرا آقای بایدن، رئیس جمهوری آمریکا گفت مکانیسم ماشه را لغو می کند. دست شان درد نکند. آنچه حق ما بوده و آنها چنین حقی نداشتند که اعمال کنند، الان قرار است، بردارند! به هر حال، خبر امیدوارکننده ای بود و امیدوارم بتوانیم در حوزه سیاست خارجی نیز توفیقاتی حاصل کنیم و وضعیت کشور از شرایط موجود خارج شود.

 

 

حس شما نسبت به این خبر چیست؟
دوستش دارم
0%
علاقه‌مندم
0%
نظری ندارم
0%
شگفت زدم
0%
ازش متنفرم
0%
غمگینم
0%
خوشحالم
0%
درباره نویسنده
علی اصغر افتاده

ارسال یک نظر