تعتبر بطاقات الدفع Payment cards إحدى الأدوات التي تصدرها المؤسسات المالية لعملائها لتمكينهم من الوصول إلى الأموال المودعة في حساباتهم أوإجراء مدفوعات إلكترونية و التحويل بين الحسابات. تُعرف هذه البطاقات بمجموعة متنوعة من الأسماء بما في ذلك البطاقات المصرفية أو بطاقات الصراف الآلي مثلاً.
تاريخ و مستقبل الـ Payment cards
تاريخياً، صدرت أول بطاقة مصرفية Payment card في العام 1967، و كانت بطاقة صراف آلي ATM أصدرها بنك Barclays في لندن. منذ ذلك الحين حدثت تطورات كبرى في بطافات الدفع. فأصبح هناك العديد من أنواع بطاقات الدفع كبطاقات الائتمان Credit cards وبطاقات الخصم Debit cards والبطاقات مسبقة الدفع.
في الماضي كانت عمليات الدفع تتم مباشرة بين طرفين هما الزبون و البائع عبر مبادلة النقود بسلعة أو بخدمة. مع تطور النظام المصرفي و دخول الـ Payment cards في العمليات المالية فإن كيانات جديدة أصبحت طرفاً في عمليات الدفع. هناك الأن أربع أطراف على الأقل و هم: الزبون، البائع، البنك الذي فيه حساب الزبون و البنك الذي فيه حساب البائع. و أحياناً هناك أطراف إضافية كالشركات التي تقدم خدمات switch االلتي تسهل التواصل بين مزودي الخدمة المختلفين.
من الواضح أن تطوراً كبيراً قد حصل في طرق الدفع. هناك مثلاً الدفع عبر الانترنت أو عن طريق جهاز الموبايل، لكم مع ذلك فلا يبدو أن البطاقات التقليدية ستختفي قريباً.
Open loop vs. closed loop
تجذب Open-loop payments الانتباه في جميع أنحاء العالم كطريقة ملائمة للدفع مقابل النقل والخدمات الأخرى. كما يوحي اسمها، فهي تعني طريقة دفع يمكن استخدامها لإجراء مدفوعات دون الحاجة إلى أن تكون جزءاً من النظام نفسه. يمكنك مثلاً دفع كلفة رحلة القطار ببطاقة الدفع الخاصة بك حتى لو لم تكن بطاقاتك مخصصة لذلك و صادرة عن شركة تشغيل القطارات. لذلك فإن ميزة هذا النوع من البطاقات أنه يمكن استخدامه كأداة دفع واحدة لخدمات متعددة.
أما في أنظمة الدفع المصنفة closed loop فترتبط بطاقة الدفع بالنظام حصرياً. على سبيل المثال ، لا يمكن استخدام بطاقة التي يوزعها مشغل خدمة معين إلا للخدمات التي يقدمها هذا المشغل ، مثل بطاقة شركة باصات محددة لا تسمح لحاملها بالدفع في باصات شركة أخرى في ذات المدينة. هذا النوع من البطاقات أكثر تعقيداً و أقل رواجاً و أعلى كلفة. لكن بعض الشركات تفضل أن تستخدمه كأداة لتحسين ولاء عملائها.
ما الذي يبحث عنه قراصنة الـ Payment cards؟
يسعى القراصنة للحصول على معلومات حامل البطاقة. عند الحصول على رقم حسابه الرئيسي PAN و معلومات المصادقة المرتبطة به سيمكنهم أن ينتحلوا شخصية حامل البطاقة و تنفيذ العمليات على حسابه ليبدو الأمر و كأنه يقوم بذلك بنفسه باستخدام بطاقته الأصلية.
و لكن كيف يمكن للقراصنة فعل ذلك؟
- وضع قارئة بطاقات مزيفة بشكل تبدو و كأنها حقيقية.
- سرقة الأوراق من خزائن الأرشيف التي تحتوي معلومات المستخدمين.
- قرصنة قاعدة بيانات المستخدمين.
- زرع كاميرات في الصرافات الألية لسرقة معلومات المصادقة PIN code.
- التجسس على الشبكات السلكية أو اللاسلكية لسرقة بيانات المستخدمين.
حماية البطاقات المصرفية من القراصنة
يجب على مسؤولي أمن المعلومات الانتباه لضرورة حماية معلومات حاملي البطاقات في كل مراحل التعامل معها، بدءاً من لحظة إدخالها في الـPOS و خلال كل مراحل تدفق البيانات في النظام. مع العلم أن أفضل ما يمكن القيام به في هذا المجال هو عدم تخزين بيانات حاملي البطاقات بالأساس لتجنب المخاطر المرتبطة بها. و تتضمن أهم النقاط التي تجب حمايتها ما يلي:
- قارئة البطاقات
- نقاط البيع POS
- شبكات العمل السلكية و اللاسلكية
- وحدات تخزين و معالجة معلومات حاملي البطاقات
- الورقيات التي تستخدم لأرشفة معلومات المستخدمين
- تطبيقات الدفع و بطاقات التسوق.
تم تطوير معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS) لتشجيع وتعزيز أمان بيانات حساب بطاقات الدفع وتسهيل التبني الواسع لتدابير أمن البيانات على الصعيد العالمي. ويوفر PCI DSS أرضية أساسية للمتطلبات الفنية و التشغيلية لحماية بيانات الحسابات المصرفية. على الرغم من أن PCI DSS تم تصميمه خصيصاً للتركيز على البيئات التي تحتوي على بيانات حساب بطاقة الدفع إلا أنه يمكن استخدامه للحماية من التهديدات وتأمين العناصر الأخرى في نظام الدفع.
