در این مستند، معماری شبکه پرداخت جهت پذیرش تراکنش های مبتنی بر فناوری NFC ،به فراخور توسعه تکنولوژی و تقاضای موجود در بازار پرداخت کشور ارائه گردیده است. این مدل ضمن در نظرداشتن محدودیت های اجرایی کشور، شرایطی را فراهم می آورد تا کسب وکارهای متقاضی ورود به این حوزه از پرداخت، با کمترین تغییرات در شبکه پرداخت امکان ارائه خدمات مورد نظر خود را دارا باشند. بدین منظور معماری بر مبنای ایجاد یک سامانه متمرکز (TSP )Token Service Provider جهت Tokenization طراحی گردیده است. اتصال ذینفعان در این معماری به گونه ای است که فرآیند tokenization DE یا به عبارتی تبادل شماره کارت مشتری با توکن تولید شده جهت پرداخت، از طریق ارتباط شرکت ارائه دهنده خدمات پرداخت با سامانه متمرکز TSP صورت میپذیرد. سامانه متمرکز TSP ،مسئولیت نگاشت اطلاعات کارت مشتریان و توکن های دریافتی از سوی نرم افزارهای کاربردی مورد استفاده آنها را بر عهده دارد. اطلاعات مورد نیاز جهت فعالیت این سامانه می بایست از سوی بانک های صادرکننده در اختیار سامانه قرار گیرد. بانک های صادرکننده کارت پس از ثبت درخواست متقاضیان استفاده از روشهای پرداخت مبتنی بر توکن، اطلاعات آنها را به سامانه TSPارائه مینمایند.
پرداختهای مبتنی بر فناوری NFC با توسعه نرم افزار کاربردی تولید کننده توکن و برقراری ارتباط با پایانه های فروشگاهی مجهز به این فناوری، امکانپذیر است. در این نوع پرداخت ها پس از تولید توکن متغیر، توکن به جای شماره کارت از طریق تلفن همراه به پایانه فروش ارسال میگردد و کاربر با ورود رمز دوم بر روی پایانه فروش دستورپرداخت را صادر مینماید. سپس شرکت ارائه خدمات پرداخت توکن را به سامانه متمرکز TSPارسال کرده و شماره کارت معادل آن را استعلام مینماید. سامانه متمرکز TSP در صورت صحت مقادیر و موفق بودن احراز هویت دارنده کارت، شماره کارت معادل توکن متغیر را به شرکت ارائه دهنده خدمات پرداخت ارسال نموده و شرکت ارائه دهنده خدمات پرداخت با دریافت شماره کارت، تراکنشی با فرمت استاندارد ISO8583 را جهت پردازش به شبکه ارسال مینماید. اقلام اطلاعاتی مورد نیاز تراکنش در این مدل، همانند روش Not Card Present مشابه راهکار پرداخت همراه مبتنی بر USSD ،شامل شماره کارت و رمز دوم میباشد. این شیوه پرداخت شکل جدیدی از انواع پرداخت در شبکه است که کد نوع پایانه جدید برای آن در نظر گرفته شده است.
توسعه نرم افزار تولید کننده توکن توسط شرکت شاپرک صورت پذیرفته و در اختیار ذینفعان قرار داده میشود. در صورتی که هر یک از شرکتهای ارائه دهنده خدمات پرداخت، متقاضی توسعه نرم افزار موبایلی NFC خود باشند، می بایست کلیه الزامات مورد نیاز شاپرک را رعایت نمایند که این الزامات طی مستنداتی متعاقباً به آنها اعلام خواهد شد.
از مزایای پیاده سازی معماری مبتنی بر ایجاد یک سامانه متمرکز Tokenization میتوان به موارد زیر اشاره نمود:
· عدم نیاز به ایجاد تغییرات ساختاری در سوییچ های بانک صادرکننده، شتاب و شاپرک
· جلوگیری از ایجاد شبکه مش از طریق استفاده از سامانه متمرکز TSP برای ارسال اطلاعات
· عدم افشای اطلاعات شماره کارت برای پذیرنده و محدود شدن اطلاعات ورودی دارنده کارت به رمز و توکن متغیر
· فراهم ساختن قابلیت توسعه مستقل شبکه های صادرکنندگی و پذیرندگی
· حفظ توکن در فرایند پذیرش به جای پردازش تراکنش
· عدم نیاز به تغییر روالهای گزارشگیری، تسویه، رفع مغایرت و مانیتورینگ (عملکرد جاری شرکت ارائه دهنده خدمات پرداخت) و حفظ روال جاری، و عدم نیاز به ورود سامانه TSP به فرآیند رفع مغایرت
· جلوگیری از افزایش ترافیک شبکه در موارد نامعتبر بودن توکن
· بالا بودن امنیت مدل پرداخت جاری، نسبت به کارتهای مغناطیسی موجود
اهداف
هدف از تدوین این سند راه اندازی سرویس پرداخت مبتنی بر NFC و ارائه روش پیاده سازی وب سرویس سامانه TSP شاپرک می باشد.
کاربران
کاربران این سند، شرکت های ارائه دهنده خدمات پرداخت می باشند .
تعاریف
پرداخت مبتنی بر فناوری NFC
نوعی پرداخت موبایلی مبتنی بر تکنولوژی NFC است که با توسعه نرم افزار کاربردی تولید کننده توکن و برقراری ارتباط با پایانه های فروشگاهی مجهز به این فناوری، امکانپذیر است.
سامانهTSP
سامانه ارایه خدمات توکن است که مسئولیت نگاشت اطلاعات کارت مشتریان و اعتبار سنجی توکن های دریافتی از سوی نرم افزارهای کاربردی مورد استفاده آنها را بر عهده دارد.
شرح فرآیند
معماری شبکه پرداخت جهت پذیرش تراکنش های مبتنی بر فناوری NFC
در این بخش نحوه انجام تراکنش های پرداخت همراه با استفاده از روش پرداخت با فناوری NFC ،با معماری مبتنی بر توکن، ارائه گردیده است. هرچند رشد و پیشرفت فناوری های مختلف در حوزه پرداختهای همراه امکان ارسال تراکنش های این حوزه را با دو روش Tokenization ثابت و متغیر فراهم نموده اند، اما در حال حاضر، به دلیل فقدان Element Secure در برخی از تلفنهای همراه Android و یا تنوع در Element Secureهای این تلفن های همراه، امکان استفاده از توکن ثابت و ذخیره آن در این گروه از تلفن های همراه مقدور نمی باشد. لذا راهکار جاری بر مبنای استفاده از برنامه کاربردی تولید کننده توکن متغییر ارائه شده است، تا پیاده سازی آن بر روی تلفن های همراه Android امکانپذیر باشد.
در معماری در نظر گرفته شده به منظور پیاده سازی مدل های پرداخت همراه مبتنی بر توکن، نیاز به ایجاد یک سامانه متمرکز و دریافت اطلاعات از بانک های صادرکننده کارت می باشد. این سامانه به منظور استعلام شماره کارت مرتبط با توکن ایجاد شده در زمان ارسال تراکنش، پیاده سازی شده است. بانک های صادرکننده کارت می بایست اطلاعات مورد نیاز جهت اعتبارسنجی توکن را در اختیار سامانه TSP قرار دهند.
کاربر پس از دریافت نرم افزار و نصب آن بر روی تلفن همراه خود، قادر خواهد بود از طریق پایانه های فروش مجهز به فناوری NFC پرداخت های خود را انجام دهد. نرم افزار ارائه شده به طور کامل جایگزین فیزیک کارت بانکی میگردد و تمامی مراحل انجام تراکنش بدون تغییر از نگاه کاربر صورت می پذیرد. پس از ایجاد توکن توسط نرم افزار، توکن به جای شماره کارت از طریق تلفن همراه به پایانه فروش ارسال میگردد. سپس کاربر رمز دوم کارت بانکی خود را بر روی پایانه فروش وارد نموده و تراکنش را ارسال می نماید.
شرکت ارائه دهنده خدمات پرداخت پس از دریافت اطلاعات، توکن را به سامانه TSP ارسال نموده و شماره کارت و همچنین اطالعات مورد نیاز معادل با آن را استعالم مینماید.
سامانه متمرکز TSP پس از کنترل اطلاعات و درصورت صحت مقادیر و موفق بودن احراز هویت دارنده کارت، شماره کارت معادل توکن را به شرکت ارائه دهنده خدمات پرداخت ارسال نموده و شرکت ارائه دهنده خدمات پرداخت با دریافت این اطلاعات، تراکنش استاندارد شبکه پرداخت را ایجاد نموده و جهت پردازش به سوئیچ شاپرک ارسال مینماید.
شمای کلی از معماری مورد نیاز در شکل زیر به نمایش در آمده است.
شکل 1 – معماری شبکه جهت پذیرش تراکنشهای مبتنی برNFC
همانطور که در شکل 1 نیز مشاهده میشود، شرکت ارائه دهنده خدمات پرداخت به عنوان نقطه اتصال به سامانه متمرکز TSP در نظر گرفته شده است که فرآیند tokenization DE در فرایند این ارتباط صورت می پذیرد.
فرآیند ثبت نام دارنده کارت
متقاضیان دریافت خدمات مبتنی بر فناوری NFC میبایست وفق سیاست های بانک صادرکننده کارت خود، از کانال های مجاز مانند مراجعه به شعبه، دستگاه ATM ،اینترنت بانک و...، درخواست خود را ارائه نمایند. بانک صادرکننده پس از احراز هویت متقاضی، اطلاعات شماره تلفن همراه و کارت بانکی وی را از طریق وب سرویس شاپرک در سامانه متمرکز TSP بارگذاری مینماید.
فرآیند فعال سازی نرم افزار تولید توکن
دارنده کارت پس از ارائه درخواست خود به بانک، قادر خواهد بود پس از طی مراحل زیر جهت دریافت نرم افزار تولید توکن، نسبت به پرداخت از طریق فناوری NFC اقدام نماید.
1-دارنده کارت به منابع ارائه نرم افزار کاربردی تولید توکن مورد تایید شاپرک مراجعه نموده و نرم افزار را دریافت مینماید.
2-دارنده کارت نرم افزار کاربردی را نصب نموده و سپس شماره تلفن همراه خود را روی نرم افزار وارد مینماید.
3-شاپرک از طریق پیامک یک رمز یکبار مصرف به شماره تلفن همراه دارنده کارت ارسال میکند، و دارنده کارت رمز یکبار مصرف دریافتی را روی نرم افزار خود وارد میکند.
4-درصورت صحت رمز یکبار مصرف وارد شده توسط کاربر، شاپرک از طریق کانال امن، لیست کارت های ثبت شده وی را به همراه داده های امنیتی تولید توکن هر یک از کارت ها به نرم افزار کاربر ارسال مینماید.
5-کاربر password دلخواه خود را تعریف کرده و از این پس نرم افزار آماده استفاده میباشد.
ویرایش کارتها در نرم افزار کاربردی
کاربر به منظور استفاده از نرم افزار کاربردی برای بار اول، می بایست کارت بانکی خود را در نرم افزار اضافه نماید.
بدین منظور می بایست شماره کارت بانکی خود را در بخش افزودن کارت وارد نماید. در صورتی که اطلاعات کارت وارد شدده در نرم افزار با اطلاعات کارت ثبت شده در سامانه متمرکز TSP شاپرک انطباق داشته باشد، عملیات افزودن کارت مورد تایید بوده و کارت بانکی در لیست کارت های نرم افزار قرار گرفته و مورد استفاده می باشد. همچنین کاربر قادر خواهد بود کارت های بانکی که در نرم افزار ، غیرفعالسازی تعریف نموده است را در لیست کارت های خود فعال نماید و یا به طور کامل از لیست حذف نماید.
فرایند انجام تراکنش
1-دارنده کارت نرم افزار مربوطه را اجرا کرده و با وارد کردن password وارد نرم افزار میشود.
2-دارنده کارت پس از ورود به نرم افزار، با انتخاب کارت بانکی مورد نظر خود دستور پرداخت را صادر مینماید.
3-دارنده کارت تلفن همراه خود را به پایانه فروش مجهز به فناوری NFC نزدیک نموده و با این کار منو پایانه فروش فراخوانی میشود.
4-کاربر پس از واردکردن مبلغ تراکنش و رمز دوم کارت خود روی پایانه فروش، کلید تایید پایانه فروش را فشار میدهد.
5-ادامه مراحل همانند یک تراکنش خرید عادی در شبکه پرداخت کشور میباشد.
شکل 2 – دیاگرام توالی خرید با استفاده از فناوری NFC
پروتکل وب سرویس های سامانه TSP شاپرک
استفاده از سامانه TSP شاپرک با استفاده از مسیر دسترسی وب سرویس زیر و به منظور استعلام دریافت شماره کارت معادل توکن، امکان پذیر می باشد.
مسیر دسترسی getPan / /webService
وب سرویس دریافت شماره کارت (PAN)
موارد استفاده از این وب سرویس به شرح زیر میباشد:
درخواست دریافت شماره کارت:
شرکت ارائه دهنده خدمات پرداخت در قالب زیر تقاضای دریافت شماره کارت (PAN )به سامانه TSPشاپرک را ارسال مینماید.
"LxSsTudIjpK0oDuQnktsoN7C7yG+4k+To6hKz2u3D1w="
ورودی سرویس دریافت شماره کارت(PAN )با فرمت String است که معادل رشته ارسالی تلفن همراه به دستگاه پایانه فروش با حداکثر طول 256 بایت میباشد.
پاس به فراخوانی سرویس دریافت شماره کارت (PAN)
نتیجه فراخوانی وب سرویس دریافت شماره کارت در سامانه TSP شاپرک در قالب زیر به شرکت ارائه دهنده خدمات پرداخت ارسال خواهد شد.
. { "successful": false, "pan": null, "errors": [ { "errorCode": 3, "errorMessage": "DataFormatMismatch",
"extraData": "encryptedString" } ] }
توضیح فیلدهای پاسخ به فراخوانی سرویس دریافت شماره کارت
معرفی کدهای خطا و پیامهای متناظر
امنیت وب سرویس
جهت اطمینان از امنیت استفاده از وب سرویس، در کنار موارد مربوط بده امنیت کانال از قبیل Encryption SSL و IP Restriction که از سمت شاپرک اعمال می گردند، نیاز است تا شرکت ها نیز در هنگام فراخوانی سرویس اطلاعات مربدوط بده تصدیق هویت –اعم از نام کاربری و کلمه عبور- را در Header درخواست ارسال نمایند.
قالب ارسال اطلاعات تصدیق هویت به روشAB) ) Authentication Access Basic و به شرح زیر خواهد بود:
1-رشته ای از نام کاربری و کلمه عبور که با دو نقطه (:) از هم جدا شده اند ایجاد می گردد :
<user_name>:<password>
2-رشته تولید شده در بند قبل به قالب Base64 تبدیل می گردد بعنوان نمونه:
PHVzZXJfbmFtZT46PHBhc3N3b3JkPg==
3-نتیجه با کلید Authorization و با یک فاصله پس از کلمه کلیدی Basic در Header درخواست ارسال می گردد به عنوان نمونه:
Authorization: Basic PHVzZXJfbmFtZT46PHBhc3N3b3JkPg==
- با توجه به اولویت تست عملکرد صحیح پیاده سازی صورت گرفته توسط شرکت ها، در پروسه آزمون با هماهنگی شاپرک امکان غیر فعال کردن موارد امنیتی مذکور وجود دارد.
اقدامات الزم از سوی شرکتهای ارائه دهنده خدمات پرداخت
-تغییر در نرم افزار پایانه های فروش و تعریف نوع پایانه جدید مختص به پرداخت مبتنی بر NFC
-تغییر در سوئیچ شرکت ارائه دهنده خدمات پرداخت و پیاده سازی پروتکل ارتباطی با سامانه TSP به منظور استفاده از پرداخت مبتنی بر توکن
-انجام فرایند آزمون و اخذ تایید فنی از شرکت شاپرک
پست قبلی
پست بعدی
دیدگاه خود را با ما در میان بگذارید