أن تشتري من الهاتف.. كيف تحولت أجهزتنا لبطاقات ائتمان؟
مع الاعتماد الكبير على شبكة الإنترنت، بدأت مجموعة كبيرة من تجارب الحياة الواقعيّة بالتحوّل إلى خدمات افتراضية على الشبكة مثل المتاجر التي تحوّلت إلى إلكترونية، والمُجتمعات التي أضحت افتراضية مع بزوغ عصر الشبكات الاجتماعية والمدوّنات الشخصيّة والمُنتديات.
وبالتزامن مع تلك الأحداث، جاءت الهواتف الذكية لإضافة طبقة حقيقية ملموسة من جديد لتلك الخدمات الإلكترونية، فالتحكّم بأجهزة إنترنت الأشياء عاد من جديد ليد المُستخدم عبر هاتفه أو ساعته الذكية. أيضًا يمكن تناول خدمات الدفع الإلكتروني كمثال على نفس التحوّل، فبعد سنوات من الاعتماد على الدفع النقدي، ثم بطاقات الإئتمان، جاءت المحافظ الإلكترونية مثل "باي بال" (PayPal) لتغيير تلك التجربة، قبل أن تأتي الهواتف الذكية وتُضيف الواقع الملموس إلى تلك الحياة الافتراضية من جديد.
وفي سيناريو تقليدي في أي محل أو مقهى، يتوجّه الزبون إلى صندوق الحساب بعد إتمام طلبه، حيث يقوم بإبراز بطاقته الائتمانية وإدخال رمز الأمان، ليحصل بعدها على النتيجة النهائية بقبول عملية الدفع أو رفضها في حالة عدم وجود رصيد كافي، أو عند تجاوز الحد اليومي المسموح به على سبيل المثال لا الحصر. هذا ما يحصل على أرض الواقع. لكن ومن الناحية الإلكترونية هناك مجموعة من العمليات التي تتم خلال أجزاء من الثانية فقط، عمليات تتضمّن شبكة من الاتصالات لربط أكثر من جهة قبل إتمام تلك العملية البسيطة.
في بطاقات الائتمان العالمية مثل "ماستر كارد" (MasterCard) أو "فيزا" (Visa)، هناك الكثير من الجهات تبدأ بالمتجر الذي يوفّر خدمة ما ولتكن تقديم القهوة، هذا المتجر يحتاج للتعاقد مع جهة خاصّة توفّر بوابات للدفع الإلكتروني. وإضافة للسابق، هناك جهة ثالثة مسؤولة عن التحقّق من البيانات لتحويل عملية الدفع للجهة الرابعة المسؤولة عن إصدار البطاقة الإئتمانية، التي هي في الغالب المصرف، لسحب الأموال من الحساب وإرسال تأكيد عملية الدفع(1).
عندما يقوم الزبون بإخراج بطاقته الائتمانية وتقريبها من جهاز الدفع (Point Of Sales)، المعروف اختصارًا بـ "بي أو إس" (POS)، يتم توجيه الطلب من الجهة الثانية التي توفّر البوابات للقيام بأول عملية للتأكّد من شرعية جميع الأطراف، الزبون وصاحب المحل التجاري. بعدها، يتم تمرير تلك البيانات إلى الجهة الثالثة المسؤولة عن اكتشاف الجهة التي قامت بإصدار تلك البطاقة مع تزويدها بالبيانات اللازمة مثل المبلغ المطلوب سحبه واسم صاحب البطاقة وبياناته كذلك لمطابقة كل شيء داخل النظام ومن ثم إصدار الأمر بقبول أو برفض العملية من قبل المصرف نفسه.
ومن هنا، فإن الشركات الرائدة في مجال الهواتف الذكية، غوغل بفضل "أندرويد"، وسامسونغ بفضل أجهزة "غالاكسي"، وآبل بفضل هواتف "آيفون" ونظام "آي أو إس" (iOS)، ذهبت بذلك الاتجاه لتوفير حلول تقنية مُختلفة نتج عنها "أندرويد باي" (Android Pay)، و"سامسونغ باي" (Samsung Pay)، وأخيرًا، "آبل باي" (Apple Pay)، وجميعها تتشابه من ناحية الفكرة وتختلف إلى حد ما من ناحية الأداء.
حافظت غوغل على نفس الخط الذي تسير به العملية عند استخدام بطاقات الائتمان في المحلات التجارية. لكن المُستخدم وعند إضافة بطاقته للمحفظة داخل الهاتف، يقوم النظام بتشفير تلك البيانات وإرسالها للجهة المسؤولة عن إنشاء البطاقة من أجل المُصادقة على العملية وربطها مع حساب المُستخدم في خدمة غوغل للدفع الإلكتروني، الأمر الذي يُفسّر وصول الخدمة بشكل تدريجي لدول العالم، فهناك تنسيق يجب أن يتم بين جهات مُختلفة لاعتماد الخدمة رسميًا.
وبعد المُصادقة يتم إرسال مفتاح تشفير خاص بجهاز وحساب المستخدم لتخزينه على الهاتف. وهذا يسمح للنظام إخفاء بيانات بطاقة الإئتمان الحقيقية للأبد، فعند الرغبة في إتمام عملية دفع، يقوم النظام بإنشاء رقم مؤلّف من 16 خانة، في مُحاكاة لعدد خانات بطاقة الائتمان، مع استخدام مفتاح التشفير المُقدّم من البنك، الذي سيستلم الطلب ويقوم باستخدام النسخة الثانية من مفتاح التشفير الموجود لديه للتأكّد من صلاحية البيانات المُرسلة وإتمام عملية الدفع سواء بالرفض أو بالقبول(2).
ما سبق يعني أن أي اختراق لجهاز المستخدم لن يعرّض -بنسبة كبيرة- بيانات بطاقة المستخدم الإئتمانية للخطر لأن كل شيء مُخزّن في شريحة إلكترونية خاصّة لا يُمكن للنظام الوصول إليها دون تسلسل منطقي تتدخّل الدارات الإلكترونية فيه. كما أن هجمات "التجسّس-في-المنتصف" (Man-in-the-middle)، لن تؤدي لتعريض بيانات المستخدم الحقيقية، وتلك المُشفّرة للخطر.
سامسونغ بطبيعة الحال لم ترغب بأخذ تلك المُخاطرة، فعلى الرغم من انتشار أجهزة نقاط البيع التي تدعم تقنية الاتصال قريب المدى، إلا أن شريحة واسعة من المتاجر ما زالت تستخدم أجهزة تعتمد فقط على الحقل المغناطيسي. ومن هنا، فإن "النقل المغناطيسي الآمن" (Magnetic Secure Transmission) هو الاسم العلمي للتقنية الثانية التي تتوفّر في مُعظم هواتف الشركة الكورية إلى جانب الاتصال قريب المدى، وهذا لإتاحة خدمة الدفع الإلكتروني في شريحة أكبر من المتاجر، فالجهاز يقوم بإنشاء حقل مغناطيسي لنقل البيانات من الهاتف إلى نقطة البيع، وكأنه يوهمها بأن بطاقة ائتمانية هي التي اقتربت لإتمام عملية الدفع. وبناء على ذلك، فإن المتاجر التي يُمكن استخدام خدمة سامسونغ فيها أكثر من تلك التي تدعمها خدمة غوغل، وأكثر بكل تأكيد من تلك التي تدعمها آبل التي تتّبع بروتوكول آخر في هذا الأمر(3).
دائمًا ما تسعى شركة آبل للسير في طُرقات مُختلفة لأكثر من عامل من بينها الأمان والخصوصية. وهذا ما يجعل وصول خدمتها لبلد ما يعني أنها لن تدعم جميع المصارف، فشركة آبل تُجري مُباحثات مع المصارف للحصول على نسبة من العمليات التي تتم باستخدام أجهزتها على اعتبار أنها تأتي لتسهيل الدفع الإلكتروني، الأمر الذي سيُساهم بشكل أو بآخر في اتخاذ قرار الدفع وإتمامه خلال أجزاء من الثانية(4). وإضافة للسابق، سمح لها ذلك التحكّم بالتعاقد لتقديم بعض الخدمات مثل الدفع في محطّات قطارات بعض الدول باستخدام الساعة أو الهاتف الذكي. أما آلية عمل خدمتها، "آبل باي"، فهي بدرجة تعقيد أعلى، لتقليل نسبة الخطر على بيانات المستخدم.
عند إضافة بطاقة جديدة للحساب في خدمة آبل للدفع الإلكتروني، تتم عملية تشفير تلك البيانات بشكل كامل مع إرسالها لخوادم الشركة حيث تجري عملية فك تشفيرها للتعرّف على تفاصيل البطاقة مثل الجهة المسؤولة عن إصدارها. بعدها، تُعاد عملية تشفير البيانات باستخدام مفتاح موجود لديها ولدى المصرف، مع إضافة تفاصيل أُخرى مثل حساب المستخدم لدى آبل، وبالتالي لا يُمكن لأي جهة خارجية معرفة بيانات البطاقة التي تُرسل من جديد للمصرف لفحصها وتأكيد كل شيء قبل منح آبل صلاحية استخدام الحساب(5).
في عمليات الدفع التقليدية يتم إرسال بيانات البطاقة كل مرّة إلى المصرف مع تشفير البيانات باستخدام مفتاح خاص، والأمر كذلك عند إضافة بطاقة جديدة لخدمة آبل للمرّة الأولى فقط، لأن ما يحدث بعدها من عمليات دفع يتم دون التطرّق أبدًا لبطاقة المستخدم وكأنها لم تعد موجودة. لتحقيق هذا الأمر، فإن المصرف وعند تأكيد البطاقة يُرسل مُعرّف خاص بالجهاز (DAN) مع مفاتيح تشفير لاستخدامها مع كل عملية دفع لتوليد شيفرة يصعب على أحد فكّها. تلك المفاتيح يقوم المصرف بتوليدها وتخصيصها لكل مستخدم، ومع كل عملية دفع يتم استخدام مفتاح جديد لتشفير الرقم المُعرّف الذي بالأساس هو مُشفّر للأمان، وهذا يعني طبقتين عوضًا عن واحدة من الأمان. أما بيانات بطاقة الائتمان، فهي تُخزّن داخل جهاز المستخدم في منطقة تُعرف بالمنطقة الآمنة (Secure Element)، لا يُمكن لنظام "آي أو إس" الوصول إليها بشكل مُباشر أبدًا(6).
بالمناسبة، وعلى الرغم من درجة تعقيد تلك العملية، فإن تشفير وضمان حماية بيانات المستخدم مسؤولية تقع على عاتق المصرف أولًا وأخيرًا، وأي ضعف أو اختراق لتلك البروتوكولات سيعرّض المصرف ذاته للمُسائلة لأن الشريحة الموجودة على بطاقات الائتمان، أو الخط المنغناطيسي، هو المسؤول عن توليد مفاتيح تشفير البيانات. ونفس الأمر في الهواتف، يقوم المصرف بإنشاء البذرة الأساسية لمفاتيح التشفير لاستخدامها في كل عملية جديدة. وبالتالي فإن جهود الشركات تأتي كطبقات إضافية لرفع مستوى الحماية والأمان قدر الإمكان.
ختامًا، دائمًا ما تتنافس الشركات فيما بينها لتقديم أفضل الخدمات لمُستخدميها وللتفوّق على البقيّة بطبيعة الحال. لكن وفي حالات مثل الدفع الإلكتروني، أو تقديم الخدمات، فإن ذلك التنافس يصبّ في مصلحة المُستخدم الذي سيضمن حصوله على أفضل مستوى حماية للدفع إلكترونيًا دون قلق.