المقدمة

الدفع باستخدام المحافظ الإلكترونية مثل ‎(Apple Pay‎)‎ من أشهر طرق الدفع حاليًا وأكثرها استخدامًا. لكن كيف يتم الدفع عبر مزوّدي المحافظ المختلفين ‎(‎Apple Pay‎, ‎Google Pay‎, ‎Samsung Pay‎)‎ بشكل آمن يحافظ على سرية البطاقة؟

Wallet Payments Explained
Wallet Payments Explained

أولًا: إضافة البطاقة |  ‎(Card Provisioning)‎

وهي أول وأهم خطوة، وتتم عبر المراحل التالية:

  1. العميل يُدخل بيانات البطاقة:
  • من خلال تطبيق البنك الذي يرسل بيانات البطاقة بشكل مُشفّر لتطبيق المحفظة.
  • أو بإدخال البطاقة مباشرة في تطبيق المحفظة.
  1. التواصل بين مزوّد المحفظة ‎(Wallet Provider)‎ وشبكة البطاقة ‎(Card Network)‎ :
  • تطبيق المحفظة ‎مثل ‎(Apple Pay‎)‎ يتواصل مع شبكة البطاقة ‎(‎Visa‎/‎Mastercard‎)‎ ببيانات البطاقة لطلب الرمز المشفّر للبطاقة  ‎(Token)‎
  1. تواصل الشبكة مع البنك المُصدر للبطاقة ‎(Issuer)‎:
  • تتحقق الشبكة من صلاحية البطاقة بالتنسيق مع البنك المُصدر.
  1. المصادقة ‎(Authentication)‎ من خلال البنك:
  • قد يطلب البنك خطوة تحقق إضافية ‎مثل ‎OTP‎ أو تسجيل الدخول على ‎  (Mobile Banking App‎)
  1. إصدار رقم بديل للجهاز ‎(DPAN – Device PAN)‎ من الشبكة وإرساله إلى مزوّد المحفظة:
  • تولّد شبكة البطاقة رقمًا بديلاً اسمه ‎DPAN‎ يمثّل رقمًا موازيًا للـ ‎PAN‎ الأصلي، لكنه خاص بالجهاز المستخدم فقط.
  • يتم تخزين ‎DPAN‎ + مفاتيح التشفير ‎(Cryptographic Keys)‎ بشكل آمن داخل جهاز العميل.

 تنبيه مهم:
أخطر ما في المحافظ الإلكترونية هو إضافة البطاقة على جهاز غير موثوق. قد تبدو العمليات آمنة نظريًا لكنها تكون عمليات احتيال. لذلك نلاحظ مؤخرًا أن التحقق قد يتطلب تأكيدًا عبر مكالمة هاتفية من البنك؛ لأن تسرب ‎OTP‎ عبر مكالمة احتيال مثلًا وإضافة البطاقة على جهاز آخر يمكّن من استخدامها مع تحمّل صاحب البطاقة مسؤولية العمليات.

ثانياً: كيف يتم الاحتفاظ بال DPAN وال Cryptographic Keys

تختلف طريقة حفظ البيانات حسب نوع المحفظة. فعلي سبيل المثال:

  • في Apple Pay يتم حفظ البيانات علي شريحة داخل الجهاز تسمي Secure Element ولا تتيح Apple لاي مطور الوصول للمعلومات الموجودة.  ويتم من خلالها انشاء ال Cryptogram لكل عملية.
  • في Google Pay تستخدم تقنية تسمي HCE – Host Card Emulation لإنشاء ال Cryptogram. وهي محاكاة برمجية تسمح للجهاز بمحاكاة بطاقة الدفع دون الاحتياج ل Secure Element

ثالثاً: استخدام البطاقة في عمليات الدفع

في كل عملية دفع يتم استخدام الرمز المشفّر للبطاقة ‎(DPAN)‎ مع رقم مُشفّر يُسمّى ‎Cryptogram‎ 

مثال توضيحي ‎بطاقة اختبار ‎(Apple Pay‎)‎:

  • ‎Card Number‎: ‎5204245254718095‎
  • ‎Expiration Date‎: ‎01/30‎
  • ‎CVC‎: ‎111‎

البيانات التي يتم إرسالها أثناء الدفع ‎(على سبيل المثال)‎:

  • ‎DPAN‎: ‎5204240495283710‎
  • ‎Expiration‎: ‎01/30‎
  • ‎Cryptogram‎: ‎MONjYizPeAD6AAw8W92SAAADFIA=‎

أهم الملاحظات

  • رقم البطاقة المستخدم من قبل المحفظة مختلف تمامًا عن الرقم الفعلي؛ إذ لا يتم الاحتفاظ أو استخدام البيانات الفعلية للبطاقة.
  • ‎ال DPAN ‎ مجرد رمز بديل؛ وحتى لو تسرّب لا يُستخدم بدون ‎Cryptogram‎
  • ‎ال Cryptogram ‎ قيمة مُشفّرة تُولَّد باستخدام مفاتيح تشفير محفوظة على جهاز العميل، وتتحقق منها شبكة البطاقة، وتكون صالحة لمرة واحدة فقط.
  • لا يُستخدم ‎CVV‎ لأنه من المعلومات غير المسموح بحفظها.

ملحوظة: البطاقة المستخدمة في المثال أعلاه هي إحدى بطاقات اختبار ‎Apple Pay‎

بعد ذلك تتم عملية الدفع تمامًا كما تتم عمليات الدفع ببيانات البطاقة التقليدية.

في الختام

تعرفنا في هذا المقال على أساسيات عمل الدفع باستخدام المحافظ الإلكترونية وأن عدم حفظ رقم البطاقة الفعلي واستخدام Cryptogram ‎ مميز لكل عملية هما العاملان اللذان يجعلان الدفع عبر المحافظ الإلكترونية آمنًا.