EMV Tokenization Payment

Samsung Pay

ความบ้าในเรื่อง Payment และ Security ทำให้ผมชอบศึกษาเทคโนโลยีใหม่ ๆ ที่เกิดขึ้นในวงการเงินบนโลกใบนี้ และด้วยความที่โลกการเงินโดยเฉพาะ Financial Payment เป็นโลกที่ถือว่าปิดมากสำหรับคนภายนอกอย่างผม ก่อนที่จะมีโอกาสได้เข้ามาทำงานในวงการนี้ และการที่มันถูกกำกับดูแลอย่างหนักจากหลายฝ่าย ไม่ว่าจะเป็นผู้ให้บริการเครือข่าย ธนาคารแห่งประเทศไทย ธนาคารพาณิชย์ จึงมีความน่าสนใจมาก ไม่ใช่แค่เรื่องเทคโนโลยี แต่รวมไปถึงการป้องกันปัญหาที่จะเกิดขึ้นจากโกง การขยายการให้บริการในวงกว้าง Scalability/Security การให้บริการระบบ ก็น่าสนใจไม่แพ้กัน

การป้องกันการโกงระบบชำระเงินถือว่าเป็นเรื่องที่มีความสำคัญอย่างมาก Fraud Vector หรือช่องที่เกิดการโกงนั้นมีมากมายมหาศาลไม่ว่าจะเป็นเรื่องคน กระบวนการทำงาน หรือแม้แต่ตัวเทคโนโลยีเอง เมื่อวันที่ 29 กันยายน 2559 ประเทศไทยได้มีการเปิดตัว Samsung Pay ซึ่งเป็นเทคโนโลยีที่น่าสนใจมาก จึงเป็นที่มาของบันทึก เล่าถึงสิ่งที่ผู้เขียนได้ติดตามมาตั้งแต่วันเปิดตัวของเทคโนโลยีตัวนี้จนถึงปัจจุบัน

LoopPay where it begins

ในปี 2013 มีบริษัทหน้าใหม่เกิดขึ้นชื่อ LoopPay ระดมทุนผ่าน crowdfunding อย่าง Kickstarter ซึ่งนำเสนออุปกรณ์เสริมไฮเทคและมีไอเดียล้ำยุคมากคือ Jacket ที่เสียบกับมือถือทำให้สามารถจ่ายเงินแบบ proximity payment กับเครื่องรูดบัตร EDC ได้ โดยที่เครื่องรูดบัตรไม่ต้องมีการแก้ไขหรือ modify ใด ๆ และเครื่องรูดบัตรไม่จำเป็นต้องมี NFC ด้วย แต่ใช้ผ่านช่องทางรูดแถบแม่เหล็กของเครื่องเอง โดยหลักการคือเก็บข้อมูลของบัตรไว้ในแอพพลิเคชั่นจากนั้นทำการส่งข้อมูลของบัตรเช่นหมายเลขบัตร วันหมดอายุ Track2Data เอาไว้แล้วทำการส่งออกมาในรูปแบบของของคลื่น Magnetic เช่นเดียวกับที่หัวอ่านของเครื่องรูดบัตร อ่านข้อมูลจากแถบแม่เหล็กเวลารูดบัตรกับเครื่องอ่าน

LoopPay Jacket first prototype on Kickstarter.com

ด้วยช่องทางบน Kickstarter ถือเป็นการสร้างชื่อให้กับ LoopPay เป็นที่รู้จักในวงกว้าง แต่หากมาวิเคราะห์ให้ละเอียด ในช่วงแรกโครงการนี้จะสามารถใช้ได้กับเฉพาะบัตรเครดิตและเครื่องรับบัตรในอเมริกาเท่านั้น เพราะในประเทศอื่น ๆ ในโลกนี้ได้ก้าวสู่เทคโนโลยี EMV ไปก่อนหน้าอเมริกาเป็นสิบปี ฉะนั้นต่อให้สินค้านี้ขายดีหรือเป็นที่นิยมแค่ไหนก็ไม่สามารถขายไปได้ทั่วโลกอย่างแน่นอน แต่ผู้ก่อตั้งบริษัท LoopPay ไม่ใช่วิศวกรที่ไม่รู้จักความซับซ้อนในโลกการเงินแต่มีประสบการณ์ในการสร้างบริษัทที่ประสบความสำเร็จอย่างสูงเช่น Will Graylin ที่สร้าง ROAMData(mPOS) แล้วขายให้กับ Ingenico มาก่อน หรือ George Wallner ที่เคยเป็นถึง Founder และ CEO ของ Hypercom ซึ่งทั้งสองคนนี้ถือว่ามีประสบการณ์และ Profile ในวงการด้านการเงินสูงมาก

Will Graylin รูปจาก http://thevarguy.com/

ในเวลาที่ LoopPay เปิดตัวนั้น Apple ยังไม่มีแม้แต่ Apple Pay ด้วยซ้ำถือว่าแนวคิดค่อนข้างฉีกมาตรฐานวงการชำระเงินที่หากต้องการจะทำจ่ายแบบ proximity payment จะต้องใช้ EMV Contactless เช่น PayWave/PayPass เพราะปัญหาคือจะหาเครื่อง EDC ที่รองรับ NFC นั้นยาก ประกอบกับเครื่องมีราคาแพง เป็นการเพิ่มต้นทุนให้กับธนาคารผู้รับบัตร จึงไม่ได้รับความนิยม (ปี 2014 ถัดมา Apple Pay เลือกสนับสนุนมาตรฐาน EMV Contactless แทนเพราะต้องการเข้าถึงตลาดโลก)

สิ่งที่ผู้เขียนสงสัยและสนใจมาตลอดคือบริษัท LoopPay กำลังวางแผนอะไรอยู่เพราะ หากหวังที่จะขายอุปกรณ์เสริม เมื่อคำนวณขนาดตลาดแล้วไม่น่าจะคุ้มที่ทำกำไรได้ และจะขยายโอกาสทางธุรกิจต่อไปอย่างไร คำถามนี้ได้ถูกเฉลยต่อมาเมื่อ Samsung ได้เข้ามาซื้อบริษัทที่ก่อตั้งได้ไม่ถึง 3 ปีเป็นมูลค่ากว่า USD 250M เพราะต้องการเทคโนโลยี MST(Magnetic Secure Transaction) ของ LoopPay มาใส่ในมือถือของตนเองเพื่อแข่งขันกับ iPhone จาก Apple ตรงนี้ถือว่า LoopPay เลือกเปิดตัวได้ในจังหวะเวลาที่ดีมากเพราะ Samsung ต้องการสร้างความแตกต่างจาก NFC แบบเดิม ประกอบกับการเกิดขึ้นของมาตรฐานการชำระเงินแบบใหม่ที่เรียกว่า EMV Tokenization ที่ช่วยปลดล็อกปัญหาการทำ Proximity Payment ให้แก่ Apple, Google และ Samsung โดยสองค่ายแรกเลือกใช้มาตรฐานการสื่อสารผ่าน NFC ส่วน Samsung รองรับทั้ง NFC และถือหางเทคโนโลยี MST เพื่อสร้างความแตกต่าง

ย้อนประวัติความเป็นมาบัตรเครดิต

มาตรฐานบัตรเครดิตเกิดจากการรวมตัวร่างมาตรฐานของผู้ให้บริการ Card Network ต่าง ๆ โดยกำหนดให้หมายเลขบัตรคือข้อมูลสำคัญที่ใช้ในการยืนยันตัวตนระหว่างกัน หมายเลขบัตรจะอยู่ในรูปแบบตัวเลข 16 หรือ 19 หลัก ซึ่งจะแบ่งตัวเลขออกเป็น 2 ชุด เลข 6 หลักแรกบ่งบองถึง “Issuer Identification Number (IIN) หรือ Bank Identification Number(BIN)” เพื่อแยกว่าบัตรเป็นของ Card Network ไหนเช่น VISA/MasterCard/Amex และเป็นของธนาคารอะไร ส่วนเลขชุดที่เหลือคือหมายเลข Primary Account Number(PAN) และหมายเลข digit สุดท้ายเป็น checksum กรณีที่เราต้องการทำรายการ ข้อมูลพื้นฐานที่ต้องใช้คือ เลขบัตร วันหมดอายุ ชื่อผู้ถือบัตร มักจะเพียงพอในการทำรายการอนุมัติแล้ว

Anatomy of a credit card number ภาพจาก www.dirigodev.com

Magnetic Stripe Card

บัตรเครดิตแบบแถบแม่เหล็กสร้างความสะดวกสบายให้แก่เจ้าของธุรกิจมาก เนื่องจากไม่จำเป็นต้องจดหมายเลขบัตรและไปชำระดุลกับธนาคารให้ยุ่งยาก แต่สามารถรับชำระเงินได้ง่าย ๆ เพียงแค่ Swipe หรือรูดบัตรกับเครื่องอ่านบัตรเท่านั้น เมื่อรูดบัตรกับเครื่องแล้ว ระบบจะอ่านแถบข้อมูล Track1 Track2 ออกมาได้เป็น ชื่อผู้ถือบัตร IIN + PAN, country code, expiration date และ field discretionary ซึ่งจะมีค่า service code รหัสการให้บริการรวมอยู่ในข้อมูลที่อ่านออกมาได้ ตัว service code จะใช้ในการแยกและระบุว่าบัตรใบนี้สามารถใช้ทำอะไรบ้าง เช่น สามารถใช้จ่ายเงินในต่างประเทศได้ไหม จะต้องมีการทำ online verification หรือต้องกด PIN เพื่อยืนยันตัวตน หรือบอกว่าบัตรใบนี้ใช้ได้แต่กับ ATM เท่านั้น

Transaction Types and Security Codes

เพื่อต่อสู้กับปัญหาของ Fraud ที่มีอยู่เป็นจำนวนมาก เครื่องมือหนึ่งที่สำคัญคือการแบ่งปัญหาออกเป็นกลุ่มย่อย ๆ เพื่อที่จะสามารถจำกัดปัญหาได้ดีขึ้น นั่นคือการแบ่งรูปแบบการจ่ายเงินผ่านบัตรเป็น Card Present และ Card Not Present เพื่อจำแนกว่าการทำรายการเกิดขึ้นแบบมีบัตรจริงอยู่หรือไม่ ซึ่งในยุคแรกของบัตรเครดิตใช้หลักการใส่ security code เข้าไป 2 ชนิด
1. แบบแรกคือ security code ที่อยู่บนบัตรแต่มองไม่เห็นด้วยตาเปล่า CVC1 (เรียกแบบ MasterCard) หรือ CVV1 (เรียกแบบ VISA) ซึ่งจะถูกเก็บไว้บนแถบแม่เหล็ก
2. แบบที่สองคือ CVV2 หรือ CVC2 ซึ่งจะอยู่หลังบัตรและมองเห็นด้วยตาเปล่า

เมื่อเจ้าของบัตรทำรายการแบบ E-Commerce จะต้องกรอกหมายเลขบัตรและ security code แบบที่ 2 ให้แก่ร้านค้า เมื่อธนาคารผู้ออกบัตรได้รับการร้องขอเพื่ออนุมัติรายการก็จะทราบได้ว่าร้านค้านี้มีการขออนุมัติรายการแบบ Online มาเพราะไม่มี CVV1 มีแต่ CVV2

EMV Payment Types

บัตรแบบชิบการ์ดเกิดขึ้นในยุคต่อมาเพื่อต่อสู้กับ Fraud ที่เป็น Card Present โดยการเพิ่มความสามารถของการสร้าง security code แบบ dynamic ทำให้ปลอมแปลงข้อมูลหรือ counterfeit ได้ยาก

การทำรายการยุคใหม่ในร้านค้า Offline ด้วย Tokenization Apple Pay/Samsung Pay

เรากำลังอยู่ในยุคที่ 3 (อันนี้ตั้งเอง ฮาาา) ที่มือถือมีบทบาทสำคัญมากและอาจจะสำคัญกว่าบัตรพลาสติกที่เราใช้กันอยู่มานาน แต่ระบบที่ธนาคาร Card Network และร้านค้าได้ลงทุนไปแล้วเป็นจำนวนมหาศาล การที่จะไปเปลี่ยนเทคโนโลยีหรือลงทุนใหม่อาจจะไม่คุ้มค่ากับการลงทุน โดยเฉพาะประเทศอเมริกาที่เป็นผู้นำเรื่องเทคโนโลยีแต่การจะให้ธนาคารลงทุนระบบใหม่ทั้งประเทศเพื่อ Migrate ไปรับบัตรชิปการ์ดยังยากเลย ถึงแม้จะเริ่มบังคับกันไปแล้วเมื่อปลายปี 2015 แล้วก็ตาม Samsung Pay ถือว่าตอบโจทย์นี้ได้อย่างดีที่ ไม่ต้องไปบังคับให้ร้านค้าเปลี่ยนเครื่องรูดใหม่เป็นแบบใหม่

หลักการสำคัญของ Tokenization คือจะทำอย่างไรที่จะลดปัญหาเรื่อง Fraud ของการใช้หมายเลขบัตรในการทำรายการ สิ่งที่ Tokenization ทำคือการจัดเก็บเลขบัตร PAN ที่แท้จริงไว้กับผู้ให้บริการที่เชื่อถือได้เช่น Card Network หรือธนาคารเองแล้วทำการสร้างหมายเลขบัตรใหม่แบบสุ่ม ซึ่งมีขนาดความยาวและรูปที่เหมือนเดิมเพื่อให้ร้านค้าเป็นผู้ใช้ในการทำรายการ วิธีการนี้เป็นการจำกัดความเสี่ยงกรณีที่ Data Breach เกิดขึ้น

ตัวอย่างผู้ให้บริการ Tokenization Service
1. VISA Token Service (VTS)
2. MasterCard Digital Enablement Service (MDES)

Provisioning Process การทำงานของ Samsung Pay

รูปจาก Isariya เว็บไซต์ Blognone.com

1. ผู้ใช้ทำการ Scan บัตรเครดิตเพื่อดึงเลขบัตร วันหมดอายุ และ security code 2 เพื่อส่งไปขอยืนยัน Authorise รายการกับธนาคาร Issuer เจ้าของบัตรที่ร่วมกับ Samsung Pay
2. เมื่อบัตรได้รับการยืนยันเรียบร้อยแล้วระบบ Samsung Pay จะแจ้งให้ VTS/MDES สร้าง Token เพื่อใช้ในการจัดเก็บและใช้ในการทำรายการต่อไปในอนาคต
3. Token ที่ได้จะถูกจัดเก็บอยู่บนมือถือของ Samsung Pay เพื่อใช้ในการทำรายการกับร้านค้าต่อไป

Payment Process at Merchant

การจ่ายเงินกับร้านค้าด้วย Samsung Pay ผ่าน MST ที่เป็นจุดเด่นคือร้านค้าไม่จำเป็นต้องมีเครื่องรูดบัตรที่รองรับ NFC แบบเดียวกับ Apple Pay และสามารถใช้งานได้ทันทีกับเครื่องรูดบัตรเดิมที่มีอยู่ โดยมีขั้นตอนดังนี้

รูปจาก Isariya เว็บไซต์ Blognone.com

1. ผู้ใช้ Login แอพ Samsung Pay และเลือกบัตรที่ต้องการจ่าย จากนั้นแตะไปยังเครื่องรูดบัตรใกล้กับช่องรูด MSR
2. Samsung Pay ส่งเลขบัตร Token ไปยังธนาคาร Acquirer เพื่อขออนุมัติรายการ
3. ธนาคาร Acquirer ตรวจเลขบัตรพบว่าไม่ใช่บัตรที่ตัวเองรู้จักจึงส่งต่อให้กับ Card Network เพื่อทำการแปลงเลขบัตรจาก Token เป็นเลขบัตร PAN จริง
4. ธนาคาร Acquirer ส่งเลขบัตรจริงไปยัง Issuer เพื่อทำการอนุมัติรายการตามปกติ

ประโยชน์ของ EMV Tokenization

1. ปกป้องข้อมูล Sensitive Information เช่นหมายเลขบัตรให้จำกัดอยู่ในเฉพาะผู้ที่เกี่ยวข้องเช่น Payment Processor, Banks
2. ลด Scope PCI-DSS ที่ทางร้านค้าต้องรับผิดชอบ
3. สามารถทำงานร่วมกับ Technology เดิมที่มีอยู่แล้วได้ไม่ว่าจะเป็น MSR, NFC, Online

Where is the next improvement?

Samsung Pay, Apple Pay หรือแม้แต่ Google Pay เองก็แล้วแต่ใช้ประโยชน์จากเทคโนโลยี EMV Tokenziation กันทั้งหมดแต่ว่าข้อเสียที่ธนาคารกำลังมองคือการสูญเสียการควบคุมไปอยู่ภายใต้ Brand ของมือถือ อีกทั้งบางแบรนด์เช่น Apple Pay มีการขอส่วนแบ่งเพิ่มเติมกับธนาคารต่อรายการที่เกิดขึ้น ซึ่งหากอนาคตถูกควบคุมทุกอย่างภายใต้ Brand มือถือเท่ากับความเสี่ยงของธนาคารเองที่จะสูญเสียตลาดหรืออำนาจต่อรองในอนาคต

ผู้เขียนเชื่อว่า ธนาคารผู้ออกบัตรจะให้ความสำคัญกับเทคโนโลยีที่เป็นมาตรฐานเช่น HCE เพิ่มมากขึ้นในอนาคต รวมถึงลดการพึ่งพิง Tokenization จาก Payment Processor ที่อยู่ภาพนอกเช่น VISA/MasterCard แต่จะบริหาร Payment Tokenization ด้วยตนเองเพื่อลดต้นทุน Interchange ที่ต้องจ่ายสำหรับรายการที่เป็น On-Us transaction เพื่อสร้างผลกำไรและโอกาสการแข่งขันในตลาดที่เข้มข้นที่เป็นอยู่ในปัจจุบัน

อ้างอิง

Visa Token Service | Visa Developer

Mastercard Developers

เจาะลึกบริการจ่ายเงินผ่านมือถือ Samsung Pay พร้อมทดลองใช้แอพตัวจริงในไทย | Blognone