EMV Tokenization Payment
ความบ้าในเรื่อง Payment และ Security ทำให้ผมชอบศึกษาเทคโนโลยีใหม่ ๆ ที่เกิดขึ้นในวงการเงินบนโลกใบนี้ และด้วยความที่โลกการเงินโดยเฉพาะ Financial Payment เป็นโลกที่ถือว่าปิดมากสำหรับคนภายนอกอย่างผม ก่อนที่จะมีโอกาสได้เข้ามาทำงานในวงการนี้ และการที่มันถูกกำกับดูแลอย่างหนักจากหลายฝ่าย ไม่ว่าจะเป็นผู้ให้บริการเครือข่าย ธนาคารแห่งประเทศไทย ธนาคารพาณิชย์ จึงมีความน่าสนใจมาก ไม่ใช่แค่เรื่องเทคโนโลยี แต่รวมไปถึงการป้องกันปัญหาที่จะเกิดขึ้นจากโกง การขยายการให้บริการในวงกว้าง Scalability/Security การให้บริการระบบ ก็น่าสนใจไม่แพ้กัน
การป้องกันการโกงระบบชำระเงินถือว่าเป็นเรื่องที่มีความสำคัญอย่างมาก Fraud Vector หรือช่องที่เกิดการโกงนั้นมีมากมายมหาศาลไม่ว่าจะเป็นเรื่องคน กระบวนการทำงาน หรือแม้แต่ตัวเทคโนโลยีเอง เมื่อวันที่ 29 กันยายน 2559 ประเทศไทยได้มีการเปิดตัว Samsung Pay ซึ่งเป็นเทคโนโลยีที่น่าสนใจมาก จึงเป็นที่มาของบันทึก เล่าถึงสิ่งที่ผู้เขียนได้ติดตามมาตั้งแต่วันเปิดตัวของเทคโนโลยีตัวนี้จนถึงปัจจุบัน
LoopPay where it begins
ในปี 2013 มีบริษัทหน้าใหม่เกิดขึ้นชื่อ LoopPay ระดมทุนผ่าน crowdfunding อย่าง Kickstarter ซึ่งนำเสนออุปกรณ์เสริมไฮเทคและมีไอเดียล้ำยุคมากคือ Jacket ที่เสียบกับมือถือทำให้สามารถจ่ายเงินแบบ proximity payment กับเครื่องรูดบัตร EDC ได้ โดยที่เครื่องรูดบัตรไม่ต้องมีการแก้ไขหรือ modify ใด ๆ และเครื่องรูดบัตรไม่จำเป็นต้องมี NFC ด้วย แต่ใช้ผ่านช่องทางรูดแถบแม่เหล็กของเครื่องเอง โดยหลักการคือเก็บข้อมูลของบัตรไว้ในแอพพลิเคชั่นจากนั้นทำการส่งข้อมูลของบัตรเช่นหมายเลขบัตร วันหมดอายุ Track2Data เอาไว้แล้วทำการส่งออกมาในรูปแบบของของคลื่น Magnetic เช่นเดียวกับที่หัวอ่านของเครื่องรูดบัตร อ่านข้อมูลจากแถบแม่เหล็กเวลารูดบัตรกับเครื่องอ่าน
ด้วยช่องทางบน Kickstarter ถือเป็นการสร้างชื่อให้กับ LoopPay เป็นที่รู้จักในวงกว้าง แต่หากมาวิเคราะห์ให้ละเอียด ในช่วงแรกโครงการนี้จะสามารถใช้ได้กับเฉพาะบัตรเครดิตและเครื่องรับบัตรในอเมริกาเท่านั้น เพราะในประเทศอื่น ๆ ในโลกนี้ได้ก้าวสู่เทคโนโลยี EMV ไปก่อนหน้าอเมริกาเป็นสิบปี ฉะนั้นต่อให้สินค้านี้ขายดีหรือเป็นที่นิยมแค่ไหนก็ไม่สามารถขายไปได้ทั่วโลกอย่างแน่นอน แต่ผู้ก่อตั้งบริษัท LoopPay ไม่ใช่วิศวกรที่ไม่รู้จักความซับซ้อนในโลกการเงินแต่มีประสบการณ์ในการสร้างบริษัทที่ประสบความสำเร็จอย่างสูงเช่น Will Graylin ที่สร้าง ROAMData(mPOS) แล้วขายให้กับ Ingenico มาก่อน หรือ George Wallner ที่เคยเป็นถึง Founder และ CEO ของ Hypercom ซึ่งทั้งสองคนนี้ถือว่ามีประสบการณ์และ Profile ในวงการด้านการเงินสูงมาก
ในเวลาที่ LoopPay เปิดตัวนั้น Apple ยังไม่มีแม้แต่ Apple Pay ด้วยซ้ำถือว่าแนวคิดค่อนข้างฉีกมาตรฐานวงการชำระเงินที่หากต้องการจะทำจ่ายแบบ proximity payment จะต้องใช้ EMV Contactless เช่น PayWave/PayPass เพราะปัญหาคือจะหาเครื่อง EDC ที่รองรับ NFC นั้นยาก ประกอบกับเครื่องมีราคาแพง เป็นการเพิ่มต้นทุนให้กับธนาคารผู้รับบัตร จึงไม่ได้รับความนิยม (ปี 2014 ถัดมา Apple Pay เลือกสนับสนุนมาตรฐาน EMV Contactless แทนเพราะต้องการเข้าถึงตลาดโลก)
สิ่งที่ผู้เขียนสงสัยและสนใจมาตลอดคือบริษัท LoopPay กำลังวางแผนอะไรอยู่เพราะ หากหวังที่จะขายอุปกรณ์เสริม เมื่อคำนวณขนาดตลาดแล้วไม่น่าจะคุ้มที่ทำกำไรได้ และจะขยายโอกาสทางธุรกิจต่อไปอย่างไร คำถามนี้ได้ถูกเฉลยต่อมาเมื่อ Samsung ได้เข้ามาซื้อบริษัทที่ก่อตั้งได้ไม่ถึง 3 ปีเป็นมูลค่ากว่า USD 250M เพราะต้องการเทคโนโลยี MST(Magnetic Secure Transaction) ของ LoopPay มาใส่ในมือถือของตนเองเพื่อแข่งขันกับ iPhone จาก Apple ตรงนี้ถือว่า LoopPay เลือกเปิดตัวได้ในจังหวะเวลาที่ดีมากเพราะ Samsung ต้องการสร้างความแตกต่างจาก NFC แบบเดิม ประกอบกับการเกิดขึ้นของมาตรฐานการชำระเงินแบบใหม่ที่เรียกว่า EMV Tokenization ที่ช่วยปลดล็อกปัญหาการทำ Proximity Payment ให้แก่ Apple, Google และ Samsung โดยสองค่ายแรกเลือกใช้มาตรฐานการสื่อสารผ่าน NFC ส่วน Samsung รองรับทั้ง NFC และถือหางเทคโนโลยี MST เพื่อสร้างความแตกต่าง
ย้อนประวัติความเป็นมาบัตรเครดิต
มาตรฐานบัตรเครดิตเกิดจากการรวมตัวร่างมาตรฐานของผู้ให้บริการ Card Network ต่าง ๆ โดยกำหนดให้หมายเลขบัตรคือข้อมูลสำคัญที่ใช้ในการยืนยันตัวตนระหว่างกัน หมายเลขบัตรจะอยู่ในรูปแบบตัวเลข 16 หรือ 19 หลัก ซึ่งจะแบ่งตัวเลขออกเป็น 2 ชุด เลข 6 หลักแรกบ่งบองถึง “Issuer Identification Number (IIN) หรือ Bank Identification Number(BIN)” เพื่อแยกว่าบัตรเป็นของ Card Network ไหนเช่น VISA/MasterCard/Amex และเป็นของธนาคารอะไร ส่วนเลขชุดที่เหลือคือหมายเลข Primary Account Number(PAN) และหมายเลข digit สุดท้ายเป็น checksum กรณีที่เราต้องการทำรายการ ข้อมูลพื้นฐานที่ต้องใช้คือ เลขบัตร วันหมดอายุ ชื่อผู้ถือบัตร มักจะเพียงพอในการทำรายการอนุมัติแล้ว
Magnetic Stripe Card
บัตรเครดิตแบบแถบแม่เหล็กสร้างความสะดวกสบายให้แก่เจ้าของธุรกิจมาก เนื่องจากไม่จำเป็นต้องจดหมายเลขบัตรและไปชำระดุลกับธนาคารให้ยุ่งยาก แต่สามารถรับชำระเงินได้ง่าย ๆ เพียงแค่ Swipe หรือรูดบัตรกับเครื่องอ่านบัตรเท่านั้น เมื่อรูดบัตรกับเครื่องแล้ว ระบบจะอ่านแถบข้อมูล Track1 Track2 ออกมาได้เป็น ชื่อผู้ถือบัตร IIN + PAN, country code, expiration date และ field discretionary ซึ่งจะมีค่า service code รหัสการให้บริการรวมอยู่ในข้อมูลที่อ่านออกมาได้ ตัว service code จะใช้ในการแยกและระบุว่าบัตรใบนี้สามารถใช้ทำอะไรบ้าง เช่น สามารถใช้จ่ายเงินในต่างประเทศได้ไหม จะต้องมีการทำ online verification หรือต้องกด PIN เพื่อยืนยันตัวตน หรือบอกว่าบัตรใบนี้ใช้ได้แต่กับ ATM เท่านั้น
Transaction Types and Security Codes
เพื่อต่อสู้กับปัญหาของ Fraud ที่มีอยู่เป็นจำนวนมาก เครื่องมือหนึ่งที่สำคัญคือการแบ่งปัญหาออกเป็นกลุ่มย่อย ๆ เพื่อที่จะสามารถจำกัดปัญหาได้ดีขึ้น นั่นคือการแบ่งรูปแบบการจ่ายเงินผ่านบัตรเป็น Card Present และ Card Not Present เพื่อจำแนกว่าการทำรายการเกิดขึ้นแบบมีบัตรจริงอยู่หรือไม่ ซึ่งในยุคแรกของบัตรเครดิตใช้หลักการใส่ security code เข้าไป 2 ชนิด
1. แบบแรกคือ security code ที่อยู่บนบัตรแต่มองไม่เห็นด้วยตาเปล่า CVC1 (เรียกแบบ MasterCard) หรือ CVV1 (เรียกแบบ VISA) ซึ่งจะถูกเก็บไว้บนแถบแม่เหล็ก
2. แบบที่สองคือ CVV2 หรือ CVC2 ซึ่งจะอยู่หลังบัตรและมองเห็นด้วยตาเปล่า
เมื่อเจ้าของบัตรทำรายการแบบ E-Commerce จะต้องกรอกหมายเลขบัตรและ security code แบบที่ 2 ให้แก่ร้านค้า เมื่อธนาคารผู้ออกบัตรได้รับการร้องขอเพื่ออนุมัติรายการก็จะทราบได้ว่าร้านค้านี้มีการขออนุมัติรายการแบบ Online มาเพราะไม่มี CVV1 มีแต่ CVV2
EMV Payment Types
บัตรแบบชิบการ์ดเกิดขึ้นในยุคต่อมาเพื่อต่อสู้กับ Fraud ที่เป็น Card Present โดยการเพิ่มความสามารถของการสร้าง security code แบบ dynamic ทำให้ปลอมแปลงข้อมูลหรือ counterfeit ได้ยาก
การทำรายการยุคใหม่ในร้านค้า Offline ด้วย Tokenization Apple Pay/Samsung Pay
เรากำลังอยู่ในยุคที่ 3 (อันนี้ตั้งเอง ฮาาา) ที่มือถือมีบทบาทสำคัญมากและอาจจะสำคัญกว่าบัตรพลาสติกที่เราใช้กันอยู่มานาน แต่ระบบที่ธนาคาร Card Network และร้านค้าได้ลงทุนไปแล้วเป็นจำนวนมหาศาล การที่จะไปเปลี่ยนเทคโนโลยีหรือลงทุนใหม่อาจจะไม่คุ้มค่ากับการลงทุน โดยเฉพาะประเทศอเมริกาที่เป็นผู้นำเรื่องเทคโนโลยีแต่การจะให้ธนาคารลงทุนระบบใหม่ทั้งประเทศเพื่อ Migrate ไปรับบัตรชิปการ์ดยังยากเลย ถึงแม้จะเริ่มบังคับกันไปแล้วเมื่อปลายปี 2015 แล้วก็ตาม Samsung Pay ถือว่าตอบโจทย์นี้ได้อย่างดีที่ ไม่ต้องไปบังคับให้ร้านค้าเปลี่ยนเครื่องรูดใหม่เป็นแบบใหม่
หลักการสำคัญของ Tokenization คือจะทำอย่างไรที่จะลดปัญหาเรื่อง Fraud ของการใช้หมายเลขบัตรในการทำรายการ สิ่งที่ Tokenization ทำคือการจัดเก็บเลขบัตร PAN ที่แท้จริงไว้กับผู้ให้บริการที่เชื่อถือได้เช่น Card Network หรือธนาคารเองแล้วทำการสร้างหมายเลขบัตรใหม่แบบสุ่ม ซึ่งมีขนาดความยาวและรูปที่เหมือนเดิมเพื่อให้ร้านค้าเป็นผู้ใช้ในการทำรายการ วิธีการนี้เป็นการจำกัดความเสี่ยงกรณีที่ Data Breach เกิดขึ้น
ตัวอย่างผู้ให้บริการ Tokenization Service
1. VISA Token Service (VTS)
2. MasterCard Digital Enablement Service (MDES)
Provisioning Process การทำงานของ Samsung Pay
- ผู้ใช้ทำการ Scan บัตรเครดิตเพื่อดึงเลขบัตร วันหมดอายุ และ security code 2 เพื่อส่งไปขอยืนยัน Authorise รายการกับธนาคาร Issuer เจ้าของบัตรที่ร่วมกับ Samsung Pay
- เมื่อบัตรได้รับการยืนยันเรียบร้อยแล้วระบบ Samsung Pay จะแจ้งให้ VTS/MDES สร้าง Token เพื่อใช้ในการจัดเก็บและใช้ในการทำรายการต่อไปในอนาคต
- Token ที่ได้จะถูกจัดเก็บอยู่บนมือถือของ Samsung Pay เพื่อใช้ในการทำรายการกับร้านค้าต่อไป
Payment Process at Merchant
การจ่ายเงินกับร้านค้าด้วย Samsung Pay ผ่าน MST ที่เป็นจุดเด่นคือร้านค้าไม่จำเป็นต้องมีเครื่องรูดบัตรที่รองรับ NFC แบบเดียวกับ Apple Pay และสามารถใช้งานได้ทันทีกับเครื่องรูดบัตรเดิมที่มีอยู่ โดยมีขั้นตอนดังนี้
- ผู้ใช้ Login แอพ Samsung Pay และเลือกบัตรที่ต้องการจ่าย จากนั้นแตะไปยังเครื่องรูดบัตรใกล้กับช่องรูด MSR
- Samsung Pay ส่งเลขบัตร Token ไปยังธนาคาร Acquirer เพื่อขออนุมัติรายการ
- ธนาคาร Acquirer ตรวจเลขบัตรพบว่าไม่ใช่บัตรที่ตัวเองรู้จักจึงส่งต่อให้กับ Card Network เพื่อทำการแปลงเลขบัตรจาก Token เป็นเลขบัตร PAN จริง
- ธนาคาร Acquirer ส่งเลขบัตรจริงไปยัง Issuer เพื่อทำการอนุมัติรายการตามปกติ
ประโยชน์ของ EMV Tokenization
- ปกป้องข้อมูล Sensitive Information เช่นหมายเลขบัตรให้จำกัดอยู่ในเฉพาะผู้ที่เกี่ยวข้องเช่น Payment Processor, Banks
- ลด Scope PCI-DSS ที่ทางร้านค้าต้องรับผิดชอบ
- สามารถทำงานร่วมกับ Technology เดิมที่มีอยู่แล้วได้ไม่ว่าจะเป็น MSR, NFC, Online
Where is the next improvement?
Samsung Pay, Apple Pay หรือแม้แต่ Google Pay เองก็แล้วแต่ใช้ประโยชน์จากเทคโนโลยี EMV Tokenziation กันทั้งหมดแต่ว่าข้อเสียที่ธนาคารกำลังมองคือการสูญเสียการควบคุมไปอยู่ภายใต้ Brand ของมือถือ อีกทั้งบางแบรนด์เช่น Apple Pay มีการขอส่วนแบ่งเพิ่มเติมกับธนาคารต่อรายการที่เกิดขึ้น ซึ่งหากอนาคตถูกควบคุมทุกอย่างภายใต้ Brand มือถือเท่ากับความเสี่ยงของธนาคารเองที่จะสูญเสียตลาดหรืออำนาจต่อรองในอนาคต
ผู้เขียนเชื่อว่า ธนาคารผู้ออกบัตรจะให้ความสำคัญกับเทคโนโลยีที่เป็นมาตรฐานเช่น HCE เพิ่มมากขึ้นในอนาคต รวมถึงลดการพึ่งพิง Tokenization จาก Payment Processor ที่อยู่ภาพนอกเช่น VISA/MasterCard แต่จะบริหาร Payment Tokenization ด้วยตนเองเพื่อลดต้นทุน Interchange ที่ต้องจ่ายสำหรับรายการที่เป็น On-Us transaction เพื่อสร้างผลกำไรและโอกาสการแข่งขันในตลาดที่เข้มข้นที่เป็นอยู่ในปัจจุบัน