May 10, 2017

Payment Tokenization ဆိုတာဘာလဲ။

Ko Sagaing
အင်တာနက်အသုံးပြုတဲ့ ငွေပေးချေမှုလုပ်ငန်းတွေမှာ၊ ငွေပေးချေမှုတစ်ခု လုပ်တိုင်း၊ လုပ်တိုင်း အရေးပါတဲ့အချက်အလက်တွေ ထည့်သွင်းပေးရပါတယ်။  အရေးပါတဲ့အချက်အလက်တွေဆိုတာ ငွေပေးချေသူ၏ အမည်၊ ဖုန်းနံပါတ်၊ ကဒ်နံပါတ်၊ အကောင့်နံပါတ်၊ စတာတွေပါဝင်ပါတယ်။  ဒီလိုအချက်အလက်တွေပါဝင်မှု နည်းနိုင်သမျှနည်းအောင် (သို့) ငွေပေးချေတဲ့ဖြစ်စဉ်ထဲက ဖယ်ထုတ်ထားနိုင်အောင် Tokenization ဆိုတဲ့နည်းပညာကို ငွေပေးချေတဲ့စနစ်တွေမှာ အသုံးပြုလာကြပါတယ်။  Tokenization ဆိုတာ အရေးပါတဲ့အချက်အလက်တွေအစား သီးသန့် ကိန်းဂဏန်း (သို့) သင်္ကေတတွေနှင့် အစားထိုးသတ်မှတ်ပေးခြင်းဖြစ်ပါတယ်။  အရေးပါတဲ့အချက်အလက်တွေလည်း ပျက်စီးဆုံးရှုံးမှုမရှိစေပဲ သီးသန့် လုံခြုံစွာ ထိန်းသိမ်းပေးထားမှာဖြစ်ပါတယ်။ Tokenization ဖြစ်စဉ်ကို ဥပမာအနေနှင့် ဆေးရုံ၊ ဆေးခန်းတွေမှာ မြင်တွေ့နိုင်ပါတယ်။  ၄င်းနေရာတွေမှာ ဆေးဝါးကုသမှုခံယူဖို့အတွက် အရင်ဆုံးတိုကင်နံပါတ် ယူလိုက်သလိုပါပဲ။  မည်သူမည်ဝါထက် တိုကင်နံပါတ်က အရေးပါတဲ့အရာတစ်ခုလို ဖြစ်သွားတဲ့သဘောဖြစ်ပါတယ်။  Tokenization နည်းပညာကိုသုံးခြင်းအားဖြင့် PCI DSS အတွက် ဆောင်ရွက်ရမယ့် လုပ်ငန်းတွေကိုလျှော့ချပေးနိုင်သလို၊ မသမာသောနည်းလမ်းများဖြင့် ငွေပေးချေမှုတွေကို ပိုမိုထိရောက်စွာ ကာကွယ်နိုင်မယ့် နည်းလမ်းတစ်ခုဖြစ်တာကြောင့် ငွေပေးချေမှုစနစ်တွေမှာ အသုံးပြုလာကြခြင်းဖြစ်ပါတယ်။  PCI DSS အကြောင်းကို ဒီပို့စ်မှာ ကျွန်တော်ရေးထားပါတယ်။

Payment Tokenization ဘယ်လိုအလုပ်လုပ်လဲ။

(Payments Cards & Mobile မှ ပုံဖြစ်ပါသည်။)

၁) စျေးဝယ်သူက အွန်လိုင်းက ဝယ်ယူခြင်း (သို့) Reader မှာ Tap လုပ်ပြီးငွေပေးချေခြင်း (ဥပမာ။ Android Pay သို့ Apple Pay) ကို ပြုလုပ်လိုက်တဲ့အခါမှာ စျေးဝယ်သူဆီက Token တစ်ခု စျေးရောင်းသူဆီကို ရောက်သွားပါတယ်။
၂) စျေးရောင်းသူနှင့် ချိတ်ဆက်ထားတဲ့ Acquirer (ဥပမာ။ Bank (သို့) Payment Provider) ဆီကို စျေးဝယ်သူရဲ့ Token ပို့လိုက်ပါတယ်။
၃) စျေးရောင်းသူပို့လိုက်တဲ့ Token ကို Acquirer က Token Network (ဥပမာ။ သက်ဆိုင်ရာ Token Service Provider) ဆီကို တဆင့်ထပ်ပို့လိုက်ပါတယ်။
၄) Token Network ထဲကိုရောက်လာတဲ့ Token ကို Token Vault (Token တွေလုံခြုံအောင်သိမ်းဆည်းထားတဲ့နေရာ) တစ်ခုအဖြစ် ပြောင်းလဲလိုက်တယ်။  Token Vault ဆိုတာက ယေဘူယအားဖြင့် Hash, Token နှင့် Encrypted PAN (Personal Account Number) ၃ခုကို ပေါင်းစပ်ထားတဲ့ အချက်အလက်ဖြစ်ပါတယ်။
၅) Token Network ထဲမှာပဲ ခုနက Token Vault ထဲက Token နှင့် အကောင့်နံပါတ် (PAN) တွေကို  Token Vault Database ထဲမှာ တိုက်ဆိုင်စစ်ဆေးတယ်။
၆) ပြီးရင်ရလာတဲ့ Token နှင့် PAN တွေကို သက်ဆိုင်ရာ ဘဏ်ကိုပို့ပေးလိုက်တယ်။
၇) ဘဏ်ကနေပြီး မှန်ကန်ကြောင်း၊ ပေးချေခွင့်ရှိကြောင်း အတည်ပြုချက်ကို Acquirer ဆီကိုပို့ပေးလိုက်တယ်။
၈) Acquirer ကနေတဆင့် ၄င်းအတည်ပြုချက်ကို စျေးရောင်းသူဆီကို ထပ်မံပို့ပေးလိုက်တယ်။  ဒီလိုနှင့် ငွေပေးချေမှု အောင်မြင်စွာ အထမြောက်သွားတယ်။

Encryption နှင့် Tokenization ဘယ်လိုခြားနားလဲ။

(CryptoCompare မှပုံဖြစ်ပါသည်။)

Encryption နှင့် Tokenization ဟာ အချက်အလက်တွေကို လျှို့ဝှက်၊ ပြန်ဖော်ပေးနည်းလမ်းတွေ (Cryptography) ဖြစ်ပါတယ်။  သို့သော် ဒီနှစ်ခုရဲ့ လုပ်ဆောင်ချက်ကတော့ မတူပါဘူး။  Encryption ဆိုတာကတော့ Public နှင့် Private ဆိုတဲ့ Key ၂ခုနှင့် Encryption Algorithm တစ်ခုကိုအသုံးပြုပြီး အချက်အလက်တွေကို လျှို့ဝှက်ပေးတယ်၊ ပြန်ဖော်ပေးတယ်။  Tokenization မှာ Algorithm တွေ၊ Key တွေ သုံးမထားဘူး။ နောက်ပြီးသက်ဆိုင်ရာ Token နှင့် အချက်အလက်တွေကို Token Vault Database ထဲမှာ သိမ်းထားတယ်၊  Token တွေက ကြုံရာကျပန်းတွေ (Ramdom) ဖြစ်တယ်။  Token တွေဟာ အရေးပါတဲ့အချက်အလက်တွေဖြစ်တဲ့ (ဥပမာ ခရက်ဒစ်ကဒ်နံပါတ်) စသည်တို့နှင့် ချိတ်ဆက်ထားတာကြောင့် တစ်ခုနှင့်တစ်ခု ဆက်နွယ်မှုရှိတယ်။  Token Vault ထဲမှာ Encryption နည်းပညာ ထည့်သွင်းထားတယ်။  Encryption အကြောင်းကိုဖတ်ချင်ရင် ဒီပို့စ်မှာ ကျွန်တော်ရေးသားထားပါတယ်။

Token Service Provider (TSP) များ
Token Service ကိုဘဏ်တွေ နှင့် ငွေပေးချေမှုလုပ်ငန်း ဆောင်ရွက်တဲ့သူတွေ (Payment Provider) တွေများသောအားဖြင့်က ၄င်းတို့ကိုယ်ပိုင် Token Service အတွက် လိုအပ်တာတွေကို သီးသန့်အကုန်ကျမခံတော့ပဲ၊ 3rd Party TSP တွေနှင့် ပူးပေါင်းပြီးလုပ်ဆောင်ကြပါတယ်။  အင်တာနက်ထဲမှာ တွေ့မိသလောက် 3rd Party TSP တွေကတော့ Rambus, OneKey (လက်ရှိစင်ကာပူကဘဏ်တွေမှာ အသုံးပြုနေတဲ့ Keypad နှင့် Token ထုတ်ပေးတာမျိုး), EMVCo, Interac, Visa, Master နှင့် Card Payment Provider တွေလည်း၄င်းတို့ရဲ့ Card အသီးသီးအတွက် Token Service တွေပေးပါတယ်။  အခြား TSP တွေလည်း အများကြီးရှိနိုင်ပါတယ်။

Tokenization နှင့် အချက်အလက်လုံခြုံရေး
နည်းပညာနှင့်သက်ဆိုင်တဲ့ အဖွဲ့အစည်းတွေတော်တော်များများ Encryption နည်းပညာထက်၊ ပိုမိုလုံခြုံပြီး၊ အဆင်ပြေတဲ့ Tokenization နည်းပညာကို လုံခြုံရေးဆိုင်ရာလုပ်ငန်းတွေမှာ တဖြည်းဖြည်းအသုံးပြုလာကြပါတယ်။ တကယ်တော့ လုံခြုံရေးဆိုင်ရာလုပ်ငန်းတွေမှာ Tokenization တစ်ခုတည်းနှင့်မပြီးပါဘူး။  လုပ်ငန်းတစ်ခုရဲ့ နောက်ပိုင်းဖြစ်စဉ်တွေထဲမှာ Encryption တွေလည်းပါရသလို၊ ရှေ့ပိုင်းဖြစ်စဉ်တွေထဲမှာ နောက်ဆုံးပေါ်ဖြစ်တဲ့ Recognition (ဥပမာ လက်ဗွေ၊ မျက်နှာ) နည်းပညာကို ထပ်ဆင့်ပေါင်းထည့်ထားပြီး ပိုမိုလုံခြုံအောင် ဖန်တီးထားကြတာမျိုးတွေလည်း တွေ့နိုင်ပါတယ်။  နောင်အနာဂတ်မှာတော့ ကိုယ်ရေးကိုယ်တာ အချက်အလက်တွေကို ပိုမိုလုံခြုံစွာထိန်းသိမ်းပေးထားနိုင်တဲ့ ပတ်ဝန်းကျင်ကောင်းတွေ တဖြည်းဖြည်း ပေါ်ထွက်လာလိမ့်မယ်လို့​ ယူဆမိပါတယ်။

မှတ်စုရေးသူအကြောင်း

Ko Sagaing / Software Engineer

နာမည်အရင်းမှာ လှိုင်မင်းထက်ဖြစ်ပြီး၊ ကိုစစ်ကိုင်းဆိုသည့် နာမည်ပြောင်နှင့် မိတ်ဆွေ၊ သူငယ်ချင်းများက ရင်းနှီးစွာခေါ်ကြပါသည်။ ယခင်ကမြန်မာနိုင်ငံတွင် သင်ကြားရေး နှင့် Software Development လုပ်ငန်းများတွင် ဝင်ရောက်လုပ်ကိုင်ခဲ့ပြီး၊ ယခုလက်ရှိမှာ စင်ကာပူနိုင်ငံရှိ နည်းပညာကုမ္ပဏီတစ်ခုတွင် ဝင်ရောက်လုပ်ကိုင်နေပါသည်။

0 ခုမှတ်ချက်ပေးထားတယ်။:

Post a Comment

ကိုစစ်ကိုင်း၏ မှတ်စုများ. Powered by Blogger.