ปิดฉากยุคเลขบัตร 16 หลัก! Visa ผนึกกำลัง Omise ร่วมกันผลักดันนวัตกรรม ‘Tokenisation’ เทคโนโลยีเบื้องหลังที่ลดการฉ้อโกงได้ถึง 58%

หมายเลขบัตรเครดิต 16 หลักบนหน้าบัตรพลาสติกของคุณ อาจกำลังถูกบันทึกและจัดเก็บอยู่ในฐานข้อมูลของเว็บไซต์นับสิบแห่งทั่วโลกโดยที่คุณไม่รู้ตัว และนั่นคือ 'ระเบิดเวลา' ของความเสี่ยงทางไซเบอร์ที่ Visa และ Omise กำลังเร่งมือแก้ไขเพื่อเปลี่ยนผ่านโครงสร้างพื้นฐานการชำระเงินของไทยไปสู่ยุคใหม่

ล่าสุด Visa ผู้นำด้านการชำระเงินดิจิทัลระดับโลก และ Omise ผู้ให้บริการ Payment Gateway ชั้นนำที่ก่อตั้งและเติบโตในไทย ได้ประกาศเดินหน้าผลักดันเทคโนโลยี Network Token สู่ตลาดประเทศไทยอย่างเต็มรูปแบบ โดยมีเป้าหมายเพื่อยกระดับมาตรฐานความปลอดภัยในการชำระเงินออนไลน์ ซึ่งตัวเลขสถิติระดับโลกชี้ชัดว่าเทคโนโลยีนี้ช่วยลดความเสียหายจากการทุจริตได้กว่า 650 ล้านดอลลาร์สหรัฐ และสร้างรายได้แก่อีคอมเมิร์ซเพิ่มขึ้นกว่า 40,000 ล้านดอลลาร์สหรัฐในปีที่ผ่านมา

วิกฤตความปลอดภัยของหมายเลข 16 หลัก

หากลองทบทวนดูว่าในชีวิตประจำวัน เราได้ทำการบันทึกข้อมูลบัตรเครดิตหรือเดบิตไว้กับแพลตฟอร์มใดบ้าง ตั้งแต่แอปพลิเคชันเรียกรถอย่าง Grab บริการสตรีมมิงอย่าง Netflix ไปจนถึงเว็บไซต์อีคอมเมิร์ซ หรือแม้แต่การตัดค่าสาธารณูปโภคอัตโนมัติ คำตอบของคนส่วนใหญ่มักจะลงเอยด้วยความไม่แน่ใจ ซึ่งจุดนี้เองคือหัวใจสำคัญของปัญหาที่เทคโนโลยี Network Token ถูกออกแบบมาเพื่อแก้ไข ในระบบการชำระเงินแบบดั้งเดิม เมื่อผู้ใช้ทำการบันทึกบัตรไว้บนเว็บไซต์ร้านค้า หมายเลขบัตรจริง 16 หลัก หรือที่เรียกในทางเทคนิคว่า PAN (Primary Account Number) จะถูกจัดเก็บไว้ในระบบของร้านค้านั้นๆ โดยตรง สถานการณ์นี้เปรียบเสมือนการที่เรายื่นสำเนาบัตรประชาชนให้ร้านค้าหลายสิบแห่งเก็บรักษาไว้ หากร้านค้าใดร้านค้าหนึ่งมีระบบรักษาความปลอดภัยที่ไม่รัดกุมพอและเกิดเหตุข้อมูลรั่วไหล (Data Breach) หมายเลขบัตรที่หลุดออกไปนั้นย่อมสามารถถูกนำไปใช้ทำธุรกรรมทุจริตในเว็บไซต์อื่นๆ หรือถูกขายต่อในตลาดมืดได้ทันที

คุณอังศุมาลิน ฟอร์ดแฮม หัวหน้าฝ่ายผลิตภัณฑ์และบริการเสริม Visa ประเทศไทย ได้ชี้ให้เห็นถึงความเสี่ยงนี้ว่า หมายเลข 16 หลักคือข้อมูลที่มีความอ่อนไหวสูง หากถูกจัดเก็บกระจัดกระจายโดยไร้การป้องกันที่เหมาะสม นั่นคือความเสี่ยงที่ระบบนิเวศการชำระเงินสมัยใหม่ไม่ควรยอมรับอีกต่อไป

กลไกอัจฉริยะของ Network Token และ Dynamic Cryptogram

หัวใจสำคัญของการแก้ปัญหานี้คือกระบวนการที่เรียกว่า Tokenisation ซึ่งเป็นการแปลงหมายเลขบัตร 16 หลักที่แท้จริง ให้กลายเป็นชุดตัวเลขใหม่ที่เรียกว่า 'Token' โดยเมื่อผู้ใช้บริการบันทึกบัตรไว้กับแพลตฟอร์มต่างๆ Visa จะทำการแปลงหมายเลข PAN ให้เป็น Token และจัดเก็บข้อมูลความสัมพันธ์นี้ไว้ในระบบกลางที่มีความปลอดภัยสูงสุดเรียกว่า Token Vault ความล้ำหน้าของเทคโนโลยีนี้อยู่ที่การทำงานร่วมกับสิ่งที่เรียกว่า Dynamic Cryptogram ซึ่งเป็นรหัสความปลอดภัยที่จะถูกสร้างขึ้นใหม่เฉพาะสำหรับการทำธุรกรรมแต่ละครั้งเท่านั้น นั่นหมายความว่าแม้แฮกเกอร์จะสามารถดักจับข้อมูลระหว่างทางได้ ข้อมูลชุดนั้นก็จะกลายเป็นเพียงขยะดิจิทัลที่ไม่สามารถนำไปใช้ซ้ำหรือใช้ทำธุรกรรมอื่นได้เลย

นอกจากนี้ Token ยังมีคุณสมบัติเฉพาะตัวที่ไม่ซ้ำกันในแต่ละช่องทาง บัตรใบเดียวกันที่ถูกบันทึกไว้ใน Google Wallet และแอปพลิเคชันซื้อของออนไลน์ จะถูกสร้างเป็น Token สองชุดที่แตกต่างกันโดยสิ้นเชิง ทำให้การจำกัดความเสียหายทำได้อย่างมีประสิทธิภาพ ในขั้นตอนการชำระเงิน ร้านค้าจะส่งเพียงข้อมูล Token ผ่านเครือข่ายของ Visa ซึ่ง Visa จะทำหน้าที่เป็นผู้ถอดรหัสเพื่อแปลงกลับเป็นหมายเลข PAN จริง แล้วจึงส่งต่อให้ธนาคารผู้ออกบัตร (Issuer) ทำการอนุมัติรายการ กระบวนการนี้ทำให้มั่นใจได้ว่าข้อมูลบัตรจริงจะไม่เคยสัมผัสกับระบบที่มีความเสี่ยงภายนอก และแม้จะมีการทำวิศวกรรมย้อนกลับ (Reverse Engineer) ก็ไม่สามารถเข้าถึงข้อมูลจริงได้ เพราะกุญแจสำคัญอยู่ที่ Token Vault ของ Visa เท่านั้น

ลด Fraud สูงสุด 58% พร้อมดันยอดอนุมัติพุ่ง

จากการเปิดเผยข้อมูลสถิติการใช้งาน Network Token ทั่วโลกตลอดปี 2024 ที่ผ่านมา Visa ได้นำเสนอตัวเลขที่สะท้อนถึงประสิทธิภาพของระบบอย่างชัดเจน โดยพบว่าอัตราการเกิดการทุจริตหรือ Fraud นั้นลดลงเฉลี่ย 34 เปอร์เซ็นต์ และในบางกรณีสามารถลดลงได้สูงสุดถึง 58 เปอร์เซ็นต์เมื่อเทียบกับการเก็บข้อมูลแบบ PAN ปกติ ซึ่งเป็นผลโดยตรงจากการที่ข้อมูลที่ร้านค้าถืออยู่นั้นไม่สามารถนำไปใช้ต่อได้หากเกิดการรั่วไหล ในขณะเดียวกัน สิ่งที่น่าสนใจสำหรับภาคธุรกิจคืออัตราการอนุมัติรายการ (Approval Rate) ที่สูงขึ้นเฉลี่ยประมาณ 4.7 เปอร์เซ็นต์ โดยสาเหตุหลักมาจากความเชื่อมั่นของธนาคารผู้ออกบัตร ที่มองว่าธุรกรรมที่ผ่านกระบวนการ Tokenisation มีความเสี่ยงต่ำกว่า จึงมีแนวโน้มที่จะอนุมัติรายการได้ง่ายขึ้น

คุณจิตสุภา เชี่ยววิทย์ รองประธานอาวุโส ผู้อำนวยการฝ่ายพัฒนาธุรกิจภูมิภาคเอเชียแปซิฟิกของ Omise อธิบายเสริมด้วยข้อมูลที่น่าสนใจว่า ในอดีตหากมีรายการเข้ามา 100 รายการ อาจมีรายการที่ถูกปฏิเสธถึง 20 รายการ แต่เมื่อเปลี่ยนมาใช้ Network Token อัตราการปฏิเสธที่แท้จริงลดเหลือเพียง 5 เปอร์เซ็นต์เท่านั้น ส่วนอีก 15 เปอร์เซ็นต์ที่เหลือมักเกิดจากปัญหาทางเทคนิค เช่น บัตรหมดอายุหรือบัตรสูญหาย ซึ่งระบบ Token สามารถบริหารจัดการปัญหานี้ให้อัตโนมัติ ปัจจุบันทั่วโลกมี Token หมุนเวียนในระบบแล้วมากกว่า 16,000 ล้าน Token ซึ่งมากกว่าจำนวนบัตรพลาสติกที่มีอยู่จริงเสียอีก

Omise: จากสตาร์ทอัพไทยสู่ Top 25 ของสหรัฐฯ ในฐานะ Token Requestor

ความร่วมมือครั้งนี้ Omise ไม่ได้ทำหน้าที่เป็นเพียงทางผ่านของการชำระเงิน แต่รับบทบาทสำคัญในฐานะ 'Token Requestor' ที่ผ่านการรับรองมาตรฐานความปลอดภัยระดับโลก PCI DSS โดยทำหน้าที่เป็นตัวกลางเชื่อมต่อระหว่างร้านค้ากับ Token Vault ของ Visa ช่วยให้ร้านค้าสามารถเปลี่ยนผ่านสู่ระบบ Token ได้โดยแทบไม่ต้องแก้ไขระบบหลังบ้าน สำหรับประวัติของ Omise นั้นมีความน่าสนใจในฐานะบริษัทที่ก่อตั้งขึ้นในปี 2556 และเติบโตจนสามารถติดอันดับ Top 25 Payment Processor ในสหรัฐอเมริกา ปัจจุบันให้บริการร้านค้ากว่า 2,000 รายใน 5 ประเทศ ได้แก่ สหรัฐฯ ญี่ปุ่น ไทย มาเลเซีย และสิงคโปร์

Omise ได้นำเสนอบริการที่ช่วยอำนวยความสะดวกให้ร้านค้าอย่างครบวงจร ตั้งแต่การทำ Migration แปลงฐานข้อมูลบัตรเดิม (PAN) ให้เป็น Token ทั้งหมด การสร้าง Payment Link สำหรับให้ลูกค้าอัปเดตบัตร ไปจนถึงการให้ความรู้แก่ฝ่ายปฏิบัติการของร้านค้า ซึ่งกรณีศึกษาของ Coway แบรนด์เครื่องกรองน้ำชื่อดัง เป็นตัวอย่างที่ชัดเจนที่สุด โมเดลธุรกิจแบบ Subscription ของ Coway ได้รับประโยชน์มหาศาลจากระบบอัปเดตบัตรอัตโนมัติ ทำให้ Approval Rate เพิ่มขึ้นถึง 8.5–15 เปอร์เซ็นต์ คิดเป็นมูลค่ารายได้ที่กู้คืนกลับมาได้มหาศาล โดยไม่ต้องใช้พนักงานโทรตามลูกค้าเพื่อขอเลขบัตรใหม่ ขณะที่ TrueMoney ก็เริ่มเห็นผลลัพธ์ที่ดีขึ้นทั้งในแง่ Conversion Rate และประสบการณ์ลูกค้าที่หน้าเคาน์เตอร์ 7-Eleven

ความแตกต่างระหว่าง Network Token และ Encryption

ประเด็นหนึ่งที่มักถูกตั้งคำถามคือความแตกต่างระหว่างเทคโนโลยีนี้กับการเข้ารหัสข้อมูลแบบเดิม คุณจิตสุภาได้อธิบายเปรียบเทียบไว้อย่างเห็นภาพว่า Encryption หรือการเข้ารหัส คือการ 'ล็อคกุญแจ' ข้อมูลเดิมไว้ หากใครมีกุญแจก็สามารถไขออกมาเห็นข้อมูลจริงได้ แต่ Network Token คือการ 'เปลี่ยนเนื้อหาข้างใน' ไปเลย ไม่ใช่แค่การล็อค ประกอบกับการมี Dynamic Cryptogram ที่เปลี่ยนตลอดเวลา ทำให้การโจรกรรมข้อมูลเป็นไปได้ยากขึ้นอีกหลายเท่าตัว แม้จะมีกุญแจแต่ก็ยังต้องผ่านการรับรองมาตรฐาน PCI DSS อีกชั้นหนึ่งจึงจะเข้าถึงข้อมูลจริงได้

ก้าวต่อไปของสังคมไร้เงินสดไทย

สำหรับทิศทางในอนาคต Visa ได้วางโรดแมปการใช้งาน Network Token ครอบคลุมทั้งการชำระเงินผ่านอุปกรณ์ (Mobile xPay), การชำระเงินแบบสมาชิก (Card-on-File) และรูปแบบใหม่ที่กำลังจะมาถึงในช่วงปลายปีนี้คือ Click to Pay สำหรับการซื้อของแบบขาจร (Guest Checkout) ที่ผู้ใช้สามารถใช้เพียงเบอร์โทรศัพท์หรืออีเมลในการดึงข้อมูลบัตรมาจ่ายเงินได้ นอกจากนี้ ยังมีการพัฒนาฟีเจอร์ Recurrence API ที่จะช่วยแก้ปัญหา Pain Point ของผู้บริโภคในการยกเลิกบริการรายเดือน โดยจะอนุญาตให้ผู้ถือบัตรสามารถจัดการ ดูรายการ และเปิด-ปิดการชำระเงิน Subscription ได้ด้วยตนเองผ่านแอปพลิเคชันธนาคาร

แม้ว่าปัจจุบันธนาคารผู้ออกบัตรในไทยจะมีความพร้อมรองรับระบบนี้ 100 เปอร์เซ็นต์แล้ว แต่ความท้าทายยังอยู่ที่ฝั่งร้านค้าที่ต้องทยอยปรับเปลี่ยนระบบ โดย Visa และ Omise ได้วางกรอบเวลา 3-5 ปี เพื่อผลักดันให้ระบบนิเวศการชำระเงินไทยก้าวเข้าสู่ยุค Tokenisation อย่างสมบูรณ์ พร้อมระบุว่าในอนาคตอาจมีบทลงโทษสำหรับร้านค้าที่ไม่ปฏิบัติตามมาตรฐานความปลอดภัยใหม่นี้ นี่จึงไม่ใช่แค่ทางเลือก แต่คือกาทิศทางที่ชัดเจนของการทำธุรกิจในยุคดิจิทัลที่ความปลอดภัยต้องมาควบคู่กับความสะดวกสบาย