что такое токен банковской карты
Токенизация в России: Как будет работать «безопасная» технология бесконтактных платежей от Visa и Mastercard
К концу 2016 года в России должны заработать платежные мобильные приложения Apple Pay, Samsung Pay и Android Pay на основе бесконтактной технологии. Это станет возможно, после того, как Visa и Mastercard совместно с Национальной системой платежных карт внедрят в стране сервис токенизации, рассказали «Ведомости». Мы решили чуть подробнее разобраться, что это за система, как она работает и какой от нее, в конечном итоге, прок.
Что это такое
Начнем с терминов. В статье по ссылке суть технологии объяснена не очень доходчиво. Да, есть некий ссылочный номер (токен), по которому сервис продавца идентифицирует клиента и запускает перевод денег. В своей основе токен – это нечто с очень низкой стоимостью, заменяющее нечто с высокой стоимостью. Точно также как фишка в казино обозначает наличность, пишет в блоге The Sequent Каушик Рой.
В системе электронных платежей токенизация стала использоваться для снижения рисков безопасности при сборе и передаче важных данных. Например, кредитного персонального номера PAN. В системе мобильной коммерции она сделала возможной бесконтактные платежи.
Рост рынка сдерживался лишь недоверием клиентов мобильным платежным системам. В ответ на этот запрос объединение EMV (Europay, Visa и Mastercard) выработало в начале 2014 года свой технический стандарт.
Как все будет работать
Вот как суть токенизации объясняется в блоге API-разработчика Джея Манчиокки на Mashery: «Токенизация включает в себя процесс замены «чувствительных» финансовых элементов данных их цифровыми и «не чувствительными» эквивалентами (токенами), которые сами по себе не имеют никакой ценности и не могут быть использованы злоумышленниками. Токены могут создаваться через математические формулы или через буквенно-цифровые случайные генераторы. Они призваны защитить любую персональную информацию, любые финансовые операции, включая торговлю на бирже».
Вместо того, чтобы передавать финансовые данные напрямую, мобильные платежные платформы будут использовать токены для подтверждения платежа. Поскольку процесс генерации токенов, как и сами они, не содержит никакой актуальной финансовой информации, считается, что такой способ оплаты в m-commerce на настоящий момент самый надежный. Обратный инжиниринг токена, к примеру, в PAN невозможен, утверждает автор блога Securosis.
Как все это работает на самом деле? Когда вы водите информацию о своей банковской карте на сайте продавца, она направляется на защищенный сетевой шлюз и специальное считывающее устройство, которое создает токен, чтобы провести транзакцию. Если сайт продавца взломан, эта информация будет для взломщиков бесполезной: никаких реальных данных о карте на нем нет. Вся оригинальная информация обитает в защищенном хранилище данных. Грубо говоря, в «облаке».
Кроме самих платежных систем, активно продвигающих новую идеологию и старающихся расширить географию ее применения, токенизация выгодна банкам и продавцам товаров или услуг. Дело не только в соображениях безопасности и привлечения на этой почве чувствительных к этой теме клиентов. Они сохранили за собой канал отслеживания операций клиента, который можно включить в программы лояльности.
Последняя спецификация EMV оставляет им эту возможность. В этой схеме последние 4 цифры PAN не обязательно постоянно токенизировать. Поэтому банки и продавцы могут, по-прежнему, отслеживать действия потребителей их товаров и услуг.
Еще одно преимущество токенизации для коммерческих компания состоит в том, что они будут тратить меньше средств на поддержку безопасности денежных переводов. Для небольших и средних торговых фирм это большое облегчение. Стандарты платежных систем (PCI) запрещают хранить информацию о кредитных картах на платежных терминалах ритейлеров или в их базах данных после транзакции. Для того чтобы стать участником этой системы, продавец обязан был устанавливать у себя дорогостоящие системы оперативного шифрования. Теперь достаточно отдать этот процесс на аутсорсинг оператору, который предоставляет услуги токенизации.
Насколько все эти плюсы новой технологии и уверения ее провайдеров в полной защищенности соответствуют реальности, российские пользователи смогут узнать уже совсем скоро.
Токенизация карточки: что это такое и зачем она вам нужна?
Интернет-платежи стали нормой для всех. Однако с развитием электронной коммерции не менее активно растет и киберпреступность. В противовес последней сервисы онлайн-платежей и платежные системы внедряют различные протоколы безопасности и технологии защиты данных пользователей.
В наши дни самой безопасной технологией защиты информации в сфере электронной коммерции является токенизация. Что это такое, зачем она нужна и как токенизировать свою карту для безопасных платежей в интернете, рассказываем далее.
Что такое токенизация с точки зрения защиты данных банковских карт?
Токенизация – это разновидность шифрования. В онлайн-транзакциях она используется для защиты данных банковских карточек. Например, когда вы хотите рассчитаться в выбранном интернет-магазине, или оплачиваете коммуналку, то в отведенном окошке вводите номер своей карты, ее срок действия и CVV. В этот момент вы сообщаете информацию о карте стороннему ресурсу, который может сохранять ее. А еще хуже – сохранять информацию недостаточно хорошо защищенной, что плохо для вас, и хорошо для злоумышленников.
А вот технология токенизации повышает безопасность платежей в интернет-среде. Она защищает данные пользователей во время онлайн-транзакций будь это оплата картой или смартфоном.
Как работает токенизация данных
В процессе покупки чего-либо в интернете есть три действующих лица. Вы – покупатель, сервис онлайн-платежей и допустим интернет-магазин, который продает корм для вашего кота. Этот магазин является партнером сервиса онлайн-платежей.
Если этот сервис использует токенизацию, вам нечего бояться. Во время такой операции информация о вашей банковской карте подается через защищенный сетевой шлюз и специальное устройство, которое шифрует данные в уникальный токен (шифр). И только потом сервис передает этот шифр дальше для осуществления транзакции.
То есть интернет-магазин, где вы совершаете покупки, не имеет доступа к данным вашей карты. Ему известен только токен. Даже если токеном, уникальным для каждой транзакции, завладеют третьи лица – они не смогут выполнить с ним никаких операций.
Наглядно о том, как работает токенизация рассказываем в нашем видео:
Как защитить свою карту здесь и сейчас
Очень просто, – необходимо включить ее токенизацию в сервисе онлайн-платежей. Например, компания Portmone использует технологии токенизации VISA Token Service и цифровую платформу MDES for Merchants от Mastercard. Это позволяет платежной системе Portmone обезопасить расчет картами VISA и Mastercard в интернете для своих клиентов.
Как токенизировать собственную карточку в сервисе Portmone.com
Если вы еще не зарегистрированы в сервисе Portmone, сделайте это на сайте portmone.com или загрузите наше приложение и зарегистрируйтесь в нем.
А дальше нужно выполнить следующие шаги:
В дальнейшем при оплате услуг, покупках в интернете и других транзакциях с помощью сервиса Portmone к вашей карте будет применяться токенизация. Будьте уверены в безопасности своих онлайн-платежей.
Мы также подготовили короткий видео-гайд, как токенизировать карту в нашей платежной системе. Смотрите, подключайте и пользуйтесь своими картами в интернете безопасно.
Автоматизация онлайн-платежей: что нужно знать торговцам о токенизации карт
В мире онлайн-платежей и тех, кто их обеспечивает – платежных провайдеров – безопасность конфиденциальной информации клиентов имеет первостепенное значение.
Ведь риски, которым подвергаются компании с тысячами клиентов, очень высоки. Ущерб от утери этих данных может оцениваться в миллионы долларов.
Мерчант не несет ответственности за нарушение использования платежной информации, так как не имеет к ней доступа. Но тот ущерб, который подобная ситуация может нанести вашему бизнесу, стоит самого дорого, что у вас есть – это ваша репутация и лояльность ваших клиентов. А это может повлечь за собой полное разрушение имиджа в глазах потребителей.
Все мы используем платежные системы уже не первый год и понимаем, как много уязвимостей существует еще на уровне обработки платежей. То есть, на стадии обмена информацией между банками и МПС. Во время этого процесса обычно используется два основных инструмента исключения фрода: шифрование и токенизация платежей.
Для этого еще в 2006 году был разработан стандарт безопасности индустрии платежных карт (PCI DSS). Согласно ему, платежный провайдер должен соответствовать ряду технических требований, чтобы обеспечивать информационную безопасность данных платежных карт. В рамках ежегодного подтверждения соответствия PCI DSS сервис-провайдер должен пройти процедуру проверки, которая по своей сути довольно длительная, так как затрагивает ряд сложных технических моментов.
Благодаря таким сервисам, как Google Pay и Apple Pay, а также улучшению работы систем мобильных платежей, токенизация стала одним из лучших способов безопасной передачи платежной информации.
Шифрование vs токенизация
Шифрование – это общий термин для любой методики, которая кодирует (хеширует) данные, что позволяет при необходимости преобразовать их в исходное состояние с использованием ключа или дешифратора. Это математический метод, который работает на основании алгоритмов.
Что такое токенизация банковских карт?
Платежный провайдер должен обеспечить дополнительные уровни защиты от фродеров, которые намерены похитить конфиденциальную информацию картодержателей. Поэтому для избежания мошенничества с банковскими картами индустрия платежных карт создала токенизацию.
Токенизация – это технология шифрования платежных данных, при которой номер карты и другая конфиденциальная информация заменяется на буквенно-цифровую комбинацию, случайно сгенерированную на основе алгоритма. Эти данные и будут «токеном».
Для того, чтобы обеспечить безопасную транзакцию, платежный провайдер или банк генерирует токен во время транзакции, при этом не передавая полный номер банковской карты. PSP хранит токены карт и токены транзакций в своей платежной системе, одновременно с этим у банка хранятся только данные по операциям. Таким образом, фродеры не смогут найти и взломать хранилище через сайт торговца, так как информация о транзакциях распределена между участниками платежа и всегда остается в безопасности.
Использование токена на примере Apple Pay:
А вот еще несколько фактов о токенизации банковских карт:
Вы сталкиваетесь с токенизацией банковских карт чаще, чем можете себе представить, так как они довольно популярны в e-commerce.
Регулярные платежи и Subscription Billing
Для проведения регулярных платежей или выставления счета по подписке, интернет-магазин либо любой другой сервис использует “сохраненную” банковскую карту. Таким образом работает много SaaS бизнесов, например Netflix, Xbox.
Покупка в один клик
Это еще один популярный способ оплаты. Например, интегрировав Platon в свой интернет-магазин, ваши клиенты могут единоразово ввести данные по карте, а последующие покупки совершать всего в один клик с помощью одного из методов оплаты — Masterpass.
Apple Pay и Google Pay
Поддержка NFC платежей. Принцип работы таких платежных систем как Apple Pay и Google Pay также основан на токенах.
Покупки внутри приложений
Если вы покупаете что-то в приложении, скажем, UberEats, Glovo, вы, опять же, имеете дело с токенами. Эти сервисы используют платежные токены, одновременно с этим экономя время пользователя при повторном вводе информации о банковской карте.
Итак, токенизация – это гибкий и безопасный метод осуществления платежей, который уже давно используется в множестве компаний. И, независимо от вида вашего бизнеса, будь это интернет-магазин или традиционный ритейл – осуществлять регулярные платежи без токенизации на данный момент невозможно.
Токенизация карт в E-commerce: что это такое и как работает?
Что общего с Apple Pay и Google Pay
Те читатели, которые представляют, как работают Apple Pay и Google Pay (а кто не знает — вот наша статья про запуск *Pay), увидят тут знакомые слова.
Если коротко, то одна из особенностей технологий *Pay заключается в том, что плательщику не нужно передавать магазину данные своей банковской карты. Он один раз обменивает их на специальный цифровой токен и дальше, не подвергаясь риску перехвата данных карты, при платеже использует только этот токен. А преимущество в том, что токен работает только вместе с одноразовой криптограммой, которая генерируется на телефоне плательщика, а вне телефона эту криптограмму создать не получится. К тому же этими токенами легко управлять — удалять или создавать новые — дело одной минуты в онлайне, никаких походов в банк и прочей бюрократии.
Пока запомним эти особенности токенизации карт на устройствах пользователей:
Запомнили? А теперь перейдем к токенизации карт для E-commerce, иначе говоря, для онлайн-платежей в интернет-магазинах.
Итак, что такое токенизация в E-commerce
Вообще, токенизация карты — это обмен конфиденциальных данных банковской карты на специальный токен, который позволяет оплачивать покупки с помощью этой карты.
Конфиденциальные данные карты — это ее номер (PAN — Primary Account Number) и срок действия.
Если для подключения карты в *Pay инициатором является сам держатель карты, то токенизацию для E-commerce инициирует интернет-магазин. Но зачем (и с какой стати)?
Наверняка многие из вас пользуются сервисами с подписками: будь то ежемесячная оплата музыки, фильмов или, например, коммунальных услуг. Как оформляется эта подписка? Вы заходите на сайт интернет-магазина, вводите данные своей карты и ставите галочку, подтверждающую ваше согласие на то, что магазин сохранит данные вашей карты (PAN и срок действия) и сможет самостоятельно инициировать оплату за конкретную услугу.
Нужно понимать, что такое действие подразумевает, что магазин должен где-то сохранить данные карты. Тут обычно два варианта:
Что это дает интернет-магазинам?
*Мы сравнивали платежи за этот апрель в крупном онлайн-кинотеатре (MCC 4899) — привязанными картами без 3DS, без учета неуспешных платежей из-за нехватки денег на карте.
Технические аспекты
Для любителей копнуть чуть глубже, расскажу о технологии токенизации карт и ее запуске в Яндекс.Кассе — как все это выглядит изнутри нашего платежного решения.
Интеграция с платежными системами
Это описание API условное и обобщенное — нетрудно догадаться, что у каждой платежной системы разные форматы запросов/ответов, алгоритмы подписи и шифрования данных в запросах, и есть различные нюансы в бизнес-логике. Поэтому все эти детали и различия мы скрыли от остальной нашей системы, создав отдельный сервис токенизации карт, который является адаптером к платежным системам и полностью отвечает за жизненный цикл токенов.
Токенизация в Яндекс.Кассе
Яндекс.Касса представляет из себя большую систему по приему платежей для интернет-магазинов. Она состоит из многих десятков различных сервисов: backend-, frontend-приложения, BI-сервисы. Они обеспечивают прием платежа пользователя различными способами, перевод денежных средств магазину, управление платежами через личный кабинет магазина, аналитические сервисы и тому подобное. И как именно сюда встроилась токенизация карт?
Главный вопрос: в какой момент создавать токен для банковской карты?
В API Яндекс.Кассы есть возможность сохранять выбранный способ оплаты для последующих платежей в будущем, мы это называем автоплатежи.
Это может происходить как при привязке карты к аккаунту пользователя в личном кабинете магазина, так и при подписке на периодической основе, когда платежи с карты будут проводиться автоматически. В обоих сценариях при создании платежа магазин по API передает параметр save_payment_method: true, и после успешного платежа мы выдаем магазину payment_method_id — идентификатор сохраненного способа оплаты, с помощью которого он сможет проводить новые платежи.
Вот он, этот момент. Токены созданы как раз для платежей, инициированных магазином. Поэтому сразу после проведения платежа с сохранением способа оплаты мы асинхронно ставим нашему сервису токенизации задачу создать токен для пары «карта и магазин».
Что же сами платежные системы делают в момент токенизации карты?
Они обращаются в банк-эмитент, с запросом на создание токена (как это происходит и при создании токенов *Pay), и банк выпускает токен для данного магазина. Банк также может уведомить об этом держателя карты и отобразить созданный токен в его личном кабинете.
Как происходит платеж токеном?
Пожалуй, тут понадобится некоторая иллюстрация, как вообще проходит платеж ранее сохраненной картой, который инициирует интернет-магазин:
Итак, при платеже ранее сохраненным способом магазин передает только его идентификатор — payment_method_id. По этому идентификатору сервис платежей картами находит данные (PAN и срок действия) карты и передает их одному из банков-эквайеров, который далее общается с платежной системой карты.
С токенами в этом сценарии добавляется еще один шаг:
Вместо заключения
Токенизация в E-commerce — это новый этап развития приема платежей, повышающий удобство для всех участников процесса оплаты. Мы ожидаем, что в ближайшее время технологию поддержат многие российские банки и провайдеры — и она станет новым стандартом платежного рынка.
Конечно, рассказ получился скорее обзорным, но я надеюсь, что каждый читатель найдет в нем что-то полезное для себя — повысит свой уровень финансовой грамотности, узнает о новинках в финтехе или, может, найдет идею для развития своего бизнеса.
Я всё, будьте здоровы и не болейте!
Михаил Воронько: «Фактически степень мошенничества по токенизированным картам сведена к минимуму»
Количество бесконтактных платежей растет. А с ним и число мошенничеств. Могут ли так называемые токенизированные карты обезопасить владельца от кражи средств — с этим вопросом Credits.ru обратился к Михаилу Воронько, директору по развитию розничного бизнеса банка «Зенит».
— Платформа токенизации банковских карт в России запущена в 2016 году MasterCard — благодаря этому россияне получили доступ к Apple Pay и Samsung Pay. Какие ноу-хау появились за прошедшие два года?
— Токенизация — технология, позволяющая обезопасить электронные платежи с помощью надежной системы шифрования данных. Платформа токенизации карт MasterCard, внедренная в России в 2016 году, быстро набрала популярность и серьезно разрослась. По статистике международных платежных систем Россия занимает лидирующие места в мире как по количеству операций по токенам, так и по количеству токенизированных карт.
Есть все предпосылки к тому, что через какое-то время может произойти отказ от значительной части пластиковых карт с заменой на виртуальные. На российском банковском рынке уже есть примеры банков, которые предлагают определенные тарифные планы к картам, не имеющим физического носителя. Развитию виртуальных карт способствует и то, что банкоматные сети постепенно переходят на обслуживание бесконтактных карт. Банкоматы некоторых банков уже оборудованы ридерами, поддерживающими бесконтактную технологию NFC. В таких банкоматах виртуальные карты могут обслуживаться аналогично обыкновенным картам на пластиковом носителе. Международные платежные системы предполагают, что в течение ближайших лет система сертификации токенов банками-участниками международных платежных систем станет обязательной. Если сейчас решение о токенизации принимает сам банк-эмитент, то через какое-то время без возможности токенизации карточный продукт нельзя будет эмитировать вовсе. Кроме того, за прошедшее время изменились и сами продукты электронных кошельков: появляются переводы внутри кошельков, в частности, по этому направлению уже идет Samsung Pay.
— Токенизация — это способ шифрования электронных платежей, когда номер карты заменяется кодом. Считается системой максимально защищенной от мошенников, так ли это?
— Токенизированные транзакции защищены самыми передовыми разработками в области современной криптографии. Токены могут использоваться для проведения транзакций с физических точек оплат, при покупках через приложения или для совершения онлайн-платежей. Токенизация банковских карт предполагает замену 16-значного номера платежной карты (PAN) на специально сгенерированный системой. Но заменой PAN технология не ограничивается: происходит привязка нового сформированного PAN к конкретному устройству (смартфону, планшету, часам и пр.). Соответственно, количество проверок увеличивается, и благодаря этому токенизированная карта обладает существенно большей степенью криптостойкости по сравнению с обычной пластиковой картой.
Фактически степень мошенничества по токенизированным картам сведена к минимуму.
— Можете ли оценить объемы токенизированных карт в России? Как менялась тенденция за последние два года?
— Количество NFC-платежей с появлением токенов возросло кратно. Если ранее рынок бесконтактных платежей развивался медленно, то с появлением возможности оплаты мобильными устройствами через токены произошло стремительное увеличение количества таких операций и рост рынка. Статистика показывает, что токенизированная карта характеризуется возрастающим количеством операций по сравнению с периодом по той же карте до момента ее токенизации. Средняя сумма чека в ряде случаев может уменьшаться, но при этом общий объем безналичных операций по счету растет. В результате рентабельность по таким картам обычно возрастает на 10% и более.
— Сегодня много говорят о блокчейне и криптовалютах — может ли токен стать криптовалютой? Или, напротив, не вытеснит ли криптовалюта из широкого применения бесконтактные расчеты с карточных счетов?
— Не уверен, что в ближайшем будущем криптовалюта в существующем варианте будет пользоваться массовым спросом на розничном рынке. Скорее всего, пройдет еще несколько этапов, которые будут направлены на существенное преобразование технологии и даже идеологии криптовалют, значительное влияние может оказать фактически уже начавшийся процесс деглобализации мировой экономики. В конечном итоге криптовалюты будут представлять собой не совсем то, чем они являются сейчас. Безусловно, усилится роль государства: оно будет стремиться установить контроль над такого рода технологиями, ввести законодательное регулирование возникших рынков. Уже сейчас становится ясно, что во многом это вопрос государственной безопасности.
Думаю, что в конечном итоге рынок криптовалюты не будет таким «диким» и нерегулируемым, как сейчас. А уже после формирования правовой базы рынка можно будет говорить о его перспективах, тенденциях и темпах развития. Но пока делать выводы преждевременно.
Рынок криптовалют в современном мире достаточно нишевой, не для массового потребителя. И его наличие, развитие сейчас очень важны для будущего.
— В будущем на какой вид платежей вы делаете ставку?
— Доля наличных платежей стала устойчиво сокращаться сравнительно давно, растет число операций по картам. В скором времени мы приблизимся к ситуации, что половина всех платежей в России будет осуществляться безналичным способом. Немалую роль в увеличении доли безналичных платежей сыграют и электронные кошельки платежных систем — платежи по токенам, о которых мы говорили выше. Переходу к безналичным расчетам активно поспособствует развитие мобильной коммерции, а также сервисов из мира интернета вещей.
— Какие предложения для клиентов по токенизированным картам есть на банковском рынке на сегодняшний день?
— Сервис токенизации для клиента находится примерно на одном уровне во всех банках, потому что токенизация — это технология. То есть токенизированной может быть любая карта, но ее конкурентные преимущества будут зависеть от того, карту с каким тарифным планом использует клиент.
Сама технология — способ защиты для осуществления безопасных платежей — достаточно универсальная, отличия между банками могут быть разве что в способе подключения электронного кошелька: с помощью sms, мобильного приложения или обращения в колл-центр банка. В банке «Зенит», например, карту можно токенизировать наиболее простыми способами, воспользовавшись приложением в смартфоне клиента (Apple Pay, Samsung Pay или Google Pay), или обратившись в контакт-центр. Процедура займет всего пару минут, и по факту ее завершения клиенту сразу будет доступен тарифный план его банковской карты в смартфоне.
Все новые технологии в современном розничном банкинге направлены на то, чтобы сделать повседневную жизнь клиентов банка проще и удобнее, используя все доступные технологии. Благодаря новейшим разработкам в области защиты данных, транзакции по токенизированным картам всегда безопасны.