Токенизация карт что это
Михаил Воронько: «Фактически степень мошенничества по токенизированным картам сведена к минимуму»
Количество бесконтактных платежей растет. А с ним и число мошенничеств. Могут ли так называемые токенизированные карты обезопасить владельца от кражи средств — с этим вопросом Credits.ru обратился к Михаилу Воронько, директору по развитию розничного бизнеса банка «Зенит».
— Платформа токенизации банковских карт в России запущена в 2016 году MasterCard — благодаря этому россияне получили доступ к Apple Pay и Samsung Pay. Какие ноу-хау появились за прошедшие два года?
— Токенизация — технология, позволяющая обезопасить электронные платежи с помощью надежной системы шифрования данных. Платформа токенизации карт MasterCard, внедренная в России в 2016 году, быстро набрала популярность и серьезно разрослась. По статистике международных платежных систем Россия занимает лидирующие места в мире как по количеству операций по токенам, так и по количеству токенизированных карт.
Есть все предпосылки к тому, что через какое-то время может произойти отказ от значительной части пластиковых карт с заменой на виртуальные. На российском банковском рынке уже есть примеры банков, которые предлагают определенные тарифные планы к картам, не имеющим физического носителя. Развитию виртуальных карт способствует и то, что банкоматные сети постепенно переходят на обслуживание бесконтактных карт. Банкоматы некоторых банков уже оборудованы ридерами, поддерживающими бесконтактную технологию NFC. В таких банкоматах виртуальные карты могут обслуживаться аналогично обыкновенным картам на пластиковом носителе. Международные платежные системы предполагают, что в течение ближайших лет система сертификации токенов банками-участниками международных платежных систем станет обязательной. Если сейчас решение о токенизации принимает сам банк-эмитент, то через какое-то время без возможности токенизации карточный продукт нельзя будет эмитировать вовсе. Кроме того, за прошедшее время изменились и сами продукты электронных кошельков: появляются переводы внутри кошельков, в частности, по этому направлению уже идет Samsung Pay.
— Токенизация — это способ шифрования электронных платежей, когда номер карты заменяется кодом. Считается системой максимально защищенной от мошенников, так ли это?
— Токенизированные транзакции защищены самыми передовыми разработками в области современной криптографии. Токены могут использоваться для проведения транзакций с физических точек оплат, при покупках через приложения или для совершения онлайн-платежей. Токенизация банковских карт предполагает замену 16-значного номера платежной карты (PAN) на специально сгенерированный системой. Но заменой PAN технология не ограничивается: происходит привязка нового сформированного PAN к конкретному устройству (смартфону, планшету, часам и пр.). Соответственно, количество проверок увеличивается, и благодаря этому токенизированная карта обладает существенно большей степенью криптостойкости по сравнению с обычной пластиковой картой.
Фактически степень мошенничества по токенизированным картам сведена к минимуму.
— Можете ли оценить объемы токенизированных карт в России? Как менялась тенденция за последние два года?
— Количество NFC-платежей с появлением токенов возросло кратно. Если ранее рынок бесконтактных платежей развивался медленно, то с появлением возможности оплаты мобильными устройствами через токены произошло стремительное увеличение количества таких операций и рост рынка. Статистика показывает, что токенизированная карта характеризуется возрастающим количеством операций по сравнению с периодом по той же карте до момента ее токенизации. Средняя сумма чека в ряде случаев может уменьшаться, но при этом общий объем безналичных операций по счету растет. В результате рентабельность по таким картам обычно возрастает на 10% и более.
— Сегодня много говорят о блокчейне и криптовалютах — может ли токен стать криптовалютой? Или, напротив, не вытеснит ли криптовалюта из широкого применения бесконтактные расчеты с карточных счетов?
— Не уверен, что в ближайшем будущем криптовалюта в существующем варианте будет пользоваться массовым спросом на розничном рынке. Скорее всего, пройдет еще несколько этапов, которые будут направлены на существенное преобразование технологии и даже идеологии криптовалют, значительное влияние может оказать фактически уже начавшийся процесс деглобализации мировой экономики. В конечном итоге криптовалюты будут представлять собой не совсем то, чем они являются сейчас. Безусловно, усилится роль государства: оно будет стремиться установить контроль над такого рода технологиями, ввести законодательное регулирование возникших рынков. Уже сейчас становится ясно, что во многом это вопрос государственной безопасности.
Думаю, что в конечном итоге рынок криптовалюты не будет таким «диким» и нерегулируемым, как сейчас. А уже после формирования правовой базы рынка можно будет говорить о его перспективах, тенденциях и темпах развития. Но пока делать выводы преждевременно.
Рынок криптовалют в современном мире достаточно нишевой, не для массового потребителя. И его наличие, развитие сейчас очень важны для будущего.
— В будущем на какой вид платежей вы делаете ставку?
— Доля наличных платежей стала устойчиво сокращаться сравнительно давно, растет число операций по картам. В скором времени мы приблизимся к ситуации, что половина всех платежей в России будет осуществляться безналичным способом. Немалую роль в увеличении доли безналичных платежей сыграют и электронные кошельки платежных систем — платежи по токенам, о которых мы говорили выше. Переходу к безналичным расчетам активно поспособствует развитие мобильной коммерции, а также сервисов из мира интернета вещей.
— Какие предложения для клиентов по токенизированным картам есть на банковском рынке на сегодняшний день?
— Сервис токенизации для клиента находится примерно на одном уровне во всех банках, потому что токенизация — это технология. То есть токенизированной может быть любая карта, но ее конкурентные преимущества будут зависеть от того, карту с каким тарифным планом использует клиент.
Сама технология — способ защиты для осуществления безопасных платежей — достаточно универсальная, отличия между банками могут быть разве что в способе подключения электронного кошелька: с помощью sms, мобильного приложения или обращения в колл-центр банка. В банке «Зенит», например, карту можно токенизировать наиболее простыми способами, воспользовавшись приложением в смартфоне клиента (Apple Pay, Samsung Pay или Google Pay), или обратившись в контакт-центр. Процедура займет всего пару минут, и по факту ее завершения клиенту сразу будет доступен тарифный план его банковской карты в смартфоне.
Все новые технологии в современном розничном банкинге направлены на то, чтобы сделать повседневную жизнь клиентов банка проще и удобнее, используя все доступные технологии. Благодаря новейшим разработкам в области защиты данных, транзакции по токенизированным картам всегда безопасны.
iPhone против мошенников
На днях Visa и MasterСard объявили о внедрении новой технологии безопасности – токенизации. Первым примером ее внедрения стал платежный сервис Apple Pay, появившийся в смартфоне Apple iPhone 6. Портал Банки.ру разбирался, как работает технология, от чего она может защитить плательщиков, а от чего не может.
Безопасность карточных платежей – давно наболевший вопрос. Банковская карта является удобнейшим платежным инструментом для ее держателя, но в то же время позволяет злоумышленнику «выдаивать» счет жертвы, не вставая из-за компьютера. Дело, конечно, не в сознательном потакании мошенникам со стороны платежных систем. Причина в откровенном устаревании концепции.
То, что 50 лет назад считалось технологической вершиной, превратилось в зияющую дыру, и даже многочисленные «костыли» (EMV, 3D-Secure и т. д.) не могут обеспечить держателям карт действительно надежную защиту от мошенников-кардеров. Но пока на рынке нет ничего столь же удобного и распространенного, как платежные карты, приходится пользоваться «костылями» – и на прошлой неделе появился очередной, в виде технологии токенизации.
Суть токенизации, в общем случае, состоит в замене конфиденциальной информации (в данном случае номера платежной карты) специальным кодом ограниченного действия. Основной проблемой карточных платежей, с которой и должна справиться токенизация, является необходимость сообщать продавцу данные своей карты, будь то офлайн-платеж (в магазине) или онлайн-платеж (в Интернете). Если компания хранит данные карт своих клиентов, например, для взимания абонентской платы или возможности возврата платежа, до них может добраться хакер. Если не хранит – хакер может перехватить данные во время их передачи на платежный шлюз. Даже в обычных магазинах крупной торговой сети POS-терминалы могут быть заражены троянцем, крадущим данные карт еще до их шифрования и отправки на платежный шлюз.
Таких инцидентов в последнее время случается немало – чего только стоит слив данных 9 млн карт из системы компании Adobe или 110 млн карт через POS-терминалы американской торговой сети Target. Но теперь Visa и MasterСard решили положить этому конец.
Работает токенизация достаточно просто. В смартфон загружаются специальные коды-токены, соответствующие платежным картам владельца. Причем загружаются обязательно в защищенный чип Secure Element. Такими чипами обладают некоторые Android-смартфоны, а в шестом поколении им обзавелся и Apple iPhone. Платежное приложение при совершении оплаты онлайн или офлайн через бесконтактный (NFC) интерфейс сообщает магазину уже не данные выбранной карты, а токен. Магазин, получив этот токен, передает его в соответствующий сервис токенизации, Visa Token Service (VTS) или MasterCard Digital Enablement Service (MDES). VTS/MDES проверяет принадлежность токена и передает необходимые данные банку-эмитенту для авторизации платежа.
«Visa Token Service базируется на глобальном стандарте токенизации, о котором было объявлено год назад и который призван сделать более безопасными как онлайн-платежи, так и платежи с помощью мобильных устройств. Данный сервис заменяет конфиденциальные данные пластиковой карты цифровым токеном, который может быть использован для безопасного проведения онлайн- и мобильных платежей, – рассказали порталу Банки.ру в российском отделении компании Visa. – Этот процесс прозрачен для владельцев счетов и торговых точек. Когда потребители совершают платеж с помощью своих новых устройств Apple, для процесса оплаты используется токен, а не данные карты. Настоящие номера кредитных и дебетовых карт, используемых для покупок с помощью Apple Pay, не хранятся ни на устройстве Apple, ни на серверах Apple».
Как утверждает Visa, токен можно привязать не только к смартфону, но и к магазину и к какому-либо типу платежа: «Если цифровой токен будет украден в результате утечки информации, он не может быть эффективно использован злоумышленником для совершения платежа, поскольку не содержит настоящего номера счета и подходит для совершения покупок только с помощью конкретного устройства, в определенной торговой точке или для определенного типа покупки».
Получается, что если, к примеру, троянец в POS-терминале перехватит полученный токен, использовать его вне этого магазина и с помощью другого смартфона уже не выйдет: VTS или MDES такой платеж не пропустит. С онлайн-платежом та же история: если злоумышленникам удастся взломать и расшифровать базу токенов, хранимых интернет-сервисом, при попытке платежа через какой-либо другой интернет-сервис токены будут заблокированы сервисом токенизации. В любом случае скомпрометированный токен можно заблокировать и перевыпустить, что гораздо проще, чем перевыпускать банковскую карту.
Как рассказал порталу Банки.ру управляющий директор Optima Infosecurity (группа Optima) Неманья Никитович, «токенизация может защитить от атак типа Man-in-the-middle (атака «человек посередине», когда хакер становится промежуточным звеном при передаче данных. – Прим. ред.). Это самый опасный и один из самых распространенных типов атак, основанный на компрометации канала связи, когда злоумышленник получает возможность удалять или искажать информацию. При этом о его присутствии никто не догадывается. Также токенизация защищает от атак на хранилище данных. Вообще, токенизация персональных данных клиентов – не такой уж новый, хорошо проверенный способ защиты от рисков».
Но, как утверждает глава представительства компании SafeNet в России и СНГ Сергей Кузнецов, токенизация не устраняет риски полностью: «Поскольку сегодня при обработке платежей используется все больше различных технологий, увеличивается вероятность того, что что-то может пойти не так. В большинстве сетей обработки платежей предусмотрены сценарии резервирования, позволяющие обрабатывать платежи даже в случае какого-либо сбоя в системе. Например, это возможность использования магнитной полосы в терминалах с поддержкой EMV. К сожалению, в подобных ситуациях приходится идти на компромисс и злоумышленники могут использовать подобные ситуации, чтобы обойти новые, более совершенные механизмы защиты».
Как бы там ни было, но в России эта технология заработает не сегодня и не завтра. Как сообщили порталу Банки.ру в пресс-службе компании Visa, «первоначально Visa Token Service стартует в октябре в США для клиентов Apple, у которых есть действующие карточные счета Visa в тех банках США, которые подключены к проекту. Apple предложит держателям карт Visa присоединиться к Apple Pay. Для внедрения сервиса в России наш рынок должен пройти несколько подготовительных этапов: развитие сети приема бесконтактных платежей, внедрение токенизации банками, появление устройств в продаже».
Важно понимать, что токенизация будет работать лишь при платеже через мобильное платежное приложение (пока это только Apple Pay) или при NFC-платеже. Речь о защите онлайн-платежей с обычного компьютера и контактных платежей в магазинах пока не идет.
Что такое блокчейн токенизация и как она меняет мир
Перевод статьи Брэйди Луо, одного из основателей платформы everiToken, которая выступает коммерческой альтернативой Ethereum по созданию онлайн-сервисов на базе блокчейна.
Современная цифровая экономика основана на токенизации, которой пользуются миллиарды людей каждый день. Токенизация – это процесс замещения ценностей (таких как деньги, акции, номера кредитных карт, медицинские записи) на токены, отражающие эти ценности, что делает торговлю ими проще и безопаснее. Это может показаться далёким, но токенизация оказывает глубокое влияние на нашу жизнь и может преобразить целые отрасли.
Оплата товаров через интернет была бы намного более рискованным делом, если бы не токенизация. Конфиденциальные данные кредитной карты преобразуются в цифровой токен, который бесполезен для хакеров, но используется банками для завершения платежа. Компании выпускают цифровые заменители акций и других ценных бумаг вместо бумажных носителей, потому что это безопаснее и эффективнее.
Хотя люди уже используют токены ежедневно (большинство и не подозревают об этом), истинный потенциал токенизации раскрывается только сейчас благодаря влиянию блокчейна. Блокчейн позволяет безопасно и эффективно токенизировать широкий спектр реальных активов и бизнесов, предоставляя новые преимущества и приложения для самых разных отраслей, таких как искусство или здравоохранение. Фактически, токенизация с помощью блокчейна позволила создать совершенно новый инструмент для торговли и сбора средств – секьюрити-токена.
Сбор средств с помощью размещения секьюрити-токенов (STO) часто обходится дешевле, чем традиционные методы, такие как венчурный капитал или первичное размещение акций (IPO). При этом соблюдаются нормативные требования, увеличивается скорость выдачи и предоставляется возможность ориентироваться на более широкий круг потенциальных инвесторов. Инвесторы могут повысить уровень ликвидности активов быстрее, чем при венчурном капитале, круглосуточно торговать на вторичных рынках и быстрее проводить транзакции, а мелкие инвесторы могут участвовать в крупных институциональных сделках.
Тем не менее, токенизация продолжает сталкиваться с проблемами. Примеров её применения всё ещё немного, а это означает, что рынок остается непроверенным. В результате институциональные игроки неохотно участвуют в больших проектах по токенизации, и вследствие этого на рынке не хватает ликвидности. Эта институциональная отчужденность также частично объясняется сохраняющейся нормативно-правовой неопределенностью с наличием вопросов, оставшимися без ответа. Не всегда ясно, когда именно происходит расчет по основным активам. Отсутствие стандартизации протоколов и технологий приводит к проблемам совместимости и внедрения. Хранение цифровых активов также не совсем проверено, поэтому является отчасти рискованным.
Токенизация представляет убедительное решение этих проблем, открывая двери для массового владения ценными предметами коллекционирования. Например, право собственности на Микеланджело можно разделить между десятками тысяч людей, которые могут владеть «акциями» картины, что позволяет им получать дивиденды от выставочных сборов и продавать свои акции в любое время на вторичной бирже. Современные художники также могут использовать токенизацию для сбора средств на новые работы.
Эмитенты, такие как корпорации и правительства, должны убедиться, что достаточное количество инвесторов предлагают адекватную цену за их долговые обязательства по привлекательным процентным ставкам. Если слишком мало инвесторов заинтересованы в приобретении долга, эмитенты должны либо повысить процентные ставки по своим облигациям, либо согласиться на меньшую сумму привлеченных средств, чем первоначально планировали. Это потенциально вынуждает эмитентов искать дополнительное финансирование и ухудшает их кредитный рейтинг. Токенизация долгов позволяет мелким инвесторам участвовать в покупке выпущенных долговых обязательств, что увеличивает общий пул инвесторов и помогает эмитентам достичь своих целевых показателей финансирования. Достаточно большой пул инвесторов создаст давление для понижения процентных ставок и позволит эмитентам обеспечить финансирование по более дешевым ставкам.
MintHealth использует блокчейн-решение для предоставления защищенной и целостной записи медицинских данных пациента, разработанное для обеспечения взаимодействия с различными медицинскими учреждениями при сохранении полной анонимности пациента. Швейцарский фонд HIT (Health Information Traceability) также проводит токенизацию данных о пациентах, стимулируя людей делиться своими медицинскими данными с медицинскими страховыми компаниями. Emrify разрабатывает «Паспорт здоровья», децентрализованную личную медицинскую карту, хранящуюся в блокчейне Ethereum, которая призвана обеспечить широкому кругу медицинских работников быстрый доступ к медицинским данным. Zhiyuan Hui, крупнейшая в мире организация волонтеров, объединилась с everiToken для токенизации данных о волонтерстве для своих 71 млн пользователей в 1 квартале 2019 года. MDW заключил партнерские отношения с Bitfury и Longensis, чтобы создать рынок для токенизированных радиологических данных.
Французская страховая компания AXA выпустила страховой продукт на базе блокчейна под названием fizzy. Etherisc запустил страхование задержек рейсов и разрабатывает ряд других. Швейцарская компания B3i выпустила продукт страхования имущества от несчастных случаев в январе 2019 года. Insurwave, совместное предприятие EY и Guardtime, используется крупными коммерческими перевозчиками для страхования морских судов.
Оригинальные источники: 1 часть и 2 часть статьи.
Автоматизация онлайн-платежей: что нужно знать торговцам о токенизации карт
В мире онлайн-платежей и тех, кто их обеспечивает – платежных провайдеров – безопасность конфиденциальной информации клиентов имеет первостепенное значение.
Ведь риски, которым подвергаются компании с тысячами клиентов, очень высоки. Ущерб от утери этих данных может оцениваться в миллионы долларов.
Мерчант не несет ответственности за нарушение использования платежной информации, так как не имеет к ней доступа. Но тот ущерб, который подобная ситуация может нанести вашему бизнесу, стоит самого дорого, что у вас есть – это ваша репутация и лояльность ваших клиентов. А это может повлечь за собой полное разрушение имиджа в глазах потребителей.
Все мы используем платежные системы уже не первый год и понимаем, как много уязвимостей существует еще на уровне обработки платежей. То есть, на стадии обмена информацией между банками и МПС. Во время этого процесса обычно используется два основных инструмента исключения фрода: шифрование и токенизация платежей.
Для этого еще в 2006 году был разработан стандарт безопасности индустрии платежных карт (PCI DSS). Согласно ему, платежный провайдер должен соответствовать ряду технических требований, чтобы обеспечивать информационную безопасность данных платежных карт. В рамках ежегодного подтверждения соответствия PCI DSS сервис-провайдер должен пройти процедуру проверки, которая по своей сути довольно длительная, так как затрагивает ряд сложных технических моментов.
Благодаря таким сервисам, как Google Pay и Apple Pay, а также улучшению работы систем мобильных платежей, токенизация стала одним из лучших способов безопасной передачи платежной информации.
Шифрование vs токенизация
Шифрование – это общий термин для любой методики, которая кодирует (хеширует) данные, что позволяет при необходимости преобразовать их в исходное состояние с использованием ключа или дешифратора. Это математический метод, который работает на основании алгоритмов.
Что такое токенизация банковских карт?
Платежный провайдер должен обеспечить дополнительные уровни защиты от фродеров, которые намерены похитить конфиденциальную информацию картодержателей. Поэтому для избежания мошенничества с банковскими картами индустрия платежных карт создала токенизацию.
Токенизация – это технология шифрования платежных данных, при которой номер карты и другая конфиденциальная информация заменяется на буквенно-цифровую комбинацию, случайно сгенерированную на основе алгоритма. Эти данные и будут «токеном».
Для того, чтобы обеспечить безопасную транзакцию, платежный провайдер или банк генерирует токен во время транзакции, при этом не передавая полный номер банковской карты. PSP хранит токены карт и токены транзакций в своей платежной системе, одновременно с этим у банка хранятся только данные по операциям. Таким образом, фродеры не смогут найти и взломать хранилище через сайт торговца, так как информация о транзакциях распределена между участниками платежа и всегда остается в безопасности.
Использование токена на примере Apple Pay:
А вот еще несколько фактов о токенизации банковских карт:
Вы сталкиваетесь с токенизацией банковских карт чаще, чем можете себе представить, так как они довольно популярны в e-commerce.
Регулярные платежи и Subscription Billing
Для проведения регулярных платежей или выставления счета по подписке, интернет-магазин либо любой другой сервис использует “сохраненную” банковскую карту. Таким образом работает много SaaS бизнесов, например Netflix, Xbox.
Покупка в один клик
Это еще один популярный способ оплаты. Например, интегрировав Platon в свой интернет-магазин, ваши клиенты могут единоразово ввести данные по карте, а последующие покупки совершать всего в один клик с помощью одного из методов оплаты — Masterpass.
Apple Pay и Google Pay
Поддержка NFC платежей. Принцип работы таких платежных систем как Apple Pay и Google Pay также основан на токенах.
Покупки внутри приложений
Если вы покупаете что-то в приложении, скажем, UberEats, Glovo, вы, опять же, имеете дело с токенами. Эти сервисы используют платежные токены, одновременно с этим экономя время пользователя при повторном вводе информации о банковской карте.
Итак, токенизация – это гибкий и безопасный метод осуществления платежей, который уже давно используется в множестве компаний. И, независимо от вида вашего бизнеса, будь это интернет-магазин или традиционный ритейл – осуществлять регулярные платежи без токенизации на данный момент невозможно.
Токенизация карт в онлайн-коммерции — тренд 2021 года. Как она помогает бизнесу
Андрей Кононенко — Chief Product Officer финтех-компании Solid — в колонке для AIN.UA рассказал, какие задачи бизнеса решает токенизация карт в e-commerce и почему это тренд будущего.
Андрей Кононенко. Фото и изображения далее предоставлены автором
Пандемия коронавируса воздействовала практически на все экономики мира и тем или иным образом затронула каждую из сфер. Одно из немногих позитивных ее влияний можно заметить в онлайн-коммерции. За первую половину 2020 года только в США интернет-ритейл вырос на 30% по сравнению с тем же периодом 2019-го, что в шесть раз превышает годовые темпы роста онлайн-торговли в предыдущем году.
Использование электронных платежей также расширилось. Наметилось несколько главных трендов — рост бесконтактных платежей, онлайн-оплат, токенизация в e-commerce. Согласно анализу McKinsey, эти тренды заметны во всех географиях — в Европе, Америке, Азии.
Украина — не исключение. По данным Нацбанка, пандемия и карантин ускорили изменения платежных привычек украинцев. Количество операций по картам за девять месяцев 2020-го выросло на 18%. По данным за сентябрь, почти 40% карт, которыми осуществляются оплаты, — бесконтактные и токенизированные.
Вместе с ростом торговли в интернете встает вопрос безопасности. Будущее за теми технологиями, которые смогут улучшить пользовательский опыт, сделать оплаты надежными и увеличить выручку магазинов.
Что такое токенизация карт
Токенизация — это технология, при которой конфиденциальные данные банковской карты обмениваются на специальный токен. Он позволяет быстро и безопасно оплачивать интернет-покупки, защищая данные пользователя.
Прародителем этой технологии был Amazon. В начале 2000-х компания внедрила новацию: чтобы не запрашивать каждый раз карточные данные покупателя (номер, имя держателя карты, срок действия), их решили сохранять у себя, что упростило повторные платежи на сайте. При всех последующих покупках пользователь теперь смог оплатить товар в один клик.
Подобную технологию в дальнейшем начали применять для подписок. Любой подписочный сервис, который взимает плату за музыку, видео или другой контент, всегда использует токенизацию карточных данных.
Новая технология токенизации от Visa и MasterCard
Международные платежные системы (МПС) стандартизировали технологию токенизации. У Visa она называется Visa Token Service (VTS), у MasterCard — MasterCard Digital Enablement Service (MDES). Впервые ее запустили на электронных кошельках Apple и Google Pay. Сейчас доступ к технологии расширили.
Главным ее отличием от предыдущих версий стало то, что карточные данные пользователей хранятся исключительно на стороне платежных систем. Мерчант использует для проведения платежа уникальный идентификатор карты — токен. Токен выпускается платежной системой для конкретного мерчанта, и с помощью токена можно платить только в этом магазине. Перехватывать данные токена нет никакого смысла, потому что токен не будет работать при попытке заплатить на сайте другого мерчанта. Это большой шаг в безопасности электронных платежей.
Объясню разницу на примере Apple Pay.
Когда пользователь устанавливает кошелек и вводит туда впервые свои данные, Apple отправляет их Visa и Mastercard, а в ответ получает зашифрованный токен. С его помощью в дальнейшем будут проводиться все платежи. При инициализации платежа Apple по каждому телефону в мире получает от платежной системы отдельную криптограмму, которая «живет» всего 15 минут и подтверждает один конкретный платеж.
Криптограмму МПС выдает в связке с банком, выпустившим карту. Получается, что банк заранее подтверждает платеж, еще до того, как он совершится. Таким образом клиент защищен от утечки данных с его телефона, потому что теперь на телефоне хранится не карточка, а токен.
Если бы использовалась старая технология токенизации, то Apple хранил бы карточные данные пользователя на своих серверах. Это огромный массив чувствительной информации, что было бы слишком большим риском для компании и ее клиентов.
Как подключить токенизацию от Visa и MasterCard
Мерчанты (онлайн-магазины и другие сервисы, которые предоставляют услуги в интернете) пока не могут получить технологию от МПС напрямую. Причин несколько.
Чтобы хранить карточные данные, даже в зашифрованном виде, необходимо регулярно проходить аудит безопасности по стандарту PCI DSS. Для небольших продавцов это непосильная задача, а для больших — хоть и реализуемая, но затратная по финансам и другим ресурсам.
Крупные мерчанты, такие как Netflix или Uber имеют собственную токенизирующую систему и сохраняют карточные данные на своей стороне.
Небольшие мерчанты могут запустить токенизированные платежи через платежного сервис-провайдера, который сертифицирован по PCI DSS и подключил VTS/MDES.
Плюсы для мерчанта
Плюсы для держателей карт
За токенизацией — будущее
Visa и Mastercard сейчас сами вкладываются в продвижение технологии VTS/MDES. Они позиционируют ее как то, с чем мы будем работать в ближайшие десятилетия.
Каждый мерчант стремится наращивать выручку: инвестирует в сплит-тесты, улучшение продукта, маркетинговые исследования. Токенизация служит той же цели, но не требует дополнительных вложений.
На данный момент в мире не так много провайдеров, которые получили доступ к технологии токенизации карт напрямую от Visa и Mastercard, но со временем их будет становиться все больше. Мы в Solid сделали это в числе первых, потому что работаем, в основном, с клиентами на высококонкурентных рынках — в США, Канаде, Европе, Австралии.
Получат ли украинские мерчанты доступ к технологии VTS/MDES напрямую в ближайшем будущем, будет зависеть от самих платежных систем — как они захотят презентовать эту технологию. Такие гиганты, как Rozetka — вполне возможно. Более мелкие мерчанты — скорее нет. Для реализации такой интеграции от них потребуются слишком большие инвестиции.
Поэтому стоит задуматься о выборе платежного провайдера, подключившего VTS/MDES. Какую именно компанию выбрать, зависит от рынков, где работает мерчант, и от набора услуг, которые предоставляет провайдер.
Автор: Андрей Кононенко, Chief Product Officer в Solid