Что значит токенизированная карта
Токенизация
Токенизация — это технология, позволяющая обезопасить мобильные платежи. Большинство бесконтактных платежей, включая мобильные (ApplePay, SamsungPay) подразумевают передачу данных о карте, в частности ее номер. В момент платежа электронное средство может быть скомпрометировано (например, передаваемая информация будет считана мошенником, располагающимся в непосредственной близости от карты или смартфона).
Технология токенизации позволяет заменить реальный номер карты клиента уникальным сгенерированным кодом — токеном (или «жетоном»), который будет использован только для конкретной покупки. Воспользоваться полученной информацией злоумышленник повторно уже не сможет, так как реальный номер карты не передается в явном виде, а токен уже использован. Для следующей покупки будет выдан новый токен.
Таким образом, даже после считывания сигнала смартфона в момент покупки и получения переданных им данных по беспроводному протоколу связи, злоумышленник имеет на руках лишь сгенерированный код (токен), который уже не примут для оплаты. При этом попытку повторного использования токена банк-эмитент легко сможет отследить.
Фактически выдачу токена инициализирует приложение, которое хранит данные оригинальной карты (такие сервисы как ApplePay или SamsungPay). Аналогичную схему реализует онлайн-сервис безопасных интернет-платежей MasterPass от MasterCard (данные самой карты в Интернет-магазин не передаются).
В настоящий момент токенизацию поддерживают платежные системы VISA и MasterCard, российская система «Мир» планирует внедрить технологию уже в 2017 году.
Токенизация карточки: что это такое и зачем она вам нужна?
Интернет-платежи стали нормой для всех. Однако с развитием электронной коммерции не менее активно растет и киберпреступность. В противовес последней сервисы онлайн-платежей и платежные системы внедряют различные протоколы безопасности и технологии защиты данных пользователей.
В наши дни самой безопасной технологией защиты информации в сфере электронной коммерции является токенизация. Что это такое, зачем она нужна и как токенизировать свою карту для безопасных платежей в интернете, рассказываем далее.
Что такое токенизация с точки зрения защиты данных банковских карт?
Токенизация – это разновидность шифрования. В онлайн-транзакциях она используется для защиты данных банковских карточек. Например, когда вы хотите рассчитаться в выбранном интернет-магазине, или оплачиваете коммуналку, то в отведенном окошке вводите номер своей карты, ее срок действия и CVV. В этот момент вы сообщаете информацию о карте стороннему ресурсу, который может сохранять ее. А еще хуже – сохранять информацию недостаточно хорошо защищенной, что плохо для вас, и хорошо для злоумышленников.
А вот технология токенизации повышает безопасность платежей в интернет-среде. Она защищает данные пользователей во время онлайн-транзакций будь это оплата картой или смартфоном.
Как работает токенизация данных
В процессе покупки чего-либо в интернете есть три действующих лица. Вы – покупатель, сервис онлайн-платежей и допустим интернет-магазин, который продает корм для вашего кота. Этот магазин является партнером сервиса онлайн-платежей.
Если этот сервис использует токенизацию, вам нечего бояться. Во время такой операции информация о вашей банковской карте подается через защищенный сетевой шлюз и специальное устройство, которое шифрует данные в уникальный токен (шифр). И только потом сервис передает этот шифр дальше для осуществления транзакции.
То есть интернет-магазин, где вы совершаете покупки, не имеет доступа к данным вашей карты. Ему известен только токен. Даже если токеном, уникальным для каждой транзакции, завладеют третьи лица – они не смогут выполнить с ним никаких операций.
Наглядно о том, как работает токенизация рассказываем в нашем видео:
Как защитить свою карту здесь и сейчас
Очень просто, – необходимо включить ее токенизацию в сервисе онлайн-платежей. Например, компания Portmone использует технологии токенизации VISA Token Service и цифровую платформу MDES for Merchants от Mastercard. Это позволяет платежной системе Portmone обезопасить расчет картами VISA и Mastercard в интернете для своих клиентов.
Как токенизировать собственную карточку в сервисе Portmone.com
Если вы еще не зарегистрированы в сервисе Portmone, сделайте это на сайте portmone.com или загрузите наше приложение и зарегистрируйтесь в нем.
А дальше нужно выполнить следующие шаги:
В дальнейшем при оплате услуг, покупках в интернете и других транзакциях с помощью сервиса Portmone к вашей карте будет применяться токенизация. Будьте уверены в безопасности своих онлайн-платежей.
Мы также подготовили короткий видео-гайд, как токенизировать карту в нашей платежной системе. Смотрите, подключайте и пользуйтесь своими картами в интернете безопасно.
Токенизация карт в E-commerce: что это такое и как работает?
Всем привет! Недавно мы в Яндекс.Кассе совместно с платежными системами Visa и Mastercard запустили новую технологию токенизации платежей для E-commerce, или, по-другому, онлайн-коммерции. Кто-то может подумать: что тут такого — с токенизацией карт разобрались уже с выходом Apple Pay, Google Pay и других *Pay. Но нет, тут что-то новенькое, а мы еще и первыми эту технологию запустили в России этой весной для магазинов-партнеров, так что почему бы не поделиться.
В США и Европе эта технология появилась несколько раньше, и пользователи таких сервисов, как Netflix и Amazon, уже платят E-commerce токенами, хотя, возможно, даже не знают об этом. А я сейчас расскажу, как это устроено не только снаружи (для партнеров и держателей карт), но и изнутри, с точки зрения разработчика и тимлида этого проекта. Если интересно — велкам под кат.
Что общего с Apple Pay и Google Pay
Те читатели, которые представляют, как работают Apple Pay и Google Pay (а кто не знает — вот наша статья про запуск *Pay), увидят тут знакомые слова.
Если коротко, то одна из особенностей технологий *Pay заключается в том, что плательщику не нужно передавать магазину данные своей банковской карты. Он один раз обменивает их на специальный цифровой токен и дальше, не подвергаясь риску перехвата данных карты, при платеже использует только этот токен. А преимущество в том, что токен работает только вместе с одноразовой криптограммой, которая генерируется на телефоне плательщика, а вне телефона эту криптограмму создать не получится. К тому же этими токенами легко управлять — удалять или создавать новые — дело одной минуты в онлайне, никаких походов в банк и прочей бюрократии.
Пока запомним эти особенности токенизации карт на устройствах пользователей:
Запомнили? А теперь перейдем к токенизации карт для E-commerce, иначе говоря, для онлайн-платежей в интернет-магазинах.
Итак, что такое токенизация в E-commerce
Вообще, токенизация карты — это обмен конфиденциальных данных банковской карты на специальный токен, который позволяет оплачивать покупки с помощью этой карты.
Конфиденциальные данные карты — это ее номер (PAN — Primary Account Number) и срок действия.
Если для подключения карты в *Pay инициатором является сам держатель карты, то токенизацию для E-commerce инициирует интернет-магазин. Но зачем (и с какой стати)?
Наверняка многие из вас пользуются сервисами с подписками: будь то ежемесячная оплата музыки, фильмов или, например, коммунальных услуг. Как оформляется эта подписка? Вы заходите на сайт интернет-магазина, вводите данные своей карты и ставите галочку, подтверждающую ваше согласие на то, что магазин сохранит данные вашей карты (PAN и срок действия) и сможет самостоятельно инициировать оплату за конкретную услугу.
Нужно понимать, что такое действие подразумевает, что магазин должен где-то сохранить данные карты. Тут обычно два варианта:
Давайте обо всем по порядку. При токенизации мы обмениваем данные банковской карты на некий токен, но что это такое? Токен предоставляется платежной системой карты — Mastercard или Visa. Он представляет собой уникальный идентификатор, аналогичный номеру учетной записи устройства в Apple Pay или номеру виртуального счета в Google Pay, которые можно найти в приложении на смартфоне (Wallet на устройствах Apple и Google Pay — на Android).
В отличие от *Pay, в E-commerce токенизации создание токена инициирует интернет-магазин или его платежное решение, а сами токены хранятся на серверах платежных систем.
Разумеется, кто угодно не может прийти к платежной системе и получить токен чьей-либо карты для оплаты покупок. Во-первых, токенизировать карты могут только те платежные решения, которые пройдут сертификацию и получат одобрение платежных систем. Такое платежное решение называется On-Behalf Token Requestor или Token Service Provider, но для простоты будем впредь оперировать термином Token Requestor. И только Token Requestor может инициировать платежи токеном. Во-вторых, токен всегда выпускается для конкретного магазина, и с помощью токена можно платить только в этом магазине. Очень похоже на то, как токен *Pay связан с устройством, на котором он был создан.
За счет чего это достигается? Просто перед проведением каждого платежа по токену Token Requestor должен получить одобрение у платежной системы на этот платеж. Факт такого одобрения надо будет предъявить во время фактического проведения платежа, поэтому одобрение это имеет форму одноразовой криптограммы, которую формирует платежная система карты. При проведении платежа эта криптограмма добавляется к параметрам запроса в банк-эквайер и затем передается платежной системе, которая проверяет подлинность этой криптограммы, которую сама ранее выдавала.
А что там про управление токеном независимо от управления картой? Тут вообще все просто — токен живет своей жизнью, имеет свои статусы жизненного цикла, и о каждом изменении статуса Token Requestor сразу же узнает от платежной системы карты.
Подведем некоторый итог. Что токенизация дает держателю карты?
*Мы сравнивали платежи за этот апрель в крупном онлайн-кинотеатре (MCC 4899) — привязанными картами без 3DS, без учета неуспешных платежей из-за нехватки денег на карте.
Технические аспекты
Для любителей копнуть чуть глубже, расскажу о технологии токенизации карт и ее запуске в Яндекс.Кассе — как все это выглядит изнутри нашего платежного решения.
Интеграция с платежными системами
Чтобы получить техническую возможность токенизировать карты и проводить платежи токенами, необходимо интегрироваться с Visa и Mastercard, пройти тесты, сертификацию и получить их одобрение на запуск в production. Поначалу это звучало устрашающе. Да и не только поначалу, если честно, по крайней мере, для меня. Но устрашала скорее сертификация, а по технике все было предельно ясно.
Интеграция подразумевает реализацию следующего API (условно) между платежной системой и нами в качестве Token Requestor:
Токенизация в Яндекс.Кассе
Яндекс.Касса представляет из себя большую систему по приему платежей для интернет-магазинов. Она состоит из многих десятков различных сервисов: backend-, frontend-приложения, BI-сервисы. Они обеспечивают прием платежа пользователя различными способами, перевод денежных средств магазину, управление платежами через личный кабинет магазина, аналитические сервисы и тому подобное. И как именно сюда встроилась токенизация карт?
Главный вопрос: в какой момент создавать токен для банковской карты?
В API Яндекс.Кассы есть возможность сохранять выбранный способ оплаты для последующих платежей в будущем, мы это называем автоплатежи.
Это может происходить как при привязке карты к аккаунту пользователя в личном кабинете магазина, так и при подписке на периодической основе, когда платежи с карты будут проводиться автоматически. В обоих сценариях при создании платежа магазин по API передает параметр save_payment_method: true, и после успешного платежа мы выдаем магазину payment_method_id — идентификатор сохраненного способа оплаты, с помощью которого он сможет проводить новые платежи.
Вот он, этот момент. Токены созданы как раз для платежей, инициированных магазином. Поэтому сразу после проведения платежа с сохранением способа оплаты мы асинхронно ставим нашему сервису токенизации задачу создать токен для пары «карта и магазин».
Что же сами платежные системы делают в момент токенизации карты?
Они обращаются в банк-эмитент, с запросом на создание токена (как это происходит и при создании токенов *Pay), и банк выпускает токен для данного магазина. Банк также может уведомить об этом держателя карты и отобразить созданный токен в его личном кабинете.
Как происходит платеж токеном?
Пожалуй, тут понадобится некоторая иллюстрация, как вообще проходит платеж ранее сохраненной картой, который инициирует интернет-магазин:
Итак, при платеже ранее сохраненным способом магазин передает только его идентификатор — payment_method_id. По этому идентификатору сервис платежей картами находит данные (PAN и срок действия) карты и передает их одному из банков-эквайеров, который далее общается с платежной системой карты.
С токенами в этом сценарии добавляется еще один шаг:
Если видим, что для карты и магазина ранее был выпущен токен, то мы можем провести платеж без использования данных карты. Для этого мы через сервис токенизации предварительно отправляем запрос в международную платежную систему с данными токена и в ответ получаем одноразовую криптограмму, которая подтверждает, что токен действующий и мы имеем право провести платеж. И уже после этого мы передаем банку-эквайеру данные токена вместе с этой криптограммой.
А что происходит в сценарии, когда пользователь перевыпускает карту в своем банке?
Если к карте ранее были выпущены токены, то банк-эмитент сообщает в платежную систему Mastercard/Visa, что карта перевыпущена. В свою очередь, каждый Token Requestor, который выпускал токены к этой карте, получит уведомление от платежной системы. Оно содержит обновленную информацию о карте: последние 4 цифры номера и новый срок действия. Токен при этом остается прежним.
Когда магазин инициирует очередной платеж с уже просроченной карты, которая на самом деле была перевыпущена, а у нас есть токен к ней для этого магазина — платеж пройдет успешно. К тому же мы сообщим магазину уже новые последние 4 цифры банковской карты — они будут присутствовать в ответах нашего API. Это нужно для того, чтобы и магазин, и пользователь всегда видели, с какой именно карты списываются средства.
Вместо заключения
Токенизация в E-commerce — это новый этап развития приема платежей, повышающий удобство для всех участников процесса оплаты. Мы ожидаем, что в ближайшее время технологию поддержат многие российские банки и провайдеры — и она станет новым стандартом платежного рынка.
Конечно, рассказ получился скорее обзорным, но я надеюсь, что каждый читатель найдет в нем что-то полезное для себя — повысит свой уровень финансовой грамотности, узнает о новинках в финтехе или, может, найдет идею для развития своего бизнеса.
Токенизация банковских карт
Токенизация – это процесс замещения традиционных активов (таких как деньги, акции, недвижимость, номера кредитных карт) на токены, отражающие эти ценности, что делает торговлю ими легче и безопаснее.
Оплата товаров через интернет была бы намного более рискованной, если бы не токенизация. Конфиденциальные данные кредитной карты преобразуются в цифровой токен, который бесполезен для хакеров, но используется банками для завершения платежа. Компании выпускают цифровые заменители акций и других ценных бумаг вместо бумажных носителей, потому что это безопаснее и эффективнее.
Мы используем токены ежедневно, хотя и не всегда обращаем внимание на это.
Как работает токенизация кредитной карты?
Токенизация карты заменяет конфиденциальные данные клиента одноразовым рандомным буквенно-цифровым идентификатором, который не имеет связи с владельцем учетной записи.
Конфиденциальные данные карты — это ее номер (PAN — Primary Account Number) и срок действия.
Случайно сгенерированный токен используется для безопасного доступа, передачи и извлечения информации о кредитке клиента.
Токены генерируются с помощью математических алгоритмов, и их нельзя отменить.
И открыть их можно только после завершения транзакции. Вне системы токены не имеют значения и ценности. Поэтому, даже если хакеры обнаружат данные клиента во время их обработки, они не смогут их использовать.
Как работает транзакция с токенизированной кредитной картой пошагово:
Преимущества токенизации credit card
Токенизация карт значительно повышает безопасность платежей.
Произвольно сгенерированные токены доступны для чтения только платежной системой, но даже если они были раскрыты, ими нельзя воспользоваться.
Мы пользуемся сервисами с подписками: оплачиваем коммунальные услуги, слушаем музыку, смотрим фильмы, читаем электронные книги. Чтобы оформить подписку, мы заходим на сайт интернет-магазина, вводим данные карты и ставим галочку, подтверждающую согласие на то, что магазин сохранит данные карты (PAN и срок действия) и сможет самостоятельно инициировать оплату за конкретную услугу.
Соответственно, магазин должен где-то сохранить данные карты. У него есть следующие варианты:
Большинству компаний, которые собирают и хранят конфиденциальные данные в своих сетях, часто очень трудно соблюдать стандарты PCI DSS. Утечка данных и несоблюдение требований PCI может привести к значительным штрафам Совета PCI.
Токенизация позволяет продавцам соблюдать PCI DSS с минимальными обязательствами и расходами на безопасность.
Другие конфиденциальные данные: пароли, адреса, секретные файлы и учетные записи клиентов, также могут быть защищены с помощью технологии токенизации.
Токенизация vs шифрование
Это два отличных инструмента для борьбы с мошенничеством с кредитными картами, и их часто путают друг с другом. Разберемся, в чем разница между ними?
Зашифрованные данные можно взломать, поэтому Совет PCI строго относится к их оформлению. Соблюдение нормативных требований шифрования обходится намного дороже, чем при токенизации.
Чтобы лучше обезопасить конфиденциальные данные при передаче и соответствовать требованиям PCI DSS, специалисты рекомендуют совмещать шифрование и токенизацию.
Токенизированная карта
Токенизация карты — это технология обмена конфиденциальных данных банковской карты на специальный обезличенный эквивалент (токен). К ним относятся номер карты и срок ее действия. После выпуска уникального для каждой банковской карты токена оплата покупок происходит с его использованием, что обеспечивает безопасность данных карты при совершении онлайн-платежей. Это возможно благодаря тому, что токен не содержит персональной информации и может быть использован только разово. По нему нельзя восстановить номер платежной карты и, даже если мошенникам удастся перехватить токен, совершить с его помощью платеж они не смогут.
Повсеместное использование данной технологии в мире стало возможно благодаря ее стандартизации ведущими мировыми платежными системами и запуска технологий Visa Token Service (VTS), MasterCard Digital Enablement Service (MDES) и др. В настоящее время токенизация банковских карт применяется:
1. при оплате с мобильного устройства с использованием приложений Apple Pay, Google Pay, Samsung Pay, Mir Pay и др. В этом случае выпуск токена инициирует держатель карты, добавляя ее данные в соответствующее приложение для оплаты. В дальнейшем наличие пластика для проведения оплаты не требуется и управлять токеном (удалять или создавать новый) можно отдельно от банковской карты.
2. при выпуске банками цифровых карт в своих мобильных приложениях. При этом в большинстве случаев предоплаченные виртуальные карты токенизированы быть не могут, но некоторые банки позволяют это делать после прохождения клиентом дальнейшей идентификации;
3. при оплате платежа банковской картой в интернет-магазине или онлайн-сервисе подписки на музыку, фильмы и др. В этом случае выпуск уникального токена на основе данных банковской карты покупателя инициирует торговая точка через платежного эквайера или платежный сервис для удобства хранения полученной информации на серверах платежных систем и обеспечения возможности для последующей оплаты без ввода номера карты держателем. Производить оплату с помощью созданного токена в дальнейшем доступно только в этом магазине или сервисе.
При перевыпуске банковской карты токен не меняется, поэтому заново указывать ее реквизиты держателю карты не требуется.