Неудачная попытка токенизации карты что это значит
Токенизация в России: Как будет работать «безопасная» технология бесконтактных платежей от Visa и Mastercard
К концу 2016 года в России должны заработать платежные мобильные приложения Apple Pay, Samsung Pay и Android Pay на основе бесконтактной технологии. Это станет возможно, после того, как Visa и Mastercard совместно с Национальной системой платежных карт внедрят в стране сервис токенизации, рассказали «Ведомости». Мы решили чуть подробнее разобраться, что это за система, как она работает и какой от нее, в конечном итоге, прок.
Что это такое
Начнем с терминов. В статье по ссылке суть технологии объяснена не очень доходчиво. Да, есть некий ссылочный номер (токен), по которому сервис продавца идентифицирует клиента и запускает перевод денег. В своей основе токен – это нечто с очень низкой стоимостью, заменяющее нечто с высокой стоимостью. Точно также как фишка в казино обозначает наличность, пишет в блоге The Sequent Каушик Рой.
В системе электронных платежей токенизация стала использоваться для снижения рисков безопасности при сборе и передаче важных данных. Например, кредитного персонального номера PAN. В системе мобильной коммерции она сделала возможной бесконтактные платежи.
Рост рынка сдерживался лишь недоверием клиентов мобильным платежным системам. В ответ на этот запрос объединение EMV (Europay, Visa и Mastercard) выработало в начале 2014 года свой технический стандарт.
Как все будет работать
Вот как суть токенизации объясняется в блоге API-разработчика Джея Манчиокки на Mashery: «Токенизация включает в себя процесс замены «чувствительных» финансовых элементов данных их цифровыми и «не чувствительными» эквивалентами (токенами), которые сами по себе не имеют никакой ценности и не могут быть использованы злоумышленниками. Токены могут создаваться через математические формулы или через буквенно-цифровые случайные генераторы. Они призваны защитить любую персональную информацию, любые финансовые операции, включая торговлю на бирже».
Вместо того, чтобы передавать финансовые данные напрямую, мобильные платежные платформы будут использовать токены для подтверждения платежа. Поскольку процесс генерации токенов, как и сами они, не содержит никакой актуальной финансовой информации, считается, что такой способ оплаты в m-commerce на настоящий момент самый надежный. Обратный инжиниринг токена, к примеру, в PAN невозможен, утверждает автор блога Securosis.
Как все это работает на самом деле? Когда вы водите информацию о своей банковской карте на сайте продавца, она направляется на защищенный сетевой шлюз и специальное считывающее устройство, которое создает токен, чтобы провести транзакцию. Если сайт продавца взломан, эта информация будет для взломщиков бесполезной: никаких реальных данных о карте на нем нет. Вся оригинальная информация обитает в защищенном хранилище данных. Грубо говоря, в «облаке».
Кроме самих платежных систем, активно продвигающих новую идеологию и старающихся расширить географию ее применения, токенизация выгодна банкам и продавцам товаров или услуг. Дело не только в соображениях безопасности и привлечения на этой почве чувствительных к этой теме клиентов. Они сохранили за собой канал отслеживания операций клиента, который можно включить в программы лояльности.
Последняя спецификация EMV оставляет им эту возможность. В этой схеме последние 4 цифры PAN не обязательно постоянно токенизировать. Поэтому банки и продавцы могут, по-прежнему, отслеживать действия потребителей их товаров и услуг.
Еще одно преимущество токенизации для коммерческих компания состоит в том, что они будут тратить меньше средств на поддержку безопасности денежных переводов. Для небольших и средних торговых фирм это большое облегчение. Стандарты платежных систем (PCI) запрещают хранить информацию о кредитных картах на платежных терминалах ритейлеров или в их базах данных после транзакции. Для того чтобы стать участником этой системы, продавец обязан был устанавливать у себя дорогостоящие системы оперативного шифрования. Теперь достаточно отдать этот процесс на аутсорсинг оператору, который предоставляет услуги токенизации.
Насколько все эти плюсы новой технологии и уверения ее провайдеров в полной защищенности соответствуют реальности, российские пользователи смогут узнать уже совсем скоро.
Михаил Воронько: «Фактически степень мошенничества по токенизированным картам сведена к минимуму»
Количество бесконтактных платежей растет. А с ним и число мошенничеств. Могут ли так называемые токенизированные карты обезопасить владельца от кражи средств — с этим вопросом Credits.ru обратился к Михаилу Воронько, директору по развитию розничного бизнеса банка «Зенит».
— Платформа токенизации банковских карт в России запущена в 2016 году MasterCard — благодаря этому россияне получили доступ к Apple Pay и Samsung Pay. Какие ноу-хау появились за прошедшие два года?
— Токенизация — технология, позволяющая обезопасить электронные платежи с помощью надежной системы шифрования данных. Платформа токенизации карт MasterCard, внедренная в России в 2016 году, быстро набрала популярность и серьезно разрослась. По статистике международных платежных систем Россия занимает лидирующие места в мире как по количеству операций по токенам, так и по количеству токенизированных карт.
Есть все предпосылки к тому, что через какое-то время может произойти отказ от значительной части пластиковых карт с заменой на виртуальные. На российском банковском рынке уже есть примеры банков, которые предлагают определенные тарифные планы к картам, не имеющим физического носителя. Развитию виртуальных карт способствует и то, что банкоматные сети постепенно переходят на обслуживание бесконтактных карт. Банкоматы некоторых банков уже оборудованы ридерами, поддерживающими бесконтактную технологию NFC. В таких банкоматах виртуальные карты могут обслуживаться аналогично обыкновенным картам на пластиковом носителе. Международные платежные системы предполагают, что в течение ближайших лет система сертификации токенов банками-участниками международных платежных систем станет обязательной. Если сейчас решение о токенизации принимает сам банк-эмитент, то через какое-то время без возможности токенизации карточный продукт нельзя будет эмитировать вовсе. Кроме того, за прошедшее время изменились и сами продукты электронных кошельков: появляются переводы внутри кошельков, в частности, по этому направлению уже идет Samsung Pay.
— Токенизация — это способ шифрования электронных платежей, когда номер карты заменяется кодом. Считается системой максимально защищенной от мошенников, так ли это?
— Токенизированные транзакции защищены самыми передовыми разработками в области современной криптографии. Токены могут использоваться для проведения транзакций с физических точек оплат, при покупках через приложения или для совершения онлайн-платежей. Токенизация банковских карт предполагает замену 16-значного номера платежной карты (PAN) на специально сгенерированный системой. Но заменой PAN технология не ограничивается: происходит привязка нового сформированного PAN к конкретному устройству (смартфону, планшету, часам и пр.). Соответственно, количество проверок увеличивается, и благодаря этому токенизированная карта обладает существенно большей степенью криптостойкости по сравнению с обычной пластиковой картой.
Фактически степень мошенничества по токенизированным картам сведена к минимуму.
— Можете ли оценить объемы токенизированных карт в России? Как менялась тенденция за последние два года?
— Количество NFC-платежей с появлением токенов возросло кратно. Если ранее рынок бесконтактных платежей развивался медленно, то с появлением возможности оплаты мобильными устройствами через токены произошло стремительное увеличение количества таких операций и рост рынка. Статистика показывает, что токенизированная карта характеризуется возрастающим количеством операций по сравнению с периодом по той же карте до момента ее токенизации. Средняя сумма чека в ряде случаев может уменьшаться, но при этом общий объем безналичных операций по счету растет. В результате рентабельность по таким картам обычно возрастает на 10% и более.
— Сегодня много говорят о блокчейне и криптовалютах — может ли токен стать криптовалютой? Или, напротив, не вытеснит ли криптовалюта из широкого применения бесконтактные расчеты с карточных счетов?
— Не уверен, что в ближайшем будущем криптовалюта в существующем варианте будет пользоваться массовым спросом на розничном рынке. Скорее всего, пройдет еще несколько этапов, которые будут направлены на существенное преобразование технологии и даже идеологии криптовалют, значительное влияние может оказать фактически уже начавшийся процесс деглобализации мировой экономики. В конечном итоге криптовалюты будут представлять собой не совсем то, чем они являются сейчас. Безусловно, усилится роль государства: оно будет стремиться установить контроль над такого рода технологиями, ввести законодательное регулирование возникших рынков. Уже сейчас становится ясно, что во многом это вопрос государственной безопасности.
Думаю, что в конечном итоге рынок криптовалюты не будет таким «диким» и нерегулируемым, как сейчас. А уже после формирования правовой базы рынка можно будет говорить о его перспективах, тенденциях и темпах развития. Но пока делать выводы преждевременно.
Рынок криптовалют в современном мире достаточно нишевой, не для массового потребителя. И его наличие, развитие сейчас очень важны для будущего.
— В будущем на какой вид платежей вы делаете ставку?
— Доля наличных платежей стала устойчиво сокращаться сравнительно давно, растет число операций по картам. В скором времени мы приблизимся к ситуации, что половина всех платежей в России будет осуществляться безналичным способом. Немалую роль в увеличении доли безналичных платежей сыграют и электронные кошельки платежных систем — платежи по токенам, о которых мы говорили выше. Переходу к безналичным расчетам активно поспособствует развитие мобильной коммерции, а также сервисов из мира интернета вещей.
— Какие предложения для клиентов по токенизированным картам есть на банковском рынке на сегодняшний день?
— Сервис токенизации для клиента находится примерно на одном уровне во всех банках, потому что токенизация — это технология. То есть токенизированной может быть любая карта, но ее конкурентные преимущества будут зависеть от того, карту с каким тарифным планом использует клиент.
Сама технология — способ защиты для осуществления безопасных платежей — достаточно универсальная, отличия между банками могут быть разве что в способе подключения электронного кошелька: с помощью sms, мобильного приложения или обращения в колл-центр банка. В банке «Зенит», например, карту можно токенизировать наиболее простыми способами, воспользовавшись приложением в смартфоне клиента (Apple Pay, Samsung Pay или Google Pay), или обратившись в контакт-центр. Процедура займет всего пару минут, и по факту ее завершения клиенту сразу будет доступен тарифный план его банковской карты в смартфоне.
Все новые технологии в современном розничном банкинге направлены на то, чтобы сделать повседневную жизнь клиентов банка проще и удобнее, используя все доступные технологии. Благодаря новейшим разработкам в области защиты данных, транзакции по токенизированным картам всегда безопасны.
iPhone против мошенников
28 Время прочтения: 5 минут
На днях Visa и MasterСard объявили о внедрении новой технологии безопасности – токенизации. Первым примером ее внедрения стал платежный сервис Apple Pay, появившийся в смартфоне Apple iPhone 6. Портал Банки.ру разбирался, как работает технология, от чего она может защитить плательщиков, а от чего не может.
Безопасность карточных платежей – давно наболевший вопрос. Банковская карта является удобнейшим платежным инструментом для ее держателя, но в то же время позволяет злоумышленнику «выдаивать» счет жертвы, не вставая из-за компьютера. Дело, конечно, не в сознательном потакании мошенникам со стороны платежных систем. Причина в откровенном устаревании концепции.
То, что 50 лет назад считалось технологической вершиной, превратилось в зияющую дыру, и даже многочисленные «костыли» (EMV, 3D-Secure и т. д.) не могут обеспечить держателям карт действительно надежную защиту от мошенников-кардеров. Но пока на рынке нет ничего столь же удобного и распространенного, как платежные карты, приходится пользоваться «костылями» – и на прошлой неделе появился очередной, в виде технологии токенизации.
Суть токенизации, в общем случае, состоит в замене конфиденциальной информации (в данном случае номера платежной карты) специальным кодом ограниченного действия. Основной проблемой карточных платежей, с которой и должна справиться токенизация, является необходимость сообщать продавцу данные своей карты, будь то офлайн-платеж (в магазине) или онлайн-платеж (в Интернете). Если компания хранит данные карт своих клиентов, например, для взимания абонентской платы или возможности возврата платежа, до них может добраться хакер. Если не хранит – хакер может перехватить данные во время их передачи на платежный шлюз. Даже в обычных магазинах крупной торговой сети POS-терминалы могут быть заражены троянцем, крадущим данные карт еще до их шифрования и отправки на платежный шлюз.
Таких инцидентов в последнее время случается немало – чего только стоит слив данных 9 млн карт из системы компании Adobe или 110 млн карт через POS-терминалы американской торговой сети Target. Но теперь Visa и MasterСard решили положить этому конец.
Работает токенизация достаточно просто. В смартфон загружаются специальные коды-токены, соответствующие платежным картам владельца. Причем загружаются обязательно в защищенный чип Secure Element. Такими чипами обладают некоторые Android-смартфоны, а в шестом поколении им обзавелся и Apple iPhone. Платежное приложение при совершении оплаты онлайн или офлайн через бесконтактный (NFC) интерфейс сообщает магазину уже не данные выбранной карты, а токен. Магазин, получив этот токен, передает его в соответствующий сервис токенизации, Visa Token Service (VTS) или MasterCard Digital Enablement Service (MDES). VTS/MDES проверяет принадлежность токена и передает необходимые данные банку-эмитенту для авторизации платежа.
«Visa Token Service базируется на глобальном стандарте токенизации, о котором было объявлено год назад и который призван сделать более безопасными как онлайн-платежи, так и платежи с помощью мобильных устройств. Данный сервис заменяет конфиденциальные данные пластиковой карты цифровым токеном, который может быть использован для безопасного проведения онлайн- и мобильных платежей, – рассказали порталу Банки.ру в российском отделении компании Visa. – Этот процесс прозрачен для владельцев счетов и торговых точек. Когда потребители совершают платеж с помощью своих новых устройств Apple, для процесса оплаты используется токен, а не данные карты. Настоящие номера кредитных и дебетовых карт, используемых для покупок с помощью Apple Pay, не хранятся ни на устройстве Apple, ни на серверах Apple».
Как утверждает Visa, токен можно привязать не только к смартфону, но и к магазину и к какому-либо типу платежа: «Если цифровой токен будет украден в результате утечки информации, он не может быть эффективно использован злоумышленником для совершения платежа, поскольку не содержит настоящего номера счета и подходит для совершения покупок только с помощью конкретного устройства, в определенной торговой точке или для определенного типа покупки».
Получается, что если, к примеру, троянец в POS-терминале перехватит полученный токен, использовать его вне этого магазина и с помощью другого смартфона уже не выйдет: VTS или MDES такой платеж не пропустит. С онлайн-платежом та же история: если злоумышленникам удастся взломать и расшифровать базу токенов, хранимых интернет-сервисом, при попытке платежа через какой-либо другой интернет-сервис токены будут заблокированы сервисом токенизации. В любом случае скомпрометированный токен можно заблокировать и перевыпустить, что гораздо проще, чем перевыпускать банковскую карту.
Как рассказал порталу Банки.ру управляющий директор Optima Infosecurity (группа Optima) Неманья Никитович, «токенизация может защитить от атак типа Man-in-the-middle (атака «человек посередине», когда хакер становится промежуточным звеном при передаче данных. – Прим. ред.). Это самый опасный и один из самых распространенных типов атак, основанный на компрометации канала связи, когда злоумышленник получает возможность удалять или искажать информацию. При этом о его присутствии никто не догадывается. Также токенизация защищает от атак на хранилище данных. Вообще, токенизация персональных данных клиентов – не такой уж новый, хорошо проверенный способ защиты от рисков».
Но, как утверждает глава представительства компании SafeNet в России и СНГ Сергей Кузнецов, токенизация не устраняет риски полностью: «Поскольку сегодня при обработке платежей используется все больше различных технологий, увеличивается вероятность того, что что-то может пойти не так. В большинстве сетей обработки платежей предусмотрены сценарии резервирования, позволяющие обрабатывать платежи даже в случае какого-либо сбоя в системе. Например, это возможность использования магнитной полосы в терминалах с поддержкой EMV. К сожалению, в подобных ситуациях приходится идти на компромисс и злоумышленники могут использовать подобные ситуации, чтобы обойти новые, более совершенные механизмы защиты».
Как бы там ни было, но в России эта технология заработает не сегодня и не завтра. Как сообщили порталу Банки.ру в пресс-службе компании Visa, «первоначально Visa Token Service стартует в октябре в США для клиентов Apple, у которых есть действующие карточные счета Visa в тех банках США, которые подключены к проекту. Apple предложит держателям карт Visa присоединиться к Apple Pay. Для внедрения сервиса в России наш рынок должен пройти несколько подготовительных этапов: развитие сети приема бесконтактных платежей, внедрение токенизации банками, появление устройств в продаже».
Важно понимать, что токенизация будет работать лишь при платеже через мобильное платежное приложение (пока это только Apple Pay) или при NFC-платеже. Речь о защите онлайн-платежей с обычного компьютера и контактных платежей в магазинах пока не идет.
Михаил ДЬЯКОВ, Banki.ru
\n \n\t\t\t \n\t\t\t \n\t\t \n\t»,»content»:»\t\t
Автоматизация онлайн-платежей: что нужно знать торговцам о токенизации карт
В мире онлайн-платежей и тех, кто их обеспечивает – платежных провайдеров – безопасность конфиденциальной информации клиентов имеет первостепенное значение.
Ведь риски, которым подвергаются компании с тысячами клиентов, очень высоки. Ущерб от утери этих данных может оцениваться в миллионы долларов.
Мерчант не несет ответственности за нарушение использования платежной информации, так как не имеет к ней доступа. Но тот ущерб, который подобная ситуация может нанести вашему бизнесу, стоит самого дорого, что у вас есть – это ваша репутация и лояльность ваших клиентов. А это может повлечь за собой полное разрушение имиджа в глазах потребителей.
Все мы используем платежные системы уже не первый год и понимаем, как много уязвимостей существует еще на уровне обработки платежей. То есть, на стадии обмена информацией между банками и МПС. Во время этого процесса обычно используется два основных инструмента исключения фрода: шифрование и токенизация платежей.
Для этого еще в 2006 году был разработан стандарт безопасности индустрии платежных карт (PCI DSS). Согласно ему, платежный провайдер должен соответствовать ряду технических требований, чтобы обеспечивать информационную безопасность данных платежных карт. В рамках ежегодного подтверждения соответствия PCI DSS сервис-провайдер должен пройти процедуру проверки, которая по своей сути довольно длительная, так как затрагивает ряд сложных технических моментов.
Благодаря таким сервисам, как Google Pay и Apple Pay, а также улучшению работы систем мобильных платежей, токенизация стала одним из лучших способов безопасной передачи платежной информации.
Шифрование vs токенизация
Шифрование – это общий термин для любой методики, которая кодирует (хеширует) данные, что позволяет при необходимости преобразовать их в исходное состояние с использованием ключа или дешифратора. Это математический метод, который работает на основании алгоритмов.
Что такое токенизация банковских карт?
Платежный провайдер должен обеспечить дополнительные уровни защиты от фродеров, которые намерены похитить конфиденциальную информацию картодержателей. Поэтому для избежания мошенничества с банковскими картами индустрия платежных карт создала токенизацию.
Токенизация – это технология шифрования платежных данных, при которой номер карты и другая конфиденциальная информация заменяется на буквенно-цифровую комбинацию, случайно сгенерированную на основе алгоритма. Эти данные и будут «токеном».
Для того, чтобы обеспечить безопасную транзакцию, платежный провайдер или банк генерирует токен во время транзакции, при этом не передавая полный номер банковской карты. PSP хранит токены карт и токены транзакций в своей платежной системе, одновременно с этим у банка хранятся только данные по операциям. Таким образом, фродеры не смогут найти и взломать хранилище через сайт торговца, так как информация о транзакциях распределена между участниками платежа и всегда остается в безопасности.
Использование токена на примере Apple Pay:
А вот еще несколько фактов о токенизации банковских карт:
Вы сталкиваетесь с токенизацией банковских карт чаще, чем можете себе представить, так как они довольно популярны в e-commerce.
Регулярные платежи и Subscription Billing
Для проведения регулярных платежей или выставления счета по подписке, интернет-магазин либо любой другой сервис использует “сохраненную” банковскую карту. Таким образом работает много SaaS бизнесов, например Netflix, Xbox.
Покупка в один клик
Это еще один популярный способ оплаты. Например, интегрировав Platon в свой интернет-магазин, ваши клиенты могут единоразово ввести данные по карте, а последующие покупки совершать всего в один клик с помощью одного из методов оплаты — Masterpass.
Apple Pay и Google Pay
Поддержка NFC платежей. Принцип работы таких платежных систем как Apple Pay и Google Pay также основан на токенах.
Покупки внутри приложений
Если вы покупаете что-то в приложении, скажем, UberEats, Glovo, вы, опять же, имеете дело с токенами. Эти сервисы используют платежные токены, одновременно с этим экономя время пользователя при повторном вводе информации о банковской карте.
Итак, токенизация – это гибкий и безопасный метод осуществления платежей, который уже давно используется в множестве компаний. И, независимо от вида вашего бизнеса, будь это интернет-магазин или традиционный ритейл – осуществлять регулярные платежи без токенизации на данный момент невозможно.
Токенизация карт в E-commerce: что это такое и как работает?
Всем привет! Недавно мы в Яндекс.Кассе совместно с платежными системами Visa и Mastercard запустили новую технологию токенизации платежей для E-commerce, или, по-другому, онлайн-коммерции. Кто-то может подумать: что тут такого — с токенизацией карт разобрались уже с выходом Apple Pay, Google Pay и других *Pay. Но нет, тут что-то новенькое, а мы еще и первыми эту технологию запустили в России этой весной для магазинов-партнеров, так что почему бы не поделиться.
В США и Европе эта технология появилась несколько раньше, и пользователи таких сервисов, как Netflix и Amazon, уже платят E-commerce токенами, хотя, возможно, даже не знают об этом. А я сейчас расскажу, как это устроено не только снаружи (для партнеров и держателей карт), но и изнутри, с точки зрения разработчика и тимлида этого проекта. Если интересно — велкам под кат.
Что общего с Apple Pay и Google Pay
Те читатели, которые представляют, как работают Apple Pay и Google Pay (а кто не знает — вот наша статья про запуск *Pay), увидят тут знакомые слова.
Если коротко, то одна из особенностей технологий *Pay заключается в том, что плательщику не нужно передавать магазину данные своей банковской карты. Он один раз обменивает их на специальный цифровой токен и дальше, не подвергаясь риску перехвата данных карты, при платеже использует только этот токен. А преимущество в том, что токен работает только вместе с одноразовой криптограммой, которая генерируется на телефоне плательщика, а вне телефона эту криптограмму создать не получится. К тому же этими токенами легко управлять — удалять или создавать новые — дело одной минуты в онлайне, никаких походов в банк и прочей бюрократии.
Пока запомним эти особенности токенизации карт на устройствах пользователей:
Запомнили? А теперь перейдем к токенизации карт для E-commerce, иначе говоря, для онлайн-платежей в интернет-магазинах.
Итак, что такое токенизация в E-commerce
Вообще, токенизация карты — это обмен конфиденциальных данных банковской карты на специальный токен, который позволяет оплачивать покупки с помощью этой карты.
Конфиденциальные данные карты — это ее номер (PAN — Primary Account Number) и срок действия.
Если для подключения карты в *Pay инициатором является сам держатель карты, то токенизацию для E-commerce инициирует интернет-магазин. Но зачем (и с какой стати)?
Наверняка многие из вас пользуются сервисами с подписками: будь то ежемесячная оплата музыки, фильмов или, например, коммунальных услуг. Как оформляется эта подписка? Вы заходите на сайт интернет-магазина, вводите данные своей карты и ставите галочку, подтверждающую ваше согласие на то, что магазин сохранит данные вашей карты (PAN и срок действия) и сможет самостоятельно инициировать оплату за конкретную услугу.
Нужно понимать, что такое действие подразумевает, что магазин должен где-то сохранить данные карты. Тут обычно два варианта:
Давайте обо всем по порядку. При токенизации мы обмениваем данные банковской карты на некий токен, но что это такое? Токен предоставляется платежной системой карты — Mastercard или Visa. Он представляет собой уникальный идентификатор, аналогичный номеру учетной записи устройства в Apple Pay или номеру виртуального счета в Google Pay, которые можно найти в приложении на смартфоне (Wallet на устройствах Apple и Google Pay — на Android).
В отличие от *Pay, в E-commerce токенизации создание токена инициирует интернет-магазин или его платежное решение, а сами токены хранятся на серверах платежных систем.
Разумеется, кто угодно не может прийти к платежной системе и получить токен чьей-либо карты для оплаты покупок. Во-первых, токенизировать карты могут только те платежные решения, которые пройдут сертификацию и получат одобрение платежных систем. Такое платежное решение называется On-Behalf Token Requestor или Token Service Provider, но для простоты будем впредь оперировать термином Token Requestor. И только Token Requestor может инициировать платежи токеном. Во-вторых, токен всегда выпускается для конкретного магазина, и с помощью токена можно платить только в этом магазине. Очень похоже на то, как токен *Pay связан с устройством, на котором он был создан.
За счет чего это достигается? Просто перед проведением каждого платежа по токену Token Requestor должен получить одобрение у платежной системы на этот платеж. Факт такого одобрения надо будет предъявить во время фактического проведения платежа, поэтому одобрение это имеет форму одноразовой криптограммы, которую формирует платежная система карты. При проведении платежа эта криптограмма добавляется к параметрам запроса в банк-эквайер и затем передается платежной системе, которая проверяет подлинность этой криптограммы, которую сама ранее выдавала.
А что там про управление токеном независимо от управления картой? Тут вообще все просто — токен живет своей жизнью, имеет свои статусы жизненного цикла, и о каждом изменении статуса Token Requestor сразу же узнает от платежной системы карты.
Подведем некоторый итог. Что токенизация дает держателю карты?
*Мы сравнивали платежи за этот апрель в крупном онлайн-кинотеатре (MCC 4899) — привязанными картами без 3DS, без учета неуспешных платежей из-за нехватки денег на карте.
Технические аспекты
Для любителей копнуть чуть глубже, расскажу о технологии токенизации карт и ее запуске в Яндекс.Кассе — как все это выглядит изнутри нашего платежного решения.
Интеграция с платежными системами
Чтобы получить техническую возможность токенизировать карты и проводить платежи токенами, необходимо интегрироваться с Visa и Mastercard, пройти тесты, сертификацию и получить их одобрение на запуск в production. Поначалу это звучало устрашающе. Да и не только поначалу, если честно, по крайней мере, для меня. Но устрашала скорее сертификация, а по технике все было предельно ясно.
Интеграция подразумевает реализацию следующего API (условно) между платежной системой и нами в качестве Token Requestor:
Токенизация в Яндекс.Кассе
Яндекс.Касса представляет из себя большую систему по приему платежей для интернет-магазинов. Она состоит из многих десятков различных сервисов: backend-, frontend-приложения, BI-сервисы. Они обеспечивают прием платежа пользователя различными способами, перевод денежных средств магазину, управление платежами через личный кабинет магазина, аналитические сервисы и тому подобное. И как именно сюда встроилась токенизация карт?
Главный вопрос: в какой момент создавать токен для банковской карты?
В API Яндекс.Кассы есть возможность сохранять выбранный способ оплаты для последующих платежей в будущем, мы это называем автоплатежи.
Это может происходить как при привязке карты к аккаунту пользователя в личном кабинете магазина, так и при подписке на периодической основе, когда платежи с карты будут проводиться автоматически. В обоих сценариях при создании платежа магазин по API передает параметр save_payment_method: true, и после успешного платежа мы выдаем магазину payment_method_id — идентификатор сохраненного способа оплаты, с помощью которого он сможет проводить новые платежи.
Вот он, этот момент. Токены созданы как раз для платежей, инициированных магазином. Поэтому сразу после проведения платежа с сохранением способа оплаты мы асинхронно ставим нашему сервису токенизации задачу создать токен для пары «карта и магазин».
Что же сами платежные системы делают в момент токенизации карты?
Они обращаются в банк-эмитент, с запросом на создание токена (как это происходит и при создании токенов *Pay), и банк выпускает токен для данного магазина. Банк также может уведомить об этом держателя карты и отобразить созданный токен в его личном кабинете.
Как происходит платеж токеном?
Пожалуй, тут понадобится некоторая иллюстрация, как вообще проходит платеж ранее сохраненной картой, который инициирует интернет-магазин:
Итак, при платеже ранее сохраненным способом магазин передает только его идентификатор — payment_method_id. По этому идентификатору сервис платежей картами находит данные (PAN и срок действия) карты и передает их одному из банков-эквайеров, который далее общается с платежной системой карты.
С токенами в этом сценарии добавляется еще один шаг:
Если видим, что для карты и магазина ранее был выпущен токен, то мы можем провести платеж без использования данных карты. Для этого мы через сервис токенизации предварительно отправляем запрос в международную платежную систему с данными токена и в ответ получаем одноразовую криптограмму, которая подтверждает, что токен действующий и мы имеем право провести платеж. И уже после этого мы передаем банку-эквайеру данные токена вместе с этой криптограммой.
А что происходит в сценарии, когда пользователь перевыпускает карту в своем банке?
Если к карте ранее были выпущены токены, то банк-эмитент сообщает в платежную систему Mastercard/Visa, что карта перевыпущена. В свою очередь, каждый Token Requestor, который выпускал токены к этой карте, получит уведомление от платежной системы. Оно содержит обновленную информацию о карте: последние 4 цифры номера и новый срок действия. Токен при этом остается прежним.
Когда магазин инициирует очередной платеж с уже просроченной карты, которая на самом деле была перевыпущена, а у нас есть токен к ней для этого магазина — платеж пройдет успешно. К тому же мы сообщим магазину уже новые последние 4 цифры банковской карты — они будут присутствовать в ответах нашего API. Это нужно для того, чтобы и магазин, и пользователь всегда видели, с какой именно карты списываются средства.
Вместо заключения
Токенизация в E-commerce — это новый этап развития приема платежей, повышающий удобство для всех участников процесса оплаты. Мы ожидаем, что в ближайшее время технологию поддержат многие российские банки и провайдеры — и она станет новым стандартом платежного рынка.
Конечно, рассказ получился скорее обзорным, но я надеюсь, что каждый читатель найдет в нем что-то полезное для себя — повысит свой уровень финансовой грамотности, узнает о новинках в финтехе или, может, найдет идею для развития своего бизнеса.