токенизация карты что это такое простым
Токенизация карт в онлайн-коммерции — тренд 2021 года. Как она помогает бизнесу
Андрей Кононенко — Chief Product Officer финтех-компании Solid — в колонке для AIN.UA рассказал, какие задачи бизнеса решает токенизация карт в e-commerce и почему это тренд будущего.
Андрей Кононенко. Фото и изображения далее предоставлены автором
Пандемия коронавируса воздействовала практически на все экономики мира и тем или иным образом затронула каждую из сфер. Одно из немногих позитивных ее влияний можно заметить в онлайн-коммерции. За первую половину 2020 года только в США интернет-ритейл вырос на 30% по сравнению с тем же периодом 2019-го, что в шесть раз превышает годовые темпы роста онлайн-торговли в предыдущем году.
Использование электронных платежей также расширилось. Наметилось несколько главных трендов — рост бесконтактных платежей, онлайн-оплат, токенизация в e-commerce. Согласно анализу McKinsey, эти тренды заметны во всех географиях — в Европе, Америке, Азии.
Украина — не исключение. По данным Нацбанка, пандемия и карантин ускорили изменения платежных привычек украинцев. Количество операций по картам за девять месяцев 2020-го выросло на 18%. По данным за сентябрь, почти 40% карт, которыми осуществляются оплаты, — бесконтактные и токенизированные.
Вместе с ростом торговли в интернете встает вопрос безопасности. Будущее за теми технологиями, которые смогут улучшить пользовательский опыт, сделать оплаты надежными и увеличить выручку магазинов.
Что такое токенизация карт
Токенизация — это технология, при которой конфиденциальные данные банковской карты обмениваются на специальный токен. Он позволяет быстро и безопасно оплачивать интернет-покупки, защищая данные пользователя.
Прародителем этой технологии был Amazon. В начале 2000-х компания внедрила новацию: чтобы не запрашивать каждый раз карточные данные покупателя (номер, имя держателя карты, срок действия), их решили сохранять у себя, что упростило повторные платежи на сайте. При всех последующих покупках пользователь теперь смог оплатить товар в один клик.
Подобную технологию в дальнейшем начали применять для подписок. Любой подписочный сервис, который взимает плату за музыку, видео или другой контент, всегда использует токенизацию карточных данных.
Новая технология токенизации от Visa и MasterCard
Международные платежные системы (МПС) стандартизировали технологию токенизации. У Visa она называется Visa Token Service (VTS), у MasterCard — MasterCard Digital Enablement Service (MDES). Впервые ее запустили на электронных кошельках Apple и Google Pay. Сейчас доступ к технологии расширили.
Главным ее отличием от предыдущих версий стало то, что карточные данные пользователей хранятся исключительно на стороне платежных систем. Мерчант использует для проведения платежа уникальный идентификатор карты — токен. Токен выпускается платежной системой для конкретного мерчанта, и с помощью токена можно платить только в этом магазине. Перехватывать данные токена нет никакого смысла, потому что токен не будет работать при попытке заплатить на сайте другого мерчанта. Это большой шаг в безопасности электронных платежей.
Объясню разницу на примере Apple Pay.
Когда пользователь устанавливает кошелек и вводит туда впервые свои данные, Apple отправляет их Visa и Mastercard, а в ответ получает зашифрованный токен. С его помощью в дальнейшем будут проводиться все платежи. При инициализации платежа Apple по каждому телефону в мире получает от платежной системы отдельную криптограмму, которая «живет» всего 15 минут и подтверждает один конкретный платеж.
Криптограмму МПС выдает в связке с банком, выпустившим карту. Получается, что банк заранее подтверждает платеж, еще до того, как он совершится. Таким образом клиент защищен от утечки данных с его телефона, потому что теперь на телефоне хранится не карточка, а токен.
Если бы использовалась старая технология токенизации, то Apple хранил бы карточные данные пользователя на своих серверах. Это огромный массив чувствительной информации, что было бы слишком большим риском для компании и ее клиентов.
Как подключить токенизацию от Visa и MasterCard
Мерчанты (онлайн-магазины и другие сервисы, которые предоставляют услуги в интернете) пока не могут получить технологию от МПС напрямую. Причин несколько.
Чтобы хранить карточные данные, даже в зашифрованном виде, необходимо регулярно проходить аудит безопасности по стандарту PCI DSS. Для небольших продавцов это непосильная задача, а для больших — хоть и реализуемая, но затратная по финансам и другим ресурсам.
Крупные мерчанты, такие как Netflix или Uber имеют собственную токенизирующую систему и сохраняют карточные данные на своей стороне.
Небольшие мерчанты могут запустить токенизированные платежи через платежного сервис-провайдера, который сертифицирован по PCI DSS и подключил VTS/MDES.
Плюсы для мерчанта
Плюсы для держателей карт
За токенизацией — будущее
Visa и Mastercard сейчас сами вкладываются в продвижение технологии VTS/MDES. Они позиционируют ее как то, с чем мы будем работать в ближайшие десятилетия.
Каждый мерчант стремится наращивать выручку: инвестирует в сплит-тесты, улучшение продукта, маркетинговые исследования. Токенизация служит той же цели, но не требует дополнительных вложений.
На данный момент в мире не так много провайдеров, которые получили доступ к технологии токенизации карт напрямую от Visa и Mastercard, но со временем их будет становиться все больше. Мы в Solid сделали это в числе первых, потому что работаем, в основном, с клиентами на высококонкурентных рынках — в США, Канаде, Европе, Австралии.
Получат ли украинские мерчанты доступ к технологии VTS/MDES напрямую в ближайшем будущем, будет зависеть от самих платежных систем — как они захотят презентовать эту технологию. Такие гиганты, как Rozetka — вполне возможно. Более мелкие мерчанты — скорее нет. Для реализации такой интеграции от них потребуются слишком большие инвестиции.
Поэтому стоит задуматься о выборе платежного провайдера, подключившего VTS/MDES. Какую именно компанию выбрать, зависит от рынков, где работает мерчант, и от набора услуг, которые предоставляет провайдер.
Автор: Андрей Кононенко, Chief Product Officer в Solid
Токенизация в России: Как будет работать «безопасная» технология бесконтактных платежей от Visa и Mastercard
К концу 2016 года в России должны заработать платежные мобильные приложения Apple Pay, Samsung Pay и Android Pay на основе бесконтактной технологии. Это станет возможно, после того, как Visa и Mastercard совместно с Национальной системой платежных карт внедрят в стране сервис токенизации, рассказали «Ведомости». Мы решили чуть подробнее разобраться, что это за система, как она работает и какой от нее, в конечном итоге, прок.
Что это такое
Начнем с терминов. В статье по ссылке суть технологии объяснена не очень доходчиво. Да, есть некий ссылочный номер (токен), по которому сервис продавца идентифицирует клиента и запускает перевод денег. В своей основе токен – это нечто с очень низкой стоимостью, заменяющее нечто с высокой стоимостью. Точно также как фишка в казино обозначает наличность, пишет в блоге The Sequent Каушик Рой.
В системе электронных платежей токенизация стала использоваться для снижения рисков безопасности при сборе и передаче важных данных. Например, кредитного персонального номера PAN. В системе мобильной коммерции она сделала возможной бесконтактные платежи.
Рост рынка сдерживался лишь недоверием клиентов мобильным платежным системам. В ответ на этот запрос объединение EMV (Europay, Visa и Mastercard) выработало в начале 2014 года свой технический стандарт.
Как все будет работать
Вот как суть токенизации объясняется в блоге API-разработчика Джея Манчиокки на Mashery: «Токенизация включает в себя процесс замены «чувствительных» финансовых элементов данных их цифровыми и «не чувствительными» эквивалентами (токенами), которые сами по себе не имеют никакой ценности и не могут быть использованы злоумышленниками. Токены могут создаваться через математические формулы или через буквенно-цифровые случайные генераторы. Они призваны защитить любую персональную информацию, любые финансовые операции, включая торговлю на бирже».
Вместо того, чтобы передавать финансовые данные напрямую, мобильные платежные платформы будут использовать токены для подтверждения платежа. Поскольку процесс генерации токенов, как и сами они, не содержит никакой актуальной финансовой информации, считается, что такой способ оплаты в m-commerce на настоящий момент самый надежный. Обратный инжиниринг токена, к примеру, в PAN невозможен, утверждает автор блога Securosis.
Как все это работает на самом деле? Когда вы водите информацию о своей банковской карте на сайте продавца, она направляется на защищенный сетевой шлюз и специальное считывающее устройство, которое создает токен, чтобы провести транзакцию. Если сайт продавца взломан, эта информация будет для взломщиков бесполезной: никаких реальных данных о карте на нем нет. Вся оригинальная информация обитает в защищенном хранилище данных. Грубо говоря, в «облаке».
Кроме самих платежных систем, активно продвигающих новую идеологию и старающихся расширить географию ее применения, токенизация выгодна банкам и продавцам товаров или услуг. Дело не только в соображениях безопасности и привлечения на этой почве чувствительных к этой теме клиентов. Они сохранили за собой канал отслеживания операций клиента, который можно включить в программы лояльности.
Последняя спецификация EMV оставляет им эту возможность. В этой схеме последние 4 цифры PAN не обязательно постоянно токенизировать. Поэтому банки и продавцы могут, по-прежнему, отслеживать действия потребителей их товаров и услуг.
Еще одно преимущество токенизации для коммерческих компания состоит в том, что они будут тратить меньше средств на поддержку безопасности денежных переводов. Для небольших и средних торговых фирм это большое облегчение. Стандарты платежных систем (PCI) запрещают хранить информацию о кредитных картах на платежных терминалах ритейлеров или в их базах данных после транзакции. Для того чтобы стать участником этой системы, продавец обязан был устанавливать у себя дорогостоящие системы оперативного шифрования. Теперь достаточно отдать этот процесс на аутсорсинг оператору, который предоставляет услуги токенизации.
Насколько все эти плюсы новой технологии и уверения ее провайдеров в полной защищенности соответствуют реальности, российские пользователи смогут узнать уже совсем скоро.
Автоматизация онлайн-платежей: что нужно знать торговцам о токенизации карт
В мире онлайн-платежей и тех, кто их обеспечивает – платежных провайдеров – безопасность конфиденциальной информации клиентов имеет первостепенное значение.
Ведь риски, которым подвергаются компании с тысячами клиентов, очень высоки. Ущерб от утери этих данных может оцениваться в миллионы долларов.
Мерчант не несет ответственности за нарушение использования платежной информации, так как не имеет к ней доступа. Но тот ущерб, который подобная ситуация может нанести вашему бизнесу, стоит самого дорого, что у вас есть – это ваша репутация и лояльность ваших клиентов. А это может повлечь за собой полное разрушение имиджа в глазах потребителей.
Все мы используем платежные системы уже не первый год и понимаем, как много уязвимостей существует еще на уровне обработки платежей. То есть, на стадии обмена информацией между банками и МПС. Во время этого процесса обычно используется два основных инструмента исключения фрода: шифрование и токенизация платежей.
Для этого еще в 2006 году был разработан стандарт безопасности индустрии платежных карт (PCI DSS). Согласно ему, платежный провайдер должен соответствовать ряду технических требований, чтобы обеспечивать информационную безопасность данных платежных карт. В рамках ежегодного подтверждения соответствия PCI DSS сервис-провайдер должен пройти процедуру проверки, которая по своей сути довольно длительная, так как затрагивает ряд сложных технических моментов.
Благодаря таким сервисам, как Google Pay и Apple Pay, а также улучшению работы систем мобильных платежей, токенизация стала одним из лучших способов безопасной передачи платежной информации.
Шифрование vs токенизация
Шифрование – это общий термин для любой методики, которая кодирует (хеширует) данные, что позволяет при необходимости преобразовать их в исходное состояние с использованием ключа или дешифратора. Это математический метод, который работает на основании алгоритмов.
Что такое токенизация банковских карт?
Платежный провайдер должен обеспечить дополнительные уровни защиты от фродеров, которые намерены похитить конфиденциальную информацию картодержателей. Поэтому для избежания мошенничества с банковскими картами индустрия платежных карт создала токенизацию.
Токенизация – это технология шифрования платежных данных, при которой номер карты и другая конфиденциальная информация заменяется на буквенно-цифровую комбинацию, случайно сгенерированную на основе алгоритма. Эти данные и будут «токеном».
Для того, чтобы обеспечить безопасную транзакцию, платежный провайдер или банк генерирует токен во время транзакции, при этом не передавая полный номер банковской карты. PSP хранит токены карт и токены транзакций в своей платежной системе, одновременно с этим у банка хранятся только данные по операциям. Таким образом, фродеры не смогут найти и взломать хранилище через сайт торговца, так как информация о транзакциях распределена между участниками платежа и всегда остается в безопасности.
Использование токена на примере Apple Pay:
А вот еще несколько фактов о токенизации банковских карт:
Вы сталкиваетесь с токенизацией банковских карт чаще, чем можете себе представить, так как они довольно популярны в e-commerce.
Регулярные платежи и Subscription Billing
Для проведения регулярных платежей или выставления счета по подписке, интернет-магазин либо любой другой сервис использует “сохраненную” банковскую карту. Таким образом работает много SaaS бизнесов, например Netflix, Xbox.
Покупка в один клик
Это еще один популярный способ оплаты. Например, интегрировав Platon в свой интернет-магазин, ваши клиенты могут единоразово ввести данные по карте, а последующие покупки совершать всего в один клик с помощью одного из методов оплаты — Masterpass.
Apple Pay и Google Pay
Поддержка NFC платежей. Принцип работы таких платежных систем как Apple Pay и Google Pay также основан на токенах.
Покупки внутри приложений
Если вы покупаете что-то в приложении, скажем, UberEats, Glovo, вы, опять же, имеете дело с токенами. Эти сервисы используют платежные токены, одновременно с этим экономя время пользователя при повторном вводе информации о банковской карте.
Итак, токенизация – это гибкий и безопасный метод осуществления платежей, который уже давно используется в множестве компаний. И, независимо от вида вашего бизнеса, будь это интернет-магазин или традиционный ритейл – осуществлять регулярные платежи без токенизации на данный момент невозможно.
Токенизация карт в E-commerce: что это такое и как работает?
Что общего с Apple Pay и Google Pay
Те читатели, которые представляют, как работают Apple Pay и Google Pay (а кто не знает — вот наша статья про запуск *Pay), увидят тут знакомые слова.
Если коротко, то одна из особенностей технологий *Pay заключается в том, что плательщику не нужно передавать магазину данные своей банковской карты. Он один раз обменивает их на специальный цифровой токен и дальше, не подвергаясь риску перехвата данных карты, при платеже использует только этот токен. А преимущество в том, что токен работает только вместе с одноразовой криптограммой, которая генерируется на телефоне плательщика, а вне телефона эту криптограмму создать не получится. К тому же этими токенами легко управлять — удалять или создавать новые — дело одной минуты в онлайне, никаких походов в банк и прочей бюрократии.
Пока запомним эти особенности токенизации карт на устройствах пользователей:
Запомнили? А теперь перейдем к токенизации карт для E-commerce, иначе говоря, для онлайн-платежей в интернет-магазинах.
Итак, что такое токенизация в E-commerce
Вообще, токенизация карты — это обмен конфиденциальных данных банковской карты на специальный токен, который позволяет оплачивать покупки с помощью этой карты.
Конфиденциальные данные карты — это ее номер (PAN — Primary Account Number) и срок действия.
Если для подключения карты в *Pay инициатором является сам держатель карты, то токенизацию для E-commerce инициирует интернет-магазин. Но зачем (и с какой стати)?
Наверняка многие из вас пользуются сервисами с подписками: будь то ежемесячная оплата музыки, фильмов или, например, коммунальных услуг. Как оформляется эта подписка? Вы заходите на сайт интернет-магазина, вводите данные своей карты и ставите галочку, подтверждающую ваше согласие на то, что магазин сохранит данные вашей карты (PAN и срок действия) и сможет самостоятельно инициировать оплату за конкретную услугу.
Нужно понимать, что такое действие подразумевает, что магазин должен где-то сохранить данные карты. Тут обычно два варианта:
Что это дает интернет-магазинам?
*Мы сравнивали платежи за этот апрель в крупном онлайн-кинотеатре (MCC 4899) — привязанными картами без 3DS, без учета неуспешных платежей из-за нехватки денег на карте.
Технические аспекты
Для любителей копнуть чуть глубже, расскажу о технологии токенизации карт и ее запуске в Яндекс.Кассе — как все это выглядит изнутри нашего платежного решения.
Интеграция с платежными системами
Это описание API условное и обобщенное — нетрудно догадаться, что у каждой платежной системы разные форматы запросов/ответов, алгоритмы подписи и шифрования данных в запросах, и есть различные нюансы в бизнес-логике. Поэтому все эти детали и различия мы скрыли от остальной нашей системы, создав отдельный сервис токенизации карт, который является адаптером к платежным системам и полностью отвечает за жизненный цикл токенов.
Токенизация в Яндекс.Кассе
Яндекс.Касса представляет из себя большую систему по приему платежей для интернет-магазинов. Она состоит из многих десятков различных сервисов: backend-, frontend-приложения, BI-сервисы. Они обеспечивают прием платежа пользователя различными способами, перевод денежных средств магазину, управление платежами через личный кабинет магазина, аналитические сервисы и тому подобное. И как именно сюда встроилась токенизация карт?
Главный вопрос: в какой момент создавать токен для банковской карты?
В API Яндекс.Кассы есть возможность сохранять выбранный способ оплаты для последующих платежей в будущем, мы это называем автоплатежи.
Это может происходить как при привязке карты к аккаунту пользователя в личном кабинете магазина, так и при подписке на периодической основе, когда платежи с карты будут проводиться автоматически. В обоих сценариях при создании платежа магазин по API передает параметр save_payment_method: true, и после успешного платежа мы выдаем магазину payment_method_id — идентификатор сохраненного способа оплаты, с помощью которого он сможет проводить новые платежи.
Вот он, этот момент. Токены созданы как раз для платежей, инициированных магазином. Поэтому сразу после проведения платежа с сохранением способа оплаты мы асинхронно ставим нашему сервису токенизации задачу создать токен для пары «карта и магазин».
Что же сами платежные системы делают в момент токенизации карты?
Они обращаются в банк-эмитент, с запросом на создание токена (как это происходит и при создании токенов *Pay), и банк выпускает токен для данного магазина. Банк также может уведомить об этом держателя карты и отобразить созданный токен в его личном кабинете.
Как происходит платеж токеном?
Пожалуй, тут понадобится некоторая иллюстрация, как вообще проходит платеж ранее сохраненной картой, который инициирует интернет-магазин:
Итак, при платеже ранее сохраненным способом магазин передает только его идентификатор — payment_method_id. По этому идентификатору сервис платежей картами находит данные (PAN и срок действия) карты и передает их одному из банков-эквайеров, который далее общается с платежной системой карты.
С токенами в этом сценарии добавляется еще один шаг:
Вместо заключения
Токенизация в E-commerce — это новый этап развития приема платежей, повышающий удобство для всех участников процесса оплаты. Мы ожидаем, что в ближайшее время технологию поддержат многие российские банки и провайдеры — и она станет новым стандартом платежного рынка.
Конечно, рассказ получился скорее обзорным, но я надеюсь, что каждый читатель найдет в нем что-то полезное для себя — повысит свой уровень финансовой грамотности, узнает о новинках в финтехе или, может, найдет идею для развития своего бизнеса.
Я всё, будьте здоровы и не болейте!
Токенизация карточки: что это такое и зачем она вам нужна?
Интернет-платежи стали нормой для всех. Однако с развитием электронной коммерции не менее активно растет и киберпреступность. В противовес последней сервисы онлайн-платежей и платежные системы внедряют различные протоколы безопасности и технологии защиты данных пользователей.
В наши дни самой безопасной технологией защиты информации в сфере электронной коммерции является токенизация. Что это такое, зачем она нужна и как токенизировать свою карту для безопасных платежей в интернете, рассказываем далее.
Что такое токенизация с точки зрения защиты данных банковских карт?
Токенизация – это разновидность шифрования. В онлайн-транзакциях она используется для защиты данных банковских карточек. Например, когда вы хотите рассчитаться в выбранном интернет-магазине, или оплачиваете коммуналку, то в отведенном окошке вводите номер своей карты, ее срок действия и CVV. В этот момент вы сообщаете информацию о карте стороннему ресурсу, который может сохранять ее. А еще хуже – сохранять информацию недостаточно хорошо защищенной, что плохо для вас, и хорошо для злоумышленников.
А вот технология токенизации повышает безопасность платежей в интернет-среде. Она защищает данные пользователей во время онлайн-транзакций будь это оплата картой или смартфоном.
Как работает токенизация данных
В процессе покупки чего-либо в интернете есть три действующих лица. Вы – покупатель, сервис онлайн-платежей и допустим интернет-магазин, который продает корм для вашего кота. Этот магазин является партнером сервиса онлайн-платежей.
Если этот сервис использует токенизацию, вам нечего бояться. Во время такой операции информация о вашей банковской карте подается через защищенный сетевой шлюз и специальное устройство, которое шифрует данные в уникальный токен (шифр). И только потом сервис передает этот шифр дальше для осуществления транзакции.
То есть интернет-магазин, где вы совершаете покупки, не имеет доступа к данным вашей карты. Ему известен только токен. Даже если токеном, уникальным для каждой транзакции, завладеют третьи лица – они не смогут выполнить с ним никаких операций.
Наглядно о том, как работает токенизация рассказываем в нашем видео:
Как защитить свою карту здесь и сейчас
Очень просто, – необходимо включить ее токенизацию в сервисе онлайн-платежей. Например, компания Portmone использует технологии токенизации VISA Token Service и цифровую платформу MDES for Merchants от Mastercard. Это позволяет платежной системе Portmone обезопасить расчет картами VISA и Mastercard в интернете для своих клиентов.
Как токенизировать собственную карточку в сервисе Portmone.com
Если вы еще не зарегистрированы в сервисе Portmone, сделайте это на сайте portmone.com или загрузите наше приложение и зарегистрируйтесь в нем.
А дальше нужно выполнить следующие шаги:
В дальнейшем при оплате услуг, покупках в интернете и других транзакциях с помощью сервиса Portmone к вашей карте будет применяться токенизация. Будьте уверены в безопасности своих онлайн-платежей.
Мы также подготовили короткий видео-гайд, как токенизировать карту в нашей платежной системе. Смотрите, подключайте и пользуйтесь своими картами в интернете безопасно.