Токенизация в России: Как будет работать «безопасная» технология бесконтактных платежей от Visa и Mastercard
К концу 2016 года в России должны заработать платежные мобильные приложения Apple Pay, Samsung Pay и Android Pay на основе бесконтактной технологии. Это станет возможно, после того, как Visa и Mastercard совместно с Национальной системой платежных карт внедрят в стране сервис токенизации, рассказали «Ведомости». Мы решили чуть подробнее разобраться, что это за система, как она работает и какой от нее, в конечном итоге, прок.
Что это такое
Начнем с терминов. В статье по ссылке суть технологии объяснена не очень доходчиво. Да, есть некий ссылочный номер (токен), по которому сервис продавца идентифицирует клиента и запускает перевод денег. В своей основе токен – это нечто с очень низкой стоимостью, заменяющее нечто с высокой стоимостью. Точно также как фишка в казино обозначает наличность, пишет в блоге The Sequent Каушик Рой.
В системе электронных платежей токенизация стала использоваться для снижения рисков безопасности при сборе и передаче важных данных. Например, кредитного персонального номера PAN. В системе мобильной коммерции она сделала возможной бесконтактные платежи.
Рост рынка сдерживался лишь недоверием клиентов мобильным платежным системам. В ответ на этот запрос объединение EMV (Europay, Visa и Mastercard) выработало в начале 2014 года свой технический стандарт.
Как все будет работать
Вот как суть токенизации объясняется в блоге API-разработчика Джея Манчиокки на Mashery: «Токенизация включает в себя процесс замены «чувствительных» финансовых элементов данных их цифровыми и «не чувствительными» эквивалентами (токенами), которые сами по себе не имеют никакой ценности и не могут быть использованы злоумышленниками. Токены могут создаваться через математические формулы или через буквенно-цифровые случайные генераторы. Они призваны защитить любую персональную информацию, любые финансовые операции, включая торговлю на бирже».
Вместо того, чтобы передавать финансовые данные напрямую, мобильные платежные платформы будут использовать токены для подтверждения платежа. Поскольку процесс генерации токенов, как и сами они, не содержит никакой актуальной финансовой информации, считается, что такой способ оплаты в m-commerce на настоящий момент самый надежный. Обратный инжиниринг токена, к примеру, в PAN невозможен, утверждает автор блога Securosis.
Как все это работает на самом деле? Когда вы водите информацию о своей банковской карте на сайте продавца, она направляется на защищенный сетевой шлюз и специальное считывающее устройство, которое создает токен, чтобы провести транзакцию. Если сайт продавца взломан, эта информация будет для взломщиков бесполезной: никаких реальных данных о карте на нем нет. Вся оригинальная информация обитает в защищенном хранилище данных. Грубо говоря, в «облаке».
Кроме самих платежных систем, активно продвигающих новую идеологию и старающихся расширить географию ее применения, токенизация выгодна банкам и продавцам товаров или услуг. Дело не только в соображениях безопасности и привлечения на этой почве чувствительных к этой теме клиентов. Они сохранили за собой канал отслеживания операций клиента, который можно включить в программы лояльности.
Последняя спецификация EMV оставляет им эту возможность. В этой схеме последние 4 цифры PAN не обязательно постоянно токенизировать. Поэтому банки и продавцы могут, по-прежнему, отслеживать действия потребителей их товаров и услуг.
Еще одно преимущество токенизации для коммерческих компания состоит в том, что они будут тратить меньше средств на поддержку безопасности денежных переводов. Для небольших и средних торговых фирм это большое облегчение. Стандарты платежных систем (PCI) запрещают хранить информацию о кредитных картах на платежных терминалах ритейлеров или в их базах данных после транзакции. Для того чтобы стать участником этой системы, продавец обязан был устанавливать у себя дорогостоящие системы оперативного шифрования. Теперь достаточно отдать этот процесс на аутсорсинг оператору, который предоставляет услуги токенизации.
Насколько все эти плюсы новой технологии и уверения ее провайдеров в полной защищенности соответствуют реальности, российские пользователи смогут узнать уже совсем скоро.
Токенизация
Токенизация — это технология, позволяющая обезопасить мобильные платежи. Большинство бесконтактных платежей, включая мобильные (ApplePay, SamsungPay) подразумевают передачу данных о карте, в частности ее номер. В момент платежа электронное средство может быть скомпрометировано (например, передаваемая информация будет считана мошенником, располагающимся в непосредственной близости от карты или смартфона).
Технология токенизации позволяет заменить реальный номер карты клиента уникальным сгенерированным кодом — токеном (или «жетоном»), который будет использован только для конкретной покупки. Воспользоваться полученной информацией злоумышленник повторно уже не сможет, так как реальный номер карты не передается в явном виде, а токен уже использован. Для следующей покупки будет выдан новый токен.
Таким образом, даже после считывания сигнала смартфона в момент покупки и получения переданных им данных по беспроводному протоколу связи, злоумышленник имеет на руках лишь сгенерированный код (токен), который уже не примут для оплаты. При этом попытку повторного использования токена банк-эмитент легко сможет отследить.
Фактически выдачу токена инициализирует приложение, которое хранит данные оригинальной карты (такие сервисы как ApplePay или SamsungPay). Аналогичную схему реализует онлайн-сервис безопасных интернет-платежей MasterPass от MasterCard (данные самой карты в Интернет-магазин не передаются).
В настоящий момент токенизацию поддерживают платежные системы VISA и MasterCard, российская система «Мир» планирует внедрить технологию уже в 2017 году.
Токенизация карт в онлайн-коммерции — тренд 2021 года. Как она помогает бизнесу
Андрей Кононенко — Chief Product Officer финтех-компании Solid — в колонке для AIN.UA рассказал, какие задачи бизнеса решает токенизация карт в e-commerce и почему это тренд будущего.
Андрей Кононенко. Фото и изображения далее предоставлены автором
Пандемия коронавируса воздействовала практически на все экономики мира и тем или иным образом затронула каждую из сфер. Одно из немногих позитивных ее влияний можно заметить в онлайн-коммерции. За первую половину 2020 года только в США интернет-ритейл вырос на 30% по сравнению с тем же периодом 2019-го, что в шесть раз превышает годовые темпы роста онлайн-торговли в предыдущем году.
Использование электронных платежей также расширилось. Наметилось несколько главных трендов — рост бесконтактных платежей, онлайн-оплат, токенизация в e-commerce. Согласно анализу McKinsey, эти тренды заметны во всех географиях — в Европе, Америке, Азии.
Украина — не исключение. По данным Нацбанка, пандемия и карантин ускорили изменения платежных привычек украинцев. Количество операций по картам за девять месяцев 2020-го выросло на 18%. По данным за сентябрь, почти 40% карт, которыми осуществляются оплаты, — бесконтактные и токенизированные.
Вместе с ростом торговли в интернете встает вопрос безопасности. Будущее за теми технологиями, которые смогут улучшить пользовательский опыт, сделать оплаты надежными и увеличить выручку магазинов.
Что такое токенизация карт
Токенизация — это технология, при которой конфиденциальные данные банковской карты обмениваются на специальный токен. Он позволяет быстро и безопасно оплачивать интернет-покупки, защищая данные пользователя.
Прародителем этой технологии был Amazon. В начале 2000-х компания внедрила новацию: чтобы не запрашивать каждый раз карточные данные покупателя (номер, имя держателя карты, срок действия), их решили сохранять у себя, что упростило повторные платежи на сайте. При всех последующих покупках пользователь теперь смог оплатить товар в один клик.
Подобную технологию в дальнейшем начали применять для подписок. Любой подписочный сервис, который взимает плату за музыку, видео или другой контент, всегда использует токенизацию карточных данных.
Новая технология токенизации от Visa и MasterCard
Международные платежные системы (МПС) стандартизировали технологию токенизации. У Visa она называется Visa Token Service (VTS), у MasterCard — MasterCard Digital Enablement Service (MDES). Впервые ее запустили на электронных кошельках Apple и Google Pay. Сейчас доступ к технологии расширили.
Главным ее отличием от предыдущих версий стало то, что карточные данные пользователей хранятся исключительно на стороне платежных систем. Мерчант использует для проведения платежа уникальный идентификатор карты — токен. Токен выпускается платежной системой для конкретного мерчанта, и с помощью токена можно платить только в этом магазине. Перехватывать данные токена нет никакого смысла, потому что токен не будет работать при попытке заплатить на сайте другого мерчанта. Это большой шаг в безопасности электронных платежей.
Объясню разницу на примере Apple Pay.
Когда пользователь устанавливает кошелек и вводит туда впервые свои данные, Apple отправляет их Visa и Mastercard, а в ответ получает зашифрованный токен. С его помощью в дальнейшем будут проводиться все платежи. При инициализации платежа Apple по каждому телефону в мире получает от платежной системы отдельную криптограмму, которая «живет» всего 15 минут и подтверждает один конкретный платеж.
Криптограмму МПС выдает в связке с банком, выпустившим карту. Получается, что банк заранее подтверждает платеж, еще до того, как он совершится. Таким образом клиент защищен от утечки данных с его телефона, потому что теперь на телефоне хранится не карточка, а токен.
Если бы использовалась старая технология токенизации, то Apple хранил бы карточные данные пользователя на своих серверах. Это огромный массив чувствительной информации, что было бы слишком большим риском для компании и ее клиентов.
Как подключить токенизацию от Visa и MasterCard
Мерчанты (онлайн-магазины и другие сервисы, которые предоставляют услуги в интернете) пока не могут получить технологию от МПС напрямую. Причин несколько.
Чтобы хранить карточные данные, даже в зашифрованном виде, необходимо регулярно проходить аудит безопасности по стандарту PCI DSS. Для небольших продавцов это непосильная задача, а для больших — хоть и реализуемая, но затратная по финансам и другим ресурсам.
Крупные мерчанты, такие как Netflix или Uber имеют собственную токенизирующую систему и сохраняют карточные данные на своей стороне.
Небольшие мерчанты могут запустить токенизированные платежи через платежного сервис-провайдера, который сертифицирован по PCI DSS и подключил VTS/MDES.
Плюсы для мерчанта
Плюсы для держателей карт
За токенизацией — будущее
Visa и Mastercard сейчас сами вкладываются в продвижение технологии VTS/MDES. Они позиционируют ее как то, с чем мы будем работать в ближайшие десятилетия.
Каждый мерчант стремится наращивать выручку: инвестирует в сплит-тесты, улучшение продукта, маркетинговые исследования. Токенизация служит той же цели, но не требует дополнительных вложений.
На данный момент в мире не так много провайдеров, которые получили доступ к технологии токенизации карт напрямую от Visa и Mastercard, но со временем их будет становиться все больше. Мы в Solid сделали это в числе первых, потому что работаем, в основном, с клиентами на высококонкурентных рынках — в США, Канаде, Европе, Австралии.
Получат ли украинские мерчанты доступ к технологии VTS/MDES напрямую в ближайшем будущем, будет зависеть от самих платежных систем — как они захотят презентовать эту технологию. Такие гиганты, как Rozetka — вполне возможно. Более мелкие мерчанты — скорее нет. Для реализации такой интеграции от них потребуются слишком большие инвестиции.
Поэтому стоит задуматься о выборе платежного провайдера, подключившего VTS/MDES. Какую именно компанию выбрать, зависит от рынков, где работает мерчант, и от набора услуг, которые предоставляет провайдер.
Автор: Андрей Кононенко, Chief Product Officer в Solid
Что такое блокчейн токенизация и как она меняет мир
Перевод статьи Брэйди Луо, одного из основателей платформы everiToken, которая выступает коммерческой альтернативой Ethereum по созданию онлайн-сервисов на базе блокчейна.
Современная цифровая экономика основана на токенизации, которой пользуются миллиарды людей каждый день. Токенизация – это процесс замещения ценностей (таких как деньги, акции, номера кредитных карт, медицинские записи) на токены, отражающие эти ценности, что делает торговлю ими проще и безопаснее. Это может показаться далёким, но токенизация оказывает глубокое влияние на нашу жизнь и может преобразить целые отрасли.
Оплата товаров через интернет была бы намного более рискованным делом, если бы не токенизация. Конфиденциальные данные кредитной карты преобразуются в цифровой токен, который бесполезен для хакеров, но используется банками для завершения платежа. Компании выпускают цифровые заменители акций и других ценных бумаг вместо бумажных носителей, потому что это безопаснее и эффективнее.
Хотя люди уже используют токены ежедневно (большинство и не подозревают об этом), истинный потенциал токенизации раскрывается только сейчас благодаря влиянию блокчейна. Блокчейн позволяет безопасно и эффективно токенизировать широкий спектр реальных активов и бизнесов, предоставляя новые преимущества и приложения для самых разных отраслей, таких как искусство или здравоохранение. Фактически, токенизация с помощью блокчейна позволила создать совершенно новый инструмент для торговли и сбора средств – секьюрити-токена.
Сбор средств с помощью размещения секьюрити-токенов (STO) часто обходится дешевле, чем традиционные методы, такие как венчурный капитал или первичное размещение акций (IPO). При этом соблюдаются нормативные требования, увеличивается скорость выдачи и предоставляется возможность ориентироваться на более широкий круг потенциальных инвесторов. Инвесторы могут повысить уровень ликвидности активов быстрее, чем при венчурном капитале, круглосуточно торговать на вторичных рынках и быстрее проводить транзакции, а мелкие инвесторы могут участвовать в крупных институциональных сделках.
Тем не менее, токенизация продолжает сталкиваться с проблемами. Примеров её применения всё ещё немного, а это означает, что рынок остается непроверенным. В результате институциональные игроки неохотно участвуют в больших проектах по токенизации, и вследствие этого на рынке не хватает ликвидности. Эта институциональная отчужденность также частично объясняется сохраняющейся нормативно-правовой неопределенностью с наличием вопросов, оставшимися без ответа. Не всегда ясно, когда именно происходит расчет по основным активам. Отсутствие стандартизации протоколов и технологий приводит к проблемам совместимости и внедрения. Хранение цифровых активов также не совсем проверено, поэтому является отчасти рискованным.
Токенизация представляет убедительное решение этих проблем, открывая двери для массового владения ценными предметами коллекционирования. Например, право собственности на Микеланджело можно разделить между десятками тысяч людей, которые могут владеть «акциями» картины, что позволяет им получать дивиденды от выставочных сборов и продавать свои акции в любое время на вторичной бирже. Современные художники также могут использовать токенизацию для сбора средств на новые работы.
Эмитенты, такие как корпорации и правительства, должны убедиться, что достаточное количество инвесторов предлагают адекватную цену за их долговые обязательства по привлекательным процентным ставкам. Если слишком мало инвесторов заинтересованы в приобретении долга, эмитенты должны либо повысить процентные ставки по своим облигациям, либо согласиться на меньшую сумму привлеченных средств, чем первоначально планировали. Это потенциально вынуждает эмитентов искать дополнительное финансирование и ухудшает их кредитный рейтинг. Токенизация долгов позволяет мелким инвесторам участвовать в покупке выпущенных долговых обязательств, что увеличивает общий пул инвесторов и помогает эмитентам достичь своих целевых показателей финансирования. Достаточно большой пул инвесторов создаст давление для понижения процентных ставок и позволит эмитентам обеспечить финансирование по более дешевым ставкам.
MintHealth использует блокчейн-решение для предоставления защищенной и целостной записи медицинских данных пациента, разработанное для обеспечения взаимодействия с различными медицинскими учреждениями при сохранении полной анонимности пациента. Швейцарский фонд HIT (Health Information Traceability) также проводит токенизацию данных о пациентах, стимулируя людей делиться своими медицинскими данными с медицинскими страховыми компаниями. Emrify разрабатывает «Паспорт здоровья», децентрализованную личную медицинскую карту, хранящуюся в блокчейне Ethereum, которая призвана обеспечить широкому кругу медицинских работников быстрый доступ к медицинским данным. Zhiyuan Hui, крупнейшая в мире организация волонтеров, объединилась с everiToken для токенизации данных о волонтерстве для своих 71 млн пользователей в 1 квартале 2019 года. MDW заключил партнерские отношения с Bitfury и Longensis, чтобы создать рынок для токенизированных радиологических данных.
Французская страховая компания AXA выпустила страховой продукт на базе блокчейна под названием fizzy. Etherisc запустил страхование задержек рейсов и разрабатывает ряд других. Швейцарская компания B3i выпустила продукт страхования имущества от несчастных случаев в январе 2019 года. Insurwave, совместное предприятие EY и Guardtime, используется крупными коммерческими перевозчиками для страхования морских судов.
Оригинальные источники: 1 часть и 2 часть статьи.
Токенизация карточки: что это такое и зачем она вам нужна?
Интернет-платежи стали нормой для всех. Однако с развитием электронной коммерции не менее активно растет и киберпреступность. В противовес последней сервисы онлайн-платежей и платежные системы внедряют различные протоколы безопасности и технологии защиты данных пользователей.
В наши дни самой безопасной технологией защиты информации в сфере электронной коммерции является токенизация. Что это такое, зачем она нужна и как токенизировать свою карту для безопасных платежей в интернете, рассказываем далее.
Что такое токенизация с точки зрения защиты данных банковских карт?
Токенизация – это разновидность шифрования. В онлайн-транзакциях она используется для защиты данных банковских карточек. Например, когда вы хотите рассчитаться в выбранном интернет-магазине, или оплачиваете коммуналку, то в отведенном окошке вводите номер своей карты, ее срок действия и CVV. В этот момент вы сообщаете информацию о карте стороннему ресурсу, который может сохранять ее. А еще хуже – сохранять информацию недостаточно хорошо защищенной, что плохо для вас, и хорошо для злоумышленников.
А вот технология токенизации повышает безопасность платежей в интернет-среде. Она защищает данные пользователей во время онлайн-транзакций будь это оплата картой или смартфоном.
Как работает токенизация данных
В процессе покупки чего-либо в интернете есть три действующих лица. Вы – покупатель, сервис онлайн-платежей и допустим интернет-магазин, который продает корм для вашего кота. Этот магазин является партнером сервиса онлайн-платежей.
Если этот сервис использует токенизацию, вам нечего бояться. Во время такой операции информация о вашей банковской карте подается через защищенный сетевой шлюз и специальное устройство, которое шифрует данные в уникальный токен (шифр). И только потом сервис передает этот шифр дальше для осуществления транзакции.
То есть интернет-магазин, где вы совершаете покупки, не имеет доступа к данным вашей карты. Ему известен только токен. Даже если токеном, уникальным для каждой транзакции, завладеют третьи лица – они не смогут выполнить с ним никаких операций.
Наглядно о том, как работает токенизация рассказываем в нашем видео:
Как защитить свою карту здесь и сейчас
Очень просто, – необходимо включить ее токенизацию в сервисе онлайн-платежей. Например, компания Portmone использует технологии токенизации VISA Token Service и цифровую платформу MDES for Merchants от Mastercard. Это позволяет платежной системе Portmone обезопасить расчет картами VISA и Mastercard в интернете для своих клиентов.
Как токенизировать собственную карточку в сервисе Portmone.com
Если вы еще не зарегистрированы в сервисе Portmone, сделайте это на сайте portmone.com или загрузите наше приложение и зарегистрируйтесь в нем.
А дальше нужно выполнить следующие шаги:
В дальнейшем при оплате услуг, покупках в интернете и других транзакциях с помощью сервиса Portmone к вашей карте будет применяться токенизация. Будьте уверены в безопасности своих онлайн-платежей.
Мы также подготовили короткий видео-гайд, как токенизировать карту в нашей платежной системе. Смотрите, подключайте и пользуйтесь своими картами в интернете безопасно.
