Токенизация в России: Как будет работать «безопасная» технология бесконтактных платежей от Visa и Mastercard

    К концу 2016 года в России должны заработать платежные мобильные приложения Apple Pay, Samsung Pay и Android Pay на основе бесконтактной технологии. Это станет возможно, после того, как Visa и Mastercard совместно с Национальной системой платежных карт внедрят в стране сервис токенизации, рассказали «Ведомости». Мы решили чуть подробнее разобраться, что это за система, как она работает и какой от нее, в конечном итоге, прок.


    / фото Robert Scoble CC

    Что это такое


    Начнем с терминов. В статье по ссылке суть технологии объяснена не очень доходчиво. Да, есть некий ссылочный номер (токен), по которому сервис продавца идентифицирует клиента и запускает перевод денег. В своей основе токен – это нечто с очень низкой стоимостью, заменяющее нечто с высокой стоимостью. Точно также как фишка в казино обозначает наличность, пишет в блоге The Sequent Каушик Рой.

    В системе электронных платежей токенизация стала использоваться для снижения рисков безопасности при сборе и передаче важных данных. Например, кредитного персонального номера PAN. В системе мобильной коммерции она сделала возможной бесконтактные платежи.

    Конечного пользователя волнует, по сути, лишь удобство при проведении расчетов и сохранность средств на банковском счете. Но изначально токенизация была заточена под развивающийся взрывными темпами рынок мобильной коммерции. В 2014 году, когда платежные сервисы начали активно внедрять новую технологию, аналитики из eMarketer предсказывали рост этого сегмента электронной коммерции на треть в 2015 году. Goldman Sachs прогнозировал увеличение его объема до $626 млрд. к 2018 году.

    Рост рынка сдерживался лишь недоверием клиентов мобильным платежным системам. В ответ на этот запрос объединение EMV (Europay, Visa и Mastercard) выработало в начале 2014 года свой технический стандарт.

    Как все будет работать


    Вот как суть токенизации объясняется в блоге API-разработчика Джея Манчиокки на Mashery: «Токенизация включает в себя процесс замены «чувствительных» финансовых элементов данных их цифровыми и «не чувствительными» эквивалентами (токенами), которые сами по себе не имеют никакой ценности и не могут быть использованы злоумышленниками. Токены могут создаваться через математические формулы или через буквенно-цифровые случайные генераторы. Они призваны защитить любую персональную информацию, любые финансовые операции, включая торговлю на бирже».

    Вместо того, чтобы передавать финансовые данные напрямую, мобильные платежные платформы будут использовать токены для подтверждения платежа. Поскольку процесс генерации токенов, как и сами они, не содержит никакой актуальной финансовой информации, считается, что такой способ оплаты в m-commerce на настоящий момент самый надежный. Обратный инжиниринг токена, к примеру, в PAN невозможен, утверждает автор блога Securosis.

    Как все это работает на самом деле? Когда вы водите информацию о своей банковской карте на сайте продавца, она направляется на защищенный сетевой шлюз и специальное считывающее устройство, которое создает токен, чтобы провести транзакцию. Если сайт продавца взломан, эта информация будет для взломщиков бесполезной: никаких реальных данных о карте на нем нет. Вся оригинальная информация обитает в защищенном хранилище данных. Грубо говоря, в «облаке».

    Кроме самих платежных систем, активно продвигающих новую идеологию и старающихся расширить географию ее применения, токенизация выгодна банкам и продавцам товаров или услуг. Дело не только в соображениях безопасности и привлечения на этой почве чувствительных к этой теме клиентов. Они сохранили за собой канал отслеживания операций клиента, который можно включить в программы лояльности.

    Последняя спецификация EMV оставляет им эту возможность. В этой схеме последние 4 цифры PAN не обязательно постоянно токенизировать. Поэтому банки и продавцы могут, по-прежнему, отслеживать действия потребителей их товаров и услуг.

    Еще одно преимущество токенизации для коммерческих компания состоит в том, что они будут тратить меньше средств на поддержку безопасности денежных переводов. Для небольших и средних торговых фирм это большое облегчение. Стандарты платежных систем (PCI) запрещают хранить информацию о кредитных картах на платежных терминалах ритейлеров или в их базах данных после транзакции. Для того чтобы стать участником этой системы, продавец обязан был устанавливать у себя дорогостоящие системы оперативного шифрования. Теперь достаточно отдать этот процесс на аутсорсинг оператору, который предоставляет услуги токенизации.

    Насколько все эти плюсы новой технологии и уверения ее провайдеров в полной защищенности соответствуют реальности, российские пользователи смогут узнать уже совсем скоро.

    Статьи и ссылки от ITinvest по теме:


    ITI Capital 258,32
    Лучший онлайн-брокер для работы на бирже
    Поделиться публикацией
    Комментарии 16
    • 0
      Спасибо за статью.
      Но иногда, мне кажется что для того, чтобы обезопасить платежи, нужно просто тупо что-нибудь новое разрабатывать. Даже неважно насколько безопасное, ключевое слово — постоянно.

      И постоянно хакеры будут это ломать, но если разработка не будет останавливаться, то методы взлома не успеют войти в массы, и так и будет — вечный небезопасный платеж на очередной новой технологии, и маленький процент хакеров в тренде, которые в нем разобраться и что-то подхачить. Затем все по новой. Лишь бы не остановиться на месте на год-два, чтобы способы взлома не появились на каком-нить пикабу.
      • 0
        А как устроена оплата через приложение Тиньков для телефонов Android с NFC? Я думал, что Apple/Google Pay работают по аналогичному принципу, и вопрос работоспособности этих технологий лежал лишь в юридической плоскости.
        • 0
          Не знаю насчет Тинькова, но в «Кошельке» (который cardsmobile для любых устройств с 4.4 и NFC) и Google Pay используется Host Card Emulation, вроде бы работающий так, как описано в статье (т.е. клиенту отдается только одноразовый токен), а у Apple и более старых «кошельков» все завязано на Secure Element, работающий как чип в настоящей PayPass-карте.
        • 0
          Как все это работает на самом деле? Когда вы водите информацию о своей банковской карте на сайте продавца, она направляется на защищенный сетевой шлюз и специальное считывающее устройство, которое создает токен, чтобы провести транзакцию. Если сайт продавца взломан, эта информация будет для взломщиков бесполезной: никаких реальных данных о карте на нем нет. Вся оригинальная информация обитает в защищенном хранилище данных. Грубо говоря, в «облаке».

          Что за чушь. Когда сайт продавца взломан, мониторятся поля ввода и вся информация прекрасно собирается взломщиком до того, как она попадёт в облако.
          • 0
            Под взломом подразумевается доступ к базе данных, где могут храниться данные о клиентах, включая номера карточки.

            Отследить, что на сайте выполняется чужой код — не так уж и сложно, и провисит оно там не так уж и долго — много ли данных соберет?

            А скопировать базу клиентов за последние 2-3 года с готовыми данными — это совсем другое дело.
            • 0
              Ну и чем это отличается от токенизации? Если продавец зачем-то записал номер карточки себе в базу, то какая разница, использовал ли он при этом токенизацию или нет?
              • 0
                токен каждый раз выдается новый на конкретную операцию.
                А данные карточки можно использовать, чтобы например снять сразу наличку в банкомате, или оплатить что-то в другом магазине, плюс чтобы пользоваться социальным инженерингом.
            • 0
              На сайте продавца нет ввода данных карточки.
            • +4
              Я ничего не понял©.

              Что такое токен? Почему владелец карты может что-то оплатить токеном, а злоумышленник не может?
              • 0
                ++++)
                • 0
                  Потому что токен генерируется каждый раз новый для новой транзакции. Украв старый токен ничего сделать нельзя — по нему уже была проведена операция и новую провести невозможно.
                  • 0
                    Не совсем так. Всякие оффлайн-платежи (допустим, по подписке с карты снимают сумму раз в месяц) тоже работают через токенизацию. Токен в таком сценарии переиспользуется.
                • +1
                  Много текста и мало смысла. Описание того «как будет работать «безопасная» технология бесконтактных платежей от Visa и Mastercard» видимо надо искать по ссылкам на оригинальные статьи?
                  • 0
                    Собственно, технология токенизации далеко не нова, и используется в других странах.

                    Насколько я понял, то, что делают у нас сейчас — это внедрение внутреннего сервиса токенизации. Эдакий отечественный аналог Stripe и иже с ними.

                    Таким образом обходится ограничение на передачу данных на иностранные сервера, в соответствии с Российским законодательством.
                    Реально информация о банковских картах передается только на сервер токенизации (который теперь будет внутри страны).
                    • +1
                      Яндекс.Деньги уже имеют бесконтактные платежи…
                      • 0
                        Менеджера/сеошника посадили писать статью?

                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                        Самое читаемое