Токенизация банковских карт: что это и в чем плюсы данной технологии

Токенизация банковских карт: что это и в чем плюсы данной технологии

Оплачивая покупку в интернет-магазине, вы вводите на платежной странице номер банковской карты, срок ее действия и проверочный код, тем самым передавая конфиденциальные данные третьей стороне. Технология токенизации защищает платежную информацию во время совершения такой операции, будь то онлайн-оплата банковской картой или электронным кошельком Apple Pay & Google Pay. О том, что такое токен и токенизация банковских карт, в чем преимущества технологии для бизнеса и плательщика и как она устроена в Fondy, пойдет речь в этом материале.

Что такое токенизация

Токенизация (tokenization) – процесс замены конфиденциальных данных банковской карты, таких как номер, срок действия и проверочный код, на уникальный идентификатор, называемый токеном. То есть вместо хранения фактических данных по банковской карте генерируется шифр – именно он и используется в дальнейшем для ее идентификации.

При оплате товара с помощью токенизированной карты интернет-магазину передаются не оригинальные банковские реквизиты, а лишь токен. Продавец может применить его для авторизации платежа, но не для получения конфиденциальных данных банковской карты.

Одно из основных преимуществ токенизации банковских карт – кардинальное снижение риска утечки секретных данных: если система, хранящая токены, подвергнется взлому, злоумышленники получат набор абстрактных многозначных чисел, которые нельзя использовать без дополнительной информации. Еще одно преимущество заключается в том, что различные платежные системы (ПС) и сервисы могут обмениваться токенами без раскрытия фактических данных банковских карт, что облегчает выполнение кросс-платформенных транзакций.

Впервые технология токенизации была применена в начале 2000-х годов. Провайдер TrustCommerce разработал способ преобразования платежных данных банковских карт клиентов компании Classmates в токены для снижения рисков хранения уязвимой информации. В созданном им сервисе под названием Citadel плательщики могли применять их вместо реальных реквизитов банковских карт, а обработку транзакций по картам от имени мерчанта брал на себя TrustCommerce. Новая технология давала возможность интернет-магазинам и другим бизнесам быстро принимать повторные оплаты банковскими картами без необходимости хранить платежные данные покупателей в системе.

Массовому внедрению токенизации способствовал принятый в 2004 году стандарт Payment Card Industry Data Security Standard (PCI DSS), предназначенный в первую очередь для банков и установивший требования к защите хранимой и передаваемой конфиденциальной информации по банковским картам.

Сегодня токенизация банковских карт стала широко распространенной практикой в платежной индустрии и потому интегрирована в разные платформы и системы, включая онлайн-торговлю, мобильные платежи, а также другие электронные платежные сервисы. В частности, работа электронных кошельков Apple Pay и Google Pay построена именно на использовании токенов. Примечательно, что даже в устройствах IoT (Internet of Things, в переводе с англ. – «интернет вещей»), способных осуществлять платежи, токенизация может использоваться для обеспечения безопасности и ограничения доступа к финансовым данным в системе.

Как работает токенизация

Ранее мы упоминали, что при токенизации конфиденциальные платежные данные заменяются на уникальные идентификаторы (токены), которые далее применяются для идентификации банковской карты в системе во время проведения платежа. Хотя процесс может варьироваться в зависимости от используемой ПС или провайдера, однако основной алгоритм включает следующие шаги:

  1. Сбор данных. Система получает от плательщика номер банковской карты, срок ее действия и CVV/CVC-код (то есть проверочный код карты).
  2. Генерация токена. Вместо хранения фактических данных по банковской карте провайдер токенизации или ПС создает уникальный токен – идентификатор, который привязывается к оригинальным реквизитам банковской карты.
  3. Хранение. Такой токен вместе с соответствующей информацией о банковской карте (например, последние четыре цифры номера карты) хранится в защищенной базе данных сервис-провайдера или ПС. Притом оригинальные карточные реквизиты в полном объеме не сохраняются.
  4. Применение. При оплате вместо фактических данных банковской карты используется токен. Он передается между участниками платежной операции (банком-эквайером, банком-эмитентом, ПС и другими участниками) и применяется для идентификации карточного счета и авторизации транзакции.

Алгоритмы токенизации банковских карт могут использовать различные методы шифрования и генерации токенов, такие как симметричное или асимметричное шифрование, хеш-функции или другие криптографические технологии. Конкретный способ может быть запатентован каждым поставщиком услуг.

Так, в международной платежной системе (МПС) Mastercard он называется Mastercard Digital Enablement Service (MDES), а в Visa – Visa Token Service (VTS). Вначале технологии токенизации банковских карт MDES и VTS использовались только для электронных кошельков Apple Pay и Google Pay. Затем эту технологию масштабировали на другие финансовые сервисы (например, Garmin Pay), что говорит о ее надежности и актуальности в сфере банковских и связанных с ними услуг.

Основной отличительной особенностью VTS и MDES является то, что конфиденциальные данные плательщиков хранятся именно в МПС, которая несет за это ответственность. Для каждого конкретного мерчанта (будь это интернет-магазин или другой бизнес) платежная система выпускает свой токен (он называется network token – сетевой токен), используемый только у этого продавца при совершении оплат картами. Даже если злоумышленники завладеют этим токеном, применить его в другом интернет-магазине невозможно. Таким образом обеспечивается безопасность при хранении и передаче данных о банковских картах.

В чем плюсы токенизации для бизнеса

Токенизация банковских карт несет с собой массу преимуществ для предпринимателей. Вот некоторые из них:

  • Более высокая безопасность платежной информации. Взамен фактических данных банковской карты, что могут быть похищены или скомпрометированы, у интернет-магазина есть только абстрактный токен, которым нельзя воспользоваться без соответствующей привязки к банковской карте плательщика. Это позволяет снизить риск утечки секретных данных, а также улучшить общую безопасность платежных операций с банковскими картами.
  • Легче выполнить требования регуляторов и стандартов безопасности. Вместо хранения конфиденциальной информации (такой как реквизиты банковских карт) бизнес может сосредоточиться на защите токенов, что заметно уменьшает риски и трудности, связанные с финансовыми транзакциями.
  • Более простая интеграция с различными платформами. Платежные сервисы, системы, различные торговые платформы могут обмениваться токенами, что облегчает совершение транзакций, а также обеспечивает большую гибкость для бизнеса.
  • Удобство. Токенизация банковских карт упрощает процесс оплаты. Клиенту не нужно вводить оригинальные банковские реквизиты каждый раз, когда он оплачивает покупку в интернет-магазине. Это увеличивает конверсию онлайн-платежей по картам и, соответственно, объем продаж.

Таким образом, токенизация банковских карт является привлекательным решением для компаний, что имеют дело с платежными данными и стремятся обеспечить безопасность своих клиентов. Также токенизация находит применение в других сферах, где необходимы защита и удобство обработки уязвимых данных.

Преимущества для покупателей

Стоит отметить, что токенизация банковских карт выгодна не только для мерчантов, но также и для их клиентов. Вот четыре наиболее значимых преимущества:

  • Платежи в один клик. Токенизация делает более комфортным процесс повторных интернет-оплат. После первой транзакции платежная система или провайдер могут токенизировать банковскую карту, и покупателю не придется вводить ее реквизиты каждый раз во время последующих оплат, так как используется токен.
  • Снижение риска мошенничества. Токены не содержат фактической информации о банковской карте и потому не несут никакой ценности для злоумышленников. Если банковская карта была скомпрометирована, токенизация гарантирует, что у злоумышленников не будет возможности использовать полученные данные, потому что токены – это не настоящие номера банковских карт. Пользователь может легко аннулировать старый токен и заменить его новым, что никак не повлияет на основной банковский счет. Кроме того, если поставщик услуг реализует дополнительные меры безопасности, такие как двухфакторная аутентификация для подтверждения подлинности банковских транзакций и предотвращения обмана, то это снизит риски для плательщика.
  • Обеспечение приватности. Токены имеют лимитированный срок действия и могут быть ограничены по определенным параметрам, что позволяет более детально управлять доступом к финансовым данным пользователей. Это сохраняет их приватность и недоступность для злоумышленников даже в случае непредвиденной утечки информации в системе.
  • Более высокая конверсия платежей. Это важное преимущество не только для мерчанта, но и для покупателя, так как он сможет оплатить банковской картой в интернет-магазине и получить желанный товар быстро и без проблем.

Как работает токенизация в Fondy

Fondy заботится о безопасности конфиденциальных данных своих клиентов, а также об удобстве оплат для них в интернете. Именно поэтому мы токенизируем банковские карты плательщиков, совершающих транзакции в нашей платежной системе. Как это работает: когда покупатель производит первый платеж через наш шлюз, вводя реквизиты своей банковской карты, мы на основании этих данных генерируем и выдаем мерчанту так называемый gateway token (токен шлюза). При повторных покупках мерчант передает его в Fondy, а мы по нему определяем network token, то есть сетевой токен, к которому привязана банковская карта клиента в Visa или Mastercard. Таким образом, оригинальные реквизиты банковских карт, в частности основной номер счета (на англ. Primary Account Number, сокращенно – PAN), в повторных платежах не участвуют – мы используем только сетевые токены Visa или Mastercard. Это означает, что все данные плательщиков в нашей системе надежно защищены от возможных мошеннических операций.

Одно из основных преимуществ сетевого токена в том, что при перевыпуске банковской карты токен продолжает действовать и автоматически переподвязывается к новой карте, а это увеличивает конверсию повторных платежей. Кроме того, такие оплаты могут быть защищены от чарджбеков аналогично платежам с 3D Secure.

Токенизация повышает конверсию платежей по сохраненным картам клиентов до 5%. Это обеспечивается благодаря автоматическому обновлению токена банковской карты, то есть если она была перевыпущена или срок ее действия истек. Кроме того, такая технология повышает удобство оплат по сохраненным банковским картам, ведь клиентам не надо перепривязывать и верифицировать свои перевыпущенные карты, они автоматически обновятся в Fondy.

Андрей Воронин,
сооснователь и генеральный директор Fondy

Резюме

Токенизация является сегодня наиболее надежным, безопасным и удобным способом совершения платежей в мировой индустрии eCommerce. Если ваш платежный провайдер применяет токенизацию банковских карт для приема оплат от клиентов, мы рекомендуем воспользоваться такой услугой.

Подключите Fondy, чтобы получить доступ к современным платежным решениям

Хотите узнать больше?

Читайте другие полезные материалы от первоисточника
Валерия Вагоровская
Валерия Вагоровская

Соосновательница и управляющий партнер Fondy

КомментарииMindЛІГА