Токенизация банковских карт: что это и в чем плюсы данной технологии

Оплачивая покупку в интернет-магазине, вы вводите на платежной странице номер банковской карты, срок ее действия и проверочный код, тем самым передавая конфиденциальные данные третьей стороне. Технология токенизации защищает платежную информацию во время совершения такой операции, будь то онлайн-оплата банковской картой или электронным кошельком Apple Pay & Google Pay. О том, что такое токен и токенизация банковских карт, в чем преимущества технологии для бизнеса и плательщика и как она устроена в Fondy, пойдет речь в этом материале.

Что такое токенизация

Токенизация (tokenization) – процесс замены конфиденциальных данных банковской карты, таких как номер, срок действия и проверочный код, на уникальный идентификатор, называемый токеном. То есть вместо хранения фактических данных по банковской карте генерируется шифр – именно он и используется в дальнейшем для ее идентификации.

При оплате товара с помощью токенизированной карты интернет-магазину передаются не оригинальные банковские реквизиты, а лишь токен. Продавец может применить его для авторизации платежа, но не для получения конфиденциальных данных банковской карты.

Одно из основных преимуществ токенизации банковских карт – кардинальное снижение риска утечки секретных данных: если система, хранящая токены, подвергнется взлому, злоумышленники получат набор абстрактных многозначных чисел, которые нельзя использовать без дополнительной информации. Еще одно преимущество заключается в том, что различные платежные системы (ПС) и сервисы могут обмениваться токенами без раскрытия фактических данных банковских карт, что облегчает выполнение кросс-платформенных транзакций.

Впервые технология токенизации была применена в начале 2000-х годов. Провайдер TrustCommerce разработал способ преобразования платежных данных банковских карт клиентов компании Classmates в токены для снижения рисков хранения уязвимой информации. В созданном им сервисе под названием Citadel плательщики могли применять их вместо реальных реквизитов банковских карт, а обработку транзакций по картам от имени мерчанта брал на себя TrustCommerce. Новая технология давала возможность интернет-магазинам и другим бизнесам быстро принимать повторные оплаты банковскими картами без необходимости хранить платежные данные покупателей в системе.

Массовому внедрению токенизации способствовал принятый в 2004 году стандарт Payment Card Industry Data Security Standard (PCI DSS), предназначенный в первую очередь для банков и установивший требования к защите хранимой и передаваемой конфиденциальной информации по банковским картам.

Сегодня токенизация банковских карт стала широко распространенной практикой в платежной индустрии и потому интегрирована в разные платформы и системы, включая онлайн-торговлю, мобильные платежи, а также другие электронные платежные сервисы. В частности, работа электронных кошельков Apple Pay и Google Pay построена именно на использовании токенов. Примечательно, что даже в устройствах IoT (Internet of Things, в переводе с англ. – «интернет вещей»), способных осуществлять платежи, токенизация может использоваться для обеспечения безопасности и ограничения доступа к финансовым данным в системе.

Как работает токенизация

Ранее мы упоминали, что при токенизации конфиденциальные платежные данные заменяются на уникальные идентификаторы (токены), которые далее применяются для идентификации банковской карты в системе во время проведения платежа. Хотя процесс может варьироваться в зависимости от используемой ПС или провайдера, однако основной алгоритм включает следующие шаги:

1. Сбор данных. Система получает от плательщика номер банковской карты, срок ее действия и CVV/CVC-код (то есть проверочный код карты).
2. Генерация токена. Вместо хранения фактических данных по банковской карте провайдер токенизации или ПС создает уникальный токен – идентификатор, который привязывается к оригинальным реквизитам банковской карты.
3. Хранение. Такой токен вместе с соответствующей информацией о банковской карте (например, последние четыре цифры номера карты) хранится в защищенной базе данных сервис-провайдера или ПС. Притом оригинальные карточные реквизиты в полном объеме не сохраняются.
4. Применение. При оплате вместо фактических данных банковской карты используется токен. Он передается между участниками платежной операции (банком-эквайером, банком-эмитентом, ПС и другими участниками) и применяется для идентификации карточного счета и авторизации транзакции.

Алгоритмы токенизации банковских карт могут использовать различные методы шифрования и генерации токенов, такие как симметричное или асимметричное шифрование, хеш-функции или другие криптографические технологии. Конкретный способ может быть запатентован каждым поставщиком услуг.

Так, в международной платежной системе (МПС) Mastercard он называется Mastercard Digital Enablement Service (MDES), а в Visa – Visa Token Service (VTS). Вначале технологии токенизации банковских карт MDES и VTS использовались только для электронных кошельков Apple Pay и Google Pay. Затем эту технологию масштабировали на другие финансовые сервисы (например, Garmin Pay), что говорит о ее надежности и актуальности в сфере банковских и связанных с ними услуг.

Основной отличительной особенностью VTS и MDES является то, что конфиденциальные данные плательщиков хранятся именно в МПС, которая несет за это ответственность. Для каждого конкретного мерчанта (будь это интернет-магазин или другой бизнес) платежная система выпускает свой токен (он называется network token – сетевой токен), используемый только у этого продавца при совершении оплат картами. Даже если злоумышленники завладеют этим токеном, применить его в другом интернет-магазине невозможно. Таким образом обеспечивается безопасность при хранении и передаче данных о банковских картах.

В чем плюсы токенизации для бизнеса

Токенизация банковских карт несет с собой массу преимуществ для предпринимателей. Вот некоторые из них:

• Более высокая безопасность платежной информации. Взамен фактических данных банковской карты, что могут быть похищены или скомпрометированы, у интернет-магазина есть только абстрактный токен, которым нельзя воспользоваться без соответствующей привязки к банковской карте плательщика. Это позволяет снизить риск утечки секретных данных, а также улучшить общую безопасность платежных операций с банковскими картами.
• Легче выполнить требования регуляторов и стандартов безопасности. Вместо хранения конфиденциальной информации (такой как реквизиты банковских карт) бизнес может сосредоточиться на защите токенов, что заметно уменьшает риски и трудности, связанные с финансовыми транзакциями.
• Более простая интеграция с различными платформами. Платежные сервисы, системы, различные торговые платформы могут обмениваться токенами, что облегчает совершение транзакций, а также обеспечивает большую гибкость для бизнеса.
• Удобство. Токенизация банковских карт упрощает процесс оплаты. Клиенту не нужно вводить оригинальные банковские реквизиты каждый раз, когда он оплачивает покупку в интернет-магазине. Это увеличивает конверсию онлайн-платежей по картам и, соответственно, объем продаж.

Таким образом, токенизация банковских карт является привлекательным решением для компаний, что имеют дело с платежными данными и стремятся обеспечить безопасность своих клиентов. Также токенизация находит применение в других сферах, где необходимы защита и удобство обработки уязвимых данных.

Преимущества для покупателей

Стоит отметить, что токенизация банковских карт выгодна не только для мерчантов, но также и для их клиентов. Вот четыре наиболее значимых преимущества:

• Платежи в один клик. Токенизация делает более комфортным процесс повторных интернет-оплат. После первой транзакции платежная система или провайдер могут токенизировать банковскую карту, и покупателю не придется вводить ее реквизиты каждый раз во время последующих оплат, так как используется токен.
• Снижение риска мошенничества. Токены не содержат фактической информации о банковской карте и потому не несут никакой ценности для злоумышленников. Если банковская карта была скомпрометирована, токенизация гарантирует, что у злоумышленников не будет возможности использовать полученные данные, потому что токены – это не настоящие номера банковских карт. Пользователь может легко аннулировать старый токен и заменить его новым, что никак не повлияет на основной банковский счет. Кроме того, если поставщик услуг реализует дополнительные меры безопасности, такие как двухфакторная аутентификация для подтверждения подлинности банковских транзакций и предотвращения обмана, то это снизит риски для плательщика.
• Обеспечение приватности. Токены имеют лимитированный срок действия и могут быть ограничены по определенным параметрам, что позволяет более детально управлять доступом к финансовым данным пользователей. Это сохраняет их приватность и недоступность для злоумышленников даже в случае непредвиденной утечки информации в системе.
• Более высокая конверсия платежей. Это важное преимущество не только для мерчанта, но и для покупателя, так как он сможет оплатить банковской картой в интернет-магазине и получить желанный товар быстро и без проблем.

Резюме

Токенизация является сегодня наиболее надежным, безопасным и удобным способом совершения платежей в мировой индустрии eCommerce. Если ваш платежный провайдер применяет токенизацию банковских карт для приема оплат от клиентов, мы рекомендуем воспользоваться такой услугой.