Токенізація банківських карток: що це і в чому плюси технології

Оплачуючи покупку в інтернет-магазині, ви вводите на платіжній сторінці номер банківської картки, термін її дії та код перевірки, тим самим передаючи конфіденційні дані третій стороні. Технологія токенізації захищає платіжну інформацію під час здійснення такої операції, чи то онлайн-оплата банківською карткою, чи то платіж електронним гаманцем Apple Pay & Google Pay. Про те, що таке токен і токенізація банківських карток, у чому переваги технології для бізнесу та платника і як вона влаштована у Fondy, йтиметься у цьому матеріалі.

Що таке токенізація

Токенізація (tokenization) – процес заміни конфіденційних даних банківської картки, таких як номер, термін дії та код перевірки, на унікальний ідентифікатор, званий токеном. Тобто замість зберігання фактичних даних щодо банківської картки генерується шифр – саме він й використовується надалі для її ідентифікації.

При оплаті товару за допомогою токенізованої картки інтернет-магазину передаються не оригінальні банківські реквізити, а лише токен. Продавець може застосувати його для авторизації платежу, але не для отримання конфіденційних даних банківської картки.

Одна з основних переваг токенізації банківських карток – кардинальне зниження ризику витоку секретних даних: якщо система, яка зберігає токени, зазнає злому, зловмисники отримають набір абстрактних багатозначних чисел, які не можна використовувати без додаткової інформації. Ще одна перевага полягає в тому, що різні платіжні системи (ПС) та сервіси можуть обмінюватися токенами без розкриття фактичних даних банківських карток, що полегшує виконання кросплатформних транзакцій.

Вперше технологію токенізації було застосовано на початку 2000-х років. Провайдер TrustCommerce розробив спосіб перетворення платіжних даних банківських карток клієнтів компанії Classmates на токени для зниження ризиків зберігання вразливої інформації. У створеному ним сервісі під назвою Citadel платники могли використовувати їх замість реальних реквізитів банківських карток, а обробку транзакцій картками від імені мерчанта брав на себе TrustCommerce. Нова технологія давала можливість інтернет-магазинам та іншим бізнесам швидко приймати повторні оплати банківськими картками без потреби зберігати платіжні дані покупців у системі.

Масовому впровадженню токенізації сприяв прийнятий у 2004 році стандарт Payment Card Industry Data Security Standard (PCI DSS), призначений насамперед для банків і який встановив вимоги до захисту конфіденційної інформації щодо банківських карток, котра зберігається і передається.

Сьогодні токенізація банківських карток стала широко поширеною практикою у платіжній індустрії й тому інтегрована в різні платформи та системи, включно з онлайн-торгівлею, мобільними платежами, а також іншими електронними платіжними сервісами. Зокрема, робота електронних гаманців Apple Pay та Google Pay побудована саме на використанні токенів. Показово, що навіть у пристроях IoT (Internet of Things, у перекладі з англ. – «інтернет речей»), здатних здійснювати платежі, токенізація може використовуватися для гарантування безпеки та обмеження доступу до фінансових даних у системі.

Як працює токенізація

Раніше ми згадували, що при токенізації конфіденційні платіжні дані замінюються на унікальні ідентифікатори (токени), які надалі використовуються для ідентифікації банківської картки в системі під час проведення платежу. Хоча процес може змінюватись залежно від використовуваного ПС або провайдера, та основний алгоритм охоплює такі кроки:

1. Збір даних. Система отримує від платника номер банківської картки, термін її дії та CVV/CVC-код (тобто код перевірки картки).
2. Генерація токена. Замість зберігання фактичних даних щодо банківської картки провайдер токенізації чи ПС створює унікальний токен – ідентифікатор, який прив’язується до оригінальних реквізитів банківської картки.
3. Зберігання. Такий токен разом із відповідною інформацією про банківську картку (наприклад, останні чотири цифри номера картки) зберігається в захищеній базі даних сервіс-провайдера чи ПС. Причому оригінальні карткові реквізити в повному обсязі не зберігаються.
4. Застосування. Під час оплати замість фактичних даних банківської картки використовується токен. Він передається між учасниками платіжної операції (банком-еквайром, банком-емітентом, ПС та іншими учасниками) та застосовується для ідентифікації карткового рахунку й авторизації транзакції.

Алгоритми токенізації банківських карток можуть використовувати різні методи шифрування та генерації токенів, такі як симетричне чи асиметричне шифрування, хеш-функції або інші криптографічні технології. Конкретний спосіб може бути запатентований кожним постачальником послуг.

Так, у міжнародній платіжній системі (МПС) Mastercard він називається Mastercard Digital Enablement Service (MDES), а у Visa – Visa Token Service (VTS). Спочатку технології токенізації банківських карток MDES та VTS використовувалися тільки для електронних гаманців Apple Pay та Google Pay. Потім цю технологію масштабували на інші фінансові сервіси (наприклад, Garmin Pay), що говорить про її надійність і актуальність у галузі банківських і пов’язаних із ними послуг.

Головною відмінною рисою VTS і MDES є те, що конфіденційні дані платників зберігаються саме в МПС, яка несе за це відповідальність. Для кожного конкретного мерчанта (чи то інтернет-магазин, чи то інший бізнес) платіжна система випускає свій токен (він називається network token – мережевий токен), який використовується тільки у цього продавця при здійсненні оплат картками. Навіть якщо зловмисники привласнять цей токен, застосувати його в іншому інтернет-магазині неможливо. Таким чином гарантується безпека при зберіганні та передачі даних про банківські картки.

У чому плюси токенізації для бізнесу

Токенізація банківських карток має чимало переваг для підприємців. Ось деякі з них:

• Вища безпека платіжної інформації. Замість фактичних даних банківської картки, що можуть бути викрадені чи скомпрометовані, інтернет-магазин має лише абстрактний токен, яким не можна скористатися без відповідної прив’язки до банківської картки платника. Це допомагає знизити ризик витоку секретних даних, а також покращити загальну безпеку платіжних операцій із банківськими картками.
• Легше виконати вимоги регуляторів і стандартів безпеки. Замість зберігання конфіденційної інформації (такої як реквізити банківських карток) бізнес може зосередитися на захисті токенів, що помітно зменшує ризики і труднощі, пов’язані з фінансовими транзакціями.
• Простіша інтеграція з різними платформами. Платіжні послуги, системи, різні торгові платформи можуть обмінюватися токенами, що полегшує здійснення транзакцій, а також забезпечує більшу гнучкість для бізнесу.
• Зручність. Токенізація банківських карток спрощує процес оплати. Клієнту не потрібно вводити оригінальні банківські реквізити щоразу, коли він оплачує покупку в інтернет-магазині. Це збільшує конверсію онлайн-платежів картками та, відповідно, обсяг продажів.

Отже, токенізація банківських карток є привабливим рішенням для компаній, що мають справу із платіжними даними та прагнуть гарантувати безпеку своїх клієнтів. Також токенізація знаходить застосування в інших сферах, де необхідні захист і зручність обробки вразливих даних.

Переваги для покупців

Варто зазначити, що токенізація банківських карток вигідна не лише для мерчантів, а і для їхніх клієнтів. Ось чотири найбільш значущі переваги:

• Платежі в один клік. Токенізація робить комфортнішим процес повторних інтернет-оплат. Після першої транзакції платіжна система чи провайдер можуть токенізувати банківську картку, і покупцеві не доведеться вводити її реквізити щоразу під час наступних сплат, оскільки використовується токен.
• Зниження ризику шахрайства. Токени не містять фактичної інформації про банківську картку і тому не мають жодної цінності для зловмисників. Якщо банківська картка була скомпрометована, токенізація гарантує, що у зловмисників не буде можливості використовувати отримані дані, тому що токени – це не справжні номери банківських карток. Користувач може легко анулювати старий токен і замінити його на новий, що ніяк не вплине на основний банківський рахунок. Крім того, якщо постачальник послуг реалізує додаткові заходи безпеки, такі як двофакторна автентифікація для підтвердження достовірності банківських транзакцій і запобігання обману, то це знизить ризики для платника.
• Забезпечення приватності. Токени мають лімітований термін дії і можуть бути обмежені за певними параметрами, що дає змогу детальніше керувати доступом до фінансових даних користувачів. Це зберігає їхню приватність і недоступність для зловмисників навіть у разі непередбаченого витоку інформації в системі.
• Вища конверсія платежів. Це важлива перевага не лише для мерчанта, а й для покупця, оскільки він зможе оплатити банківською карткою в інтернет-магазині й отримати бажаний товар швидко та без проблем.

Резюме

Токенізація сьогодні є найбільш надійним, безпечним і зручним способом здійснення платежів у світовій індустрії eCommerce. Якщо ваш платіжний провайдер застосовує токенізацію банківських карток для прийому оплат від клієнтів, ми рекомендуємо скористатися такою послугою.