К концу 2016 года в России должны заработать платежные мобильные приложения Apple Pay, Samsung Pay и Android Pay на основе бесконтактной технологии. Это станет возможно, после того, как Visa и Mastercard совместно с Национальной системой платежных карт внедрят в стране сервис токенизации, рассказали «Ведомости». Мы решили чуть подробнее разобраться, что это за система, как она работает и какой от нее, в конечном итоге, прок.


/ фото Robert Scoble CC

Что это такое

Начнем с терминов. В статье по ссылке суть технологии объяснена не очень доходчиво. Да, есть некий ссылочный номер (токен), по которому сервис продавца идентифицирует клиента и запускает перевод денег. В своей основе токен – это нечто с очень низкой стоимостью, заменяющее нечто с высокой стоимостью. Точно также как фишка в казино обозначает наличность, пишет в блоге The Sequent Каушик Рой.

В системе электронных платежей токенизация стала использоваться для снижения рисков безопасности при сборе и передаче важных данных. Например, кредитного персонального номера PAN. В системе мобильной коммерции она сделала возможной бесконтактные платежи.

Конечного пользователя волнует, по сути, лишь удобство при проведении расчетов и сохранность средств на банковском счете. Но изначально токенизация была заточена под развивающийся взрывными темпами рынок мобильной коммерции. В 2014 году, когда платежные сервисы начали активно внедрять новую технологию, аналитики из eMarketer предсказывали рост этого сегмента электронной коммерции на треть в 2015 году. Goldman Sachs прогнозировал увеличение его объема до $626 млрд. к 2018 году.

Рост рынка сдерживался лишь недоверием клиентов мобильным платежным системам. В ответ на этот запрос объединение EMV (Europay, Visa и Mastercard) выработало в начале 2014 года свой технический стандарт.

Как все будет работать

Вот как суть токенизации объясняется в блоге API-разработчика Джея Манчиокки на Mashery: «Токенизация включает в себя процесс замены «чувствительных» финансовых элементов данных их цифровыми и «не чувствительными» эквивалентами (токенами), которые сами по себе не имеют никакой ценности и не могут быть использованы злоумышленниками. Токены могут создаваться через математические формулы или через буквенно-цифровые случайные генераторы. Они призваны защитить любую персональную информацию, любые финансовые операции, включая торговлю на бирже».

Вместо того, чтобы передавать финансовые данные напрямую, мобильные платежные платформы будут использовать токены для подтверждения платежа. Поскольку процесс генерации токенов, как и сами они, не содержит никакой актуальной финансовой информации, считается, что такой способ оплаты в m-commerce на настоящий момент самый надежный. Обратный инжиниринг токена, к примеру, в PAN невозможен, утверждает автор блога Securosis.

Как все это работает на самом деле? Когда вы водите информацию о своей банковской карте на сайте продавца, она направляется на защищенный сетевой шлюз и специальное считывающее устройство, которое создает токен, чтобы провести транзакцию. Если сайт продавца взломан, эта информация будет для взломщиков бесполезной: никаких реальных данных о карте на нем нет. Вся оригинальная информация обитает в защищенном хранилище данных. Грубо говоря, в «облаке».

Кроме самих платежных систем, активно продвигающих новую идеологию и старающихся расширить географию ее применения, токенизация выгодна банкам и продавцам товаров или услуг. Дело не только в соображениях безопасности и привлечения на этой почве чувствительных к этой теме клиентов. Они сохранили за собой канал отслеживания операций клиента, который можно включить в программы лояльности.

Последняя спецификация EMV оставляет им эту возможность. В этой схеме последние 4 цифры PAN не обязательно постоянно токенизировать. Поэтому банки и продавцы могут, по-прежнему, отслеживать действия потребителей их товаров и услуг.

Еще одно преимущество токенизации для коммерческих компания состоит в том, что они будут тратить меньше средств на поддержку безопасности денежных переводов. Для небольших и средних торговых фирм это большое облегчение. Стандарты платежных систем (PCI) запрещают хранить информацию о кредитных картах на платежных терминалах ритейлеров или в их базах данных после транзакции. Для того чтобы стать участником этой системы, продавец обязан был устанавливать у себя дорогостоящие системы оперативного шифрования. Теперь достаточно отдать этот процесс на аутсорсинг оператору, который предоставляет услуги токенизации.

Насколько все эти плюсы новой технологии и уверения ее провайдеров в полной защищенности соответствуют реальности, российские пользователи смогут узнать уже совсем скоро.

Статьи и ссылки от ITinvest по теме:

• Аналитические материалы от экспертов ITinvest (для постепенного погружения в тему финансов можно начать с еженедельных обзоров финансовых рынков)
• Онлайн-трейдинг: Как стать разработчиком систем для торговли на бирже
• Что должен уметь программист, чтобы получить работу в сфере финансов
• Как распознать эмоции человека по его лицу: Тест для сотрудников финансовых компаний
• В каких условиях трудятся финансисты: Экскурсия по офисам Goldman Sachs и Bloomberg