Мы подготовили понятный ответ на непростой вопрос о том, как устроены бесконтактные платежи. Для этого мы анимировали технологический процесс выпуска карты и проведения платежа в торговой точке. Посмотрите, как это выглядит для разных видов бесконтактных платежных средств: обычной пластиковой карты, телефона c NFC-антенной и специальным чипом безопасности (Secure Element) или для телефона с NFC-антенной и без чипа безопасности, но с поддержкой технологии «облачных» платежей.
Пластиковая банковская карта MasterCard Contactless / Visa PayWave
Изображение (Animated-GIF). Выпуск банковской карты на пластике и оплата в торговой точке.
Мы привыкли называть банковской картой кусок пластика стандартного размера. На деле, внутри пластиковой карты находится микропроцессор и антенна. На микропроцессоре установлена операционная система с платежным приложением и данными конкретного клиента (персонализационными данными) — это есть настоящая «банковская карта».
Когда банк выпускает для вас карту на пластике, он передает персонализационные данные в организацию по изготовлению карт — персобюро. Персобюро осуществляет подготовку и запись данных на микропроцессор в пластиковой оболочке, которую вы получаете в отделении банка.
Когда вы вставляете чиповую карту в банковский терминал на кассе – или подносите к терминалу бесконтактную карту – микропроцессор внутри пластика получает достаточное для работы питание и запускает установленное на нем платежное приложение. На основе заложенных правил и ключей оно генерирует одноразовые платежные данные, которые передаются на банковский терминал в торговой точке, а затем в банк.
Бесконтактные карты, которые используются для оплаты проезда в метро и наземном транспорте, работают по схожему принципу. При этом, у транспортных карт есть своя особенность – на них хранится еще и информация об остатке денег или поездок на счету. Это позволяет экономить время на общении терминала и «банка» и, как следствие, быстрее пропускать пассажиров.
Телефон с NFC и чипом Secure Element
Изображение (Animated-GIF). Выпуск карты на чип Secure Element в телефоне и оплата прикосновением телефона в торговой точке (на примере TSM CardsMobile и приложения «Кошелёк»).
В современных смартфонах устанавливается чип Secure Element (SE), похожий на микропроцессор в пластиковой карте. Например, он присутствует в iPhone 6, Samsung Galaxy S4, HTC One M8 и т.д. Такой чип позволяет превратить телефон в банковскую карту.
Для записи карты на чип в телефоне (аналогично выпуску карты) банк передает персонализационные данные карты в компанию, выполняющую роль Trusted Service Manager (TSM) — доверенного посредника между поставщиками услуг и чипами в телефонах. По распоряжению банка TSM удаленно записывает данные карты на чип Secure Element, поэтому такую карту не нужно получать в отделении банка — она доставляется в ваш телефон по воздуху за 5—10 минут.
В качестве инструмента взаимодействия Secure Element с банковским терминалом в торговой точке используется NFC-антенна телефона. Она работает по стандарту беспроводной связи (ISO 14443), который используется в пластиковых банковских картах. Когда вы подносите телефон с банковской картой к терминалу, NFC-антенна телефона попадает в поле действие терминала и запускает платежное приложение на микропроцессоре Secure Element. Платежное приложение генерирует одноразовые платежные данные и передает их на терминал в торговой точке, который, в свою очередь, передает их в банк для проведения оплаты.
Secure Element подходит для записи и хранения как банковских, так и транспортных карт. Благодаря платформе TSM и интернету, вы можете получить свою карточку в любое время и в любом месте.
Именно так работает полная версия нашего приложения «Кошелёк». Она позволяет безопасно оплачивать покупки прикосновением телефона на терминалах везде, где принимают карты MasterCard Contactless.
Телефон с NFC, Android 4.4 KitKat, но без чипа Secure Element
Изображение (Animated-GIF). Выпуск карты по «облачной технологии» и оплата прикосновением телефона с NFC-антенной и Android 4.4+ в торговой точке (на примере приложения «Кошелёк»).
Микрочип Secure Element присутствует далеко не во всех смартфонах. Отсутствие такого чипа означает, во-первых, отсутствие возможности выпустить платежную карту на аппаратном уровне, а во-вторых, отсутствие безопасного способа хранить карту в самом устройстве.
Первая проблема решена в ОS Android версии 4.4 KitKat и выше. В операционной системе появилась технология Host Card Emulation (HCE), которая позволяет запускать карточные приложения прямо в операционной системе и передавать результат их работы обратно в телефон для проведения оплаты. Вторая проблема решается хранением данных карт не в телефоне, а на серверной платформе — в специальном «облаке». Такая технология получила название «облачные платежи» (Cloud-Based Payments).
При выпуске «облачной» платежной карты банк передает персонализационные данные клиента в компанию, обеспечивающую выпуск карты и ее работу на протяжении всего срока действия. За данный процесс отвечает платформа Cloud-Based Payments Platform (CBPP). В телефон же передаются только одноразовые платежные данные в зашифрованном виде. Кроме всего прочего, платежные данные шифруются с помощью дополнительного пароля (Mobile PIN), известного только пользователю и никогда не хранящегося в телефоне.
Когда вы подносите телефон к банковскому терминалу, NFC-антенна телефона попадает в его поле действия. Благодаря технологии HCE, одноразовые платежные данные, загруженные из облачной платформы, передаются на терминал, который, в свою очередь, по стандартной схеме передает их в банк для проведения транзакции.
Платежные данные хранятся в телефоне в строго ограниченном количестве и по мере необходимости загружаются через интернет. На практике это означает, что при серии покупок в торговом центре с плохим приемом сотовой связи или отключенным в роуминге интернетом могут возникнуть трудности с оплатой. К сожалению, это не единственное ограничение такой технологии — выпуск и использование карт оплаты проезда в метро и наземном транспорте без наличия в телефоне чипа Secure Element также невозможен. Технология HCE пока не позволяет работать с картами типа MIFARE, которые применяются в подавляющем большинстве систем оплаты проезда в России и в мире.
Большим плюсом технологии облачных платежей является ее доступность: любой телефон с NFC-антенной и Android 4.4 или выше поддерживает возможность оплаты покупок прикосновением телефона. Например, владельцы таких телефонов могут скачать из Google.Play приложение «Кошелёк. Банковские карты» и уже через несколько минут оплатить свою первую покупку прикосновением телефона. Кстати, если вам интересно принять участие в развитии бесконтактных платежей, вы можете вступить в нашу закрытую группу тестирования на Google Plus.
Будущее бесконтактных платежей
Сервисы бесконтактных платежей активно развивают в разных странах — в Корее, Японии, США. Разные компании используют разные технологии, но все усилия направлены на достижение одной цели — создания мира без наличных.
Несмотря на то, что в Японии и Корее бесконтактные платежи уже стали нормой, в США Apple пока еще прикладывает огромные усилия, чтобы платежи мобильным вошли в повседневную жизнь покупателей. Россия в тренде – уже сегодня вы можете достать из кармана свой смартфон с выпущенной бесконтактной картой и через несколько секунд забрать свои покупки на кассе.
Комментарии (44)
vmarunin
11.08.2015 01:13Не моя тема, могу врать, но что нарылось
1. Не может. Производитель SE обязан это обеспечить.
Типа как ядро и приложения на телефоне. Ядро должно понять какое приложение запускать и запускать его в безопасном окружении, чтобы никто не мог ни прочитать ни изменить ни его данные ни его каналы связи.
2. SE могут «прятаться» в 3-х местах:
— микросхема в самом телефоне
— в симкарте
— SD карта
Видимо вопрос только про микросхему. Не пишут, потому что вы никак не сможете ей воспользоваться. Надо договариваться с производителем телефона, получать от него ключи/коды для того, чтобы просто залить ваше приложение в SE.
IMHO SE в симке гораздо интереснее для банков/транспорта. Надо договариваться с опсосом в своей стране, а не производителем телефона в Китае. Не надо менять прошивку телефона, надо просто поменять симку.
Ну а для корпоративного софта самому заказать партию SD и всем воткнуть.
Про мертворождённость судите сами. Но эмуляцию SE без SE уже сделали! :)
mmMike
11.08.2015 09:11+1Странно, почему эта статья не помечена как рекламная. Технических подробностей очень мало, а вот явная и откровенная реклама, да еще ссылка на приложение от CardsMobile есть.
Да еще создается ощущение, что автор только слышал о…
Т.е. статья написана не техническим специалистом, а «менеджером» в CardsMobile, который слышал разговоры технических специалистов. Пусть и слушал внимательно.
Явных ошибок мало и автор вообще попытался не писать подробностей. Но общий стиль статьи слух режет.
Хотя это же не техническая статья… чего же еще ждать от рекламной статьи…
Для людей, не знающих ничего о данной технологии — вполне сойдет.
SE — тупиковый путь. Если уж с 2007 года, когда более менее громко стали говорить про NFC ничего серьезного на них не стартануло (по разным причинам), то уже и не случится. На каждом Cartes очередные концепты уродцев на NFC демонстрировали (и с SD в разных вариантах и даже NFC наклейки на телефон!). Все без толку. На следующий год уже про эти «инновационные» концепты и слышно не было.
Технология HCE пока не позволяет работать с картами типа MIFARE, которые применяются в подавляющем большинстве систем оплаты проезда в России и в мире.
И не будет этого в HCE. Mifare — это NXP (siemens в девичестве). HCE — на открытых, свободных от лицензирования стандартах.
NXP до сих пор, хотя Mifare криптография давно не секрет и вовсю выпускают клоны (для и 6 байтовый ключ совершенно не стоек), активно сопротивляется «открытию» этого стандарта. Ибо рынок Mifare classic еще долго будет существовать.
Вот с появление HCE и спецификаций для этой технологии от Visa и MC тема бесконтактных БАНКОВСКИХ платежей более менее оживилась.
Но все равно NFC банковские платежи с телефона будут нишевым продуктом.
Китайцы в UPI дуальные карты, как стандарт рынка, у себя предполагают. Будут дешевые дуальные Java карты в объеме производства несколько триллионов в год (Партия скажет надо — весь Китай ответит «есть!») и все.
И наши банки на бесконтактные карты перейдут. Пока просто цена на них выше чем на обычные. А так… пара строчек в профиле персонализации для активации бесконтакта и это все что нужно для дуальных кредитных карт (с дебетовками с off-line обслуживанием сложнее, впрочем, как с любыми банковскими картами выпущенными на «кредитном» карточном продукте, привязанным к дебетовому счету).
А чисто китайские Java карты уже есть. У меня на рабочем столе валяются… С глюками в OS и сыроватые еще… Но вот их производство станет массовым и GemAlto c Oberthur просто закроются, не выдержав конкуренции.
Хотя вру. Не перейдут все на чисто китайские карты по политически и прочим соображениям. Но цены уронить должны.
А, если у человека есть дуальная карта — то зачем ему еще дубль карты в телефоне?
Впрочем, все выше сказанное — это мое личное мнение, основанное на моем личном опыте и знаниях.
На истину в последней инстанции не претендую.Duke_Raven
11.08.2015 15:31Переход на бесконтактные платежи затрудняется еще отсутствием развитой инфраструктуры POSов.
Экваерам нет смысла менять вполне рабочие контактные на новые.
По моему мнению, HCE будут активно пользоваться когда банки начнут выпускать единое приложение c функциями HCE
CardsMobile_team
11.08.2015 16:47В соответствии с решением MasterCard, c 2016 года все новые терминалы будут принимать бесконтактную оплату. А с 2020 года оплатить покупку в одно касание банковской карты или мобильного телефона можно будет на любом терминале оплаты.
mmMike
12.08.2015 06:45По моему мнению, HCE будут активно пользоваться когда банки начнут выпускать единое приложение c функциями HCE
Единое приложение может обеспечить только единый интегратор ПО. Сколько вендоров (конкурентов) — столько и приложений.
И вторая задача — это способ активации/аутентификации приложения, который просто в спеках на HCE Visa|MC не рассматривается. У нас (в ЦФТ) выбрали вариант интеграции с банк-клиентом на телефоне. Т.е. аутентификация/управление средствами банк-клиента.
Банки сами сейчас (ну Сбербанк, разве что, как исключение, со своими «подкомпаниями») своем ПО не пишут.
Хотя, на мой взгляд, в HCE приложении ничего сложного нет. На создание вполне рабочего «скелета» VCP приложения по свежим Visa спекам, честно принимаемого POS терминалами у меня ушло чуть меньше 2-х недель (HCE приложение для андройд с «инженерным» внешним видом без средств аутентификации, серверная часть и добавления функционала в HSM).
Экваерам нет смысла менять вполне рабочие контактные на новые.
Все новые терминалы идут с возможностью работы с бесконтактом. А старые просто снимаются с производства.
Так что рано или поздно заменятся.
CardsMobile_team
11.08.2015 16:31Странно, почему эта статья не помечена как рекламная. Технических подробностей очень мало, а вот явная и откровенная реклама, да еще ссылка на приложение от CardsMobile есть.
Статья опубликована в рамках блога компании CardsMobile.
Мы описываем и иллюстрируем процесс оплаты — именно поэтому при описании процесса оплаты телефонам мы в качестве примера приводим собственное решение.
Для людей, не знающих ничего о данной технологии — вполне сойдет.
В свое время мы публиковали техническую статью на Хабре. Если говорить о GeekTimes, формат портала предполагает более «научно-популярный» стиль изложения. Поэтому мы постарались объяснить процесс максимально доступно с точки зрения технологии и наиболее просто с точки зрения стилистики.mmMike
12.08.2015 06:49Да… действительно. Это GeekTimes…
Стал заглядывать суда только после того как часть технических тем суда перетащили (до сих пор булькать и возмущаться по этому поводу хочется!) и по привычке жду более «технических» статей.
Впрочем, не воспринимайте как «наезд». Звезды совпали… во первых конкуренты… во вторых забыл, что это не хабр
wersoo
12.08.2015 13:15И на хабре и на гиктаймсе можно создавать блоги компаний и писать в них про свои продукты, т.е. грубо говоря рекламировать. Это один из способов монетизации ТМ и в целом вполне нормальный.
Не понимаю возмущения.
ivanych
11.08.2015 09:41> А, если у человека есть дуальная карта — то зачем ему еще дубль карты в телефоне?
Телефон удобнее, он всегда под рукой.
Конечно, распространение nfc пока слабое, из-за этого приходится таскать с собой еще карту с чипом/полосой. Но вот, скажем, лично я уже пару лет как сознательно отказался от налички, только карты. Постепенно и от карт надеюсь отказаться.CardsMobile_team
11.08.2015 16:32Конечно, распространение nfc пока слабое, из-за этого приходится таскать с собой еще карту с чипом/полосой. Но вот, скажем, лично я уже пару лет как сознательно отказался от налички, только карты. Постепенно и от карт надеюсь отказаться.
Дело именно в этом. Сейчас мы редко выпускаем телефон из рук — и с очень высокой вероятностью в какой-то момент будущего все содержимое нашего бумажника переместится в один универсальный гаджет. Учитывая, что по данным MasterCard с 2016 года все новые терминалы оплаты будут по умолчанию поддерживать бесконтактную оплату, ждать повсеместного распространения технологии осталось недолго.
mmMike
12.08.2015 06:55Дело вкуса.
Лично у меня некоторая профессиональная паранойя, поскольку вполне себе представляю способы «похищения» средств.
Мне бы хватило обычной EMV контактной карты. Исключительно из за паранойи. Поскольку с ней я знаю, как защитится и на что обращать внимание.
По бесконтакту, конечно утешает мысль, что «много не украдут». Но украсть могут. Что с чипа, что с HCE. И помешать гарантированно я этому не смогу.ivanych
12.08.2015 09:15Чем карта лучше телефона в плане кражи/защиты?
mmMike
12.08.2015 09:44И у телефона и у карты свои недостатки. Я и не говорю, что она лучше. Но у карты хотя бы только гарантировано только два пути «украли» и «несанкционированный физический доступ».
Карта работает всегда и в общественном месте, к карману с картой может прижаться злоумышленник (трансляция через два HCE телефона злоумышленников. Элементарно с появлением HCE. Чисто программная задача, не требующая специализированного железа).
В телефоне, чуть лучше. Он «отзывается» только если экран разблокирован + активация приложения (если этим озаботились разработчики HCE приложения).
Но Android (даже не рутованный) уязвим опять же… находят же дыры, позволяющие получить доступ к файлам за пределами «песочницы».
А народ не задумываясь ставит игры от фиг знает кого и пр. мусор. Да и много ли людей озадачиваются более менее правильно защитой от разблокировки? (более менее сложный пароль или хотя бы отпечаток пальца на худой конец).ivanych
12.08.2015 10:16Карту можно украсть, или даже без кражи произвести какие-либо манипуляции, просто при передаче из рук в руки, продавцу, на стойке отеля, в банкомате со скиммером. Плюс, перечисленное Вами.
А из телефона с SE ничего не вытащишь, даже если сам телефон украсть. Никак. Даже если на самом телефоне нет блокировки, она есть на приложении карты. Мистические опасности типа «возможно-когда-то-найдут-уязвимость» меня пугают гораздо меньше, чем уже давно и реально существующие опасности с картой.mmMike
12.08.2015 11:04в банкомате со скиммером
Скиминг — это только магнитных карт касается.
А передача свой карты в чьи то руки — это все равно что кошелек дать и сказать: «вытащи сколько надо из наличных»…
Я не ленюсь к терминалу подойти и никогда в руки официанту карту не даю.
Ни разу не было необходимости выпускать карту из рук.
А из телефона с SE ничего не вытащишь, даже если сам телефон украсть
Я про HCE говорил в контексте уязвимости OS Android, а не про использование SE.
SE всем хорош с точки зрения безопасности, но имеет кучу проблем организационного плана и пр. и пр…
А если мы говорим про «украдаение в рамках off-line лимита», то все равно по какой технологии платежное приложение и на какой платформе. Украли (карту/телефон в разблокированном состоянии) — значит все… украли.ivanych
12.08.2015 11:21> Ни разу не было необходимости выпускать карту из рук.
Извините, не верю. Где Вы живете? У нас, в Питере, в огромном количестве магазинов просто физически невозможно расплатиться, не выпуская карту из рук. И это не какие-нибудь магазинчики с сигаретами.
К примеру, в метро — терминал находится в кассе, за стеклом, расплатиться самому нельзя никак.
Или Юлмарт — та же история.
Или ОБИ — терминал не за стеклом, но он у кассира и кассир его не дает, а требует дать карту ему.
Нет, я, конечно, допускаю, что есть люди, которые принципиально в таких местах ничего не покупают, но я такой стадии паранойи еще не достиг.
ibrin
12.08.2015 14:33Покупал ноут в Юлмарте на Благодатной по карте. Ну невозможно просто так отдать карту, иначе придется еще и пин код в окошко шопотом кричать. Сколько жил в Питере, отдавать карту можно только в ресторанах и то для ленивых и если нажрал меньше лимита для авторизации.
CardsMobile_team
12.08.2015 15:30Рут-права на телефоне — всегда удар по безопасности. Мы это прекрасно понимаем и потому не рекомендуем пользователям рутовать смартфоны.
Но со своей стороны мы сделали все необходимое для того, чтобы максимально обезопасить процесс оплаты на любом телефоне.
1. В облачном «Кошельке» невозможно произвести оплату без ввода мобильного PIN-кода, который не хранится в смартфоне. При определении рут прав на смартфоне кол-во одноразовых платежных криптограмм загружаемых на смартфон существенно уменьшается. Многие продвинутые пользователи пишут нам, что в других приложениях можно платить без мобильного PIN, и это очень удобно — но это серьезная дыра в безопасности (как с точки зрения возможности использования смартфона другим человеком, так и с точки зрения доступа к данным другими приложениями).
2. В eSE «Кошельке» карта хранится в SE, и доступ к ней без ключей, хранящихся на TSM, не возможен. Пользователь сам выбирает уровень защиты своей карты (карта «светит» в режиме «карта по умолчанию» или активируется вручную, доступ к оплате открыт или подтверждается паролем).
3. В обеих версиях приложения реквизиты карты не хранятся внутри приложения. Доступ к ним защищен пользовательским паролем.
Поэтому мы настроены более оптимистично.
Carduelis
12.08.2015 09:26Правильно ли я понимаю, что если в телефоне есть чип SE, то по сути, никаких этих ваших интернетов не нужно для платежа? Т.е. включаем режим «в самолете», включаем NFC и идем в магазин прикладывать телефон?
В статье вы указали, что в Samsung Galaxy s4 есть чип. Но нигде я не смог найти способ привязки к телефону карты так, чтобы оно работало в оффлайне. Видел, что билайн предлагает услугу, но там — карта лишь привязывается к телефону и оплата происходит через приложение, подключение к интернету нужно, и никакая карта в телефоне не хранится.
Хочень хочется платить телефоном, особенно на всяких там макдональдцах, и прочих магазинах, не светя картой, ее номером и cvc-кодом (который нельзя стирать, по-хорошему).
kraleksandr
12.08.2015 12:25если в телефоне есть чип SE, то по сути, никаких этих ваших интернетов не нужно для платежа? Т.е. включаем режим «в самолете», включаем NFC и идем в магазин прикладывать телефон?
- Телефон с SE: можно платить в оффлайн-режиме пока на счете есть деньги;
- Телефон без SE: можно платить в оффлайн-режиме пока не закончились предварительно загруженные одноразовые коды и на счете есть деньги.
Банк Русский Стандарт через мобильное приложение выпускает работающие через SE карты для SGS4.
CardsMobile_team
12.08.2015 15:28Правильно ли я понимаю, что если в телефоне есть чип SE, то по сути, никаких этих ваших интернетов не нужно для платежа? Т.е. включаем режим «в самолете», включаем NFC и идем в магазин прикладывать телефон?
Да, все верно. Приложение, записывающее платежные апплеты на SE, работает даже без доступа в интернет.
В статье вы указали, что в Samsung Galaxy s4 есть чип. Но нигде я не смог найти способ привязки к телефону карты так, чтобы оно работало в оффлайне. Видел, что билайн предлагает услугу, но там — карта лишь привязывается к телефону и оплата происходит через приложение, подключение к интернету нужно, и никакая карта в телефоне не хранится.
Хочень хочется платить телефоном, особенно на всяких там макдональдцах, и прочих магазинах, не светя картой, ее номером и cvc-кодом (который нельзя стирать, по-хорошему).
К сожалению, SE-версия нашего приложения не будет работать на Samsung Galaxy S4. Несмотря на то, что на нем есть чип, у нашего TSM нет необходимых ключей для работы ним.
Но это не должно стать проблемой: на вашем смартфоне будет работать «облачная» версия приложения. С ней вам понадобится интернет, чтобы подгрузить разовый платежный токен, но для самого процесса оплаты интернет нужен не будет.
wersoo
12.08.2015 13:11Почему-то у меня на Nexus 5 бесконтактная оплата не работает за пределами России =(
Кстати, спасибо, всякий раз читая статью в интернете, просто сгораю от любопытства какой же формат выбрал автор для изображений =) И было бы лучше если бы анимации были зациклены.kraleksandr
12.08.2015 14:10И было бы лучше если бы анимации были зациклены.
В прошлой статье так и было…
CardsMobile_team
12.08.2015 15:34В «Кошельке» вы можете пройти процедуру упрощенной идентификации и оплачивать покупки в магазинах по всему миру! :)
wersoo
12.08.2015 16:34На меня уже эмитирована карта вашего банка-партнера в приложении. Я включаю в приложении режим оплаты. Просто не проходят платежи.
ivanych
12.08.2015 17:32А кстати, про эту процедуру. Там написано что-то типа «пройдите процедуру и сможете платить по всему миру 100500 рублей». А что будет, если не пройти?
bolick
13.08.2015 00:02Хотелось бы прояснить вопрос о «переносе» имеющейся карты с аппарата на аппарат или «восстановления» на том же аппарате после, скажем, полного вайпа (полному сбросу всех пользовательских данных).
То есть смогу ли я пользоваться одной и той же виртуальной картой до и после замены или «сброса» аппарата?bolick
13.08.2015 00:39Хм, в описании программы на Google Play (https://play.google.com/store/apps/details?id=ru.cardsmobile.mw3) говорится «Вы cможете восстановить карту на другом устройстве в любое время и в любом месте!».
То есть не нужно перевыпускать карту в банке.
Хорошо, если так. Однако, было бы здорово получить подтверждение, что это так до того как я начну экспериментировать :)ivanych
13.08.2015 09:56Лично проверял. На телефоне с SE карта создалась новая, а деньги были перечислены на неё со старой через неделю.
bolick
13.08.2015 20:51Дело в том, что банк, во всяком случае Банк Санкт-Петербург просит 250 р. за обслуживание одной такой карты, см. www.bspb.ru/retail/cards/NFC_card.
И получается при попытке переноса виртульной карты с аппарата на аппарат или при полном ресете одного аппарата, я во-первых, получаю деньги зависшие на неделю на старой карте, а ко всему еще вынужден оплатить дополнительную карту в банке.
Пичалька.
ivanych
Расскажите, пожалуйста, подробнее про Secure Element.
1. Может ли какое-нибудь другое приложение, кроме Кошелька, прочитать данные карты из SE? Если нет, то почему, как это обеспечивается?
2. Ни один производитель не указывает наличие в телефоне SE. Почему? Не мертворожденная ли это технология?
CardsMobile_team
@ivanychivanych
SE в целом и его области закрыты ключами безопасности, принадлежащими эмитенту SE (в случае со встроенными SE — производителю смартфона). Эти ключи могут передаваться по определенным безопасным процедурам сертифицированным платформам TSM. Они могут далее распределять доступ к областям SE.
В нашем случае производитель предоставляет нам эксклюзивный доступ ко всему SE. А мы распределяем его области между сервисами, которые агрегируем.
Наличие SE-чипа в смартфоне интересует малый процент пользователей: при выборе смартфона решающими факторами остаются характеристики процессора и камеры :)
При всех инновационных способах эмиссии банковских карт в «облаке» по технологии HCE, выпуск транспортных карт по-прежнему возможен лишь при наличии встроенного в телефон/SD/SIM микропроцессора.
Кроме того, карты, выпущенные в чип, во-многом превосходят «облачные» карты по user experience. Чтобы оплатить покупку, вы просто подносите к терминалу телефон — который в момент оплаты даже может быть выключен. Поэтому мы, скорее, считаем технологию перспективной ;)
ivanych
1. Может ли другое приложение вытащить из вашего приложения ключи? А на рутованном телефоне?
2. А чем, в таком случае, руководствуется производитель, встраивая SE? Зачем ему это, если никто даже не знает, есть ли SE в покупаемом телефоне?
3. По поводу транспортных карт — а какие есть транспортные карты? В вашем Кошельке я нашел только Екарту. Это всё, единственная карта на всю страну (а то и весь мир)?
CardsMobile_team
Ключи в хранятся не приложении а в серверной платформе TSM. Соответственно, «вытащить» их можно только из TSM, которая, в свою очередь, сертифицирована на безопасное хранение подобных данных.
Ценность для пользователя несет не сам чип Secure Element, а сервисы, доступные на телефоне благодаря этому чипу (например, оплата покупок или проезда в транспорте). Поэтому, например, некоторые вендоры указывают в качестве преимущества продаваемого телефона встроенное приложение «Кошелёк».
В приложении доступны транспортные карты для Ангарска, Вологды и Екатеринбурга. В ближайшее время сервис станет доступен для других городов России — в том числе, Москвы и Питера.
Но уже сейчас вы можете оплатить прикосновением телефона проезд в метро Санкт-Петербурга, нескольких маршрутах наземного транспорта обеих столиц, проезд на Аэроэкспрессе, а также пополнить баланс карты «Тройка» через банкоматы в московском метро.
ivanych
> Ключи в хранятся не приложении а в серверной платформе TSM.
Не понял. Кошелек же может работать без интернета? Значит, он обращается к SE без ключей? Почему другое приложение не может обратиться?
CardsMobile_team
Запись/удаление/изменение апплетов происходит только с использованием ключа, хранящегося в нашем TSM. Поэтому изменять данные на SE может только приложение, получающее ключ от TSM во время операции.
Управлять апплетами (выбирать активный) может только приложение, подписанное вендором (наделенное специальными правами) — в нашем случае «Кошелёк». Интернет для этого действительно не нужен.
foxyrus
Пользуюсь приложением, немного неудобно, нужно выбрать карту, нажать Включить оплату и только потом можно платить, например, в кукурузе достаточно разблокировать экран и даже не надо запускать приложение.
Есть ошибки в приложении, например, в диалоговых окнах выпуска карты, после последнего шага, можно вернуться назад. Пополнение с ТКС по NFC не работает — на последнем шаге черный экран.
PS очень радует что прикрутили наконец HCE, раньше подходило только под определенные телефоны с SE и приходилось ждать обновления прошивки.
CardsMobile_team
Это сделано из соображений безопасности. Но вы можете установить на главном экране смартфона виджет своей карты и оплачивать покупки быстрее и удобнее.