Co to jest tokenizacja karty kredytowej?

Category: Numer Konta
17 lutego 2021

Chociaż tokenizacja w obszarze bezpieczeństwa płatności może być stosunkowo nowa, ewoluująca, a nawet nieco skomplikowana, koncepcja zastępowania jednego fragmentu informacji inną w celu ochrony czegoś nie jest niczym nowym. Tokenizacja chroni dane wrażliwe lub osobowe, zastępując je „tokenem – zasadniczo słowem kodowym, choć mogłoby to zbytnio uprościć sprawę. Ponieważ token zastępuje rzeczywiste dane, nie ma wartości, jeśli zostanie przechwycony przez oszustów. Potrzebowałbyś sposobu na zdekodowanie tokenu, aby miał jakąkolwiek wartość.

W tym poście skupimy się na tokenizacji kart kredytowych , ale powinieneś również wiedzieć, że tokenizacja innych rodzajów bardzo wrażliwych danych, takich jak numery ubezpieczenia społecznego i dane osobowe, może stać się powszechna na wszystkich rynkach – i to już wkrótce.

Ale wracając do branży płatniczej. Ostatnio idea tokenizacji jest zwykle powiązana z portfelami cyfrowymi, takimi jak Apple Pay i Android Pay, i nie bez powodu. Istnieje jednak wiele implementacji technologii tokenizacji, w tym:

  • Fakturowanie abonamentu na kartę
  • Kasy jednym kliknięciem w witrynach eCommercePłatności w ramach aplikacjiWszystkie portfele mobilne NFC (płatności zbliżeniowe)Niezależnie od tego, czy prowadzisz sklep stacjonarny i chcesz wdrożyć opcje płatności zbliżeniowych dla swoich klientów, masz sklep internetowy, korzystasz z aplikacji do wspierania swojej firmy, czy też masz stałych klientów, których znasz i kochasz, możesz zacząć korzystać tokenizacja karty kredytowej.

    A jeślikupiłeścokolwiekza pomocą wymienionych powyżej metod (kto tego nie zrobił?) W ciągu ostatnich kilku lat, istnieje duże prawdopodobieństwo, że Twoje dane zostały tokenizowane. Więc co to jest tokenizacja?

    Spis treści

    Definicja tokenizacji

    Kiedy definiujemy tokenizację, warto wspomnieć, że chociaż główny sedno sprawy jest spójny, żadna uniwersalna definicja nie jest powszechnie akceptowana wśród dużych organizacji zajmujących się bezpieczeństwem płatności, takich jak PCI i EMV. Jednak tutaj jest uproszczona wersja, podana przez Radę PCI, która dociera do sedna sprawy:

    Tokenizacja to proces, w którym podstawowy numer konta (PAN) zostaje zastąpiony wartością zastępczą zwaną tokenem.

    Kiedy patrzymy na numer PAN, czyli rzeczywisty numer konta na Twojej karcie kredytowej, pamiętaj, że łączą się z nim inne wrażliwe dane – w tym Twoje dane osobowe i data ważności karty. Podczas tokenizacji umieszczamy wszystkie te informacje dalej od kupców, kasjerów i innych graczy w procesie płatności. A ponieważ dane nie są już rozpoznawalne w postaci tokena, chronimy je w całym procesie płatności. Czas życia tokena może obejmować tylko jedną interakcję w celu uzyskania kawy lub sklep może tokenizować dane dotyczące płatności dla określonego klienta przez ograniczony czas.

    Zauważ też, że w definicji, którą podzieliłem pogrubioną czcionką powyżej, nie ma zdefiniowanego „jak, ponieważ zależy to od tego, jakzaimplementujesz proces tokenizacjii jakiej aplikacji potrzebuje Twoja firma. Oto kilka przykładów, które pomogą rzucić trochę światła na sposób tokenizacji wrażliwych danych.

    Jak numer konta jest tokenizowany

    Istnieją dwa sposoby tokenizacji danych: częściowe lub całkowite. Każdy z nich ma swoje zalety, ale może nie być odpowiedni we wszystkich sytuacjach.

    Najpierw porozmawiajmy o częściowej tokenizacji. W niektórych przypadkach środkowe sześć cyfr karty kredytowej klienta zostaje zastąpione tokenem. Pierwsza grupa numerów nie jest tokenizowana, więc procesor wie, z jakim typem karty ma do czynienia (Visa i Mastercard mają unikalne numery identyfikacyjne). Ponadto ostatnie cztery cyfry numeru PAN pozostają nienaruszone w celach informacyjnych. Ten typ częściowej tokenizacji jest również kompatybilny wstecz, co oznacza, że ​​token ma taką samą liczbę numerów jak rzeczywisty numer PAN. „Wygląda jak prawdziwa karta i zachowuje się jak prawdziwa karta, gdy sprzedawca wprowadza ją do własnego systemu POS. Jeśli sprzedawca chce tokenizować dane i zachować swój starszy system, jest to jeden ze sposobów, aby to zrobić.

    Innym sposobem tokenizacji PAN jest całkowite losowanie wszystkich liczb. Wszystko to jest wykonywane przez stronę trzecią i może obejmować przechowywanie w skarbcu w celu przechowywania danych karty płatniczej. W obu przypadkach ta sama ogólna rzecz dzieje się podczas sprzedaży; numer poddany tokenizacji jest zdeztokenizowany i dopasowany do prawdziwych danych karty. Więcej na ten temat poniżej.

    Co się dzieje podczas sprzedaży tokenizowanej?Jeśli przychodzi czas na przetworzenie płatności, czy to za pośrednictwem witryny eCommerce, aplikacji czy portfela mobilnego, etapy przetwarzania płatności są na ogół podobne. Oto uproszczony proces przeglądania poniżej.

    1. Klient inicjuje płatność za produkt lub usługę.
    2. Następnie sprzedawca wysyła token do agenta rozliczeniowego.Centrum autoryzacyjne kieruje token do sieci Visa.Visa wysyła token do wydawcy karty.Wystawca zwraca token i autoryzację.Altówka! Sprzedaż zakończona.Zapoznaj się z poniższym zrzutem ekranu, aby zobaczyć wizualny przykład tokenizacji, dzięki uprzejmości infografiki VisaJak używane sątokeny .

      Jak omówiliśmytokenizacjaopiera się na całkowicie losowej, pozbawionej śladów wartości jako surogacie. Ten proces różni się odszyfrowaniaktóre opiera się na algorytmie matematycznym. Przyjrzyjmy się, jak porównuje się tokenizacja i szyfrowanie.

      Tokenizacja a szyfrowanieTokenizacja i szyfrowanie są podobne pod tym względem, że dane są „ukryte przed potencjalnymi przechwytywaczami, ale proces każdego z nich jest zupełnie inny. W tokenizacji dane klienta zostają zastąpione tokenem – liczbą całkowicie losową. W tokenizacji zazwyczaj repozytorium przechowuje wszystkie rzeczywiste dane w „tabeli. Po de-tokenizacji ten losowy ciąg cyfr (czasami alfanumeryczny) jest dopasowywany do rzeczywistego konta. Głównym wnioskiem jest to, że token jest przekazywany do sprzedawcy i ostatecznie z powrotem na stółbez ujawniania sprzedawcy prawdziwych informacji o karcie płatniczej.

      W przypadku szyfrowania informacje o karcie płatniczej przechodzą przez algorytm, proces matematyczny, aby przekształcić oryginalne dane w coś niemożliwego do odczytania, dopóki nie zostaną odblokowane za pomocą „klucza podczas przetwarzania. Ponieważ proces nie jest losowy, algorytm jest w pewnym stopniu podatny na próby złamania kodu przez hakerów.

      Krótko mówiąc, szyfrowanie jest odwracalne matematycznie, a tokenizacja nie.Ponadto szyfrowanie nie jest pełną, kompleksową metodą zabezpieczeń, taką jak tokenizacja. Koszty przetwarzania płatności mogą być nieco wyższe w przypadku szyfrowania, ponieważ wymaga ono większej mocy obliczeniowej (np. Rotacja „kluczy) niż tokenizacja w całym cyklu przetwarzania płatności.

      Biorąc pod uwagę zalety i wadyChociaż tokenizacja może być tańsza do wdrożenia na transakcję niż szyfrowanie i nie jest odwracalna matematycznie, należy wziąć pod uwagę kilka kwestii. Ponieważ tokenizacja w repozytorium wymaga centralnego zarządzania, istnieje duża presja na utrzymanie w pełni zabezpieczonego skarbca (jednak czasami wystawca (np. Visa) jest również gospodarzem skarbca).

      Ponadto tokenizacja znacznie ogranicza zakres PCI dla akceptantów, co oznacza, żepresja na akceptantaw zakresie ogólnego bezpieczeństwa płatności jestmniejsza. Oznacza to mniej pracy, którą musisz wykonać, aby zachować zgodność ze standardem PCI. Chociaż szyfrowanie jest ogólnie przyjętym środkiem bezpieczeństwa, nie zmniejsza ono zakresu PCI ani nie zmniejsza nakładu pracy, który należy wykonać, aby zachować zgodność ze standardem PCI.

      Jednak tokenizacja jest wciąż stosunkowo młodym whippersnapper w świecie bezpieczeństwa płatności. Szyfrowanie istnieje już od jakiegoś czasu i konsumenci dobrze je oceniają. Ale tokenizacja stała się bardziej atrakcyjna dla tych, którzy rozumieją, że branża bezpieczeństwa płatności musi być o krok do przodu.

      Ochronna rola tokenizacji w przetwarzaniu płatności

      Tokenizacja chroni informacje podczas przetwarzania płatności na kilka sposobów. Jak wspomniano wcześniej, dane klientów stają się bezużyteczne dla potencjalnego przechwytywacza, ponieważ nie są już rzeczywistymi informacjami; jest to token, który zastępuje rzeczywiste dane. Innym sposobem, w jaki tokenizacja chroni dane, jest to, że w przypadku portfeli cyfrowych numer karty kredytowej również nie jestprzechowywany na urządzeniu klienta.Oznacza to, że złodzieje nie mogą pobrać numerów kart kredytowych z telefonu, tabletu, zegarka lub podłączonego urządzenia, gdy klient i sprzedawca korzystają z portfela cyfrowego.

      Wraz z ewolucją branży bezpieczeństwa płatności będziemy nadal oddalać się od udostępniania fizycznej karty i wszelkich informacji identyfikacyjnych, które się z nią wiążą. Tokenizacja z powodzeniem oddziela nasze poufne dane od transakcji, całkowicie usuwając fizyczną kartę z równania, a robi to poprzez tokenizację części lub całego numeru karty kredytowej.

      Ponieważ tokenizacja usuwa również sprzedawcę z równania, jeśli chodzi o przesyłanie wysoce wrażliwych danych, znacznie zmniejsza również ryzyko oszustwa przez handlowca – zarówno z zagrożeń wewnętrznych, jak i zewnętrznych. Biorąc to pod uwagę, należy wziąć pod uwagę kilka rzeczy wzależności od sposobu implementacji tokenizacji.

      Jak handlowcy mogą zastosować tokenizację?

      Istnieje kilka sposobów zastosowania tokenizacji do przetwarzania płatności w sklepie fizycznym, sklepie eCommerce lub aplikacji mobilnej! Najprostszym sposobem tokenizacji płatności w sklepie stacjonarnym jest zakup czytnika zbliżeniowego obsługującego technologię NFC. Portfele mobilne już tokenizują dane, o ile możesz akceptować płatności z tych portfeli mobilnych bez konieczności robienia czegokolwiek samodzielnie. Jeśli chodzi o tokenizację innych transakcji, możesz zapytać swojego obecnego procesora płatności o opcje tokenizacji dla Twojego POS. Jeśli prowadzisz sklep eCommerce lub masz aplikację, zarówno Mastercard, jak i Visa również oferują rozwiązania.

      Mastercard oferuje bezpłatną, opcjonalną usługę zwanąDigital Secure Remote Payment(DSRP), a wszystko, co musisz zrobić, to skontaktować się z agentem rozliczeniowym, aby sprawdzić, czy obsługuje DSRP, a następnie zintegrować aplikację mobilną z partnerem obsługującym portfel cyfrowy. Możesz również zajrzeć doVisa Developer Platform– programu oferowanego przez Visa, w którym ich zespół współpracuje z Tobą, aby stworzyć aplikację do płatności mobilnych za pomocą pakietu SDK usługi Visa Token Service.

      Czasami jednak cała zmiana dotycząca tokenizacji polega na czymś więcej niż na rozwiązaniach typu patch-on. Jeśli Twoja firma ma olbrzymi starszy system z innymi danymi do rozważenia, może być konieczne bardziej złożone rozwiązanie innej firmy. Chociaż nie zajmiemy się wszystkimi szczegółami w tym poście, poniżej znajduje się kilka rzeczy do rozważenia.

      Firmy specjalizujące się w tokenizacjiJeśli z natury zajmujesz się poufnymi informacjami w ramach swojego modelu biznesowego i potrzebujesz stworzyć niestandardowe rozwiązanie, będziesz musiał znaleźć firmę zgodną ze standardem PCI, która będzie dysponować godną zaufania, wysoce bezpieczną metodą tokenizacji i skarbcem. Oto kilka rzeczy, o które warto zapytać:

      • Jak losowane są tokeny? Jak chroniony jest „klucz, który de-tokenizuje?
      • Czy używany jest odwracalny algorytm? Jeśli tak, jak chronione jest to oprogramowanie?I ostatecznie, jak chroniona jest tabela przechowująca dane, a skarbiec je chroni?Chociaż zapewnienie wszystkich właściwych środków bezpieczeństwa staje się nieco trudniejsze, tokenizacja może nadal zmniejszyć ryzyko jako handlowca i pomóc chronić dane przed naruszeniem. Musisz jednak zachować należytą staranność, jeśli chodzi o nowe lub starsze systemy. Rada PCI mówi to najlepiej w dokumencie Wytycznych tokenizacji PCI DSS:

        Rozwiązania tokenizacji mogą się znacznie różnić w zależności od różnych wdrożeń, w tym różnice w modelach wdrażania, metodach, technologiach i procesach tokenizacji i de-tokenizacji. Akceptanci rozważający zastosowanie tokenizacji powinni przeprowadzić dokładną ocenę i analizę ryzyka w celu zidentyfikowania i udokumentowania unikalnych cech ich poszczególnych wdrożeń, w tym wszystkich interakcji z danymi kart płatniczych oraz poszczególnymi systemami i procesami tokenizacji.

        Czy potrzebujesz tokenizacji do przetwarzania kart kredytowych?

        Pamiętaj, że w tym momencie nie ma sztywnych i szybkich zasad, które dokładnie określają, jak wdrożyć tokenizację, więc jeśli jesteś handlowcem, piłka leży po Twojej stronie, aby podjąć najlepszą decyzję dla Twoich potrzeb biznesowych. To powiedziawszy, tokenizacja może znacznie zmniejszyć odpowiedzialność sprzedawcy, jeśli chodzi o bezpieczeństwo płatności. Pamiętaj: nie musisz sam dźwigać ciężaru tokenizacji. Istnieją sposoby wykorzystania wiedzy innych firm i sprzętu do wykonania zadania. Jeśli Twoja firma chce tylko ulepszyć przetwarzanie płatności i nie potrzebujesz lub nie chcesz przechowywać wrażliwych kart płatniczych lub danych osobowych, skorzystanie z rozwiązań omówionych w tym poście zapewnia znacznie prostszy sposób poruszania się po tokenizacji.

        Chociaż nie jest to obowiązkowe – i jest niewątpliwie elastyczne we wdrożeniu – tokenizacja pozostaje jednym z najszybciej rozwijających się sposobów na zwiększenie bezpieczeństwa danych i odsunięcie ryzyka oszustwa od sprzedawcy, jednocześnie chroniąc transakcję od początku do końca.

We use cookies to provide you with the best possible experience. By continuing, we will assume that you agree to our cookie policy