Токенизация – это процесс замещения традиционных активов (таких как деньги, акции, недвижимость, номера кредитных карт) на токены, отражающие эти ценности, что делает торговлю ими легче и безопаснее.
Оплата товаров через интернет была бы намного более рискованной, если бы не токенизация. Конфиденциальные данные кредитной карты преобразуются в цифровой токен, который бесполезен для хакеров, но используется банками для завершения платежа. Компании выпускают цифровые заменители акций и других ценных бумаг вместо бумажных носителей, потому что это безопаснее и эффективнее.
Мы используем токены ежедневно, хотя и не всегда обращаем внимание на это.
Как работает токенизация кредитной карты?
Токенизация карты заменяет конфиденциальные данные клиента одноразовым рандомным буквенно-цифровым идентификатором, который не имеет связи с владельцем учетной записи.
Конфиденциальные данные карты — это ее номер (PAN — Primary Account Number) и срок действия.
Случайно сгенерированный токен используется для безопасного доступа, передачи и извлечения информации о кредитке клиента.
Токены не содержат конфиденциальных данных. Они скорее действуют как схема, которая объясняет, где банк клиента хранит конфиденциальные данные в своих системах.
Токены генерируются с помощью математических алгоритмов, и их нельзя отменить.
И открыть их можно только после завершения транзакции. Вне системы токены не имеют значения и ценности. Поэтому, даже если хакеры обнаружат данные клиента во время их обработки, они не смогут их использовать.
Как работает транзакция с токенизированной кредитной картой пошагово:
- Держатель карты инициирует транзакцию и вводит конфиденциальные данные кредитной карты.
- Информация о кредитной карте поступает в банк-эквайер продавца в виде токена.
- Эквайер передает токен в сети кредитных карт для авторизации.
- После авторизации данные клиента хранятся в защищенных виртуальных хранилищах банка. Токен коррелирует с номером счета клиента.
- Банк проверяет средства и разрешает либо отклоняет транзакцию.
- Если авторизация прошла успешно, продавцу возвращается уникальный токен для текущих и будущих транзакций.
Преимущества токенизации credit card
Токенизация карт значительно повышает безопасность платежей.
Произвольно сгенерированные токены доступны для чтения только платежной системой, но даже если они были раскрыты, ими нельзя воспользоваться.
Мы пользуемся сервисами с подписками: оплачиваем коммунальные услуги, слушаем музыку, смотрим фильмы, читаем электронные книги. Чтобы оформить подписку, мы заходим на сайт интернет-магазина, вводим данные карты и ставим галочку, подтверждающую согласие на то, что магазин сохранит данные карты (PAN и срок действия) и сможет самостоятельно инициировать оплату за конкретную услугу.
Соответственно, магазин должен где-то сохранить данные карты. У него есть следующие варианты:
- сохранить их на собственных серверах, если они сертифицированы на соответствие стандарту PCI DSS, что могут себе позволить далеко не все интернет-магазины;
- доверить их хранение платежному сервису, например, Яндекс.Кассе, которая сертифицирована PCI DSS по высшему уровню безопасности.
Большинству компаний, которые собирают и хранят конфиденциальные данные в своих сетях, часто очень трудно соблюдать стандарты PCI DSS. Утечка данных и несоблюдение требований PCI может привести к значительным штрафам Совета PCI.
Токенизация позволяет продавцам соблюдать PCI DSS с минимальными обязательствами и расходами на безопасность.
Удалением информации о карточках клиентов из сети сводятся к минимуму риски утечки данных. Фирме уже не нужно вкладывать много денег и ресурсов в защиту данных - она обеспечивается путем токенизации кредитной карты.
Другие конфиденциальные данные: пароли, адреса, секретные файлы и учетные записи клиентов, также могут быть защищены с помощью технологии токенизации.
Токенизация vs шифрование
Это два отличных инструмента для борьбы с мошенничеством с кредитными картами, и их часто путают друг с другом. Разберемся, в чем разница между ними?
Шифрование - это форма криптографии, которая защищает конфиденциальные данные, превращая их в нечитаемый код. Каждая цифра, буква и пробел маскируются другими символами, которые выбираются системой, основанной на сложном алгоритме шифрования. Закодированная информация расшифровывается с помощью ключа или пароля.
Шифрование обратимо. Зашифрованную информацию можно вернуть в исходную форму в любой момент - если вы знаете алгоритм, лежащий в основе этого.
Зашифрованные данные можно взломать, поэтому Совет PCI строго относится к их оформлению. Соблюдение нормативных требований шифрования обходится намного дороже, чем при токенизации.
Шифрование - один из самых надежных методов защиты данных карты для транзакций, когда карта физически присутствует. Токенизация гораздо лучше в плане защиты, когда речь идет о платежах, в которых не фигурирует карта.
Чтобы лучше обезопасить конфиденциальные данные при передаче и соответствовать требованиям PCI DSS, специалисты рекомендуют совмещать шифрование и токенизацию.
