QIWI Кошелек внедрил токенизацию платежей

QIWI Кошелек первым в стране внедрил расчеты повышенной безопасности с помощью технологий Visa.

QIWI Кошелек внедрил токенизацию платежей

Представители компании КИВИ уверяют: токенизация обеспечивает полную безопасность банковских данных владельца и уберегает их от компрометации. «+1» рассказывает о новом методе безопасного мобильного платежа.

Что такое технология токенизации?

У покупателя есть банковская карта для безналичных покупок. У карты, в свою очередь, — номер, пин-код, данные о владельце и сроке действия. За всем этим стоит счет в банке с деньгами. Упомянутые cведения покупатель старается держать в секрете, но их часть, расплачиваясь в магазине, все-таки вынужденно раскрывает — достает карту, вводит пин-код.

При оплате с помощью телефона через приложения NFC, то есть применяя только мобильный девайс, этого можно избежать. Однако покупатель хочет быть уверен, что доверенные приложению данные не уйдут дальше банка и платежного сервиса. Тут-то на помощь и приходит технология токенизации.

Токенизация платежа с помощью мобильного приложения предполагает замену ценных покупателю данных «неценными» эквивалентами: набором генерируемых буквенно-цифровых или математических данных. То есть, за ними стоит аутентификация банковских данных человека, но для злоумышленника они не имеют смысла, поскольку не дают прямого доступа к деньгам. Это как замена денег в казино игральными фишками.

Токен — криптоключ, сам по себе не содержащий финансовой информации. В процессе оплаты товара или услуги данные о карте отправляется на защищенный сетевой шлюз и специальное считывающее устройство, где создается токен для сиюминутной транзакции, объясняется в блоге Securosis.

Обратный процесс инжиниринга токена невозможен. Даже если мошенник получает данные токена, они будут полностью бесполезны: с их помощью невозможно воспользоваться банкоматом, совершить покупку или выведать информацию о банковской карте. А оригинальная информация тем временем обитает в «облаке», в зашифрованной базе данных.

Токенизация защищает от «классических» способов выуживания паролей — скамминга и фишинга, а сама технология признана выгодной для коммерческих компаний. Безопасность может привлечь новых клиентов, опасающихся за свои данные. Кроме этого, компании будут меньше средств тратить на поддержку системы безопасных платежей.

Алексей Дитятьев, директор по развитию QIWI Кошелька: «Токенизация платежей на сегодняшний день — пожалуй, самая эффективная технология защиты данных как покупателя, так и продавца. Сервис токенизации Visa в QIWI Кошельке появился в России впервые, и уже сейчас миллионы пользователей по всей стране, в том числе те, кто ранее опасался оплачивать с помощью мобильного, могут оценить преимущества безопасной оплаты, которые выражаются в невозможности кражи номера карты клиента и совершения мошеннических действий с персональными данными».

Старший директор департамента цифровых решений Visa в России Михаил Батуев отметил, что оплата посредством мобильного телефона все больше входит в привычку у потребителей. Многие россияне, оценившие удобство бесконтактных платежей, теперь охотно используют этот современный способ в повседневной жизни: «Так что, распространяя технологию токенизации, мы расширяем сферу использования безналичных расчетов и помогаем сделать процесс оплаты более быстрым и надежным».

Платить, не касаясь

С технологией Near-Field Communication, или NFC, покупатель прикладывает к терминалу телефон с функцией NFC (есть во всех современных смартфонах) и мобильным платежным приложением. Технология появилась недавно, но уже широко известна в крупных городах. Особенно она популярна у молодого поколения. Удобство очевидно: вместо вороха карт в руке оказывается всего один телефон.

Еще NFC исключительно безопасен, как утверждают разработчики. Покупатель не вводит пин-код и не светит карту. Мобильные приложения не имеют доступа к банковскому счету — он есть только у владельца, банка и систем Visa или Mastercard. Оплата — только по авторизации отпечатком пальца.

NFC с мобильным приложением считается безопаснее, чем бесконтактные системы платежей PayWave и PayPass. Опять же, покупатель не показывает номера карты и не вводит пин-код при сумме более 1000 рублей. А сам чип-NFC на карте всегда активен, так что в теории, если поднести к ней имитирующее работу терминала устройство, мошенник может как минимум получить список последних операций, а как максимум — совершить незаконную транзакцию.

Токенизация уже внедрена на мобильных приложениях для NFC-платежей Apple Pay и Samsung Pay. Теперь сервис токенизации Visa встроен в последнюю версию QIWI Кошелька для Android c поддержкой технологии Host card emulation (HCE). Пользователям с установленным приложением нужно обновить его до последней версии, поясняют в пресс-службе QIWI.

Директор по развитию QIWI Кошелька Алексей Дитятьев пояснил нюансы процесса:

— Почему токенизация не появилась раньше? Какие технические и юридические трудности есть у процесса внедрения технологии?

— Процесс внедрения токенизации на уровне приложения достаточно сложен технически и требует целого ряда подтверждений со стороны Visa. Наш пример токенизации уникален для России, поскольку токенизация платежа происходит в самом мобильном приложении QIWI Кошелька, а не на уровне выше, т.е. в мобильной платежной системе.

— Насколько она способна обезопасить электронные платежи, и какое значение при внедрении технологии остается у цифровой и финансовой грамотности пользователя? О чем все равно не должен забывать человек, даже если он пользуется современными платежными системами?

— Важно понимать, что токенизация обеспечивает защиту данных в процессе платежа, все остальные меры безопасности должны соблюдаться владельцем карты или электронного кошелька. Главное не забывать про методы социальной инженерии, не раскрывать реквизиты третьим лицам, устанавливать только надежные и проверенные мобильные приложения.

— Были ли прецеденты получения мошенниками доступа к банковских данным вопреки токенизации?

— Мне о таких случаях неизвестно.

Итак, есть ли опасность?

В 2016 году американский исследователь Сальвадор Мендоза выступил с докладом на конференции Black Hat, рассказав о своем исследовании системы Samsung Pay. Он поставил опыт: перехватил токены при совершении платежных операций и сумел на основании их сгенерировать следующий. Иными словами, нашел брешь в системе безопасности.

В доказательство своих слов Мендоза изготовил небольшое устройство, которое легко спрятать на теле. Этот девайс способен перехватывать токены Samsung Pay по мере их генерации. Полученные токены может использовать атакующий злоумышленник, чтобы выявить следующий и совершить незаконную транзакцию, утверждал американец. Samsung выпустил два опровержения и пресс-релиз, в котором отрицал результаты доклада.

Так или иначе, это — сложный метод, и мошенники им не пользуются, утверждают и «Ведомости». Как заявил руководитель отдела безопасности мобильных приложений компании Positive Technologies Артем Чайкин, самыми популярными способами хищения денег остаются мобильные «трояны» и атаки на мобильные банки.

Специалисты говорят, что часто пользователи сами помогают мошенникам: игнорируют антивирусы для телефонов, открывают сомнительные ссылки и приложения из почты, используют бесплатные точки wi-fi, устанавливают небезопасный софт и приложения. Цифровая безграмотность идет рядом с финансовой: по-прежнему встречаются люди, которые носят карточку вместе с пин-кодом, сообщают неизвестным номера карт, СVV, CVC-коды и прочее.


Теги:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

*

7 + 1 =