Токенизация сети: безопасные платежи, более высокий процент авторизации.
Номера банковских карт — это крайне ненадежные платежные данные. 16-значный основной номер счета не меняется у разных продавцов, он медленно устаревает с течением времени и хранится в десятках баз данных, любая из которых может быть взломана. Платежная индустрия знает об этом давно, но решение этой проблемы в больших масштабах стало практически осуществимым сравнительно недавно.
Токенизация сети — вот решение проблемы. Visa, Mastercard и Amex заменяют сохраненный номер карты суррогатным значением — сетевым токеном, — который работает только для одного конкретного продавца и имеет одноразовую криптограмму, генерируемую для каждой транзакции. Украдите токен; в других местах он бесполезен. Показатели Visa: среднее снижение уровня мошенничества на 26%, повышение уровня авторизации транзакций без физического присутствия карты на 4,6% для продавцов, использующих сетевые токены.
В этой статье рассматриваются механизмы, проводится сравнение с токенизацией через шлюз (которая отличается по некоторым параметрам, имеющим существенное финансовое значение), а также описывается практическая реализация.
Что такое сетевая токенизация?
Основной номер счета (PAN) вашей карты — это статический 16-значный идентификатор. Он не меняется между продавцами или транзакциями; одно и то же значение хранится в десятке различных баз данных до тех пор, пока банк не перевыпустит физическую карту. В этом и проблема. Статические, широко хранящиеся учетные данные — легкая мишень для мошенников.
Платежные системы — Visa, Mastercard, American Express — решают эту проблему с помощью токенизации. Они заменяют PAN случайным числовым значением, сетевым токеном, который сопоставляется с реальной картой только внутри собственной инфраструктуры платежной системы. Токен привязан к конкретному продавцу. Перехваченный токен из одного магазина нельзя использовать повторно в другом или для клонирования карты.
Токенизация платежного шлюза (также называемая PCI-токенизацией) работает иначе. Поставщик платежных услуг или платежный шлюз генерирует собственный токен и хранит его в собственном хранилище. Токены платежного шлюза функционируют только в рамках одной экосистемы. Сетевые токены создаются самими карточными сетями и несут сигналы доверия, которые распознаются эмитентами, что и приводит к повышению уровня авторизации.
Как работает токенизация сети
Жизненный цикл состоит из трех фаз: предоставление ресурсов, обработка транзакций и управление жизненным циклом.
Подготовка системы происходит перед первой зарядкой:
- Продавец или поставщик платежных услуг отправляет данные карты поставщику услуг запроса токенов (TPSP), как правило, это поставщик платежных услуг или платежный шлюз с прямой интеграцией с платежными системами.
- TPSP направляет запрос в соответствующую платежную сеть (Visa Token Service, Mastercard Digital Enablement Service и т. д.).
- Платежная система проверяет карту в банке-эмитенте. После одобрения генерируется сетевой токен, привязанный к контексту продавца и устройства.
- Токен возвращается в TPSP и сохраняется. Исходный номер PAN больше не требуется.
Обработка транзакций осуществляется следующим образом:
- Платит клиент.
- Продавец отправляет сетевой токен платежному процессору.
- Процессор запрашивает у платежной сети криптограмму. Эта криптограмма представляет собой одноразовый код, действительный в течение 15 минут и привязанный к конкретной транзакции.
- Токен и криптограмма отправляются в банк-эмитент для авторизации.
- Эмитент видит подтвержденные в сети учетные данные и обрабатывает транзакцию.
Управление жизненным циклом карты происходит незаметно в фоновом режиме. Когда карта перевыпускается из-за истечения срока действия, утери или мошенничества, платежная сеть обновляет сопоставление токенов. Сохраненный токен продавца продолжает работать без каких-либо действий со стороны клиента.
Сетевой токен против токена шлюза: ключевые различия
Большинство продавцов уже хранят токенизированные данные карт через своих платежных систем. Токены шлюза защищают эти данные в рамках одной платежной среды, но они имеют ограничения, которых нет у сетевых токенов.
| Особенность | Сетевой токен | Шлюз / PCI-токен |
|---|---|---|
| Выдан | Платежные системы (Visa, Mastercard, Amex) | Платежный шлюз или PSP |
| Объем | Переносимость по всей экосистеме платежных карт. | Заблокировано для одного процессора или хранилища. |
| Автоматическое обновление при переиздании | Да, обработка осуществляется платежной системой. | Нет, требуется вмешательство клиента или ручное обновление. |
| Перекладывание ответственности за мошенничество | Переводы средств эмитенту по утвержденным сделкам | Продавец сохраняет за собой ответственность. |
| Сигнал доверия эмитента | Эмитенты признают сетевые токены проверенными. | Стандартный риск, эквивалентный PAN. |
| Повышение уровня авторизации | 4,6% (Visa), 2,1% (Mastercard) при оплате без предъявления карты. | Нет измеримого улучшения. |
| снижение межбанковских комиссий | Снижение комиссионных сборов по картам Visa до 10 базисных пунктов. | Никто |
| сокращение области действия PCI DSS | Значительная проблема, отсутствие исходных данных PAN в торговой среде. | Умеренный, ограничивает масштабы в рамках экосистемы PSP. |
Токен шлюза — это средство контроля безопасности. Сетевой токен — это средство контроля безопасности, которое также увеличивает доход.
Преимущества сетевой токенизации для продавцов
Данные достаточно конкретны, чтобы на их основе можно было построить бизнес-план:
- Снижение уровня мошенничества на 26%. Исследование Visa, проведенное среди продавцов, использующих сетевые токены, показывает это среднее снижение уровня мошенничества. Перехваченный токен нельзя использовать повторно у другого продавца — он по своей сути привязан к конкретному продавцу.
- Более высокие показатели авторизации. Visa отмечает увеличение глобального показателя авторизации транзакций без физического присутствия карты на 4,6% по сравнению с транзакциями, получавшими данные PAN без физического присутствия карты. Mastercard указывает показатель в 2,1%. При миллионах транзакций в месяц это означает значительный возврат доходов.
- Автоматическое обновление карты. Когда срок действия карты истекает или она заменяется, сетевой токен обновляется автоматически. Торговые предприятия перестают получать сообщения о неудачных продлениях подписки от клиентов, которые просто получили новую карту, но не обновили свои платежные данные.
- Перераспределение ответственности за возврат платежей. В случае транзакций, совершенных с использованием сетевого токена и криптограммы, ответственность за возврат платежа переходит от продавца к банку-эмитенту. Меньший объем споров, меньшие операционные издержки.
- Снижение межбанковских комиссий. Межбанковская ставка Visa по соответствующим токенизированным транзакциям на 10 базисных пунктов ниже, чем по нетокенизированным. Для продавца с оборотом в 100 миллионов долларов в месяц эта разница достигает 100 000 долларов ежемесячной экономии.
- Сокращение области действия PCI DSS. Отсутствие хранения исходных данных PAN в среде продавца означает, что меньше систем подпадают под требования аудита PCI. Это снижает затраты на соблюдение требований и количество процессов, подвергающихся проверке.
Исследование ClearSale добавляет контекста: 39% держателей карт прекращают покупки у продавца после одного ложного отказа. Американские продавцы теряют 3,75 доллара за каждый доллар, потерянный в результате фактического мошенничества (Statista). Обе цифры говорят в пользу любой оптимизации, которая улучшает прием карт и сокращает незаконные потери.
Примеры применения: Кому больше всего нужны сетевые токены?
Токенизация в сети наиболее эффективна в ситуациях, когда данные банковской карты хранятся и с них списываются средства многократно, а не только один раз при оформлении заказа.
- Подписочные и SaaS-бизнесы. Для регулярных платежей требуется сохраненные учетные данные, которые остаются действительными при продлении подписки. Истекшие карты приводят к непроизвольному оттоку клиентов — клиент не отменял подписку, платеж просто не прошел. Сетевые токены автоматически обновляются при перевыпуске карт, поддерживая актуальность учетных данных.
- Интернет-магазины, использующие сохраненные данные карт. Транзакции без указания номера карты (CNP) сопряжены с наибольшим риском мошенничества. Продавцы, хранящие данные карт для оформления заказа в один клик, являются основными целями для кражи учетных данных. Сетевые токены полностью исключают хранение необработанных данных PAN из среды продавца.
- Торговые площадки и платформы. Многосторонние платформы, хранящие платежные методы от имени пользователей, получают преимущество в виде переносимости: токены остаются действительными при изменении базовой карты и при переходе между различными платежными системами.
- Путешествия и гостиничный бизнес. Отели, авиакомпании и платформы бронирования регулярно списывают средства с карт после первоначального бронирования — за дополнительные расходы после проживания, повышение класса места, изменение расписания. Автоматическое обновление токенов предотвращает перерастание неудачных списаний в споры по поводу бронирования.
- Игры и цифровой контент. Внутриигровые покупки и пополнение кошельков осуществляются с помощью сохраненных карт с высокой частотой транзакций. Сетевые токены снижают сложности повторной аутентификации, не повышая при этом риск мошенничества.
Как реализовать токенизацию сети
Большинство продавцов не интегрируются напрямую с Visa или Mastercard. Платежные системы взаимодействуют с продавцами через поставщиков услуг запроса токенов (TPSP), и большинство крупных платежных систем уже имеют встроенные интеграции с этими TPSP.
Практический путь:
- Выберите платежного провайдера или платежный шлюз с поддержкой токенизации в сети. Stripe, Adyen, Checkout.com и Braintree автоматически обрабатывают предоставление сетевых токенов при сохранении карты. Отдельная интеграция с вашей стороны не требуется.
- Включите эту функцию в настройках платежной системы. Для платежных систем, поддерживающих ее изначально, включение сетевой токенизации обычно осуществляется с помощью конфигурационного флага, а не изменения кода. Проверьте документацию вашего провайдера — возможно, она уже активирована.
- Вы можете задним числом токенизировать существующие сохраненные карты. У вас есть хранилище номеров PAN? Ваш платежный оператор может отправить их пакетно с помощью массовой выдачи, переведя хранилище с системы на основе номеров PAN на систему на основе токенов без изменения учетных записей клиентов.
- Передайте токен и криптограмму в процессе оплаты. Платежная система генерирует криптограмму для каждой транзакции. Ваша интеграция отправляет ссылку на токен вместо исходного номера PAN при инициировании платежей.
- Убедитесь, что управление жизненным циклом запущено. Проверьте, что у вашего поставщика платежных услуг активированы автоматическое обновление учетных записей и управление жизненным циклом токенов. Именно эта функция обрабатывает перевыпуск карт без участия клиента.
Один из сценариев, который стоит учесть: если вы работаете с несколькими поставщиками платежных услуг (PSP) или вам необходима переносимость токенов между процессорами, обработайте это явно. Варианты включают в себя автономного поставщика хранилища токенов или PSP, поддерживающего миграцию учетных данных между шлюзами.
Токенизация сети и соответствие стандарту PCI DSS
Токенизация сети сокращает сферу действия стандарта PCI DSS, но не отменяет обязательств по PCI.
Вот реальное преимущество: сохраненный сетевой токен не классифицируется как данные держателя карты в соответствии со стандартом PCI DSS, поскольку это не номер карты. Системы, которые взаимодействуют только с токеном и никогда не видят исходный номер карты, могут быть полностью исключены из сферы действия PCI. Это сокращает количество систем, людей и бизнес-процессов, требующих ежегодной оценки, что снижает как затраты, так и риски.
Перекладывание ответственности усиливает это. В случае токенизированных транзакций, совершенных с использованием криптограммы, эмитенты одобряют платеж, зная, что учетные данные были проверены в сети. Если мошенничество происходит в транзакции, одобренной эмитентом, ответственность ложится на эмитента, а не на продавца. Это структурное изменение в работе механизма возврата платежей.
Ограничение: сетевая токенизация не охватывает этап предоставления доступа. Когда исходный PAN впервые отправляется в TPSP, эта передача должна быть защищена, и любая система, обрабатывающая PAN в этот момент, остается в зоне действия PCI. Цель состоит в том, чтобы свести этот риск к минимуму — обеспечить максимально быструю передачу PAN из вашей среды, и чтобы он нигде больше в вашей системе не появлялся.
Соответствие требованиям PCI по-прежнему требует шифрования, контроля доступа и сегментации сети. Токенизация — это надежный инструмент контроля, но не замена всей программе.
Торговые предприятия, осуществляющие операции с карточными платежами, обнаружат, что токенизация в сети перестала быть необязательной опцией и стала базовой инфраструктурой. Более высокие показатели авторизации, снижение уровня мошенничества, автоматическое управление жизненным циклом карты и экономия на межбанковских комиссиях быстро окупаются при любом значительном объеме транзакций.
Для компаний, которые полностью отказываются от карточных платежей, криптовалютные платежные шлюзы, такие как Plisio, предлагают альтернативный уровень, где эти проблемы отсутствуют. Платежи на основе блокчейна не содержат сохраненных учетных данных карты, не требуют указания номера карты (PAN) и не включают эмитента в поток транзакций — это принципиально иная модель безопасности для продавцов, которые в ней заинтересованы.
