Mã hóa mạng: Thanh toán an toàn, tỷ lệ xác thực cao hơn
Số thẻ là phương thức thanh toán tệ hại. Số tài khoản chính gồm 16 chữ số không thay đổi giữa các nhà cung cấp dịch vụ, nó thay đổi rất chậm qua nhiều năm và được lưu trữ trong hàng tá cơ sở dữ liệu — bất kỳ cơ sở dữ liệu nào cũng có thể bị xâm phạm. Ngành công nghiệp thanh toán đã biết điều này từ lâu, nhưng giải pháp chỉ trở nên khả thi trên quy mô lớn trong thời gian gần đây.
Giải pháp đó chính là mã hóa mạng (network tokenization). Visa, Mastercard và Amex thay thế số thẻ được lưu trữ bằng một giá trị thay thế – mã token mạng – chỉ hoạt động cho một người bán cụ thể và có một mã hóa dùng một lần được tạo ra cho mỗi giao dịch. Nếu đánh cắp mã token, nó sẽ vô giá trị ở nơi khác. Số liệu của Visa: Giảm gian lận trung bình 26%, tỷ lệ chấp thuận tăng 4,6% đối với các giao dịch không có thẻ vật lý cho người bán sử dụng mã token mạng.
Bài viết này đề cập đến cơ chế hoạt động, sự so sánh với mã hóa token của cổng thanh toán (khác biệt ở những điểm thực sự quan trọng về mặt tài chính), và cách triển khai trong thực tế.
Mã hóa mạng là gì?
Số tài khoản chính (PAN) của thẻ bạn là một mã định danh cố định gồm 16 chữ số. Mã này không thay đổi giữa các nhà cung cấp hoặc giao dịch; cùng một giá trị được lưu trữ trong hàng chục cơ sở dữ liệu khác nhau cho đến khi ngân hàng phát hành lại thẻ vật lý. Đó chính là vấn đề. Thông tin đăng nhập cố định, được lưu trữ rộng rãi, rất dễ trở thành mục tiêu tấn công.
Các mạng lưới thẻ — Visa, Mastercard, American Express — giải quyết vấn đề này thông qua mã hóa mạng. Họ thay thế số PAN bằng một giá trị số ngẫu nhiên, gọi là mã thông báo mạng, chỉ được ánh xạ trở lại thẻ thật bên trong cơ sở hạ tầng của mạng lưới thẻ. Mã thông báo này dành riêng cho từng cửa hàng. Mã thông báo bị chặn từ một cửa hàng không thể được sử dụng lại ở cửa hàng khác hoặc dùng để sao chép thẻ.
Mã hóa token của cổng thanh toán (còn gọi là mã hóa token PCI) hoạt động khác biệt. Nhà cung cấp dịch vụ thanh toán hoặc cổng thanh toán tạo ra token riêng của họ và lưu trữ trong kho riêng. Token của cổng thanh toán chỉ hoạt động trong hệ sinh thái đó. Token của mạng lưới đến từ chính các mạng lưới thẻ và mang tín hiệu tin cậy mà các tổ chức phát hành nhận ra, đó là lý do tạo ra sự gia tăng tỷ lệ ủy quyền.
Cơ chế hoạt động của mã hóa mạng (Network Tokenization)
Vòng đời hoạt động qua ba giai đoạn: cấp phát, xử lý giao dịch và quản lý vòng đời.
Quá trình cấp phát diễn ra trước khi thực hiện lần sạc đầu tiên:
- Người bán hoặc nhà cung cấp dịch vụ thanh toán gửi dữ liệu thẻ đến Nhà cung cấp dịch vụ yêu cầu mã thông báo (TPSP), thường là PSP hoặc cổng thanh toán có tích hợp trực tiếp với mạng lưới thẻ.
- TPSP định tuyến yêu cầu đến mạng lưới thẻ có liên quan (Dịch vụ Token Visa, Dịch vụ Kích hoạt Kỹ thuật số Mastercard, v.v.).
- Hệ thống thẻ sẽ kiểm tra thẻ với ngân hàng phát hành. Sau khi được chấp thuận, hệ thống sẽ tạo ra một mã thông báo mạng liên kết với người bán và thiết bị đó.
- Mã token được trả về TPSP và được lưu trữ. Thông tin PAN thô không còn cần thiết nữa.
Quá trình xử lý giao dịch diễn ra theo trình tự sau:
- Khách hàng thanh toán.
- Người bán gửi mã thông báo mạng đến bộ xử lý thanh toán.
- Bộ xử lý yêu cầu mã hóa từ mạng lưới thẻ. Mã hóa đó là một mã dùng một lần, có hiệu lực trong 15 phút, gắn liền với giao dịch cụ thể này.
- Mã token kèm theo mã bảo mật sẽ được gửi đến ngân hàng phát hành để xác thực.
- Bên phát hành nhận được thông tin xác thực đã được xác minh trên mạng và tiến hành xử lý giao dịch.
Quản lý vòng đời thẻ diễn ra âm thầm trong nền. Khi thẻ được cấp lại do hết hạn, mất hoặc gian lận, mạng lưới thẻ sẽ cập nhật ánh xạ mã thông báo. Mã thông báo được lưu trữ của người bán vẫn tiếp tục hoạt động mà không cần bất kỳ thao tác nào từ phía khách hàng.
Mã thông báo mạng so với mã thông báo cổng: Những điểm khác biệt chính
Hầu hết các nhà bán lẻ hiện đã lưu trữ dữ liệu thẻ được mã hóa thông qua PSP của họ. Mã thông báo cổng thanh toán bảo vệ dữ liệu đó trong một môi trường thanh toán duy nhất, nhưng chúng có giới hạn mà mã thông báo mạng không gặp phải.
| Tính năng | Mã thông báo mạng | Mã thông báo cổng/PCI |
|---|---|---|
| Được phát hành bởi | Hệ thống thẻ (Visa, Mastercard, Amex) | Cổng thanh toán hoặc PSP |
| Phạm vi | Có thể sử dụng trên toàn bộ hệ sinh thái mạng thẻ. | Chỉ được sử dụng với một bộ xử lý hoặc kho lưu trữ duy nhất. |
| Tự động cập nhật khi phát hành lại. | Vâng, việc này do mạng lưới thẻ xử lý. | Không, cần có thao tác của khách hàng hoặc cập nhật thủ công. |
| Chuyển đổi trách nhiệm pháp lý do gian lận | Chuyển thông tin sang bên phát hành đối với các giao dịch đã được phê duyệt. | Người bán vẫn chịu trách nhiệm |
| Tín hiệu tin cậy của nhà phát hành | Các tổ chức phát hành công nhận mã thông báo mạng là đã được xác minh. | Rủi ro tương đương PAN tiêu chuẩn |
| Tăng tỷ lệ ủy quyền | 4,6% (Visa), 2,1% (Mastercard) đối với giao dịch không tiếp xúc (CNP) | Không có sự cải thiện đáng kể nào. |
| Giảm phí trao đổi | Giảm tới 10 điểm cơ bản đối với các giao dịch đủ điều kiện sử dụng Visa. | Không có |
| Giảm phạm vi PCI DSS | Đáng chú ý, không có PAN thô nào trong môi trường thương mại. | Mức độ vừa phải, giảm phạm vi trong hệ sinh thái PSP |
Mã thông báo cổng là một biện pháp kiểm soát bảo mật. Mã thông báo mạng là một biện pháp kiểm soát bảo mật đồng thời cũng giúp cải thiện doanh thu.
Lợi ích của mã hóa mạng cho các nhà bán lẻ
Dữ liệu đủ cụ thể để xây dựng một kế hoạch kinh doanh dựa trên đó:
- Giảm 26% tỷ lệ gian lận. Nghiên cứu của Visa về các nhà bán lẻ sử dụng mã thông báo mạng cho thấy mức giảm trung bình này trong tỷ lệ gian lận. Mã thông báo bị chặn không thể được sử dụng lại tại nhà bán lẻ khác — nó được khóa tại chính nhà bán lẻ đó theo thiết kế.
- Tỷ lệ chấp thuận cao hơn. Visa ghi nhận tỷ lệ chấp thuận toàn cầu tăng 4,6% đối với các giao dịch không cần thẻ vật lý so với việc chỉ sử dụng số PAN. Mastercard đưa ra con số 2,1%. Với hàng triệu giao dịch mỗi tháng, đó là một khoản doanh thu được phục hồi đáng kể.
- Cập nhật thẻ tự động. Khi thẻ hết hạn hoặc được thay thế, mã thông báo mạng sẽ tự động cập nhật. Các nhà bán lẻ sẽ không còn gặp phải tình trạng gia hạn đăng ký thất bại từ những khách hàng chỉ đơn giản là nhận được thẻ mới mà không cập nhật thông tin thanh toán của họ.
- Chuyển trách nhiệm hoàn tiền. Đối với các giao dịch được thực hiện bằng mã thông báo mạng và mã hóa, trách nhiệm hoàn tiền chuyển từ người bán sang ngân hàng phát hành. Giảm số lượng tranh chấp, giảm chi phí vận hành.
- Phí giao dịch thấp hơn. Tỷ lệ phí giao dịch của Visa đối với các giao dịch được mã hóa đủ điều kiện thấp hơn tới 10 điểm cơ bản so với tỷ lệ phí giao dịch không được mã hóa. Đối với một doanh nghiệp có doanh thu 100 triệu đô la mỗi tháng, sự khác biệt này giúp tiết kiệm được 100.000 đô la mỗi tháng.
- Giảm phạm vi PCI DSS. Việc không lưu trữ số PAN thô trong môi trường của người bán có nghĩa là ít hệ thống hơn phải tuân thủ các yêu cầu kiểm toán PCI. Điều đó làm giảm chi phí tuân thủ và số lượng quy trình phải chịu sự kiểm tra.
Nghiên cứu của ClearSale cung cấp thêm bối cảnh: 39% chủ thẻ ngừng mua sắm với một nhà bán lẻ sau một lần giao dịch bị từ chối sai. Các nhà bán lẻ tại Mỹ mất 3,75 đô la cho mỗi đô la gian lận thực tế (Statista). Cả hai con số đều cho thấy cần có bất kỳ sự tối ưu hóa nào giúp cải thiện tỷ lệ chấp nhận thanh toán và giảm thiểu tổn thất bất hợp pháp.
Các trường hợp sử dụng: Ai cần mã thông báo mạng nhất?
Mã hóa mạng (Network Tokenization) mang lại hiệu quả cao nhất trong các trường hợp thông tin thẻ được lưu trữ và sử dụng nhiều lần để thanh toán, chứ không chỉ được sử dụng một lần khi thanh toán.
- Các doanh nghiệp kinh doanh theo mô hình đăng ký và SaaS. Thanh toán định kỳ yêu cầu thông tin xác thực được lưu trữ để duy trì hiệu lực qua các lần gia hạn. Thẻ hết hạn dẫn đến tình trạng khách hàng hủy dịch vụ ngoài ý muốn — khách hàng không hủy, mà chỉ đơn giản là giao dịch thanh toán thất bại. Mã thông báo mạng được cập nhật tự động khi thẻ được cấp lại, giúp thông tin xác thực luôn được cập nhật.
- Các nhà bán lẻ thương mại điện tử lưu trữ thông tin thẻ. Giao dịch CNP (Computer-Paid Interpretation) tiềm ẩn rủi ro gian lận cao nhất. Các nhà bán lẻ lưu trữ dữ liệu thẻ để thanh toán một lần nhấp chuột là mục tiêu hàng đầu của hành vi đánh cắp thông tin đăng nhập. Mã thông báo mạng (Network Token) loại bỏ hoàn toàn việc lưu trữ số PAN thô khỏi môi trường của nhà bán lẻ.
- Các sàn giao dịch và nền tảng. Các nền tảng đa chiều nắm giữ phương thức thanh toán thay mặt người dùng được hưởng lợi từ tính di động: mã thông báo vẫn hợp lệ ngay cả khi thẻ cơ sở thay đổi, trên nhiều bộ xử lý khác nhau.
- Ngành du lịch và khách sạn. Các khách sạn, hãng hàng không và nền tảng đặt phòng thường xuyên tính phí vào thẻ sau khi đặt phòng ban đầu — các khoản phí phát sinh sau khi lưu trú, nâng cấp chỗ ngồi, thay đổi lịch trình. Việc cập nhật mã token tự động giúp ngăn chặn các khoản phí không thành công leo thang thành tranh chấp đặt phòng.
- Trò chơi và nội dung kỹ thuật số. Mua hàng trong ứng dụng và nạp tiền vào ví được thực hiện trên các thẻ đã lưu với tần suất giao dịch cao. Mã thông báo mạng giúp giảm ma sát xác thực lại mà không làm tăng nguy cơ gian lận.
Cách triển khai mã hóa mạng
Hầu hết các nhà bán lẻ không tích hợp trực tiếp với Visa hoặc Mastercard. Các mạng lưới thẻ này tiếp cận các nhà bán lẻ thông qua các nhà cung cấp dịch vụ yêu cầu mã thông báo (Token Requestor Service Providers - TPSP), và hầu hết các PSP lớn đều đã tích hợp sẵn các TPSP đó.
Con đường thực tiễn:
- Hãy chọn một PSP hoặc cổng thanh toán có hỗ trợ mã hóa token mạng tích hợp sẵn. Stripe, Adyen, Checkout.com và Braintree đều tự động xử lý việc cung cấp token mạng khi thẻ được lưu trữ. Bạn không cần tích hợp riêng biệt nào cả.
- Hãy bật tính năng này trong cấu hình thanh toán của bạn. Đối với các nhà cung cấp dịch vụ thanh toán (PSP) hỗ trợ tính năng này một cách tự nhiên, việc kích hoạt mã hóa token mạng thường là một cờ cấu hình, chứ không phải là thay đổi mã. Hãy kiểm tra tài liệu của nhà cung cấp – tính năng này có thể đã được kích hoạt sẵn.
- Tự động mã hóa lại các thẻ đã lưu trữ hiện có của bạn. Bạn có một kho lưu trữ mã số PAN? Nhà cung cấp dịch vụ thanh toán (PSP) của bạn có thể gửi hàng loạt mã số này thông qua quy trình cấp phép hàng loạt, chuyển đổi kho lưu trữ từ dựa trên PAN sang dựa trên mã thông báo mà không cần can thiệp vào bất kỳ tài khoản khách hàng nào.
- Truyền mã token và mã bảo mật trong quy trình thanh toán của bạn. Nhà cung cấp dịch vụ thanh toán (PSP) tạo ra một mã bảo mật cho mỗi giao dịch. Hệ thống tích hợp của bạn sẽ gửi mã tham chiếu token thay vì số PAN thô khi bắt đầu tính phí.
- Hãy xác nhận rằng quá trình quản lý vòng đời đang hoạt động. Đảm bảo rằng PSP của bạn đã kích hoạt tính năng cập nhật tài khoản tự động và quản lý vòng đời mã thông báo. Đó là phần xử lý việc phát hành lại thẻ mà không cần sự can thiệp của khách hàng.
Một kịch bản đáng để lên kế hoạch: nếu bạn làm việc với nhiều PSP hoặc cần khả năng chuyển đổi mã thông báo giữa các bộ xử lý, hãy xử lý vấn đề đó một cách rõ ràng. Các tùy chọn bao gồm nhà cung cấp kho lưu trữ mã thông báo độc lập hoặc PSP hỗ trợ di chuyển thông tin xác thực giữa các cổng.
Mã hóa mạng và tuân thủ tiêu chuẩn PCI DSS
Mã hóa mạng (Network Tokenization) giúp giảm phạm vi áp dụng của PCI DSS, nhưng không loại bỏ hoàn toàn các nghĩa vụ của PCI.
Lợi ích thực sự là: mã thông báo mạng được lưu trữ không được phân loại là dữ liệu chủ thẻ theo PCI DSS, vì nó không phải là số thẻ. Các hệ thống chỉ truy cập mã thông báo và không bao giờ nhìn thấy số thẻ gốc có thể được loại bỏ hoàn toàn khỏi phạm vi PCI. Điều này làm giảm số lượng hệ thống, nhân viên và quy trình kinh doanh cần được đánh giá hàng năm, từ đó giảm cả chi phí và rủi ro.
Sự chuyển đổi trách nhiệm pháp lý củng cố điều này. Đối với các giao dịch được mã hóa hoàn tất bằng mật mã, các tổ chức phát hành chấp thuận khoản phí khi biết rằng thông tin xác thực đã được mạng lưới xác minh. Nếu gian lận xảy ra trong một giao dịch mà tổ chức phát hành đã chấp thuận, trách nhiệm sẽ thuộc về tổ chức phát hành, chứ không phải người bán. Đó là một thay đổi cấu trúc trong cách thức hoạt động của việc hoàn trả tiền.
Giới hạn: mã hóa mạng không bao gồm bước cấp phép. Khi PAN thô được gửi lần đầu tiên đến TPSP, quá trình truyền tải đó phải được bảo mật, và bất kỳ hệ thống nào xử lý PAN tại thời điểm đó đều nằm trong phạm vi PCI. Mục tiêu là giảm thiểu rủi ro xuống mức thấp nhất — đảm bảo PAN rời khỏi môi trường của bạn càng nhanh càng tốt, và không xuất hiện ở bất kỳ nơi nào khác trong hệ thống của bạn.
Tuân thủ PCI vẫn yêu cầu mã hóa, kiểm soát truy cập và phân đoạn mạng. Mã hóa token là một biện pháp kiểm soát mạnh mẽ, nhưng không thể thay thế cho toàn bộ chương trình.
Các nhà bán lẻ vận hành hệ thống thanh toán thẻ sẽ nhận thấy rằng mã hóa mạng (network tokenization) đã chuyển từ một tùy chọn nâng cấp sang cơ sở hạ tầng cơ bản. Tỷ lệ xác thực cao hơn, tỷ lệ gian lận thấp hơn, quản lý vòng đời thẻ tự động và tiết kiệm phí giao dịch sẽ nhanh chóng mang lại lợi ích khi khối lượng giao dịch đáng kể.
Đối với các doanh nghiệp muốn loại bỏ hoàn toàn các phương thức thanh toán truyền thống bằng thẻ, các cổng thanh toán tiền điện tử như Plisio cung cấp một lớp bảo mật thay thế, nơi không tồn tại những lo ngại này. Thanh toán dựa trên blockchain không lưu trữ thông tin thẻ, không cần cung cấp số PAN và không có sự tham gia của tổ chức phát hành trong quy trình giao dịch — một mô hình bảo mật hoàn toàn khác biệt dành cho các nhà bán lẻ muốn sử dụng nó.
