Изнанка работы платежных технологий на основе NFC и MST

в 13:59, , рубрики: MST, NFC, безопасность, Блог компании Fondy, информационная безопасность, платежные карты, платежные системы, Разработка под e-commerce, токенизация, транзакции

imageС учетом популярности и распространенности платежных технологий на основе NFC и имитации магнитного сигнала — MST, мы в команде платежного провайдера Fondy, публикуем пост, в котором описан механизм работы этих решений: от точки А (взаимодействия с платежным терминалом) до точки Б (исполнения транзакции).

По результатам выдачи Яндекса, главным вопросом пользователей на тему NFC остается «Что такое NFC и как научиться им пользоваться?». Это сильно контрастирует с тем же Google, где вопрос уже другой. Что такое NFC, там уже знают — NFC там есть в каждом домохозяйстве. Вопрос — как применить то, что дано? Что можно делать, используя NFC? Что делать обычному непродвинутому пользователю с технологией ближнего поля?

Для начала вот список нескольких смарт-устройств, совместимых с NFC: Nexus 6, Sony Xperia Z3, iPhone 6/7, Samsung Galaxy Note 4, LG G3, HTC One M9. Для любителей изучения и сравнения девайсов, вот полный список.

Очень скоро чипы NFC будут встроены в смартфоны всех производителей, и даже фитнес-трекеры будут работать на основе NFC. Apple использует данную технологию в Apple Watch, и уже сейчас вы можете оплатить товары через Apple Pay взмахом руки.

Вот так выглядит считывание карты с чипом EMV:

image

image

Для чего был сделан экскурс в EMV? Чтобы наглядно показать, что с появлением NFC почти все предшествующие шаги (действия) должны были быть каким-то образом повторены, реплицированы, перенесены в телефон или другое бесконтактное устройство.

Дальше мы поговорим о том, что такое TSM и SecureElement, которые делают NFC транзакции более безопасными. Ведь если карту не эмулировать в телефоне при помощи HCE (HostCardEmulation), тогда данные нужно где-то хранить. SecureElement как раз занят решением этой задачи.

image

OTA — удаленное управление элементами безопасности.

TSM — TrustedServiceManager — уникальный посредник, который владеет ключами. Это аппаратно-программный комплекс, предоставляющий технологические отношения между операторами связи и поставщиками услуг.

Ключевые услуги доверенной третьей стороны включают защищенную загрузку и менеджмент контента элемента безопасности, выполняемый при взаимодействии с провайдерами мобильных сервисов. Это могут быть банки, транспортные компании, поставщики и агрегаторы услуг. Удаленное управление приложениями, обычно выполняемое с использованием технологий беспроводной сотовой связи (over-the-air, OTA), включает установку и персонализацию приложений в элементе безопасности мобильного телефона, а также дальнейшее обслуживание установленных приложений на всем протяжении их жизненного цикла, равно как и сервисную поддержку. Подробнее о роли и месте TSM в экосистеме NFC можно прочесть здесь.

SecureElement — безопасный элемент в устройстве NFC — данные, размещенные в кошельке устройства. Это отдельный микропроцессор, отвечающий за безопасное хранение и работоспособность платежных приложений Mastercard Mobile PayPass/VisaPayWave. Либо его делают встроенным (установленным на материнской плате телефона), либо он размещен на отделяемом модуле: UICC SIM-карта/SD карта памяти.

image

Для более наглядного понимания ежедневного применения TSM-платформы процитируем отрывок из пресс-релиза МТС от 03 марта 2014 года:

«С появлением TSM-платформы снимается последнее инфраструктурное ограничение на пути массового развития в России NFC-сервисов — мы получим связующее звено в экосистеме NFC, единую «точку входа» для быстрого подключения широкого круга поставщиков услуг… Для пользователя наш новый технический комплекс дает возможность быстрой и безопасной загрузки «по воздуху» прямо на SIM-карту электронного образа банковских и транспортных карт, проездных билетов, карт лояльности, пропусков. Скоро абоненту МТС будет достаточно единожды получить в салоне МТС SIM-карту с поддержкой NFC, чтобы в дальнейшем оформлять дубликаты пластиковых банковских карт без визита в банк или покупать проездные билеты, получать скидочные купоны, не обращаясь в точки продаж. И все это уместится в одном смартфоне в окружении дружественного интерфейса с полной информацией обо всех доступных бесконтактных картах».

Сейчас можно сверить часы и посмотреть, насколько оправдались планы. Технологически очень даже оправдались. Воплотить удалось многое.

image

NFC-чипы уже настолько на слуху, что даже новость об их подкожном вживлении людям уже не новость.

До Евгения Черешнева (2 года назад россиянин вживил себе в руку NFC-биочип, «который позволит открывать двери, хранить данные, расплачиваться в кафе и многое другое») был Мартин Висмейер, известный как MrBitcoin. Он имплантировал два NFC-чипа, чтобы хранить криптовалюту. Московский инженер Влад Зайцев вшил себе чип от московской транспортной карты «Тройка»: теперь с помощью руки он оплачивает проезд в транспорте, а также открывает дверь офиса.

image

NFC-чипы на фото вшиты в кисти рук. Но есть и другие NFC-устройства, как, например, платежное кольцо: медицинский титан, вшитый чип (режим чтения, поддержка записи, передачи визитных карточек), брелок, стикер, наклеиваемый на гаджет, чехол для смартфонов, NFC-часы — все эти устройства будут поддерживать передачу данных при условии вшитого в них NFC-устройства, которое будет служить для передачи финансовых, либо других информационных данных.

image

Если раньше для защиты карты и транзакции опирались на шифрование данных на магнитной полосе карты, а потом все надежды были связаны с апплетами самого чипа, то сейчас безопасность платежных транзакций связана с токенизацией. Как NFС технология усилила и одновременно упростила метод передачи данных, так токенизация посредством NFC сильно усилила безопасность карточных транзакций.

Евгений Черешнев, побывавший на TED в Нью-Йорке, опубликовал свои размышления на тему современных биочипов (а NFC-чип, вшитый подкожно, суть биочип) в Facebook.

Человек, успешно проживший с биочипом под кожей более двух лет исходя из своего опыта вводит новый термин «цифровой ДНК». На таком фоне не покажется ли нам уже привычный NFC пережитком и технологическим рудиментом? Впрочем, пока до этого далеко.

Пока важно продолжить работу над безопасностью в сфере финансовых транзакций, в том числе, NFC-транзакций. Токенизация тут незаменимый спутник NFC-транзакций.

Токенизация — это метод защиты данных вашей карты, при котором номер карты (PAN) заменяется на виртуальный (токен), уникальный и случайно сгенерированным набор чисел. Сами токены могут быть как одноразового, так и многоразового использования. Эта технология вытекает из технологии NFC.

image

Токенизация позволила пользователю привязывать свои карты к мобильным кошелькам, при этом не сообщая интернет-мерчантам реальный номер карты, а подменяя его токенизированным. Таким образом, отправлять транзакции с телефона или оплачивать покупку при помощи телефона, с применением токенизации становится безопасно.

Замена реквизитов платежных карт на случайно выбранные символы/цифры (токены), которые будут сохраняться в базе магазинов, где пользователь совершает оплату, удобна для дальнейших покупок — всего лишь одним нажатием пальца вы совершаете платеж. При этом для каждого интернет-магазина может формироваться свой набор символов. Например, сервис VISAToken сначала работал только на iOS-устройствах (первой платформой для экспериментов стала Apple Pay), однако в дальнейшем токенизация стала поддерживаться и на других NFC-устройствах.

Как происходит обмен данными при использовании токена?

image

А вот как при этом выглядит авторизационный запрос:

image

Уже разработан токенизированный платежный шлюз, например, Rambus Bell ID. Он представляет собой софтверную платформу, которая управляет всеми транзакциями, совершенными посредством токенов (ключей), между эмитентами и «многоканальными» провайдерами токенизированных сервисов через единый платежный шлюз. На смену PSP (payment service providers) приходят TSP (tokenized service providers).

Платежная система VISA ввела сервис Visa Token Service для европейских банков. Основной платформой, на которой будет работать VTS, станет Apple Pay. Тем не менее, поддерживать эту систему смогут все устройства с чипом NFC. В 2015 году Mastercard запустила платформу Digital Enablement Express (Express), чтобы ускорить предоставление миллионам покупателей дополнительных возможностей при совершении безопасных электронных платежей. Сервис Express ускоряет процесс цифрового преобразования и токенизации по картам Mastercard через платформу Mastercard Digital Enablement Service (MDES). Эта технология позволит превратить любой аксессуар, гаджет или предмет бытовой техники, в устройство с функцией оплаты.

Платежная система Apple Pay использует NFC. Samsung, выстраивая свою платежную систему, опирается как на технологию NFC, так и на технологию MST (Magnetic Secure Transmission) — магнитно-безопасную передачу. Если в первой принимающие устройства должны быть оснащены NFC-приемником, то MST имитирует передаваемое магнитное поле при помощи индукционной петли, встроенной в устройство, что и создает магнитное поле, легко считываемое MAG — терминалом, как если бы была совершена обыкновенная карточная транзакция.

По информации рынка, обе технологии страдают от невнимания пользователей. Если NFC-транзакции страдают от того, что только 10% терминалов оснащены одноименным приемником, то с MST картина хоть и лучше, но тоже странная: вероятно, что до 10% принимающих устройств не смогут считывать MST-транзакции. Между тем, как первая, так и вторая технологии вполне надежны: обе используют токенизацию и берегут номер карты от чужих глаз, обе поддерживают NFC для передачи информации по карте. Samsung сделал шаг на опережение, предложив MST, но пользователь слишком ленив и консервативен, чтобы оценить это сейчас по достоинству.

Бесконтактные платежи получили название «наличные 2.0», а между тем, от Банка 2.0 все давно устремились к Банку 3.0. «Банк сегодня — это не то место, куда вы ходите, а то, что вы делаете». Бретт Кинг пишет быстро, но новости из мира финансовых технологий устаревают и становятся общим местом еще быстрее. Когда очередной шедевр Кинга будет опубликован, скорее всего токенизация, MST, NFC, RFID-метки — все это станет классической топонимикой Банка 3.0.

image

Автор: Fondy

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js