Фото: Reuters
Сегодня, 29 сентября 2016 года, в России начинает работу платежный сервис Samsung Pay, предназначенный для бесконтактной оплаты товаров и услуг. До конца года он станет доступен для обладателей смартфонов серии Galaxy, выпущенных не ранее 2016 года. Пока Samsung Pay могут использовать только владельцы MasterCard.
Год назад Samsung Pay успешно запустился в США. Но не стоит забывать, что там бесконтактные платежи значительно сильнее распространены, чем в России. Во многом это произошло благодаря основному конкуренту компании на рынке — Apple. Ни для кого не будет сюрпризом тот факт, что на территории РФ до сих пор большой процент наличных платежей — люди в отдельных городах по-прежнему получают зарплату, в основном, конвертами в бухгалтерии.
Помимо того, что бесконтактные платежи – прогрессивная технология, она считается еще самой безопасной. По крайней мере, в этом уверены представители Samsung Pay. Компания обещает, что платежи будут совершенно безопасными. Но что стоит за этими обещаниями? Благодаря чему это будет достигнуто?
В августе исследователь Сальвадор Мендоза (Salvador Mendoza) на выступил на конференции Black Hat с докладом, в котором рассказал о проблемах безопасности Samsung Pay. Однако компания заявляет, что выводы Мендозы ошибочны, а с безопасностью все в порядке.
Отчет Мендозы об исследовании Samsung Pay посвящен генерации и использованию токенов для авторизации и выполнения транзакций.
Токен – цифровое значение, случайным образом формируемое платежной системой при активации карты.
Исследователь заявил, что злоумышленники могут предсказать, каким будет следующий токен, основываясь на предыдущих токенах, уже сгенерированных приложением.
К тому же Мендоза утверждает, что токены Samsung Pay «живут» не менее 24 часов, даже если пользователь их не использовал, а также в случае, если пользователь уже сгенерировал другие токены. Такие токены атакующий может извлечь и использовать самостоятельно.
В сообщении на сайте Samsung говорится: «Обеспечение безопасности платежной информации является главным приоритетом для Samsung Pay, поэтому разработчики сервиса предусмотрели наличие высокотехнологичных элементов безопасности».
Представители компании утверждают, что Samsung Pay не использует описанный в презентации Black Hat алгоритм для шифрования платежных данных и генерации криптограмм.
Более того, использование токенов и авторизацию по отпечатку пальца разработчики Samsung Pay рассматривают как преимущество.
Мы попросили экспертов высказаться не только по поводу безопасности, но по поводу перспективы Samsung Pay на российском рынке.
Евгений Вильдяев, Mobile-Review.com
1. На ваш взгляд, каковы перспективы внедрения бесконтактных способов оплаты в России и сколько необходимо времени на принятие данной технологии широкими массами?
Бесконтактные платежи – это имиджевая история, нежели действительно важная функция. Дело в том, что для оплаты со смартфона вам нужно достать его, разблокировать, разблокировать приложение для оплаты и только потом поднести к терминалу. Гораздо проще взять банковскую карту и вставить в тот же терминал (или приложить, если речь о картах с PayPass/PayWave).
2. Samsung Pay — лишь один из продуктов конкурирующего слоя приложений. По вашему мнению, у кого больше шансов на захват рынка: у пластиковых эмитентов (Visa, Mastercard) или держателей аппаратных комплексов (Samsung, Apple)?
Я ставлю на VISA и MC, потому что смартфон сегодня от Apple, завтра от Samsung, послезавтра — кто-нибудь еще. Важно, чтобы было удобное кроссплатформенное приложение и не нужно было задумываться о том, будет ли оно работать или нет.
Мне более правильным кажется вариант, когда банк интегрирует возможность оплаты с телефона в своё банковское приложение. И это просто становится приятной вишенкой на торте вдобавок к остальным функциям. То есть в случае с Android это поддержка в родном приложении, в случае с iOS — работа с Apple Pay.
3. Наконец, что вы думаете о безопасности и защищённости бесконтактных платежей? Возможно ли появление именно в России групп злоумышленников, «зарабатывающих» на несовершенности данных технологий либо изъянах в программно-аппаратном комплексе?
Всё напрямую зависит от внимательности и бдительности самих пользователей. По сути, для оплаты требуется двойная авторизация по отпечатку пальцев, скопировать его не так просто. А вот разблокировочный ПИН-код смартфона определенно будет слабым местом, поэтому просто нужно быть внимательнее и не «светить» свой пароль в общественных местах.
Филипп Шубин, СОО разработчика приложения «Кошелёк» CardsMobile
1. На ваш взгляд, каковы перспективы внедрения бесконтактных способов оплаты в России и сколько необходимо времени на принятие данной технологии широкими массами?
Бесконтактные платежи в России развиваются с 2013 года, когда наше приложение стало первым приложением для платежей прикосновением смартфона. Но развитие этого метода оплаты пока немного тормозит развитие инфраструктуры: по состоянию на конец 2016 принимать оплату по бесконтакту в России способны 25% банковских терминалов страны.
Но с каждым годом процент устройств, принимающих такой способ оплаты, растет, а к 2020 году оплата по бесконтакту будет работать на всех терминалах страны.
Запуск Samsung Pay в России, конечно, подстегнет развитие сферы. Но для развития мобильных бесконтактных платежей гораздо важнее начало работы в России сервиса токенизации платежных карт MasterCard, который позволит массового «переносить» в смартфоны выпущенные карты российских банков-эмитентов.
2. Samsung Pay — один из продуктов конкурирующего слоя приложений. По вашему мнению, у кого больше шансов на захват рынка: у пластиковых эмитентов (Visa, Mastercard) или держателей аппаратных комплексов (Samsung, Apple)?
При обсуждении решений для бесконтактных мобильных платежей нельзя противопоставлять платежные системы и вендоров. Мобильные решения работают с использованием технологий, которые разрабатывают сами платёжные системы: сначала технология облачных платежей от MasterCard и Visa, а теперь и технология токенизации. Поэтому платежные системы также активно стимулируют развитие мобильных платежных решений, что позволяет нам надеяться на скорый отказ от пластика.
3. Наконец, что вы думаете о безопасности и защищённости бесконтактных платежей? Возможно ли появление именно в России групп злоумышленников, «зарабатывающих» на несовершенности данных технологий либо изъянах в программно-аппаратном комплексе?
Страшная история о злоумышленнике, который окажется в метро с банковским терминалом и снимет деньги с вашей бесконтактной банковской карты — миф. Для этого мошеннику как минимум нужен реальный зарегистрированный банковский терминал, который переводит деньги с карты на банковский счет физического или юридического лица — и вывести с него деньги без юридических последствий мошеннику не удастся.
Платёжные системы вместе с банками работают над обеспечением максимальной безопасности карт и платежей по ним. Безопасность обеспечивается на уровне терминального софта, носителей, соответствующего лицензирования и юридических схем.
Сегодня если пользователь не пишет пин-код на своей карте или не диктует свой CVC и одноразовый пароль из СМС, у злоумышленников почти нет шансов получить деньги с банковской карты.
При разговоре о платежах смартфоном мы не устаем заверять наших существующих и потенциальных пользователей в том, что это, пожалуй, даже более безопасный способ оплаты покупок, чем оплата по банковской карте. Вы контролируете свой смартфон и редко выпускаете его из рук. Но если вы не доверяете безопасным технологиям облачных платежей и токенизации, вы всегда можете установить пароль на вход в платежное приложение или даже одноразовый пароль на каждую оплату по мобильной банковской карте.
Баулин Александр Михайлович, эксперт по ИТ и наукоемким технологиям
1. На ваш взгляд, каковы перспективы внедрения бесконтактных способов оплаты в России и сколько необходимо времени на принятие данной технологии широкими массами?
Бесконтактные технологии хорошо прижились в России. По крайней мере их используют крупные сети, типа Starbucks. А также начинает применяться на транспорте (точно знаю про оплату в Москве и Питере).
2. Samsung Pay — один из продуктов конкурирующего слоя приложений. По вашему мнению, у кого больше шансов на захват рынка: у пластиковых эмитентов (Visa, Mastercard) или держателей аппаратных комплексов (Samsung, Apple)?
Думаю, в России шансов больше у пластиковых эмитентов, они уже достаточно распространены. Apple предстоит еще убедить российских дилеров широко внедрить поддержку их технологии. А вот пользователи Samsung, несмотря на широкое распространение их смартфонов, менее активны в использовании платных услуг и совершении покупок (приложений, например). Предполагаю, что и новым методом оплаты они будут пользоваться менее активно, чем пользователи Apple и, соответственно, реже, чем владельцы пластиковых карт с чипом NFC.
3. Наконец, что вы думаете о безопасности и защищённости бесконтактных платежей? Возможно ли появление именно в России групп злоумышленников, «зарабатывающих» на несовершенности данных технологий либо изъянах в программно-аппаратном комплексе?
Это возможно в любой стране. В том числе и в России. Малочисленность пользователей будет компенсирована тем, что «охоту» можно вести в местах больших скоплений потенциальных жертв — на футкортах крупных ТЦ. Другое дело, что массовых взломов именно беспроводных технологий пока не было (тревожные фоточки без пруфов события в расчет не берем), а значит по умолчанию мы не можем считать ее опасной.
Пожалуй, это тот случай, когда шапочка из фольги поможет. Из нее надо скроить чехол для карт. Со смартфоном будет сложнее, сигнал сотовой сети должен проходить к антеннам.
Карпова Наталья, руководитель проекта Samsung Pay в Альфа-банке
1. На ваш взгляд, каковы перспективы внедрения бесконтактных способов оплаты в России и сколько необходимо времени на принятие данной технологии широкими массами?
Появление Samsung Pay — это появление еще одного способа оплаты, главным преимуществом которого является возможность заплатить за товар или услугу при помощи телефона, забыв о пластике. В современных реалиях наличие под рукой телефона порой важнее, чем наличие кошелька.
2. Samsung Pay — один из продуктов конкурирующего слоя приложений. По вашему мнению, у кого больше шансов на захват рынка: у пластиковых эмитентов (Visa, Mastercard) или держателей аппаратных комплексов (Samsung, Apple)?
В России сейчас активно развиваются технологии бесконтактных платежей, таким образом Samsung Pay просто заменяет карты, являя собой хороший пример симбиоза работы банка, платежной системы и телефона.
Еще один из плюсов Samsung Pay — это то, что он работает с любыми терминалами, то есть человек сможет заплатить с помощью телефона даже там, где не принимают бесконтактные карты (NFC).
3. Наконец, что вы думаете о безопасности и защищённости бесконтактных платежей? Возможно ли появление именно в России групп злоумышленников, «зарабатывающих» на несовершенности данных технологий либо изъянах в программно-аппаратном комплексе?
В плане безопасности переводов каких-то проблем не появится – механизм токенизации обеспечивает довольно высокий уровень защищенности, так как для оплаты передаются не данные карты напрямую, а сам токен.
И все же
«Samsung Pay будет предустановлена на все новые смартфоны с NFC и MST-модулями, а также будет доступна на уже выпущенных телефонах после обновления операционной системы», добавляет Наталья Карпова.
Партнерами платежной системы стали Альфа-Банк, ВТБ24, МТС, Райффайзенбанк, «Русский стандарт» и «Яндекс». Клиенты банков, привязав свои карты к этому сервису, смогут расплачиваться ими в торговых точках.
Один из партнеров проекта — ВТБ 24 — полагает, что популярность нового сервиса среди клиентов банка будет расти и в 2017 году оборот по Samsung Pay превысит 1 миллиард рублей. Партнеры отмечают устойчивую динамику роста бесконтактных платежей. По данным сети банка «Русский стандарт», доля бесконтактных платежей по обороту за последние годы выросла в разы: с 0,5% в 2014 году до 1,2% в 2015 году и 2,1% в первом полугодии 2016 года.
Автор: semen_grinshtein