Новая система защиты мобильных платежей в России пока не появится На днях Visa и MasterСard объявили о внедрении новой технологии безопасности – токенизации. Первым примером ее внедрения стал платежный сервис Apple Pay, появившийся в смартфоне Apple iPhone 6. Портал Банки.ру разбирался, как работает технология, от чего она может защитить плательщиков, а от чего не может.
Безопасность карточных платежей – давно наболевший вопрос. Банковская карта является удобнейшим платежным инструментом для ее держателя, но в то же время позволяет злоумышленнику «выдаивать» счет жертвы, не вставая из-за компьютера. Дело, конечно, не в сознательном потакании мошенникам со стороны платежных систем. Причина в откровенном устаревании концепции.
То, что 50 лет назад считалось технологической вершиной, превратилось в зияющую дыру, и даже многочисленные «костыли» (EMV, 3D-Secure и т. д.) не могут обеспечить держателям карт действительно надежную защиту от мошенников-кардеров. Но пока на рынке нет ничего столь же удобного и распространенного, как платежные карты, приходится пользоваться «костылями» – и на прошлой неделе появился очередной, в виде технологии токенизации.
Суть токенизации, в общем случае, состоит в замене конфиденциальной информации (в данном случае номера платежной карты) специальным кодом ограниченного действия. Основной проблемой карточных платежей, с которой и должна справиться токенизация, является необходимость сообщать продавцу данные своей карты, будь то офлайн-платеж (в магазине) или онлайн-платеж (в Интернете). Если компания хранит данные карт своих клиентов, например, для взимания абонентской платы или возможности возврата платежа, до них может добраться хакер. Если не хранит – хакер может перехватить данные во время их передачи на платежный шлюз. Даже в обычных магазинах крупной торговой сети POS-терминалы могут быть заражены троянцем, крадущим данные карт еще до их шифрования и отправки на платежный шлюз.
Таких инцидентов в последнее время случается немало – чего только стоит слив данных 9 млн карт из системы компании Adobe или 110 млн карт через POS-терминалы американской торговой сети Target. Но теперь Visa и MasterСard решили положить этому конец.
Работает токенизация достаточно просто. В смартфон загружаются специальные коды-токены, соответствующие платежным картам владельца. Причем загружаются обязательно в защищенный чип Secure Element. Такими чипами обладают некоторые Android-смартфоны, а в шестом поколении им обзавелся и Apple iPhone. Платежное приложение при совершении оплаты онлайн или офлайн через бесконтактный (NFC) интерфейс сообщает магазину уже не данные выбранной карты, а токен. Магазин, получив этот токен, передает его в соответствующий сервис токенизации, Visa Token Service (VTS) или MasterCard Digital Enablement Service (MDES). VTS/MDES проверяет принадлежность токена и передает необходимые данные банку-эмитенту для авторизации платежа.
«Visa Token Service базируется на глобальном стандарте токенизации, о котором было объявлено год назад и который призван сделать более безопасными как онлайн-платежи, так и платежи с помощью мобильных устройств. Данный сервис заменяет конфиденциальные данные пластиковой карты цифровым токеном, который может быть использован для безопасного проведения онлайн- и мобильных платежей, – рассказали порталу Банки.ру в российском отделении компании Visa. – Этот процесс прозрачен для владельцев счетов и торговых точек. Когда потребители совершают платеж с помощью своих новых устройств Apple, для процесса оплаты используется токен, а не данные карты. Настоящие номера кредитных и дебетовых карт, используемых для покупок с помощью Apple Pay, не хранятся ни на устройстве Apple, ни на серверах Apple».
Как утверждает Visa, токен можно привязать не только к смартфону, но и к магазину и к какому-либо типу платежа: «Если цифровой токен будет украден в результате утечки информации, он не может быть эффективно использован злоумышленником для совершения платежа, поскольку не содержит настоящего номера счета и подходит для совершения покупок только с помощью конкретного устройства, в определенной торговой точке или для определенного типа покупки».
Получается, что если, к примеру, троянец в POS-терминале перехватит полученный токен, использовать его вне этого магазина и с помощью другого смартфона уже не выйдет: VTS или MDES такой платеж не пропустит. С онлайн-платежом та же история: если злоумышленникам удастся взломать и расшифровать базу токенов, хранимых интернет-сервисом, при попытке платежа через какой-либо другой интернет-сервис токены будут заблокированы сервисом токенизации. В любом случае скомпрометированный токен можно заблокировать и перевыпустить, что гораздо проще, чем перевыпускать банковскую карту.
Как рассказал порталу Банки.ру управляющий директор Optima Infosecurity (группа Optima) Неманья Никитович, «токенизация может защитить от атак типа Man-in-the-middle (атака «человек посередине», когда хакер становится промежуточным звеном при передаче данных. – Прим. ред.). Это самый опасный и один из самых распространенных типов атак, основанный на компрометации канала связи, когда злоумышленник получает возможность удалять или искажать информацию. При этом о его присутствии никто не догадывается. Также токенизация защищает от атак на хранилище данных. Вообще, токенизация персональных данных клиентов – не такой уж новый, хорошо проверенный способ защиты от рисков».
Но, как утверждает глава представительства компании SafeNet в России и СНГ Сергей Кузнецов, токенизация не устраняет риски полностью: «Поскольку сегодня при обработке платежей используется все больше различных технологий, увеличивается вероятность того, что что-то может пойти не так. В большинстве сетей обработки платежей предусмотрены сценарии резервирования, позволяющие обрабатывать платежи даже в случае какого-либо сбоя в системе. Например, это возможность использования магнитной полосы в терминалах с поддержкой EMV. К сожалению, в подобных ситуациях приходится идти на компромисс и злоумышленники могут использовать подобные ситуации, чтобы обойти новые, более совершенные механизмы защиты».
Как бы там ни было, но в России эта технология заработает не сегодня и не завтра. Как сообщили порталу Банки.ру в пресс-службе компании Visa, «первоначально Visa Token Service стартует в октябре в США для клиентов Apple, у которых есть действующие карточные счета Visa в тех банках США, которые подключены к проекту. Apple предложит держателям карт Visa присоединиться к Apple Pay. Для внедрения сервиса в России наш рынок должен пройти несколько подготовительных этапов: развитие сети приема бесконтактных платежей, внедрение токенизации банками, появление устройств в продаже».
Важно понимать, что токенизация будет работать лишь при платеже через мобильное платежное приложение (пока это только Apple Pay) или при NFC-платеже. Речь о защите онлайн-платежей с обычного компьютера и контактных платежей в магазинах пока не идет.
Михаил ДЬЯКОВ,
Новая система защиты мобильных платежей в России пока не появится На днях Visa и MasterСard объявили о внедрении новой технологии безопасности – токенизации. Первым примером ее внедрения стал платежный сервис Apple Pay, появившийся в смартфоне Apple iPhone 6. Портал Банки.ру разбирался, как работает технология, от чего она может защитить плательщиков, а от чего не может. Безопасность карточных платежей – давно наболевший вопрос. Банковская карта является удобнейшим платежным инструментом для ее держателя, но в то же время позволяет злоумышленнику «выдаивать» счет жертвы, не вставая из-за компьютера. Дело, конечно, не в сознательном потакании мошенникам со стороны платежных систем. Причина в откровенном устаревании концепции. То, что 50 лет назад считалось технологической вершиной, превратилось в зияющую дыру, и даже многочисленные «костыли» (EMV, 3D-Secure и т. д.) не могут обеспечить держателям карт действительно надежную защиту от мошенников-кардеров. Но пока на рынке нет ничего столь же удобного и распространенного, как платежные карты, приходится пользоваться «костылями» – и на прошлой неделе появился очередной, в виде технологии токенизации. Суть токенизации, в общем случае, состоит в замене конфиденциальной информации (в данном случае номера платежной карты) специальным кодом ограниченного действия. Основной проблемой карточных платежей, с которой и должна справиться токенизация, является необходимость сообщать продавцу данные своей карты, будь то офлайн-платеж (в магазине) или онлайн-платеж (в Интернете). Если компания хранит данные карт своих клиентов, например, для взимания абонентской платы или возможности возврата платежа, до них может добраться хакер. Если не хранит – хакер может перехватить данные во время их передачи на платежный шлюз. Даже в обычных магазинах крупной торговой сети POS-терминалы могут быть заражены троянцем, крадущим данные карт еще до их шифрования и отправки на платежный шлюз. Таких инцидентов в последнее время случается немало – чего только стоит слив данных 9 млн карт из системы компании Adobe или 110 млн карт через POS-терминалы американской торговой сети Target. Но теперь Visa и MasterСard решили положить этому конец. Работает токенизация достаточно просто. В смартфон загружаются специальные коды-токены, соответствующие платежным картам владельца. Причем загружаются обязательно в защищенный чип Secure Element. Такими чипами обладают некоторые Android-смартфоны, а в шестом поколении им обзавелся и Apple iPhone. Платежное приложение при совершении оплаты онлайн или офлайн через бесконтактный (NFC) интерфейс сообщает магазину уже не данные выбранной карты, а токен. Магазин, получив этот токен, передает его в соответствующий сервис токенизации, Visa Token Service (VTS) или MasterCard Digital Enablement Service (MDES). VTS/MDES проверяет принадлежность токена и передает необходимые данные банку-эмитенту для авторизации платежа. «Visa Token Service базируется на глобальном стандарте токенизации, о котором было объявлено год назад и который призван сделать более безопасными как онлайн-платежи, так и платежи с помощью мобильных устройств. Данный сервис заменяет конфиденциальные данные пластиковой карты цифровым токеном, который может быть использован для безопасного проведения онлайн- и мобильных платежей, – рассказали порталу Банки.ру в российском отделении компании Visa. – Этот процесс прозрачен для владельцев счетов и торговых точек. Когда потребители совершают платеж с помощью своих новых устройств Apple, для процесса оплаты используется токен, а не данные карты. Настоящие номера кредитных и дебетовых карт, используемых для покупок с помощью Apple Pay, не хранятся ни на устройстве Apple, ни на серверах Apple». Как утверждает Visa, токен можно привязать не только к смартфону, но и к магазину и к какому-либо типу платежа: «Если цифровой токен будет украден в результате утечки информации, он не может быть эффективно использован злоумышленником для совершения платежа, поскольку не содержит настоящего номера счета и подходит для совершения покупок только с помощью конкретного устройства, в определенной торговой точке или для определенного типа покупки». Получается, что если, к примеру, троянец в POS-терминале перехватит полученный токен, использовать его вне этого магазина и с помощью другого смартфона уже не выйдет: VTS или MDES такой платеж не пропустит. С онлайн-платежом та же история: если злоумышленникам удастся взломать и расшифровать базу токенов, хранимых интернет-сервисом, при попытке платежа через какой-либо другой интернет-сервис токены будут заблокированы сервисом токенизации. В любом случае скомпрометированный токен можно заблокировать и перевыпустить, что гораздо проще, чем перевыпускать банковскую карту. Как рассказал порталу Банки.ру управляющий директор Optima Infosecurity (группа Optima) Неманья Никитович, «токенизация может защитить от атак типа Man-in-the-middle (атака «человек посередине», когда хакер становится промежуточным звеном при передаче данных. – Прим. ред.). Это самый опасный и один из самых распространенных типов атак, основанный на компрометации канала связи, когда злоумышленник получает возможность удалять или искажать информацию. При этом о его присутствии никто не догадывается. Также токенизация защищает от атак на хранилище данных. Вообще, токенизация персональных данных клиентов – не такой уж новый, хорошо проверенный способ защиты от рисков». Но, как утверждает глава представительства компании SafeNet в России и СНГ Сергей Кузнецов, токенизация не устраняет риски полностью: «Поскольку сегодня при обработке платежей используется все больше различных технологий, увеличивается вероятность того, что что-то может пойти не так. В большинстве сетей обработки платежей предусмотрены сценарии резервирования, позволяющие обрабатывать платежи даже в случае какого-либо сбоя в системе. Например, это возможность использования магнитной полосы в терминалах с поддержкой EMV. К сожалению, в подобных ситуациях приходится идти на компромисс и злоумышленники могут использовать подобные ситуации, чтобы обойти новые, более совершенные механизмы защиты». Как бы там ни было, но в России эта технология заработает не сегодня и не завтра. Как сообщили порталу Банки.ру в пресс-службе компании Visa, «первоначально Visa Token Service стартует в октябре в США для клиентов Apple, у которых есть действующие карточные счета Visa в тех банках США, которые подключены к проекту. Apple предложит держателям карт Visa присоединиться к Apple Pay. Для внедрения сервиса в России наш рынок должен пройти несколько подготовительных этапов: развитие сети приема бесконтактных платежей, внедрение токенизации банками, появление устройств в продаже». Важно понимать, что токенизация будет работать лишь при платеже через мобильное платежное приложение (пока это только Apple Pay) или при NFC-платеже. Речь о защите онлайн-платежей с обычного компьютера и контактных платежей в магазинах пока не идет. Михаил ДЬЯКОВ,