Tokenizacija – narediti vsa kartična plačila varnejša

Avtor prispevka: Boštjan Fabjančič, MasterCard Europe S.P.R.L.

Varnost in priročnost sta ključni komponenti elektronskega plačevanja. V večini primerov sta komponenti sicer obratno sorazmerni, saj višja varnost navadno nudi manj priročnosti. Podjetje MasterCard je oblikovalo rešitev MasterCard Digital Enablement Service (MDES), ki vključuje tokenizacijo in s katero se v sistem vključi dodatna dinamična komponenta, ki zagotavlja višjo varnost občutljivih podatkov imetnikov kartic.

Kaj je pravzaprav proces tokenizacije pri kartičnih plačilih?

Tokenizacija (angl. Tokenization) pri kartičnih plačilih je proces kodiranja osnovne številke plačilne kartice (PAN; angl. Primary Account Number) v obliko enoličnega gesla, ki se imenuje žeton (ang. Token). Žeton, ki se uporablja za iniciacijo plačila na fizičnih ali spletnih prodajnih mestih, je sestavljen iz (alfa)numeričnih znakov in predstavlja popolno zamenjavo PAN-a. V primeru poskusa zlorabe tako izvedba kartičnega plačila z žetonom ni mogoča, saj ta ne vsebuje izvornega podatka o PAN-u, ki je sicer shranjen v zaščitenih podatkovnih bazah.

Proces tokenizacije izkorišča obstoječo plačilno infrastrukturo, transakcijska sporočila ter formate za proženje in potrjevanje transakcij. Tovrsten pristop omogoča tudi EMV standard* – kot osnovo varnosti na vseh povezanih pametnih napravah.

Združenje EMVCo (tj. organizacija, ki skrbi za razvoj in nadgradnjo EMV standarda) je marca 2014 objavilo prvo verzijo standarda za tokenizacijo, in sicer z namenom vzpostavitve interoperabilne globalne tokenizacijske platforme, ki bi koristila tako pridobiteljem, izdajateljem in trgovcem kot tudi imetnikom kartic.

Katere so poglavitne prednosti tokenizacije občutljivih podatkov?

Glavni namen tokenizacije je znižanje števila zlorab na področju celotne plačilne verige, še posebej pri elektronskem plačevanju na daljavo (spletno in mobilno plačevanje), saj se v vsako posamično plačilno transakcijo vključi dinamična komponenta. S tem je zagotovljena enaka raven varnosti kot jo poznamo pri uporabi plačilne kartice na POS terminalu.

Prednosti za posamezne deležnike:

  • Banke izdajateljice bodo (predvidoma) beležile manj zlorab pri spletnih in mobilnih plačilih ter s tem povezanih reklamacij. Prav tako bodo lahko zaradi boljše uporabniške izkušnje širile obseg obstoječega kartičnega poslovanja. 
  • Trgovci bodo zaradi večje varnosti predvidoma prejeli manj reklamacij, povezanih s kartičnimi plačili. Zaradi prijaznejše uporabniške izkušnje kupca bodo lahko trgovci ponudili nove načine plačevanja (z uporabo mobilnih in ostalih internetno povezanih naprav).
  • Potrošniki/imetnik plačilnih kartic bodo prek novih načinov plačevanje pridobili višjo raven varnosti in tudi priročnosti. Plačilo bo omogočeno prek različnih pametnih naprav z izboljšano ter poenoteno uporabniško izkušnjo.

Z razvojem digitalnega sveta in z njim plačevanja se lahko pričakuje večji poudarek na zagotavljanju enotnosti (mednarodnih) standardov za tokenizacijo, s čemer bo vsem deležnikom (izdajateljem, pridobiteljem, trgovcem, uporabnikom in drugim) omogočena enostavna uporaba tega varnostnega mehanizma. 
 

*Mednarodni standard, ki zagotavlja povezljivost pametnih plačilnih kartic in naprav za njihov sprejem (POS terminali, bankomati), ne glede na mesto uporabe, finančno institucijo ali proizvajalca. Kratica EMV je izpeljana iz inicialk treh podjetij, ki so oblikovale tovrsten standard, in sicer Europay, MasterCard in Visa.


Proces tokenizacije v sliki (generiranje, hranjenje in uporaba): 

1. Kreiranje žetona: žeton nadomesti PAN. 
2. Shranjevanje podatkov: podatki se skozi proces digitalizacije shranijo v mobilni telefon.
3. Uporaba: mobilni telefon, v katerem je shranjen žeton, omogoča varnejše plačevanje.

Rezultat je spodnja uporabniška izkušnja, ki jo zazna uporabnik (ne glede na kanal nakupovanja):

1. Brezstično plačevanje: imetnik svoj mobilni telefon, v katerem ima shranjen žeton, prisloni k POS terminalu. 
2. Aplikacija: imetnik plačilne kartice pri plačilu uporabi žeton, ki je shranjen v posebni mobilni aplikaciji. 3. Kartica v datoteki (kmalu): žeton nadomesti podatke o imetniku kartice, shranjene na spletni strani trgovca ali v digitalni denarnici. 

* Stališča, izražena v tem prispevku, so stališča avtorja oziroma organizacije, v kateri je zaposlen.