电子商务中卡的令牌化:它是什么以及它如何工作?

你好!最近,我们在Yandex.Cash的公司与Visa和Mastercard支付系统一起,为电子商务(即在线电子商务)推出了一种新的支付令牌化技术。有人可能会想:随着Apple Pay,Google Pay和其他* Pay的发布,卡的令牌化已经出了什么问题。但是,不,这是新事物,我们是今年春天在俄罗斯第一家为合作伙伴商店推出这项技术的人,所以为什么不分享它。



在美国和欧洲,这项技术出现得较早,并且Netflix和Amazon等服务的用户已经使用电子商务令牌进行了支付,尽管他们可能甚至不知道。现在,我将从项目的开发人员和团队负责人的角度告诉您它不仅在外部(对于合作伙伴和持卡人)如何运作,而且在内部如何运作。如果有兴趣-惠康在猫的领导下。





Apple Pay Google Pay



, , Apple Pay Google Pay ( — *Pay), .



, *Pay , . , , . , , , . — — , .



:



  • , ,
  • .


? E-commerce, , - -.



, E-commerce



, — , .



— (PAN — Primary Account Number) .
如果持卡人是将卡连接到* Pay的发起者,则在线商店将为电子商务启动令牌化。但是为什么(为什么)?



当然,你们中的许多人都使用订阅服务:无论是音乐,电影还是公用事业的月度付款。此订阅如何发布?您可以访问在线商店的网站,输入您的卡详细信息,然后选中相应的框,以确认您同意该商店将保存您的卡详细信息(PAN和到期日期)并能够自行为特定服务付款。



您需要了解,这种操作意味着商店必须将卡数据保存在某处。通常有两种选择:



  1. , PCI DSS, -,
  2. , ., PCI DSS .


是否可以在此处应用标记化方法?为什么不使用一些可以与卡分开管理的令牌,而不是存储银行卡数据?但是,如果我们这样做使得在下一次重新发行卡时,令牌将保持不变,而不必将卡重新链接到其他服务,该怎么办?听起来很好奇?



让我们依次讨论所有内容。在令牌化期间,我们用银行卡数据交换令牌,但这是什么?令牌由卡支付系统-万事达卡或Visa卡提供。它是唯一的标识符,类似于Apple Pay中的设备帐号或Google Pay中的虚拟帐号,可以在智能手机上的应用程序(Apple设备上的电子钱包和Android设备上的Google Pay)中找到。



与* Pay不同,在电子商务令牌化中,令牌的创建是由在线商店或其付款解决方案启动的,令牌本身存储在付款系统的服务器上。



当然,任何人都无法进入支付系统并获得某人卡的代币来支付购买费用。首先,只有通过支付系统认证和批准的支付解决方案才能对卡进行令牌处理。这样的支付解决方案称为“代办令牌请求者”或“令牌服务提供者”,但为简单起见,我们将继续使用术语“ 令牌请求者”。并且只有令牌请求者可以发起令牌支付。其次,始终为特定商店发行令牌,并且在令牌的帮助下,您只能在该商店中付款。与* Pay令牌与创建令牌的设备非常相似。



如何实现的?只是在通过Token进行每次付款之前,请求者必须获得付款系统的批准。这种批准的事实将需要在实际付款期间提出,因此这种批准采取一次性密码的形式,该一次性密码构成了卡的支付系统。进行支付时,此密码将添加到收单银行的请求参数中,然后传输到支付系统,该系统将验证该密码的真实性,该密码本身是先前发行的。



不管卡管理如何,令牌管理如何?通常,这里的一切都很简单-令牌有自己的生命,具有自己的生命周期状态,令牌请求者会立即从卡支付系统中了解状态的每一次更改。



总结一下。令牌化给持卡人带来了什么?



  1. 真实银行卡数据的安全性。付款时,会使用令牌,并且卡数据本身不会传输,因此潜在的攻击者无法拦截它们。拦截令牌的数据毫无意义,因为当您尝试在任何其他商店付款时,令牌会变成南瓜。
  2. 重新发行银行卡后,为在线商店发行的令牌将继续有效,并且持卡人无需将新卡链接到他所需的服务。
  3. 管理令牌的能力。可以在不影响银行卡本身的情况下管理令牌。发行银行将能够在其界面中实施用于灵活管理在线商店中绑定的特殊工具(在新商店中创建令牌,查看现有令牌,删除不相关的令牌)。


它对在线购物有什么作用?



  1. 对买方有利的对商店有利,因此使用令牌化卡可以提高客户忠诚度。
  2. , . , , . , .
  3. . , . , 88,53%, 97,89%*. , - , - . . , -, , .


*我们将4月份在大型在线电影院(MCC 4899)中的付款与不带3DS的链接卡进行了比较,不包括由于卡上没有钱而导致的不成功付款。

技术方面



对于那些想更深入地研究的人,我将向您介绍卡令牌化技术及其在Yandex.Checkout中的发布-从我们的支付解决方案内部了解所有情况。



与支付系统集成



为了获得对卡进行令牌化和使用令牌进行支付的技术能力,您需要与Visa和Mastercard集成,通过测试,认证并获得其在生产中启动的批准。起初听起来很吓人。老实说,不仅起初,至少对我而言。但是认证更加可怕,就技术而言,一切都非常清楚。



集成意味着在支付系统和我们作为令牌请求者之间(有条件地)实现以下API:



  1. .

    -, . (risk scoring) . , , , . , .
  2. .

    , : — , ? , , . , , .
  3. .

    / , , , , . , .


该API描述是有条件的并且是通用的-可以很容易地猜到每个支付系统具有不同的请求/响应格式,用于对请求中的数据进行签名和加密的算法,并且业务逻辑中存在各种细微差别。因此,我们通过创建单独的卡令牌化服务隐藏了所有这些细节和与系统其余部分的差异,该服务是支付系统的适配器,完全负责令牌的生命周期。



Yandex.Checkout中的标记化



Yandex.Checkout是一个大型系统,用于接受在线商店的付款。它由许多不同的服务组成:后端,前端应用程序,BI服务。它们以各种方式为用户提供付款接受,将资金转入商店,通过商店的个人帐户管理付款,分析服务等。卡的标记化又如何呢?



主要问题:在什么时候为银行卡创建令牌?

在Yandex.Kassi API中,可以将所选的付款方式保存为将来的将来付款,我们将其称为自动付款



当卡链接到商店的个人帐户中的用户帐户时,以及在定期订阅时,将自动从卡中进行付款时,都会发生这种情况。在这两种情况下,创建付款时,商户都使用 API发送save_payment_method:true参数,并且在成功付款后,我们发出商户payment_method_id-保存的付款方式的标识符,通过它可以进行新的付款。



在这里,这一刻。仅为商店发起的付款创建令牌。因此,在保存付款方式的同时付款之后,我们立即异步设置了令牌化服务,以为“卡和商店”对创建令牌。



卡被标记后,支付系统本身会做什么?

他们联系发行银行,要求创建令牌(创建* Pay令牌时会发生这种情况),然后银行为此商店发行令牌。银行也可以将此通知给持卡人,并在其个人帐户中显示创建的令牌。



代币支付如何工作?



也许,您将需要在此进行一些说明,通常是如何使用先前保存的卡来发起在线商店进行







付款的因此,当使用先前保存的方法进行付款时,商店仅转移其标识符-payment_method_id。使用此标识符,卡支付服务可以找到卡的数据(PAN和有效期),并将其传输到收单银行之一,然后与卡支付系统进行通信。



在这种情况下,使用令牌可以再增加一个步骤:







如果我们看到先前为卡和商店发行了令牌,那么我们可以不使用卡数据进行付款。为此,通过令牌化服务,我们首先将带有令牌数据的请求发送到国际支付系统,并作为响应,我们收到一次性密码,确认密码是有效的,并且我们有权付款。然后,我们将令牌数据和该密码一起传输到收单行。



当用户在银行重新发行卡时,会发生什么情况?

如果先前已向该卡发行了令牌,则发卡银行会通知万事达卡/ Visa支付系统该卡已被重新发行。反过来,向该卡发行令牌的每个令牌请求者都将收到来自支付系统的通知。它包含有关卡的更新信息:数字的最后4位数字和新的到期日期。令牌保持不变。



当商店从实际上已经重新发行的已经过期的卡中发起另一笔付款,并且我们为此商店有令牌时,该付款将成功。此外,我们会将新的银行卡末4码告知商店-它们将出现在我们API的响应中。这是必要的,这样商店和用户都可以始终看到从哪张卡中借记资金。



而不是结论



电子商务中的令牌化是支付接受度发展的一个新阶段,为支付过程的所有参与者增加了便利。我们希望在不久的将来,该技术将得到许多俄罗斯银行和提供商的支持-并且它将成为支付市场的新标准。



当然,这个故事实际上只是一个概述,但我希望每个读者都能从中找到有用的东西-他将提高其金融知识水平,了解金融科技的新产品,或者也许找到发展自己的业务的想法。



我吃完了,要健康,不要生病!



All Articles