Что такое платежный токен
Что такое платежные токены? Как они работают?
Важно понимать, что не все токены одинаковы, поскольку криптовалюты могут быть в дальнейшем классифицированы на различные категории цифровых активов.
Платежный токен является одним из наиболее важных типов токенов, так как он представляет собой самую чистую форму криптовалюты.
Любой инвестор, который серьезно относится к пониманию своего собственного портфеля, должен сначала убедиться, что он полностью осведомлен о том, как классифицируются различные монеты на рынке.
Итак, учитывая сказанное, давайте рассмотрим, что такое платежный токен, почему он так важен и какие криптовалюты подпадают под эту классификацию.
Термины
Токен. Крипто-токены представляют собой особый вид токенов виртуальной валюты, которые находятся на их собственных блокчейнах и представляют собой актив или утилиту.
ICO: выступает в качестве сборщика денег. Компания, желающая создать новую монету, приложение или услугу, запускает ICO. Затем заинтересованные инвесторы покупают токены этой компании, либо с использованием Фиата, либо с существующими цифровыми токенами, такими как Эфир или Биткоин. В обмен на их внесенные деньги (Фиат или другая криптовалюта) инвесторы получают новый токен проекта.
Что такое платежный токен?
Оказывается, существует множество классификаций токенов, которые должен понять каждый инвестор, прежде чем принимать инвестиционные решения.
В то время как две общеизвестные категории токенов являются служебными токенами и токенами безопасности, платежные токены являются еще одним типом токенов, представляющих наиболее чистую форму криптовалют. Этот тип токена имеет свой собственный блокчейн и часто рассматривается как средство оплаты.
Говоря в широком смысле, цель этих криптовалют состоит в том, чтобы служить носителями внутренней ценности, подобной, например, деньгам или золоту.
Они предназначены для осуществления покупок, продаж и других финансовых транзакций, а также обеспечивают многие из тех же функций, что и давно установленные валюты, такие как доллар США, Евро, или Рубли.
Популярные Payment Tokens (платежные токены)
Некоторые из самых популярных криптовалют фактически являются платежными токенами. К ним относятся Bitcoin, Monero, Ethereum и многие другие криптовалюты, которые построены на их собственном блокчейне и служат средством оплаты. Это, как правило, одни из самых популярных криптовалют.
Эти криптовалюты приобретаются через онлайн-биржи и иногда могут быть использованы для оплаты вещей. Совсем недавно мы стали свидетелями того, как все больше компаний начинают использовать Биткойн как средство оплаты своих товаров и услуг.
Конечно, платежные токены по-прежнему рассматриваются как мало популярный способ оплаты по сравнению с традиционными бумажными валютами, которые сохраняют свою заданную стоимость.
Криптовалюты, с другой стороны, ежедневно меняют ценовые значения (волатильны), что может привести к тому, что бизнес, который принимает к оплате криптовалюты может понести убытки во время падения курса криптовалют.
Другие типы токенов
Конечно, платежные токены являются лишь одной классификацией токенов в мире криптовалют. Другие типы токенов включают токены безопасности и служебные токены, которые служат своим собственным целям, отличным от целей платежных криптовалют.
Токены безопасности представляют собой активы, которые могут служить резервом для реальных физических лиц, компаний, потоков доходов или права на выплату дивидендов или процентов.
По своей экономической функции токены аналогичны акциям, облигациям или производным.
Напротив, служебные токены предоставляют доступ к товарам и услугам, которые проект запустит в будущем. Также их можно использовать как вид скидки или премиум-доступа к товарам и услугам проекта.
Вывод
Что касается всего рынка криптовалют, платежные токены не слишком распространены. Фактически, большинство криптовалют являются служебными токенами или токенами безопасности, за исключением нескольких платежных токенов.
Эти платежные криптовалюты на самом деле являются одними из самых популярных монет.
Важно не путать некоторые из этих криптовалют с токенами безопасности или служебными токенами, поскольку они служат совершенно другим целям.
Токенизация карт в E-commerce: что это такое и как работает?
Всем привет! Недавно мы в Яндекс.Кассе совместно с платежными системами Visa и Mastercard запустили новую технологию токенизации платежей для E-commerce, или, по-другому, онлайн-коммерции. Кто-то может подумать: что тут такого — с токенизацией карт разобрались уже с выходом Apple Pay, Google Pay и других *Pay. Но нет, тут что-то новенькое, а мы еще и первыми эту технологию запустили в России этой весной для магазинов-партнеров, так что почему бы не поделиться.
В США и Европе эта технология появилась несколько раньше, и пользователи таких сервисов, как Netflix и Amazon, уже платят E-commerce токенами, хотя, возможно, даже не знают об этом. А я сейчас расскажу, как это устроено не только снаружи (для партнеров и держателей карт), но и изнутри, с точки зрения разработчика и тимлида этого проекта. Если интересно — велкам под кат.
Что общего с Apple Pay и Google Pay
Те читатели, которые представляют, как работают Apple Pay и Google Pay (а кто не знает — вот наша статья про запуск *Pay), увидят тут знакомые слова.
Если коротко, то одна из особенностей технологий *Pay заключается в том, что плательщику не нужно передавать магазину данные своей банковской карты. Он один раз обменивает их на специальный цифровой токен и дальше, не подвергаясь риску перехвата данных карты, при платеже использует только этот токен. А преимущество в том, что токен работает только вместе с одноразовой криптограммой, которая генерируется на телефоне плательщика, а вне телефона эту криптограмму создать не получится. К тому же этими токенами легко управлять — удалять или создавать новые — дело одной минуты в онлайне, никаких походов в банк и прочей бюрократии.
Пока запомним эти особенности токенизации карт на устройствах пользователей:
Запомнили? А теперь перейдем к токенизации карт для E-commerce, иначе говоря, для онлайн-платежей в интернет-магазинах.
Итак, что такое токенизация в E-commerce
Вообще, токенизация карты — это обмен конфиденциальных данных банковской карты на специальный токен, который позволяет оплачивать покупки с помощью этой карты.
Конфиденциальные данные карты — это ее номер (PAN — Primary Account Number) и срок действия.
Если для подключения карты в *Pay инициатором является сам держатель карты, то токенизацию для E-commerce инициирует интернет-магазин. Но зачем (и с какой стати)?
Наверняка многие из вас пользуются сервисами с подписками: будь то ежемесячная оплата музыки, фильмов или, например, коммунальных услуг. Как оформляется эта подписка? Вы заходите на сайт интернет-магазина, вводите данные своей карты и ставите галочку, подтверждающую ваше согласие на то, что магазин сохранит данные вашей карты (PAN и срок действия) и сможет самостоятельно инициировать оплату за конкретную услугу.
Нужно понимать, что такое действие подразумевает, что магазин должен где-то сохранить данные карты. Тут обычно два варианта:
Давайте обо всем по порядку. При токенизации мы обмениваем данные банковской карты на некий токен, но что это такое? Токен предоставляется платежной системой карты — Mastercard или Visa. Он представляет собой уникальный идентификатор, аналогичный номеру учетной записи устройства в Apple Pay или номеру виртуального счета в Google Pay, которые можно найти в приложении на смартфоне (Wallet на устройствах Apple и Google Pay — на Android).
В отличие от *Pay, в E-commerce токенизации создание токена инициирует интернет-магазин или его платежное решение, а сами токены хранятся на серверах платежных систем.
Разумеется, кто угодно не может прийти к платежной системе и получить токен чьей-либо карты для оплаты покупок. Во-первых, токенизировать карты могут только те платежные решения, которые пройдут сертификацию и получат одобрение платежных систем. Такое платежное решение называется On-Behalf Token Requestor или Token Service Provider, но для простоты будем впредь оперировать термином Token Requestor. И только Token Requestor может инициировать платежи токеном. Во-вторых, токен всегда выпускается для конкретного магазина, и с помощью токена можно платить только в этом магазине. Очень похоже на то, как токен *Pay связан с устройством, на котором он был создан.
За счет чего это достигается? Просто перед проведением каждого платежа по токену Token Requestor должен получить одобрение у платежной системы на этот платеж. Факт такого одобрения надо будет предъявить во время фактического проведения платежа, поэтому одобрение это имеет форму одноразовой криптограммы, которую формирует платежная система карты. При проведении платежа эта криптограмма добавляется к параметрам запроса в банк-эквайер и затем передается платежной системе, которая проверяет подлинность этой криптограммы, которую сама ранее выдавала.
А что там про управление токеном независимо от управления картой? Тут вообще все просто — токен живет своей жизнью, имеет свои статусы жизненного цикла, и о каждом изменении статуса Token Requestor сразу же узнает от платежной системы карты.
Подведем некоторый итог. Что токенизация дает держателю карты?
*Мы сравнивали платежи за этот апрель в крупном онлайн-кинотеатре (MCC 4899) — привязанными картами без 3DS, без учета неуспешных платежей из-за нехватки денег на карте.
Технические аспекты
Для любителей копнуть чуть глубже, расскажу о технологии токенизации карт и ее запуске в Яндекс.Кассе — как все это выглядит изнутри нашего платежного решения.
Интеграция с платежными системами
Чтобы получить техническую возможность токенизировать карты и проводить платежи токенами, необходимо интегрироваться с Visa и Mastercard, пройти тесты, сертификацию и получить их одобрение на запуск в production. Поначалу это звучало устрашающе. Да и не только поначалу, если честно, по крайней мере, для меня. Но устрашала скорее сертификация, а по технике все было предельно ясно.
Интеграция подразумевает реализацию следующего API (условно) между платежной системой и нами в качестве Token Requestor:
Токенизация в Яндекс.Кассе
Яндекс.Касса представляет из себя большую систему по приему платежей для интернет-магазинов. Она состоит из многих десятков различных сервисов: backend-, frontend-приложения, BI-сервисы. Они обеспечивают прием платежа пользователя различными способами, перевод денежных средств магазину, управление платежами через личный кабинет магазина, аналитические сервисы и тому подобное. И как именно сюда встроилась токенизация карт?
Главный вопрос: в какой момент создавать токен для банковской карты?
В API Яндекс.Кассы есть возможность сохранять выбранный способ оплаты для последующих платежей в будущем, мы это называем автоплатежи.
Это может происходить как при привязке карты к аккаунту пользователя в личном кабинете магазина, так и при подписке на периодической основе, когда платежи с карты будут проводиться автоматически. В обоих сценариях при создании платежа магазин по API передает параметр save_payment_method: true, и после успешного платежа мы выдаем магазину payment_method_id — идентификатор сохраненного способа оплаты, с помощью которого он сможет проводить новые платежи.
Вот он, этот момент. Токены созданы как раз для платежей, инициированных магазином. Поэтому сразу после проведения платежа с сохранением способа оплаты мы асинхронно ставим нашему сервису токенизации задачу создать токен для пары «карта и магазин».
Что же сами платежные системы делают в момент токенизации карты?
Они обращаются в банк-эмитент, с запросом на создание токена (как это происходит и при создании токенов *Pay), и банк выпускает токен для данного магазина. Банк также может уведомить об этом держателя карты и отобразить созданный токен в его личном кабинете.
Как происходит платеж токеном?
Пожалуй, тут понадобится некоторая иллюстрация, как вообще проходит платеж ранее сохраненной картой, который инициирует интернет-магазин:
Итак, при платеже ранее сохраненным способом магазин передает только его идентификатор — payment_method_id. По этому идентификатору сервис платежей картами находит данные (PAN и срок действия) карты и передает их одному из банков-эквайеров, который далее общается с платежной системой карты.
С токенами в этом сценарии добавляется еще один шаг:
Если видим, что для карты и магазина ранее был выпущен токен, то мы можем провести платеж без использования данных карты. Для этого мы через сервис токенизации предварительно отправляем запрос в международную платежную систему с данными токена и в ответ получаем одноразовую криптограмму, которая подтверждает, что токен действующий и мы имеем право провести платеж. И уже после этого мы передаем банку-эквайеру данные токена вместе с этой криптограммой.
А что происходит в сценарии, когда пользователь перевыпускает карту в своем банке?
Если к карте ранее были выпущены токены, то банк-эмитент сообщает в платежную систему Mastercard/Visa, что карта перевыпущена. В свою очередь, каждый Token Requestor, который выпускал токены к этой карте, получит уведомление от платежной системы. Оно содержит обновленную информацию о карте: последние 4 цифры номера и новый срок действия. Токен при этом остается прежним.
Когда магазин инициирует очередной платеж с уже просроченной карты, которая на самом деле была перевыпущена, а у нас есть токен к ней для этого магазина — платеж пройдет успешно. К тому же мы сообщим магазину уже новые последние 4 цифры банковской карты — они будут присутствовать в ответах нашего API. Это нужно для того, чтобы и магазин, и пользователь всегда видели, с какой именно карты списываются средства.
Вместо заключения
Токенизация в E-commerce — это новый этап развития приема платежей, повышающий удобство для всех участников процесса оплаты. Мы ожидаем, что в ближайшее время технологию поддержат многие российские банки и провайдеры — и она станет новым стандартом платежного рынка.
Конечно, рассказ получился скорее обзорным, но я надеюсь, что каждый читатель найдет в нем что-то полезное для себя — повысит свой уровень финансовой грамотности, узнает о новинках в финтехе или, может, найдет идею для развития своего бизнеса.
Токенизация в платформе агрегатора платежей. Или как быстро и безопасно принять платеж интернет-продавцу.
Честно говоря, мы не знаем, кто и когда первым придумал то, что поставщики платежных услуг и интернет-торговцы сейчас называют словом «токен», когда речь заходит о приеме к оплате банковских платежных карт через интернет, используя платформу того или иного агрегатора платежей. Но мы уверены, что задача, которая была поставлена перед этим человеком или возможно перед группой лиц, могла бы быть сформулирована примерно так:
«Найти способ, предоставляющий интернет-торговцам возможность самостоятельно списывать произвольные суммы с банковских платежных карт
своих покупателей, не прося последних о повторном вводе номера карты и прочей информации о ней всякий раз, когда возникает необходимость.»
Мы даже можем себе представить приблизительный ход мыслей, которые в итоге привели к элегантному решению поставленной задачи:
«Для того, что бы инициировать платежную транзакцию по банковской платежной карте необходимо как минимум знать ее номер и дату окончания действия (expiration date).
Эти данные покупатель сам вводит на платежной странице интернет-магазина при первой оплате. Для того чтобы инициировать второй и последующие платежи по этой же карте в этом же интернет-магазине без повторного ввода номера карты, данные карты, введенные покупателем для проведения первой транзакции, необходимо где-то сохранить. Но где?
Хранить такую конфиденциальную и высокочувствительную к компрометации информацию на стороне интернет-магазина нельзя, если только он не сертифицирован по стандарту PCI DSS. А 99% интернет-торговцев об этом стандарте никогда и ничего не слышали.
Значит, хранить карточные данные покупателя можно только на стороне поставщика платежных услуг, к которому подключен интернет-магазин. Тогда нужно придумать какой-то способ, позволяющий интернет-торговцу использовать эти данные не имея прямого доступа к ним.
А что если создать некую замену номеру карты и прочей конфиденциальной информации о ней, которую интернет-магазин может держать у себя без каких-либо опасений? Потому что использовать эту замену можно только в этом интернет-магазине, и получение несанкционированного доступа к ней никогда не приведет к раскрытию актуальной информации о самой банковской платежной карте?»
Вот так или примерно так и был придуман токен — псевдослучайная уникальная последовательность символов определенной длины, которая привязывается к конкретному набору карточных данных, хранящихся в безопасном месте у поставщика платежных услуг, и используется интернет-магазином как ключ, инициирующий платежную транзакцию с их участием.
Один токен связан только с одной банковской картой.
Как выдается токен в системе агрегатора платежей
Классическая схема создания, получения и использования токена выглядит следующим образом:
Безопасность токена
Токен — это всего лишь набор букв и цифр, который имеет смысл только для процессинговой системы поставщика платежных услуг, которая его сгенерировала, и только при условии, что он используется в транзакционном запросе от того интернет-торговца, которому он был выдан. Поэтому, его можно хранить в открытом виде где угодно.
Для злоумышленников токен не представляет никакой ценности, поскольку не дает возможности получить номер банковской платежной карты, с которой он ассоциирован.
Типичная сфера использования токена платежной карты в электронной коммерции — это организация приема карточных платежей от клиентов и покупателей в один клик и прием регулярно повторяющихся платежей.
Интернет-торговцы давно осознали всю пользу, преимущества и возможности, которые они могут получить от использования токена платежной карты. И потому, если ваша компания является поставщиком платежных услуг и помогает онлайн-бизнесу принимать платежи через интернет, то токенизация, — то есть замена карточных данных на токен и возможность его использования, — это то, что ваша процессинговая система обязательно должна уметь делать, если вы позиционируете себя, как современный платежный сервис.
Со своей стороны команда eComCharge, разработчик SaaS платформы beGateway для поставщиков платежных услуг, прекрасно понимает ваше стремление шагать в ногу с техническим прогрессом и предлагать своим интернет-торговцам максимальные возможности по приему платежей через интернет. Арендовав платформу beGateway, чтобы получить полнофункциональную, многоканальную, PCI DSS Level 1 сертифицированную систему для приема и обработки интернет-платежей, вы сможете предложить своим клиентам не только токенизацию (кстати говоря, платформа beGateway позволяет интернет-торговцам получать токен платежной карты даже без совершения первого платежа), но и множество других полезных и нужных опций, связанных с приемом денег от покупателей вашими интернет-торговцами.
Команда e ComCharge
Вот уже более 10 лет разрабатываем и обслуживаем процессинговые системы и инфраструктуры для приема и обработки онлайн-платежей для банков-эквайеров и поставщиков платежных услуг (Payment Service Providers) из стран Европейского Союза и СНГ.
Автоматизация онлайн-платежей: что нужно знать торговцам о токенизации карт
В мире онлайн-платежей и тех, кто их обеспечивает – платежных провайдеров – безопасность конфиденциальной информации клиентов имеет первостепенное значение.
Ведь риски, которым подвергаются компании с тысячами клиентов, очень высоки. Ущерб от утери этих данных может оцениваться в миллионы долларов.
Мерчант не несет ответственности за нарушение использования платежной информации, так как не имеет к ней доступа. Но тот ущерб, который подобная ситуация может нанести вашему бизнесу, стоит самого дорого, что у вас есть – это ваша репутация и лояльность ваших клиентов. А это может повлечь за собой полное разрушение имиджа в глазах потребителей.
Все мы используем платежные системы уже не первый год и понимаем, как много уязвимостей существует еще на уровне обработки платежей. То есть, на стадии обмена информацией между банками и МПС. Во время этого процесса обычно используется два основных инструмента исключения фрода: шифрование и токенизация платежей.
Для этого еще в 2006 году был разработан стандарт безопасности индустрии платежных карт (PCI DSS). Согласно ему, платежный провайдер должен соответствовать ряду технических требований, чтобы обеспечивать информационную безопасность данных платежных карт. В рамках ежегодного подтверждения соответствия PCI DSS сервис-провайдер должен пройти процедуру проверки, которая по своей сути довольно длительная, так как затрагивает ряд сложных технических моментов.
Благодаря таким сервисам, как Google Pay и Apple Pay, а также улучшению работы систем мобильных платежей, токенизация стала одним из лучших способов безопасной передачи платежной информации.
Шифрование vs токенизация
Шифрование – это общий термин для любой методики, которая кодирует (хеширует) данные, что позволяет при необходимости преобразовать их в исходное состояние с использованием ключа или дешифратора. Это математический метод, который работает на основании алгоритмов.
Что такое токенизация банковских карт?
Платежный провайдер должен обеспечить дополнительные уровни защиты от фродеров, которые намерены похитить конфиденциальную информацию картодержателей. Поэтому для избежания мошенничества с банковскими картами индустрия платежных карт создала токенизацию.
Токенизация – это технология шифрования платежных данных, при которой номер карты и другая конфиденциальная информация заменяется на буквенно-цифровую комбинацию, случайно сгенерированную на основе алгоритма. Эти данные и будут «токеном».
Для того, чтобы обеспечить безопасную транзакцию, платежный провайдер или банк генерирует токен во время транзакции, при этом не передавая полный номер банковской карты. PSP хранит токены карт и токены транзакций в своей платежной системе, одновременно с этим у банка хранятся только данные по операциям. Таким образом, фродеры не смогут найти и взломать хранилище через сайт торговца, так как информация о транзакциях распределена между участниками платежа и всегда остается в безопасности.
Использование токена на примере Apple Pay:
А вот еще несколько фактов о токенизации банковских карт:
Вы сталкиваетесь с токенизацией банковских карт чаще, чем можете себе представить, так как они довольно популярны в e-commerce.
Регулярные платежи и Subscription Billing
Для проведения регулярных платежей или выставления счета по подписке, интернет-магазин либо любой другой сервис использует “сохраненную” банковскую карту. Таким образом работает много SaaS бизнесов, например Netflix, Xbox.
Покупка в один клик
Это еще один популярный способ оплаты. Например, интегрировав Platon в свой интернет-магазин, ваши клиенты могут единоразово ввести данные по карте, а последующие покупки совершать всего в один клик с помощью одного из методов оплаты — Masterpass.
Apple Pay и Google Pay
Поддержка NFC платежей. Принцип работы таких платежных систем как Apple Pay и Google Pay также основан на токенах.
Покупки внутри приложений
Если вы покупаете что-то в приложении, скажем, UberEats, Glovo, вы, опять же, имеете дело с токенами. Эти сервисы используют платежные токены, одновременно с этим экономя время пользователя при повторном вводе информации о банковской карте.
Итак, токенизация – это гибкий и безопасный метод осуществления платежей, который уже давно используется в множестве компаний. И, независимо от вида вашего бизнеса, будь это интернет-магазин или традиционный ритейл – осуществлять регулярные платежи без токенизации на данный момент невозможно.