Токенизация банковских карт: защита от мошенников и безопасность онлайн-платежей

Что такое токенизация карт

При оплате картой в интернете важно, чтобы данные вашей карты не попали к посторонним. Одна из технологий, которая помогает защитить информацию — токенизация. Расскажем, что это такое и почему она важна.

Простое объяснение

Токенизация — это способ защиты данных карты при онлайн-платежах. Вместо реального номера карты (его еще называют PAN) система создает уникальный код — токен. Токен вместо номера карты используется для проведения платежей.

Представьте, что вы платите картой через мобильное приложение. Ваш настоящий номер карты остается на сервере банка. А приложению передается только временный код — токен. Даже если кто-то его перехватит, он не сможет им воспользоваться вне этого приложения.

Токен вместо PAN: как это повышает безопасность

Настоящий номер карты (PAN) — это 16 цифр, которые могут подойти для оплаты. Если его украдут, мошенники смогут сделать покупки от вашего имени.

Токен — это замена PAN для конкретного сайта или приложения. Он:

• работает только в одном месте (например, только в одном конкретном онлайн-магазине);

• не подходит для других платежей;

• бесполезен при возможном перехвате данных.

Благодаря этому даже при утечке данных злоумышленники не смогут использовать токен для совершения мошеннических операций.

Как токенизация помогает защищать ПДн

ПДн — это персональные данные, например, имя владельца карты, ее срок действия и CVV-код. При использовании токенизации сайт или приложение не получает доступ к этим данным. Они работают с токенами.

Это снижает риски:

• утечки информации при хранении данных на стороннем сервере;

• использования ваших данных без согласия;

• взлома баз данных.

Таким образом, токенизация не только защищает сам процесс оплаты, но и помогает бизнесу соблюдать закон о персональных данных.

Как работает токенизация в платежных системах

Пошаговый механизм

При оплате картой через интернет или мобильное приложение происходит следующее:

1. Ввод данных карты — вы указываете номер карты, срок действия и CVV-код.

2. Генерация токена — вместо настоящего номера карты система создает уникальный код (токен).

3. Передача токена — он отправляется продавцу или в платежную систему для обработки платежа.

4. Обработка платежа — банк получает токен, распознает его и списывает деньги с вашей карты.

5. Подтверждение — вы получаете уведомление об успешной оплате.

Таким образом, реальный номер вашей карты не передается третьим лицам.

Где хранятся токены, кто их генерирует

Токены хранятся в защищенной базе данных у эмитента токенов — это может быть:

• сам банк;

• платежная система (например, «Мир» или UnionPay);

• платежный шлюз (например, Robokassa).

Каждый раз, когда вы сохраняете карту в приложении или на сайте, создается новый токен. Он привязан к конкретному сервису — например, к онлайн-магазину или кошельку. Использовать этот токен где-то еще невозможно. Некоторые системы создают один токен на одно сочетание «клиента + сервис». Если пользователь повторно использует ту же карту, токен может оставаться тем же.

Токены не содержат личных данных и не могут быть преобразованы обратно в номер карты без доступа к защищенной системе эмитента.

Как это связано с безопасностью и защитой от мошенников

Токенизация снижает риски мошенничества и утечки данных двумя основными способами:

• данные карты не передаются;

• токен нельзя использовать повторно в другом месте или подделать, что делает бесполезным кражу данных из баз сайтов или магазинов.

Кроме того, токенизация помогает бизнесам соблюдать требования по защите персональных данных (в том числе 152-ФЗ «О персональных данных»).

Зачем бизнесу нужна токенизация

Снижение рисков утечки данных

Когда клиент оплачивает товар или услугу картой, его данные проходят через несколько систем: сайт, платежный шлюз, банк. Чем больше мест, где хранится реальный номер карты (PAN), тем выше риск его утечки.

Защита от мошенничества в e-commerce

Мошенники часто пытаются использовать украденные данные карт для покупок в интернете. Токенизация усложняет процесс хищения данных.

Помощь в соблюдении 152-ФЗ и PCI DSS

В России при работе с персональными данными нужно соблюдать требования Федерального закона №152-ФЗ, а при обработке данных банковских карт — еще и международные стандарты PCI DSS.

Токенизация уменьшает объем хранимых персональных данных — снижает обязательства по их защите.

Позволяет не обрабатывать напрямую номера карт — что упрощает соответствие требованиям PCI DSS.

Польза токенизации для клиентов

Удобство: сохраненные карты, быстрые оплаты

Помимо безопасности, токенизация упрощает сам процесс оплаты. Многие пользователи оценивают возможность быстро расплатиться, не вводя каждый раз реквизиты карты. В результате клиент тратит меньше времени при оформлении заказа.

Токенизация и защита персональных данных (ПДн)

Отличие от простого шифрования

Шифрование — это процесс преобразования данных в непонятный вид с помощью ключа. Зашифрованные данные можно расшифровать обратно, если у вас есть нужный ключ. Например, номер карты может быть записан как последовательность символов, а потом восстановлен в исходном виде.

Токенизация — это замена реальных данных на уникальный код — токен. Этот код не содержит информации о настоящих данных и не может быть дешифрован.

Что делать в случае утечки токена

Уведомить провайдера или банк, если вы сами являетесь бизнесом и подозреваете утечку.

Заблокировать старые токены и создать новые — большинство платежных систем позволяют это сделать автоматически.

Информировать клиентов, если это предусмотрено политикой вашей компании.

Информировать Роскомнадзор о факте взлома системы и данных, которые могли быть похищены вместе с токенами.

Частые вопросы

Где хранятся токены?

Токены хранятся в защищенной системе эмитента токенов — это может быть:  платежная система, банк-эмитент карты, процессинговая компания, платежный шлюз.

Какие недостатки имеет токенизация данных?

• Необратимость восстановления данных без доступа к системе эмитента.

• Сложно (или невозможно) восстановить данные, которые потеряны в результате сбоев системы токенизации.

• Возможны проблемы совместимости между различными системами обработки информации.

Нужно ли что-то менять в системе при внедрении токенизации?

В большинстве случаев внедрение токенизации не требует глубоких изменений в вашей системе.

Если вы используете популярную платежную систему или шлюз, то:

• интеграция токенизации уже реализована;

• достаточно активировать соответствующую функцию в настройках;

• дополнительного программирования или модификации сайта обычно не требуется.

Если же вы разрабатываете собственную платежную систему, потребуется интеграция с API платежного провайдера, поддерживающего токенизацию.

Заключение

Токенизация — важный элемент защиты данных при онлайн-платежах. Она снижает риски утечки данных, защищает бизнес и клиентов, помогает соблюдать законодательство. Особенно актуальна для интернет-магазинов, SaaS-сервисов и других цифровых бизнесов.