Czym jest tokenizacja kart płatniczych?
Tokenizacja kart płatniczych to proces, w którym rzeczywisty numer karty (PAN) zostaje zastąpiony alternatywną wartością – tokenem – wykorzystywanym podczas realizacji transakcji.
Token jest przypisany do danej karty, ale nie zawiera jej rzeczywistego numeru i nie ujawnia go podczas płatności. W praktyce oznacza to, że w sklepie internetowym, aplikacji czy portfelu cyfrowym używany jest token zamiast właściwych danych karty.
Kluczową cechą tokenizacji jest to, że ogranicza ona sytuacje, w których numer karty jest przekazywany między różnymi systemami. Dzięki temu dane wrażliwe rzadziej pojawiają się w miejscach, gdzie mogłyby zostać przechwycone.
Skąd wzięła się tokenizacja kart płatniczych?
Rozwój płatności online, doprowadził do istotnego wzrostu liczby miejsc, w których przetwarzane są dane kart płatniczych. Wraz z tym wzrosło ryzyko ich przechwycenia.
W odpowiedzi na nowe wyzwania organizacja EMVCo opracowała standard tokenizacji płatności. Jego pierwsza wersja została opublikowana w 2014 roku. Celem było ograniczenie sytuacji, w których numer karty musi być przekazywany pomiędzy różnymi systemami oraz wprowadzenie dodatkowej warstwy zabezpieczeń dla transakcji w środowisku e-commerce i płatności mobilnych.
EMVCo (od Europay, Mastercard, Visa) to organizacja założona przez największe sieci płatnicze. Obecnie zarządzają nią m.in. Visa, Mastercard, American Express, Discover i JCB.
Jej głównym zadaniem jest tworzenie wspólnych standardów, które umożliwiają bezpieczne działanie płatności na całym świecie.
Wpływ tokenizacji na bezpieczeństwo danych kart
Tokenizacja zmienia sposób, w jaki wykorzystywane są dane kart płatniczych. Zamiast chronić numer karty w każdym systemie, ogranicza się liczbę miejsc, w których ten numer w ogóle występuje.
W praktyce oznacza to, że numer karty pozostaje w systemach o najwyższym poziomie zabezpieczeń, natomiast w pozostałych miejscach wykorzystywane są dane zastępcze w postaci tokenów.
Kluczowa różnica polega na tym, że token nie ma uniwersalnego zastosowania. W zależności od modelu tokenizacji może być powiązany z konkretnym kontekstem – na przykład jednym urządzeniem, aplikacją lub sprzedawcą. Oznacza to, że nawet jeśli token zostanie przechwycony, jego wykorzystanie poza tym kontekstem jest w praktyce niemożliwe lub znacząco ograniczone.
Dla porównania, numer karty może zostać użyty w wielu różnych miejscach – zarówno w internecie, jak i w innych kanałach płatności – co czyni go znacznie bardziej wrażliwym na nadużycia.
W modelu tokenizacji stosowanym przez organizacje płatnicze każda transakcja jest dodatkowo zabezpieczona mechanizmami kryptograficznymi, które generują unikalne dane autoryzacyjne. Dzięki temu przechwycone informacje nie mogą zostać wykorzystane ponownie w kolejnych transakcjach.
Jak przebiega proces tokenizacji?
Proces tokenizacji rozpoczyna się w momencie wprowadzenia danych karty do systemu – może to być aplikacja mobilna, portfel cyfrowy lub formularz płatności w sklepie internetowym. Następnie podmiot inicjujący (tzw. token requestor) przekazuje żądanie utworzenia tokenu do dostawcy usługi tokenizacji.
Na tym etapie następuje weryfikacja karty przez jej wydawcę. W zależności od konfiguracji może ona obejmować dodatkowe uwierzytelnienie użytkownika. Po pozytywnej weryfikacji generowany jest token, który zostaje powiązany z rzeczywistym numerem karty w bezpiecznym systemie.
Token jest następnie przekazywany do systemu, w którym będzie wykorzystywany – na przykład do aplikacji mobilnej lub sklepu internetowego. Od tego momentu kolejne transakcje realizowane są z użyciem tokenu, bez konieczności ponownego operowania na numerze karty.
Kto tworzy tokeny?
W przypadku tokenizacji zgodnej ze standardem EMV tokeny tworzone są przez wyspecjalizowane podmioty określane jako Token Service Providerzy. Są to instytucje uczestniczące w procesie obsługi płatności, takie jak organizacje kartowe, wydawcy kart oraz wyspecjalizowani dostawcy usług tokenizacji.
W praktyce oznacza to, że proces tokenizacji nie jest realizowany przez sklep internetowy czy aplikację, lecz przez wyspecjalizowany podmiot, który odpowiada za jego bezpieczeństwo i zgodność ze standardami branżowymi
Równolegle funkcjonuje model tokenizacji po stronie sprzedawcy lub operatora płatności, w którym tokeny generowane są lokalnie w danym systemie. Takie tokeny mają zazwyczaj węższy zakres zastosowania i nie funkcjonują w całym systemie płatniczym.
Przesyłanie i przechowywanie tokenów
To, gdzie przechowywany jest token, zależy od sposobu realizacji płatności. W przypadku portfeli mobilnych może być zapisany bezpośrednio na urządzeniu użytkownika, np. w telefonie. W płatnościach internetowych token najczęściej przechowywany jest przez operatora płatności lub w systemie sklepu.
Istotne jest to, że token nie jest samodzielnym odwzorowaniem numeru karty – jego znaczenie wynika z powiązania z rzeczywistymi danymi przechowywanymi w systemie dostawcy tokenizacji. To powiązanie nie jest dostępne dla podmiotów korzystających z tokenu w procesie płatności.
Okres ważności tokenów
Tokeny posiadają własny cykl życia, który nie zawsze jest bezpośrednio tożsamy z datą ważności karty. Mogą być aktywne, zawieszone lub usunięte, a ich status może być zmieniany przez wydawcę karty lub dostawcę tokenizacji.
W praktyce oznacza to, że token może zostać unieważniony niezależnie od fizycznej karty, na przykład w przypadku podejrzenia nadużycia lub usunięcia karty z danego urządzenia. W niektórych modelach tokenizacji możliwa jest aktualizacja powiązania tokenu z nowymi danymi karty bez konieczności jego ponownego tworzenia, choć zależy to od zasad przyjętych przez wydawcę karty i organizację płatniczą.
Zastosowanie tokenizacji
Tokenizacja jest obecnie standardowym elementem systemów płatniczych. Wykorzystywana jest zarówno w płatnościach mobilnych, jak i w handlu internetowym oraz modelach subskrypcyjnych.
Znajduje zastosowanie m.in. w portfelach cyfrowych, płatnościach zbliżeniowych telefonem lub zegarkiem, zapisanych kartach w sklepach internetowych, płatnościach cyklicznych oraz transakcjach realizowanych w aplikacjach.
Czy każda płatność kartą w internecie wykorzystuje tokenizację?
Nie każda płatność kartą w internecie wiąże się z wykorzystaniem tokenizacji. Wciąż funkcjonują rozwiązania, w których dane karty są używane jednorazowo do autoryzacji transakcji, bez tworzenia tokenu.
Tokenizacja pojawia się przede wszystkim tam, gdzie karta ma być używana ponownie – na przykład przy zapisanych płatnościach, subskrypcjach lub w portfelach cyfrowych.
Podsumowanie
Tokenizacja kart płatniczych to jeden z kluczowych mechanizmów zwiększających bezpieczeństwo płatności. Zamiast chronić dane karty w każdym systemie, ogranicza się ich użycie tam, gdzie nie są konieczne.
Dzięki temu płatności mogą być jednocześnie bezpieczne i wygodne, bez potrzeby każdorazowego wykorzystywania pełnych danych karty.