Часть 1
Часть 2
Часть 3
Часть 4
В прошлых сериях Игр Смартфонов мы узнали о судьбах домов Сотовых Операторов и Поисковых Гигантов. Зрители успели разобраться в драматических перепетиях судьбы Secure Element и массы второстепенных героев, вовлеченных в главную сюжетную лнию. И сегодня мы готовы к тому, чтобы узнать о судьбе главного героя - Токена Скарты.
Итак, что же такое токен?
Токен выглядит вполне как обычный челове... как обычный номер карты. Не зная подробностей, не получится их отличить. И это сделано умышленно. Технически терминалу как бы должно быть безразлично, работает он с бесконтактной картой или телефоном, который прикидывается картой. На самом деле это не совсем так, я писал об этом. Терминал должен, как минимум, корректно работать с тем фактом, что проверка PIN ведется не на нем, а на телефоне. Но во многих других нюансах токен - это как бы обычный номер карты.
В этой связи становится интересно, а где, собственно, происходит подстановка одного на другое? И ответ немного неожиданный. Мы привыкли к тому, что есть громкие названия кошельков - Ябло-пэй и Гэ-пэй. В головах некоторых людей именно эти бренды связаны с работой инфраструктуры. А на самом деле, генерирует токен и производит обратную постановку.... Международная Платежная Система (МПС)! Ну или, как их более корректно называть, Карточная Ассоциация.
Когда вы добавляете карту в ваш Гэ-пэй, там происходит сложный обмен данными между МПС и сервером кошелька. Ничего особенно интересного там нет, чтобы пошагово рассматривать, поэтому эту часть сюжета я не отснял. Скажу только, что есть два варианта: когда токенизацию иннициирует приложение банка, если оно есть (а оно для этого в какой-то момент вызывает системные компоненты приложения-Кошелька), и когда токенизацию инициирует сам кошелек (Гэ-пэй, Ябло-пэй, Гнусмас-пэй). Там в процессе еще важно убедиться, что конкретно эту карту можно токенизировать.
В результате всех этих записанных ходов на одном из шагов Платежная Система сама генерирует токен и уведомляет об этом банк-издатель карты. Для того, чтобы Платежная Система смогла это сделать, надо, чтобы банк-издатель подключился к специальной инфраструктуре платежной системы. Для МастерКард, например, эта инфраструктура называется MasterCard Digital Enablement Service (MDES). После этого банку-издателю будет доступно немного вспомогательных средств по работе с токенизацией.
Немного, потому что банк-издатель, по большому счету, даже может не знать, какой конкретный токен у конкретного пользователя. Потому что запрос, который прилетает в банк-издатель на авторизацию, содержит PAN той карты, которую он выдал клиенту! И банк просто обрабатывает эту транзакцию, как если бы клиент производил оплату картой, а не телефоном, в который она "добавлена"!
На самом деле в сообщении Платежной Системы все-таки есть упоминание, что транзакция производится с помощью токена, и в дополнительных полях даже присылает этот токен. Но, повторю, обработка транзакции дальше у банка-эмитента уже идет так, как если бы это была самая обычная транзакция.
Токен, который генерирует МПС, не произвольный, а точно так же начинается с нескольких цифр, выкупленных конкретным банком. Напомню, что эти несколько начальных цифр номера карты (префикс) называется BIN - Bank Identification Number. Чтобы выпускать карты, начинающиеся с этих цифр (с этим BIN'ом), банк выкупает один или несколько префиксов у Платежной Системы. Как видим, нечто похожее происходит и с BIN для токенов. Но в случае с обычными картами банк сам генерирует полный номер карты (и издает карту). А вот в случае с токенами немного не так. Банк их выкупил, возможно, передал специальный издательский ключ в Платежную Систему (для случаев, когда у банка есть свое приложение, которое умеет иннициировать токенизацию), а вот генерацией токенов и связыванием его с конкретным номером живой карты занимается уже Платежная Система (точнее, ее специальный сервис).
Давайте еще разок, для закрепления.
Пользователь начинает добавлять карту в свой Кошелек, Платежная Система генерирует токен, этот токен и возвращается кошельку. Теперь в Кошельке больше не хранится исходный PAN карты (ни в телефоне, ни на сервере Кошелька). В Кошельке хранится только токен. А в Платежной Системе хранится связка между PAN карты и Токеном.
Теперь у нас сняты все флэшбеки и лирические отступления, и мы можем проследить путь тразакции.
Мотор!
У вас в телефоне - приложение Кошелек, в котором хранится токен (который вместо карты), плюс токен пользователя (привязанный конкретно к вам, вашему аккаунту) и токен устройства. Последние два токена на карту совершенно не похожи, хотя тоже называются токенами. Они нужны для того, чтобы сервер Кошелька воспринял ваши манипуляции с "добавленными картами" как авторизованные.
Вы подходите к терминалу для оплаты. Кассир активирует терминал. Вы тем временем открываете телефон, вводите PIN-код или там отпечаток пальца или там лицо свое сканируете. Тут как раз используются те самые токены пользователя и устройства, чтобы убедиться, что это именно вы, и именно со своего телефона пытаетесь произвести оплату. Приложение "Кошелек" готово к оплате.
Терминал сигнализирует в воздух "Жду карту. Жду карту". А вы тут подносите телефон. Сходятся лед и пламень... И телефон, прикидываясь картой, отправляет на терминал ранее добавленный на него токен (который вместо карты).
Терминал выполняет все проверки, которые он бы выполнял, работая с обычной бесконтактной картой. И отправляет запрос банку-эквайеру (чей терминал). Банк-эквайер видит, что номер "карты" не его, и отправляет его дальше, в платежную систему. Пусть разбирается.
Платежная система смотрит на этот номер... И он кажется ей смутно знакомым. "Ах, да!" - восклицает Платежная Система, хлопает себя по лбу и достает припрятанный номер исходной карты. И подставляет его в транзакцию. Полученную транзакцию переправляет в банк-издатель.
Банк-издатель смотрит на транзакцию и видит там обычный, привычный ему номер карты, который он сам издавал. Он проверяет связанный баланс и дополнительные проверки. Если все хорошо - отправляет в Платежную Систему ответ "разреши ты ему там...". Платежная Система получает номер карты, хлопает себя по лбу второй раз (но с другой стороны) и заменяет номер карты на токен, который был там изначально. И результат с подтверждением эмитента отправляет банку-эквайеру.
Дальше все, как обычно. Банк-эквайер передает терминалу разрешение. Дальше зачисляет деньги на счет торговца, создает запрос на возмещение от платежной системы и т.д. Если интересно, мы все эти действия уже рассматривали.
Пошли финальные титры, довольный покупатель уходит с покупкой, на экране кадры с бэкстейджа.
P.S. Я тут упоминал только МастерКард. Он, как водится, пионер в платежных технологиях. Остальная платежная система подтянулась потихоньку, но чтобы вы знали, по количеству транзакций и сумме Ябло-пэй превышает показатели Гэ-пэй примерно в три раза, занимая примерно 3/4 от всех оборотов токенизированных платежей. Точных цифр нет, там драконовские правила по раскрытию информации, но информация о пропорциях доступна. А Ябло-пэй работает на МастерКарде. Соответственно, несложно представить, что доля остальных Платежных Систем пока еще довольно низка.
Понравилась статья? Тогда обязательно поставьте лайк, подпишитесь, поделитесь в соцсетях!