Conheça os métodos mais comuns de provisionar Tokens de Pagamento para proteger dados do cartão em transações presenciais e não presenciais
O primeiro processo da Tokenização de Pagamentos é a criação dos Tokens, que serão usados posteriormente para a realização das transações de pagamento. Relembrando, Tokens de Pagamento são credenciais que substituem os dados do cartão original com o objetivo de proteger as transações contra fraudes, em casos de perda/roubo/extravio dos cartões, invasão de bases de dados e uso indevido dos dados originais do cartão por terceiros.
Este artigo aborda os processos mais comuns de geração dos tokens, mostrando suas características. Será possível verificar a ampla variedade de usos e conhecer um pouco mais do futuro dos pagamentos digitais nos sistemas de cartões.
Provedores de Serviços de Token
Os tokens são gerados pelos proprietários dos sistemas de pagamento, como as principais marcas mundiais.
A geração de um token se inicia com uma requisição de um Token, utilizando a função de Token Requestor a um Provedor de Serviços de Token certificado.
Um Provedor de Serviços de Tokens pode ser um conjunto de funções executadas nos emissores, comércios, adquirentes e gateways de pagamento ou podem ser serviços contratados de provedores de serviços independentes, como processadoras para emissores, processadoras para comércios e adquirentes ou até mesmo provedores independentes certificados. Um emissor pode utilizar os serviços de mais de um provedor de serviços de tokens, assim como os comércios.
Provisionamento de cartões em Carteiras Digitais
O uso das carteiras digitais em celulares e até mesmo em relógios tem sido uma prática cada vez mais comum. As principais Wallets do mercado são a Apple Pay, a Samsung Wallet e a Wallet Google.
O consórcio EMC produziu as especificações técnicas comuns que permitem que emissores e bandeiras independentes e regionais (White Label) produzam suas próprias Wallets, assim como provedores de serviços ofereçam carteiras digitais personalizadas para emissores.
O embarque de um token de pagamento pode acontecer por requisicão (Token Requestor) do titular do cartão ou por ação do Emissor, impulsionando o carregamento do tokens na Wallet automaticamente (quando um novo cartão é emitido, por exemplo).
Solicitação de um Comércio
Os comércios sofrem sérios riscos de vazamento de dados sensíveis de cartões ou de invasões que podem implicar em fraudes em grande escala.
O Payment Card Industry Security Standards Council – PCI – publicou uma série de diretrizes sobre o uso e armazenamento de dados de cartões, que devem ser seguidas por todas as entidades que processam essas informações. Para proteger os dados de cartões armazenados em seus cadastros de clientes, os comércios adotaram “cofres de cartões”, bases de informações onde os dados do cartão são protegidos por chaves criptográficas proprietárias.
Os comércios podem substituir estes dados de cartões por tokens de pagamento, reduzindo assim a exposição das informações contra vazamentos, invasões e uso indevido de dados, ao mesmo tempo que reduz as exigências de segurança estabelecidas pelo PCI.
Os Comércios podem requisitar a geração de tokens utilizando os serviços de um Token Requestor próprio ou contratado junto a um ou mais adquirentes ou entidades independentes. As requisições podem ser enviadas cartão a cartão ou em lotes para acelerar a implementação da segurança dos dados de pagamento.
A solicitação de tokens pelos comércios ainda enfrenta algumas dificuldades na velocidade de autorização dos emissores para que as badneiras possam provisionar os tokens ou até mesmo em problemas operacionais nos emissores que ainda não estão prontos para suportar essa funcionalidade.
Push Provisioning
Esta modalidade de provisionamento de tokens cria um processo colaborativo entre emissores e comércios, que permite ao titular do cartão escolher em que comércios ele deseja armazenar as credenciais (token) do seu cartão de maneira segura.
Tudo começa num conjunto de funções no aplicativo do Emissor, que apresenta ao cliente diversas opções de comércios para os quais ele pode gerar suas credenciais. O cliente escolhe o estabelecimento comercial, o emissor gera um código de referência que é enviado para o comércio, indicando que a requisição do token se iniciou no emissor.
O cliente é direcionado para uma Landing Page do Comércio, que iniciará a recepção ao cliente. Caso o cliente já possua cadastro no Comércio, aquela requisição será associada ao seu cadastro. Caso o cliente ainda não possua cadastro no comércio, será iniciado o cadastramento (onboarding) desse cliente.
Identificado e qualificado o cliente, o Comércio vai executar a requisição de um token, da mesma forma que no método anterior. A diferença é que esta requisição terá em um dos seus atributos o código de referência gerado pelo emissor, simplificando a aprovação da geração do token.
Nesta modalidade, o cliente pode solicitar a geração de tokens para quantos comércios o emissor suportar, de acordo com seus interesses.
Secure Remote Commerce - Click to Pay
No passado recente, Visa e Mastercard lançaram a modalidade de carteira eletrônica armazenada na própria bandeira. Estas modalidades de pagamento. Estes serviços de pagamento eram denominados Visa Direct e Mastercard Send. Estas plataformas de processamento tinham como objetivo principal a transferência financeira entre contas, utilizando credenciais (tokens) previamente gerados.
Em 7 de junho de 2021, o EMVCo lançou a primeira versão de uma modalidade de pagamentos denominada Secure Remote Commerce, que posteriormente recebeu o nome fantasia de Clik to Pay. O SRC utiliza o mesmo conceito das carteiras hospedadas nas bandeiras e torna o processo interoperável, permitindo associar a uma carteira única, tokens criados pelas diversas bandeiras que aderem ao programa.
Desta forma, o cliente pode realizar compras nos estabelecimentos comerciais que aderiram ao Click to Pay sem a necessidade de digitar qualquer informação sobre o cartão que será usado. A pós uma atividade de identificação e verificação, o cliente poderá escolher entre os cartões cadastrados em seus carteiras, em qualquer bandeira.
Conclusão
A tokenização dos pagamentos é uma tecnologia que veio para ficar, tornando a jornada de pagamentos mais fácil, interoperável e segura. Os tokens reduzem as fraudes por uso indevido dos dados do cartão, principalmente nas compras de cartão na presente (CNP). assinaturas de serviços e outras modalidades de pagamentos recorrentes.