Token EMV para proteger o cartão em arquivo

A Tokenização baseada no padrão EMV é um importante instrumento para a proteção dos dados sensíveis dos cartões e ajuda os comércios a reduzir os níveis de exposição a invasões e roubo de dados e o escopo da certificação PCI

Muitos estabelecimentos comerciais mantém em seus cadastros dados de pagamento dos seus clientes, como número do cartão (PAN) e data de validade.

Por diretriz de segurança definida pelo Payment Card Industry Standards Council (PCI), os dados sensíveis do cartão devem ser protegidos.

Em condições normais, para proteger os dados sensíveis do cartão, o estabelecimento necessita adotar um cofre digital de segurança e manter os dados do cartão criptografados nesta plataforma, utilizando uma aplicação e eventualmente um hardware de segurança (HSM).

Token EMV - Uma credencial em arquivo

As invasões, sequestros e vazamentos de bases de dados têm sido cada vez mais constantes, criando grandes riscos financeiros e de imagem aos estabelecimentos comerciais. Substituir o número do cartão (PAN) por uma credencial (Token) é um método eficaz de proteção, auxiliando os comércios a reduzir o escopo necessário certificação PCI.

O Token de Pagamento é armazenado pelo Comerciante para uso em futuras transações. O comercio pode apagar os dados do cartão, garantindo assim maior proteção contra o uso indevido do PAN.

Cada token gerado possui um conjunto de atributos associado a ele (Restrições de Domínio) que asseguram que ele somente possa ser usado pelo estabelecimento requisitante.

A substituição dos PANs por Tokens de Pagamento:

Aumenta a segurança dos pagamentos digitais, limitando o risco associado ao uso comprometido, não autorizado ou fraudulento de PANs
Oferece a capacidade de controlar ou restringir o uso para o uso pretendido, por exemplo, um dispositivo ou outro domínio através dos controles de restrição de domínio de token
Reduz potencialmente o escopo do ambiente de dados PCI DSS do comerciante
Minimiza possíveis interrupções devido a eventos de gerenciamento do ciclo de vida do PAN

A experiência do usuário permanece inalterada, selecionando uma credencial de pagamento, associada aos 4 últimos números do cartão, para uso durante uma compra.

Processos básicos para o uso de tokens

O armazenamento de um Token EMV é um importante instrumento para a proteção de dados sensíveis do cartão, auxiliando os comércios e reduzir o escopo necessário certificação PCI.

Mitigando o risco de fraudes

O método denominado “One Click to Buy” é uma forma eficaz e prática para acelerar a experiência do cliente no processo compra em um comércio. Ao criar seu cadastro, o cliente pode registrar os números de cartão preferidos para realizar as transações.

Conforme especificado pelo PCI, para proteger os dados sensíveis, diversos lojistas e sistemas de checkout passaram a utilizar cofres (vaults), criptografando o número do cartão.

Mas nem todos os estabelecimentos utilizaram estes métodos de proteção no ciclo de vida das transações. Invasões de bases de dados foram responsáveis por enormes perdas financeiras e de imagem de estabelecimentos em muitos países. As tendências em relação à segurança dos pagamentos é cada vez mais desvincular a transação financeira dos dados de cartões e contas, passando a utilizar credenciais seguras.

Uma credencial em arquivo

No início do processo, o comerciante informa os dados do cartão e uma série de informações do estabelecimento para solicitar e obter um token de pagamento. O Token de Pagamento é armazenado pelo Comerciante para uso em futuras transações.

Após o provisionamento do token, o comercio pode apagar os dados do cartão, garantindo assim maior proteção contra o uso indevido do PAN.

Cada token gerado possui um conjunto de atributos associado a ele (Restrições de Domínio) que asseguram que ele somente possa ser usado pelo estabelecimento requisitante.

A substituição dos PANs por Tokens de Pagamento:

Aumenta a segurança dos pagamentos digitais, limitando o risco associado ao uso comprometido, não autorizado ou fraudulento de PANs
Oferece a capacidade de controlar ou restringir o uso para o uso pretendido, por exemplo, um dispositivo ou outro domínio através dos controles de restrição de domínio de token
Reduz potencialmente o escopo do ambiente de dados PCI DSS do comerciante
Minimiza possíveis interrupções devido a eventos de gerenciamento do ciclo de vida do PAN

A experiência do usuário permanece inalterada, selecionando uma credencial de pagamento, associada aos 4 últimos números do cartão, para uso durante uma compra.

Como requisitar uma credencial em arquivo?

Ao receber os dados de um cartão do cliente em tempo de cadastramento ou início e uma compra, o comerciante submete uma requisição a um TSP – Token Service Provider (cada Bandeira opera seu próprio TSP) para obter um token associado ao cartão, que será armazenado e utilizado nas transações futuras. Este token é de uso exclusivo daquele estabelecimento. Esta solicitação é realizada através de uma função denominada Token Requestor-TSP (TR-TSP).

Para autenticar a identidade de um portador, o comerciante poderá submeter um pedido de autenticação, utilizando o protocolo EMV 3D Secure e garantir assim o não repúdio da transação por compra não reconhecida.

A partir de então, as autorizações de compras submetidas utilizarão o token no lugar do PAN do cartão.

Token Requestor TSP (TR-TSP)

A função de requisitar um token para um TSP é executada por um Token Requestor. Esta função precisa ser certificada pela Bandeira.

Quem pode executar a função de TR-TSP?

Um emissor, ao requisitar tokens que serão embarcados em Wallets, relógios digitais ou outros dispositivos
Um comércio, para gerar as credenciais que serão utilizadas por ele
Uma Credenciadora ou Gateway de Pagamentos, como parte dos serviços agregados oferecidos aos comércios afiliados
Uma entidade independente, certificada para esta finalidade.