Neste artigo vamos explorar os conceitos, as semelhanças e as diferenças entre
Cartão Virtual e Tokenização e algumas estratégias em direção ao Open Finance

A introdução dos chips EMV nos cartões reduziu drasticamente as fraudes nas transações presenciais, impedindo a clonagem das trilhas magnéticas e a falsificação dos cartões.

A indústria da fraude migrou para as transações de e-commerce, denominadas de transações de cartão não presente (CNP). Nesta modalidade de fraudes, a captura do número do cartão, data de vencimento e Código de Segurança são os insumos para a realização de transações sem que o portador do cartão tenha conhecimento

 

Para combater esta modalidade de fraudes, o segmento de pagamentos tem implantado inúmeros recursos, baseados no avanço da tecnologia e da experiência de uso dos clientes.

A autenticação das transações utilizando o protocolo 3D Secure, associado a motores de risco de fraudes está contribuindo para assegurar a identidade do comprador.

Mas como proteger os dados do cartão, para evitar o seu uso indevido?

O Cartão Virtual

Alguns emissores introduziram o conceito de Cartão Virtual, que aos poucos foi se popularizando.

Trata-se de um cartão que não existe fisicamente, associado ao cartão real do portador, destinado exclusivamente às compras na Internet. Desta forma, estes emissores procuraram responder às expectativas de segurança e confiabilidade esperados por seus clientes.

De acordo com suas estratégias de negócios, os Cartões Virtuais foram customizados por cada um dos emissores com determinados parâmetros de uso:

  • Destinados a uma compra única
  • Com data  de validade e código de segurança alterados de acordo com determinada frequência ou critério
  • Destinado a compra em tipos de estabelecimentos específicos
  •  Com limite de quantidade ou valor de transações

Em certos casos, os emissores estenderam aos clientes a possibilidade de alterar alguns parâmetros.

Os clientes assimilaram o conceito de Cartão Virtual como sinônimo de proteção para os seus cartões nas compras pelo e-commerce.

A Tokenização de Pagamentos

Apesar de introduzir importantes diferenciais de segurança para os emissores, o Cartão Virtual possui alguns inconvenientes: 

  • Não é interoperável em toda a cadeia. Os estabelecimentos comerciais não conseguem distinguir um cartão real de um cartão virtual.
  • Mantém os estabelecimentos comerciais expostos a contestações de compras não reconhecidas
  • Obriga os emissores a utilizar uma quantidade muito maior de números de cartão, em ranges de números que estão chegando aos seus limites (ver BIN de 8 dígitos)
  • Aumenta complexidade do processo de gerenciamento e operação de contas e cartões.
 
Os Tokens de Pagamento substituem com vantagens os Cartões Virtuais, como veremos a seguir.

O Consórcio EMV assumiu a responsabilidade de desenvolver uma tecnologia destinada a proteger os dados do cartão e aumentar a segurança dos  pagamentos para todos os participantes do sistema. 

Em 11 de março de 2014, foi publicada primeira versão do documento The EMV® Payment Tokenization Specifications – Technical Framework 

Desde então, o protocolo tem recebido diversas evoluções e melhoramentos e á adotado pelas principais bandeiras mundiais e por marcas independentes que desejam tokenizar suas contas de pagamento.

Tokenizando

A tokenização dos dados do cartão é um padrão para proteger os dados do cartão e viabilizar a interoperacionalidade em diversos dispositivos e em toda a cadeia de pagamentos.

Os tokens de pagamento são valores gerados para substituir o número do cartão (PAN) no ecossistema de pagamentos. São projetados para assegurar transparência aos participantes do sistema de pagamentos, oferecendo proteção aos dados sensíveis do cartão.

Estas credenciais possuem parâmetros específicos, relacionados o dispositivo ou ao comércio para o qual foram gerados. Estes parâmetros impedem que estas credenciais sejam utilizadas por dispositivos ou estabelecimentos não autorizados.

Sistema de Tokens

Tokenização e a Internet das Coisas

IoT Devices

A tokenização permite a geração de credenciais para dispositivos IoT, como televisores, automóveis, medidores de consumo, entre inúmeras outras oportunidades.

O desenvolvimento da tecnologia expande as fronteiras de uso dos pagamentos digitais para segmentos ainda pouco explorados. Imagine os seguintes cenários:

  • Serviços de TV, streaming e outros são pagos com credenciais carregadas nos dispositivos
  • Abastecimento de veículo tarifado automaticamente, numa troca de informações do veículo com a  bomba de combustíveis ou a torre de energia elétrica.
  • Tarifação de serviços de luz e gás diretamente do leitor, utilizando a credencial cadastrada.
Estes são apenas os exemplos mais óbvios do uso dos tokens nos sistemas de pagamento. Certamente outros ainda mais criativos serão implantados.

Alguns padrões tecnológicos são a base para esta evolução:
  • Evolução da criptografia, permitindo o gerenciamento dinâmico de milhões de chaves criptográficas, a proteção criptográfica de dados sensíveis em tempo real e o uso em massa dos certificados digitais
  • A evolução dos métodos de autenticação de indivíduos, dispositivos e transações, utilizando recursos de análise comportamental e inteligência artificial
  • A confluência de padrões como o EMV, FIDO, W3C, PCI, entre outros, possibilitando um ambiente integrado e interoperável
  • O surgimento de novos padrões como o Matter, uma proposta de integração transparente dos dispostivos no mundo da Internet das Coisas.

Cartão Virtual e Token - Semelhanças

As duas tecnologias têm a mesma fidelidade: proteger os dados do cartão e aumentar a segurança das transações de cartão não presente

Em ambos os casos, a estratégia de proteção é a substituição dos dados do cartão por informações relacionadas à conta original

Cartão Virtual e Token - Diferenças

Enquanto o Cartão Virtual é administrado pelo Emissor e não é visível para os outros participantes, os Tokens de Pagamento são administrados pelas Bandeiras e asseguram a interoperabilidade em todo o sistema.

Um cartão pode estar associado a inúmeros Tokens de Pagamento e a tecnologia permite a atualização automática dos tokens quando o cartão é substituído no vencimento ou por perda/roubo/extravio.

Os estabelecimentos comerciais podem solicitar a geração de um Token para um cliente nas suas transações normais ou para transações recorrentes, como assinaturas de serviços, streaming, entre outras. 

Merchant Token

O importante é a percepção do cliente

O Cartão Virtual teve  o mérito de trazer para os clientes a percepção de que as transações realizadas de maneira remota podem ser seguras.

Esta é uma conquista muito importante.

Mas existe o risco de conflito entre os processos adotados pelos Emissores na gestão dos Cartões Virtuais com os processos da Tokenização, o que poderá gerar falhas nas transações, negativas de autorização desnecessárias e confusões na jornada do cliente.

Cabe agora aos participantes do sistema – Bandeiras, Emissores, Credenciadoras, Lojistas entre outros – reunir as tecnologias de forma a reforçar a segurança dos sistemas de pagamento ao mesmo tempo que a experiência de uso e a comodidade são aprimoradas.

Na nossa opinião, algumas ações são importantes para o Emissor criar uma experiência favorável do cliente na administração dos seus cartões e contas e uso dos cartões virtuais e na integração com a Tokenização, que será uma das bases da evolução dos pagamentos digitais:

  •  Conhecer em detalhes os recursos que os protocolos 3D Secure e Tokenização oferecem para garantir a identidade do comprador e a autenticidade da conta de pagamentos.
  • Elaborar estratégias de implementação considerando os objetivos imediatos e futuros e as estratégias em direção ao Open Finance.
  • Alinhar os processos operacionais envolvendo gestão de contas e cartões, gestão de tokens, autenticação forte do cliente, gestão de processos de fraudes e disputas.

 

Sob o ponto de vista dos estabelecimentos comerciais, a tokenização reduz os riscos associados às invasões e vazamentos de dados e prepara o caminho para novos métodos de Pagamento como SRC (EMV Secure Remote Commerce).