O armazenamento de um Token EMV é um importante instrumento para a proteção de dados sensíveis do cartão, auxiliando os comércios e reduzir o escopo necessário certificação PCI.
As invasões, sequestros e vazamentos de bases de dados têm sido cada vez mais constantes, criando grandes riscos financeiros e de imagem aos estabelecimentos comerciais. Substituir o número do cartão (PAN) por uma credencial (Token) é um método eficaz de proteção.
Mitigando o risco de fraudes
O método denominado “One Click to Buy” é uma forma eficaz e prática para acelerar a experiência do cliente no processo compra em um comércio. Ao criar seu cadastro, o cliente pode registrar os números de cartão preferidos para realizar as transações.
Conforme especificado pelo PCI, para proteger os dados sensíveis, diversos lojistas e sistemas de checkout passaram a utilizar cofres (vaults), criptografando o número do cartão.
Mas nem todos os estabelecimentos utilizaram estes métodos de proteção no ciclo de vida das transações. Invasões de bases de dados foram responsáveis por enormes perdas financeiras e de imagem de estabelecimentos em muitos países. As tendências em relação à segurança dos pagamentos é cada vez mais desvincular a transação financeira dos dados de cartões e contas, passando a utilizar credenciais seguras.
Uma credencial em arquivo
No início do processo, o comerciante informa os dados do cartão e uma série de informações do estabelecimento para solicitar e obter um token de pagamento. O Token de Pagamento é armazenado pelo Comerciante para uso em futuras transações.
Após o provisionamento do token, o comercio pode apagar os dados do cartão, garantindo assim maior proteção contra o uso indevido do PAN.
Cada token gerado possui um conjunto de atributos associado a ele (Restrições de Domínio) que asseguram que ele somente possa ser usado pelo estabelecimento requisitante.
A substituição dos PANs por Tokens de Pagamento:
- Aumenta a segurança dos pagamentos digitais, limitando o risco associado ao uso comprometido, não autorizado ou fraudulento de PANs
- Oferece a capacidade de controlar ou restringir o uso para o uso pretendido, por exemplo, um dispositivo ou outro domínio através dos controles de restrição de domínio de token
- Reduz potencialmente o escopo do ambiente de dados PCI DSS do comerciante
- Minimiza possíveis interrupções devido a eventos de gerenciamento do ciclo de vida do PAN
A experiência do usuário permanece inalterada, selecionando uma credencial de pagamento, associada aos 4 últimos números do cartão, para uso durante uma compra.
Como requisitar uma credencial em arquivo?
Ao receber os dados de um cartão do cliente em tempo de cadastramento ou início e uma compra, o comerciante submete uma requisição a um TSP – Token Service Provider (cada Bandeira opera seu próprio TSP) para obter um token associado ao cartão, que será armazenado e utilizado nas transações futuras. Este token é de uso exclusivo daquele estabelecimento. Esta solicitação é realizada através de uma função denominada Token Requestor-TSP (TR-TSP).
Para autenticar a identidade de um portador, o comerciante poderá submeter um pedido de autenticação, utilizando o protocolo EMV 3D Secure e garantir assim o não repúdio da transação por compra não reconhecida.
A partir de então, as autorizações de compras submetidas utilizarão o token no lugar do PAN do cartão.
Token Requestor TSP (TR-TSP)
A função de requisitar um token para um TSP é executada por um Token Requestor. Esta função precisa ser certificada pela Bandeira.
Quem pode executar a função de TR-TSP?
- Um emissor, ao requisitar tokens que serão embarcados em Wallets, relógios digitais ou outros dispositivos
- Um comércio, para gerar as credenciais que serão utilizadas por ele
- Uma Credenciadora ou Gateway de Pagamentos, como parte dos serviços agregados oferecidos aos comércios afiliados
- Uma entidade independente, certificada para esta finalidade.