O uso de token EMV para a proteção do número do cartão em arquivos é um dos mais interessantes casos de uso. A invasão de bases de dados de estabelecimentos é uma das principais ameaças aos sistemas de pagamento.
Risco de fraudes
O método denominado “One Click to Buy” é uma forma eficaz e prática para acelerar a experiência do cliente no processo compra em um comércio. Ao criar seu cadastro, o cliente pode registrar os números de cartão prefiridos para realizar as transações.
Conforme especificado pelo PCI, para proteger os dados sensíveis, diversos lojistas e sistemas de checkout passaram a utilizar cofres (vaults), criptografando o número do cartão.
Mas nem todos os estabelecimentos utilizaram estes métodos de proteção no ciclo de vida das transações. Invasões de bases de dados foram responsáveis por enormes perdas financeiras e de imagem de estabelecimentos em muitos países. As tendências em relação à segurança dos pagamentos é cada vez mais desvincular a transação financeira dos dados de cartões e contas, passando a utilizar credenciais seguras.
Token EMV – cartão em arquivo
Na tokenização, titular do cartão fornece ao comerciante os detalhes da credencial de pagamento que o comerciante usa para solicitar e obter um token de pagamento. O Token de Pagamento é armazenado pelo Comerciante para uso nas transações. O titular do cartão seleciona uma credencial de pagamento e o comerciante usa o token de pagamento afiliado para o processamento do token.
A substituição dos PANs por Tokens de Pagamento:
- Aumenta a segurança dos pagamentos digitais, limitando o risco associado ao uso comprometido, não autorizado ou fraudulento de PANs
- Oferece a capacidade de controlar ou restringir o uso para o uso pretendido, por exemplo, um dispositivo ou outro domínio através dos controles de restrição de domínio de token
- Reduz potencialmente o escopo do ambiente de dados do titular do cartão PCI DSS (CDE) de um comerciante
- Minimiza possíveis interrupções devido a eventos de gerenciamento do ciclo de vida do PAN
A experiência do usuário, de forma geral, permanece inalterada, selecionando uma credencial de pagamento para uso durante a finalização da compra. Uma vez selecionado, o comerciante (solicitante do token) usa o token de pagamento associado à credencial de pagamento em vez do PAN.
Como requisitar um token EMV para cartão em arquivo?
Ao receber os dados de um cartão do cliente em tempo de cadastramento, o comerciante aciona num Token Service Provider (TSP) para obter um token associado ao cartão, que será armazenado e utilizado nas transações futuras. este token é de uso exclusivo daquele estabelecimento.
A seu critério, o comerciante poderá submeter um pedido de autenticação do portador do cartão, utilizando o protocolo EMV 3D Secure, para garantir que o cartão submetido ao cadastro seja de fato do portador.
A partir de então, as autorizações de compras submetidas utilizarão o token no lugar do PAN do cartão.