O Consórcio EMV desenvolveu as especificações para a tokenização de cartões para evitar o uso indevido, a falsificação e outros tipos de fraudes nas transações de pagamento. Tokens são valores criptográficos que substituem o número do cartão (PAN) durante as transações sejam elas presenciais ou não presenciais como o uso de cartões em arquivo (Card on File) e realizadas a partir de diversos dispositivos como APPs, Smatphones, Tags, dispositvos IoT etc.

Tokenização EMV Contactless
Tokenização EMV IoT

Os tokens de pagamento podem ser usados ​​com os métodos de verificação de portador de cartão (CVMs) para aplicativos baseados em EMV. Os métodos de verificação do portador (CVMs) podem incluir assinatura, PIN, Dispositivo de Consumidor CVM (CD-CVM) ou nenhum CVM. Os requisitos da CVM são definidos considerando as características do token e da transação realizada.
Um token é um instrumento de proteção aprimorado quando é utilizado em associação a um domínio específico, como um comerciante, um dispositivo do portador ou modo de apresentação de token (canal). Diversos controles complementares podem ser utilizados de acordo com cada modo de uso.

Os tokens EMV oferecem importantes benefícios para todos os participantes do sistema:

  • Os emissores estendem os recursos de segurança EMV para além do cartão com chip tradicional e podem contar com segurança aprimorada nas transações NFC contactless, nas compras realizadas com cartões tokenizados para estabelecimentos e oferecem maior comodidade para os clientes.
  • Lojistas que utilizam cartões cadastrados eliminar os riscos e vazamentos e invasões, visto o PAN não é armazenado e o token específico só pode ser utilizado por aquele estabelecimento.
  • Os consumidores passam a contar com instrumentos mais práticos e conveniente sede uso, em linha com a adoção crescente dos meios digitais de pagamentos.

Com o aumento do uso dos tokens, os titulares de cartão terão diversos tokens associados ao mesmo cartão, registrados nas lojas onde costumar realizar transações, nos diversos dispostos que utiliza e até mesmo em dispositivos IOT como televisores e até geladeiras (Samsung Pay & Bixby) uma vez que cada token pode ter seus próprios controles exclusivos para seu ambiente, dispositivo de consumidor ou solicitador de token.

Segundo pesquisa citada pela Visa em Fórum realizado em 2019, 36% dos cidadão dos USA possuem pelo menos 3 dispositivos associados a eles:

Dispositivos por pessoa

Isso significa que as entidades da comunidade de aceitação podem executar ou processar transações com vários Tokens de pagamento para o mesmo PAN, sem estabelecer um relacionamento o entre essas transações ou aquelas realizadas e o cartão real.

A figura abaixo mostra de maneira esquemática o processo de tokenização de um cartão.

O portador do cartão inicia o registro do seu cartão, utilizando uma carteira digital (Wallet) ou realizando o cadastro em um estabelecimento comercial.

Um provedor de serviços de tokenização, iniciado por uma Wallet ou por um estabelecimento comercial, envia à Bandeira (marca do cartão), uma solicitação de tokenização.

A Bandeira informa ao emissor do cartão que existe uma solicitação de geração de token para o PAN indicado.

O Emissor executará verificações para saber se aquele PAN pode ou não ser tokenizado e executará processos para confirmar a identidade do portador do cartão e a autenticidade da requisição.

Em caso de identificação positiva, informará para a Bandeira que concorda com a tokenização.

A partir da confirmação do Emissor, a Bandeira fará a geração do token solicitado e registrará as informações de associação do cartão ao token gerado.

O token gerado é enviado ao requisitante. Se a requisição foi gerada por uma Wallet, token será armazenado de forma segura para a realização dos pagamentos. Se a requisição foi gerada por um estabelecimento, este registrará os dados do token para as transações futuras do cliente, incluindo as transações recorrentes.