Tokens para cartões em arquivo

Utilizar tokens para armazenar cartões em arquivos traz mais segurança aos comerciantes,
emissores e clientes, reduzindo fraudes e o abandono de transações.

Transações não presenciais são cada vez mais comuns. Transações de e-commerce, mobile commerce, pagamentos recorrentes e agora também transações geradas por dispositivos IoT como televisores e até automóveis.

Nesse contexto, manter o número do cartão armazenado em um arquivo, por mais protegido que esteja, é sem pre um grande risco. Para combater esse aumento na fraude de CNP, os comerciantes têm à disposição tecnologias, como 3D Secure, serviços de validação, análise de dados históricos, monitoramento e análise em tempo real.

Porém, a redução do volume de fraudes pode trazer como efeito colateral o aumento de abandonos e negativas, que significa frustração do cliente e perda de oportunidade para o lojista e para o emissor.

Para reduzir o volume de abandonos e ao mesmo tempo reforçar a segurança das transações de cartão não presente, a utilização de uma credencial (token EMV) é uma excelente solução. Neste caso, o comerciante armazena apenas tokens de pagamento em seu banco de dados, em vez do número real do cartão.

Isso oferece vários benefícios de segurança ao sistema de pagamentos, reduzindo o risco e mitigando o impacto de malware, ataques de phishing e violações de dados. Mas a tokenização EMV para cartões em arquivo significa muito mais do que simplesmente aumentar a segurança. Ele pode aumentar significativamente a conveniência para os consumidores e criar eficiência para os comerciantes.

Os sistemas de tokenização de cartão em arquivo permitem que os detalhes de pagamento do consumidor sejam atualizados instantaneamente quando um cartão é perdido, roubado ou o vencimento expira. Isso significa que não há necessidade do consumidor fazer login em uma conta de compras online para atualizar seus dados, ou perder uma assinatura devido ao uso de credenciais de cartão desatualizadas.

Os comerciantes também podem se beneficiar de maior conveniência. Por exemplo, ajuda a reduzir a carga regulatória, os esforços e os custos associados à garantia de conformidade com PCI DSS para proteger os números de cartão.

Como funcionam os tokens para cartões em arquivo?

O padrão de tokenização EMVCo suporta o processo no qual um estabelecimento comercial solicita um token para um determinado número de cartão, que passa a ser usado em todas as transações realizadas.

A premissa para o uso tokens para cartões em arquivo é que o Emissor suporte a tokenização EMV dos seus cartões. Muitos emissores brasileiros já suportam a tokenização, utilizando Apple Pay, Samsung pay, Google Pay e até a wallets proprietárias ou White Label.

Quando um portador executa o registro do seu número de cartão em um cadastro do lojista ou quando digita o número do cartão no checkout, a loja pode solicitar o provisionamento de um token.

O  provisionamento e a autoruização acontecem conforme os desenhos básicos apresentados abaixo. A ilustração utilizada foi produzida pelo AMEX, mas em síntese o processo é o mesmo para todas as Bandeiras.

Provisionamento

Provisionamento de tokens

O comércio recebe os dados do cartão do cliente e solicita ao emissor uma autorização para a criação de um token para seu uso. Todo o processo é intermediado pela bandeira.

Com a autorização do emissor, a bandeiraa gera um token associado ao comércio solcitante e o envia ao comércio.

O comércio armazena o token associado ao cliente e passa a utilizá-lo nas próximas transações.

Autorização

Autorização com tokens

Ao gerar o pedido de autorização de uma compra ou pagamento, o lojista insere na mensagem o número do token, conforme a imagem acima.

Na bandeira, o token é substituído pelo número do cartão e enviado ao autorizador do Emissor.

A Bandeira realiza a validação do token para assegurar que ele está associado ao estabelecimento comercial.

 

Como acelerar a proteção dos cartões em arquivo?

Existem estabelecimentos comerciais que possuem em seus arquivos milhares ou até milhões de dados de cartões.

É possível reduzir os riscos inerentes à guarda dos dados do cartão?

As Bandeiras incentivam os lojistas a executar rotinas de substituição em massa dos cartões por tokens. Para isso, criaram processos em batch, denominados bulk files. Mas os comércios também podem criar rotinas específicas de requisição online de lotes de cartões, utilizando os procedimentos de solicitação de tokens existentes.

Algumas recomendações importantes na execução da solicitação de tokens de forma massiva:

  1. Promover a limpeza da base, eliminando cartões vencidos, que os clientes não realizaram compras recentes
  2. Para cartões vencidos, executar ação de contato com o cliente, incentivando-o a revisar seus dados cadastrais e durante esta atividade, solicitar que ele atualize os dados do cartão
  3. Não criar grandes lotes com cartões do mesmo emissor, para evitar sobrecarga nos serviços de provisionamento que ocasionem redução na performance do emissor
  4. Avisar às bandeiras com antecedência para que possam comunicar e evento aos emissores, evitando alertas sobre possíveis fraudes
  5. Caso o estabelecimento comercial possua algum relacionamento de parceria com um ou mais emissores, elaborar um projeto conjunto, de forma a garantir os melhores resultados. Caso o emissor já possuam procedimentos de Push Provisioning, combinar ações para os clientes comuns.

E quando o emissor ainda não implantou a tokenização?

A base de cartões tokenizáveis tem crescido rapidamente, mas nem todo os emissores estão preparados para responder a pedidos de tokenização originados nos comércios. E ainda existem emissores que não conseguem responder aos pedidos e autorizar a primeira transação tokenizada em tempo real.

Portanto, os lojistas precisam manter um processo próprio e seguro de guarda dos dados cartão nesta etapa de transiçã0, 

Isso é possível gerando tokens FPE para armazenar em suas bases de dados e desta forma, manter a conformidade com os requisitos de segurança.

 

Quer saber como funciona a tokenização de cartões em arquivo?

 

Quer conhecer métodos práticos de implantar a tokenização FPE?

 

Podemos ajudá-lo a implantar este métodos práticos de segurança nas transações digitais.

 

Criptografia FPE

A base de cartões tokenizáveis tem crescido rapidamente, mas nem todo os emissores estão preparados para responder a pedidos de tokenização originados nos comércios. E ainda existem emissores que não conseguem responder aos pedidos e autorizar a primeira transação tokenizada em tempo real.

Portanto, os lojistas precisam manter um processo próprio e seguro de guarda dos dados cartão nesta etapa de transiçã0, gerando tokens FPE para armazenar em suas bases de dados e desta forma, manter a conformidade com os requisitos de segurança.

 

 

Quer saber como funciona a tokenização de cartões em arquivo?

 

 

Quer conhecer métodos práticos de implantar a tokenização FPE?

 

 

Podemos ajudá-lo a implantar este métodos práticos de segurança nas transações digitais.

 

Utilizar tokens para armazenar cartões em arquivos traz mais segurança aos comerciantes, emissores e clientes.

Tokens para cartões em arquivo

Transações não presenciais são cada vez mais comuns. Transações de e-commerce, mobile commerce, pagamentos recorrentes e agora também transações geradas por dispositivos IoT como televisores e até automóveis.

Nesse contexto, manter o número do cartão armazenado em um arquivo, por mais protegido que esteja, é sem pre um grande risco. Para combater esse aumento na fraude de CNP, os comerciantes têm à disposição tecnologias, como 3-D Secure, serviços de validação, análise de dados históricos, monitoramento e análise em tempo real.

Porém, a redução do volume de fraudes pode trazer como efeito colateral o amuleto de abandonos e negativas, que significa frustração do cliente e perda de oportunidade para o lojista e para o emissor.

Para reduzir o volume de abandonos e ao mesmo tempo reforçar a segurança das transações de cartão não presente, a utilização de uma credencial (token EMV) é uma excelente solução. Neste caso, o comerciante armazena apenas tokens de pagamento em seu banco de dados, em vez do número real do cartão.

Isso oferece vários benefícios de segurança ao sistema de pagamentos, reduzindo o risco e mitigando o impacto de malware, ataques de phishing e violações de dados. Mas a tokenização EMV para cartões em arquivo significa muito mais do que simplesmente aumentar a segurança. Ele pode aumentar significativamente a conveniência para os consumidores e criar eficiência para os comerciantes.

Os sistemas de tokenização de cartão em arquivo permitem que os detalhes de pagamento do consumidor sejam atualizados instantaneamente quando um cartão é perdido, roubado ou o vencimento expira. Isso significa que não há necessidade do consumidor fazer login em uma conta de compras online para atualizar seus dados, ou perder uma assinatura devido ao uso de credenciais de cartão desatualizadas.

Os comerciantes também podem se beneficiar de maior conveniência. Por exemplo, ajuda a reduzir a carga regulatória, os esforços e os custos associados à garantia de conformidade com PCI DSS para proteger os números de cartão.

O padrão de tokenização EMVCo suporta o processo no qual um estabelecimento comercial solicita um token para um determinado número de cartão, que passa a ser usado em todas as transações realizadas.

A premissa para o uso tokens para cartões em arquivo é que o Emissor suporte a tokenização EMV dos seus cartões. Muitos emissores brasileiros já suportam a tokenização, utilizando Apple Pay, Samsung pay, Google Pay e até a wallets proprietárias ou White Label.

Quando um portador executa o registro do seu número de cartão em um cadastro do lojista ou quando digita o número do cartão no checkout, a loja pode solicitar o provisionamento de um token.

Os processos de provisionamento e autorização acontecem conforme os desenhos básico apresentados abaixo. A ilustração utilizada foi produzida pelo AMEX, mas em síntese o processo é o mesmo para todas as Bandeiras.

Provisionamento de tokens para cartões em arquivo

Ao gerar o pedido de autorização de uma compra ou pagamento, o lojista insere na mensagem o número do token, conforme a imagem abaixo. Na bandeira, o token é subsitutído pelo número do cartão e enviado ao autorizador do Emissor. A Bandeira realiza a validação do token associado ao estabelecimento comercial.

Autorização com tokens

A Mastercard criou o MDES para Comerciantes (denominado M4M). O M4M permite um ecossistema de pagamento mais seguro, inspirando a confiança dos consumidores e aumentando o volume de transações nos canais digitais para oferecer maior receita para os comerciantes.

Como nem todos os emissores já implantaram a tokenização em seus portfólios, os lojistas precisam manter um processo alternativo, gerando tokens FPE para armazenar em suas bases de dados e desta forma, manter a conformidade com os requisitos de segurança.

Podemos ajudá-lo a implantar este métodos práticos de segurança nas transações digitais.