July 13, 2017
Daniela
Morais

Tokenização de mobile wallets

Grandes empresas de tecnologia estão expandindo seus negócios cada vez mais além da sua área de atuação. A Apple inovou a indústria musical com o iTunes ao vender músicas e álbuns através de meios digitais quando ninguém cogitou esse modelo de negócio e hoje em dia é comum os serviços de streaming. O mesmo está ocorrendo com o mercado financeiro, as fintechs tentam inovar neste mercado conservador através de bancos digitais e ofertas de cartões de créditos sem anuidade ou por um baixo custo, por exemplo, como o Bradesco Next. As empresas gigantes do Vale do Silício obviamente não estão de fora.

Mobile wallets

Recentemente chegou ao Brasil o Samsung Pay e Apple Pay, apps que permitem realizar pagamentos através do celular. Para isso, é possível adicionar cartões de diferentes bandeiras no app e decidir qual cartão utilizar como se fosse uma carteira. A validação de que você é realmente o dono pode variar de acordo com cada banco, enquanto alguns exigem apenas uma validação de um código enviado por SMS outros podem exigir alguns dados adicionais através de uma ligação para liberar o uso. Após adicionado e validado, basta liberar com sua digital e aproximar o celular das máquinas de cartão (também conhecidas como *POS*):

Note que tecnologias como NFC e contactless são responsáveis por transmitir as informações do cartão ao POS, todo o processo de validar pelo sistema da bandeira responsável até chegar ao banco ocorre normalmente como se fosse um cartão normal. A grande dificuldade é que atualmente há poucos POS com suporte a essas tecnologias e para isso surgiu o MST: Uma tecnologia que usa um sinal magnético para simular o ato de passar um cartão em POS mais antigos.Ainda há muito receio com o uso de Internet Banking e imagine informar dados de seus  cartões para um app que irá guardar para utilizar offline, afinal é seguro? E se o celular for roubado?

Tarja magnética vs. chip

A substituição dos cartões de tarjas magnéticas por cartões com chips não os torna 100% seguros, o chip dificulta a clonagem destes cartões mas ao passar seu cartão em um POS, dados como o seu PAN (número de 16 dígitos que é impresso no cartão) é trafegado pela rede livremente e ainda pode ser interceptado.

Tokenização de mobile wallets

Além disso, muitos sites armazenam dados de cartões sem nenhuma preocupação com segurança e qualquer vulnerabilidade pode expor seu cartão a rede.

Como funciona Tokenização de mobile wallets

Mobile wallets utilizam a tokenização de cartões. Tokenizar um cartão é substituir o PAN original por um PAN digital, somente os chamados Token Service Providers (TSPs) sabem gerar tokens e gerenciar seu ciclo enquanto os Issuers são responsáveis por autorizar transações para aquele token.Por exemplo, supondo que temos os seguintes dados:

**PAN**: 1234 1234 1234 1234**CVV**: 123**Data de expiração**: 12/34

Uma possível tokenização para esse cartão poderia ser:

**PAN**: 4321 4321 4321 4321**CVV**: 321**Data de expiração**: 12/17

Note que não é possível diferenciar se o cartão está tokenizado ou não, já que possui o mesmo formato de um cartão normal. Apenas os sistemas internos possuem a referência para o PAN original, o qual não é trafegado pela rede (a mobile wallet transmite o token para o POS e somente ele é trafegado).A grande vantagem de utilizar tokens é poder revogá-los facilmente e especificar configurações, por exemplo, um token pode ser configurado para ser utilizado somente pela Samsung Pay em pagamentos da assinatura mensal do Spotify durante 6 meses. Caso esse token seja interceptado e utilizado de má fé por um Android Pay para um pagamento em qualquer loja, terá o pagamento negado. O seu período de expiração não possui uma relação direta com o cartão real, caso tenha expirado basta apenas gerar um novo. Além disso, há opção de que para cada transação exigir um novo token (uso único).Caso o seu celular tenha sido roubado basta revogar os tokens por outro meio. E se for o roubo do cartão real, basta bloqueá-lo e os tokens serão revogados.Resumindo: Pagar com o seu celular é mais seguro do que pagar com o cartão!

Cartões virtuais

Alguns bancos no Brasil já usam um conceito semelhante, somente para compras online é gerado uma **única** vez um PAN digital e o CVV (dígitos atrás do cartão) são os únicos dados que alteram. Ao contrário da tokenização, a qual pode gerar inúmeros PANs digitais diferentes e especificar o seu uso.

Vantagens de segurança de tokenização de mobile wallets

Showcases

As principais bandeiras possuem disponíveis as APIs para tokenização para que qualquer desenvolvedor possa oferecer meios de pagamentos seguros no seu app.Visa Token Servicehttps://developer.visa.com/products/vts/guidesAmex Token Servicehttps://developer.americanexpress.com/products/amex-token-service/overviewMastercard Digital Enablement Servicehttps://developer.mastercard.com/product/mdesAlém das mobile wallets, o Visa Checkout já realiza tokenização quando possível e é bastante utilizado em apps no Brasil como iFood.

APIs para tokenização de mobile wallets

Dispositivos IoT

Ainda falando em Visa, recentemente foi anunciado uma parceria com a IBM para conectar dispositivos IoT e pagamentos tokenizados e tornar nossa vida cada vez mais prática.

This is no longer the stuff of science-fiction. Today, a vast, evolving ecosystem of connected devices is already revolutionizing commerce. Known as the Internet of Things, this expanding universe of interoperable devices is making payments possible in everything from connected cars and wearables to smart homes and cities.

Referências e leituras sugeridas

* How tokens are used* Decoupled Tokenization: Right Solution for Wearable Devices?* Is Apple Pay Tokenization Really the EMVCo Standard?* Visa Ready and IoT Payments* The 10 burning questions on Tokenization: A Set of Answers* What is tokenization?* Where Are We With EMVCo Tokenization Today?* App Santander Way: Para realizar pagamentos com mais segurança

Obrigado pela leitura!

Voltar ao arquivo