Честно говоря, мы не знаем, кто и когда первым придумал то, что поставщики платежных услуг и интернет-торговцы сейчас называют словом «токен», когда речь заходит о приеме к оплате банковских платежных карт через интернет, используя платформу того или иного агрегатора платежей. Но мы уверены, что задача, которая была поставлена перед этим человеком или возможно перед группой лиц, могла бы быть сформулирована примерно так:

Токенизация в платформе агрегатора платежей

«Найти способ, предоставляющий интернет-торговцам возможность самостоятельно списывать произвольные суммы с банковских платежных карт

своих покупателей, не прося последних о повторном вводе номера карты и прочей информации о ней всякий раз, когда возникает необходимость.»

Мы даже можем себе представить приблизительный ход мыслей, которые в итоге привели к элегантному решению поставленной задачи:

«Для того, что бы инициировать платежную транзакцию по банковской платежной карте необходимо как минимум знать ее номер и дату окончания действия (expiration date).

Эти данные покупатель сам вводит на платежной странице интернет-магазина при первой оплате. Для того чтобы инициировать второй и последующие платежи по этой же карте в этом же интернет-магазине без повторного ввода номера карты, данные карты, введенные покупателем для проведения первой транзакции, необходимо где-то сохранить. Но где?

Хранить такую конфиденциальную и высокочувствительную к компрометации информацию на стороне интернет-магазина нельзя, если только он не сертифицирован по стандарту PCI DSS. А 99% интернет-торговцев об этом стандарте никогда и ничего не слышали.

Значит, хранить карточные данные покупателя можно только на стороне поставщика платежных услуг, к которому подключен интернет-магазин. Тогда нужно придумать какой-то способ, позволяющий интернет-торговцу использовать эти данные не имея прямого доступа к ним.

А что если создать некую замену номеру карты и прочей конфиденциальной информации о ней, которую интернет-магазин может держать у себя без каких-либо опасений? Потому что использовать эту замену можно только в этом интернет-магазине, и получение несанкционированного доступа к ней никогда не приведет к раскрытию актуальной информации о самой банковской платежной карте?»

Вот так или примерно так и был придуман токен — псевдослучайная уникальная последовательность символов определенной длины, которая привязывается к конкретному набору карточных данных, хранящихся в безопасном месте у поставщика платежных услуг, и используется интернет-магазином как ключ, инициирующий платежную транзакцию с их участием.

Один токен связан только с одной банковской картой.

Как выдается токен в системе агрегатора платежей

Классическая схема создания, получения и использования токена выглядит следующим образом:

  1. После того, как покупатель ввел информацию о своей банковской карте на платежной странице интернет-магазина, предоставленной поставщиком платежных услуг, и нажал кнопку «Оплатить», карточные данные покупателя сохраняются в процессинговой системе платежного сервиса.
  1. А в интернет-магазин вместе с результатом транзакции возвращается токен платежной карты, которая в ней участвовала.
  1. Этот токен интернет-магазин может сохранить, а может проигнорировать. В любом случае, не зависимо от того, нужен он или нет, процессинговая система поставщика платежных услуг создает и отдает интернет-торговцу токен карты при обработке каждой платежной транзакции.
  1. Если интернет-магазин сохранит полученный токен и свяжет его с конкретным покупателем, для чьей карты он был выдан, то в следующий раз, когда интернет-торговцу потребуется получить деньги от этого клиента, ему достаточно будет всего лишь отправить своему поставщику платежных услуг соответствующий транзакционный запрос с указанием суммы и токена карты, с которой эту сумму нужно списать.
  1. Процессинговая система поставщика платежных услуг заменит токен на связанные с ним карточные данные и продолжит обработку транзакции точно так же, как если бы вместо токена были присланы реквизиты банковской карты, введенные самим покупателем.

Безопасность токена

Токен — это всего лишь набор букв и цифр, который имеет смысл только для процессинговой системы поставщика платежных услуг, которая его сгенерировала, и только при условии, что он используется в транзакционном запросе от того интернет-торговца, которому он был выдан. Поэтому, его можно хранить в открытом виде где угодно.

Для злоумышленников токен не представляет никакой ценности, поскольку не дает возможности получить номер банковской платежной карты, с которой он ассоциирован.

Типичная сфера использования токена платежной карты в электронной коммерции — это организация приема карточных платежей от клиентов и покупателей в один клик и прием регулярно повторяющихся платежей.

Интернет-торговцы давно осознали всю пользу, преимущества и возможности, которые они могут получить от использования токена платежной карты. И потому, если ваша компания является поставщиком платежных услуг и помогает онлайн-бизнесу принимать платежи через интернет, то токенизация, — то есть замена карточных данных на токен и возможность его использования, — это то, что ваша процессинговая система обязательно должна уметь делать, если вы позиционируете себя, как современный платежный сервис.

Со своей стороны команда eComCharge, разработчик SaaS платформы beGateway для поставщиков платежных услуг, прекрасно понимает ваше стремление шагать в ногу с техническим прогрессом и предлагать своим интернет-торговцам максимальные возможности по приему платежей через интернет. Арендовав платформу beGateway, чтобы получить полнофункциональную, многоканальную, PCI DSS Level 1 сертифицированную систему для приема и обработки интернет-платежей, вы сможете предложить своим клиентам не только токенизацию (кстати говоря, платформа beGateway позволяет интернет-торговцам получать токен платежной карты даже без совершения первого платежа), но и множество других полезных и нужных опций, связанных с приемом денег от покупателей вашими интернет-торговцами.

C уважением,

Команда eComCharge

Вот уже более 10 лет разрабатываем и обслуживаем процессинговые системы и инфраструктуры для приема и обработки онлайн-платежей для банков-эквайеров и поставщиков платежных услуг (Payment Service Providers) из стран Европейского Союза и СНГ.