NFC Эксперт ▪ 2020 год
Реализуется целый ряд проектов внедрения бесконтактной технологии MasterCard на транспорте. Масштабный проект в январе стартовал в метрополитене Санкт-Петербурга: оплатить проезд в одно касание можно на всех станциях прямо на турникетах. В Москве и северной столице появились и наземные маршруты — бесконтактными ридерами оборудованы автобусы и трамваи.
Технология MasterCard за счёт простоты использования и возможности интеграции с множеством носимых устройств приобретает всё большую известность и популярность. К 2020 году поддержка бесконтактной оплаты станет стандартом MasterCard для европейских сервисных и торговых предприятий, потребители получат возможность расплачиваться бесконтактными картами и устройствами на всех POS-терминалах в Европе.
Mastercard mobile paypass – причём здесь nfc
Практически каждый из нас хоть раз да использовал технологии ИК-порта и Bluetooth, например, передавая на институтской лекции музыку с телефона на телефон или, если помасштабнее, разворачивая сеть передачи данных в рамках какого-нибудь мероприятия, проходящего в закрытом пространстве, с помощью технологии Bluetooth low energy.
Многие уже знакомы ещё с одной технологией ближней связи — NFC (near field communication, ближняя бесконтактная связь). Это технология беспроводной высокочастотной связи, которая позволяет обмениваться данными устройствам на совсем маленьком расстоянии около 10 см (сравните с Bluetooth — до 10 м). NFC широко используется в платежах, системах контроля доступа, браслетах пропуска на мероприятия и проч. Сегодня эта технология получает распространение в смартфонах, телевизорах, в туристической отрасли.
NFC сыграла ключевую роль в развитии бесконтактных платежей. Технология легла в основу бесконтактной оплаты. Это обусловлено тем, что NFC надёжна и проста в разворачивании. Бесконтактные чипы NFC обеспечивают хранение и обмен данными со специальными считывающими устройствами, например, валидаторами на турникетах или POS-терминалами на кассах магазинов.
Бесконтактная технология оплаты MasterCard – это частный случай использования NFC. Подробности смотрите в инфографике:
Важнейшая особенность, делающая NFC бесценной технологией для использования в мобильных бесконтактных транзакциях, — минимальное время установления соединения, менее секунды. То есть достаточно поднести устройство с NFC-чипом к платёжному терминалу и оплата будет совершена практически мгновенно.
NFC-чип может быть установлен в любые устройства: от банковских карт и мобильных устройств до наручных часов и смартфонов.
Преимущества MasterCard Mobile PayPass очевидны:
- Удобство хранения, ношения и применения. Достаточно прикоснуться устройством MasterCard PayPass к считывающему терминалу на кассе и покупка оплачивается. Если сумма покупки не превышает 1000 рублей, не нужно
вводить ПИН-код или подписывать чек. - Безопасность платежей за счёт небольшого расстояния связи и максимальной скорости соединения: для перехвата данных и взлома мошенникам нужно приложить невероятные усилия.
- Деньги за одну покупку не спишутся дважды: после того, как первая оплата прошла, терминал на кассе подает звуковой сигнал и отключается.
- Скорость покупки — мгновенное соединение и обмен данными значительно экономят время на оплату товаров и услуг.
- Широкое использование в сервисных терминалах (в автобусах, метро, социальных картах и проч.) позволяет пользователям удобно и быстро оплачивать услуги.
- Распространённость, простота внедрения и поддержка многими устройствами технологии NFC позволяет быстро расширять сферы применения технологии MasterCard PayPass и создавать удобные точки платежей в
магазинах, кафе, на заправках, в кинотеатрах и т.д.
Благодаря сочетанию уникальных технологий, MasterCard PayPass может сделать платёжным средством практически любой предмет, какой вам удобно.
Преимущества бесконтактных платежей
- Удобство. Оплата осуществляется в одно касание. Необходимо только проверить корректность суммы платежа на экране.
- Скорость. Оплата происходит почти мгновенно, а подписывать чек или вводить пин-код не потребуется, если сумма платежа будет в пределах установленных платежной системой или банком лимитов для таких платежей.
- Безопасность. Отсутствует необходимость передачи платежной карты продавцу при совершении операций бесконтактной оплаты. Денежные средства не могут списаться дважды за одну покупку, потому что после проведения операции на терминале он отключается. Обеспечивается дополнительная защита со стороны платежных приложений, не передающих данные карт получателям платежа.
Поддержка бесконтактной оплаты еще не распространена повсеместно, однако инфраструктура стремительно развивается. Скоро эта технология станет стандартом для терминалов предприятий торговли и сервиса.
Телефон и кошелёк
Смартфоны в современном обществе давно перестали быть средством коммуникации: теперь это интернет, книги, музыка, работа, учёба, карты и навигация, фото и почта, которые всегда с собой. Человек может забыть пластиковую карту, кошелёк, очки и ключи, но наличие телефона в кармане он перед выходом проверит несколько раз — ведь без него, как без рук.
Разумеется, решение сделать смартфон еще и платёжным средством было очевидным. Тем более, что технология NFC чрезвычайно удобна для использования в мобильных устройствах и в мире есть множество смартфонов и планшетов с NFC «на борту». Как именно ваш смартфон превращается в платежный инструмент можно узнать на сайте.
В течение буквально последнего года бесконтактная технология MasterCard появилась в смартфонах с поддержкой ряда платёжных платформ.
▪ Apple Pay — платёжная система, интегрированная в устройства Apple и представленная 9 сентября 2020 года. Владельцы устройств Apple могут использовать кредитные и дебетовые карты MasterCard напрямую через Apple Pay. В магазине для подтверждения оплаты достаточно поднести iPhone к бесконтактному считывающему устройству платежного терминала и одновременно коснуться пальцем сканера Touch ID (шаг к биометрической идентификации). Безопасность обеспечивается стандартом EMV (Europay, MasterCard, Visa) и использованием платформы MDES (MasterCard Digital Enablement Service).
▪ Samsung Pay. Держатели карт MasterCard могут использовать свои смартфоны (флагманские модели, например, Samsung Galaxy S6) в качестве мобильного платёжного устройства. Безопасность и удобство платежей обеспечивается механизмом токенизации, использованием платформы MDES, а также криптографическим алгоритмом EMV.
▪ Android Pay анонсиован и ещё готовится к релизу, однако уже сейчас реализована связка Android Pay и MasterCard PayPass, основанная на всё том же механизме токенизации. Настоящий номер карты пользователя не передаётся, поэтому потребителю обеспечивается дополнительный уровень безопасности. Решение вскоре будет доступно для пользователей устройств с Android KitKat и выше.
▪ «Кошелёк». В России развивается проект, связанный с технологией MasterCard и мобильными платежами. В 2020 году MasterCard и CardsMobile представили новые возможности мобильного приложения «Кошелёк». «Кошелёк» доступен для скачивания на более чем 100 моделях телефонов за счет облачной NFC-технологии.
Мобильное приложение «Кошелёк» позволяет владельцам совместимых Android-смартфонов выпускать, безопасно хранить и использовать непосредственно в приложении мобильные банковские карты MasterCard PayPass для платежей в онлайн- и офлайн-магазинах, транспортные карты для оплаты проезда в общественном транспорте и электронные купоны на скидку. В процессе оплаты пользователю нужно только приложить свой смартфон с установленным приложением «Кошелёк» к бесконтактному платежному терминалу.
Удобство или риск: вся правда о бесконтактных платежах
1
Для чего вообще придумали бесконтактные платежи?
В первую очередь — для удобства плательщика и реализации мобильных платежей. Высокая скорость обмена данными карты и терминала через радиоинтерфейс, а также отсутствие необходимости вставлять карту в ридер терминала позволяют реализовать удобный для держателя карты режим «дотронулся и пошел» (tap {amp}amp; go). Также платежи размером ниже определенного лимита не требуют проведения верификации держателя карты (например, ввода ПИН-кода), что тоже удобно и ускоряет выполнение операции. Ну и возможно, самое главное: без бесконтактных платежей не реализовать мобильные платежи — телефон ведь в ридер терминала не вставишь.
Напомним, лимит на сумму покупки без верификации держателя карты (например, ввода ПИНа) зависит от правил платежной системы, на базе которой выпущена карта. Например, по картам «Мир» он составляет до 1 тыс. рублей, по Visa — до 3 тыс. Поскольку карта и терминал взаимодействуют бесконтактным способом, минимизирована возможность физического повреждения карты. Поэтому такие карты можно выпускать с увеличенным сроком действия.
2
Что происходит между картой и терминалом при бесконтактной оплате?
«Когда мы прикладываем карту к терминалу на расстояние до четырех сантиметров, карта попадает в переменное магнитное поле терминала, и в ней, по закону Фарадея, возникает индукционный ток. Меняя напряженность магнитного поля терминала, можно передавать сигналы, кодирующие команды, направляемые карте. Наоборот, используя нагрузочную модуляцию на стороне карты, можно менять напряженность поля на терминале. В результате меняется напряжение на антенне ридера. Таким способом с карты передаются ответы на команды терминала. Кроме того, энергия магнитного поля терминала накапливается в конденсаторе колебательного контура карты и используется чипом карты для реализации логики платежного приложения карты», — рассказывает директор департамента инноваций и главный архитектор НСПК (оператора платежной системы «Мир») Игорь Голдовский.
3
Чем бесконтактный платеж отличается от контактного?
В чипе бесконтактной карты установлено платежное приложение, которое может работать как по контактному, так и по бесконтактному интерфейсу. Карта и терминал до начала выполнения трансакции уже «понимают», через какой интерфейс они будут взаимодействовать. В зависимости от используемого интерфейса трансакция обслуживается по правилам, отвечающим этому интерфейсу. Терминал выбирает соответствующее программное обеспечение на своей стороне, а платежное приложение карты — соответствующий профиль выполнения бесконтактной операции: отдельные лимиты на использование карты, параметры управления рисками, списки верификации держателя карты и тому подобное. Различие между бесконтактной и контактной модами платежного приложения всегда присутствует. Например, в бесконтактных платежах вообще не используется проверка ПИН-офлайн, не читается параметр «имя держателя карты» и так далее.
4
Возможность украсть деньги с карты с помощью фальшивого терминала — она существует?
В разных СМИ время от времени всплывают истории об опасности того, что мошенники с фальшивыми терминалами могут бесконтактным способом похищать у людей деньги с карт. Игорь Голдовский уверен, что мошенникам мало интересен такой способ.
«С расстояния 40—50 сантиметров при определенной модернизации терминала возможно инициировать операцию по бесконтактной карте без авторизации ее держателя. Но важно понимать, что сам терминал, с помощью которого мошенники собираются похищать средства, должен быть зарегистрирован в банке — участнике платежной системы, а сам магазин, к которому приписан терминал, должен иметь счет в банке, — объясняет он. — Без наличия счета мошенники не смогут получить средства, которые якобы заплатили магазину-мошеннику держатели тех бесконтактных карт. Как уже выше отмечалось, размер бесконтактной трансакции без верификации держателя карты ограничен лимитом (в Visa в России он недавно был увеличен до 3 тыс. рублей, во всех остальных системах составляет 1 тыс. рублей. — Прим. ред.). У нас в стране подавляющее большинство трансакций выполняется в онлайновом режиме с авторизацией у банка-эмитента. Поэтому сразу срабатывают процедуры управления рисками на стороне банка — эмитента карты.
Кроме того, даже если бы списание средств произошло таким образом, у мошенника все равно не будет даже возможности получить деньги, ведь терминал, с помощью которого могут совершаться такие попытки мошенничества, как рассказывают в некоторых СМИ, должен быть зарегистрирован за конкретным магазином, который обслуживает конкретный банк».
5
А есть зарегистрированные случаи такого мошенничества?
«Сегодня у мошенников существуют более эффективные с точки зрения их рисков и затрат средства кражи денежных средств, чем бесконтактные карты, — указывает Игорь Голдовский. — Мне лично не известны случаи кражи денег через бесконтактные карты с использованием терминала магазина. Спрашивал у коллег из банков и других платежных систем — никто из них на практике с такой проблемой не сталкивался. Если говорить о фроде, косвенно связанном с бесконтактными картами, то речь в первую очередь может идти о потерянных или украденных картах. Мошенник, в руках которого оказалась такая карта, может ею пользоваться при выполнении операций на суммы, меньшие установленного лимита, до тех пор, пока эмитент не заблокирует такую карту. Поэтому еще раз хочу напомнить о необходимости внимательно относиться к хранению своих банковских карт — контактных и бесконтактных».
6
Все-таки хотелось бы подстраховаться и уберечь бесконтактную карту от даже гипотетических мошенников. Как это сделать?
Повторимся, кража средств через бесконтактный интерфейс мало интересна мошенникам. Но для личного спокойствия можно приобрести специальный чехол для бесконтактных карт, экранирующий внешнее электромагнитное поле. Есть еще более простой способ — хранить все свои бесконтактные карты в обычном портмоне рядом друг с другом. Тогда гипотетический мошеннический терминал, «увидев» в своем магнитном поле больше одной карты, выдаст отказ в проведении операции. Можно, конечно, предположить, что мошенник так поменяет приложение в терминале, что оно обязательно выберет из нескольких карт какую-то одну и будет с ней работать. Но это тоже маловероятно, ведь написать терминальное бесконтактное ядро трудоемко и накладно для злоумышленников.
7
Я хочу платить с помощью телефона. Google Pay, Samsung Pay, Mir Pay и прочие Pay — как это все работает?
Все работает похожим образом, через платежное приложение платежной системы. Просто приложение устанавливается на разных носителях. В случае карты носителем является чип карты, в случае с любым из Pay — специальный кошелек, с которым интегрируются и через который работают платежные приложения различных платежных систем. Кошелек — это некоторое сервисное приложение, обеспечивающее удобный пользовательский интерфейс, выбор платежного приложения для проведения текущей операции, безопасное хранение данных, контроль целостности среды исполнения приложений, работу приложения через различные телекоммуникационные интерфейсы и с операционной средой телефона в целом.
8
Эти платежные приложения как-то отличаются друг от друга?
Платежные приложения для мобильного кошелька и карты разные. У мобильного кошелька есть своя специфика, связанная с его реализацией. Если, например, кошелек реализован на основе встроенного в телефон элемента безопасности, платежное приложение очень напоминает приложение карты. Его использует кошелек Apple Pay. В Samsung многие модели смартфонов поддерживают «Доверительную среду исполнения» (Trusted Execution Environment), что позволяет кошельку Samsung Pay обеспечивать безопасную среду для работающих через него платежных приложений.
«В самом общем случае смартфона, работающего на Android, кошелек пользуется только средствами этой операционной системы (например, Android Key Storage, Host Card Emulation). Их не так много, поэтому платежное приложение должно само обеспечивать свою безопасность, — указывает Игорь Голдовский. — Для этого используется удаленная аттестация телефона на предмет его рутованности и наличия вредоносного ПО, хранение приложения в затрудняющем анализ виде, хранение в приложении ограниченного набора конфиденциальных данных, изменение которых требует реализации специальных процедур с центрального сервера системы, использование специальной реализации криптографических алгоритмов (White Box Cryptography) и т. п. Пример такого мобильного кошелька — Google Pay».
Одним словом, сколько есть Pay, столько платежных приложений платежная система должна иметь.
9
И что тогда лучше выбрать?
Все зависит от модели телефона и платежной системы (платежное приложение платежной системы может быть разработано не для всех мобильных кошельков). Если у вас iPhone, то выбора нет: однозначно может использоваться только кошелек Apple Pay. При этом в нем могут использоваться только карты тех платежных систем, для которых в Apple Pay реализовано их платежное приложение. Если модель смартфона Samsung, то можно выбрать между Samsung Pay, Mir Pay или Google Pay. Если это другой смартфон, работающий на операционной системе Android, — то Google Pay или Mir Pay. В Google Pay и Mir Pay платежные приложения запускаются прямо в процессоре телефона. Поэтому поставщики решений для этих кошельков (соответственно Google и НСПК) делают все необходимое для обеспечения безопасности данных, которые загружаются, обрабатываются и хранятся в платежных приложениях кошелька.
10
А вообще, что безопаснее — платить телефоном или картой?
Все рассмотренные варианты бесконтактных платежей примерно одинаково безопасны: расходы мошенников на реализацию атак несоизмеримы с ожидаемыми от них результатами. Сегодня пользователи для выполнения платежей отдают предпочтение телефону. Можно уверенно говорить о том, что необходимый баланс между безопасностью операции и удобством ее выполнения для мобильных платежей был найден.
11
Сейчас появляются платежные кольца, браслеты, часы, какие-то наклейки — есть ли в этом смысл?
Многие эксперты платежного рынка считают, что у носимых устройств (wearables) — колец, браслетов, часов, брелоков, активных наклеек / стикеров и т. д. — хорошее будущее. В первую очередь они безопасны потому, что в основе их архитектуры лежит элемент безопасности, операционная среда носимого устройства поддерживает ограниченный набор приложений, и вредоносное ПО на них поместить непросто. Устройства взаимодействуют с внешним миром через ограниченный набор интерфейсов (как правило, лишь NFC, к которому иногда добавляется BLE), и, наконец, некоторые устройства имеют биометрический сенсор для захвата отпечатка пальца, позволяющий верифицировать пользователя.
12
А в чем удобство таких устройств?
С точки зрения пользовательского опыта носимые устройства считаются самыми удобными средствами платежа. В отличие от телефона, носимым устройством легче платить: не нужно доставать телефон, активировать его и открывать в нем платежное приложение. Например, человек дотронулся такими «умными» часами до ридера — и трансакция произошла. После чтения периодически появляющейся в СМИ информации о вредоносном ПО на телефонах пользователю справедливо кажется, что носимые устройства безопаснее. Наконец, носимые устройства могут быть востребованными у молодежи и многофункциональными, причем платежная функция в них второстепенна. Сначала ты покупаешь просто браслет для фитнеса, а возможность еще им и платить — хорошее дополнение к основной функциональности.
13
Я хочу больше узнать о бесконтактных платежах. Что можно почитать?
Чем больше знаешь о бесконтактных платежах, тем меньше веришь негативным слухам, которые периодически возникают. Тем, кто хочет основательно вникнуть в тему, стоит прочитать главу 7 книги Игоря Голдовского «Банковские микропроцессорные карты». Книга есть в свободном доступе по этой
ссылке.