NFC Эксперт Как работает технология бесконтактных платежей
Возможность совершать платежи бесконтактным способом появилась еще в 2003 году в США. Постепенно PayPass технология набирала популярность и вскоре достигла РФ. Она позволяет совершать ежедневные покупки в одно касание. Теперь не нужно постоянно носить с собой много пластиковых карт.
Достаточно установить приложение на мобильный телефон и привязать свои банковские карты. Оплату можно производить с помощью мобильного телефона, просто приложив его к терминалу. Система бесконтактных платежей работает только с определенными картами, обсуживающимися платежной системой VISA и MasterCard.
Чтобы узнать, подходит ли ваша карта для оплаты бесконтактным способом, достаточно посмотреть на лицевую сторону пластика, где можно увидеть специальную надпись или логотип:
- paypass на картах Мастер Кард
- специальный символ в виде антенны, как вай-фай
- visa payWave, на картах Виза
Суть данной системы заключается в том, что в пластиковую карточку внедряется своего рода чип с антенной, который позволяет оплатить покупку, просто поднеся пластик к терминалу. Без ввода пин-кода можно оплачивать покупки на сумму не более 1 000 рублей.
Если расходная операция больше, то в этом случае необходимо будет ввести персональный код от пластиковой карты. При помощи пластика с PayPass технологией можно оплачивать услуги и товары даже за границей.
Если у клиента в кошельке имеется несколько пластиковых карточек, то оплата производится только по одной, поэтому не стоит переживать, что оплата будет списана со всех карт.
Каковы преимущества систем удаленной оплаты?
Бесконтактная оплата картой имеет несколько преимуществ:
- Быстрота. Бесконтактные платежи быстрее, потому что не нужно тратить время на ввод PIN-кода.
- Не обязательно носить с собой кошелек. В одном устройстве, таком как телефон или умные часы, могут храниться данные сразу о нескольких карточках разных видов, банках и магазинах.
- Простота использования. Пользоваться технологией очень легко: просто подносите устройство к терминалу (какой стороной прикладывать зависит от оборудования). Как только считается информация, гаджет можно убрать.
- Высокий уровень безопасности. Если устройство оплаты было утеряно, можно дистанционно отключить систему платежей.
- Разнообразие приложений для смартфонов. Эти службы делают шопинг проще и быстрее. Но прежде чем устанавливать приложение на телефон, нужно узнать, поддерживает ли его операционная система. Например, для Айфонов подойдет Эппл Пай, для Андроид – Гугл Пай.
Сегодня в России уже больше 10 банковских учреждений принимают для оплаты бесконтактные устройства. И список растет, ведь технология имеет огромные перспективы.
Карта
Бесконтактная оплата в картах появилась примерно лет 10-12 назад. До этого оплата производилась двумя путями:
- С помощью чипа.
- С помощью магнитной ленты.
К слову, оба этих способа до сих пор существуют и являются альтернативным вариантом оплаты. Но самым популярным становится именно RFID модуль, который вшит внутрь карточки.
Функция бесконтактной оплаты обозначается с помощью специального значка, который имеет вид волн, выходящих в сторону. Терминал бесконтактной оплаты имеет примерно тот же значок, только там ещё пририсована рука с картой – для наглядности.
Очень многие путают данный значок с Wi-Fi и даже в простонародье её так и называют: «Карта с Wi-Fi». Но на деле – это грубая ошибка, так как Wi-Fi – это беспроводная сеть, которая не может существовать без центральной точки доступа (роутера или компьютера). Также в RFID используется другая частота и технология. И на самом деле значок имеет другой вид – посмотрите на картинку ниже.
В образовательных целях советую также почитать про Wi-Fi тут.
На айфоне
Операционная система iOS достаточно стабильна, но иногда и в ней возникают проблемы. Ошибки могут значительно влиять на работоспособность устройства и блокировать некоторые функции. Если на устройстве перестал работать paypass, выполняйте следующие действия по очереди, проверяя работу технологии:
- Принудительно остановите работу Apple pay, а затем перезагрузите смартфон.
- Зайдите в основные настройки, откройте сброс и обновите параметры сети.
- Зайдите в Apple pay, отвяжите банковскую карту, а затем вновь прикрепите её к приложению.
- Во время пребывания в другой стране зайдите в основные настройки и перейдите ко вкладке языка и региона. Измените регион пребывания вручную на тот, где Apple pay наверняка работает, например, Великобританию.
- При помощи DFU обновите прошивку и проверьте работу чипа. Если не помогло, откатите ОС до резервной копии.
Эти несложные действия помогут выявить и исправить причину, по которой перестал работать пей пас.
Преимущества и недостатки бесконтактных платежей
Прежде чем приступить к использованию бесконтактных способов оплаты, необходимо ознакомиться с преимуществами и недостатками NFC.
К плюсам относится:
- возможность расплачиваться без пароля (до 999 р.);
- быстрое проведение транзакции;
- работа функционала в 30 странах мира;
- снижение износа магнитной ленты на «кредитке»;
- нет надобности передавать «пластик» кассиру.
Также отнести к преимуществам можно то, что не имеет значения, какой стороной прикладывать «кредитку» к терминалу.
К сожалению, имеются и минусы применения бесконтактных способов оплаты:
- технология NFC поддерживается не всеми мобильными устройствами;
- мошенники приобретают товар стоимостью до 999 р. без ввода пароля;
- в провинциальных городах данный способ оплаты не работает.
При помощи бесконтактной оплаты картами экономится время на покупку. Благодаря этому не нужно запоминать PIN-код. Конечно, это в том случае, если приобретается товар стоимостью до 1000 рублей. Чтобы обезопасить себя от мошенников, лучше всего пользоваться Google (Андроид) или Apple Pay, так как данные приложения позволяют защитить «пластик» отпечатком пальца.
Удобство или риск: вся правда о бесконтактных платежах
1
Для чего вообще придумали бесконтактные платежи?
В первую очередь — для удобства плательщика и реализации мобильных платежей. Высокая скорость обмена данными карты и терминала через радиоинтерфейс, а также отсутствие необходимости вставлять карту в ридер терминала позволяют реализовать удобный для держателя карты режим «дотронулся и пошел» (tap {amp}amp; go). Также платежи размером ниже определенного лимита не требуют проведения верификации держателя карты (например, ввода ПИН-кода), что тоже удобно и ускоряет выполнение операции. Ну и возможно, самое главное: без бесконтактных платежей не реализовать мобильные платежи — телефон ведь в ридер терминала не вставишь.
Напомним, лимит на сумму покупки без верификации держателя карты (например, ввода ПИНа) зависит от правил платежной системы, на базе которой выпущена карта. Например, по картам «Мир» он составляет до 1 тыс. рублей, по Visa — до 3 тыс. Поскольку карта и терминал взаимодействуют бесконтактным способом, минимизирована возможность физического повреждения карты. Поэтому такие карты можно выпускать с увеличенным сроком действия.
2
Что происходит между картой и терминалом при бесконтактной оплате?
«Когда мы прикладываем карту к терминалу на расстояние до четырех сантиметров, карта попадает в переменное магнитное поле терминала, и в ней, по закону Фарадея, возникает индукционный ток. Меняя напряженность магнитного поля терминала, можно передавать сигналы, кодирующие команды, направляемые карте. Наоборот, используя нагрузочную модуляцию на стороне карты, можно менять напряженность поля на терминале. В результате меняется напряжение на антенне ридера. Таким способом с карты передаются ответы на команды терминала. Кроме того, энергия магнитного поля терминала накапливается в конденсаторе колебательного контура карты и используется чипом карты для реализации логики платежного приложения карты», — рассказывает директор департамента инноваций и главный архитектор НСПК (оператора платежной системы «Мир») Игорь Голдовский.
3
Чем бесконтактный платеж отличается от контактного?
В чипе бесконтактной карты установлено платежное приложение, которое может работать как по контактному, так и по бесконтактному интерфейсу. Карта и терминал до начала выполнения трансакции уже «понимают», через какой интерфейс они будут взаимодействовать. В зависимости от используемого интерфейса трансакция обслуживается по правилам, отвечающим этому интерфейсу. Терминал выбирает соответствующее программное обеспечение на своей стороне, а платежное приложение карты — соответствующий профиль выполнения бесконтактной операции: отдельные лимиты на использование карты, параметры управления рисками, списки верификации держателя карты и тому подобное. Различие между бесконтактной и контактной модами платежного приложения всегда присутствует. Например, в бесконтактных платежах вообще не используется проверка ПИН-офлайн, не читается параметр «имя держателя карты» и так далее.
4
Возможность украсть деньги с карты с помощью фальшивого терминала — она существует?
В разных СМИ время от времени всплывают истории об опасности того, что мошенники с фальшивыми терминалами могут бесконтактным способом похищать у людей деньги с карт. Игорь Голдовский уверен, что мошенникам мало интересен такой способ.
«С расстояния 40—50 сантиметров при определенной модернизации терминала возможно инициировать операцию по бесконтактной карте без авторизации ее держателя. Но важно понимать, что сам терминал, с помощью которого мошенники собираются похищать средства, должен быть зарегистрирован в банке — участнике платежной системы, а сам магазин, к которому приписан терминал, должен иметь счет в банке, — объясняет он. — Без наличия счета мошенники не смогут получить средства, которые якобы заплатили магазину-мошеннику держатели тех бесконтактных карт. Как уже выше отмечалось, размер бесконтактной трансакции без верификации держателя карты ограничен лимитом (в Visa в России он недавно был увеличен до 3 тыс. рублей, во всех остальных системах составляет 1 тыс. рублей. — Прим. ред.). У нас в стране подавляющее большинство трансакций выполняется в онлайновом режиме с авторизацией у банка-эмитента. Поэтому сразу срабатывают процедуры управления рисками на стороне банка — эмитента карты.
Кроме того, даже если бы списание средств произошло таким образом, у мошенника все равно не будет даже возможности получить деньги, ведь терминал, с помощью которого могут совершаться такие попытки мошенничества, как рассказывают в некоторых СМИ, должен быть зарегистрирован за конкретным магазином, который обслуживает конкретный банк».
5
А есть зарегистрированные случаи такого мошенничества?
«Сегодня у мошенников существуют более эффективные с точки зрения их рисков и затрат средства кражи денежных средств, чем бесконтактные карты, — указывает Игорь Голдовский. — Мне лично не известны случаи кражи денег через бесконтактные карты с использованием терминала магазина. Спрашивал у коллег из банков и других платежных систем — никто из них на практике с такой проблемой не сталкивался. Если говорить о фроде, косвенно связанном с бесконтактными картами, то речь в первую очередь может идти о потерянных или украденных картах. Мошенник, в руках которого оказалась такая карта, может ею пользоваться при выполнении операций на суммы, меньшие установленного лимита, до тех пор, пока эмитент не заблокирует такую карту. Поэтому еще раз хочу напомнить о необходимости внимательно относиться к хранению своих банковских карт — контактных и бесконтактных».
6
Все-таки хотелось бы подстраховаться и уберечь бесконтактную карту от даже гипотетических мошенников. Как это сделать?
Повторимся, кража средств через бесконтактный интерфейс мало интересна мошенникам. Но для личного спокойствия можно приобрести специальный чехол для бесконтактных карт, экранирующий внешнее электромагнитное поле. Есть еще более простой способ — хранить все свои бесконтактные карты в обычном портмоне рядом друг с другом. Тогда гипотетический мошеннический терминал, «увидев» в своем магнитном поле больше одной карты, выдаст отказ в проведении операции. Можно, конечно, предположить, что мошенник так поменяет приложение в терминале, что оно обязательно выберет из нескольких карт какую-то одну и будет с ней работать. Но это тоже маловероятно, ведь написать терминальное бесконтактное ядро трудоемко и накладно для злоумышленников.
7
Я хочу платить с помощью телефона. Google Pay, Samsung Pay, Mir Pay и прочие Pay — как это все работает?
Все работает похожим образом, через платежное приложение платежной системы. Просто приложение устанавливается на разных носителях. В случае карты носителем является чип карты, в случае с любым из Pay — специальный кошелек, с которым интегрируются и через который работают платежные приложения различных платежных систем. Кошелек — это некоторое сервисное приложение, обеспечивающее удобный пользовательский интерфейс, выбор платежного приложения для проведения текущей операции, безопасное хранение данных, контроль целостности среды исполнения приложений, работу приложения через различные телекоммуникационные интерфейсы и с операционной средой телефона в целом.
8
Эти платежные приложения как-то отличаются друг от друга?
Платежные приложения для мобильного кошелька и карты разные. У мобильного кошелька есть своя специфика, связанная с его реализацией. Если, например, кошелек реализован на основе встроенного в телефон элемента безопасности, платежное приложение очень напоминает приложение карты. Его использует кошелек Apple Pay. В Samsung многие модели смартфонов поддерживают «Доверительную среду исполнения» (Trusted Execution Environment), что позволяет кошельку Samsung Pay обеспечивать безопасную среду для работающих через него платежных приложений.
«В самом общем случае смартфона, работающего на Android, кошелек пользуется только средствами этой операционной системы (например, Android Key Storage, Host Card Emulation). Их не так много, поэтому платежное приложение должно само обеспечивать свою безопасность, — указывает Игорь Голдовский. — Для этого используется удаленная аттестация телефона на предмет его рутованности и наличия вредоносного ПО, хранение приложения в затрудняющем анализ виде, хранение в приложении ограниченного набора конфиденциальных данных, изменение которых требует реализации специальных процедур с центрального сервера системы, использование специальной реализации криптографических алгоритмов (White Box Cryptography) и т. п. Пример такого мобильного кошелька — Google Pay».
Одним словом, сколько есть Pay, столько платежных приложений платежная система должна иметь.
9
И что тогда лучше выбрать?
Все зависит от модели телефона и платежной системы (платежное приложение платежной системы может быть разработано не для всех мобильных кошельков). Если у вас iPhone, то выбора нет: однозначно может использоваться только кошелек Apple Pay. При этом в нем могут использоваться только карты тех платежных систем, для которых в Apple Pay реализовано их платежное приложение. Если модель смартфона Samsung, то можно выбрать между Samsung Pay, Mir Pay или Google Pay. Если это другой смартфон, работающий на операционной системе Android, — то Google Pay или Mir Pay. В Google Pay и Mir Pay платежные приложения запускаются прямо в процессоре телефона. Поэтому поставщики решений для этих кошельков (соответственно Google и НСПК) делают все необходимое для обеспечения безопасности данных, которые загружаются, обрабатываются и хранятся в платежных приложениях кошелька.
10
А вообще, что безопаснее — платить телефоном или картой?
Все рассмотренные варианты бесконтактных платежей примерно одинаково безопасны: расходы мошенников на реализацию атак несоизмеримы с ожидаемыми от них результатами. Сегодня пользователи для выполнения платежей отдают предпочтение телефону. Можно уверенно говорить о том, что необходимый баланс между безопасностью операции и удобством ее выполнения для мобильных платежей был найден.
11
Сейчас появляются платежные кольца, браслеты, часы, какие-то наклейки — есть ли в этом смысл?
Многие эксперты платежного рынка считают, что у носимых устройств (wearables) — колец, браслетов, часов, брелоков, активных наклеек / стикеров и т. д. — хорошее будущее. В первую очередь они безопасны потому, что в основе их архитектуры лежит элемент безопасности, операционная среда носимого устройства поддерживает ограниченный набор приложений, и вредоносное ПО на них поместить непросто. Устройства взаимодействуют с внешним миром через ограниченный набор интерфейсов (как правило, лишь NFC, к которому иногда добавляется BLE), и, наконец, некоторые устройства имеют биометрический сенсор для захвата отпечатка пальца, позволяющий верифицировать пользователя.
12
А в чем удобство таких устройств?
С точки зрения пользовательского опыта носимые устройства считаются самыми удобными средствами платежа. В отличие от телефона, носимым устройством легче платить: не нужно доставать телефон, активировать его и открывать в нем платежное приложение. Например, человек дотронулся такими «умными» часами до ридера — и трансакция произошла. После чтения периодически появляющейся в СМИ информации о вредоносном ПО на телефонах пользователю справедливо кажется, что носимые устройства безопаснее. Наконец, носимые устройства могут быть востребованными у молодежи и многофункциональными, причем платежная функция в них второстепенна. Сначала ты покупаешь просто браслет для фитнеса, а возможность еще им и платить — хорошее дополнение к основной функциональности.
13
Я хочу больше узнать о бесконтактных платежах. Что можно почитать?
Чем больше знаешь о бесконтактных платежах, тем меньше веришь негативным слухам, которые периодически возникают. Тем, кто хочет основательно вникнуть в тему, стоит прочитать главу 7 книги Игоря Голдовского «Банковские микропроцессорные карты». Книга есть в свободном доступе по этой
ссылке.