Описание службы
Samsung Pay был разработан на основе интеллектуальной собственности компании LoopPay — стартапа, который был приобретён компанией Samsung в феврале 2015 года. Основным отличием службы от служб конкурентов является способность эмуляции магнитной полосы платёжной карты, что делает технологию применимой почти для всех существующих терминалов с поддержкой оплаты по магнитной ленте.
Все это возможно благодаря технологии «Магнитной защищённой передачи данных», в оригинале, «Magnetic Secure Transmission» (MST), которая производит передачу данных карты на отверстие для проведения карты, используя электромагнитное поле, заставляя терминал думать, что была проведена настоящая карта.
https://www.youtube.com/watch?v=ytdevde
Разработчики LoopPay начали данный проект с целью создания технологии, которая поддерживала бы примерно 90 % от всех платёжных терминалов, не считая тех, которые требуют физического нахождения карты внутри терминала для совершения транзакции.
На телефонах, служба Samsung Pay запускается проведением пальца от нижнего края экрана вверх. В приложение могут быть загружены различные банковские и дисконтные карты. Выбор между ними осуществляется проведением пальца налево и направо по экрану в режиме платежа.[1]
В мае 2016 года было анонсировано, что Samsung разрабатывает дополнительный сервис под названием Samsung Pay Mini. Данный сервис будет использован исключительно для интернет-платежей, являясь при этом кроссплатформенным.[4]
Безопасность
Меры безопасности Samsung Pay основаны на использовании токена вместо «чувствительной» информации платёжной карты, а также технологий Samsung Knox (поиск уязвимостей) и ARM TrustZone (защищённое хранилище для токенов и ключей).
При «привязке» карты к телефону сервер Samsung Pay генерирует для привязываемой карты токен (token PAN или digitized PAN (DPAN)) — случайное число, аналог номера карты;
Для доступа к токену устройство аутентифицирует владельца по отпечатку пальца (если поддерживается) или ПИН-коду.
Диаграмма, иллюстрирующая процесс оплаты по токену |
- В момент платежа телефон передаёт на POS-терминалэквайерастандартизованный запрос, содержащий токен и криптограмму вместо номера карты.
- Эквайер получает и передаёт в сеть платёжной системы запрос с токеном так же, как он передал бы номер карты.
- Платёжная система понимает, что получен токен (DPAN) вместо PAN, обращается к хранилищу Token Vault и проводит детокенизацию — поиск реквизитов карты (PAN) по указанному токену.
- Далее, используя найденный PAN, платёжная система проводит обычную авторизацию платежа в банке-эмитенте и возвращает результат (одобрение или отказ на совершение покупки) эквайеру в POS-терминал.
Таким образом, номер карты (PAN) не может быть скомпрометирован при несанкционированном доступе к мобильному устройству или при перехвате обмена данными между телефоном и POS-терминалом[5]. Тем не менее, выпущенный токен можно заблокировать и запросить новый токен на ту же карту.
В августе 2016 года, специалист по безопасности Сальвадор Мендоза (Salvador Mendoza) нашёл потенциальную уязвимость в Samsung Pay. По его словам, используемый приложением алгоритм создания временных токенов для оплаты не является случайным и, как следствие, может быть предсказуем. Он также разработал миниатюрное устройство, которое может перехватить токен во время оплаты, а также устройство, способное передать данные перехваченного токена на платёжный терминал.
Исследователь также заявил, что время жизни токенов составляет не менее 24 часов, даже если пользователь их не использовал, а также если пользователь уже сгенерировал другие токены.[6] В ответ на это в компании заявили, что: «если в системе появится потенциальная уязвимость, мы немедленно на неё среагируем и примем соответствующие меры».[7]
Доступность
Глобальная доступность сервиса Samsung Pay (по состоянию на 22 марта 2018 года)
Дата | Страны, где работает Samsung Pay |
---|---|
20 августа, 2015 | Южная Корея[8] |
28 сентября, 2015 | США[8][9] |
29 марта, 2016 | Китай[10] |
2 июня, 2016 | Испания[11] |
10 июня, 2016 | Сингапур[12] |
15 июня, 2016 | Австралия[13] |
13 июля, 2016 | Пуэрто-Рико[14] |
19 июля, 2016 | Бразилия[15] |
29 сентября, 2016 | Россия[3] |
27 октября, 2016 | Таиланд[16] |
7 ноября, 2016 | Канада[2] |
9 декабря, 2016 | Малайзия[17] |
22 марта, 2017 | Индия[18] |
27 апреля, 2017 | Объединённые Арабские Эмираты[19] |
27 апреля, 2017 | Швеция[20] |
17 мая, 2017 | Соединённое Королевство[21] |
23 мая, 2017 | Швейцария[22] |
25 мая, 2017 | Гонконг[23] |
3 сентября, 2017 | Тайвань[24] |
28 сентября, 2017 | Вьетнам[25] |
15 ноября, 2017 | Беларусь[26] |
30 января, 2018 | Мексика[27] |
22 марта, 2018 | Италия[28][29] |
26 апреля, 2018 | Франция[30] |
Июнь 2018 | ЮАР[31][32] |
2018 (Ожидается) | Турция[33] |
В мае 2016 года сообщалось, что Samsung разрабатывает побочный продукт, известный как Samsung Pay Mini. Эта услуга будет использоваться только для онлайн-платежей и также будет использоваться в качестве многоплатформенного сервиса.[34]
В январе 2017 года Samsung подтвердила, что Samsung Pay Mini будет работать не только на собственных устройствах семейства Galaxy, но и на других телефонах Android, если они работают под управлением операционной системыAndroid Lollipop или выше и имеют разрешение экрана 1280×720 и более.[35][36]
В июне 2017 года Samsung запустила сервис Samsung Pay Mini, который в настоящее время доступен на Galaxy J7 Max/On Max (в Индии)[37]
https://www.youtube.com/watch?v=upload
В декабре 2018 года сервис мобильных платежей Samsung Pay стал доступен держателям карт «Мир» ещё пяти российских банков – Альфа-банка, «Почта банка», «Московского кредитного банка», МИнбанка и Алмазэргиэнбанка [38].
Ссылки
Эта страница в последний раз была отредактирована 13 сентября 2019 в 16:34.