Мобильные платежи и мобильные платежные инструменты

Мобильные платежи – платежные операции, которые осуществляются пользователями с помощью мобильного устройства с использованием сетей оператора мобильной связи и бесконтактным способом.

Платежи SMS+ осуществляются через оператора мобильной связи с использованием его инфраструктуры. Оператор выделяет определенный список коротких номеров платежных SMS и сдает их в аренду, получая процент от их стоимости. Сегодня такие платежи используются, в основном, в собственных сервисах операторов мобильной связи (дополнительные услуги, изменения тарифов, информационные приложения). Их недостатки: ограничение размеров платежей, необходимость заключать прямое соглашение с поставщиком мобильных услуг, сложности подключения и непрозрачные требования по настройке сервиса. Поэтому платежи SMS+ используются ограниченно.

Такие платежи актуальны для сервисов онлайн по подписке, включая оплату покупок, встроенных в игры, подписки на электронные библиотеки, лимитированный доступ к закрытым ресурсам, для телефонов, не поддерживающих технологию Google Pay и т.п., а также в случаях, когда пользователь мобильного телефона не желает обнародовать данные банковской карты (открытым является только номер телефона). Платежи с доступом к банковским картам через оператора мобильной связи – гибридная форма мобильных платежей, при которых для доступа к счету банковской карты и совершения операций требуется предоставление данных мобильным оператором.

Банки проводят идентификацию плательщика путем отправки SMS на номер мобильного телефона плательщика. Пользователь вводит полученный код, подтверждая платеж. NFC-платежи – бесконтактные платежи с помощью смартфонов и других мобильных устройств, поддерживающих технологию NFC (беспроводной передачи данных на малом расстоянии), с привязкой к банковской карте. NFC-платежи могут осуществляться через терминалы оплаты и другие платежные устройства, поддерживающие бесконтактные платежи, мобильные приложения.

Мобильный платежный инструмент (в дальнейшем – МПИ) – электронное средство платежа, реализованное в аппаратно-программной среде мобильного устройства пользователя: мобильного телефона, смартфона, планшета, умных часов или другого беспроводного устройства.

Обычная SIM-карта мобильного телефона выполняет функции средства идентификации абонента мобильного телефона, а также используется в качестве МПИ при предоставлении клиенту услуг по технологии SMS-банкинга. При этом взаимодействие клиента с банком, в котором открыт его счет, поддерживается с помощью SMS-уведомлений и SMS-команд. С помощью SMS-уведомлений банк предоставляет клиенту информационные услуги (о состоянии счета, об операциях и др.), а клиент банка с помощью SMS-команд может выполнять определенные действия (осуществлять платежи, посылать к банку запросы и др.).

SIM-карта с платежным приложением выполняет функции платежной смарт-карты, позволяет проводить идентификацию абонента и пользователя-клиента, авторизацию, обеспечивать клиенту доступ к своему банковскому счету, осуществлять платежные и другие операции с достаточным уровнем безопасности с помощью меню мобильного телефона. Во время подключения к услуге клиент получает PIN-код, с помощью которого он будет осуществлять операции с использованием меню мобильного телефона. Современные SIM-карты позволяют загружать на них приложения в любой момент, в том числе и дистанционно.

Карта памяти мобильного телефона в формате micro-SD (в дальнейшем – карта памяти-SD) – специальная флеш-карта памяти со встроенным дополнительным смарт-чипом, на который устанавливается платежное приложение (приложения), объединенное со счетом конкретной карты. Карта памяти-SD вставляется в мобильный телефон на место обычной карты памяти и имеет такие же свойства, как платежная смарт-карта.

Приложение может загружаться на карту памяти-SD мобильного телефона такими способами:

• путем загрузки платежного JAVA-приложения из памяти мобильного телефона (технология мидлет);
• путем загрузки платежного приложения с интернет-сайта банка (WAP-технология).

Преимущества загрузки платежного JAVA-приложения (технология мидлет): достаточно высокая совместимость с различными моделями телефонов и независимость от SIM-карт, поскольку технология мидлет не предусматривает замены SIM-карты. Недостатком является то, что JAVA-приложения имеются не на всех моделях мобильных телефонов, а на некоторых моделях телефонов могут возникать проблемы с загрузкой приложений. Загрузка платежного приложения с интернет-сайта банка (WAP-технология) возможна для мобильных телефонов, которые поддерживают протокол WAP (Wireless Application Protokol) – стандарт GSM с интегрированной SIM-картой с встроенным WAP-браузером, которая поддерживает установленный набор дополнительных функций. При загрузке приложения на экране телефона будет отображаться приспособленный к отображению на экране телефона сайт банка (WAP-сайт), просмотр которого будет осуществляться с помощью встроенного браузера телефона.

Технология NFC (Near Fіeld Communіcatіon – технология бесконтактного обмена данными) – технология беспроводной высокочастотной связи малого радиуса действия, которая позволяет осуществлять бесконтактный обмен данными между смарт-картами, мобильными устройствами, платежными и другими устройствами со встроенными NFC-микросхемами (чипами), которые находятся друг от друга на расстоянии от 3-5 см до 10 см. Для этого достаточно приблизить два таких устройства друг к другу.

Смартфон (или другое устройство) с поддержкой технологии NFC обычно содержит SIM-карту с платежными приложениями и NFC-модуль (чип и антенну), который позволяет реализовать бесконтактный интерфейс малого радиуса действия (до 10 см), совместимый с международным стандартом ISO14443. Смартфоны, оснащенные NFC-модулями, поддерживают функции электронного кошелька, могут выполнять функции бесконтактной платежной карты и взаимодействовать с устройствами, которые работают с такими картами, позволяют проводить бесконтактные платежи «в одно касание».

Технология NFC применяется в таких сервисах мобильных платежей, как Apple Pay (для Apple), Samsung Pay (для Android), Google Pay, Mir Pay и др.

Именно эти неудобства устраняет технология HCE (Host Card Emulation). Технология HCE – технология бесконтактных мобильных платежей, которая позволяет эмулировать виртуальные бесконтактные смарт-карты (кошельки) на смартфонах и прочих современных гаджетах с NFC-модулем. Термин «эмуляция» в данном случае означает воспроизведение (создание копии, дублирование, имитирование). Технология HCE позволяет дублировать информацию об уже выданной карте на мобильных устройствах (номер, срок действия, CVC-код и др.) и воспроизводить ее в момент совершения бесконтактной оплаты.

Также технология HCE позволяет дублировать предоплаченные, транспортные и другие карты, которые соответствуют международному стандарту безопасности PCI DSS. PCI DSS (Payment Card Industry Data Security Standard) – стандарт безопасности данных индустрии платёжных карт, разработанный Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC), учреждённым международными платёжными системами Visa, MasterCard, American Express, JCB и Discover.

Для поддержки HCE на смартфоне должны быть установлены модуль NFC и одна из операционных систем не старше Android KitKat 4.4, Blackberry OS 7, Windows 10. Для эмуляции виртуальной карты-кошелька необходимо загрузить на смартфон приложение Google Pay из Google Play (Play Market). Виртуальная карта будет создана автоматически сразу после онлайн регистрации и привязывается к номеру телефона. Пополнить карту можно через терминал самообслуживания после ввода номера карты (если счета нет) или с банковского счета (если он открыт).

Технология HCE совместима с любым POS-оборудованием, которое поддерживает технологии NFC. Клиенты смогут производить оплату одним прикосновением телефона в любой торговой точке, где установлены терминалы бесконтактной оплаты РayWave и PayPass. Мобильная платформа Apple технологию HCE не поддерживает и использует собственные технологии для кодирования данных с помощью собственного криптопроцессора и системы ключей. Поэтому загрузка платежных карт в смартфоны с платформой Apple возможна исключительно через производителя.

При первом подходе эмуляция карты производится в облачном хранилище платежной системы, и все данные по карт и операциям с ней хранятся на удаленном общедоступном сервере. Мобильное приложение в таком случае производит аутентификацию пользователя, предоставляет пользовательский интерфейс и обеспечивает безопасный канал передачи данных до облака и в NFC-контроллер. Недостатком этого подхода является более длительное время обработки транзакций (в среднем более 500 миллисекунд). При втором подходе эмуляция карты осуществляется с помощью мобильного приложения на самом мобильном устройстве путем токенизации платежных данных, с использованием пользовательского интерфейса и безопасного канала передачи информации.

Токенизация данных предусматривает замену конфиденциальной информации (номера карт, личных данных клиентов и пр.) на уникальные и непредсказуемые значения, называемые токенами. Токен обычно является случайно сгенерированным набором символов, не связанным с исходной информацией, и не может быть преобразован обратно в исходные значения без использования специального ключа. Токен служит в качестве заменителя для исходной информации без раскрытия конфиденциальных данных, передается по безопасным каналам коммуникации и может быть использован для идентификации и проведения операций вместо исходных данных. Токены и связанные с ними данные обычно хранятся в распределенной системе – специализированном хранилище данных или облачной инфраструктуре платежной системы, которые обеспечивают высокий уровень безопасности и доступности.

Авторизационный центр платформы при каждом изменении данных карты передает их «провайдеру токенов», который создает токены и периодически загружает их в мобильное приложение. Для каждой транзакции мобильное приложение создает транзакционную криптограмму и передает ее на POS-терминал через NFC. Процессинговый фильтр определяет, что транзакция была токенизирована, и направляет ее обратно провайдеру для детокенизации (расшифровки) и получения реальных платежных данных. Замена конфиденциальных данных карты на уникальный токены позволяет обрабатывать платежи и другие операции без необходимости хранения исходных конфиденциальных данных карты, обеспечивать безопасность и защиту конфиденциальности данных клиентов в платежных системах, минимизировать риски мошенничества, утечки информации и нарушения стандартов безопасности при совершении платежей онлайн.

Процесс технически усложняется, что требует дополнительных финансовых расходов при интеграции. В Российской Федерации первым из банков приложение с HCE самостоятельно запустил Инвестторгбанк, среди сотовых операторов – «Билайн» (приложение «Карта Билайн»), среди розничных ретейлеров – «Евросеть» для карты «Кукуруза». Компания I-Free реализовала подобный функционал в приложении «Кошелек» (именно это приложение использует «Тинькофф – кредитные системы»). В «Кошельке» можно выпускать в электронном виде не только карты от ТКС, но и транспортные карты ряда городов России и скидочные купоны от «Купикупон». Смартфоны с поддержкой технологии MST позволяют имитировать карту с магнитной полосой и осуществлять бесконтактные мобильные платежи с помощью сервиса Samsung Pay. Актуальный перечень совместимых моделей смартфонов Samsung приводится на официальном сайте Samsung Pay.

Смартфоны с поддержкой технологии MST (магнитной защищенной передачей данных) могут создавать специальное магнитное поле, похожее на сигнал магнитной полосы банковской карты. Благодаря этому смартфон может посылать на терминал сигнал, который имитирует магнитную полосу на карте. Смартфоны с поддержкой технологии MST поддерживают бесконтактные NFC-платежи. Поэтому пользователь может оплачивать покупки с помощью такого смартфона на почти любом терминале. Виртуальная карта создается путем токенизации с помощью мобильного приложения. Как только пользователь добавляет в приложение свою карту, для нее генерируется виртуальный номер, а реальный номер карты никогда не передается продавцу. Когда покупатель прикладывает телефон для осуществления платежа, терминал передает токенизированный номер карты и шифр, который выступает в качестве пароля. После этого платежная система авторизирует и обрабатывает платеж.