Токенизация на Mastercard при онлайн залагания: какво е и как ви защитава
Loading...
Номерът на картата ви никога не достига до букмейкъра – ето как
Преди няколко години участвах в конференция по платежна сигурност, на която демонстрираха как изглежда типична хазартна транзакция отвътре. Това, което ме впечатли, беше, че букмейкърът никога не вижда реалния номер на картата. Вместо 16-те цифри, отпечатани на вашата Mastercard, процесинг системата генерира уникален цифров заместител – токен. Този токен е безполезен за всеки, който го прихване, защото не може да бъде използван за друга транзакция, при друг търговец или в друг контекст.
Mastercard обработва над 175 милиарда транзакции годишно и токенизацията е фундаментален слой в тяхната архитектура за сигурност. За хазартните транзакции тя е особено важна, защото CNP (card-not-present) операциите – каквито са всички онлайн депозити – са най-уязвимата категория. Без токенизация всеки оператор би съхранявал пълния ви номер на карта, което при пробив в сигурността им би означавало директен достъп до финансите ви.
Сега, вместо реалния номер, операторът пази само токена. Дори хакери да пробият базата данни на букмейкъра, ще намерят поредица от безсмислени цифри, които не могат да бъдат използвани за теглене на пари от вашата сметка.
Как работи токенизацията стъпка по стъпка
Джохан Гербер, глобален ръководител на решенията за сигурност на Mastercard, описва ситуацията ясно: ако хората се чувстват по-уязвими в дигиталния свят, отколкото у дома си, доверието в технологията е под заплаха. Токенизацията е отговорът на Mastercard на тази заплаха.
Процесът протича на няколко стъпки. Първо, въвеждате данните на картата си в платформата на оператора или те са вече запазени от предишен депозит. Второ, операторът изпраща тези данни към процесинг системата, която ги препраща на Mastercard. Трето, Mastercard генерира DPAN (Device Primary Account Number) – уникален токен, който заменя реалния PAN (Primary Account Number) на картата ви. Четвърто, токенът се връща на оператора и се запазва вместо истинския номер.
При всяка следваща транзакция операторът изпраща токена на Mastercard, които го „превеждат“ обратно към реалния номер на картата, проверяват транзакцията и я одобряват или отказват. Реалният номер никога не напуска инфраструктурата на Mastercard и банката издател – той е криптиран и достъпен само за тях.
Важен елемент е криптограмата – уникален еднократен код, генериран за всяка транзакция. Дори ако някой прихване токена и криптограмата от една транзакция, те не могат да бъдат използвани за друга. Това е като да имате ключ, който отваря само една конкретна врата, само веднъж, и след това се самоунищожава. За обикновения потребител целият процес е невидим – вие виждате само „Транзакцията е одобрена“. Зад кулисите обаче са се случили десетки проверки за милисекунди.
Visa и Mastercard са инвестирали общо 10 милиарда долара в AI-базирани системи за сигурност, които анализират над 300 милиарда транзакции годишно. Токенизацията е само един от слоевете – но е фундаменталният, който предотвратява масовите компрометирания на данни. Без токенизация хазартната индустрия би била значително по-рискова за потребителите.
Защо токенизацията е по-сигурна от стандартно плащане
При стандартно плащане без токенизация операторът съхранява пълния номер на картата ви в своята база данни – криптиран, разбира се, но все пак реален. Ако базата бъде компрометирана и криптирането бъде разбито (или ключовете изтекат), всички номера стават достъпни. До 2028 г. глобалните загуби от онлайн платежни измами се прогнозират на 362 милиарда долара – огромна част от тях идват точно от подобни пробиви.
При токенизирано плащане операторът няма реалния номер. Дори при пълно компрометиране на системата му, данните са безполезни. Токенът е обвързан с конкретния оператор, конкретното устройство и конкретния контекст – не може да бъде използван другаде.
Второ предимство: при смяна на физическата карта (изтекла валидност, загубена, открадната) токенът може да бъде обновен автоматично. Банката издава нова карта с нов PAN, но актуализира токена при оператора, така че вие не трябва да въвеждате нови данни навсякъде. Този процес се нарича „card lifecycle management“ и е невидим за потребителя.
Трето: токенизацията намалява false declines – легитимни транзакции, отказани от системите за превенция на измами. Тъй като процесинг системата разпознава токена като верифициран и обвързан с конкретен потребител, шансът за фалшиво блокиране е по-малък, отколкото при плащане с „голи“ данни на карта.
Ограничения и съвместимост с хазартни платформи
Токенизацията не е безусловна и има практически ограничения, които трябва да знаете. Работя с платежни технологии достатъчно дълго, за да знам, че нито една система не е съвършена – и токенизацията не е изключение.
Не всички оператори в България използват токенизация. По-малките платформи с по-стари процесинг системи може да съхраняват данните на картата по стандартния начин – криптирани, но не токенизирани. Няма начин да проверите това отвън, но лицензираните оператори са задължени да спазват PCI DSS стандарта (Payment Card Industry Data Security Standard), който включва или токенизация, или еквивалентно ниво на защита на данните. Ако операторът е лицензиран от НАП, можете да бъдете сигурни, че спазва минимума.
Второ ограничение: токенизацията може да усложни процеса на верификация. Когато операторът поиска копие на картата за KYC, той сравнява последните четири цифри с тези от токена – а те може да не съвпадат, защото токенът е различен номер. В повечето случаи процесинг системата автоматично разрешава това, но при ръчна проверка може да се наложи допълнително обяснение от ваша страна.
Трето: при смяна на устройството (нов телефон, нов браузър) може да се наложи повторна автентикация и генериране на нов токен. Това е мярка за сигурност, не неудобство – гарантира, че никой не може да използва стария ви токен от компрометирано устройство. Просто бъдете готови да преминете 3D Secure автентикация отново при първата транзакция от новото устройство.
Четвърто ограничение: токенизацията не ви защитава от собствените ви грешки. Ако въведете данните на картата си в нелицензиран сайт, токенизацията няма да помогне – сайтът може да запише реалните данни преди те да стигнат до процесинг системата. Затова винаги проверявайте лиценза на оператора преди да въвеждате каквато и да е информация.
Накрая, перспективата: Mastercard активно разширява обхвата на токенизацията. 91% от потребителите биха обмислили да напуснат компания, ако преживеят измама при покупка – тази статистика показва колко критична е сигурността за лоялността на клиентите. Токенизацията е инвестиция на Mastercard в доверието на потребителите и ще продължи да се развива. Повече за конкретните механизми на 3D Secure автентикация ще намерите в ръководството за 3D Secure при залагания.
Трябва ли да активирам токенизацията ръчно в приложението на банката?
Не. Токенизацията при онлайн плащания се активира автоматично от процесинг системата на оператора и Mastercard. Вие не трябва да правите нищо допълнително – процесът е прозрачен и невидим за потребителя.
Работи ли токенизация при депозит от мобилен браузър?
Да. Токенизацията работи независимо от устройството или браузъра, защото се извършва на ниво процесинг система, не на ниво потребителски интерфейс. Мобилен браузър, десктоп браузър и мобилно приложение – всички получават еднаква токенизирана защита.
Създадено от редакцията на „Mastercard Залагания“.
