Как работает токенизация банковской карты: принцип защиты платежей
Токенизация банковской карты, это замена настоящего номера карты (PAN) временным цифровым идентификатором, называемым токеном. При оплате через телефон или в интернет-магазине продавец получает только токен, а не реальные данные карты. Даже если токен перехватят, воспользоваться им для другой операции не получится.
Что такое токен и как он создаётся
Токен выглядит как 16-значное число, внешне похожее на номер карты, но не связанное с ним математически. Его генерирует специальный сервис, называемый Token Service Provider (TSP). В платёжных системах Visa и Mastercard эту роль выполняет собственная инфраструктура, в Мире, это Национальная система платёжных карт. При первой привязке карты к приложению или смартфону ваш банк запрашивает у TSP токен для конкретной пары «карта плюс устройство». TSP сохраняет внутреннее соответствие токена и реального номера в своей защищённой базе, а приложению передаёт только токен.
Как проходит оплата через смартфон
При касании смартфона к терминалу NFC-чип устройства передаёт токен и криптограмму, одноразовый код, сгенерированный на основе токена, счётчика операций и данных текущей транзакции. Терминал пересылает эту информацию в банк-эквайер, тот направляет запрос в платёжную систему. TSP проверяет криптограмму, извлекает из своей базы реальный номер карты и передаёт его в банк-эмитент для окончательного подтверждения. Весь процесс занимает менее секунды. Продавец в итоге видит только факт успешной транзакции, но никогда не узнаёт настоящий номер карты.
Разница между токеном для телефона и для интернет-магазина
Существует два основных вида токенов. Платёжные токены устройства привязаны к конкретному смартфону или часам: один и тот же токен работает только на том устройстве, для которого был создан. Это особенно важно при потере телефона: токен можно удалённо деактивировать в приложении банка, не перевыпуская саму карту. Сетевые токены используются при оплате в интернет-магазинах. Когда магазин сохраняет карту для регулярных платежей, он хранит не PAN, а токен. Если база данных магазина будет взломана, злоумышленник получит токены, работающие только на сайте этого конкретного магазина, и не сможет использовать их где-либо ещё.
Токенизация в российских платёжных сервисах
Сервисы СБПэй, СберПэй и Mir Pay используют токенизацию на базе Национальной системы платёжных карт. При подключении карты Мир к приложению банк запрашивает токен у НСПК. Технология соответствует стандарту EMVCo, единому международному протоколу для цифровых платежей. По данным НСПК, доля бесконтактных платежей в общем объёме розничных транзакций в России превысила 80% в 2024 году, и каждый такой платёж защищён именно механизмом токенизации.
Для держателя карты токенизация полностью прозрачна: никаких дополнительных действий не требуется. Банк и платёжная система управляют всем процессом автоматически при каждой оплате.
Ещё одно практическое преимущество: при смене физической карты, например при перевыпуске из-за истечения срока, токен может оставаться рабочим. Банк обновляет соответствие в базе TSP, и привязанные устройства продолжают работать без необходимости заново вводить данные новой карты. Эта функция называется Account Updater и снижает количество неудачных автоплатежей при перевыпуске карт примерно вдвое по данным платёжных систем.
