Entenda como funciona a Plataforma de Tokenização Elo

A plataforma de Tokenização da Elo foi desenvolvida levando em consideração as boas práticas de segurança estabelecidas pelo mercado atual, sendo seu maior objetivo mitigar os riscos de fraudes por meio da substituição dos dados sensíveis de credenciais de pagamento pelo token, um conjunto de dados equivalentes, porém não sensíveis.

Como foi menciona na primeira parte desde artigo, um token também é conhecido por DPANs (Dynamic Primary Account Number), já que se tratam de credenciais virtuais de pagamento e apresentam a mesma forma das credenciais físicas (PAN de 16, diferenciados pelo BIN). O resultado é o mínimo de impacto na cadeia de pagamento.

Funcionalidades do processo de Tokenização Elo

O processo pode ser dividido em três etapas:

1. Aprovisionamento

Esta é a fase em que o cartão físico do portador é digitalizado através do recebimento da requisição do token pela Plataforma de Tokenização Elo. Ao longo do aprovisionamento é feita a validação do dados do token pela Elo e pelo emissor do cartão. Quando essa fase envolve carteiras digitais, existe também um fluxo no qual o emissor do cartão realiza a autenticação do portador.

2. Transacional

Tal funcionalidade representa a etapa na qual o token é utilizado para realizar o pagamento de uma compra. Ela também contempla o processo de validação do token e de seus componentes de segurança.

3. Gestão do Ciclo de Vida

Essa fase abrange os serviços de ativação, suspensão e cancelamento de token. Tal tarefa é feita pelo emissor do cartão, que pode realizar a atualização do status do token de acordo com as ocorrências identificadas para o cartão físico do portador.

E quais são os casos de uso?

Uma vez que a Plataforma de Tokenização da Elo foi criada para atender as diversas necessidades do mercado atual. Sendo assim, os casos de uso disponíveis na plataforma são os seguintes:

• Virtual Card Number (VCN)

O Virtual Card Number é utilizado em transações CNP (Cartão Não Presente) e direcionasse a emissores que desejam oferecer mais segurança a seus clientes em compras online por meio da substituição dos dados do cartão físico pelos do token.

No caso dos emissores integrados à Plataforma de Tokenização Elo para produto VCN é possível requisitar tokens em seus sistemas e aplicativos, disponibilizando-os para que seus clientes os utilizem como cartões temporários (virtuais).

Após a requisição do token, o emissor precisa informar quais restrições ele deseja para o VCN requisitado:

1. Número máximo de uso: o emissor pode limitar quantas vezes o token será utilizado, por exemplo, uso em apenas uma única venda. No caso de segunda transação, através do mesmo token, a Plataforma de Tokenização Elo indicará ao autorizador do emissor, em momento de transação, que o token não é válido, jpá que este ultrapassou o limite permitido de uso.

2. Validade do token: neste caso, é possível que o emissor restrinja que um token só pode ser utilizado para a data em que este foi gerado.

3. Limites de transação por moeda: emissor pode restrinjir uso de token até um valor máximo.

4. Restrição de categorias de comerciantes (MCC): Aqui o emissor restrinje em quais estabelecimentos comerciais o token pode ser utilizado, de acordo com a lista de categorias (MCCs) previamente definidos.

Dado as restrições citadas acima de uso do VCN, vale destacar que ele não se destina a transações de compra recorrentes, tais como assinaturas ou compra com cartão armazenado. Assim, é importante que o emissor comunique adequadamente ao seu cliente.

A mitigação do risco de fraudes é um dos grandes benefícios desse tipo de token, mas sua utilização representa outra vantagem: redução de perdas e custos, principalmente pela limitação de transações online (CNP) geradas somente via VCN e também pelo prazo e quantidade de uso limitados, diminuindo perdas de ataques de força bruta/data bridge.

• E-Commerce Token

Trata-se de um token destinado a lojistas, gateways de pagamento e qualquer outra entidade que preste serviços para o comércio eletrônico. Assim como ocorre no VCN, é possível substituir o uso de dados do cartão real pelos dados do token, oferecendo maior proteção aos dados sensíveis. Neste caso, esta entidade que implementará o e-commerce token exercerá o papel de requisitante do token.

O E-commerce Token permite que estabelecimentos comerciais armazenem dados de cartão (Card on file) para transações recorrentes. Dessa forma, após sua integração com a Plataforma de Tokenização Elo, o estabelecimento comercial pode requisitar um token de pagamento junto a Bandeira Elo, onde com isto poderá passar a armazenar os dados do token em substituição aos dados do cartão físico.

Este tipo de token auxilia na segurança de cobranças periódicas de serviços e produtos, visto que é uma solução que diminui a exposição e risco de comprometimento de dados do cartão físico, evitando transações fraudulentas.

Como funciona o E-Commerce Token:

Ele age como um substituto do cartão físico para compras online (CNP), principalmente em operações que usam o armazenamento dos dados do cartão (CoF) para transações pontuais ou recorrentes. Através de um e-commerce token, não há necessidade de armazenamento dos dados sensíveis de cartões reais em bases de dados (Cards on File), por parte de lojistas, para realização de futuras transações, independente destas serem ou não recorrentes,

As restrições disponíveis na criação do e-commerce token são as mesmas de um token do tipo VCN. Em função de tais restrições e por agir como substituto dos dados sensíveis do cartão físico nas bases de dado, o e-Commerce token promove o aumento de segurança em transações online (CNP) e a redução de perdas e custos.

• Carteiras Digitais

São um dos meios de pagamentos que mais crescem e sua expansão proporciona conforto de realizar pagamentos através de dispositivos eletrônicos móveis sem a necessidade do uso do cartão real.

A solução de Carteiras Digitais Elo permite que clientes, portadores de cartões Elo, utilizem carteiras digitais com grande expressão e visibilidade para realizar pagamentos em lojas físicas e online sem precisar do cartão físico.

As entidades participantes da solução de Carteiras Digitais da Elo, e integradas a Plataforma de Tokenização Elo, conseguem requisitar tokens por meio de seus aplicativos, com o objetivo de substituir o uso dos dados sensíveis do cartão físico pelos dados do token. Atualmente Apple Pay e Google Pay são as entidades que usam o token Elo para cartetiras digitais.

Um token voltado para carteiras digitais é utilizado por entidades que apresentam mecanismos de defesa específicos, como:

SE (Elemento Seguro): Carteiras digitais baseadas em SE apresentam um elemento seguro inviolável (hardware) no dispositivo, oferecendo um nível maior de segurança para aplicativos da carteira digital, sempre atuando em conjunto com sistema operacional do aparelho. Sendo assim, os dados do token e criptografia ficam armazenados neste elemento seguro. Esta é a tecnologia utilizada pela carteira digital da Apple Pay.

HCE (Emulação de cartão em Host): Carteiras digitais baseadas em HCE (Host Card Emulation) possuem uma arquitetura de software associada ao sistema operacional do aparelho, que provê uma representação virtual eletrônica dos cartões utilizados. É a tecnologia utilizada pela carteira digital Google Pay em dispositivos com sistema operacional Android.

TEE (Ambientes de Execução Confiável): Carteiras digitais baseadas em TEE (Trusted Execution Enviroment) possuem um ambiente de execução apartado do sistema operacional do aparelho provendo um alto nível de segurança.

Este tipo de implementação também tem como grande foco a experiência do usuário. A facilidade de unir mais de uma credencial de pagamento em um único dispositivo, a agilidade das transações sem contato e a facilidade de uma compra online, via dispositivo, são alguns dos diferenciais das carteiras digitais.

A principal característica de produtos de carteiras digitais é a viabilidade de utilizar dispositivos móveis para pagamentos por meio de tecnologias como NFC e In-App, sendo necessário o pré- cadastro do cartão na carteira digital e com a devida validação dos emissores, responsáveis pelo autenticação do portador.

Vale apostar que diferente de uma transação CNP comum, que não é exigida autenticação prévia do portador do cartão, as transações online, via In-App, que ocorrem por meio das carteiras digitais, são autenticadas no momento da requisição do token.Sendo que uma autenticação In-App é realizada pela carteira digital e ocorre no momento da compra. Isso faz da transação uma operação segura.

Texto originalmente publicado na plataforma da Elo

Este artigo foi escrito por Leandro Estrada e publicado originalmente em Prensa.li.