Tokenização

A plataforma da Dock disponibiliza o recurso de tokenização. Trata-se de uma tecnologia criada para substituir os dados sensíveis dos cartões de crédito e débito, sem a necessidade de expor a informação original da conta do titular do cartão.

A tokenização atua no momento em que os dados são compartilhados pelo portador, garantindo que as credenciais do cartão trafeguem de forma segura e em caso de tentativa de fraude, os dados tokenizados são completamente inúteis para o cibercriminoso.


Vantagens da tokenização

Entre os benefícios de se utilizar a tokenização estão a segurança, transparência, interoperabilidade, gestão de seu ciclo de vida, adequação antecipada para um possível desuso do papel moeda no futuro, além de garantir conformidade com normas de regulamentação previstas como a Lei Geral de Proteção de Dados (LGPD).

Com a digitalização, mais consumidores aderem aos serviços por assinatura, às carteiras digitais e aos dispositivos conectados, tecnologias que se beneficiam da tokenização. Quando o portador armazena nestes aplicativos e dispositivos as credenciais do seu cartão, elas são transformadas em tokens, assim, outra camada de segurança às transações é adicionada.

Para aumentar a eficiência do serviço, as bandeiras que usam tokens para atualizar as credenciais de cartões substituídos por validade, perda, roubo ou tentativa de fraude. Os dados armazenados são renovados automaticamente pela bandeira, sem que o portador precise entrar em contato com cada serviço que utiliza, evitando a interrupção de suas assinaturas.


Carteiras digitais

As carteiras digitais funcionam para o mundo virtual como as carteiras tradicionais servem ao mundo físico. No entanto, no lugar de guardar cédulas, moedas e cartões de crédito, são armazenados dados financeiros e de identidade do usuário, possibilitando a realização de uma série de operações de maneira mais segura, prática e rápida.

O objetivo das carteiras digitais é melhorar a experiência nas transações realizadas tanto no mundo virtual, quanto no mundo físico, ao dispensar o porte de cartões físicos ou dinheiro. Desta forma, é possível realizar pagamentos in loco utilizando o dispositivo eletrônico do portador, em contato com um equipamento eletrônico do estabelecimento comercial.

Ambos os aparelhos precisam dispor da tecnologia Near Field Communication (NFC), comunicação sem fio que requer a aproximação de dois dispositivos, diferente do Bluetooth e Wi-Fi. Ao aproximar os dispositivos, características como o nome do produto e o valor da compra aparecerão na tela do smartphone, assim o usuário terá a opção de confirmar a compra e ter o valor debitado usando a forma de pagamento cadastrada.

Para usar uma carteira digital é preciso criar uma conta com uma empresa que a ofereça, como Google Pay, Samsung Pay ou Apple Pay, além de cadastrar as informações do portador, como nome, endereço e dados dos seus cartões.


Tokenização de um cartão

Para ser possível a realização da tokenização de um cartão, o emissor precisa ter contrato com as carteiras digitais e com a bandeira. O portador, por sua vez, precisa dispor de um dispositivo compatível com pelo menos uma carteira digital. Cumpridos estes requisitos, os passos posteriores são:

FIG: Etapas e participantes do processo de tokenização de um cartãoFIG: Etapas e participantes do processo de tokenização de um cartão

FIG: Etapas e participantes do processo de tokenização de um cartão

1 - O portador digitaliza um cartão em uma carteira digital;
2 - O emissor autentica a operação para o portador iniciar o uso da carteira;
3 - A bandeira cria um token, único por cartão e dispositivo;
4 - A bandeira realiza a ativação do token e informa ao emissor que o token está apto para realizar transações.


Como funciona um pagamento utilizando um Token?

Quando um portador utiliza seu dispositivo móvel em uma transação, o token é enviado para o estabelecimento comercial e, durante a autorização e liberação, a bandeira realiza validações criptográficas, identifica o número do cartão real que está relacionado com o token e envia para o emissor, que por sua vez realiza a autorização da transação.


Manutenção dos tokens

Há várias ações possíveis para um emissor fazer com um token durante o seu ciclo de vida. O serviço de tokenização tem todas as APIs para o ciclo de vida dos tokens disponibilizadas pelas bandeiras.

Exemplos:

1 - Quando um portador liga para o seu emissor, pois suas tentativas de digitalizar o cartão falharam, a API de pesquisa permite que o emissor identifique o token em questão e verifique o status, para que o portador seja avisado e que sejam tomadas medidas corretivas;

2 - Quando um portador notifica seu emissor que um telefone com sua conta tokenizada foi perdido ou roubado, a API de suspensão de token permite que os tokens provisionados nesse dispositivo sejam suspensos, impedindo a execução de transações.

O fluxo de chamada das APIs está representado abaixo, onde o serviço de tokenização faz a ponte entre o emissor e a bandeira.

FIG: Fluxo de chamada das APIs de TokenizaçãoFIG: Fluxo de chamada das APIs de Tokenização

FIG: Fluxo de chamada das APIs de Tokenização

1 - O emissor solicita alguma ação a ser feita com o token;
2 - A Dock através do serviço de tokenização faz a ponte entre o emissor e a bandeira;
3 - A bandeira processa a solicitação;
4 - A bandeira informa o resultado à Dock;
5 - A Dock informa o resultado ao emissor.

As ações disponibilizadas para o emissor gerir o ciclo de vida de um token e os endpoints correspondentes estão listados a seguir:

• Para ativar um token que está aguardando ativação, é só utilizar o endpoint: Token Activate;
• Para consultar informações de tokenização para um cartão, é só utilizar o endpoint: Get information for a card;
• Para consultar detalhes de um token específico, é só utilizar o endpoint: Token Details;
• Para consultar informações de tokenização para um PANPAN - Cartões são identificados por um número conhecido por PAN (Primary Account Number), número de pagamento de cartão ou simplesmente número de cartão., é só utilizar o endpoint: Get Information for a PAN;
• Para listar todos os tokens para um PANPAN - Cartões são identificados por um número conhecido por PAN (Primary Account Number), número de pagamento de cartão ou simplesmente número de cartão., é só utilizar o endpoint: Listing tokens for a PAN;
• Para consultar uma lista de todos os tokens para um panReferenceID, é só utilizar o endpoint: Token List;
• Para listar os PANPAN - Cartões são identificados por um número conhecido por PAN (Primary Account Number), número de pagamento de cartão ou simplesmente número de cartão.s, é só utilizar o endpoint: Get the list of PANs;
• Para atualizar um PANPAN - Cartões são identificados por um número conhecido por PAN (Primary Account Number), número de pagamento de cartão ou simplesmente número de cartão. e a data de expiração de um PANPAN - Cartões são identificados por um número conhecido por PAN (Primary Account Number), número de pagamento de cartão ou simplesmente número de cartão., é só utilizar o endpoint: Update PAN;
• Para suspender um token ativo, é só utilizar o endpoint: Token Suspend;
• Para reativar um token, é só utilizar o endpoint: Token Unsuspend;
• Para apagar um token, é só utilizar o endpoint: Token Delete.

Apenas para Visa:

• Para gerar o pacote criptografado para o push provisioning por ID cartão para carteiras HCEHCE - O Host Card Emulator (HCE) permite que um dispositivo com NFC (Near Field Communication) seja usado como um cartão de crédito ou um cartão projetado para outros fins, de forma que o dispositivo leitor não possa distinguir um do outro. Possui recursos mais avançados para que smartphones e outros dispositivos móveis possam emular vários tipos de cartões, como os usados ​​no transporte público ou soluções de pagamento (crédito e débito). Ele é usado em dispositivos Android. (android), é só utilizar o endpoint: Generate Push Provisioning Payload by CardID for HCE Wallets;
• Para gerar o pacote criptografado para o push provisioning para carteiras HCEHCE - O Host Card Emulator (HCE) permite que um dispositivo com NFC (Near Field Communication) seja usado como um cartão de crédito ou um cartão projetado para outros fins, de forma que o dispositivo leitor não possa distinguir um do outro. Possui recursos mais avançados para que smartphones e outros dispositivos móveis possam emular vários tipos de cartões, como os usados ​​no transporte público ou soluções de pagamento (crédito e débito). Ele é usado em dispositivos Android. (android), é só utilizar o endpoint: Generate Push Provisioning Payload for HCE Wallets;
• Para gerar o pacote criptografado para o push provisioning de Activation Data para carteiras SESE - Secure Element (SE) ou elemento de segurança é um chip microprocessador que pode armazenar detalhes sensíveis e rodar aplicações protegidas como pagamentos. Ele funciona como um cofre, protegendo assim o conteúdo SE (aplicativos e dados) de ataques de malware que são comuns para o host (o sistema operacional do dispositivo). Ele é usado em dispositivos Apple. (apple), é só utilizar o endpoint: Generate Activation Data for SE Wallets;
• Para gerar o pacote criptografado para o push provisioning de Authentication Data por ID cartão para carteiras SE (Apple), é só utilizar o endpoint: Generate Provisioning Authentication Data By Id for SESE - Secure Element (SE) ou elemento de segurança é um chip microprocessador que pode armazenar detalhes sensíveis e rodar aplicações protegidas como pagamentos. Ele funciona como um cofre, protegendo assim o conteúdo SE (aplicativos e dados) de ataques de malware que são comuns para o host (o sistema operacional do dispositivo). Ele é usado em dispositivos Apple. Wallets;
• Para gerar o pacote criptografado para o push provisioning de Authentication Data para carteiras SESE - Secure Element (SE) ou elemento de segurança é um chip microprocessador que pode armazenar detalhes sensíveis e rodar aplicações protegidas como pagamentos. Ele funciona como um cofre, protegendo assim o conteúdo SE (aplicativos e dados) de ataques de malware que são comuns para o host (o sistema operacional do dispositivo). Ele é usado em dispositivos Apple. (Apple), é só utilizar o endpoint: Generate Provisioning Authentication Data for SE Wallets;

Apenas para Mastercard:

• Para enviar um novo código de ativação para o token, é só utilizar o endpoint: Resend Activation Code;


Push provisioning

O push provisioning permite que o usuário inicie o fluxo de Tokenização do seu cartão a partir do aplicativo de seu emissor, em vez do processo começar na carteira digital como o habitual. Neste caso, o emissor deve realizar uma integração automática entre seu aplicativo e uma carteira digital, que por sua vez dará início ao provisionamento do cartão ao receber o pedido de provisonamento de um novo token a partir dos dados do aplicativo do emissor. Após a conclusão da Tokenização o cartão ficará disponível na carteira digital para realização de transações.

No fluxo de push, geralmente, não é necessária a confirmação de autenticação do usuário na carteira digital, considerando que ele já foi autenticado pelo aplicativo do emissor.

Atualmente as carteiras Google Pay e Apple Pay requerem a implementação do push de forma obrigatória.


Setup para tokenização

O emissor que desejar disponibilizar a Tokenização para seus clientes, deverá seguir alguns passos junto a Bandeira e as Carteiras Digitais, bem como verificar a assinatura de contratos e investimentos financeiros.

📘

Nota

No caso da feature de CVV Dinâmico estar sendo utilizada em cartões tokenizados de bandeira Visa, é necessário que o emissor alinhe com a bandeira uma configuração para que o CVV não seja validado lá. Essa validação deve ocorrer apenas no autorizador Odin.

Premissas para um emissor:

  • Assinatura de contrato junto a Bandeira do cartão;
  • Assinatura de contrato junto as Carteiras Digitais (Samsung Pay, Google Pay, Apple Pay). O emissor precisa ter no mínimo contrato com uma carteira digital;
  • Disponibilizar equipe de desenvolvimento especializada em Front-End e API, para realizar o desenvolvimento de Front-End que consumirá as APIs da Dock, responsáveis pela gestão do ciclo de vida do token;
  • Disponibilizar equipe de desenvolvimento especializada em Mobile, para realizar o desenvolvimento da funcionalidade de Push Provisioning no aplicativo do Banco, integrado com as APIs da Dock (quando aplicável);

Para o setup da funcionalidade é necessário que o emissor junto com seu gerente de contas comercial realizem o preenchimento de uma planilha com os dados necessários, os quais estão listados a seguir:

  • Informações do emissor: nome comercial, responsável pelo projeto, e-mail, telefone;
  • Carteiras digitais que serão implantadas;
  • BINS, ranges e tipo de produto (crédito, débito ou pré-pago) elegíveis para a tokenização;
  • Métodos de ativação: métodos de ativação disponibilizado para o usuário final (como SMS, app-to-app ou call center);
  • Chaves da bandeira (Visa ou Mastercard) para o Push Provisioning e/ou para a gestão do ciclo de vida dos tokens.

Funções no plastic

A tokenização é uma das denominadas "funções no plastic" oferecidas pela plataforma da Dock. Assista ao vídeo abaixo para melhor compreensão do conceito e mais detalhes sobre como isso potencializa o uso da feature (2:12'' especifica sobre tokenização).


Did this page help you?