Комментарии
Вы пишете, что клиенты могут управлять токенами, созданными «на имя» их карт. А кто предоставляет такую услугу? Особо технически продвинутые банки или МПС? Как найти этот секретный сервис?
Да, такую возможность смогут предоставлять банки-эмитенты — технически для этого все готово, но как скоро это будет появляться в личных кабинетах банков, сказать не могу. Технология новая, и появляется в России постепенно. Думаю, что на первых этапах это будет решаться через тех. поддержку банков, а дальше уже они будут сами смотреть, когда пора выносить это в интерфейсы.
Интересно, до этого с данным решением не сталкивался. А добавление еще одного элемента в схему взаимодействие систем в рамках проведения оплаты при масштабировании не увеличит время итогового «ок'а» на ту же авторизацию? Были какие-то критичные проблемы или баги с этим связанные?
Да, есть такой момент — лишний вызов незначительно увеличивает итоговое время обработки платежа. Но надо понимать, что токенизация применима не ко всем платежам, а в основном для сценариев подписок/повторных платежей. Таких платежей меньше, да и пользователь в них обычно не участвует — инициирует их магазин, так что время обработки здесь не так критично.
Каких-либо проблем с апреля с этим не возникало.
А перехватывать данные токена нет никакого смысла, потому что токен превращается в тыкву при попытке заплатить в любом другом магазине.


Интересные у вас оценки рисков. А что, использование токена в том же магазине уже не является вектором атаки?
Тут на самом деле намного больше препятствий для злоумышленника — данными токена нельзя воспользоваться, как это можно было бы сделать с данными карты для платежа.
1. Нужно получать одноразовую криптограмму у Visa/MasterCard, что может сделать только Token Requestor.
2. Нужно иметь интеграцию с реальным банком-эквайером, чтобы иметь возможность сделать платеж с использованием данных токена вместо карты.
Возможно, в реализации Яндекс.Деньги действительно больше препятствий для злоумышленника и данными токена нельзя воспользоваться, но у других платёжных провайдеров оплата чужим токеном — вполне реальная ситуация.
Тут "Как ездить на такси за чужой счёт — уязвимости на примере одного сервиса" я пишу, как смог добавить себе токен другого клиента и оплатить им свой заказ (читать со слов «Платёжные карты добавляются в это приложение»).

Daleko, FYI
А почему ничего не рассказали про PAR? Технически, при перевыпуске карты все токены могут и протухнуть, если перегенерируется PAR, например, из-за смены номера карты. Как-то не заметил этого понимания в вашей статье. Почему ничего не сказано про ПС Мир? У них тоже есть технологии токенизации карт или это принципиальное решение не взаимодействовать с ПС Мир? :)

обновление данных банковской карты, для которой был выпущен этот токен, в случае ее перевыпуска.
Здесь данные это последние 4 цифры и срок действия?

Возможность управления токеном.
А чем управление токеном отличается от управления подписок по CNP для клиента? По факту те же грабли, только в профиль… Что так, что так можно узнать, где и когда была привязана карта. Возможно, насильственное отключение подписки будет проще с токеном, так как ПС или эмитент просто банят авторизацию по конкретному токену, но для пользователя, что управление токеном, что просто CNP подписками будет выглядеть идентично. Если нет, то интересно услышать ваше мнение.

Насчёт обновления данных карт. Вообще говоря, токенизация карт и получение обновлённых данных карт это 2 разные вещи, которые никак между собой не связаны. Это 2 разных сервиса, что у Visa, что у Mastercard. У вас же в статье пишется будто это один функционал для магазина. Хотелось бы разобраться, поддерживается ли фича для всех магазинов Я.Кассы? По идее нет, так как ни у одного эмитента не видел подобного сервиса в России.

Когда магазин инициирует очередной платеж с уже просроченной карты, которая на самом деле была перевыпущена, а у нас есть токен к ней для этого магазина
А может ли вообще возникнуть такая ситуация? Если у вас вместе и сервис токенизации, и сервис автообновления реквизитов карт, то вам при перевыпуске должен сразу прилетать апдейт 4 цифр и срока действия карты (а по идее и токена) через API и такого случая вообще не должно быть. Интересно послушать какой-то кейс, когда это может произойти. Мне видится пример, только если у какого-то магазина упал прод и в личном кабинете отображается старая информация, но де факто, всё обновлённое. И эмитент пришлёт смс для новой карты, естественно.

Интересно, кто присылает обновления данных карты Я.Кассе, вы напрямую сотрудничаете с Visa & Mastercard как TPP и даёте этот функционал магазинам? Непонятно, является ли это фичей для всех интернет-магазинов с Я.Кассой или только для избранных. Ну и плюс, как уже писал выше, есть ли данные об эмитентах, которые также подключились к этому сервису? :)

Если же говорить вообще о токенизации карт в e-commerce, то я рад, что наконец-то этот процесс сдвинулся с мёртвой точки. Очень интересно послушать, а будет ли как-то в магазинах обозначаться то, что магазин не хранит данные о карте? Было бы приятно знать, что в магазине поддерживается токенизация.
Технически, при перевыпуске карты все токены могут и протухнуть, если перегенерируется PAR, например, из-за смены номера карты.

Да, это верно. Как и то, что не любая просроченная карта вообще будет перевыпущена. Это зависит от банка-эмитента.

Почему ничего не сказано про ПС Мир?

Просто у МИР на данный момент нет возможности токенизации карт.

Здесь данные это последние 4 цифры и срок действия?

Да, все верно.

А чем управление токеном отличается от управления подписок по CNP для клиента?

А какой именно способ управления подписками имеете в виду, можете чуть подробнее пояснить?

Вообще говоря, токенизация карт и получение обновлённых данных карт это 2 разные вещи, которые никак между собой не связаны.

Отчасти так. Платежные системы и правда предоставляют отдельную возможность узнавать обновления данных карт. В Яндекс.Кассе мы эту отдельную фичу не используем.
Если же говорить о токенах, то по ним платежные системы дают аналогичную возможность, но она работает немного по-другому (мы не получаем полные данные карт — лишь last4 и expiry), и является неотъемлемой частью жизненного цикла токена, которую обязан поддерживать любой Token Requestor.

Хотелось бы разобраться, поддерживается ли фича для всех магазинов Я.Кассы? По идее нет, так как ни у одного эмитента не видел подобного сервиса в России.

Фича обновления данных токена, как и в целом E-comm токенизация, поддерживается всеми основными банками-эмитентами в РФ. Я сам проверял перевыпуск карты в паре крупных банков-эмитентов, все работает.
Что касается магазинов Я.Кассы, то мы постепенно включаем поддержку токенизации магазинам, которые используют функциональность сохранения способа оплаты у нас. Сейчас работает для нескольких десятков магазинов. Вот кстати был пресс-релиз, когда на первых магазинах запускали в апреле: retail-loyalty.org/news/mastercard-i-yandeks-kassa-vpervye-v-rossii-zapuskayut-tekhnologiyu-tokenizatsii-dlya-internet-komme

А может ли вообще возникнуть такая ситуация? Если у вас вместе и сервис токенизации, и сервис автообновления реквизитов карт, то вам при перевыпуске должен сразу прилетать апдейт 4 цифр и срока действия карты (а по идее и токена) через API и такого случая вообще не должно быть.

Тут как раз и имелось в виду, что если бы не было автообновления реквизитов карт, то карта была бы уже просрочена и платеж бы не прошел.

Интересно, кто присылает обновления данных карты Я.Кассе, вы напрямую сотрудничаете с Visa & Mastercard как TPP и даёте этот функционал магазинам? Непонятно, является ли это фичей для всех интернет-магазинов с Я.Кассой или только для избранных. Ну и плюс, как уже писал выше, есть ли данные об эмитентах, которые также подключились к этому сервису? :)

Да, мы получаем такие уведомления напрямую от Visa/MasterCard. На данный момент мы обновляем данные в своей системе, а магазин узнает о том, что карта обновилась, только при очередном платеже. API для магазинов, чтобы получать аналогичные уведомления, пока не предусмотрено, если ваш вопрос был об этом.

Очень интересно послушать, а будет ли как-то в магазинах обозначаться то, что магазин не хранит данные о карте? Было бы приятно знать, что в магазине поддерживается токенизация.

Пока не знаю, но мысль интересная, думаем над этим :)
Спасибо за столь подробные ответы!

А какой именно способ управления подписками имеете в виду, можете чуть подробнее пояснить?
Теоретически, при совершении первой транзакции и установки флага на последующие CNP транзакции, ПС или банк-эмитент могут запомнить эту самую транзакцию и показывать в своём приложении информацию о том, что вот в этом-то магазине «привязана» карта и с неё могут списать деньги через CNP. То есть это, можно сказать, «костыльный» метод, когда нет токенизации карт) Он позволяет без сложных словинтеграций сразу предоставлять сервис пользователям (тут есть нюансы, конечно, некая интеграция с ПС будет необходима). Как мне видится, отличий в таком случае нет (если мы говорим про управление подписками). Конечно, с точки зрения банка это может быть гораздо сложнее, так как надо будет проверять транзакции и вести перечень этих самых магазинов. Будут сложности и при удалении карты, но подобный сервис относится к сервису именно для ПС, поэтому решить эти проблемы через API будет просто. И очень было бы интересно услышать, насколько трудозатратно было стать Token Requester с точки зрения разработки, напрашивается ещё одна статья ;)

Фича обновления данных токена, как и в целом E-comm токенизация, поддерживается всеми основными банками-эмитентами в РФ. Я сам проверял перевыпуск карты в паре крупных банков-эмитентов, все работает.
Здесь, наверное, надо уточнить, что такое перевыпуск карты. Мне сбер как-то перевыпускал карту с заменой PANа, это тоже называется перевыпуск, но, вообще говоря, совершенно другая карта. Очень интересен этот кейс, может, у вас есть какая-то информация по этому поводу, будет ли в таком случае токен работать или протухнет?

По токенам действительно нашёл у Мастера в MDES API запрос на обновление данных! Интересная информация на почитать.

За новость спасибо, я на самоизоляции как-то её проглядел :) Получается, на текущий момент есть поддержка и Visa, и Mastercard? Или только Mastercard? Не нашёл новости про Visa или это уже не было инфоповодом?
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.