Токенизация карт в E-commerce: что это такое и как работает?
Всем привет! Недавно мы в Яндекс.Кассе совместно с платежными системами Visa и Mastercard запустили новую технологию токенизации платежей для E-commerce, или, по-другому, онлайн-коммерции. Кто-то может подумать: что тут такого — с токенизацией карт разобрались уже с выходом Apple Pay, Google Pay и других *Pay. Но нет, тут что-то новенькое, а мы еще и первыми эту технологию запустили в России этой весной для магазинов-партнеров, так что почему бы не поделиться.
В США и Европе эта технология появилась несколько раньше, и пользователи таких сервисов, как Netflix и Amazon, уже платят E-commerce токенами, хотя, возможно, даже не знают об этом. А я сейчас расскажу, как это устроено не только снаружи (для партнеров и держателей карт), но и изнутри, с точки зрения разработчика и тимлида этого проекта. Если интересно — велкам под кат.
Что общего с Apple Pay и Google Pay
Те читатели, которые представляют, как работают Apple Pay и Google Pay (а кто не знает — вот наша статья про запуск *Pay), увидят тут знакомые слова.
Если коротко, то одна из особенностей технологий *Pay заключается в том, что плательщику не нужно передавать магазину данные своей банковской карты. Он один раз обменивает их на специальный цифровой токен и дальше, не подвергаясь риску перехвата данных карты, при платеже использует только этот токен. А преимущество в том, что токен работает только вместе с одноразовой криптограммой, которая генерируется на телефоне плательщика, а вне телефона эту криптограмму создать не получится. К тому же этими токенами легко управлять — удалять или создавать новые — дело одной минуты в онлайне, никаких походов в банк и прочей бюрократии.
Пока запомним эти особенности токенизации карт на устройствах пользователей:
Запомнили? А теперь перейдем к токенизации карт для E-commerce, иначе говоря, для онлайн-платежей в интернет-магазинах.
Итак, что такое токенизация в E-commerce
Вообще, токенизация карты — это обмен конфиденциальных данных банковской карты на специальный токен, который позволяет оплачивать покупки с помощью этой карты.
Конфиденциальные данные карты — это ее номер (PAN — Primary Account Number) и срок действия.
Если для подключения карты в *Pay инициатором является сам держатель карты, то токенизацию для E-commerce инициирует интернет-магазин. Но зачем (и с какой стати)?
Наверняка многие из вас пользуются сервисами с подписками: будь то ежемесячная оплата музыки, фильмов или, например, коммунальных услуг. Как оформляется эта подписка? Вы заходите на сайт интернет-магазина, вводите данные своей карты и ставите галочку, подтверждающую ваше согласие на то, что магазин сохранит данные вашей карты (PAN и срок действия) и сможет самостоятельно инициировать оплату за конкретную услугу.
Нужно понимать, что такое действие подразумевает, что магазин должен где-то сохранить данные карты. Тут обычно два варианта:
Давайте обо всем по порядку. При токенизации мы обмениваем данные банковской карты на некий токен, но что это такое? Токен предоставляется платежной системой карты — Mastercard или Visa. Он представляет собой уникальный идентификатор, аналогичный номеру учетной записи устройства в Apple Pay или номеру виртуального счета в Google Pay, которые можно найти в приложении на смартфоне (Wallet на устройствах Apple и Google Pay — на Android).
В отличие от *Pay, в E-commerce токенизации создание токена инициирует интернет-магазин или его платежное решение, а сами токены хранятся на серверах платежных систем.
Разумеется, кто угодно не может прийти к платежной системе и получить токен чьей-либо карты для оплаты покупок. Во-первых, токенизировать карты могут только те платежные решения, которые пройдут сертификацию и получат одобрение платежных систем. Такое платежное решение называется On-Behalf Token Requestor или Token Service Provider, но для простоты будем впредь оперировать термином Token Requestor. И только Token Requestor может инициировать платежи токеном. Во-вторых, токен всегда выпускается для конкретного магазина, и с помощью токена можно платить только в этом магазине. Очень похоже на то, как токен *Pay связан с устройством, на котором он был создан.
За счет чего это достигается? Просто перед проведением каждого платежа по токену Token Requestor должен получить одобрение у платежной системы на этот платеж. Факт такого одобрения надо будет предъявить во время фактического проведения платежа, поэтому одобрение это имеет форму одноразовой криптограммы, которую формирует платежная система карты. При проведении платежа эта криптограмма добавляется к параметрам запроса в банк-эквайер и затем передается платежной системе, которая проверяет подлинность этой криптограммы, которую сама ранее выдавала.
А что там про управление токеном независимо от управления картой? Тут вообще все просто — токен живет своей жизнью, имеет свои статусы жизненного цикла, и о каждом изменении статуса Token Requestor сразу же узнает от платежной системы карты.
Подведем некоторый итог. Что токенизация дает держателю карты?
*Мы сравнивали платежи за этот апрель в крупном онлайн-кинотеатре (MCC 4899) — привязанными картами без 3DS, без учета неуспешных платежей из-за нехватки денег на карте.
Технические аспекты
Для любителей копнуть чуть глубже, расскажу о технологии токенизации карт и ее запуске в Яндекс.Кассе — как все это выглядит изнутри нашего платежного решения.
Интеграция с платежными системами
Чтобы получить техническую возможность токенизировать карты и проводить платежи токенами, необходимо интегрироваться с Visa и Mastercard, пройти тесты, сертификацию и получить их одобрение на запуск в production. Поначалу это звучало устрашающе. Да и не только поначалу, если честно, по крайней мере, для меня. Но устрашала скорее сертификация, а по технике все было предельно ясно.
Интеграция подразумевает реализацию следующего API (условно) между платежной системой и нами в качестве Token Requestor:
Токенизация в Яндекс.Кассе
Яндекс.Касса представляет из себя большую систему по приему платежей для интернет-магазинов. Она состоит из многих десятков различных сервисов: backend-, frontend-приложения, BI-сервисы. Они обеспечивают прием платежа пользователя различными способами, перевод денежных средств магазину, управление платежами через личный кабинет магазина, аналитические сервисы и тому подобное. И как именно сюда встроилась токенизация карт?
Главный вопрос: в какой момент создавать токен для банковской карты?
В API Яндекс.Кассы есть возможность сохранять выбранный способ оплаты для последующих платежей в будущем, мы это называем автоплатежи.
Это может происходить как при привязке карты к аккаунту пользователя в личном кабинете магазина, так и при подписке на периодической основе, когда платежи с карты будут проводиться автоматически. В обоих сценариях при создании платежа магазин по API передает параметр save_payment_method: true, и после успешного платежа мы выдаем магазину payment_method_id — идентификатор сохраненного способа оплаты, с помощью которого он сможет проводить новые платежи.
Вот он, этот момент. Токены созданы как раз для платежей, инициированных магазином. Поэтому сразу после проведения платежа с сохранением способа оплаты мы асинхронно ставим нашему сервису токенизации задачу создать токен для пары «карта и магазин».
Что же сами платежные системы делают в момент токенизации карты?
Они обращаются в банк-эмитент, с запросом на создание токена (как это происходит и при создании токенов *Pay), и банк выпускает токен для данного магазина. Банк также может уведомить об этом держателя карты и отобразить созданный токен в его личном кабинете.
Как происходит платеж токеном?
Пожалуй, тут понадобится некоторая иллюстрация, как вообще проходит платеж ранее сохраненной картой, который инициирует интернет-магазин:
Итак, при платеже ранее сохраненным способом магазин передает только его идентификатор — payment_method_id. По этому идентификатору сервис платежей картами находит данные (PAN и срок действия) карты и передает их одному из банков-эквайеров, который далее общается с платежной системой карты.
С токенами в этом сценарии добавляется еще один шаг:
Если видим, что для карты и магазина ранее был выпущен токен, то мы можем провести платеж без использования данных карты. Для этого мы через сервис токенизации предварительно отправляем запрос в международную платежную систему с данными токена и в ответ получаем одноразовую криптограмму, которая подтверждает, что токен действующий и мы имеем право провести платеж. И уже после этого мы передаем банку-эквайеру данные токена вместе с этой криптограммой.
А что происходит в сценарии, когда пользователь перевыпускает карту в своем банке?
Если к карте ранее были выпущены токены, то банк-эмитент сообщает в платежную систему Mastercard/Visa, что карта перевыпущена. В свою очередь, каждый Token Requestor, который выпускал токены к этой карте, получит уведомление от платежной системы. Оно содержит обновленную информацию о карте: последние 4 цифры номера и новый срок действия. Токен при этом остается прежним.
Когда магазин инициирует очередной платеж с уже просроченной карты, которая на самом деле была перевыпущена, а у нас есть токен к ней для этого магазина — платеж пройдет успешно. К тому же мы сообщим магазину уже новые последние 4 цифры банковской карты — они будут присутствовать в ответах нашего API. Это нужно для того, чтобы и магазин, и пользователь всегда видели, с какой именно карты списываются средства.
Вместо заключения
Токенизация в E-commerce — это новый этап развития приема платежей, повышающий удобство для всех участников процесса оплаты. Мы ожидаем, что в ближайшее время технологию поддержат многие российские банки и провайдеры — и она станет новым стандартом платежного рынка.
Конечно, рассказ получился скорее обзорным, но я надеюсь, что каждый читатель найдет в нем что-то полезное для себя — повысит свой уровень финансовой грамотности, узнает о новинках в финтехе или, может, найдет идею для развития своего бизнеса.
Добро пожаловать в Базу знаний re:Kassa 👋
О кассе
Нужно ли печатать бумажные чеки? Хватит ли электронного чека?
Обязательно ли распечатывать чек
Соответствует ли reKASSA закону РК?
Является ли reKASSA полноценным кассовым аппаратом
Почему касса бесплатная?
Текущая версия reKASSA будет бесплатной всегда!
Как временно выключить/отключить кассу
Как временно приостановить/остановить работу кассы
Обновление токена
Как сбросить токен в ОФД Транстелеком? Где взять ID кассы?
Как сбросить/обновить токен ОФД ТранТелеком Где взять/найти id кассы в ОФД ТрансТелеком
Как сбросить токен в ОФД Казахтелеком? Где взять ID кассы?
Как сбросить/обновить токен ОФД Казахтелеком Где взять/найти id кассы в ОФД Казахтелеком
Карантин
Что делать с кассовым аппаратом при остановлений деятельности из-за карантина или закрытий организации
Как приостановить/остановить деятельность Как отключить/закрыть кассу на время карантина
Как оплатить услуги ОФД? Как зайти в личный кабинет ОФД? Где взять лицевой счет?
Важно пополнить счёт с момента регистрации и до 1 числа месяца.
Как восстановить пароль от личного кабинета ОФД
Что делать если забыли пароль от личного кабинета ОФД
Ошибся при добавлении кассы в ОФД(ЗНК/серийный номер, модель, год), что делать?
Что делать при некорректных указанных данных в ОФД
Как ввести токен в ккм?
Как ввести токен в ккм миника?
Откройте карточку зарегистрированной ККМ. В открывшемся окне нажмите «Подтвердить». Новый токен отобразится в текстовом поле. Его необходимо скопировать и ввести в ККМ для печати чеков на кассе.
Что означает неверный токен на кассовом аппарате?
«Неверный токен» Проверьте введенные в режиме программирования данные ККМ. В частности, KKM Token. «Ошибка протокола!» Данная ошибка возникает в случае несовпадения протоколов сервера ККМ и клиентского приложения.
Как зарегистрировать кассовый аппарат для ИП?
Достаточно зайти в личный кабинет предпринимателя, но для этого нужна электронная подпись. Во вкладке «Учет контрольно-кассовой техники» надо выбрать пункт «Зарегистрировать ККТ». В нем есть форма регистрации, которую нужно заполнить и отправить. Налоговая проверяет данные и выдает регистрационный номер аппарата.
Как вставить ленту в кассовый аппарат Миника 1102ф?
Установить чековую ленту на Миника 1102МК-Ф
Почему ккм работает в автономном режиме?
Автономный режим — это режим, в который переходит кассовый аппарат при отсутствии связи с сервером. … При нахождении в автономном режиме ККМ может продолжать печатать чеки, на которых указывается автономный фискальный признак. Все напечатанные чеки контрольно-кассовая машина сохраняет в своей памяти.
Что делать если завис кассовый аппарат?
Первое, что нужно сделать — остановить продажу через сломанный кассовый аппарат. Второе — обратиться фирму по ремонту онлайн-касс. Аккредитованные сервисные центры (АСЦ) помогут решить проблему. Кстати, согласно 54-ФЗ, предприниматель может выбрать любой АСЦ для обслуживания своих касс, без привязки к региону.
Как разблокировать кассовый аппарат прошло 72 часа?
Для разблокировки касс, находившимся в автономном режиме более 72 часов необходимо пробить Z-отчёт или обратиться в ЦТО.
Что такое не верный токен?
Не могу войти в аккаунт (ошибка сети, неверная дата и время, неверный токен) Подобные сообщения об ошибке появляются, когда Ваше интернет соединение нестабильно. … Если аккаунт привязан к соц сети ВкFB, нужно полностью удалить приложение Вконакте FaceBook.
Как зайти в Офд?
Войти в личный кабинет можно без КЭП. Введите в поле авторизации (справа) электронную почту и пароль, которые указывали при регистрации. Нажав на картинку с изображением глаза в поле «Пароль» вы можете включить или выключить видимость набираемого пароля. Нажмите кнопку «Войти».
Как посмотреть чеки в Офд?
Что нужно для того чтобы поставить кассовый аппарат?
Как установить кассовый аппарат для ИП
Сколько стоит зарегистрировать кассовый аппарат в налоговой для ИП?
За регистрацию кассы в налоговой платить не надо, однако для работы в личном кабинете на сайте ФНС нужно приобрести ЭЦП и ПО, цена на которые составляет от 600 рублей.
Не передаются данные в офд, что делать
Из нашей статьи вы узнаете:
Разбираемся, почему данные с онлайн-касс (ККТ) не попадают в ОФД и как это исправить.
Почему касса не отправляет чеки в ОФД
ККТ неисправна. Данные в ОФД не будут отправляться, если кассовый аппарат сломан или неверно настроен. Из строя может выйти модуль связи или фискальный накопитель. Помните, что срок годности последнего — 3 года.
Если касса неисправна, не продолжайте работать с ней. Обратитесь к техническому специалисту или в сервисный центр. Возможно, придётся купить новую кассу или фискальный накопитель.
Отсутствует связь с сервером. Возможные причины проблем с сетью:
Сотрудники могут продолжать работу с кассой, если нет соединения с интернетом. Касса хранит данные на фискальном накопителе, чтобы отправить их, когда соединение с сервером восстановится. Если проблему не устранить за 30 дней — касса блокируется. Ошибка 137 (или ФН 235) говорит, что фискальный накопитель закончился.
Проблемы на сервере ОФД. В таком случае на чеке появится надпись «ОФД не отвечает».
Всё что требуется от пользователя в такой ситуации — связаться с оператором. ОФД сам разберется с проблемами сервера.
Как узнать, что ККМ не может передать чеки оператору?
Обратите внимание на параметр «Число непереданных ФД». Если его значение — «0», значит всё в порядке и документы попадают к оператору фискальных данных. Если значение выше «0» — есть проблемы. В таком случае запомните дату первого неотправленного документа — на устранение неполадок даётся 30 дней, затем касса блокируется.
Какие штрафы грозят за неправильную работу с кассой
Продавца, который не передаёт данные о пробитых чеках в ОФД могут оштрафовать по статье 14.5 КоАП РФ:
В письме Минфина № 03-01-15/33121 приведены случаи, когда штраф не применяют: проблемы с интернет-соединением, ошибки со стороны ОФД и неисправная ККТ.
За работу без онлайн-кассы штрафуют:
Система «Астрал. ОФД» аккредитована на регистрацию и снятие с учёта ККТ. Техническая поддержка онлайн-касс доступна круглосуточно. Для подключения системы оставьте заявку на сайте.
Как ввести токен в ккм?
Как ввести токен в ккм миника?
Откройте карточку зарегистрированной ККМ. В открывшемся окне нажмите «Подтвердить». Новый токен отобразится в текстовом поле. Его необходимо скопировать и ввести в ККМ для печати чеков на кассе.
Что означает неверный токен на кассовом аппарате?
«Неверный токен» Проверьте введенные в режиме программирования данные ККМ. В частности, KKM Token. «Ошибка протокола!» Данная ошибка возникает в случае несовпадения протоколов сервера ККМ и клиентского приложения.
Как зарегистрировать кассовый аппарат для ИП?
Достаточно зайти в личный кабинет предпринимателя, но для этого нужна электронная подпись. Во вкладке «Учет контрольно-кассовой техники» надо выбрать пункт «Зарегистрировать ККТ». В нем есть форма регистрации, которую нужно заполнить и отправить. Налоговая проверяет данные и выдает регистрационный номер аппарата.
Как вставить ленту в кассовый аппарат Миника 1102ф?
Установить чековую ленту на Миника 1102МК-Ф
Почему ккм работает в автономном режиме?
Автономный режим — это режим, в который переходит кассовый аппарат при отсутствии связи с сервером. … При нахождении в автономном режиме ККМ может продолжать печатать чеки, на которых указывается автономный фискальный признак. Все напечатанные чеки контрольно-кассовая машина сохраняет в своей памяти.
Что делать если завис кассовый аппарат?
Первое, что нужно сделать — остановить продажу через сломанный кассовый аппарат. Второе — обратиться фирму по ремонту онлайн-касс. Аккредитованные сервисные центры (АСЦ) помогут решить проблему. Кстати, согласно 54-ФЗ, предприниматель может выбрать любой АСЦ для обслуживания своих касс, без привязки к региону.
Как разблокировать кассовый аппарат прошло 72 часа?
Для разблокировки касс, находившимся в автономном режиме более 72 часов необходимо пробить Z-отчёт или обратиться в ЦТО.
Что такое не верный токен?
Не могу войти в аккаунт (ошибка сети, неверная дата и время, неверный токен) Подобные сообщения об ошибке появляются, когда Ваше интернет соединение нестабильно. … Если аккаунт привязан к соц сети ВкFB, нужно полностью удалить приложение Вконакте FaceBook.
Как зайти в Офд?
Войти в личный кабинет можно без КЭП. Введите в поле авторизации (справа) электронную почту и пароль, которые указывали при регистрации. Нажав на картинку с изображением глаза в поле «Пароль» вы можете включить или выключить видимость набираемого пароля. Нажмите кнопку «Войти».
Как посмотреть чеки в Офд?
Что нужно для того чтобы поставить кассовый аппарат?
Как установить кассовый аппарат для ИП
Сколько стоит зарегистрировать кассовый аппарат в налоговой для ИП?
За регистрацию кассы в налоговой платить не надо, однако для работы в личном кабинете на сайте ФНС нужно приобрести ЭЦП и ПО, цена на которые составляет от 600 рублей.
