Комментарии 16
Спасибо за статью.
Но иногда, мне кажется что для того, чтобы обезопасить платежи, нужно просто тупо что-нибудь новое разрабатывать. Даже неважно насколько безопасное, ключевое слово — постоянно.
И постоянно хакеры будут это ломать, но если разработка не будет останавливаться, то методы взлома не успеют войти в массы, и так и будет — вечный небезопасный платеж на очередной новой технологии, и маленький процент хакеров в тренде, которые в нем разобраться и что-то подхачить. Затем все по новой. Лишь бы не остановиться на месте на год-два, чтобы способы взлома не появились на каком-нить пикабу.
Но иногда, мне кажется что для того, чтобы обезопасить платежи, нужно просто тупо что-нибудь новое разрабатывать. Даже неважно насколько безопасное, ключевое слово — постоянно.
И постоянно хакеры будут это ломать, но если разработка не будет останавливаться, то методы взлома не успеют войти в массы, и так и будет — вечный небезопасный платеж на очередной новой технологии, и маленький процент хакеров в тренде, которые в нем разобраться и что-то подхачить. Затем все по новой. Лишь бы не остановиться на месте на год-два, чтобы способы взлома не появились на каком-нить пикабу.
А как устроена оплата через приложение Тиньков для телефонов Android с NFC? Я думал, что Apple/Google Pay работают по аналогичному принципу, и вопрос работоспособности этих технологий лежал лишь в юридической плоскости.
Не знаю насчет Тинькова, но в «Кошельке» (который cardsmobile для любых устройств с 4.4 и NFC) и Google Pay используется Host Card Emulation, вроде бы работающий так, как описано в статье (т.е. клиенту отдается только одноразовый токен), а у Apple и более старых «кошельков» все завязано на Secure Element, работающий как чип в настоящей PayPass-карте.
Как все это работает на самом деле? Когда вы водите информацию о своей банковской карте на сайте продавца, она направляется на защищенный сетевой шлюз и специальное считывающее устройство, которое создает токен, чтобы провести транзакцию. Если сайт продавца взломан, эта информация будет для взломщиков бесполезной: никаких реальных данных о карте на нем нет. Вся оригинальная информация обитает в защищенном хранилище данных. Грубо говоря, в «облаке».
Что за чушь. Когда сайт продавца взломан, мониторятся поля ввода и вся информация прекрасно собирается взломщиком до того, как она попадёт в облако.
Под взломом подразумевается доступ к базе данных, где могут храниться данные о клиентах, включая номера карточки.
Отследить, что на сайте выполняется чужой код — не так уж и сложно, и провисит оно там не так уж и долго — много ли данных соберет?
А скопировать базу клиентов за последние 2-3 года с готовыми данными — это совсем другое дело.
Отследить, что на сайте выполняется чужой код — не так уж и сложно, и провисит оно там не так уж и долго — много ли данных соберет?
А скопировать базу клиентов за последние 2-3 года с готовыми данными — это совсем другое дело.
На сайте продавца нет ввода данных карточки.
Много текста и мало смысла. Описание того «как будет работать «безопасная» технология бесконтактных платежей от Visa и Mastercard» видимо надо искать по ссылкам на оригинальные статьи?
Собственно, технология токенизации далеко не нова, и используется в других странах.
Насколько я понял, то, что делают у нас сейчас — это внедрение внутреннего сервиса токенизации. Эдакий отечественный аналог Stripe и иже с ними.
Таким образом обходится ограничение на передачу данных на иностранные сервера, в соответствии с Российским законодательством.
Реально информация о банковских картах передается только на сервер токенизации (который теперь будет внутри страны).
Насколько я понял, то, что делают у нас сейчас — это внедрение внутреннего сервиса токенизации. Эдакий отечественный аналог Stripe и иже с ними.
Таким образом обходится ограничение на передачу данных на иностранные сервера, в соответствии с Российским законодательством.
Реально информация о банковских картах передается только на сервер токенизации (который теперь будет внутри страны).
Яндекс.Деньги уже имеют бесконтактные платежи…
Менеджера/сеошника посадили писать статью?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Токенизация в России: Как будет работать «безопасная» технология бесконтактных платежей от Visa и Mastercard