Эмуляция банковской карты на телефоне



    HCE (Host-based Card Emulation) – это технология, которая дает возможность писать софт, не требующий для исполнения выделенного криптопроцессора, чтобы обеспечить сеанс связи с платежным терминалом. Приложение исполняется на основном процессоре мобильного устройства, в окружении операционной системы телефона.

    HCE для NFC имеет открытую архитектуру, что позволяет эмулировать не только банковские карты, но и карты программ лояльности, транспортные карты, пропуска и так далее. Технология позволяет заметно ускорить процесс внедрения платежных NFC-сервисов, потому что не нужно координировать и согласовывать действия с производителями телефонов, кроме того, решаются многие проблемы совместимости.

    Мы сделали такой HC-эмулятор в своём приложении. До появления технологии HCE информацию для осуществления NFC-транзакций в мобильных устройствах можно было хранить тремя способами: либо на SIM-карте (принцип SIM centric NFC), либо в специальном элементе на телефоне (Embeded Secure Elements, eSE), либо на специальной MicroSD.

    Как обстояли дела ранее?


    У классических способов до HCE имеются существенные недостатки. При подходе SIM centric требуются специальные SIM-карты, которые значительно дороже стандартных карт, обязательна процедура посещения пользователем точки продаж для замены SIM-карты и т.д.
    При eSE-подходе сложностей и ограничений ещё больше – моделей телефонов, имеющих специальный блок для хранения информации о карте, на рынке крайне мало, стоимость персонализации элемента в телефоне весьма высокая, появляется зависимость от производителя телефона и провайдера услуг персонализации «по воздуху» (Over-The-Air Service Provider). Эти ограничения, аппаратные и организационные барьеры до последнего времени не давали возможности сделать сервис бесконтактных платежей при помощи мобильных устройств массовым.
    Раньше, чтобы запустить сервис NFC-платежей, его провайдеру нужно было договариваться с вендором о получении ключей для записи на телефон платежных данных. Некоторые производители телефонов предоставляли собственный облачный сервис, с которым провайдеру платежного сервиса необходимо было интегрироваться, передавать ему платежные данные для дальнейшей заливки этих данных в телефон. По пути «закрытой» технологии сейчас пошел и Apple – для работы платежного приложения используется криптопроцессор, ключи есть только у производителя аппарата, и только он может загружать платежные данные.

    Для пользователей основным неудобством этих hard подходов является привязка системы безопасности к аппаратным средствам а, следовательно, неизбежная необходимость смены SIM-карты или даже телефона для подключения сервиса NFC-платежей.

    Google: мы пойдем другим путем


    Другой подход избрали в Google, рассудив, что зависимость от вендоров (производителей телефонов и Secure Elements) радикально снижает адаптивность технологии и препятствует массовому тиражированию платежных сервисов. Рассудив так, Google реализовала подход, при котором NFC-контроллер напрямую связан с основным процессором, непосредственно обеспечивающим работу платежного приложения, хранение данных, подпись транзакций и т.д. А информационная безопасность обеспечивается программными средствами.

    В декабре 2013 года Google выпустила версию Android 4.4 KitKat, в которой была реализована возможность взаимодействия NFC-контроллера не только с SE, но и с обычным приложением в телефоне. Проще говоря, отпала необходимость промышленной прогрузки информации в специальные устройства, стало достаточно просто установить на смартфон платежное приложение, работающее по технологии HCE.

    Как это работает?


    У нас есть карта «Билайн» — обычная дебетовая MasterCard, которую можно получить бесплатно в любом салоне «Билайн». Ежегодная абонентская плата за обслуживание нашей карты не взимается. Карта работает как обычный MC по всему миру, только при совершении покупок возвращается от 1,5% потраченной суммы на счет в виде бонусов. Накопленные бонусы могут быть использованы при оплате услуг мобильной связи, нашего проводного интернета, разных товаров в наших и партнёрских магазинах.

    Карта эмулируется на телефоне.

    По сути, технология HCE дает возможность эмулировать в телефоне бесконтактные smart-карты. В нашем случае виртуальная карта является дополнительной функцией физического носителя – пластиковой карты «Билайн». Владелец такой карты, являющийся одновременно владельцем телефона на платформе Android KitKat, оснащенного NFC-модулем, устанавливает на него мобильное приложение карты «Билайн». При входе в мобильное приложение для активации функции бесконтактных платежей достаточно ввести ЕАN карты и свой пароль. Приложение проверяет наличие/доступность HCE на устройстве, и если все ок, пользователю предлагается подключить функционал.
    Если пользователь подтверждает свое согласие на подключение сервиса, ответив на полученную sms вводом одноразового пароля, то производится эмиссия виртуальной карты – в мобильное приложение из процессингового центра загружаются данные, необходимые для совершения NFC-платежей. Собственно, на этом всё – телефон стал инструментом бесконтактной оплаты.





    На телефоне HCE функционирует как фоновый сервис, что позволяет использовать HCE, не запуская приложение для этого взаимодействия. При взаимодействии с терминалом Android’у необходимо выбрать приложение, которому отправить данные для обработки. Такой выбор делается на базе Application ID (AID), который содержит до 16 байт информации, и известен для популярных платежных систем, таких как Visa или MasterCard. Приложение может обрабатывать несколько различных AID, которые объединяются в группу. Каждая группа может быть связана с определенной категорией. В настоящий момент определено две категории: CATEGORY_PAYMENT (для приложений оплаты) и CATEGORY_OTHER (для остальных). В телефоне может быть установлено несколько приложений для одного и того же AID, для разных категорий может быть применена разная политика выбора приложения, для платежных приложений определяется одно активное приложение по умолчанию.

    Для реализации HCE нам было необходимо расширить сервис HostApduService и реализовать методы: processCommandApdu() – вызывается, когда приложение взаимодействует с терминалом и onDeactivated() – если связь с терминалом потеряна, или другой NFC-ридер пытается установить соединение. Данный сервис декларируется в манифесте приложения и должен содержать intent-фильтр для SERVICE_INTERFACE, доступ android.permission.BIND_NFC_SERVICE и метаданные, определяющие, какие AID обрабатывают наш сервис. Также тут мы можем определить, требуется ли разблокировка устройства для совершения оплаты с его помощью. Разрешение BIND_NFC_SERVICE гарантирует, что все взаимодействия с NFC-модулем будут осуществляться через операционную систему Android. А безопасность хранимых данных базируется на стандартной системе «песочницы» для приложения.

    Схема взаимодействия элементов в процессе бесконтактной оплаты по технологии HCE

    Элементами системы являются:
    NFC-контроллер – передает команды от терминала платежному приложению.
    Мобильная платформа – серверная часть мобильного банка, включающая функции управления платежным приложением.
    Хост эмитента – процессинговый центр эмитента, который для обслуживания мобильного приложения умеет взаимодействовать с мобильной платформой.
    Хост эквайера – процессинговый центр эквайера.
    При совершении бесконтактной оплаты терминал взаимодействует с NFC-контроллером телефона по протоколу ISO 14443 (APDU T=CL).
    NFC-контроллер взаимодействует с Платежным приложением по внутреннему протоколу, специфицированному в Android 4.4 и выше.

    Платежное приложение получает от терминала ключевые данные транзакции (сумма, валюта, время операции, свойства терминала и т.д.), проводит проверку возможности совершения операции и в случае успеха генерирует уникальную криптограмму (ARQC) на уникальном секретном ключе Платежного приложения. Данные, на которых рассчитывается криптограмма, включают случайное число.

    В зависимости от суммы и свойств терминала у клиента может быть запрошен пин-код, который вводится клиентом на терминале (или пин-паде).

    Терминал на хост эквайра формирует авторизационный запрос, который включает ARQC и шифрованный пин-код, если он был введен клиентом.

    Далее с хоста эквайера авторизационный запрос через платежную систему маршрутизируется на хост эмитента, где принимается решение об одобрении или отказе авторизации.

    Проверки на хосте эмитента включают:
    1. Проверку криптограммы (ARQC).
    2. Проверку пин-кода (если он был введен клиентом).
    3. Проверку правил обслуживания карты.
    4. Проверку лимитов карты и счета.
    5. Проверку анти-фродовых правил, включая специфические правила для бесконтактной оплаты телефоном.

    В результате обработки авторизации на хосте эмитента формируется ответ, который по обратной цепочке доставляется в терминал.

    Что нужно для использования сервиса в России


    Для того чтобы пользоваться сервисом бесконтактной оплаты, необходимо в любом офисе «Билайн» бесплатно получить предоплаченную карту «Билайн». Далее – скачать на Google Play мобильное приложение карты «Билайн» и активировать функцию бесконтактной оплаты. Аппаратные и программные ограничения: операционная система Android, версия не ниже 4.4, наличие в телефоне NFC-модуля.

    Какие еще есть особенности?


    Например, если у пользователя не один, а несколько телефонов на Android 4.4, то сервис бесконтактной оплаты, привязанный к его основной карте, может быть установлен на все устройства владельца этой карты. Это удобно, например, для использования сервиса семьей. При этом на одном телефоне может существовать только одна виртуальная карточка.

    При оплате, когда телефон подносится к терминалу, на экране отображается сумма покупки и информация об успешности проведения платежа.
    Оплата производится только при разблокированном экране, поэтому важно, чтобы телефон был защищен паролем. При этом само приложение может быть закрытым. При удалении приложения с телефона виртуальная карта блокируется. При восстановлении приложения происходит повторная эмуляция карты, поэтому придется проходить процесс настройки бесконтактной оплаты с нуля. Повторная активация услуги потребуется также, если в приложении отключить сервис бесконтактной оплаты. Однако удалять приложение или отключать сервис вовсе не обязательно – для временной блокировки можно использовать функцию «Приостановить бесконтактную оплату».


    Активность сервиса бесконтактной оплаты подтверждается оранжевым цветом соответствующей иконки

    В чем профит?


    Итак, что нам дает сервис бесконтактной оплаты с помощью мобильного телефона? Можно забыть дома кошелек, оставить в квартире паспорт или даже водительское удостоверение, но почти со 100% вероятностью сотовый телефон будет при вас. А если на этом телефоне инсталлировано приложение для бесконтактной оплаты, значит, вы всегда «при деньгах».

    Далее. NFC-транзакция – это мгновенная оплата. Даже для того чтобы расплатиться пластиковой карточкой, её для начала нужно извлечь из бумажника, а перед этим – бумажник из кармана или сумки. При расчете наличными добавляется момент пересчета, передачи денег, получения и проверки сдачи и т.д. Транзакции до 1000 рублей, совершенные при помощи NFC и HCE, даже не требуют ввода ПИН-кода, и расчет без всякого преувеличения происходит в один момент и в одно касание.

    После совершения транзакции на телефон приходит sms-сообщение о прошедшей операции и об остатке на счете, т.е. вы всегда в курсе состояния своего электронного кошелька.

    Кстати, интересная деталь – в приложении карты «Билайн» реализована технология единого ПИНа для нескольких карт, в данном случае – для основной карты «Билайн» и карты, эмулированной мобильным приложением. То есть и при расчете по пластиковой картой, и используя сервис бесконтактных платежей, вы вводите один и тот же пароль.

    Сервис бесплатный, никаких комиссий за NFC-транзакции не взимаются.

    Где можно платить?


    Конечно, развитость инфраструктуры приема бесконтактных платежей зависит от конкретного региона, однако сегодня уже порядка 5% платежных терминалов уже оснащены функцией NFC. В масштабах всей России это, по экспертным оценкам, около 30 тысяч устройств. Лидеры рынка производства POS-терминалов – VenFone и Ingenico – уже не первый год оснащают свои устройства поддержкой NFC в качестве базовой стандартной функции.

    При оплате следует ориентироваться на наличие на POS-терминале значка, обозначающего, что аппарат оснащен бесконтактным функционалом.

    Если говорить о конкретных точках, то это сети, крупные магазины, фаст-фуды, заправки. McDonald's, Starbucks, Subway, гипермаркеты «Ашан», О'КЕЙ, «Магнит», «Аэроэкспресс», крупные сети сотового ритиейла, магазины глобальных производителей косметики и парфюмерии, модные места проведения досуга.

    Безопасность


    Наиболее очевидное на сегодняшний день тонкое место технологии HCE – безопасность. Данные, необходимые и достаточные для осуществления NFC-платежей, хранятся непосредственно в памяти смартфона. Однако для мобильного приложения карты «Билайн» используется комплекс мер, которые сводят к минимуму вероятность взлома. Мы делали внутренний конкурс на взлом системы, с очень хорошим вознаграждением, анализ кода.

    Разберем некоторые аспекты информационной безопасности технологии HCE, реализованные для мобильного приложения карты «Билайн».

    Операции по заблокированному телефону невозможны. В этом смысле HCE-решение защищено лучше, чем обычная пластиковая карта с бесконтактным интерфейсом – чтобы совершить платежную операцию злоумышленник должен разблокировать телефон. В случае обычной карты – достаточно получить саму карту. При использовании мобильного приложения карты «Билайн» невозможен, например, сценарий, когда в метро в плотном потоке людей с виртуальной карты незаметно списывают деньги, прикладывая к карману ридер.

    Продукт защищен от взлома и клонирования как на уровне самого приложения, так и на уровне процессинга. Все данные шифрованы, приложение само отслеживает попытки взлома и при обнаружении такой попытки зачищает все критичные данные. При этом приложение периодически сообщает процессингу свое состояние, при всех операциях хост проверяет ожидаемое состояние и сравнивает с фактически полученным. При несовпадении, что может быть вызвано попыткой клонирования, карта блокируется. Кроме того, в процессинговом центре настроены специальные правила эмитентского фрод-мониторинга, которые контролируют количество беспиновых операций и блокируют карту при обнаружении подозрительной активности.

    Операции на сумму свыше 1000 рублей защищены онлайн пин-кодом, который вводится в пинпад терминала. Перехват пин-кода через взлом приложения невозможен – просто потому, что пин-код на телефоне никогда не вводится.

    При утере телефона порядок действий практически ничем не отличается от стандартных мероприятий, выполняемых при утере обычной банковской карты: звонок в контакт-центр, блокировка карты «Билайн» по EAN, получение в салоне связи новой карты. На новую карту будут перенесены все остатки денежных средств, бонусы и так далее. При этом, естественно, номер карты поменяется, а у злоумышленника будет на руках телефон, в котором будет эмулирована старая карта, операции по которой совершить уже невозможно, поскольку она заблокирована.
    Кстати, следует обратить еще на один нюанс, связанный с безопасностью технологии NFC в целом. Существует представление, что уязвимым является сам сеанс передачи данных от смартфона к POS-терминалу. На самом деле каждая транзакция защищена уникальной криптограммой, без которой авторизация невозможна. Из тех данных, которые передаются по радиоканалу, практически невозможно извлечь никакой информации, которая помогла бы злоумышленникам похитить средства со счета, подписав другие транзакции.

    Будет ли работать этот сервис на платформе iOS?


    Apple пошли по пути phone-based и используют встроенный Secure Element, куда никто, кроме Apple, карточные ключи загрузить не может. Поэтому единственный реалистичный в настоящее время вариант – это интеграция с новой технологией Visa Token Service (генерация временных ключей для оплаты), на основе которой Apple Pay, собственно, и работает.

    Прогнозы


    Можно прогнозировать, что рынок NFC-платежей в России переходит из стадии становления в фазу активного роста. Растет число телефонов, поддерживающих технологию NFC, появляются интеграционные проекты, реализуемые совместно вендорами, платежными системами и ритейлерами.

    В I полугодии 2014 г. в России было реализовано 1,2 млн. смартфонов, поддерживающих технологию NFC. Это на 21% больше, чем за аналогичный период прошлого года. NFC-смартфоны составили 14% от всех продаж смартфонов в стране. Понятно, что бурный рост может быть обусловлен только удобством применения бесконтактных технологий, а массовость сервису может придать мощный драйвер. Такой, например, как бесконтактная оплата проезда в общественном транспорте, прежде всего в метрополитене.

    Если же говорить о емкости рынка NFC-платежей в России, то эксперты называют цифру порядка 15 млрд. рублей (оценка агентства J'son & Partners).
    ВымпелКом (Билайн)
    93,00
    Компания
    Поделиться публикацией

    Комментарии 72

      +1
      Это альтернатива cardsmobile.ru, как понимаю? Альтернативы это хорошо.
        0
        Смотря как понимать слово «альтернатива» — если говорить про продукт виртуальных платежных инструментов с NFC – да, если говорить про технику – не совсем, так как в нашем варианте ключи находятся в облаке, а в указанном варианте на девайсе.
          0
          У cardsmobile, насколько я понимаю, есть два варианта приложения — для телефонов с eSE и для телефонов с NFC, но без eSE. Во втором случае, ключи вроде тоже в облаке. Или, я где-то ошибаюсь?

          Плохо, что у вас — предоплаченная карта Билайн (которую еще и в офисе выпускать надо), а у cardsmobile — карта Русского стандарта (хотя раньше вроде еще Тинькофф был). Т.е. выбирать особо не из чего.
            +2
            Мы сейчас работаем над продуктом без физического носителя, можно будет не ходить в офис.
              +1
              Это самая неприятная проблема, с которой я столкнулся — посещение офиса. Не во всех, к сожалению, городах и весях есть ваши фирменные салоны.
        0
        «При этом на одном телефоне может существовать только одна виртуальная карточка.»

        Это временное ограничение или техническое?
          0
          Ограничение техническое, изменять не планируем.
            –2
            Значит идею в топку.
            Рассуждать о свободе, ограничивая выбор как то не вяжется.
              0
              С чем связано такое техническое ограничение вашего решения? Облачная версия приложения «Кошелёк» легко работает с двумя картами разных банков на одном устройстве.
            +2
            А почему к карточке MasterCard выпускается виртуальная VISA карта? Я был очень удивлён, когда платил.
            При работе с мастером какие-то проблемы или внутренние заморочки?
              –4
              С учетом технических особенностей реализации такой вариант пока наиболее оптимальный.
                0
                «наиболее оптимальный» — тавтология
              +2
              А как обстоят дела с Windows Phone?
                0
                У Windows Phone к сожалению сейчас нет такой штуку насколько я понял. Только нужна Sim или sd карта с SecureElement
                0
                Пока задача не самая приоритетная в связи с низким проникновением ОС, но если потребность пользователей Windows Phon’ов в продукте будет расти – сделаем.
                  –3
                  Неужели под кучу версий Андроида пилить выгоднее чем под 1-2 Винды? У меня телефон с закрытой OS и выбираю между An/Win — аппаратами (многосерийный сериал). Очень смущает отсутствие целого ряда приложений под Винду…

                  PS: сам юзаю МТС, но читаю ваш блог ибо нравится уровень материалов
                    0
                    Не для очередного холивара написал — искренне не понимаю. Буду рад пруфлинку от разработчиков для обретения понимания
                      0
                      Видимо для кого-то комментарий выше прозвучал как личная обида раз в карму минусуют — бедняги)
                        +1
                        Нет, просто автор явно написал, что для речь про Андроид >= 4.4, а их не много и при условии стабильности API можно не разводить сильно большого зоопарка в исходниках.
                  +3
                  сценарий, когда в метро в плотном потоке людей с виртуальной карты незаметно списывают деньги, прикладывая к карману ридер
                  Возможно ли списывать деньги несколько раз подряд? Как вообще от таких случаев защищёны обладатели карт с PayPass?
                    0
                    Бесконтактная оплата в нашем случае возможна только если у телефона активирован экран (не разблокирован, а хотя бы светится). Таким образом, с телефона, просто лежащего в кармане с выключенным экраном, деньги списать невозможно. То есть защита даже лучше, чем у пластиковой карты с бесконтактным чипом или телефона с NFC-SIM.
                    Кроме того, для оплаты покупки на сумму более 1000 руб. требуется вводить PIN-код.
                    В целом же сценарий крайне маловероятный – расстояние на котором работает терминал, не превышает 10 см., через одежду сигнал проходит еще хуже.
                      0
                      Какой таймаут между транзакциями?
                        0
                        Если речь про то, можно ли подряд сделать 2 оплаты – можно (ограничений по времени нет).
                        0
                        У всех телефонов по разному реализовано. Мне казалось (могу ошибаться) что по умолчанию NFC активен только при разблокированном телефоне, а варианты «при включенном экран» и «постоянно» доступны только с рутом.
                          +1
                          Зачем людей то пугать? Нельзя «в метро через одежду» списать с любой карты деньги. Во-первых, в реальной жизни все это работает на расстоянии не более 4-5 мм. Во-вторых, для такого «списания» нужно иметь платежный терминал с боевыми ключами платежной системы в режиме платежной транзакции, а значит в 100% случаях выгодоприобретатель определяется однозначно. Проще говоря, это как украсть, а на место украденного положить свои паспортные данные.
                        0
                        При оплате обычным пластиком банк может уведомить кассира о том, что эту карту следует изъять у покупателя по тем или иным причинам. Может ли этот запрос прийти для такой бесконтактной карты?
                          0
                          В случае HCE кассиру изымать нечего. Но если банк по какой-то причине решит, что данной картой больше пользоваться нельзя (она может быть скомпрометирована и т.д.), он просто заблокирует функционал HCE в мобильном приложении и сообщит об этом клиенту.
                          0
                          В приложение билайн интегрировали то что ранее было сделано в Кукурузе?
                          В принципе не удивительно, разработчик ведь один и тот же.
                          Единственные приложение которые на текущий момент у меня заработали, бета от cardsmobile как вышла месяц назад так и не работает до сих пор ;-)
                            0
                            В приложении билайна HCE появилось на несколько месяцев раньше кукурузы. Они как раз были первыми.
                              0
                              Ну, у кого не работает, а у кого работает :) У меня с ними все нормально. Хотя в нашей местности не так много точек с PayPass.
                              +4
                              вот когда каждый популярный банк сможет выпустить такую виртуальную карту и привязать ее к любому счёту, тогда можно будет говорить о реальном удобстве и заметной экспансии. а иметь реальную карту тут, а виртуальную там и двигать средства туда сюда… все преимущества улетучивается от такой схемы.
                                0
                                Простите, если не понял очевидного — сервис будет работать только на телефоне с симкой билайн или с другими операторами тоже?
                                  +1
                                  Сервис от SIM-карты не зависит. В телефоне может быть симка любого оператора.
                                  +2
                                  взаимодействует ли «мобильное приложение» с «хостом эмитента» во время оплаты?
                                    +1
                                    Нет, не взаимодействует
                                    0
                                    Очень хорошее начинание. Но лично я ей воспользуюсь только когда можно будет в приложении мобильного банка (моего банка) выпустить карту которая будет сразу привязана для платежа через nfc. Постоянно переводить деньги на какую-то карту слишком муторно. Выпускать реальную карту для её привязки в приложении конечно тоже не похоже на технологию 21 века.
                                      0
                                      Спасибо за статью!
                                      Очень радует, что бесконтактные платежи становятся проще и доступнее.
                                      Выпуск виртуальной карты, действительно был бы удобнее. А если можно было бы с любой карты пополнять — то было бы ещё удобнее.
                                      Но даже в таком варианте выглядит очень привлекательно.
                                      Без доступа к сети ведь работает?
                                      Возможен такой сценарий, когда при бесконтактной оплате на телефоне автоматически запускается приложение и запрашивает подтверждение в каком-либо виде?
                                        0
                                        Да, сервис работает и без доступа к сети. Сценария, который вы описали, нет
                                        0
                                        Внутри jCardSim? :-)
                                          0
                                          гм, платформозависимое решение которое работает только с родной картой? стоит ждать Apple Pay там любые карты и можно oh shi, добавлять несколько и при оплате выбирать с какой платить…
                                            0
                                            Выше есть, что с любой симкой работает.
                                            0
                                            интересно, а на стареньком galaxy nexus + android 5.0.2 это заработает? кукуруза не захотела работать
                                              0
                                              Основные условия работы бесконтактной оплаты – это наличие NFC-модуля и версия андроид 4.4+. Но есть очень редкие исключения — старые модели телефонов, где NFC-модуль не поддерживает HCE
                                                0
                                                > это наличие NFC-модуля и версия андроид 4.4+

                                                На 4.3 не взлетит? :(
                                                  0
                                                  нет. HCE поддерживается в Android начиная с 4.4
                                              0
                                              А чья технологическая серверная платформа используется? Чьей разработки?

                                              HCE приложение по «Visa Cloud-Based Payments Contactless Specification V1.3» написать не проблема. Это MasterCard извратная спецификация на HCE.
                                                0
                                                Мы используем платформу ЦФТ.
                                                  +1
                                                  В общем то я знаю (собствено сам и делал).
                                                  Просто показалось обидно и не корректно, что об этом в статье ни словом не упомянуто.
                                                0
                                                Данные, необходимые и достаточные для осуществления NFC-платежей, хранятся непосредственно в памяти смартфона

                                                Ничего дополнительно для транзакции не подгружается? LUK (Limited Use Keys) то должны прийти для каждой транзакции свои или вы как-то по-другому реализовали?
                                                Планируете ли вводить токенизацию?
                                                  0
                                                  Все хранится в телефоне, дополнительно ничего не подгружается. LUK приходит не на каждую транзакцию, есть ограничения по времени и количеству. Использование токенизации для данного продукта не требуется т.к. оплату можно производить только в бесконтактной инфраструктуре.
                                                    0
                                                    То есть все-равно иногда нужно подгружать что-то из сети. Непонятна фраза, что в смартфоне необходимые и достаточные данные. Достаточные они только для нескольких платежей, а потом нужно опять скачивать LUK. Я имею в виду, что это не полностью автономная система, и она требует периодического доступа к сети интернет.

                                                    Токенизация как раз отлично ложится на бесконтактную оплату смартфоном. Даже в спецификации EMV по токенизации (Payment Tokenisation Specification) первый use case называется: Use Case 1: Mobile NFC at Point of Sale.
                                                    Сама суть токенизации — подмена важной/секретной/чувствительной информации малополезным для злоумышленников токеном. В случае с бесконтактной оплатой подмена PAN токеном позволяет сберечь виртуальную карту от компрометации в точке обслуживания.
                                                  0
                                                  Вот, положим, есть сеть супермаркетов в городе.
                                                  В одном магазине этой сети кассиры прекрасно знаю, что такое бесконтактные карты, а кроме того, самостоятельно предлагают вставлять карту в ридер, если она не NFC — «У нас правила такие».
                                                  В другом же магазине этой же сети на вопрос «Бесконтактные карты принимаете?» делаю глаза по пятаку; карту норовят из рук забрать, пока не скажешь «Я сам её в терминал вставлю»; если карту из рук выпустил, то до того, как ФР выбьет все чеки, карту не отдают — «У нас правила такие».

                                                  Боюсь, если я начну к терминалу телефон прикладывать, охрану позовут — мол, хацкера поймали!
                                                    0
                                                    делали внутренний конкурс на взлом системы, с очень хорошим вознаграждением, анализ кода.

                                                    Я просто оставлю это здесь:
                                                    habrahabr.ru/post/206738/
                                                    «Ловушка конкурсов по взлому», перевод статьи Брюса Шнайера 1998 года.
                                                    Конкурсы — ужасный способ продемонстрировать безопасность. Продукт/система/протокол/алгоритм, выдержавший конкурс, очевидно, ничуть не более надежен, чем тот, что никогда не участвовал в конкурсах.
                                                    Лучшие продукты/системы и т.д. на сегодня не были объектами конкурсов и, скорее всего, никогда не будут. Конкурсы вообще не производят полезной информации.
                                                      –1
                                                      И почему все больше программ Bug Bounty?
                                                        +1
                                                        Поиск багов это не то же самое, особенно если речь идёт о продуктах с открытыми исходниками.
                                                        Шнайер пишет, что конкурсы с результатами типа «Мы полгода назад пообещали $1 000 000 тому кто первым взломает наш супер сервер и никто не сломал!» — плохие. А конкурсы с результатами «По криптоанализу нашего алгоритма опубликовано 20 научных статей различных авторов со всего мира, наилучший взлом демонстрирует криптостойкость алгоритма на уровне N бит» — гораздо лучше.
                                                        Bug Bounty — это как раз работа в сторону правильных конкурсов. Увы, пока не полная, потому как мы обычно не видим результатов «мы почти сломали, вот тут у вас скорее всего слабое место», потому что организаторы решают: не сломал — нет приза. И ситуация «специалисты потратили тысячи человекочасов на попытки взлома, багов не нашли» слабо отличима от «все просто забили на поиск багов».
                                                          0
                                                          Ок, то есть дьявол, как обычно, в деталях — плохи не любые конкурсы вообще, конкурс может быть осмысленным, если проводится грамотно И долго.
                                                            0
                                                            Ок, то есть дьявол, как обычно, в деталях — плохи не любые конкурсы вообще, конкурс может быть осмысленным, если проводится грамотно И долго.
                                                        0
                                                        > Операции по заблокированному телефону невозможны.

                                                        По-моему, это не преимущество, а недостаток. К примеру, захожу я в метро и хочу оплатить проезд. Мне придется сначала разблокировать телефон, а только потом прикладывать его к считывателю. В толпе и спешке это будет довольно неудобно.

                                                        > При использовании мобильного приложения карты «Билайн» невозможен, например, сценарий, когда в метро в плотном потоке людей с виртуальной карты незаметно списывают деньги, прикладывая к карману ридер.

                                                        Как такое возможно? Ридер — это же дело десятое, для списывания денег нужно быть подключенным к банку, и мне сложно представить мошенника, который в метро ворует денежки через банк.
                                                          0
                                                          Ридер — это же дело десятое, для списывания денег нужно быть подключенным к банку

                                                          Была история, как в ресторане утром воровали POS-терминал, подменяя на поддельный (делающий вид, что работает), а вечером возвращали, подменяя обратно.
                                                            0
                                                            Не понял. Подменяли, и что происходило?
                                                              +1
                                                              Ну эти-то ребята таким образом делали дубликаты карт, т.к. поддельный POS-терминал делал всё нужное и ещё и сохранял PIN-коды и магнитную полосу.
                                                              Вот история: www.schneier.com/blog/archives/2012/06/attack_against_1.html

                                                              Ну а в нашем случае могут быть разные схемы, включающие в себя сговор с сотрудником компании, которая владеет терминалом (один списывает деньги в метро, второй уносит из компании «купленный» товар или получает бонусы за повышенные продажи) или вскрытие терминала.

                                                              А ещё есть relay-атака — в плотном потоке к вам прижимается злоумышленник с псевдо-терминалом, а к нормальному терминалу подходит второй злоумышленник с псевдо-картой и они транслируют транзакцию от вашей карты к терминалу через интернет, например. Второй забирает купленный товар.
                                                          +1
                                                          Вот есть у меня мысль, что NFC — мертворожденный для платежей продукт.
                                                          Не говорю, что он плох, но по сути встанет в один ряд с bluetooth, т.е. работать будет, жить будет но большого распространения не получит (многие ли из нас голубым зубом пользуются?)
                                                          Лично я буду отделять мух от котлет: там где большой поток народу, там и большее поле для мошенничества. Поэтому платить в метро я буду одной картой, покупать другой, ну а зарплату держать на третьей.
                                                            0
                                                            NFC это не платежный продукт. Это набор стандартов/спецификаций на интерфейсы, в частности, и пр… Не более.

                                                            Приложение на телефоне, эмулирующее бесконтактную карту с протоколом T=CL это просто один из вариантов бесконтактных «карт». Более простой и дешевый с точки зрения эмиссии и вхождения банка в бесконтактные технологии чем обычный contacless пластик.

                                                            Бесконтактные карты весьма распространены (не у нас). Определенную нишу они занимают и занимать будут.
                                                            Обычно это платежи на мелкие суммы, где схемы с обналичиванием и выводом крупных сумм неоправданно (для криминалов) сложны или вообще не возможны.
                                                            В Европе, расплачиваясь наличными в очереди на кассу в супермаркете чувствуешь себя «белой вороной».
                                                            А китайцы, кстати, вообще свой EMV без дуальных карт не видят. Все заводы у них ориентированы на производство сразу дуальных карт.

                                                            А мелкие потери от мелких пакосников со специальными знаниями (редкое сочетание) можно списать.
                                                            «Порядочный человек, из за мелкой выгоды, большой пакости не сделает».
                                                            Массово по бесконтактным картам воровство не организовать.
                                                              0
                                                              Я не говорю, про бесконтактную оплату. Имеется ввиду, что карта с PayPass более удобна, чем телефон с NFC. Который может:
                                                              1. Сесть (дайте зарядку и я с вами расплачусь :)
                                                              2. Его надо достать и разблокировать (что увеличит очередь), как выше уже писали

                                                              NFC как технология имеет место быть, я ее не отрицаю. Но для платежей именно с мобильника — ИМХО не получит большого распространения.
                                                                0
                                                                Лично мне карта получается то же удобнее. По ряду причин не доверяю банк-клиентам. Но использование приложения, как отдельного приложения (без банк клиент), зарубили по маркетинговым причинам.

                                                                А так бы пользовался. В пределах лимита 2-3 тыс. в неделю — вполне нормально и относительно безопасно. Все транзакции on-line.

                                                                Для банка разница между приложением на телефоне и физической картой очень принципиально.
                                                                Стоимость вхождения в эмиссию бесконтактных карт для банка эмитента весьма высока.

                                                                Да и для клиента то же. Скачать новую версию приложения (банк-клиент)/активировать в существующей версии или просто отдельное приложение — проще, чем пойти куда то для получения физического пластика.

                                                            0
                                                            я недавних пор счастливый клиент билайна и вы продолжаете удивлять — спасибо вам

                                                            подумывал тут про кошелек, но лень было менять телефон — сейчас китаец на 4.2 с NFC

                                                            я правильно понял, что любой телефон с киткат 4.4 и NFC можно заставить работать как бесконтактную карточку? если да, то да здравствует китаефон (последние 3 у меня THL — вполне радуют за свои деньги)

                                                            в макавто очень удобно удобно бесконтактной пользоваться — вечно терминалы у них раздолбанные, набирать пин неудобно, да и подсмотреть могут легко
                                                              0
                                                              я правильно понимаю что:
                                                              • рутованный девайс или нестандартная прошивка = функционал бесконтактной оплаты не работает? или все же работает?
                                                              • вообще при бесконтактной оплате (особенно такой вот) документы именно требовать предьявить имеют право или нет?
                                                              • пополнение — в описании приложения сказано что пополнение любыми картами. следует читать «выпущенными российскими банками с поддержкой 3d secure» или payoneer'овскую тоже можно использовать (там нет 3d secure и она не российским банком выпущена)

                                                                0
                                                                спасибо за такое приложение. теперь можно хоть попробовать как это работает с телефоном
                                                                отвечу себе на вопросы:

                                                                — в той листовке что дают с картой — сказано именно про Российские карты (а не «любые»)
                                                                — нестандартная прошивка + рут: wireless-оплата не активируется, предлагает отключить рут, если обойти это (что было сделано для тестовых целей), предлагают отключить режим разработчика. если после — включить режим разработчика то иконка беспроводной оплаты серая (но можно руками включить ее не выключая режим разработчика)
                                                                +1
                                                                Может ли телефон с соответствующими характеристиками (android 4.4 NFC) выступить в роли терминала?
                                                                  0
                                                                  Lar10n, данное приложение зависит от эмитента или от платежной системы?
                                                                  Может ли оно работать с картами Visa?

                                                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                  Самое читаемое