Бесконтактной оплатой при помощи платежной карты оборудованной NFC сегодня никого не удивишь. Многие, наверно, думают: почему же до сих пор не получила распространение бесконтактная оплата при помощи смартфона? Вот, например, почему тот же Google Wallet не «взлетел»?
Начиная с версии KitKat Android поддерживает технологию Host-based Card Emulation (HCE) для NFC. Что же это означает для пользователей? Все очень просто. До KitKat чип NFC в смартфоне мог работать в режиме эмуляции карты только с использованием защищенного элемента — так называемого Secure Element (SE). Этот элемент может быть как встроенным в телефон, так и располагаться на SIM-карте или на SD карте. Важно, чтобы он был. Таким образом, защищенность секретных ключей виртуальных карт обеспечивалась этим устойчивым ко взлому SE. Если бы вы захотели реализовать функционал платежной карты на базе вашего смартфона (как это делает ISIS, например), то вам было бы необходимо иметь дело с этим SE. А это влечет за собой огромную проблему — необходимо иметь модель доверия между владельцем приложения-эмулятора карты и производителем SE. Это доступно описано в посте Как мы превратили телефон в банковскую карту. И как видно на примере Google, эта проблема не всегда решается легко. Крупнейшие операторы мобильной связи США отказались работать с Google Wallet, так как уже заключили соглашение с конкурирующим продуктом — ISIS. SE, расположенные на из SIM картах оказались недоступными для Google Wallet. Видимо это и подтолкнуло корпорациюдобра реализовать технологию HCE в Android. Так вот HCE позволяет мобильному устройству с NFC чипом эмулировать бесконтактную карту используя только программное обеспечение. Не прибегая к SE вообще.
Главное, что дает HCE — отсутствие зависимости поставщика услуг от производителя SE.
Многие справедливо заметят: SE служит для аппаратной защиты эмулированной карты и его отсутствие поднимает вопрос безопасности секретных данных карты.
С одной стороны, приложение, которое осуществляет эмуляцию карты должно себя защищать, например, проверкой нерутованности телефона и использованием криптографии.
С другой стороны, организация EMV, занимающаяся разработкой стандартов платежных карт, разработала спецификацию на так называемые токенизированные транзакции. Токенизация в общем случае – это замена секретной информации на несекретную. Таким образом, нет нужды хранить на смартфоне секретные данные платежной карты. Для успешной оплаты нужно просто предоставить валидный токен, полученный от банка для авторизации этого платежа. В итоге, даже гипотетическая компрометация приложения не компрометирует саму виртуальную карту. Важно, что при токенизированной транзакции не потребуется замена или перенастройка оборудования в точках продаж (POS терминалы), если они конечно уже принимают бесконтактные платежи (PayPass, PayWave). Хотя токенизация и является хорошим инструментом обеспечения безопасности платежей при использовании HCE, есть и другие способы защиты.
Стоит отметить, что первопроходцем технологии HCE была компания Blackberry. Да и в Android HCE появился до 4.4, но не в версии ОС от Google, а в CyanogenMode.
С технологией HCE мобильные платежи имеет все шансы получить невероятно широкое распространение, а, следовательно, не за горами и предложения банков мобильных платежных карт на ее основе.
Начиная с версии KitKat Android поддерживает технологию Host-based Card Emulation (HCE) для NFC. Что же это означает для пользователей? Все очень просто. До KitKat чип NFC в смартфоне мог работать в режиме эмуляции карты только с использованием защищенного элемента — так называемого Secure Element (SE). Этот элемент может быть как встроенным в телефон, так и располагаться на SIM-карте или на SD карте. Важно, чтобы он был. Таким образом, защищенность секретных ключей виртуальных карт обеспечивалась этим устойчивым ко взлому SE. Если бы вы захотели реализовать функционал платежной карты на базе вашего смартфона (как это делает ISIS, например), то вам было бы необходимо иметь дело с этим SE. А это влечет за собой огромную проблему — необходимо иметь модель доверия между владельцем приложения-эмулятора карты и производителем SE. Это доступно описано в посте Как мы превратили телефон в банковскую карту. И как видно на примере Google, эта проблема не всегда решается легко. Крупнейшие операторы мобильной связи США отказались работать с Google Wallet, так как уже заключили соглашение с конкурирующим продуктом — ISIS. SE, расположенные на из SIM картах оказались недоступными для Google Wallet. Видимо это и подтолкнуло корпорацию
Главное, что дает HCE — отсутствие зависимости поставщика услуг от производителя SE.
Многие справедливо заметят: SE служит для аппаратной защиты эмулированной карты и его отсутствие поднимает вопрос безопасности секретных данных карты.
С одной стороны, приложение, которое осуществляет эмуляцию карты должно себя защищать, например, проверкой нерутованности телефона и использованием криптографии.
С другой стороны, организация EMV, занимающаяся разработкой стандартов платежных карт, разработала спецификацию на так называемые токенизированные транзакции. Токенизация в общем случае – это замена секретной информации на несекретную. Таким образом, нет нужды хранить на смартфоне секретные данные платежной карты. Для успешной оплаты нужно просто предоставить валидный токен, полученный от банка для авторизации этого платежа. В итоге, даже гипотетическая компрометация приложения не компрометирует саму виртуальную карту. Важно, что при токенизированной транзакции не потребуется замена или перенастройка оборудования в точках продаж (POS терминалы), если они конечно уже принимают бесконтактные платежи (PayPass, PayWave). Хотя токенизация и является хорошим инструментом обеспечения безопасности платежей при использовании HCE, есть и другие способы защиты.
Стоит отметить, что первопроходцем технологии HCE была компания Blackberry. Да и в Android HCE появился до 4.4, но не в версии ОС от Google, а в CyanogenMode.
С технологией HCE мобильные платежи имеет все шансы получить невероятно широкое распространение, а, следовательно, не за горами и предложения банков мобильных платежных карт на ее основе.