Как это работает: Технология HCE позволит заменить банковский пластик смартфонами

HCE920x460.jpg

Поставщики

16.11.2015

Вокруг архитектуры HCE до сих пор существует некоторое недопонимание, касающееся, например, таких вопросов, как безопасность, необходимость закупки нового POS-оборудования и возможность поддержки подарочных карт. Мы сформулировали десять основных тезисов, которые позволят со всем разобраться.

1.  Что такое HCE? Host Card Emulation — это технология, позволяющая эмулировать NFC-карты на мобильных устройствах, используя специальное программное обеспечение. В качестве исходников могут выступать банковские, транспортные и иные карты. Технология Host Card Emulation стала доступной широкой публике 31 октября 2013 с выходом Android KitKat 4.4.

2.  До появления HCE информацию для осуществления NFC-транзакций в мобильных устройствах можно было хранить на специальном безопасном элементе, который мог быть размещен либо на SIM-карте, либо в телефоне, либо на специальной версии карты MicroSD. Минус такой технологии в том, что разработчикам сервисов NFC-платежей приходилось договариваться с производителями носителя безопасного элемента.

Для пользователей основным неудобством при таком подходе является привязка системы безопасности к аппаратным средствам, следовательно, неизбежная необходимость смены SIM-карты или даже телефона для подключения сервиса NFC-платежей.

Именно эти неудобства устраняет технология Host Card Emulation, позволившая эмулировать бесконтактные smart-карты прямо в телефоне, никак не регламентируя вопросы безопасного хранения и обработки данных с разработчиками.

3.  Большинство современных смартфонов поддерживают HCE. Поддержка есть в аппаратах с Android KitKat 4.4 и выше, Blackberry OS 7 и выше, а также Windows 10.

4.  Мобильная платформа Apple HCE не поддерживает. И не будет поддерживать, потому что Apple предпочитает собственные проприетарные решения, используя для кодирования данных свой собственный криптопроцессор и никому не раскрывая его ключи — в результате загружать данные платежных карт в телефоны Apple можно только через Apple.

5.  При реализации HCE существует два подхода: карта эмулируется либо облачной платформой, либо мобильным приложением. В первом случае эмуляция карты производится в облаке, и все данные, включая транзакционную логику и платежные реквизиты клиента, хранятся на удаленном сервере. Мобильное приложение в таком случае производит аутентификацию пользователя, предоставляет пользовательский интерфейс и обеспечивает безопасный канал до облака и передачу данных в NFC-контроллер. Минусом этого подхода является большое время обработки транзакций (в среднем более 500 миллисекунд).

Альтернативным является эмулирование карты с помощью мобильного приложения на устройстве. Этот подход требует повышенной безопасности и, как правило, использует токенизацию платежных данных. Авторизационный центр платформы при каждом изменении данных карты делится ими с «провайдером токенов», который создает токены и периодически загружает в мобильное приложение. Для каждой транзакции мобильное приложение создает транзакционную криптограмму и передает ее на POS-терминал через NFC. Процессинговый фильтр определяет, что транзакция была токенизирована, и направляет ее обратно провайдеру для детокенизации и получения реальных платежных данных (например, PAN).

6.  HCE перекладывает обеспечение безопасности с оператора связи на эмитента карты.

•        Данные, необходимые и достаточные для осуществления NFC-платежей, хранятся непосредственно в памяти смартфона. Однако, как правило, для защиты этих данных используется ряд мер, обеспечивающих защиту лучшую, чем при пользовании физическими банковскими картами. Операции с HCE по заблокированному телефону невозможны. В этом смысле HCE-решение защищено надежнее, чем обычная пластиковая карта с бесконтактным интерфейсом. Снимается опасность удаленного считывания данных HCE, хранящихся в телефоне, если злоумышленник с необходимым оборудованием просто пройдет мимо в толпе.

•        Приложение может быть защищено от клонирования «фингерпринтингом» устройства — при каждом запуске сравнивается записанное на сервере «окружение выполнения» (модель телефона или OS и множество других параметров) с текущим, и в случае несоответствия поднимается тревога.

•        Процессинг может использовать стандартные антифрод-системы, блокирующие HCE-карту при обнаружении подозрительной активности. Также операции с HCE-приложениями можно защищать с помощью одноразовых паролей, генерирующихся на стороне процессинга и получаемых в мобильном приложении. Также новые модели телефонов позволяют защищать приложения еще и встроенными биометрическими датчиками.

7.  С HCE совместимо любое POS-оборудование с поддержкой NFC. На начало 2015 года порядка 5% платежных терминалов уже оснащены функцией NFC. В масштабах всей России это, по экспертным оценкам, около 30 тысяч устройств, и их количество продолжает расти. 

8.  HCE может использоваться для хранения карт лояльности. Опыт Starbucks показывает, что NFC позволяет объединить платежный процесс, процесс формирования персональных предложений и начисления бонусов лояльности.

9.  При использовании HCE есть свои риски.

•        Во-первых, реализация платежной функциональности всегда привязана к конкретному банку, выпускающему карту, и для самого банка может быть довольно сложной и требующей дорогостоящей интеграции с процессингом.

•        Во-вторых, при использовании подхода с эмуляцией через мобильное приложение устройство должно быть постоянно в интернете для частой замены токенов, что существенно сокращает время автономной работы смартфона.

•        Трудности при использовании HCE для совместной реализации платежей и бонусной программы лояльности — в настоящий момент фактически нет стандартов для неплатежных функций, поэтому могут потребоваться доработки программного обеспечения POS и, возможно, смены провайдера бонусной системы.

•        Использование HCE для эмуляции транспортных карт возможно, но может усложняться тем, что из-за очень высоких требований к скорости срабатывания билета его обслуживание через интернет может быть затруднено, что влияет на безопасность операций. Более того, в отличие от платежной индустрии, использующей открытые стандарты, транспортная отрасль в основном базируется на проприетарных технологиях, которые невозможно эмулировать.

10.         Примеры реализации HCE в России. Первым из банков приложение с HCE самостоятельно запустил Инвестторгбанк, среди сотовых операторов — «Билайн» (приложение «Карта Билайн»), среди розничных ретейлеров — «Евросеть» для карты «Кукуруза». Также отметим компанию I-Free, реализовавшую подобный функционал в приложении «Кошелек» (именно это приложение использует «Тинькофф — кредитные системы»). В «Кошельке» можно выпускать в электронном виде не только карты от ТКС, но и транспортные карты ряда городов России и скидочные купоны от «Купикупон».

Оценить:251

Читайте также

Страхование для невыезжающих. Что мешает и что поможет развивать онлайн-продажи полисов? Денежный вопрос: как управлять личными финансами во время пандемии Перейти в онлайн и не разориться: антикризисная инструкция для ресторанов и кафе

mob_andr_hce.png

Бесконтактные платежи с помощью смартфона без использования банковской пластиковой карты

Возможности HCE

  • Простота и доступность

    Доступ к любой информации в минимум действий. Ваши клиенты смогут зарегистрировать карту в приложении и совершить оплату покупок всего через несколько минут.

  • Защита данных

    Технология HCE позволяет сохранить данные в памяти телефона или в облаке с использованием технологии, сертифицированной Visa, MasterCard и PCI DSS.

  • Удобство

    Ваши клиенты смогут производить оплаты в любом магазине, где установлены терминалы Visa payWave и MasterCard PayPass, всего лишь одним прикосновением телефона к устройству.

ПРЕИМУЩЕСТВА СИСТЕМЫ HCE

Преимущества от использования для конечного пользователя состоит в том, что исчезает необходимость носить с собой банковскую карту и доставать её при совершении покупки.

Преимущества для ТСП – увеличение скорости обслуживания покупателей за счёт повышенной скорости оплаты по бесконтактному методу. (Пользователю нет необходимости тратить время на то, чтобы достать карту, как правило, смартфон доступнее).

Преимущества для банков – сокращение издержек на выпуск банковских карт и дополнительный канал распространения услуг.

Оплата в одно касание

  • С нашей помощью ваши клиенты смогут оплачивать покупки гораздо быстрее! Благодаря бесконтактной технологии HCE оплата проходит практически мгновенно. Просто прикоснитесь смартфоном к считывающему терминалу и ваша покупка оплачена! Кроме того, если затраченная сумма не превышает 1000 рублей, вашим клиентам не придется тратить время на ввод ПИН-кода или подписывание чека (слип).
  • Вашим клиентам больше не потребуется передавать карту или тем более смартфон кассиру для проведения платежа: клиент самостоятельно контролирует процесс оплаты. Также становится невозможным двукратное списание средств: терминал на кассе оповещает звуковым сигналом о проведении оплаты и отключается.

Данные ваших карт на телефоне под надежной защитой

Наше решение полностью соответствует мировым платежным стандартам.

Платежные данные хранятся в облаке с использованием технологии, сертифицированной Visa, MasterCard и PCI DSS, защищённой от всевозможных видов взлома, а доступ в приложение закрыт вашим паролем.

Поддерживаемые устройства

  • Sony Xperia Z3
  • LG G4
  • Samsung Galaxy S6
  • Samsung Galaxy A3
  • ASUS ZenFone 2
  • HTC One
  • Lenovo VIBE Z2
  • Sony Xperia Z1
  • Huawei P8
  • LG Nexus 5

больше устройств

Как это работает

Host card emulation может работать как с виртуальными банковскими картами, так и с физическими пластиковыми карточками. Вам требуется установить на телефон с NFC-модулем мобильное приложение и привязать вашу карточку путем ввода PAN и пароля. Приложение загрузит необходимые данные и активирует функцию host card emulation. Теперь, так как host card emulation работает в фоновом режиме, вы сможете совершать бесконтактные платежи даже не запуская установленное приложение.

Основанные на чипах беспроводной высокочастотной связи NFC решения помогут утроить к 2018 году количество бесконтактных платежей в мире.

У российских владельцев банковских карт, эмитированных банком «Россия» и СМП Банком, 21 марта возникли сложности с проведением платежей после введенных США санкций в отношении владельцев этих кредитно-финансовых учреждений: Юрия Ковальчука и братьев Аркадия и Бориса Ротенбергов. Тем временем развитые страны готовятся к существенному росту использования мобильных платежей на новой технологической платформе.

Аналитическая компания Juniper Research прогнозирует, что уже к 2018 году количество бесконтактных платежей к утроится и составит 9,9 млрд операций в год. Главным драйвером отрасли при этом станет технология HCE — Host Card Emulation, с помощью которой банки смогут выпускать кредитные карты без физического, пластикового носителя. Технологию активно поддерживает платежная система PayPal. Как работают эти решения?

📌 Реклама

Host Card Emulation — это, по сути, виртуальная кредитная карта. Но только если для работы с обычной картой нужен кусок пластика с записанными на него идентификационными данными, то здесь все необходимые данные записываются непосредственно на смартфон.

В теории все это должно работать примерно так. Пользователь заходит без кошелька в любой любимый ресторан, прикладывает смартфон к специальному считывающему устройству. Терминал связывается с сервером ресторана, идентифицирует пользователя, выдает ему «привычный» для этого времени суток заказ и тут же отправляет запрос в банк на оплату покупки. Поскольку у терминала есть все необходимые для проведения транзакции данные, и он в состоянии их передать банку клиента, то и необходимая для оплаты сумма будет считываться быстро и автоматически — без участия клиента. Все это способно в разы увеличить скорость и качество обслуживания клиентов — особенно в тех случаях, когда речь идет о привычном потребительском поведении: например, когда пользователь каждое утро покупает кофе в ближайшем от дома заведении Starbucks или традиционно после работы заезжает в магазин за хлебом и молоком.

📌 Реклама

С технической точки зрения обслуживать все эти процессы будут чипы NFC (Near Field Communication — «коммуникация ближнего поля», технология беспроводной высокочастотной связи малого радиуса действия). Они идеально для этого подходят: обмен данными происходит быстро, но только при непосредственном контакте смартфона и терминала. Так что ложные срабатывания исключены, а угрозы от мошенников минимизированы.

Как это работает

В настоящее время большинство банковских клиентов используют для оплаты пластиковые карточки. По сути, каждая современная платежная карта — это микропроцессор, помещенный в кусок пластика стандартизированного размера. Банк или транспортная компания закупают «болванки» карт и записывают на них свое приложение с «платежными данными» клиента. При контакте со считывателем (в магазине или банкомате) процессор получает достаточное количество энергии для того, чтобы запустить простенький Java-applet для связи с системой банка.📌 Реклама

Тот же принцип применяется в бесконтактных смарт-картах, таких как карты оплаты проезда в городском транспорте.

Технология NFC предлагает избавиться от ненужного пластика. Каждый смартфон имеет процессор, в тысячи раз более мощный, чем тот, что находится на пластиковой карте. При этом для обмена данными используется NFC — технология беспроводной передачи данных, похожая на Bluetooth или WiFi. Среди ее особенностей — работа только на очень небольшом расстоянии между устройствами. Это нужно для того, чтобы исключить вероятность «случайного» соединения.

Важный момент: в NFC применяется для связи тот самый стандарт шифрования данных ISO 14443, который используется во всех современных банковских картах и электронных проездных. Благодаря этому реализована 100-процентная совместимость NFC-смартфонов, бесконтактных карт и существующей инфраструктуры приема. Получается, что если установить на смартфон банковское приложение, то оно с помощью NFC-чипа будет соединяться со всеми терминалами точно так же, как это делает банковская карта. То есть для развертывания NFC-технологии не нужно разворачивать какую-то новую дорогостоящую инфраструктуру.

📌 Реклама

HCE шагает по планете

Технологию HCE открыто поддержала платежная система MasterCard. По данным компании, сегодня в мире есть 63 страны, в которых расположены два миллиона магазинов, принимающих бесконтактные платежи.

В MasterCard утверждают, что ключевое преимущество HCE — открытая архитектура, которая позволяет пользователям не только осуществлять платежи, но и использовать программы лояльности, пользоваться транспортными услугами. При этом банкам не нужно тратиться на выпуск пластиковых карт с защищенными элементами.

«Потребители теперь совершают покупки и платежи таким образом, который лучше всего соответствует их потребностям и образу жизни, и с помощью любого гаджета, который у них есть. Чтобы удовлетворять ожидания пользователей относительно удобства, мы должны увеличить доступность услуг на рынке. Использование HCE обеспечивает широкие возможности для запуска большего количества решений на базе NFC– технологии», – говорит Джеймс Андерсон, руководитель группы по развивающимся платежам в MasterCard.

📌 Реклама

Следует также сказать, что поддержка HCE уже встроена в обновленную операционную систему Android KitKat 4.4, которая начала распространятся в ноябре 2013 года.

MasterCard планирует опубликовать свою HCE-спецификацию в течение первой половины 2014 года.

В феврале этого года о поддержке HCE объявили и в Visa. Эта платежная система разработала специальное приложение для Android, которое позволяет оплачивать услуги хоть в фаст-фудах, хоть в серьезных финансовых учреждениях. В самой компании этот инструмент называют «виртуальной картой» пользователя. Здесь также подчеркивают, что вся конфиденциальная информация о банковском счете пользователя хранится не на самом смартфоне, а в «облачном» хранилище Visa. В теории, это должно обеспечить еще более надежную ее защиту, чем если бы она хранилась на чипе банковской карты.

<object><object> Онлайн-курс Все про НДС. Разбор ситуаций по НДС на понятных примерахРазбор ситуаций по НДС на понятных примерах </object>Записаться58509750 ₽ –40%

Подборка полезных мероприятий

Когда я окунулся в километры описаний преобразования реальных банковских карт в виртуальный аналог, то понял, что просто перенести, даже в сжатом виде, в поле статьи эту информацию у меня не получится. Написано не для массового читателя, нашпиговано специальными терминами и имеет чересчур наукообразный вид. В статье пойдет речь об эмуляции карты NFC на Android. Поэтому — просто о сложном!

Что такое эмуляция карты

Имеется совершенно конкретная технология HCE (Host Card Emulation), которая позволяет воспроизвести дубликат NFC-карты, то есть бесконтактной по методу соединения с внешним миром. Естественно, понадобится некое программное обеспечение, с его помощью и произойдет второе рождение вашего «пластика». О чем речь?

Сюда попадают банковские карты, для оплаты проезда в общественном транспорте, пропуска на работу и еще целый отряд необходимых «электронных ключей» для повседневной жизни.

Есть два принципиальных подхода к процессу клонирования карт. Возможно хранить всю информацию о ней во встроенном элементе безопасности, файл данных в зашифрованном виде записывается в самом мобильном устройстве. Либо он переносится в облачное хранилище и защищен от постороннего доступа запароленным входом.

Во всей этой истории нас, в первую очередь, интересует банковская карта и связанное с ней понятие бесконтактного платежа.

Именно об этом пойдет речь в дальнейшем, остальные прикладные функции эмуляции носят эпизодический характер и применяются на практике пытливыми продвинутыми юзерами.

Нужно заметить, что работает связка NFC Android с помощью аккаунта от Google, предварительно заведенного вами, в случае установленной другой операционной системы (на ум приходит только продукция компании Apple) на мобильном устройстве, сделать из него двойник вашего платежного инструмента получится средствами самого телефона. Это значит, что в нем есть вмонтированный чип, в котором лежит буквально все, что касается вашего счета в банке и идентификационных данных.

Вообще, все устройства, имеющие собственный «банк данных», обладают одной очень привлекательной особенностью. Доступ к нему ограничен. Строго говоря, его нет даже у операционной системы девайса и извлечь что-либо, без вашей помощи, никому постороннему не удастся.

Кроме того, подобные устройства способны на проведение оплаты в бесконтактном режиме без помощи интернета. Все необходимое для транзакции уже есть под рукой.

Как это работает

До 2017 года был написан не один десяток статей на эту тему. С приходом новых приложений, таких как Google Pay, Samsung Pay и Apple Pay, страсти улеглись. Процесс виртуализации физического «пластика» заметно упростился и многие проблемы, связанные с этой процедурой, отпали сами собой. В марте прошлого года был запущен проект Android Pay (детище Google, впоследствии переработанное в современный вариант), детально описанный и донельзя конкретизированный. Изменения в алгоритме эмуляции с тех пор почти не произошли.

Вот как это работает сегодня.

  1. Прежде всего, предстоит выбрать и скачать нужное вам приложение, из числа предложенных.
  2. Установить на смартфон.
  3. Затем приступить к главному — эмулировать банковскую карту. Потребуется ее отсканировать, остальные необходимые данные ввести в ручном режиме. Ничего особенного, сведения о держателе счета в банке, домашний адрес, CVV-код с обратной стороны «пластика», номер телефона.
  4. Согласиться с пользовательским соглашением.
  5. Подтвердить СМС правильность ввода.
  6. Карта эмулирована, она у вас есть и хранится в приложении. В нужный момент просто активируйте NFC-модуль и саму программу. Платеж будет проведен моментально.

Отдельно остановлюсь на процедуре «внесения» дубликата пластикового пропуска куда-либо, в этот разряд можно отнести все другие носители информации, не связанные с банками.

Пытливые китайские умы сделали процедуру переноса физического объекта в память смартфона максимально комфортной и несложной. Вам предстоит скачать NFC Card Emulator с Play Маркета и установить на устройство. Затем активировать NFC-чип (без него никуда), запустить приложение и поднести к задней крышке телефона то, что хотите продублировать. «Пластик» предстанет в виртуальном образе в самой программе, в дальнейшем на него нужно будет нажать и поднести к объекту взаимодействия.

Как удивятся охранники с вашей работы, когда турникет на проходной откроется путем приложения смартфона к нему. Бывшие менты из охраны не любят неожиданностей, и вцепятся в вас мертвой хваткой. Правда, ненадолго.

Что требуется для эмуляции

Уже упомянутый NFC Card Emulator и Root-права в вашем устройстве. Все дело в том, что для изменения настроек в NFC (без этого не обойтись) придется кое-что изменить в системных файлах. Что под силу только суперпользователю.

Именно здесь кроется подвох, о чем нельзя не упомянуть. Предыдущее описание производства виртуальной платежной карты возможно только на совершенно «чистом» телефоне. Что я имею в виду. У вас должна стоять официальная прошивка, Root-права должны отсутствовать.

Только в этом случае получится провести платеж. А значит, если хотите иметь у себя в устройстве буквально все, что должно вас огорчить. Придется что-то выбрать. Либо платите в магазине, либо ходите в бассейн по эмулированному пропуску. Так обстоят дела сегодня, возможно в будущем произойдут перемены к лучшему.

Безопасность

Недавно заглянул в свой старый Xiaomi MI3 и был немало удивлен. Устройство имеет собственный элемент безопасности! В меню настроек предлагается на выбор места хранения: встроенный или на сим-карте. Что касается последнего места, то оно не прижилось на практике, ввиду сложности реализации. На сегодняшний день распространен вариант облачного хранилища Google, счастливчики могут похвастать собственным специальным чипом.

Возможные проблемы

Из возможных ошибок упомяну одну, но наиболее «тяжелую» для пользователей. Несколько лет назад боролись с сообщением из операционной системы: «нет доступных элементов защиты. Эмуляция NFC-карты будет отключена». С появлением реально работающих инструментов переноса платежной карты в виртуальную область, эти ошибки пропали. Что говорит об уровне новейших разработок.

Эмуляция карты NFC Android в настоящее время не является утомительным или сложным занятием. По крайней мере, те, кто хочет воспользоваться бесконтактным способом оплаты покупок, без труда воспользуются максимально разжеванными, в картинках, этапами привязки карты в приложении, предварительно установленном на собственный телефон. Все это есть в интернете.

Используемые источники:

  • https://bankir.ru/publikacii/20151116/desyat-faktov-o-tekhnologii-nse-10006907/
  • http://m4bank.ru/hce
  • https://www.klerk.ru/bank/articles/365235/
  • https://nfcoplata.ru/emulyatsiya-kartyi-nfc-android/

Оцените статью
Рейтинг автора
5
Материал подготовил
Илья Коршунов
Наш эксперт
Написано статей
134
Добавить комментарий