Karta płatnicza w komórce: Host Card Emulation (HCE) vs Secure Element (SE)

Świat płatności bezgotówkowych jest miejscem ciągłych innowacji. W centrum zainteresowania coraz częściej znajdują się telefony komórkowe, które w dobie gwałtownego rozwoju płatności zbliżeniowych stają się naturalnym obiektem zainteresowania banków i organizacji płatniczych, które chciałyby zamienić telefon w kartę płatniczą.

Obecnie zastąpienie zbliżeniowej karty płatniczej telefonem jest możliwe przy wykorzystaniu jednej z dwóch technologii:

- karty SIM NFC (Secure Element),

- aplikacji HCE (Host Card Emulation).

W niniejszym artykule postaramy się przedstawić pokrótce czym są oba standardy, jaką przewagę HCE ma nad SE oraz jak HCE prezentuje się w Polsce.

Standardy HCE / SE

Chcąc zastąpić kartę płatniczą telefonem, niezależnie od wybranego standardu, konieczne jest posiadanie telefonu umożliwiającego komunikację bezstykową (NFC — NearField Communication).

W przypadku standardu SE dodatkowo wymagana jest dedykowana karta SIM od operatora telekomunikacyjnego zawierająca tzw. bezpieczny element (Secure Element). Ten element jest odpowiedzialny za bezpieczne przechowywanie wszelkich wrażliwych danych związanych z transakcjami kartowymi oraz za przeprowadzane podczas nich operacje kryptograficzne. Dodatkowo karta SIM dostarczona przez operatora musi zostać odpowiednio skonfigurowana (spersonalizowana) przez bank, który wydał nam kartę płatniczą. Oznacza to, że zanim będziemy mogli skorzystać z opcji płacenia telefonem w modelu SE, nasz bank musi rozpocząć współpracę z naszym operatorem.
Przy 41 bankach komercyjnych[1] i 4 dużych operatorach komórkowych działających w Polsce, szansa, że właśnie nasz bank rozpocznie współpracę z operatorem u którego mamy numer telefonu jest niestety dość niska.

W odróżnieniu od standardu SE, HCE nie wymaga stosowania dedykowanych kart SIM w telefonie. U podstaw HCE leży założenie, że dane zapisywane w telefonie nie są wystarczająco bezpieczne i dlatego przechowywanie poufnych danych odbywa się tylko w bazach danych w ‘chmurze’ zarządzanej przez tzw. Trusted Service Manager-ów lub banki wydawców. Bazy te charakteryzują się bardzo wysokimi standardami bezpieczeństwa, zdecydowanie przekraczającymi wymagania zdefiniowane np. w PCI DSS i są porównywalne ze standardami obowiązującymi w laboratoriach odpowiedzialnych za personalizacje kart płatniczych dla klientów banków.
Po stronie telefonu cała obsługa odbywa się wyłącznie w warstwie oprogramowania, a nie oprogramowania i sprzętu, jak w przypadku SE.

Bezpieczeństwo transakcji w standardzie HCE zapewniającztery filary:

- klucze kryptograficzne ograniczonego użytku,

- ‘odcisk palca’ telefonu,

- tokenizacja,

- analiza ryzyka transakcji online.

Częsta wymiana kluczy kryptograficznych używanych podczas transakcji ma za zadanie zabezpieczyć przed ich ewentualnym ujawnieniem. Tokenizacja zmniejsza ryzyko transakcji w komunikacji z terminalem poprzez zastąpienie faktycznego numeru karty jednorazowymi tokenami, które są odpowiednio rozpoznawane przez systemy autoryzacyjne. ‘Odcisk palca’ telefonu to jego indywidualny profil, którego nasze urządzenie używa do  identyfikowania się podczas transakcji i potwierdzenia naszej tożsamości. Natomiast analiza ryzyka pozwala na wykrywanie anomalii w aktywności użytkowników w czasie rzeczywistym, dzięki czemu możliwe jest zablokowanie podejrzanych transakcji.

Działanie i przepływ transakcji w modelu HCE oraz SE

grafika-11.png

Rysunek 1 Schemat transakcji w technologii HCE przy założeniu, że dane karty przechowywane są przez bank wydawcę
Źródło: http://www.chyp.com

W modelu HCE aplikacja płatnicza działająca na telefonie komórkowym komunikuje się bezpośrednio z terminalem sprzedawcy. Z punktu widzenia terminala aplikacja zachowuje się jak karta płatnicza. Podczas transakcji przesyła dane pozwalające na autoryzację pojedynczej transakcji (tokeny), które weryfikowane są w procesie autoryzacji przez bank wydawcę. Wraz z komunikatem o udanej autoryzacji do aplikacji mogą zostać wysłane kolejne tokeny, pozwalające na przeprowadzenie następnych transakcji.

grafika-21.png

Rysunek 2 Schemat transakcji w technologii SE
Źródło: http://www.chyp.com

W odróżnieniu od HCE, model SE wymaga zaangażowania większej liczby uczestników do przeprowadzenia transakcji. Sama aplikacja płatnicza wraz z wrażliwymi danymi płatniczymi przechowywana jest w bezpiecznym elemencie (SE). Dodatkowo w telefonie zainstalowana jest mobilna aplikacja służąca do obsługi transakcji (np. przyjęcie PIN-u). Aplikacja płatnicza jest wydawana przez bank i musi być odpowiednio spersonalizowana zanim telefon z SE będzie mógł być użyty podczas zakupów. Proces personalizacji i udostępnienia bankowej aplikacji końcowemu użytkownikowi oznaczony jest na diagramie powyżej za pomocą przerywanych linii i wymaga dodatkowej interakcji z operatorem komórkowym.

Przewaga HCE

Podstawową zaletą HCE jest uniezależnienie całego procesu płatności i wydawania kart od operatora telekomunikacyjnego. Nie musimy liczyć na to, że nasz bank postanowi nawiązać współpracę z naszym operatorem komórkowym — wystarczy tylko, że nasz bank udostępni nam odpowiednią aplikację na telefon obsługujący HCE i będzie można płacić telefonem (niezależnie od operatora).

Host Card Emulation w Polsce

Polski rynek wydaje się gotowy na przyjęcie nowego standardu płatności, co potwierdzają następujące fakty:

- Więcej niż 75% spośród wszystkich terminali umieszczonych w sklepach i punktach handlowych obsługuje już obecnie transakcje zbliżeniowe, a w planach jest zastąpienie wszystkich standardowych terminali terminalami bezstykowymi.[2]

- 9 lutego oficjalnie wystartował Blik, czyli polski system płatności mobilnych wspierany przez Alior Bank, Bank Millennium, Bank Zachodni WBK, ING Bank Śląski, mBank, w tym Orange Finanse oraz PKO Bank Polski i Inteligo. Aplikacja Blik ma pozwolić na dokonywanie transakcji w systemie HCE dla klientów wymienionych banków.

- Niezależnie od Blika, w grudniu 2014 Bank Pekao udostępnił dla swoich klientów opcję HCE w swojej aplikacji PeoPay, a w styczniu podobną funkcjonalność wprowadził Getin Bank.

W artykule wykorzystano informacje z: www.chyp.com, www.sequent.com

[1]http://pl.wikipedia.org/wiki/Lista_bank%C3%B3w_dzia%C5%82aj%C4%85cych_w_Polsce

[2]http://www.nfcworld.com/2015/01/07/333396/nine-polish-banks-launch-hce-mobile-payments/

Powrót do Publikacji