презентация - Платежи сегодня и завтра

Report
Безналичные
платежные
инструменты
завтрашнего дня
Игорь Голдовский
Генеральный директор
август 2013 г.
Основные черты платежного инструмента будущего
Платежный инструмент ближайшего будущего будет использовать:
1.
Микроконтроллер (элемент безопасности) как безопасную
платформу для реализации платежного приложения и хранения
данных приложения
2.
Вычислительные, коммуникационные, интерфейсные
возможности сотовых телефонов (и других сетевых гаджетов)
для совершения удаленных и F2F- платежей
3.
Модель электронного кошелька: интеграцию платежных
инструментов и унификацию платежей
4.
Новые платежные приложения: электронные наличные и
офлайновое предоплаченное приложение
5.
Развитую недорогую инфраструктуру приема платежей
6.
Биометрические методы верификации пользователя
Элемент безопасности (микроконтроллер)- основная
платформа для платежных инструментов будущего
•
Магнитная полоса более не является безопасной технологией +
она не позволяет внедрять перспективные проекты (мобильные
платежи и т.п.)
•
В мире у ведущих МПС уже примерно 30% (45% без рынка
США) карт и 50% (75%) терминалов работают по технологии
МПК. В Европе эти цифры составляют более 80% и 95%
соответственно. Приступил к миграции на чип рынок США
•
Пока главный стимул для миграции на чип: снижение уровня
фрода. В Великобритании с 2008 по 2011 гг. объем карточного
фрода уменьшился с 610 до 340 млн. фунтов стерлингов. Уровень
фрода в Европе за то же время уменьшился до 5.2 bp c 9 bp
•
Стандарт EMV будет совершенствоваться. Разрабатывается
новая версия стандарта EMV Next Generation. Переход на новый
стандарт планируется осуществить в 2025-2030 гг.
Сотовый телефон – удобное средство для выполнения
платежей
•
Сотовый телефон- самое распространенное устройство в мире:
сегодня зарегистрировано около 7 млрд. подключений к сотовым
сетям (SIM/UICC-карт), а к 2016 г. их будет 8 млрд.! Количество
пользователей Интернета примерно в 3 раза меньше. При этом более половины
Интернет-трафика генерируется из сотовой сети
•
Телефон- сетевой компьютер с дисплеем и клавиатурой, что
добавляет к свойствам обычной пластиковой карты
интерактивность: реализация комплексных услуг, выбор приложения
/услуги, загрузка новых приложений и управление приложениями,
информирование клиента о новых доступных ему услугах, хранение и
отображение на экране персональных данных клиента, результатов
выполненных операций, логотипов и брендов эмитентов/ПС
•
Телефон может использоваться как электронный бумажник для
хранения приложений различной функциональности от
различных эмитентов и даже различных платежных систем (!)
Сотовый телефон – удобное средство для выполнения
платежей
•
Телефон всегда рядом с пользователем и с его помощью можно
выполнять срочные функции: заблокировать/разблокировать
приложение или функцию приложения, посмотреть баланс
счета, пополнить приложение предоплаченной карты
•
Эмитент приложения практически в любой момент времени
получает возможность удаленного управления своими
приложениями, размещенными на телефоне или в ЭБ телефона
•
Телефон является удобным средством для внедрения новых
технологий верификации держателя карты, например,
биометрических методов
Сотовый телефон – удобное средство для выполнения
платежей
• Удобство выполнения платежей (как F2F, так и удаленных)
• Высокая скорость выполнения F2F-транзакции (в 2.5-3 раза
быстрее наличных)
• Высокая безопасность операций (динамическая аутентификация
приложения, целостность обмена данными, криптограмма
транзакции, верификация клиента по mPIN, возможность
подтверждения пользователем мобильной операции- Button
Pushing или/и PIN Entering)
• В сравнении с картами более высокая надежность платежного
инструмента и терминалов (ниже уровень механического износа,
защита от вандализма)
• Низкая себестоимость микроплатежей (офлайновые операции,
без верификации держателя карты и печати торговых чеков)
Новые области применения мобильных платежных
приложений (Prepaid для small ticket trnx)
- Offline Only CCD-compliant мобильное Prepaid приложение (с
помощью стандартных EMV-приложений МПС реализуется
плохо: VSDC+ и MasterCard Prepaid только для контактных карт)
- Offline Only мобильное приложение Электронные наличные:
анонимность, окончательность расчетов в момент совершения
операции => дополнительное снижение себестоимости операции
(нет клиринга и сеттлмента). Проекты Bitcoin, BitMint, BitPay
Удобство пополнения Предоплаченного приложения/ эмиссии
Электронных наличных со счета в банке с использованием
телефона. Телефон = банкомат и карта одновременно!
Возможно разделение применения приложений для транзакций на
значительные (VMPA, MMP) и небольшие суммы (Offline Only
приложения). Выбор приложения может производиться в момент
оплаты покупки
Построение мультисервисной системы на основе
технологии NFC
Сервисная система с поддержкой функций оплаты платежей и
товаров в онлайновых и «физических» магазинах, денежных
переводов (P2P), обслуживания купонов, билетов на проезд в
транспорте и на массовые мероприятия, кампусные приложения и
т.п. Платежная подсистема основана на использовании офлайнового кошелька,
пополняемого с банковского счета клиента или банковских счетов, связанных с
лицевыми счетами в биллинговой системе сотового оператора.
Банк 1
ИС эмитента
билетов на
массовые
мероприятия
Агрегаторы
платежных
услуг
Банк N
MNO
Универсальная
процессинговая
система с функциями
TSM
Физические
магазины
ИС
транспортного
оператора
MNO
ISP
Бонусная
система
Агрегаторы
онлайновых
магазинов
Преимущества многофункциональных систем,
построенных на основе технологии NFC
Высокий уровень безопасности операций: все операции
выполняются только на базе микропроцессорной технологии.
Практически исчезнут мошенничества типа Поддельные карты, CNP-fraud,
Lost/Stolen, на которые приходится около 95% всех потерь
Дешевая инфраструктура приема карт: в качестве терминала
используется NFC-модуль с телефоном. Не нужна сертификация на
соответствие стандартам PCI
Возможность удаленного управления контентом ЭБ: загрузка
новых приложений, изменение параметров управления рисками
(например, загрузка денежных средств в кошелек)
Мультифункциональность: в том числе поддержка транспортного
приложения, бонусных программ, программ лояльности
Уменьшение операционных расходов за счет увеличенного срока
действия карты
Телефон как CAT-терминал
Если банковское/платежное приложение находится в ЭБ, то на
телефоне/сервере агрегатора онлайновых магазинов (модель
виртуального терминала) может быть приложение, эмулирующее
работу POS-терминала.
В этом случае после оформления и подтверждения покупки
клиент по технологии Custom URL Scheme запускает приложение
телефона и передает ему транзакционные данные. Приложение
телефона в свою очередь инициирует выполнение онлайновой
транзакции, получает от приложения ЭБ криптограмму операции
и
другие
chip
related
data,
которые
направляются
обслуживающему магазин банку и далее эмитенту приложения!
Транзакция может быть выполнена с использованием мобильного
приложения (VMPA, MMP) и вводом mPIN.
Телефон становится персональным клиентским CAT-терминалом!
Телефон как CAT-терминал
Возможные угрозы безопасности для мобильных
операций
Телефон не является доверенной средой обработки операций. В
частности, возможны:
-Модификация данных операции (например, изменение размера
операции)
- Кража чувствительных данных (PIN-код приложения, реквизиты
платежного инструмента и т.п.)
-Перехват управления приложением в ЭБ телефона
Стандартные средства противодействия перехвату управления
приложением:
- контроль загрузки приложений (iOS, Android)
- контроль событий на уровне исходного кода защищаемого
приложения, при наступлении которых открывается доступ к
приложению;
- контроль доступа к приложению на уровне ОС (существуют
возможности сужения настроек, определяющих доступ)
Концепция доверенной среды исполнения
приложений (Trusted Execution Environment)
Аппаратно-программное решение, формирующее среду
исполнения «чувствительных» приложений, отделенную от
операционной среды телефона (Android, iOS, Java2ME и т.п.). TEE
включает:
•Защищенную память для хранения чувствительных приложений
(trustlet) и их данных (PIN-коды, купоны, лог-файлы транзакций и
т.п.)
•Интерфейс пользователя (экран, клавиатура) , полностью
контролируемый TEE
•Изолированную от ОС телефона среду выполнения критических
приложений (реализуется в App processor).
Данный подход противостоит всем перечисленным выше угрозам.
Решение предлагается Trusted Logic Mobility, Texas Instruments,
ARM и т.п. и внедрено на нескольких миллионах смартфонов и
планшетников, работающих под Android, Symbian, Windows Mobile
и Linux.
В рамках GlobalPlatform разработаны спецификации для TEE.
Запущена программа сертификации GP TEE Compliance Program
(FIME, Galitt)
SIM Alliance Open Mobile API:
SmartCard API- защита от перехвата управления
приложениями ЭБ
Применение каскадных ЭБ (активный стикер
компании Twinlinx)
Телефон – платежный инструмент будущего
Использование телефона в качестве будущего форм-фактора
платежной карты неизбежно!
Для клиента:
-это удобно: все карты в одном месте и всегда под рукой,
выполняются любые транзакции (F2F или удаленные), удобно
пользоваться (только поднести телефон к ридеру (F2F) или
выбрать инструмент для оплаты онлайновой покупки)
-можно получить дополнительные сервисы (электронные деньги,
mTicketing, электронные купоны, программы лояльности и т.п.)
- использование электронных кошельков (Wallet), упрощающих
процедуры checkout в онлайновых магазинах и унифицирующих
процедуру аутентификацию клиента
Для банков:
- это востребовано клиентами, потому что удобно
- реализация безналичных микроплатежей
- конкуренция: если банки не займут нишу мобильных платежей,
то это за них сделают MNO, Google, PayPal, социальные сети
- ближе к клиенту (оповещение об услугах, новые возможности по
управлению приложениями и т.п.)
Телефон – платежный инструмент будущего
Для магазина:
- удобно обслуживать клиента: телефон остается в руках клиента,
никаких проверок, аналогичных тем, что делаются для карты
- быстро (4-6 с): быстрее наличных (12-14 с) и контактной карты (27-44 с) , что
повышает пропускную способность магазина и уменьшает очереди, а, значит,
увеличивает обороты. Для многих розничных сетей это важно (Ашан, Метро,
рестораны быстрого питания, буфеты на стадионах и т.п.)
-обеспечивает обслуживание сектора операций на маленькие
суммы
-безопаснее наличных
- ниже значение торговой скидки (Merchant fee)
- на рынке в любом случае будут бесконтактные карты и NFCтелефоны для обслуживания специальных проектов (транспорт,
магазины быстрого обслуживания и т.п.). Поэтому инвестиции
магазина в NFC-платежи будут востребованы (например, для
«пополнения» платежных/транспортных приложений)
Для эмитента ЭБ (MNO, производителя телефона и т.п.):
- сдача в аренду ресурса ЭБ
- доходы от финансовых оборотов по платежным приложениям
(~0.3%)
Перспективы мобильного телефона как платежного
инструмента
-Consult Hyperion: Сегодня менее 5% POS-терминалов являются
бесконтактными. В 2016 г. их станет более 50%!
- ABI: Сейчас 10% продаваемых POS-терминалов являются
бесконтактными, в 2016 г. их будет 85%
-К 2020 г. на рынках Западной Европы и США практически все
терминалы будут бесконтактными
- EDC: к 2016 г. размер удаленных мобильных платежей
оценивается суммой $ 635 млрд.
- EDC: рынок платежей по бесконтактным картам к 2016 г.
составит 322 млрд. долларов. Из них 45 млрд. долларов будут
приходиться на NFC-платежи
Через 10-15 лет значительная часть привычных нам пластиковых
карт будет заменена разнообразными NFC-гаджетами
Концепция кошельков
Digital Wallets
Хранение реквизитов платежных инструментов пользователя
(например, карты разных банков различных платежных систем) и
адресов доставки для совершения операций в более чем одном
ТСП. Отдельный бренд
Примеры кошельков: Google Wallet, PayPal Wallet, Isis Wallet,
Square Wallet, V.me, MasterPass, Dwolla
После надежной аутентификации (может использоваться
приложение в ЭБ телефона) пользователь для совершения
платежа выбирает платежный инструмент, хранимый в
защищенном облаке оператора кошелька
Square Wallet
Удобно клиенту: нужно помнить только реквизиты кошелька
(простая процедура Checkout в онлайновом магазине)
Используется для F2F и удаленных мобильных
платежей
Концепция кошельков
Аутентификация пользователя – ключевой элемент в архитектуре
Кошелька. Оператор кошелька может взять на себя
ответственность за результат аутентификации пользователя
(аутсорсинг процедуры аутентификации).
Модели для реализации аутсорсинга
аутентификации
пользователя уже существуют в виде концепции ИД-провайдера,
поддерживающего SAML2 Browser/Artifact Profile
В России существует интересная возможность создания кошелька
на основе ИД-приложения карты УЭК!!!
Развитая инфраструктура приема платежей (MPOS)
(http://www.pymnts.com/assets/Uploads/MPOS-JanuaryFINALv3.pdf)
1) Гибридные терминалы MPOS (все сертифицированы на
соответствие EMVCo L1&L2, PCI PTS): CardEase Mobile, Elavon,
Handpoint, MPED-400, Miura Shuttle, Payworks MPOS, Thyron
Posmate Smart, Datecs BluePad, Datecs Dual Reader
2) Chip Only MPOS: iZettle, Swiff, Soft Space Mobile EMV
(EMVCo L1&L2)
3) MPOS с поддержкой только магнитной полосы: Square,
EseTap, Groupon, 2can, Sellbycell, Kudos Slice, NetSecure Payments
Более 80 поставщиков решений (еще полгода назад их было 40).
В 2010 и 2011 гг. было установлено 1.2 млн. устройств. Сейчас, по
разным оценкам, их около 3 млн.
Наличие проблемы Trusted Execution Environment на телефоне для
программ MPOS
Биометрия
Многофакторная аутентификация пользователя
Match on Card и System on Card
ISO 19794 (BioAPI v.2.0), ANSI X.9.84, ISP 19785, Global
Platform (Global Services Application)
Fast Identity Online (FIDO) Alliance (http://www.fidoalliance.org)
Успешные проекты МПС: Grinrod Bank-South African
Social Security Agency Card. M/Chip + Biometric voice &
fingerprint для идентификации/аутентификации
получателя скидок
Заключение
Платежные технологии стоят на пороге значительных
преобразований:
-Сотовые телефоны (и другие подключаемые к Интернет
устройства), снабженные элементами безопасности, новые игроки
рынка (сотовые операторы, Интернет-гиганты, социальные сети),
внедрение новых технологий приведут к изменению ландшафта в
мире безналичных платежей
-Платежные приложения в ЭБ телефона обеспечивают все виды
платежей (F2F- и удаленные), гарантируя беспрецедентно
высокий уровень безопасности мобильных платежей
- Следует ожидать распространения новых моделей платежей
(P2P-платежи (P2P via Google, Square Cash), аутсорсинг функции
аутентификации пользователя и т.п.)
Нас всех ждут интересные времена и нужно быть к
ним готовыми!
Спасибо за внимание!!!
Платежные технологии
Россия, 124498, г.Зеленоград,
проезд 4806, дом 5, строение 23,
Зеленоградский ИнновационноТехнологический Центр
+7-495-276-17-12

similar documents