Шляхи прийняття рішень в процесі токенізації картки в Apple Wallet
Огляд
Є дві схеми токенізації картки в Apple wallet, основною вважається токенізація картки безпосередньо через гаманець з ручним введенням реквізитів або скануванням параметрів, а друга дуже поширена і зручна в усіх аспектах через банківський застосунок In-App Provisioning.
Apple Pay на додаток до основних вимог щодо безпеки Security Control Requirements і Multifactor Authentication Requirements, пропонує банку звернути увагу на рекомендований код ризику або, як його називає Orange Path, Reason Code 0G. Така рекомендація застосовується до всіх схем токенізації, включаючи токенізацію в інтернет-комерції.
Apple може передати код ризику 0G у складі даних, які надсилаються емітенту для подальшого використання в процесі підготовки до токенізації. Коли Apple видає такий код ризику 0G (Orange Path), то Apple вказує емітенту на наявність факторів, що вказують на необхідність бути уважним і застосувати додаткові перевірки клієнта перед схваленням запиту на токенізацію.
Apple при токенізації карт в Apple Wallet використовує так звані «Decisioning Paths» (Green / Yellow / Orange / Red).
До додаткових методів аутентифікації відносять:
- Biometric-based confirmation (Face ID/Touch ID в додатку банку).
- Push-підтвердження через mobile banking (з відповідними деталями транзакції).
- Call center confirmation (дуже рідко).
- Dynamic OTP, але з прив'язкою до пристрою або біометрії.
Apple рекомендує банку-емітенту, для будь-якого такого запиту, виконати перевірку одноразового пароля (OTP) або вимагати зателефонувати в кол-центр, якщо постійний канал недоступний.
Apple також рекомендує ще таку перевірку, як додавання введення перевірочного коду картки (CVV) в користувальницький інтерфейс додатку емітента.
Всі рекомендації спрямовані на те, щоб кількість токенізації картки шахраєм була дуже низькою. Для цього банк-емітент може і повинен використовувати свої власні методи аутентифікації клієнта, а також використовувати системи оцінки потенційного шахрайства.
Paths - Шляхи прийняття рішень
| Paths | Risk | Reason Code | Action |
|---|---|---|---|
| Green | низький | 00 | Картку токенізовано без додаткових перевірок |
| Yellow | середній | 01,02 | Стандартна аутентифікація (SMS OTP, 3DS, Call center) |
| Orange | підвищений | 0G | Потрібна сувора аутентифікація: біометрія в додатку банку, OTP, CVV, challenge-response |
| Red | високий | 11,12 | Токенізацію карти відхилити |
Orange Path означає, що Apple вважає транзакцію на межі з ризиком, і в такому випадку банк-емітент зобов'язаний провести сувору (додаткову) аутентифікацію клієнта (Additional Authentication Rigor).
Apple зазначає, що такі сувори методи аутентифікації важливі для безпеки і мають форму рекомендації з обов'язковим застосуванням.
В інтерфейсі застосунку банку-емітента сценарій додаткових перевірок міг би виглядати наступним чином:
- Користувач намагається додати картку в Apple Wallet із застосунку банку (In-App Provisioning).
- Apple аналізує дані і повертає Orange Path.
- Емітент в цьому випадку запитує у клієнта посилену аутентифікацію.
- Тільки після успішного проходження — картка токенізується.
З огляду на вищесказане, банківська платформа мобільного застосунку, якщо використовує схему токенізації In-App Provisioning у своєму застосунку, повинна забезпечувати підтримку та обробку потоку, пов'язаного з кодом ризику 0G -Orange Path.
Які дані використовує Aplle для присвоєння Reason Code?
Apple відзначає ті картки, де ризик вищий за звичайний, але все ж не критичний.
Готові впровадити токенізацію у вашому банку?
CARTSYS реалізував токенізацію карток Visa та Mastercard в Apple Pay, Google Pay та Click to Pay для провідних банків в Україні та за кордоном. Розкажемо про процес, терміни й інтеграцію з вашою системою.