Шляхи прийняття рішень в процесі токенізації картки в Apple Wallet

Шляхи прийняття рішень в процесі токенізації картки в Apple Wallet

Є дві схеми токенізації картки в Apple wallet, основною вважається токенізація картки безпосередньо через гаманець з ручним введенням реквізитів або скануванням параметрів, а друга дуже поширена і зручна в усіх аспектах через банківський застосунок In-App Provisioning.

Apple Pay на додаток до основних вимог щодо безпеки Security Control Requirements і Multifactor Authentication Requirements, пропонує банку звернути увагу на рекомендований код ризику або, як його називає Orange Path, Reason Code 0G. Така рекомендація застосовується до всіх схем токенізації, включаючи токенізацію в інтернет-комерції.

Apple може передати код ризику 0G у складі даних, які надсилаються емітенту для подальшого використання в процесі підготовки до токенізації. Коли Apple видає такий код ризику 0G (Orange Path), то Apple вказує емітенту на наявність факторів, що вказують на необхідність бути уважним і застосувати додаткові перевірки клієнта перед схваленням запиту на токенізацію.

Apple при токенізації карт в Apple Wallet використовує так звані «Decisioning Paths» (Green / Yellow / Orange / Red).

До додаткових методів аутентифікації відносять:
  • Biometric-based confirmation (Face ID/Touch ID в додатку банку).
  • Push-підтвердження через mobile banking (з відповідними деталями транзакції).
  • Call center confirmation (дуже рідко).
  • Dynamic OTP, але з прив'язкою до пристрою або біометрії.

Apple рекомендує банку-емітенту, для будь-якого такого запиту, виконати перевірку одноразового пароля (OTP) або вимагати зателефонувати в кол-центр, якщо постійний канал недоступний.

Apple також рекомендує ще таку перевірку, як додавання введення перевірочного коду картки (CVV) в користувальницький інтерфейс додатку емітента.

Всі рекомендації спрямовані на те, щоб кількість токенізації картки шахраєм була дуже низькою. Для цього банк-емітент може і повинен використовувати свої власні методи аутентифікації клієнта, а також використовувати системи оцінки потенційного шахрайства.

Paths - Шляхи прийняття рішень

Paths Risk Reason Code Action
Green низький 00 Картку токенізовано без додаткових перевірок
Yellow середній 01,02 Стандартна аутентифікація (SMS OTP, 3DS, Call center)
Orange підвищений 0G Потрібна сувора аутентифікація: біометрія в додатку банку, OTP, CVV, challenge-response
Red високий 11,12 Токенізацію карти відхилити

Orange Path означає, що Apple вважає транзакцію не межі з ризиком, і в такому випадку банк-емітент зобов'язаний провести сувору (додаткову) аутентифікацію клієнта (Additional Authentication Rigor).

Apple зазначає, що такі сувори методи аутентифікації важливі для безпеки і мають форму рекомендації з обов'язковим застосуванням.

В інтерфейсі застосунку банку-емітента сценарій додаткових перевірок міг би виглядати наступним чином:
  1. Користувач намагається додати картку в Apple Wallet із застосунку банку (In-App Provisioning).
  2. Apple аналізує дані і повертає Orange Path.
  3. Емітент в цьому випадку запитує у клієнта посилену аутентифікацію.
  4. Тільки після успішного проходження — картка токенізується.

З огляду на вищесказане, банківська платформа мобільного застосунку, якщо використовує схему токенізації In-App Provisioning у своєму застосунку, повинна забезпечувати підтримку та обробку потоку, пов'язаного з кодом ризику 0G -Orange Path.

Які дані використовує Aplle для присвоєння Reason Code?

Apple відзначає ті картки, де ризик вищий за звичайний, але все ж не критичний.

Підозріла активність пристрою.
Новий iPhone / iPad нещодавно активований і відразу намагається додати картку. Кілька спроб токенізації різних карток з одного пристрою (3 і більше за один день).
Нетипова поведінка користувача.
Карту вперше намагаються токенізувати з нетипової геолокації (наприклад, український банк, а токенізацію намагаються зробити з Азії). Невідповідність профілю Apple ID і даних картки (країна, адреса). iPhone подарували іншому користувачеві (зміна профілю і намагаються виконати токенізацію).
Ризики за карткою.
Були відхилені транзакції за підозрою у шахрайстві (система банку). Картка нещодавно перевипущена.
Граничні правила Apple Risk Engine
Використовується пристрій з jailbreak / root. Невідповідність між джерелом токенізації (In-App Provisioning) та профілем клієнта.