Karta płatnicza w komórce: Host Card Emulation (HCE) vs Secure Element (SE)

Karta płatnicza w komórce: Host Card Emulation (HCE) vs Secure Element (SE)

Świat płat­noś­ci bez­gotówkowych jest miejscem ciągłych innowacji. W cen­trum zain­tere­sowa­nia coraz częś­ciej zna­j­du­ją się tele­fony komórkowe, które w dobie gwał­townego roz­wo­ju płat­noś­ci zbliże­niowych sta­ją się nat­u­ral­nym obiek­tem zain­tere­sowa­nia banków i orga­ni­za­cji płat­niczych, które chci­ały­by zamienić tele­fon w kartę płat­niczą.

Obec­nie zastąpi­e­nie zbliże­niowej kar­ty płat­niczej tele­fonem jest możli­we przy wyko­rzys­ta­niu jed­nej z dwóch tech­nologii:

- kar­ty SIM NFC (Secure Ele­ment),

- aplikacji HCE (Host Card Emu­la­tion).

W niniejszym artykule postaramy się przed­staw­ić pokrótce czym są oba stan­dardy, jaką przewagę HCE ma nad SE oraz jak HCE prezen­tu­je się w Polsce.

Stan­dardy HCE / SE

Chcąc zastąpić kartę płat­niczą tele­fonem, nieza­leżnie od wybranego stan­dar­du, konieczne jest posi­adanie tele­fonu umożli­wia­jącego komu­nikację bezstykową (NFC — NearField Com­mu­ni­ca­tion).

W przy­pad­ku stan­dar­du SE dodatkowo wyma­gana jest dedykowana kar­ta SIM od oper­a­to­ra teleko­mu­nika­cyjnego zaw­ier­a­ją­ca tzw. bez­pieczny ele­ment (Secure Ele­ment). Ten ele­ment jest odpowiedzial­ny za bez­pieczne prze­chowywanie wszel­kich wrażli­wych danych związanych z transakc­ja­mi kar­towy­mi oraz za przeprowadzane pod­czas nich oper­ac­je kryp­tograficzne. Dodatkowo kar­ta SIM dostar­c­zona przez oper­a­to­ra musi zostać odpowied­nio skon­fig­urowana (sper­son­al­i­zowana) przez bank, który wydał nam kartę płat­niczą. Oznacza to, że zan­im będziemy mogli sko­rzys­tać z opcji płace­nia tele­fonem w mod­elu SE, nasz bank musi rozpocząć współpracę z naszym oper­a­torem.
Przy 41 bankach komercyjnych[1] i 4 dużych oper­a­torach komórkowych dzi­ała­ją­cych w Polsce, szansa, że właśnie nasz bank rozpocznie współpracę z oper­a­torem u którego mamy numer tele­fonu jest nieste­ty dość niska.

W odróżnie­niu od stan­dar­du SE, HCE nie wyma­ga stosowa­nia dedykowanych kart SIM w tele­fonie. U pod­staw HCE leży założe­nie, że dane zapisy­wane w tele­fonie nie są wystar­cza­ją­co bez­pieczne i dlat­ego prze­chowywanie poufnych danych odby­wa się tylko w bazach danych w ‘chmurze’ zarządzanej przez tzw. Trust­ed Ser­vice Man­ag­er-ów lub ban­ki wydaw­ców. Bazy te charak­teryzu­ją się bard­zo wysoki­mi stan­dar­d­a­mi bez­pieczeńst­wa, zde­cy­dowanie przekracza­ją­cy­mi wyma­gania zdefin­iowane np. w PCI DSS i są porówny­walne ze stan­dar­d­a­mi obow­iązu­ją­cy­mi w lab­o­ra­to­ri­ach odpowiedzial­nych za per­son­al­iza­c­je kart płat­niczych dla klien­tów banków.
Po stron­ie tele­fonu cała obsłu­ga odby­wa się wyłącznie w warst­wie opro­gramowa­nia, a nie opro­gramowa­nia i sprzę­tu, jak w przy­pad­ku SE.

Bez­pieczeńst­wo transakcji w stan­dard­zie HCE zapew­ni­a­jącztery filary:

-klucze kryp­tograficzne ogranic­zonego użytku,

- ‘odcisk pal­ca’ tele­fonu,

-tok­eniza­c­ja,

- anal­iza ryzy­ka transakcji online.

Częs­ta wymi­ana kluczy kryp­tograficznych uży­wanych pod­czas transakcji ma za zadanie zabez­pieczyć przed ich ewen­tu­al­nym ujawnie­niem. Tok­eniza­c­ja zmniejsza ryzyko transakcji w komu­nikacji z ter­mi­nalem poprzez zastąpi­e­nie fak­ty­cznego numeru kar­ty jed­no­ra­zowy­mi toke­na­mi, które są odpowied­nio rozpoz­nawane przez sys­te­my auto­ryza­cyjne. ‘Odcisk pal­ca’ tele­fonu to jego indy­wid­u­al­ny pro­fil, którego nasze urządze­nie uży­wa do  iden­ty­fikowa­nia się pod­czas transakcji i potwierdzenia naszej tożsamoś­ci. Nato­mi­ast anal­iza ryzy­ka pozwala na wykry­wanie anom­alii w akty­wnoś­ci użytkown­ików w cza­sie rzeczy­wistym, dzię­ki czemu możli­we jest zablokowanie pode­jrzanych transakcji.

Dzi­ałanie i przepływ transakcji w mod­elu HCE oraz SE

grafika 1

 

Rysunek 1 Schemat transakcji w tech­nologii HCE przy założe­niu, że dane kar­ty prze­chowywane są przez bank wydaw­cę
Źródło: http://www.chyp.com

W mod­elu HCE aplikac­ja płat­nicza dzi­ała­ją­ca na tele­fonie komórkowym komu­niku­je się bezpośred­nio z ter­mi­nalem sprzedaw­cy. Z punk­tu widzenia ter­mi­nala aplikac­ja zachowu­je się jak kar­ta płat­nicza. Pod­czas transakcji przesyła dane pozwala­jące na auto­ryza­cję poje­dynczej transakcji (toke­ny), które wery­fikowane są w pro­ce­sie auto­ryza­cji przez bank wydaw­cę. Wraz z komu­nikatem o udanej auto­ryza­cji do aplikacji mogą zostać wysłane kole­jne toke­ny, pozwala­jące na przeprowadze­nie następ­nych transakcji.

grafika 2

Rysunek 2 Schemat transakcji w tech­nologii SE
Źródło: http://www.chyp.com

W odróżnie­niu od HCE, mod­el SE wyma­ga zaan­gażowa­nia więk­szej licz­by uczest­ników do przeprowadzenia transakcji. Sama aplikac­ja płat­nicza wraz z wrażli­wy­mi dany­mi płat­niczy­mi prze­chowywana jest w bez­piecznym ele­men­cie (SE). Dodatkowo w tele­fonie zain­stalowana jest mobil­na aplikac­ja służą­ca do obsłu­gi transakcji (np. przyję­cie PIN-u). Aplikac­ja płat­nicza jest wydawana przez bank i musi być odpowied­nio sper­son­al­i­zowana zan­im tele­fon z SE będzie mógł być uży­ty pod­czas zakupów. Pro­ces per­son­al­iza­cji i udostęp­nienia bankowej aplikacji koń­cowe­mu użytkown­ikowi oznac­zony jest na dia­gramie powyżej za pomocą prz­ery­wanych linii i wyma­ga dodatkowej inter­akcji z oper­a­torem komórkowym.

Przewa­ga HCE

Pod­sta­wową zaletą HCE jest unieza­leżnie­nie całego pro­ce­su płat­noś­ci i wydawa­nia kart od oper­a­to­ra teleko­mu­nika­cyjnego. Nie musimy liczyć na to, że nasz bank postanowi naw­iązać współpracę z naszym oper­a­torem komórkowym — wystar­czy tylko, że nasz bank udostęp­ni nam odpowied­nią aplikację na tele­fon obsługu­ją­cy HCE i będzie moż­na płacić tele­fonem (nieza­leżnie od oper­a­to­ra).

Host Card Emu­la­tion w Polsce

Pol­s­ki rynek wyda­je się gotowy na przyję­cie nowego stan­dar­du płat­noś­ci, co potwierdza­ją następu­jące fak­ty:

- Więcej niż 75% spośród wszys­t­kich ter­mi­nali umieszc­zonych w sklepach i punk­tach hand­lowych obsługu­je już obec­nie transakc­je zbliże­niowe, a w planach jest zastąpi­e­nie wszys­t­kich stan­dar­d­owych ter­mi­nali ter­mi­nala­mi bezstykowymi.[2]

- 9 lutego ofic­jal­nie wys­tar­tował Blik, czyli pol­s­ki sys­tem płat­noś­ci mobil­nych wspier­any przez Alior Bank, Bank Mil­len­ni­um, Bank Zachod­ni WBK, ING Bank Śląs­ki, mBank, w tym Orange Finanse oraz PKO Bank Pol­s­ki i Inteligo. Aplikac­ja Blik ma poz­wolić na dokony­wanie transakcji w sys­temie HCE dla klien­tów wymienionych banków.

- Nieza­leżnie od Bli­ka, w grud­niu 2014 Bank Pekao udostęp­nił dla swoich klien­tów opcję HCE w swo­jej aplikacji Peo­Pay, a w sty­czniu podob­ną funkcjon­al­ność wprowadz­ił Getin Bank.

W artykule wyko­rzys­tano infor­ma­c­je z: www.chyp.com, www.sequent.com

[1]http://pl.wikipedia.org/wiki/Lista_bank%C3%B3w_dzia%C5%82aj%C4%85cych_w_Polsce

[2]http://www.nfcworld.com/2015/01/07/333396/nine-polish-banks-launch-hce-mobile-payments/

Payarto
Jesteśmy wyspecjalizowanym biznesowo-technologicznym doradcą w branży płatności elektronicznych. Dostarczamy najwyższej jakości rozwiązania i usługi dla wszystkich uczestników ekosystemu płatności.