Deciphering one of the key topics of the CARTES SECURE CONNEXIONS show
PARIS. June 18, 2015 (BUSINESS WIRE/ME NewsWire)-- CARTES SECURE CONNEXIONS 2015, the show dedicated to secure solutions for payment, identification and mobility, is organising three conference sessions on tokenization.
E-payment systems are rapidly evolving, which shows that the industry is ready to meet the demands of portable device users. The emergence of new types of service providers, such as Token Service Providers, would suggest that the scope of tokenization goes much further than payment.
During three conference sessions on "Navigating the mobile contactless payments landscape" – to take place between 17 and 19 November– we will look at this ever-growing security procedure and the relevant strategic issues; how it is making its way into the scope of payment and its potential future in other sectors. A large number of exhibitors will be presenting their innovations in terms of tokenization during this 3-day event.
Tokenization: the natural evolution of secure payment
How has tokenization evolved to become a secure solution for electronic payments? For a long time, it has only been possible to "physically" pay for something in a shop, by inserting your card into a card terminal (for card present transactions).
However, the emergence of two phenomena has shaken this model:
- Firstly, contactless payments, which are made directly using a card or a mobile phone. The objective is to facilitate payment and speed up transactions, while ensuring a high level of security.
- Secondly, the arrival of the Internet and e-commerce, which have called for the implementation of virtual payment systems (for card not present transactions). However, these systems may represent serious risks, because, quite often, it is enough to have the primary account number (PAN) and expiry date of the card to carry out a transaction online.
Given that the number of virtual transactions is increasing considerably, new technologies –for example, NFC, Bluetooth LowEnergy, QR codes and HCE– have had to rise to a number of challenges, particularly in terms of security.
Tokenization is a process which is part of this development in payment systems and it consists in replacing sensitive data with substitute data to make electronic transactions more secure. The most representative example is the use of a token instead of a bank card number (or PAN). By using a token rather than a PAN, it is possible to limit the damage caused if the security system is breached and details of payment are revealed.
In the future, users may not even be able to differentiate between card present and card not present transactions and user identification used will vary, depending on the type of terminal and network used and their preferences (consumer or retailer).
The token: fail-safe protection against hackers
Tokens are used to substitute sensitive data. They are not related in any way to the data they replace and hackers cannot read any of the data substituted. Tokenization can reduce the risk of using sensitive data online, for example in the event of data theft or misappropriation.
It is in this context that tokenization comes into its own.
The developers and users of payment systems seek the following security benefits:
- Sensitive data associated with the card used for payment and the holder should lie in the hands of the bank and retailer only. Under no circumstances may these data be made available to third-party systems.
- Tokens created are based on random numbers and characters and should not be associated with the data that they replace;
- Tokens created should have the same format, size and characteristics as the original data.
EMV has shown how effective it is in fighting against fraud in card present transactions: apart from "chip and pin" transactions, the PAN may only be used if the card is physically presented.
The situation is, however, completely different for card not present transactions and the level of fraud is increasing in this use. Despite an array of measures designed to secure these types of transactions, the best way to fight against fraud is to have a secret PAN.
In the case of cross-channel transactions, which may be in a store or online, the card data obtained fraudulently, via a faulty payment terminal, may be used for card not present transactions on the Internet. This is where the token plays a key role, as even if the security system is breached and the payment details are unveiled, the damage is limited since the token value is revealed rather than the PAN that it replaces.
For card not present transactions in particular, tokenization offers the best features in terms of security. However, other security measures such as readers or terminals must also be implemented since tokenization alone cannot totally guarantee security.
From payment to a new scope: the omnipresent token
The launch of Apple Pay in September 2014 has strongly affected the mobile payment ecosystem. This offer has three main characteristics:
- NFC as a communications protocol with the payment terminal;
- Using the Secure Element as a security platform;
- Using tokens to protect the card number.
Apple's announcement came at the same time as the announcement made by Visa and Mastercard who gave their approval of tokenization as a security solution for transactions, particularly card not present transactions. A few months earlier (March 2014), EMVCo issued a document entitled "EMV Payment Tokenization Specification – Technical Framework" which inspired the Apple Pay solution.
The rapid innovation of payment systems is unprecedented. It shows that the industry is rapidly evolving to meet the demands of portable device users - primarily the Smartphone - who believe that this device is fully adapted for transactions carried out online or at home. New types of service providers are emerging, such as Token Service Providers, which complement the already wide range of suppliers of components and applications.
This is particularly important since the scope of tokenization goes beyond payment. The health sector, like the payment industry, relies on security access devices to identify a lot of individuals. It therefore represents a strong candidate for new generation tokens.
Tokenization at the heart of CARTES SECURE CONNEXIONS 2015
Payment is a complex and rapidly evolving area. The ever-growing mobile ecosystem is crossing and integrating into more industry segments than ever before. Tokenization is an alternative to hardware solutions used to date for secure transaction payments.
From 17 to 19 November, CARTES SECURE CONNEXIONS places mobile contactless payment under the spotlight at three day-long sessions on: "Navigating the mobile contactless payments landscape".
- HCE & Tokenization: What is the role of the Secure Element?
Presented by Francesco IARLORI, Managing Director - BizDev & Strategy Italy
- New business models: What is the impact on the banking, telecommunications and retail industries?
Presented by Laurent NIZRI, CEO, Alteir Consulting & Vice-President, ACSEL
- Mobile payments: NFC, HCE, SE, Tokenization
Presented by Nathan HILT, Director – PriceWaterhouseCoopers
This is an opportunity for participants to look into the latest technologies on the payments market (for example, NFC, HCE, SE and tokenization), to discuss how the mobile is creating new ways to pay and to assess the new players and trends.
Several companies* which specialise in tokenization will be presented at CARTES SECURE CONNEXIONS:
- INFINEON TECHNOLOGIES AG
- DATACARD GROUP & ENTRUST
- FEITIAN TECHNOLOGIES
- FUTUREX
- THALES
- CRYPTERA
- WORLDLINE
- CryptoExperts
- Cryptomathic
- UNDERWRITERS LABORATORIES
* Non-exhaustive list of exhibitors working on this topic.
MOBILE CONTACTLESS PAYMENTS
For more information and a list of exhibitors by sector, please see:
http://www.cartes.com/2015-Exhibitor-List
For more information and a list of exhibitors by sector, please see:
http://www.cartes.com/2015-Exhibitor-List
CARTES SECURE CONNEXIONS
Book your dates: 17-19 November 2015
For more information, please visit: www.cartes.com
عملية تحويل البيانات إلى رموز، المعيار الأمني الجديد للمدفوعات الجوالة
فك الرموز هو أحد المواضيع الرئيسية في معرض "كارتس" للاتصالات الآمنة
باريس. 18 يونيو 2015 (بزنيس واير/ميدل ايست نيوز واير): ينظم "كارتس" للاتصالات الآمنة 2015، المعرض التجاري المخصص للحلول الآمنة للمدفوعات والتعرف على الهوية والتنقلية، ثلاث جلسات في المؤتمر الذي تدور فعالياته حول عملية تحويل البيانات إلى رموز (توكينايزيشن).
وتشهد أنظمة الدفع الإلكترونية نمواً سريعاً، الأمر الذي يدل على أن القطاع على استعداد لتلبية طلبات مستخدمي الأجهزة المحمولة. وإن بروز أنواع جديدة من مزودي الخدمات، مثل مزودي خدمات عملية تحويل البيانات إلى رموز، يشير إلى أن نطاق تحويل البيانات إلى رموز من شأنه الذهاب إلى أبعد من المدفوعات.
وخلال جلسات المؤتمر الثلاث التي تدور فعالياتها حول "التصفح في معالم المدفوعات الجوالة غير التلامسية"، والتي ستنعقد بين 17 و 19 نوفمبر، سنتطرق إلى هذا الإجراء الأمني الذي يشهد نمواً فعلياً والقضايا الاستراتيجية ذات الصلة؛ وكيف أنها تشق طريقها في نطاق الدفع ومستقبلها المتوقع في قطاعات أخرى. ويوجد عدد كبير من العارضين الذين سيقدمون ابتكاراتهم من حيث عملية تحويل البيانات إلى رموز خلال هذا الحدث الذي سيستغرق ثلاثة أيام.
عملية تحويل البيانات إلى رموز: التطور الطبيعي للدفع الآمن
كيف تطورت عملية تحويل البيانات إلى رموز لتصبح حلاً آمناً للمدفوعات الإلكترونية؟ لفترة طويلة، كان من الممكن فقط دفع ثمن أي شيء في المتجر بشكل شخصي، أو عن طريق إدراج بطاقتكم الخاصة في محطة البطاقة (لتحويلات البطاقة مع وجود حامل البطاقة).
ولكن بروز ظاهرتين ساهم في تغيير هذا النموذج:
- أولاً، المدفوعات غير التلامسية، التي تتم مباشرة باستخدام البطاقة أو الهاتف المحمول. والهدف من ذلك تسهيل عملية الدفع وتسريع التحويلات، مع ضمان مستوى عال من الأمن.
- ثانياً، وصول الإنترنت والتجارة الإلكترونية، التي دعت إلى تطبيق أنظمة الدفع الافتراضية (لتحويلات البطاقة مع عدم وجود حامل البطاقة). ومع ذلك، قد تمثل هذه الأنظمة مخاطر جسيمة، لأنها، في كثير من الأحيان، تكتفي بوجود رقم الحساب الأساسي وتاريخ انتهاء صلاحية البطاقة لإجراء التحويلات عبر الإنترنت.
ونظراً إلى أن عدد التحويلات الافتراضية يشهد تزايداً ملحوظاً، ينبغي على التقنيات الجديدة، على سبيل المثال، الاتصالات قريبة المدى، وتقنية البلوتوث منخفض الطاقة، ورموز الاستجابة السريعة ومحاكاة بطاقة المضيف، أن ترتفع إلى عدد من التحديات، لا سيما من الناحية المتعلقة بالأمن.
وإن عملية تحويل البيانات إلى رموز هي العملية التي تعتبر جزءاً من هذا التطور في أنظمة الدفع، وتتمثل في استبدال البيانات الحساسة مع البيانات البديلة لجعل التحويلات الإلكترونية أكثر أماناً. وأكبر مثال على هذا الأمر استخدام الرمز بدلاً من رقم بطاقة البنك (أو رقم الحساب الأساسي). ومن خلال استخدام الرمز بدلاً من رقم الحساب الأساسي، من الممكن الحد من الأضرار الناجمة إذا تم اختراق النظام الأمني، وكشف التفاصيل المتعلقة بالدفع.
وفي المستقبل، قد لا يكون المستخدمون قادرين على التفريق بين تحويلات البطاقة مع وجود حامل البطاقة وتلك مع عدم وجوده، ويختلف استخدام تعريف المستخدم، اعتماداً على نوع المحطة والشبكة المستخدمة وتفضيلاتها (المستهلك أو تاجر التجزئة).
الرمز: الحماية الآمنة من الفشل ضد القراصنة
يتم استخدام الرموز لاستبدال البيانات الحساسة. ولا ترتبط هذه الرموز بأي شكل من الأشكال بالبيانات التي تستبدلها، كما لا يمكن للقراصنة قراءة أي من البيانات المستبدلة. ويمكن لعملية تحويل البيانات إلى رموز أن تقلل من مخاطر استخدام البيانات الحساسة عبر الإنترنت، على سبيل المثال في حال سرقة البيانات أو اختلاسها.
وفي هذا السياق، تأتي عملية تحويل البيانات إلى رموز بشكل مستقل.
يسعى المطورون ومستخدمو أنظمة الدفع إلى تحقيق الفوائد التالية من حيث الأمن وهي:
- البيانات الحساسة المرتبطة بالبطاقة المستخدمة للدفع، يجب على حامل البطاقة الاعتماد على البنك وتاجر التجزئة فقط. ومهما تكن الظروف، لن تكون هذه البيانات متاحة لأنظمة الطرف ثالث.
- تستند الرموز التي تم إنشاؤها إلى أرقام عشوائية وحروف ولا ينبغي أن تترافق مع البيانات التي تستبدلها.
- يجب أن تتمتع الرموز التي تم إنشاؤها بنفس الشكل والحجم والخصائص مثل البيانات الأصلية.
وقد أظهرت فيزا ماستركارد يوروباي مدى فعاليتها في مكافحة الغش في تحويلات البطاقة مع عدم وجود حامل البطاقة: وبصرف النظر عن التحويلات بواسطة "الرقائق والرقم السري"، لا يجوز استخدام رقم الحساب الأساسي إلا إذا تم تقديم البطاقة باليد.
ومع ذلك، يختلف الوضع تماماً بالنسبة لتحويلات البطاقة مع عدم وجود حامل البطاقة، ويشهد مستوى التزوير تزايداً عند القيام بهذا الاستخدام. وعلى الرغم من مجموعة من التدابير الرامية إلى تأمين هذه الأنواع من التحويلات، فإن أفضل طريقة لمحاربة الغش هو وجود رقم حساب أساسي سري.
وفي حال التحويلات متعددة القنوات، التي قد تتم في المتجر أو عبر الإنترنت، يمكن استخدام بيانات البطاقة التي تم الحصول عليها عن طريق الاحتيال، عبر محطة الدفع الخاطئة، خلال التحويلات مع عدم وجود حامل البطاقة عبر شبكة الإنترنت. وهنا يؤدي الرمز دوراً رئيسياً، حتى لو تم اختراق النظام الأمني، والكشف عن تفاصيل الدفع، تعتبر الأضرار محدودة حيث يتم الكشف عن القيمة الرمزية بدلاً من رقم الحساب الأساسي الذي يستبدله.
وبالنسبة لتحويلات البطاقة مع عدم وجود حامل البطاقة، توفر عملية تحويل البيانات إلى رموز أفضل الميزات من الناحية الأمنية. ومع ذلك، ينبغي تنفيذ التدابير الأمنية الأخرى مثل القارئات أو المحطات حيث لا يمكن لعملية تحويل البيانات إلى رموز ضمان الأمن بالكامل.
من الدفع إلى نطاق جديد: الرمز المهيمن
ساهم إطلاق شركة "آبل باي" للدفع الإلكتروني في سبتمبر 2014 بالتأثير بشدة على منظومة الدفع بواسطة الهاتف المحمول. ويتمتع هذا العرض بثلاث خصائص رئيسية:
- الاتصلات قريبة المدى على أنها بروتوكول اتصالات مع محطة الدفع؛
- استخدام منصة العنصر الآمن ("سكيور إلمنت") كمنصة أمن؛
- استخدام الرموز لحماية رقم البطاقة.
وجاء إعلان "أبل" بالتوازي مع إعلان كل من شركة "فيزا" و"ماستر كارد" اللتين أعطتا موافقتهما على عملية تحويل البيانات إلى رموز كأحد الحلول الأمنية للتحويلات، وخاصة فيما يخص تحويلات البطاقة مع عدم وجود حامل البطاقة. ومنذ بضعة أشهر، (في مارس 2014)، أصدرت شركة "يوروباي ماستركارد فيزا" وثيقة بعنوان "خصائص عملية تحويل البيانات إلى رموز للدفع بواسطة يوروباي ماستركارد فيزا - الإطار التقني" التي ألهمت الحل من "أبل باي" للدفع الإلكتروني.
ويعد الابتكار السريع في أنظمة الدفع أمراً غير مسبوق. فهو يدل على أن القطاع يتطور بسرعة لتلبية مطالب المستخدمين للأجهزة المحمولة، ولا سيما الهاتف الذكي، حيث يعتقدون أن هذا الجهاز يتكيف تماماً مع التحويلات التي تتم عبر الإنترنت أو في المنزل. وتظهر أنواع جديدة من مزودي الخدمات، مثل مزودي خدمة الرمز، الذين يكمّلون مجموعة واسعة بالفعل من مزودي المكونات والتطبيقات.
ويعتبر هذا الأمر في غاية الأهمية بشكل خاص منذ أن قام نطاق عملية تحويل البيانات إلى رموز بتجاوز الدفع. ويعتمد القطاع الصحي، مثل قطاع المدفوعات، على أجهزة الوصول إلى الأمن للتعريف بالعديد من الأفراد. وبالتالي فإنه يمثل المرشح القوي لرموز الجيل الجديد.
عملية تحويل البيانات إلى رموز في قلب كارتس" للاتصالات الآمنة 2015
يعتبر قطاع المدفوعات مجالاً معقداً ويتطور بسرعة. وتعتبر المنظومة المتنامية عبر الهاتف المحمول نقطة تقاطع، وتندمج في تخصصات القطاع أكثر من أي وقت مضى. وتعتبر عملية تحويل البيانات إلى رموز بديلاً لحلول الأجهزة المستخدمة حتى الآن لمدفوعات التحويلات الآمنة.
وفي الفترة الممتدة من 17 إلى 19 نوفمبر، يضع معرض "كارتس" للاتصالات الآمنة المدفوعات غير التلامسية عبر الهاتف المحمول تحت دائرة الضوء خلال جلساته الثلاثة: "التصفح في معالم المدفوعات غير التلامسية عبر الهاتف المحمول".
- محاكاة بطاقة المضيف وعملية تحويل البيانات إلى رموز: ما هو دور منصة العنصر الآمن ("سكيور إلمنت")؟
تقديم فرانشيسكو إيارلوري، الرئيس الإداري لشركة "بيزداف آند ستراتيجي الإيطالية"
- نماذج الأعمال الجديدة: ما هو تأثير ذلك على البنوك وقطاعات الاتصالات والتجزئة؟
تقديم لوران نيزري، الرئيس التنفيذي لشركة "ألتير كونسلتنج ونائب الرئيس لشركة "إيه سي إس إي إل"
- المدفوعات عبر الهاتف المحمول: الاتصالات قريبة المدى ومحاكاة بطاقة المضيف ومنصة العنصر الآمن ("سكيور إلمنت") وعملية تحويل البيانات إلى رموز
تقديم ناثان هيلت، مدير "برايس ووترهاوس كوبرز"
ويشكل هذا الأمر فرصة للمشاركين للنظر في أحدث التقنيات في سوق المدفوعات (على سبيل المثال: الاتصالات قريبة المدى ومحاكاة بطاقة المضيف ومنصة العنصر الآمن ("سكيور إلمنت") وعملية تحويل البيانات إلى رموز)، بهدف مناقشة كيفية خلق الهاتف المحمول لطرق جديدة للدفع وتقييم العناصر والاتجاهات الجديدة.
وسيتم تقديم العديد من الشركات* المتخصصة في عملية تحويل البيانات إلى رموز خلال معرض كارتس" للاتصالات الآمنة وهي:
- إنفينيون تكنولوجيز إيه جي
- مجموعة داتا كارد جروب آند إنتراست
- فيتيان تكنولوجيز
- فيوتشركس
- تالس
- كريبترا
- ورلد لاين
- كريبتو إكسبرتس
- كريبتوماتيك
- أندررايترز لابوراتوريز
* قائمة غير حصرية للعارضين الذين يعملون على هذا الموضوع.
المدفوعات الجوالة غير التلامسية
للمزيد من المعلومات وقائمة العارضين حسب القطاع، يرجى الاطلاع على الرابط الإلكتروني التالي:
http://www.cartes.com/2015-Exhibitor-List 