API de Tokenização: Uma API, diversas possibilidades

API de Tokenização: Uma API, diversas possibilidades

A tecnologia se faz presente cada vez mais em todos os processos da rotina, o que representa um ganho significativo de agilidade na realização de tarefas, indo ao encontro das novas necessidades e exigências dos consumidores, hoje mais empoderados e conectados. E quando se fala em agilidade em processos, diferentes setores são impactados, como o corporativo e o financeiro.

A nova tendência da qual a Elo faz parte é o Pagamento Instantâneo, uma tendência com capacidade de transformar a relação que temos com o dinheiro hoje, proporcionando uma alternativa mais viável que TEDs e DOCs.

Além das transações entre pessoas, os pagamentos instantâneos podem ser usados nas compras em estabelecimentos, substituindo o dinheiro em espécie e os cartões de crédito ou débito.

Demandas em tempos de COVID-19

O cenário atual com o COVID-19 é uma oportunidade para ampliação dos meios de pagamentos eletrônico dada a mudança dos hábitos de consumo e das interações com tecnologia que os comerciantes e comércio estão enfrentando devido o distanciamento.

O varejo é um dos setores, por exemplo, em que a demanda por pagamentos instantâneos apresentou aumento. Tal urgência em acessar fundos imediatos está direcionando varejistas a aproveitar outros meios de movimentação de fundos a fim de fornecer atendimento diante das necessidades da continuidade de negócios cotidiana.

A necessidade de movimentar dinheiro de forma rápida e precisa não é um conceito novo, porém a quantidade de pessoas que estão enxergando e se relacionado com essa necessidade tem aumentado com o COVID-19.

Panorama de Pagamentos Instantâneos no Mundo

Essa modalidade de pagamento já se encontra em funcionamento na Europa. O Bpay, do Marketplace espanhol Bnex, disponibiliza serviços de pagamentos instantâneos, logo seus clientes tem a possibilidade de receber transferências de terceiros diretamente, apenas utilizando o aplicativo.

Essa iniciativa tem adquirido força em outros países, sendo que mais de 35 mercados já possuem esse sistema implantado como Austrália, China, Estados Unidos, Rússia e mais de 30 outros países estão com o sistema de pagamentos instantâneos planejado.

Um dos exemplos cujo impacto de pagamentos instantâneos foi a Índia. Esse modelo de pagamento se desenvolveu a partir da proibição da circulação de grande parte do dinheiro em espécie no país. A partir daí a Google lança seu app de pagamentos instantâneos, o Tez, que permite enviar e receber dinheiro diretamente nas contas bancárias, sem a necessidade de utilizar uma carteira online e utiliza a interface de pagamento unificada ou UPI para realizar essas tarefas.

No caso do Brasil, o sistema de pagamentos instantâneos ainda está em fase de planejamento. O anúncio do Banco Central do lançamento do PIX, sistema dos pagamentos instantâneos, torna essa realidade ainda mais próxima. Tal sistema será integrado aos aplicativos de bancos, fintechs e instituições financeiras.

Como a API de Tokenização pode te proteger na hora das compras

O conhecido cartão físico apresenta algumas informações bem específicas como número (PAN - Primary Account Number), um código de segurança (CSC - Card Security Code) e data de validade. Tais dados são muito importantes no ato da compra, mas também requerem atenção especial, pois caso sejam copiados há risco de prejuízo ao portador, comerciante ou emissor.

O crescente risco de fraude durante operações como compras com cartão de crédito e débito, resultou na criação do Token. Ele age como um cartão virtual, ou seja, ele apresenta um número (PAN), código de segurança (CSC) e data de validade que podem ser utilizados em sistemas legados de forma transparente.

Um dos pontos de destaque do Token é a sua capacidade de ser parametrizado e assim ter um escopo de atuação reduzido. Consequentemente temos uma redução no potencial risco de fraudes. Logo, o processo de tokenização está diretamente ligado a segurança de pagamentos, uma vez que ele substitui dados sensíveis por um número digital (token).

No Brasil cresce cada vez mais o número de dispositivos móveis por habitante. De acordo com o próprio Banco Central em 2019 havia 220 milhões de aparelhos para 207,6 milhões de brasileiros. Juntamente com o crescimento de dispositivos móveis por habitante, também há o aumento cada vez maior de pagamentos por dispositivos móveis e do tipo P2P. Dentro desse contexto a possibilidade de tokenizar dados se torna relevante para proteger os consumidores e os estabelecimentos.

A partir dessa necessidade de aliar praticidade nos pagamentos e ao mesmo tempo segurança nas operações a Elo desenvolveu APIs que podem oferecer ambos: API de P2P e API de Tokenização. A primeira possibilita a transferência de valores entre 2 portadores de cartão Elo, seja de débito ou crédito. Já a segunda permite substituir os dados de cartão real de forma segura por um cartão virtual (token) de uso controlado. Neste artigo teremos como foco a API de Tokenização.

Além de beneficiar os consumidores com mais segurança na hora das compras, a API de Tokenização pode trazer ganhos para seu negócio.

Como já foi falado anteriormente Token são parametrizados, mas o que isso implica para um portador de cartão Elo? Isso significa que podemos tokenizar (criar um Token) para um cartão real e especificar suas restrições de uso, logo os parâmetros de controle limitam como os tokens poderão ser utilizados.

Por exemplo, se um token possui parâmetro para apenas realizar um débito mensal a um estabelecimento específico, ele não poderá ser executado de maneira fraudulenta em outras transações de pessoa para pessoa.

O que de fato é o processo de Tokenização

Durante esse processo os dados do token capturados permanecem válidos, porém seu uso é limitado em função dos mecanismos de segurança que acompanham a utilização do token. Com isso, os dados originais sensíveis do portador do cartão permanecem preservados

Para garantir que o token de pagamento, associado a um cartão físico, seja emitido ao seu portador legítimo, o sistema de tokenização Elo utiliza uma tecnologia que permite a identificação e verificação (conhecidas como processos de ID&V), ao longo do processo de aprovisionamento de um token de uma carteira digital.

As informações do token podem ser armazenadas diretamente nos dispositivos, o que possibilita seu uso em diversas transações. Um ponto essencial desse processo é a segurança. Para garanti-la um elemento denominado de criptograma é adicionado ao conjunto de dados do token, para o qual será trocado um par de chaves de segurança “público-privado” de domínio do requisitante do token e da Plataforma de Tokenização Elo.

Tal modelo de token é utilizado normalmente por Carteiras Digitais como Apple Pay, Google Pay e Samsung Pay.

Outra finalidade para as informações do token é seu uso para compras online. A Plataforma de Tokenização Elo permite que o emissor de cartões Elo forneça a seus clientes dados de token para substituir as credenciais de pagamento nas compras online, seja via canal e-commerce ou canal m-commerce.

Que características são preservadas no processo?

As características abaixo serão preservadas para o token gerado pela Plataforma de Tokenização Elo, conforme dados existentes em um cartão real:

  • Tamanho – O token apresenta tamanho de 16 posições, assim como um cartão físico.

  • BIN – Os 6 primeiros dígitos do token representam o número de um BIN Elo, evitando impacto para o credenciador rotear a transação à Elo.

  • Data de validade – Junto ao token, é fornecida a data de validade, a qual poderá ser utilizada no momento da compra, evitando impacto para a loja que pede esta informação.

  • CVE2 – Também é gerado junto ao número do token um código de segurança CVE2, que atua como um mecanismo de segurança da transação e possui a mesma característica do CVE2 do cartão físico, incluindo o tamanho de 3 posições. Isto evita impacto para a loja que requisita esta informação no momento da compra.

Como dados sensíveis são protegidos

O tráfego de dados sensíveis requer muita atenção e cuidado, por isso quando seus dados o fazem a partir de APIs da Elo isso não ocorre de forma aberta, independente do segurança do transporte HTTPS. O que fazemos então aumentar a segurança utilizando formato JSON Web Encryption (JWE) e JSON Web Signature (JWS). Ambos são componentes do JSON Web Token (JWT), uma estrutura de dados compacta e segura (URL safe), ou seja, pode trafegar na URL sem prejudicar seu conteúdo.

Vale destacar a importância da atuação conjunta do JWS e JWE, pois o primeiro irá garantir a equivalência entre os dados enviados e recebidos, ou seja, assegurar que nada foi alterado por um terceiro não reconhecido durante tráfego. Já o segundo precisa garantir que terceiros não autorizados acessem o conteúdo enviado, por não possuírem a chave privada que decripta o conteúdo do cartão (mantida no backend da Elo API).

A seguir um pseudo código exemplificando como se dá a estrutura de assinatura e criptografia:


JWS representa o conteúdo protegido com assinaturas digitais ou Códigos de Autenticação de Mensagens, garantindo que o conteúdo (payload) original do JWT não seja alterado. Enquanto o CardSensitiveInput representa os dados do cartão de crédito do portador, ou seja, os dados sensíveis.

Ficou interessado na API de Tokenização? Veja mais detalhes em documentação e aguarde a continuação deste artigo! Nele você entenderá mehor como funciona a Plataforma de Tokenização Elo.

Texto originalmente publicado na plataforma da Elo

Topo