Bežično plaćanje putem NFC čipa

Objavio u 20/02/2014 u 15:27

Visa i MasterCard su najavili nove specifikacije za NFC mobilno plaćanje korišćenje emulacije kreditnih kartica (Host Card Emulation – HCE).

Do sada je sistem za plaćanje mobilnim uređajima zahtevao specijalne hardverske dodatke, uglavnom SIM karticu, koji su se koristili kao sigurnosni element. Ovi dodaci su se koristili kako bi izvršili proveru autentičnosti. Pošto su radili sa SIM karticama bili su usko vezani za operatere. Iz tog razloga je Google Wallet radio isključivo sa Sprint mrežom u Americi, jer je Sprint dozvolio Google aplikaciji da pristupi “sigurnom elementu”. Ovo je isti slučaj sa Telenorovim PlatiMo i ograničenim brojem banaka u Srbiji. mts je pre toga imao svoj sistem plaćanja koji je takođe bio izolovan … sve ovo nije bilo standardno.

Kao “rešenje” ovog problema  se nametala ugradnja nekog drugog hardverskog elementa za autentifikaciju, međutim tu se kooperacija prebacuje sa operatera na proizvođača, što zapravo ne rešava problem.

Kako je NFC standard koji radi na skoro svim operativnim sistemima (Windows Phone podržava NFC, iOS ne) i čipseti su kompatibilni i od različitih proizvođača, najbolja solucija je da se zaobiđe oslanjanje na operatere i da se pređe na softversko rešenje sigurnosti. Kada je Google predstavio Android 4.4 KitKat, upravo se to i desilo. Android 4.4 podržava Host Card Emulation koji omogućuje bilo kom uređaju sa NFCem da komunicira bežično sa terminalima i emulira fizičke kartice.

Kod nas smo mogli da viđamo već PayPass kartice kao alternativna rešenja. Evropa je po ovom pitanju ispred SADa, međutim u SADu je plaćanje mobilnim telefonom postala svakodnevnica i bez posebnih kartica. PayPass funkcioniše tako što  prislonite karticu na terminal i unesete PIN. Međutim, to se ne razlikuje mnogo od klasičnog provlačenja kartice, ali je korak napred. PIN je ovde korišćen kao vid autentifikacije. Međutim u različitim državama su bili drugačiji standardi iako je sistem u principu bio isti. Ova tehnologija se često naziva i kao EMV kartice koje su podržane od strane Visa, Master Card, pa i Diners.

Beskontaktne kartice i mobilni sistem plaćanja

beskontaktna kartica za plaćanjesu logičan naslednik EMV sistema. Pored neophodnosti podrške operatera, glavni razlog za spor razvoj mobilnog NFC plaćanja u Evropi je i neintuitivnost plaćanja ovim metodama. Međutim Amerikanci su ovo preskočili i odmah prešli na mobilno NFC plaćanje.

Sada nam stiže standardizacija od strane Visa i MasterCard kompanija, što nije iznenađenje da obe kompanije takođe ulaze na NFC sistem mobilnog plaćanja.

Sigurnost

nfc sa sigurnim elementomNa EMV karticama su sve osetljive informacije čuvane u sigurnom elementu, čip koji samo “komunicira” sa čitačem kartica. Sigurni element omogućuje nekoliko funkcija uključujući kriptografsku proveru za validaciju integriteta kartice i verifikaciju vlasnika (preko PINa). Kada se izvrši mobilno plaćanje korišćenjem SIM kartice sa sigurnim elementom, NFC čitač komunicira direktno sa sigurnim elementom na i nijedna Android aplikacija nije uključena u transakciju u bilo kom smislu. Kada se transakcija završi, Android aplikacija dobija mogućnost provere za status transakcije i obaveštava korisnika. Drugim rečima, sigurni element služi kao čip u EMV karticama.

Kada nema sigurnog elementa, Android aplikacija mora da omogući neophodnu funkcionalnost i NFC podaci se šalju direktno aplikaciji. Android HCE implementacija garantuje da bilo koji podaci primljeni sa NFCa moraju biti direktno primljeni od kontrolera. Ne postoji način da se presretne aplikacija za plaćanje sa podacima iz drugog izvora.

HCE kartice

Aplikacija za obradu procesa plaćanja mora da se osloni na “sandbox” za Android aplikacije kako bi se osigurali da su podaci nisu dostupni drugim aplikacijama instaliranim na uređaju. Međutim, izvršavanje ovih funkcija preko softvera predstavlja sigurnosni rizik. Kako bi prevazišli ovaj rizik, Visa i MasterCard su implementirali cloud verziju sigurnog elementa. Ovo znači da neke od funkcija koje fizički sigurni element pruža će se izvršiti na Visa i MasterCard serverima, preko internet konekcije.

Problem sa ovim pristupom je u tome što telefon mora biti konektovan na internet u momentu kada se autorizuje transakcija. Takođe, cloud servis mora da odgovori NFC čitaču kartica na terminalu u prodavnici za manje od pola sekunde. Ovo nije baš praktično, pogoto što se kod nas koriste GPRS konekcije na tim terminalima koje imaju ping od 1000-2000ms. Iz tog razloga kompanije će koristiti tokene za plaćanje.

MasterCard pristup kombinuje prilagođeni softver na mobilnom uređaju sa obradom podataka u cloud sistemu koji ima visok nivo sigurnosti.
— MasterCard

Ovi tokeni se čuvaju lokalno na pametnom telefonu i oni samo autorizuju aplikaciju za plaćanje ograničen broj transakcija za ograničeno vreme, npr. jedan dan. Kada token istekne ili dostigne limit broja autorizacija, skida se novi token. Kontrola ovih tokena se vrši u pozadini i može biti izvršena kad god je korisnik online, kao normalan proces sinhronizacije. Ovo znači da i ako je kompletan proces kompromitovan, dobijena informacija je iskoristiva samo određeni broj puta za određenu svotu novca. Drugim rečima, haker/kreker ne može da vam isprazni račun.

Visa će omogućiti nekoliko nivoa sigurnosti kako bi zaštitila naloge za plaćanje u cloud-u, čak i na Visa mreži, aplikaciji i na hardverskom nivou. Jednokratni korisnički podaci, analiza transakcije u realnom vremenu, tokeni za plaćanje i čitači otiska prsta na pametnim telefonima daju višeslojnu odbranu od neautorizovanog pristupa nalogu.
Visa

Ako pomislite da će neko da prođe pored vas sa NFC čitačem u torbi, Android pali NFC kontroler i aplikacije koje vrše transakcije su kompletno ugašene kada je ekran ugašen. Skeniranje uređaja sa ugašenim ekranom neće raditi!

Šta vi mislite? Hoćete koristiti vaš Android telefon sa NFC plaćanjem bez fizičkog sigurnosnog elementa?

Tags: Androidbeskontaktno plaćanjeEMVGoogle novčanikGoogle. WalletMasterCardNFCNFC plaćanjeVisa

Autor
eboye Vasilj Milošević

Objavljenih tekstova: 1160

Čovek koji je uvek tu kada ste u nevolji i koji će vam uvek pomoći svojim savetima i IT iskustvom. Hobi mu je čitanje ChangeLog-a. Posle HTC Hero telefona posedovao je HTC Desire HD, HTC One X, LG Nexus 5, LG G3, LG G4, HTC 10 a sada je ponosni vlasnik Xiaomi Mi Mix 2S telefona. Inače je grafički dizajner po struci, ali se sada bavi programiranjem i zanima ga sve u vezi modernih tehnologija. Čovek pored kojeg morate biti Up To Date je autor na Srbodroidu. (napisala: goldie)

3 komentara, pridruži se diskusiji!
  • Bila je reklama na stranoj televiziji,za Samsung S III kada se pojavio.Covek trci i trku placa sve racune pomocu mobilnog telefona,a kada ce u Srbiju….kada udjemo u EU! 😉

  • Obavezno. Meni je ionako telefon 50% vremena u ruci – ne moram da vadim novcanik, tim bolje.

  • Extra bi bilo kada bi ovo sve postalo dostupno nama kao korisnicima uskoro, ali nisam baš siguran. Ako ništa umešaće se naša banana država i stopirati stvar kod nas, sve sa punim ustima o sigurnosti itd (samo se seti PayPal-a).
    Inače PayPass radi bez ikakvog pina, uz ograničenje od 2500 din (bar je za Intesa banku ovako).

Odgovori na hercegyuOdustajem od odgovora

Your email address will not be published. Required fields are marked *