O conceito de tokenização
Atualmente estamos testemunhando uma rápida digitalização dos métodos de pagamento com serviços disponibilizados em uma infinidade de terminais pessoais, incluindo smartphones e wearables (como relógios conectados).
Essa tendência é nomeadamente apoiada e promovida por players globais de pagamentos, sendo os primeiros deles as principais redes de pagamentos internacionais (as bandeiras), como Visa, Mastercard e UnionPay International.
A fim de preservar a segurança e a confidencialidade dos dados de pagamento, esses players propuseram a generalização do uso do conceito de tokenização. Este conceito foi apresentado em detalhes em uma especificação EMVCo em 2014, atualizada em 2017. As principais redes de pagamento do mundo publicaram suas próprias especificações para serviços de pagamento móvel baseados em nuvem, “Cloud-based payments”, implementando a tokenização.
Nos sistemas de pagamento com cartão, de acordo com as regras da EMVCo, cada cartão é identificado por um Número de Conta Principal (Primary Account Number ou PAN). Segundo a EMVCo, a tokenização consiste na substituição do PAN do cartão físico por um identificador “não sensível”, dedicado a um determinado uso, que é então provisionado no terminal de destino. Por exemplo, quando um usuário, um cliente de banco, deseja digitalizar seu cartão de pagamento dentro de um aplicativo móvel do tipo “Carteira digital”, a emissora da Carteira em questão terá que solicitar um token de um Provedor de Serviços de Token, chamado em inglês de“Token Service Provider” ou TSP, e provisioná-lo em seu aplicativo. Para ser mais preciso, o token, no sentido da EMVCo, não é um simples identificador, que seria então assimilado a uma espécie de alias do PAN, mas um perfil completo do cartão incluindo, em particular, dados de segurança.
Organização do ecossistema de tokenização em nível global
A EMVCo definiu o papel do Token Service Provider (TSP) e lhe deu um lugar central no sistema de tokenização, como mostrado no diagrama abaixo.
Em segundo lugar, um solicitante de Token chamado de “Token Requestor” ou TR, que deseja digitalizar um cartão de pagamento para um caso de uso específico deve entrar em contato com um TSP para fazer isso.
Tomemos dois exemplos:
- O TR é um banco de varejo que deseja oferecer um serviço de pagamento móvel local em seu aplicativo. Quando um cliente deste banco deseja ativar este serviço, o banco deve enviar um pedido de tokenização do cartão de pagamento detido pelo cliente a um TSP para então disponibilizar o token no aplicativo do banco.
- O TR é um e-merchant que deseja oferecer a seus clientes a possibilidade de registrar seu cartão de pagamento para que ele possa ser utilizado para compras futuras no site (serviço tipo Card-On-File). Quando um cliente deseja registrar seu cartão de pagamento no e-merchant, o e-merchant deve solicitar a tokenização do cartão de pagamento do cliente a um TSP e então registrar o token em seu banco de dados.
O papel do TSP é central pelas seguintes razões:
- É responsável pelo banco de dados Token Vault, que registra a correspondência entre os cartões de pagamento e os tokens associados.
- Quando uma transação de pagamento utilizando o token é acionada, o TSP intervém no circuito de autorização, a montante do emissor do cartão, a fim de validar certos dados de segurança (criptogramas criados a partir de chaves fornecidas pelo TSP dentro do perfil token) antes de transmitir o pedido de autorização “tokenizada” ao emissor do cartão.
Assim, vemos que o TSP desempenha um papel importante tanto por deter dados sensíveis (correspondência cartão – token) quanto por intervir sistematicamente em cada transação envolvendo os tokens.
Questões de soberania e controle por emissores e redes de pagamento nacionais
Em teoria, o papel do TSP pode ser desempenhado por diferentes tipos de intervenientes no ecossistema de pagamentos com cartão. Na prática, são as grandes redes de pagamentos que se posicionaram para ocupar esse papel. Em primeiro lugar, as redes de pagamento internacionais, como Visa e Mastercard, criaram serviços de tokenização no núcleo de sua infraestrutura. Dada sua pegada global, estes players criaram uma ampla gama de serviços para ajudar os TRs (bancos emissores, comerciantes, etc.) a implantar seus serviços de maneira simples e “universal”. Um exemplo para ilustrar a proposta de valor desses TSPs globais: as carteiras digitais globais (G-Pay, Apple Pay, Samsung Pay etc.) estão conectadas aos TSPs das redes internacionais como TRs. Assim, os emissores que são membros dessas redes e já utilizam seus serviços para emitir cartões físicos podem utilizar seus serviços de TSP para se beneficiar diretamente da digitalização de seus cartões nessas carteiras digitais.
Diante dessas ofertas globais de redes internacionais, os players nacionais estão se organizando para construir TSP locais acessíveis aos emissores do país em questão. Essas abordagens são observadas principalmente em países com um forte histórico de pagamento com cartão e com uma rede interbancária e um sistema de pagamento doméstico bem estabelecidos, como é o caso da França, por exemplo. Projetos domésticos de hub doméstico de tokenização também podem ser observados em países onde os sistemas de pagamento com cartão são mais recentes, como a Arábia Saudita, e onde a decisão de ter um TSP local parece estar mais relacionada a questões de soberania e controle de dados sensíveis em território nacional.
Diante desta oferta e da multiplicidade de escolhas, os TRs terão que adotar soluções que lhes permitam manter um bom nível de controle sobre a proposta de valor oferecida a seus clientes. Esta questão parece ser particularmente crítica para os bancos emissores. De fato, o controle dos dados do titular do cartão é parte, tradicionalmente, das prioridades dos emissores. Da mesma forma, a dependência de terceiros no circuito de autorização de pagamento é um assunto delicado.
Para um emissor, a questão de escolher o(s) TSP(s) a usar para qual serviço é uma escolha estratégica e não simplesmente uma combinação de critérios técnicos e financeiros. Isto é o que chamamos de “estratégia de sourcing dos tokens”. Para ilustrar, vamos pegar novamente um exemplo, o de um banco emissor que opera em um país onde existe uma bandeira de pagamento nacional e também usa uma rede de pagamento internacional, por exemplo Visa ou Mastercard; este banco emite cartões denominados “co-badged”, ou seja, permite a utilização da rede de pagamentos doméstica quando o cliente paga no país em questão e da rede de pagamentos internacional para pagamentos no exterior. Na hora de digitalizar este cartão para oferecer um serviço de pagamento móvel, este banco emissor terá que definir uma estratégia de tokenização. Por exemplo, poderia decidir replicar a noção de “co-badging” no mundo digital e, neste caso, teria que obter um token do TSP proposto pelo esquema nacional e outro token do TSP da rede internacional.
Um controle necessário pelos usuários de tokens (Token Requestors)
Uma nova geração de ofertas surgiu permitindo aos usuários de tokens ter acesso simplificado a todos os recursos relacionados à tokenização:
- Preparação dos dados necessários para pedidos de tokenização;
- “Sourcing” dos tokens com os TSPs de mercado de acordo com uma estratégia pré-definida;
- Em alguns casos, provisionamento de tokens em aplicativos de pagamento;
- Gerenciamento do ciclo de vida dos tokens por forma a agilizar e tornar confiáveis as diversas ações como perda ou roubo, renovação, etc.
Estas são plataformas do tipo TR, que reúnem o acesso aos TSPs, oferecendo integração simples por meio de interfaces de programação (APIs) para emissores e comerciantes.
Este é o contexto em que se posiciona nossa solução ReadyToTap Payment. Hoje, esta solução permite que diferentes tipos de emissores – bancos de varejo, neo-bancos, emissores de cartões pré-pagos, etc. – se possam beneficiar de um vasto conjunto de recursos oferecidos pelos principais TSPs do mercado, com flexibilidade e simplicidade de implementação.
