토큰화의 주요 원칙 및 결제 적용 Part 2

이번 포스팅에서는 플라스틱 신용카드가 디지털 토큰이 될 때 무결제 거래에서 토큰화의 다양한 응용 프로그램을 설명합니다. 예를 들어, 고객이 인터넷에서 상품을 구매하거나 모바일 결제(모바일 지갑 및 모바일 송금을 포함)가 이에 포함될 수 있습니다.

​

EMV, 암호화 및 토큰화를 결합한 다각적 접근 방식은 카드 소유자 데이터를 보호하는 가장 효과적인 방법입니다. 이번 포스팅에서 위해 우리는 토큰화가 효과적인 데이터 보안 전략의 한 구성 요소일 뿐이라는 점을 이해하고 토큰화에 중점을 두고자 합니다.

​

토큰화: 내부

​

다음은 CNP(Card-Not-Present) 시나리오에서 토큰 구현의 명확한 예를 설명합니다.

​

◆ Merchant는 T-셔츠와 같이 온라인으로 제품을 판매하는 개인 회사입니다.

◆ TSP(토큰화 서비스 제공업체)는 보안 분야에서 오랜 경험을 가진 확고한 회사입니다.

◆ P2PE 공급자는 지점 간 암호화 서비스 공급자입니다. TSP와 동일할 수 있습니다.

◆ 고객(카드 소지자)과 상호작용하는 가맹점 웹사이트.

​

우선, 고객이 가맹점의 Web 사이트에 프라이머리 어카운트 번호(PAN)를 송신합니다.가맹점 웹사이트는 포인트 투 포인트 암호화를 통해 PAN을 TSP로 전송하고 다음으로 TSP는 토큰 볼트에 PAN을 저장하고 토큰을 가맹점 웹사이트로 전송합니다.

그런 다음 가맹점 웹사이트는 암호 정보와 함께 토큰을 신용 카드 프로세서로 보냅니다. 신용 카드 프로세서는 은행 정보를 검색하고 해당 계정을 카드 소지자 은행으로 변경하기 위해 토큰을 토큰화 해제하도록 TSP에 요청합니다. 인증은 데이터베이스에 토큰과 함께 저장하는 판매자에게 전달됩니다. 그런 다음 거래가 승인되고 고객에게 통보됩니다.

​

구현 방법은 다양하며 다른 많은 데이터가 토큰화 될 수 있습니다. 토큰 자체는. 토큰화한 다음 데이터베이스에 저장할 수 있습니다.

​

삼성페이 토큰화 예시

​

모바일 결제 시스템인 Samsung Pay의 사례를 분석하여 실제로 토큰화가 어떻게 작동하는지 자세히 살펴보겠습니다.

​

Samsung Pay(삼성 전용폰용으로 개발된 NFC 결제 시스템)는 HCE(호스트 카드 에뮬레이션)와 "고전적인" 토큰화를 결합한 토큰화의 실제 사례의 좋은 예입니다.

​

Samsung의 토큰화된 PAN은 "토큰 PAN" 또는 디지털화된 PAN(DPAN)이라고 합니다. DPAN은 실제 신용 카드 번호를 숨기므로 카드 번호가 노출되는 것을 방지합니다.

​

Samsung Payment는 이 토큰이 유효한지 지불 네트워크에 표시하는 방법을 제공하기 위해 지불 정보와 DPAN에서 고유한 암호문을 계산합니다.

​

Samsung Pay는 주로 카드 발급사에 따라 글로벌 결제 네트워크에서 제공하는 토큰화 서비스를 활용합니다. 그러나 타사 토큰화 서비스도 지원합니다.

​

사실 DPAN은 PAN이 아닌 FPAN에 연결되어 있으며, Funding Primary Account Number와 DPAN은 가상 신용카드 번호이자 토큰 역할을 합니다. 따라서 카드를 갱신해야 하는 경우에도 DPAN을 변경할 필요가 없습니다. 그러나 그 '가상 신용 카드'는 노출에 강하고 DPAN의 가치를 알고 있어도 사기꾼은 많은 것을 할 수 없었습니다.

​

다음 예는 Samsung Pay의 일반적인 워크플로를 나타냅니다.

​

◆ 처음에 카드 소지자는 카드 발급사가 지정한 TSP(Token Service Provider)에 자신의 카드를 등록합니다.

◆ 토큰인 DPAN은 TSP의 카드 보관소에서 생성되어 저장될 Samsung 장치로 안전하게 전송됩니다.

◆ 카드 소지자가 결제를 수행하면 토큰, 결제 정보 및 암호가 매입자를 통해 결제 네트워크로 전송됩니다. 토큰은 매핑되지 않고 실제 PAN은 결제 네트워크로 다시 전송되어 발행자 은행에 계정 과금을 요청합니다.

◆ 워크플로우 과정 중 암호화는 트랜잭션 요청의 유효성 및 신뢰성에 대한 증거로 인증됩니다.

◆ 승인은 결국 판매자에게 다시 전송됩니다.

신용카드 토큰화는 Samsung Pay 보안의 필수 요소입니다. 전화기 자체로 안전하며, 해킹을 당하더라도 쓸모없는 정보만 유출될 것입니다.

​

토큰화 및 모바일 프로비저닝: TSP

​

토큰화는 모바일 결제의 세계에서 매우 중요합니다. 키 프로비저닝, 보안 요소의 개인화 및 기타 초기화가 무선(OTA)을 통해 이루어지므로 토큰화는 가능한 모든 변조를 방지할 수 있는 우수한 보안을 제공하기 때문입니다.

​

모바일 결제 장치의 OTA 개인화 개발과 함께 토큰 서비스 제공업체가 등장했습니다. 다음은 토큰 제공자 목록입니다.

​

TSP는 이제 개인화 체인의 중요한 구성 요소이자 결제 네트워크의 중요한 구성 요소입니다. TSP는 종종 지불 카드를 완전히 비물질화하는 호스트 카드 에뮬레이션(HCE) 기술과 함께 작동하여 암호화된 토큰화된 소프트웨어 이미지만 지불 터미널에 제공하는 반면 "실제" 카드는 원격으로 안전하게 호스팅됩니다.

​

EMV 컨소시엄은 이러한 주제에 대해 적극적으로 작업하며 가상 토큰화된 칩 기반 결제 카드는 미래에 다음 표준이 될 수 있습니다. 결국 EMV 표준은 인증 없이 칩 카드에서 상당한 양의 정보를 검색할 수 있어야 하며 이 모든 데이터에 토큰화가 적용될 수 있습니다.

​

토큰화는 고객과 결제 산업 모두에 확실한 이점이 있으며 지불 생태계 전반에 보안과 신뢰를 제공하는 미래 지불 시스템의 핵심 구성 요소입니다. 토큰화로 인해 데이터 도난 위험이 거의 제거됩니다.

​

관련 솔루션

​

Utimaco KeyBRIDGE TokenBRIDGE는 조직의 데이터 손실을 방지하고 복잡한 보안 관리 없이 자산의 고유한 토큰화를 보장하는 완전한 토큰화 솔루션을 제공합니다.

TokenBRIDGE는 모든 토큰화 솔루션의 핵심인 안전하고 관리하기 쉬운 Token Vault를 구현합니다.