Trusted Service Manager w sluzbie mobilnych platnosci

Katarzyna Niemiec,
Krzysztof Bandyra
First Data Polska S.A.

Polska jest jednym z niewielu państw w Europie, które są przygotowane na nadchodzące zmiany. W porównaniu do krajów Europy Zachodniej posiadamy stosunkowo młody sektor bankowy, co paradoksalnie ułatwia adaptację najnowocześniejszych technologii. Dysponujemy również zapleczem infrastrukturalnym, ponieważ sieć akceptacji płatności bezstykowych została zbudowana wraz z wdrażaniem na rynek kart zbliżeniowych, których ilość sukcesywnie wzrasta. Według danych szacunkowych obecnie funkcjonuje na rynku 6,5 mln kart zbliżeniowych, a liczba terminali przystosowanych do ich obsługi stale rośnie. First Data Polska dotychczas umożliwiła wydawanie kart płatniczych z funkcjonalnością płatności zbliżeniowych dla 10 banków i zainstalowała tysiące terminali zbliżeniowych na terenie całego kraju. Scenariusz rozwoju płatności mobilnych w Polsce może przypominać drogę, jaką przeszły płatności zbliżeniowe, kolejne banki zastanawiają się nie nad tym czy, ale kiedy je wprowadzić.

Argumentów dostarcza prosta kalkulacja. O ile nie każdy klient bankowy posiada kartę płatniczą, o tyle niemal wszyscy są posiadaczami telefonu komórkowego. Co więcej, popularne smartfony mogą działać jak wielofunkcyjne urządzenie płatnicze, które może być portfelem prepaid, kartą kredytową, debetową i narzędziem obsługującym programy lojalnościowe. Wystarczy telefon z technologią NFC i aplikacją płatniczą. Nawet zakup gazety wymaga jedynie przyłożenia telefonu do bezstykowego czytnika przy kasie. Transakcja jest procesowana w ułamku czasu, który potrzebny jest do zapłaty przy użyciu gotówki.

Karty zbliżeniowe oraz płatności mobilne bazują na bezstykowym kanale dostępu do informacji (Near Field Communication) opartym na technologii radiowej RFID (Radio Frequency Identificator). W komunikacji NFC wykorzystuje się indukcję pola magnetycznego do wytworzenia fali radiowej oraz antenę do transmisji danych. W procesie tym uczestniczą dwa urządzenia: inicjujące i docelowe. Telefon lub karta może się łączyć w sposób pasywny lub aktywny. W pierwszym wypadku urządzenie inicjujące, czyli np. terminal zbliżeniowy, emituje falę radiową, którą przechwytuje urządzenie docelowe, działają tak np. zbliżeniowe automaty z napojami czy kasowniki. W trybie aktywnym urządzenie inicjujące i docelowe emituje pole elektromagnetyczne na przemian, dzieje się tak w trakcie zakupów z telefonem w sklepie czy przesyłania środków między dwoma posiadaczami telefonów z aplikacją zbliżeniową.

Telefon pozostanie jednak tylko urządzeniem do wykonywania rozmów i wysyłania SMS-ów, o ile nie zostanie wzbogacony o następujące komponenty:

NFC (Near Field Communication)

– technologia ta jako element wyposażenia telefonu daje możliwość uiszczenia płatności w sposób analogiczny jak przy użyciu karty płatniczej z funkcjonalnością płatności zbliżeniowych, jest notabene prostym rozszerzeniem użytego w nich rozwiązania. Łączy ono interfejs kart inteligentnych i czytnik w jednym urządzeniu.

Telefony NFC to pewnego rodzaju komplet – karta SIM (specjalna karta wydawana przez operatora sieci komórkowej) oraz telefon komórkowy z kartą chip i anteną zbliżeniową. NFC to również alternatywnie dołączone do telefonu karty, naklejki i breloki. Tak wyposażony może komunikować się zarówno z istniejącymi urządzeniami w standardzie ISO/IEC 14443 (karty i czytniki), jak i z innymi urządzeniami NFC.

Moduł bezpieczeństwa (ang. Secure Element)

– jako część mikrochipa karty USIM (Universal Subscriber Iden- tity Module) lub jako karta pamięci microSD, będące bezpiecznym nośnikiem aplikacji i danych.

Wirtualny portfel (ang. Electronic wallet application)

– aplikacja z interfejsem użytkownika umożliwiająca zarządzanie kontami użytkownika i inicjowanie mobilnych płatności. Taka aplikacja (jak rozwiązanie Google Wallet) przekształca telefon komórkowy w portfel pełen kart: kredytowych, debetowych, prepaid, lojalnościowych czy będących np. nośnikiem biletów elektronicznych.

Spersonalizowane dane klienta i wirtualnej karty

– jest to proces zbliżony do personalizacji kart płatniczych i polega na „wyposażeniu” telefonu w informacje finansowe posiadacza konta.

W przeciwieństwie do tradycyjnej karty płatniczej, telefon z funkcjonalnością płatności bezstykowych może integrować kilka kont użytkownika: powiązane z kartami kredytowymi, debetowymi, lojalnościowymi, będącymi nośnikiem biletów i innymi. Informacje te mogą pochodzić od różnych podmiotów biznesowych.

Drugą różnicą pomiędzy kartami płatniczymi a telefonem z aplikacją płatniczą jest sposób, w jaki zachodzi proces personalizacji urządzenia. W telefonach komórkowych wyposażonych w technologię NFC personalizacja danych odbywa się zdalnie, za pośrednictwem operatora sieci komórkowej, na drodze łączności bezstykowej OTA (Over- The-Air).

Case study – Google Wallet

Google Wallet jest przykładem wykorzystania urządzenia NFC w roli środka płatniczego. Google Wallet przekształca telefon komórkowy w portfel, który posiada wirtualne wersje kart: kredytowych, debetowych, prepaid, lojal- nościowych czy transportowych. Aplikacja powstała we współpracy First Data Corporation z Google, MasterCard, Sprint oraz grupą Citi.

Celem First Data jest stworzenie otwartego ekosystemu, który umożliwi klientom banków swobodne dokonywanie zakupów za pośrednictwem płatności mobilnych. Na razie Google Wallet umożliwia korzystanie z kart kredytowych grupy Citi oraz kart prepaid Google w Stanach Zjednoczonych, do inicjatywy będą zapraszane kolejne banki i producenci telefonów komórkowych. Google Wallet budzi też spore zainteresowanie wśród sieci sprzedażowych. Każdy zakup z wykorzystaniem Google Wallet wiąże się z otrzymaniem rabatu lub bonu upominkowego w jednym ze sklepów współpracujących z platformą, co przekłada się na dodatkową sprzedaż w tych punktach. Reasumując, w niedalekiej przyszłości planowane jest zin- tegrowanie wszystkich kart z naszych portfeli w aplikacji Google Wallet, która pozwoli zarządzać nimi w efektywny i wygodny sposób. Jest to zdefiniowany na najbliższe lata kierunek rozwoju mobilnych płatności.

Aplikacja Google Wallet zapewnia zoptymalizowany interfejs użytkownika, czytelny przekaz i łatwą nawigację oraz wysoką jakość grafiki na wyświetlaczu telefonu.

Jak to działa?

Google Wallet wykorzystuje technologię NFC do dokonywania bezpiecznych płatności poprzez zbliżenie telefonu do terminala obsługującego system PayPass przy sklepowej kasie. Po zbliżeniu urządzenia do czytnika na odległość 1-4 cm połączenie nawiązywane jest automatycznie, a użytkownik telefonu kwituje lub odmawia płatności zaoferowanej usługi, wybierając odpowiednią opcję na touchpadzie swojego telefonu. Transakcje potwierdzane są kodem PIN. Dzięki systemowi płatniczemu MasterCard aplikacja będzie akceptowana przez ponad 124 tys. czytników w USA i ponad 311 tys. na świecie.

Aplikacja Google Wallet wraz z jej wszystkimi możliwościami zaprezentowana została światu w maju tego roku, a testy przeprowadzono w 120 tys. punktów handlowo- usługowych w Nowym Jorku i San Francisco.

Trusted Service Manager – niezbędne ogniwo ekosys- temu m-płatności NFC

Koncepcja wprowadzenia roli Trusted Service Manager (TSM) w ekosystemie płatności mobilnych została po raz pierwszy przedstawiona przez Global Systems for Mobile Communications Association (GSM) w 2007 r., by wesprzeć proces rozwoju technologii NFC. Trusted Service Manager pozwala wyjść naprzeciw unikalnym potrzebom bezpiecznych systemów mobilnych płatności, realizując założenia o prostocie, przejrzystości i możliwości integracji wielu kont w telefonie komórkowym wyposażonym w technologię NFC, przy udziale różnych operatorów sieci komórkowych.

Niezależny podmiot pełniący rolę Trusted Service Manager za pomocą dedykowanej infrastruktury IT zapewnia łączność pomiędzy operatorami sieci komórkowych i bankami, organizacjami płatniczymi, merchantami, dostawcami rozwiązań z zakresu IT a także firmami świadczącymi usługi marketingowe i realizuje kluczowe zadania dla zapewnienia możliwie jak najszerszego wykorzystania funkcjonalności płatniczej telefonu wyposażonego w technologię NFC.

Podstawowym zadaniem TSM jest zarządzanie zdarzeniami w cyklu życia urządzenia z aplikacją NFC, umożliwiających mobilne płatności zbliżeniowe klientom sieci ko- mórkowych, w imieniu dostawców usług. Rola Trusted Service Manager nie ogranicza się jednak do zapewnienia technologicznego zaplecza pozwala- jącego na użytkowanie i personalizację aplikacji NFC na drodze łączności zdalnej Over-The-Air. Trusted Service Manager może zarządzać przepływem danych od różnych dostawców usług do wielu operatorów sieci komórkowej. Co więcej, może proponować dodatkowe usługi jak customer service w imieniu dostawców usług, przy zachowaniu najwyższych standardów jakości świadczonych usług.

Zarządzanie telefonami komórkowymi wyposażonymi w technologię NFC jest znacznie bardziej wymagającym procesem, niż ma to miejsce w przypadku kart płatniczych. Dzieje się tak z paru powodów:

• różnorodność dostępnych aplikacji i znaczący rozmiar przetwarzanych informacji, które muszą być przechowywane z zagwarantowaniem najwyższych standardów bezpieczeństwa,
• posiadacze telefonów z technologią NFC muszą mieć możliwość swobodnego zarządzania aplikacjami w trybie real-time, w praktyce oznacza to, że inicjowana przez użytkowników aktywność musi być obsługiwana przez TSM 24 godziny na dobę,
• przepływ informacji musi zachodzić na drodze łączności Over-The-Air i w czasie rzeczywistym. Oznacza to, iż konieczność zapewnienia wydajnej i efektywnej komunikacji pomiędzy różnymi uczestnikami ekosystemu m-commerce, połączonymi przez Trusted Service Manager.

Dlaczego TSM jest niezbędny?

Pierwszym z powodów jest świadomość, że transakcje wszelkiego typu, z użyciem kart debetowych, kredytowych czy innych aplikacji płatniczych wymagają odpowiedzialnego traktowania. Informacje potrzebne do autentykacji kodowane są w module bezpieczeństwa (ang. Secure Element), nie zaś w pamięci telefonu komórkowego. Należy pamiętać, że inna technologia wykorzystywana jest do pobierania gier, a inna do pobierania aplikacji o funkcjonalności płatniczej.

Aplikacja płatnicza i powiązane z nią, spersonalizowane dane klienta są przechowywane przez instytucje finansowe lub procesorów w bezpieczny sposób, zgodny ze standardami PCI DSS (Payment Card Industry Data Security Standards). Wysoki poziom bezpieczeństwa został zagwarantowany m.in. dzięki zastosowaniu kryptografii, która nie jest wymagana w przypadku gier lub innych niepłatniczych aplikacji. Jest to tym ważniejsze, że TSM może integrować aplikacje wielu, czasem konkurujących ze sobą podmiotów, co implikuje konieczność zastosowania mechanizmów bezpieczeństwa kontrolujących i pozwalających na dostęp do danych jedynie osobom do tego uprawnionym.

Rolą TSM jest zapewnienie neutralności w złożonym ekosystemie m-płatności NFC, poprzez współpracę z różnymi dostawcami usług bez wywoływania konfliktu interesów. Kolejnym zadaniem TSM jest minimalizowanie kosztów, jakie ponoszą uczestnicy ekosystemu, poprzez zapewnienie niezbędnego zaplecza infrastrukturalnego w imieniu operatorów sieci i dostawców usług. A zadaniem nadrzędnym wobec wyżej wymienionych jest zagwarantowanie bezpieczeństwa i niezawodności rozwiązania spinającego dwa najważniejsze dla prawidłowego funkcjonowania systemu m-płatności komponenty.

Co potrafi TSM?

Podstawowe zadania realizowane przez Trusted Service Manager:

• Zarządzanie kartami/aplikacjami.
• Personalizacja i przygotowanie danych chipowych.
• Zarządzanie kluczami kryptograficznymi.
• Konsola operacyjno-administracyjna.
• Zarządzanie użytkownikami.
• Zarządzanie pobieraniem aplikacji.
• Bezpieczny interfejs do dostawcy usługi (np. banku).
• Bezpieczny interfejs do operatora sieci (rachunki, opieka nad klientem, serwis).
• Portal dla dostawcy usług i/lub operatora sieci. Zadania TSM mogą być rozpatrywane w odniesieniu do 4 segmentów, zgodnie z podziałem na usługi świad- czone operatorom sieci komórkowych, aplikacje, zarządzanie dostawcami usług i usługi świadczone Over-The- Air.

Zarządzanie operatorami sieci

Aby aplikacje NFC mogły być dostępne dla szerokiego grona odbiorców, TSM musi być przygotowany do współpracy z możliwie największą liczbą dostępnych na rynku sieci operatorów. Jednym z zadań TSM jest udostępnianie połączenia z siecią operatorów, co umożliwia klientom instalowanie aplikacji płatniczych na telefonie, zapewniając autentykację klientów sieci operatorów i zarządzanie ich indywidualnymi kontami. TSM wspiera również funkcje administracyjne, jak generowanie rachunków, raportowanie i zgodne działanie usług zapewnianych operatorom sieci komórkowych. Dodatkową usługą jest udostępnienie klientom w imieniu operatorów usługi customer sernice, dzięki której uzyskają odpowiedzi na ich pytania i pomoc w zakresie funkcjonowania aplikacji NFC.

Zarządzanie aplikacjami

Dane wirtualnej karty i dane autentykacyjne muszą być skonfigurowane pod konkretny rodzaj modułu bezpieczeństwa (ang. Secure Element) w telefonach komórkowych z technologią NFC. W gestii TSM leży również złożony proces bezpiecznego zarządzania kluczami kryptograficznymi dostawcy aplikacji. Należy w tym miejscu nadmienić, że Trusted Service Manager może wspierać dostawców usług w zakresie zapobiegania nadużyciom dotyczącym aplikacji NFC.

Zarządzanie aparatami telefonicznymi i usługi świadczone Over-The-Air

TSM musi być w stanie zapewnić komunikację i personalizację Over-The-Air we współpracy z różnymi operatorami sieci. Oznacza to zarówno umieszczanie nowych aplikacji w module bezpieczeństwa (ang. Secure Element), jak również zmiany/usuwanie aplikacji po pierwotnym procesie personalizacji urządzenia NFC.

System zarządza informacjami nt. modelu aparatu telefonicznego, chipsetu i oprogramowania (w tym np. wir- tualny portfel), aby zapewnić dostępność usługi na urządzeniach mobilnych od różnych producentów.
Zadaniem TSM może być również zarządzanie modułem bezpieczeństwa (ang. Secure Element) oraz kluczami kryptograficznymi aplikacji NFC.

Realizacja powyższych funkcji musi się odbywać się z zachowaniem standardów PCI DSS z uwagi na sensytywny charakter przetwarzanych informacji.

Zarządzanie dostawcami usług

Dostawcami usług są te podmioty, które oferują klientom aplikacje. Dostawcami mogą być więc merchanci, banki, instytucje organizujące transport publiczny, podmioty sprzedające bilety, dostawcy usług z branży ochrony zdrowia i inne. Podobnie jak w przypadku kooperacji z operatorami sieci, TSM i w tym przypadku musi zapewnić integrację z różnymi dostawcami usług. Ponadto TSM dba o bezpieczeństwo połączenia z dostawcami z zastosowaniem autentykacji i zarządza stanem poszczególnych aplikacji konsumenckich w cyklu życia produktu.

Kto najlepiej wykorzysta potencjał TSM?

Prowadząc rozważania na temat tego, kto najlepiej wykorzystałby potencjał TSM, należy wziąć pod uwagę kilka czynników. Żadna forma transakcji płatniczej NFC z użyciem telefonu komórkowego nie może być dokonana bez zainstalowanej aplikacji płatniczej, TSM jest pod wieloma względami przyrównywany do bramy ku m-commerce, a dodatkowe opłaty z tytułu jego użytkowania czynią go atrakcyjną „usługą”, którą warto dodać do swojej oferty.

>Wiele firm uważa, iż posiada zaplecze infrastrukturalne umożliwiające wprowadzenie usług TSM do swojej oferty, większość z nich jednak nie jest w stanie efektywnie realizować zadań przewidzianych dla tej roli. Wśród nich są zarówno operatorzy sieci, którzy poprzez udostępnianie urządzeń mobilnych odgrywają ważną rolę w ekosystemie m-commerce; organizacje płatnicze, które nie mają dostępu do ogółu danych dostępnych bankom (takie rozwiązanie zmuszałoby również banki do wyboru pomiędzy jedną a drugą organizacją płatniczą); instytucje finansowe, które wprawdzie poprzez wprowadzenie TSM mogłyby pozycjonować siebie jako niezależne podmioty oferujące rozwiązanie biznesowe end-to-end, jednak powoduje to ograniczenie grupy potencjalnych odbiorców usługi – telefon z funkcjonalnością NFC działa tylko w odniesieniu do konta bankowego jednego, konkretnego banku. Logicznym łącznikiem pomiędzy TSM a m-commerce wydają się też być firmy specjalizujące się w dostarczaniu tego typu rozwiązań na rynek. Jednym z przeciwwskazań jest jednak w tym przypadku brak relacji z dostawcami usług (instytucjami finansowymi), operatorami sieci bądź jednymi i drugimi, a rozwój rozwiązania TSM zakłada przecież budowanie relacji dwustronnych. Co więcej, zadaniem TSM jest dostarczanie usług spoza stricte technicznego zakresu. Zdecydowanie więc dos- tawcy rozwiązań z obszaru mobile commerce są silnym i niezastąpionym ogniwem w łańcuchu katalizującym wprowadzenie TSM na rynek usług finansowych, nie na tyle jednak silnym, by w zupełnie niezależny sposób tego dokonać.

Procesorzy transakcji jak dotąd jedynie przy użyciu plastikowego pieniądza w postaci zwykłej karty płatniczej, jak First Data, wydają się być w gronie podmiotów najlepiej pozycjonowanych do roli instytucji, która mogłaby w pełni wykorzystać potencjał Trusted Service Manager.

Po pierwsze, First Data, firma o ugruntowanej pozycji odznacza się wiedzą i unikalnym doświadczeniem na ryn- ku usług finansowych w Polsce. Po drugie, z racji prowadzenia dwóch linii biznesowych posiada rozbudowane relacje z bankami, merchantami, organizacjami płatniczymi czy dostawcami rozwiązań z zakresu IT. Po trzecie, posiada zaplecze infrastrukturalne umożliwiające przesy łanie danych konsumenckich, finansowych i transakcyjnych z zachowaniem niezbędnych standardów bezpieczeństwa PCI DSS. Co więcej, procesorzy utrzymują status neutralny, bo nie konkurują z bankami i operatorami sieci komórkowych o pozyskanie relacji z klientem końcowym, jakim jest w tym przypadku posiadacz konta i telefonu komórkowego.

Słowem podsumowania, żadnemu z wymienionych podmiotów nie wróży się niezależnego stworzenia rozwiązania dla mobilnych płatności na zasadzie end-to-end. Jednak niektóre z nich, jak będąca liderem od 20 lat na rynku elektronicznych płatności w Polsce First Data, mają bardziej dogodną pozycję startową niż inne podmioty. First Data, dodając do swojej szerokiej oferty usług outsourcingowych dla banków usługi Trusted Service Manager, może pomóc zaistnieć innowacyjnym mobilnym płatnościom na polskim rynku. Należy jednak przy tym pamiętać, że najważniejszym komponentem sukcesu jest budowanie relacji opartych na partnerstwie biznesowym, umożliwiających zgodną kooperację pomiędzy członkami ekosystemu mobilnych płatności. Cel jest przecież wspólny – propagowanie wygodnych płatności telefonem komórkowym z technologią NFC, dzięki czemu nie będziemy musieli pamiętać o zabieraniu z domu portfela.

^{1 David Schropfer, The smartphone wallet. Understanding the dissruption ahead. Searching Finance, 2010 r.}

„Kolejny artykuł z naszego cyklu już za tydzień”.