Как работают мобильные кошельки на примере приложения «Mir Pay»
Как известно, в 2015 году мы запустили в эксплуатацию платежную систему «Мир», и карты «Мир» в России принимаются повсеместно. Это, конечно, очень здорово, но сейчас набирает популярность использование мобильных кошельков для оплаты покупок. Согласно статистике, в 2019 году 19% всех операций составляют платежи при помощи смартфона. В 2017 году их было всего 3%. В 2018 году собственное платёжное приложение Mir Pay представила и платежная система «Мир». Mir Pay написан на Kotlin, может работать на телефонах с поддержкой NFC и операционной системой Android 6.0 и выше.
Меня зовут Богданов Валерий, я являюсь руководителем группы тестирования в команде мобильных платежей департамента информационных технологий НСПК, и я расскажу о том, как работают мобильные кошельки на примере нашего приложения Mir Pay.
Сначала рассмотрим, как работает оплата с использованием пластиковой карты. В классическом случае карта выдается держателю банком-эмитентом. При этом карта в защищенной области памяти хранит общий с эмитентом ключ MK-AC (Application Cryptogram Master Key). Во время совершения оплаты (при online-операции) карта генерирует на основе MK-AC сессионный ключ SK-AC (Application Cryptogram Session Key) и на нем, с использованием данных карты и данных об операции, полученных с терминала, генерирует криптограмму ARQC (Authorization Request Cryptogram). В основе генерации криптограммы лежит алгоритм 3DES (Triple DES). В общем случае данные по операции поступают от карты к терминалу, далее на хост банка-эквайрера (т.е. обслуживающего торговую точку), затем к платежной системе и на самом последнем этапе к банку-эмитенту (т.е. выдавшему карту) для авторизации.
Эмитент проверяет криптограмму, сгенерировав ее сам на основе данных об операции, пришедших вместе с ARQC и сравнив ее со значением из полученных данных. Банк-эмитент может одобрить или отклонить операцию по результатам анализа карточных данных, криптограммы, установленных лимитов, оценки рисков, а также других параметров.
А теперь рассмотрим, чем отличается оплата с помощью мобильного кошелька. Здесь банк-эмитент ничего держателю кошелька не выдает (кроме карты, конечно, но она непосредственного участия в оплате не принимает), вместо этого держатель карты вносит ее данные в кошелек, и она в нем «появляется», точнее не она, а специальный токен-профайл, сгенерированный на базе этой карты. Уже сейчас понятно, что организовать оплату, как в классическом случае не получится, так как в телефоне отсутствуют карточные данные и ключ эмитента MK-AC – вместо них используется токен-профайл и его специальные ключи. Перед тем как разбираться с оплатой, давайте поймем, что происходит, когда карта «добавляется» в мобильный кошелек.
Держатель карты вводит данные в приложение (1), которое передает их в зашифрованном виде (об этом чуть позже) через хосты поставщика услуг мобильного кошелька (WSP — Wallet Service Provider) в платежную систему. В случае с Mir Pay поставщиком услуг кошелька является НСПК, поэтому данные сразу попадают в платежную систему (2). Далее обработка происходит на платформе мобильных платежей (ПМП). ПМП расшифровывает данные, по номеру карты определяет, каким эмитентом она была выдана, и запрашивает у него подтверждение на возможность добавления карты в кошелек (3). В случае положительного ответа (4) для данной карты происходит процедура генерации токен-профайла (5) и отправка его на телефон (6). Таким образом, вместо карточных данных на мобильном устройстве будет храниться токен-профайл, привязанный к данной карте и данному устройству. Отметим, что преобразование токен-профайла в исходные карточные данные вне платформы мобильных платежей невозможно. После сохранения токен-профайла на устройстве пользователя Mir Pay запрашивает у ПМП (7) пачку одноразовых ключей, которые будут использоваться приложением при совершении покупки в качестве сессионных ключей, аналогичных упомянутым выше SK-AC. Как видно из названия, одноразовый ключ не может быть применен более одного раза, поэтому в процессе использования приложение Mir Pay периодически подгружает из ПМП новые порции ключей. На этом добавление карты в приложение завершается.
Теперь рассмотрим, как изменился процесс оплаты по сравнению с оплатой по пластиковой карте.
Первый этап почти такой же, только вместо данных карты используются данные токен-профайла, а криптограмма ARQC генерируется на одноразовом ключе, полученном от ПМП в качестве сессионного SK-AC. Еще одно отличие Mir Pay от пластиковых карт состоит в том, что при генерации криптограммы вместо 3DES используется более современный симметричный алгоритм блочного шифрования AES (Advanced Encryption Standard).
Далее, данные об операции так же проходят через терминал, хост банка-эквайрера и попадают в платежную систему. По номеру токена (из токен-профайла) платежная система определяет, что имеет дело не с обычной картой, а именно с токеном, и направляет операцию в ПМП для проверки криптограммы и так называемой детокенизации – превращения токена обратно в данные реальной карты. Да, криптограмма теперь проверяется не эмитентом, а ПМП, так как именно в недрах платформы генерируются те самые одноразовые ключи и токен-профайл. Далее операция с уже карточными данными направляются банку-эмитенту на авторизацию. На обратном пути – обратное преобразование.
В Mir Pay используется схема с одноразовыми ключами, но существует и другой подход – хранение одного ключа на устройстве. Такой подход требует наличия элемента безопасности на устройстве и некоторые кошельки могут его применять с учетом того, что на определенных устройствах такой элемент безопасности присутствует. В нашем случае, учитывая огромное многообразие телефонов с ОС Android это просто не достижимо. Данная специфика и объясняет выбранную схему.
Рассматривая процесс токенизации, описанный выше, можно заметить один тонкий момент: при оплате кошельком используются данные токен-профайла, однако при добавлении карты ее данные отправляются на хосты платежной системы, а эти данные являются строго конфиденциальными. Для защиты карточных данных в Mir Pay предусмотрена многоступенчатая система защиты. При запуске автоматически включается механизм контроля целостности приложения и проверки окружения, не допускающий использование подложного приложения, модифицированного посторонними лицами. В случае обнаружения существенного риска, приложение сообщает об этом пользователю и автоматически удаляет все хранимые токен-профайлы. Дополнительно результаты данных проверок анализируются еще и на стороне ПМП.
Для обмена конфиденциальными данными ПМП и Mir Pay генерируют ключевые пары и обмениваются публичными компонентами. В силу того, что мы не можем на 100% доверять встроенному хранилищу ключей, была разработана схема с хранением разных ключевых компонент в разных местах: как в ключевом хранилище, так и в оперативной памяти. То есть для инициирования мошеннической операции необходимо, во-первых, извлечь криптограммы всех этих ключей, а во-вторых их нужно еще и расшифровать! Но это не так-то просто и не особо эффективно, поскольку для проведения операций используются строго одноразовые ключи. И только после того, как Mir Pay и ПМП обменялись публичными ключами, то есть фактически создали защищенный канал, допускается передача чувствительных данных, которые шифруются крипто-стойкими алгоритмами. По этому механизму на устройство пользователя доставляются и токен-профайл, и одноразовые ключи для проведения операций, и данные по уже совершенным операциям.
Как видно из этого описания, безопасность платежей на базе мобильных кошельков не только сохраняется на уровне пластиковых карт, а в некоторых случаях даже его превосходит! Приложение Mir Pay соответствует международным и отечественным требованиям к безопасности и позволяет держателям карт «Мир» использовать мобильный телефон для оплаты, не опасаясь утечки личных данных.
На текущий момент разработка Mir Pay продолжается – выпустив в сжатые сроки первые версии, мы уже внедряем новые разработки в приложение, не забывая улучшать то, что уже сделано.
Ряд моментов требует развития, — нужно учитывать вышедшие недавно и планируемые к выпуску модели смартфонов, лишенные гуглосервисов, — перейти на российские аналоги или разработать собственное решение.
Кошелёк: дисконтные карты 4+
Все карты в одном приложении
BESKONTAKT
Снимки экрана (iPhone)
Описание
Если вы искали приложение, которое поможет перенести все ваши дисконтные и бонусные карты в смартфон — это Кошелёк. Теперь у нас появились ещё и кэшбэки.
Используйте карты, когда они вам понадобятся: получайте скидки, копите и тратьте бонусы. А если у вас нет нужной карты — выпустите её сразу в приложении. А когда купите всё, что хотели, — сканируйте чеки, чтобы получить кэшбэк.
НЕСКОЛЬКО ПРИЧИН УСТАНОВИТЬ КОШЕЛЁК
■ Избавитесь от лишних карт в кошельке
Больше не придётся терять время на кассе, перебирая десятки одинаковых пластиковых карт. Простой главный экран и быстрый поиск помогут легко найти нужную и получить скидки и бонусы.
■ Никогда не забудете нужную карту дома
Если все ваши скидочные и бонусные карты уже в смартфоне, вы точно не сможете забыть их дома. Больше не придётся просить карту у соседей по очереди или откладывать покупки.
■ Сможете получать кэшбэк
Вы выбираете нужную категорию и сканируете бумажные чеки или загружаете скриншоты электронных, мы всё проверяем и начисляем деньги на ваш счёт в Кошельке. Вывести деньги можно будет на любую карту любого российского банка. Сейчас у нас уже 30 категорий товаров, за которые вы сможете получить кэшбэк.
■ Выпустите новые карты прямо в приложении
Больше никакого заполнения анкет на стойке информации. Нужную бонусную карту магазина можно выпустить сразу в приложении.
■ Не упустите выгодные предложения
Под дисконтными картами в Кошельке мы разместили и постоянно обновляем информацию об акциях и скидках в магазинах. А те, кто любит всё контролировать, смогут проверить бонусный баланс под картами наших партнёров.
ПРОСТЫЕ ОТВЕТЫ НА ПОПУЛЯРНЫЕ ВОПРОСЫ
■ Как перенести свои пластиковые карты в Кошелёк?
1. Откройте приложение «Кошелёк».
2. Нажмите на кнопку «Добавить свою карту».
3. Сфотографируйте свои скидочные карты с двух сторон.
4. Дальше мы всё сделаем сами.
■ Как выпускать карты в приложении?
Если у вас пока нет нужной бонусной или скидочной карты, вы можете найти её в нашем каталоге. В Кошельке собраны более 50 предложений известных брендов: Магнит, ЛЕНТА, Перекрёсток, О’КЕЙ, М.Видео, Эльдорадо, adidas и других. Просто выберите нужную карту и нажмите «Выпустить». Это бесплатно.
Apple Wallet 4+
Apple Pay, билеты и не только
Apple
Снимки экрана
Описание
Приложение Wallet доступно прямо на iPhone. Это универсальный надежный способ хранить кредитные и дебетовые карты, проездные, посадочные талоны, билеты, ключи от автомобиля и многое другое. Приложение Wallet работает на iPhone и Apple Watch. Вам не придется носить с собой ничего лишнего, но все необходимое всегда будет под рукой.
APPLE PAY
Apple Pay — это универсальный способ оплаты. Этот простой, безопасный, более надежный и конфиденциальный способ оплаты заменяет физические карты и наличные при оплате на кассе и интернете. Это деньги в их современной форме.
ОБЩЕСТВЕННЫЙ ТРАНСПОРТ*
Самый простой способ перемещаться по городу. С Apple Pay можно легко оплачивать проезд на городском общественном транспорте. Проходите через турникеты мгновенно, просто поднося iPhone или Apple Watch к считывателю.
КЛЮЧ ОТ АВТОМОБИЛЯ*
Разблокируйте двери и заводите автомобиль с помощью цифрового ключа, который хранится в приложении на iPhone или Apple Watch.
СТУДЕНЧЕСКИЙ БИЛЕТ*
Добавьте в Wallet свой студенческий билет и пользуйтесь им для прохода в общежитие, в библиотеку и на мероприятия. Это также удобный способ оплачивать прачечные, закуски и обеды во многих университетах.
КЛЮЧ ОТ ДОМА*
Добавьте ключи от дома в Wallet на iPhone или Apple Watch, чтобы легко заходить к себе домой, отпирая совместимые дверные замки одним касанием.
КЛЮЧ ОТ ОТЕЛЯ*
Забронировав номер в отеле, добавьте в Wallet свой ключ от номера, чтобы заселиться без ожидания у стойки регистрации, а затем отпирать дверь номера с помощью iPhone или Apple Watch.
КЛЮЧ ОТ ОФИСА*
Добавьте в Wallet свой бейдж или карточку сотрудника, чтобы использовать iPhone или Apple Watch для открытия дверей и других действий, где нужно предъявить удостоверение.
БОНУСНЫЕ И ДИСКОНТНЫЕ КАРТЫ*
Добавляйте в Wallet бонусные карты своих любимых магазинов или кафе, чтобы не пропускать выгодные предложения.
ПОСАДОЧНЫЕ ТАЛОНЫ И БИЛЕТЫ НА МЕРОПРИЯТИЯ*
С легкостью добавляйте в Wallet свои посадочные талоны или билеты, чтобы использовать iPhone или Apple Watch для посадки на рейсы или прохода на мероприятия.
MEW wallet: Эфириум и DeFi 4+
№ 1 для входа в криптовалюты
MyEtherWallet, Inc.
Снимки экрана (iPhone)
Описание
Бесплатный интерфейс для управления ETH и токенами ERC-20. Самая универсальная, безопасная и дружелюбная платформа.
Добро пожаловать в официальное мобильное приложение MEW для быстрого и безопасного доступа к Ethereum прямо с вашего телефона. Мы создали для вас максимально простой способ работы с ETH.
MEW помогает войти в мир криптовалют с нуля, и получать доступ ко всем функциям для управления Эфиром:
ПОКУПКА ETH
Покупайте Эфир прямо с банковской карты. MEW работает с разными валютами: долларами, евро, рублями, фунтами, йенами. Отображать баланс в приложении можно в любой из них.
ОБМЕН ТОКЕНОВ ПО САМОМУ ВЫГОДНОМУ КУРСУ
В кошельке MEW можно хранить и обменивать любые Эфириум-токены. Встроенная функция обмена токенов стандарта ERC-20 позволяет найти лучший курс среди множества децентрализованных бирж. Эфир для обмена можно купить по банковской карте прямо в приложении.
ПОКУПКА WRAPPED BITCOIN («ЗАВЕРНУТЫЙ БИТКОИН»)
УЧЕБНЫЙ ЦЕНТР
Подробная база знаний поможет разобраться в мире криптовалют: узнать о токенах, децентрализованных приложениях, основных концепциях блокчейна Ethereum и многом другом.
Здесь же – полезные советы для новичков по созданию кошелька, безопасности и грамотному инвестированию. Всё максимально просто, на русском языке и даже с картинками.
СОЗДАНИЕ НЕСКОЛЬКИХ СЧЕТОВ
Для конфиденциальности и удобства в MEW можно создавать и использовать сразу несколько счетов на одном кошельке.
ОТСЛЕЖИВАНИЕ КУРСОВ
В приложении MEW можно просматривать динамику курса токенов за определенный период (от одного дня до всей истории). Наглядные графики помогают держать руку на пульсе рынка и контролировать эффективность своих инвестиций.
Также можно ознакомиться с краткой информацией по токенам: капитализацией, общим количеством выпущенных токенов, объемом продаж за сутки и количеством токенов в обороте.
ХАРАКТЕРИСТИКИ:
— Надежность и безопасность
Ключи хранятся локально на вашем устройстве. MEW не хранит пароли пользователей, не имеет доступа к средствам на кошельках.
В MEW ваши ключи защищены кодовой фразой из 24 слов, из которых можно сгенерировать все ваши ключи. Восстановление доступа к кошельку возможно только с помощью этой кодовой фразы, поэтому взлом аккаунта практически исключен.
— Простота
Мы очень стараемся чтобы кошелек MEW был удобным и понятным каждому пользователю. Интуитивный интерфейс и подсказки помогут разобраться в приложении даже новичкам, которые только начинают изучать мир криптовалюты.
Чтобы начать работу с Ethereum, не нужно ждать получения разрешений и удостоверять личность. Кошелек становится активным сразу после регистрации. Никто не может заморозить ваш счет или запретить вам распоряжаться своими средствами.
— Прогрессивность
Продвинутые пользователи особенно оценят, что именно в MEW первым делом появляются все новинки Ethereum, например стейкинг Ethereum 2.0
— Поддержка
Мы всегда рады помочь! Русскоязычные специалисты готовы вникнуть в любую проблему с приложением и ответить на все связанные с ним вопросы. Вопросы и предложения можно оставить в комментариях App Store, соцсетях MEW и чате с поддержкой. Мы не отправляем пользователей читать справку и стараемся отвечать каждому.
Присоединяйтесь к MEW и более 3,5 млн пользователям со всего мира, которые нам доверяют. С MEW войти в мир крипты и работать с Ethereum – легко, быстро и безопасно.
Банковские счета, бюджет
BudgetBakers s.r.o.
Разработано для iPad
Снимки экрана
Описание
Планируйте и управляйте своими финансами, подключайте банковские счета и карты разных банков и валют. С Wallet вы получите полный обзор своего финансового положения и не упустите из виду ни единой потраченной копейки.
Wallet постоянно совершенствует дизайн и функциональность, помимо предоставления новых функций и улучшений, мы постоянно добавляем интересные и практичные финансовые советы в нашем блоге и социальных сетях.
Ведь мы помогаем обычным людям вести богатую жизнь!
ЗА ЧТО ЛЮДИ ЛЮБЯТ
Wallet от BudgetBakers:
Забудьте про записные книжки и электронные таблицы, теперь вся информация о ваших финансах будет храниться в одном месте!
Wallet предоставляет полную картину ваших финансов и помогает никогда не терять над ними контроль.
Автоматические банковские обновления.
Все ваши банковские платежи автоматически классифицируются по категориям расходов! Wallet поддерживает более 4000 банков по всему миру- это просто, удобно и безопасно!
Все виды графиков и отчётов.
Простые, понятные графики и финансовые обзоры предоставляют подробную информацию о всех ваших расходах, доходах и актуальном состоянии баланса банковских счетов, кредитных и дебетовых карт, долгах и наличных деньгах.
Неограниченные счета.
Создайте столько счетов, сколько пожелаете! Добавляйте банковские счета, кредитные, дебетовые карты, ваучеры, контролируйте наличные и отслеживайте свои расходы на каждом отдельном счёте.
● Простой и элегантный интерфейс
● Подробные графики и отчеты
● Облачная синхронизация со всеми вашими устройствами и веб-приложением
● Поддержка нескольких валют
● Гибкая фильтрация, создание собственных категорий и шаблонов
● Создание собственных иконок категорий
● Все типы платежей
● Создание собственных подходов к отслеживанию доходов и расходов
Бесплатная версия Wallet не требует предоплаты и информации о вашей кредитной карте.
Премиум-функции оплачиваются по ежемесячной или годовой подписке.
Цены будут отображаться перед покупкой через вашу учетную запись iTunes.
Плата за подписку будет списана с вашего счета iTunes как подтверждение покупки. Подписка будет продлена автоматически до тех пор, пока автоматическое продление не будет отключено (минимум за 24 часа до окончания текущего периода). Плата будет за продление премиум-функций будет списана в течение 24 часов до конца текущего периода, цена за обновленный план составляет 1,99 евро без учета НДС за ежемесячную подписку и 14,99 евро в год за ежегодную подписку. Цены в вашей валюте могут варьироваться в зависимости от обменного курса и НДС в вашей стране.
Управлять подписками и настроить автоматическое обновление вы можете в настройках учетной записи пользователя после покупки.
Условия пользования и политика конфиденциальности: https://budgetbakers.com/terms/
НАЧАЛО РАБОТЫ С Wallet:
1. Загрузите приложение.
2. Войдите через Facebook, Google или зарегистрируйтесь с помощью e-mail
3. Начните работу: создайте все свои счета, подключите банковские счета и карты, записывайте все свои расходы наличными и получите подробную картину своих финансов!
