Kilka dni temu Bank Pekao we współpracy z MasterCard, jako pierwszy w Polsce i pierwszy wśród największych banków europejskich, uruchomił mobilne płatności zbliżeniowe telefonem w technologii HCE. Czy te płatności są bardziej bezpieczne od rozwiązania SIM-centric?

HCE (Host Card Emulation) umożliwia wykonywanie bezpiecznych zbliżeniowych płatności mobilnych analogicznie jak kartami zbliżeniowymi, z wykorzystaniem komunikacji NFC pomiędzy telefonem a terminalem płatniczym. W odróżnieniu od istniejących na rynku rozwiązań, zastosowana technologia pozwala płacić zbliżeniowo bez konieczności wiązania się z konkretnym operatorem komórkowym. Dane karty nie są przechowywane na karcie SIM. Co zatem z bezpieczeństwem danych?

Jak informuje bank różnica pomiędzy dwoma rozwiązaniami polega na ich dostępności i wygodzie klienta, a nie na innym poziomie bezpieczeństwa. W obu rozwiązaniach dane poufne (dane karty) są zabezpieczone. W przypadku rozwiązania SIM-centric są one zapisane na karcie SIM operatora. W rozwiązaniu HCE są one przechowywane na serwerach banku. Niestety Pekao SA nie chciał podzielić się szczegółami zabezpieczeń wykorzystywanych w banku. Na temat bezpieczeństwa naszego rozwiązania opartego na standardzie HCE, tj. MasterCard Cloud Based Payments zapytaliśmy jednego z partnerów w projekcie.

- Przechowywanie danych karty płatniczej w aplikacji mobilnej, bo na tym polega HCE, niesie za sobą wiele wyzwań związanych z bezpieczeństwem. MasterCard przykłada do niego bardzo dużą wagę, zatem standard MasterCard Cloud Based Payments definiuje grupę nowych zabezpieczeń, które pozwalają na bezproblemowe wykorzystanie technologii HCE do płatności. Wcześniejsze projekty płatności zbliżeniowych w Polsce, które MasteCard z sukcesem zrealizował, polegały na umieszczeniu karty płatniczej w pamięci karty SIM telefonu, dzięki czemu można było wykorzystać gotowe mechanizmy zabezpieczeń samej karty- informuje Aleksander Naganowski, dyrektor działu rozwoju nowego biznesu w polskim oddziale MasterCard Europe.

Jak się dowiedzieliśmy w przypadku HCE stosowane są dodatkowe zabezpieczenia w postaci między innymi:
- jednorazowych kluczy przesyłanych z serwerów banku do aplikacji mobilnej zabezpieczających transakcje,
- bieżącej synchronizacji aplikacji z serwerami banku,
- szczegółowego monitorowania transakcji z danego telefonu,
- potwierdzania każdej transakcji kodem PIN wprowadzanym w aplikacji na telefonie,
- zakazu przechowywania kodu PIN w pamięci telefonu.




Banki mogą oczywiście wprowadzać dodatkowe metody zabezpieczające.

Co ważne dla banku Pekao aplikacji PeoPay nie trzeba fizycznie uruchamiać aplikacji, żeby zapłacić. Dzięki temu, transakcje wykonywane są równie szybko jak przy pomocy kart płatniczych. Wystarczy odblokować telefon, zbliżyć go do terminala, tak jak kartę zbliżeniową, i zatwierdzić transakcję w telefonie przy pomocy numeru PIN. Jak informuje Pekao, aplikacja jest bezpieczna - nie jest możliwe dokonanie płatności zbliżeniowej, jeśli mamy zablokowany telefon w kieszeni czy torebce. Nie zadziała wtedy moduł NFC.

Rozwiązanie skierowane jest do użytkowników aplikacji płatności mobilnych PeoPay, którzy posiadają najpopularniejsze modele smartfonów z systemem operacyjnym Android (wersja 4.4 KitKat), które wyposażone są w antenę NFC.

Aplikacja PeoPay jest dostępna zarówno dla klientów Banku Pekao, którzy mogą podłączyć aplikację do rachunku osobistego, jak i pozostałych użytkowników, którzy mogą korzystać z aplikacji przy pomocy rachunku przedpłaconego. Wkrótce z nowego rozwwiązania płatności w technologii HCE skorzystają kolejne banki.Z pewności pojawi się tez podobna propozycja ze strony drugiej organizacji kartowej - VISA, która niedawno uruchomiła podobny projekt na Słowacji.