10/06/2024 • 7 min. de leitura

Tokenização de cartão de crédito: como ajuda a melhorar a segurança do e-commerce e a conversão de pagamentos?

Entenda a tokenização do cartão de crédito e como isso ajuda no cenário antifraude.

Conteúdo feito em parceria com o Pagar.me

Uma das principais preocupações no e-commerce é, sem dúvidas, a segurança contra fraudes, que pode acarretar em riscos reputacionais e prejuízos financeiros para negócios de todos os nichos e portes.

E não são apenas os empreendedores e players do mercado que têm essa preocupação. Segundo um estudo da Mastercard e Kantar Consulting, 87% dos consumidores têm ciência de que seus dados podem ser expostos a vazamentos e ataques e consideram que a segurança da informação é um assunto fundamental nas transações digitais.

Nesse contexto, as bandeiras de cartão implementaram uma importante inovação: a tokenização do cartão de crédito. O objetivo do serviço é reduzir a exposição dos dados durante as transações online, protegendo informações sensíveis dos clientes e dos próprios negócios.

O que é tokenização?

A tokenização é uma solução oferecida pelas bandeiras de cartão, como Visa e Mastercard, que armazenam os dados sensíveis dos cartões em seus próprios cofres, de forma criptografada, e substituem essas informações no fluxo transacional por um token.

O token, por sua vez, é um código alfanumérico que só pode ser decodificado com um criptograma (uma espécie de chave ou senha), que é trocado a cada transação.

Dessa forma, somente o token fica disponível ao longo de toda a cadeia do fluxo transacional. Assim, mesmo que alguma base de dados seja invadida, os tokens não têm valor para os atacantes, já que não conseguem decodificá-lo, tornando todo o fluxo transacional muito mais seguro.

Diferença entre tokenização e criptografia

 

Tanto a tokenização quanto a criptografia funcionam como camadas extras de segurança do fluxo transacional.

A criptografia substitui os dados do cartão por um código ilegível. Cada número, letra e espaço é disfarçado por outro escolhido por um sistema, com base em um algoritmo de criptografia sofisticado.

Ou seja, o princípio é muito similar ao processo de tokenização. A grande diferença é que a criptografia pode ser revertida, desde que se conheça o padrão por trás dela.

Dessa forma, o Conselho PCI considera os dados criptografados como uma informação sensível.

Vale lembrar que os meios de pagamento fazem uso de criptografia de dados para operar fluxos financeiros. A tokenização não substitui esse padrão de segurança, mas o complementa.

Assim, o que os especialistas recomendam é que as duas soluções sejam trabalhadas de forma conjunta.

Como tokenizar as transações no meu negócio?

 

A tokenização do cartão de crédito é uma funcionalidade que está sendo implementada aos poucos por todo o mercado. Via de regra, o lojista não precisa fazer nenhuma ação para tokenizar as transações que passam pelo seu negócio.

No momento, os próprios meios de pagamento são responsáveis por solicitar a tokenização às bandeiras.

O fluxo funciona da seguinte forma:

fluxopagar

Fonte: Pagar.me

  • O pedido é criado no site do lojista, já na interface de checkout da plataforma de e-commerce ou meio de pagamento;
  • O meio de pagamento recebe a transação e solicita à bandeira a tokenização dos dados do cartão;
  • A bandeira faz o processo de tokenização, validando os dados junto ao emissor do cartão;
  • O emissor autoriza a tokenização do cartão;
  • A bandeira retorna o token para o meio de pagamento, juntamente com o criptograma válido para aquela transação;
  • O pedido passa pelo fluxo padrão de autorização adquirente > bandeira > emissor e retorna para o meio de pagamento o status da transação (aprovada ou negada);
  • A informação é passada ao lojista.

Relevância da tokenização no mercado de pagamentos

 

A tokenização é um serviço novo que tem potencial para agregar mais segurança e performance nos processos de uma transação financeira.

Até 2026, é esperado que sejam realizadas mais de 1 trilhão de transações tokenizadas globalmente, segundo estudo da Juniper Research.

A expectativa é que haja uma rápida adesão da funcionalidade, pela sua segurança e simplicidade de implementação. Além disso, no Brasil, as bandeiras já têm autorização para cobrar um valor mais alto por transações não tokenizadas, ou seja, que usam diretamente o PAN no fluxo transacional.

Em contrapartida, até o momento, o processo de tokenização não tem custo adicional. Então, todo esse cenário converge para uma rápida atualização do mercado frente ao novo serviço.

Benefícios e aplicações da tokenização do cartão de crédito

 

Segurança transacional

O benefício mais nítido da tokenização, sem dúvidas, é a segurança. Os dados tornam-se incorruptíveis durante o fluxo transacional, sendo que golpes como tentativas de captação de dados por força bruta em sites deixam de ser uma preocupação.

No entanto, ainda existe uma vulnerabilidade para o próprio portador do cartão, que pode ser alvo de golpes de engenharia social.

 

Maior aprovação de pagamentos

Bandeiras e instituições emissoras passam a ter a responsabilidade de validar os dados do portador do cartão e deter essa informação. O token, portanto, é um código idôneo e verificado por esses players.

Dessa forma, o índice de aprovação de transações passa a ser mais elevado, além disso, a aprovação em si passa a ser mais rápida.

Segundo um estudo inicial feito pela Visa na sua base de dados, a tokenização aumenta em 2,1% as taxas de autorização da compra.

 

Atualização de cartão

Negócios que oferecem one-click buy ou recorrência podem enfrentar problemas quando o cartão de crédito do cliente expira ou é roubado e precisa ser substituído. Isso porque as informações armazenadas tornam-se inválidas.

Nesse caso, os meios de pagamento oferecem o recurso de card updater, que atualiza de forma automática os dados dos cartões. Agora, a tokenização já faz esse processo de forma automática, substituindo os dados do cartão tokenizado, evitando inadimplência, churn involuntário e frustração do consumidor ao tentar fazer a compra em um clique.

 

Crescimento de wallets

As carteiras digitais, também conhecidas como wallets ou e-wallets, como é o caso de Google Pay e Apple Pay, também podem solicitar às bandeiras a tokenização dos cartões cadastrados em seus sistemas.

 

Dessa forma, os dados transacionais dos usuários passam a ter mais uma camada de segurança, bem como a aplicação em si, que não armazena mais dados sensíveis em seus bancos de dados.

O token em questão passa a estar associado àquela carteira digital e é utilizado em todas as transações realizadas com a mesma.

Se o consumidor cadastrar esse mesmo cartão em uma loja virtual, por exemplo, um novo token é emitido, para que cada canal ou conta tenha um token e um criptograma distintos, trazendo mais segurança para esses dados.

Esse processo é totalmente imperceptível para o consumidor final e fica a cargo da wallet solicitar a tokenização à bandeira, bem como acontece no fluxo com o meio de pagamento.

Vale destacar que as carteiras digitais já dominam o e-commerce a nível global, correspondendo a 50% do valor transacionado nesse ambiente, segundo o The Global Payment Report 2024.

Logo, ter o serviço de tokenização atrelado a esse método de pagamento é de grande relevância para o futuro do e-commerce e segurança transacional.

 

Pagamento omnichannel

A tokenização do cartão de crédito também facilita os pagamentos sem contato no mundo físico, conhecidos como pagamento touchless.

A substituição dos dados de cartão por tokens associados a dispositivos, como smartwatches, garante mais segurança e menor fricção para esses pagamentos sem contato, trazendo maior relevância e, possivelmente, maior adesão para esse método de pagamento.

Concluindo, a tokenização é uma camada adicional de segurança que tem grande potencial para revolucionar as transações financeiras não presenciais e sua adesão é uma questão de tempo até que todos os players do mercado solicitem o serviço junto às bandeiras.

Se você quer continuar se atualizando sobre o ambiente de segurança digital, leia outros artigos no Blog da ClearSale.

Este artigo foi escrito pelo time do Pagar.me, tecnologia de pagamento digital e omnichannel do Grupo StoneCo.

Escrito por

Assine nossa newsletter

Leitura em Libras