Tokenização de cartão de crédito: como ajuda a melhorar a segurança do e-commerce e a conversão de pagamentos?
Entenda a tokenização do cartão de crédito e como isso ajuda no cenário antifraude.
Conteúdo feito em parceria com o Pagar.me
Uma das principais preocupações no e-commerce é, sem dúvidas, a segurança contra fraudes, que pode acarretar em riscos reputacionais e prejuízos financeiros para negócios de todos os nichos e portes.
E não são apenas os empreendedores e players do mercado que têm essa preocupação. Segundo um estudo da Mastercard e Kantar Consulting, 87% dos consumidores têm ciência de que seus dados podem ser expostos a vazamentos e ataques e consideram que a segurança da informação é um assunto fundamental nas transações digitais.
Nesse contexto, as bandeiras de cartão implementaram uma importante inovação: a tokenização do cartão de crédito. O objetivo do serviço é reduzir a exposição dos dados durante as transações online, protegendo informações sensíveis dos clientes e dos próprios negócios.
O que é tokenização?
A tokenização é uma solução oferecida pelas bandeiras de cartão, como Visa e Mastercard, que armazenam os dados sensíveis dos cartões em seus próprios cofres, de forma criptografada, e substituem essas informações no fluxo transacional por um token.
O token, por sua vez, é um código alfanumérico que só pode ser decodificado com um criptograma (uma espécie de chave ou senha), que é trocado a cada transação.
Dessa forma, somente o token fica disponível ao longo de toda a cadeia do fluxo transacional. Assim, mesmo que alguma base de dados seja invadida, os tokens não têm valor para os atacantes, já que não conseguem decodificá-lo, tornando todo o fluxo transacional muito mais seguro.
Diferença entre tokenização e criptografia
Tanto a tokenização quanto a criptografia funcionam como camadas extras de segurança do fluxo transacional.
A criptografia substitui os dados do cartão por um código ilegível. Cada número, letra e espaço é disfarçado por outro escolhido por um sistema, com base em um algoritmo de criptografia sofisticado.
Ou seja, o princípio é muito similar ao processo de tokenização. A grande diferença é que a criptografia pode ser revertida, desde que se conheça o padrão por trás dela.
Dessa forma, o Conselho PCI considera os dados criptografados como uma informação sensível.
Vale lembrar que os meios de pagamento fazem uso de criptografia de dados para operar fluxos financeiros. A tokenização não substitui esse padrão de segurança, mas o complementa.
Assim, o que os especialistas recomendam é que as duas soluções sejam trabalhadas de forma conjunta.
Como tokenizar as transações no meu negócio?
A tokenização do cartão de crédito é uma funcionalidade que está sendo implementada aos poucos por todo o mercado. Via de regra, o lojista não precisa fazer nenhuma ação para tokenizar as transações que passam pelo seu negócio.
No momento, os próprios meios de pagamento são responsáveis por solicitar a tokenização às bandeiras.
O fluxo funciona da seguinte forma:
Fonte: Pagar.me
- O pedido é criado no site do lojista, já na interface de checkout da plataforma de e-commerce ou meio de pagamento;
- O meio de pagamento recebe a transação e solicita à bandeira a tokenização dos dados do cartão;
- A bandeira faz o processo de tokenização, validando os dados junto ao emissor do cartão;
- O emissor autoriza a tokenização do cartão;
- A bandeira retorna o token para o meio de pagamento, juntamente com o criptograma válido para aquela transação;
- O pedido passa pelo fluxo padrão de autorização adquirente > bandeira > emissor e retorna para o meio de pagamento o status da transação (aprovada ou negada);
- A informação é passada ao lojista.
Relevância da tokenização no mercado de pagamentos
A tokenização é um serviço novo que tem potencial para agregar mais segurança e performance nos processos de uma transação financeira.
Até 2026, é esperado que sejam realizadas mais de 1 trilhão de transações tokenizadas globalmente, segundo estudo da Juniper Research.
A expectativa é que haja uma rápida adesão da funcionalidade, pela sua segurança e simplicidade de implementação. Além disso, no Brasil, as bandeiras já têm autorização para cobrar um valor mais alto por transações não tokenizadas, ou seja, que usam diretamente o PAN no fluxo transacional.
Em contrapartida, até o momento, o processo de tokenização não tem custo adicional. Então, todo esse cenário converge para uma rápida atualização do mercado frente ao novo serviço.
Benefícios e aplicações da tokenização do cartão de crédito
Segurança transacional
O benefício mais nítido da tokenização, sem dúvidas, é a segurança. Os dados tornam-se incorruptíveis durante o fluxo transacional, sendo que golpes como tentativas de captação de dados por força bruta em sites deixam de ser uma preocupação.
No entanto, ainda existe uma vulnerabilidade para o próprio portador do cartão, que pode ser alvo de golpes de engenharia social.
Maior aprovação de pagamentos
Bandeiras e instituições emissoras passam a ter a responsabilidade de validar os dados do portador do cartão e deter essa informação. O token, portanto, é um código idôneo e verificado por esses players.
Dessa forma, o índice de aprovação de transações passa a ser mais elevado, além disso, a aprovação em si passa a ser mais rápida.
Segundo um estudo inicial feito pela Visa na sua base de dados, a tokenização aumenta em 2,1% as taxas de autorização da compra.
Atualização de cartão
Negócios que oferecem one-click buy ou recorrência podem enfrentar problemas quando o cartão de crédito do cliente expira ou é roubado e precisa ser substituído. Isso porque as informações armazenadas tornam-se inválidas.
Nesse caso, os meios de pagamento oferecem o recurso de card updater, que atualiza de forma automática os dados dos cartões. Agora, a tokenização já faz esse processo de forma automática, substituindo os dados do cartão tokenizado, evitando inadimplência, churn involuntário e frustração do consumidor ao tentar fazer a compra em um clique.
Crescimento de wallets
As carteiras digitais, também conhecidas como wallets ou e-wallets, como é o caso de Google Pay e Apple Pay, também podem solicitar às bandeiras a tokenização dos cartões cadastrados em seus sistemas.
Dessa forma, os dados transacionais dos usuários passam a ter mais uma camada de segurança, bem como a aplicação em si, que não armazena mais dados sensíveis em seus bancos de dados.
O token em questão passa a estar associado àquela carteira digital e é utilizado em todas as transações realizadas com a mesma.
Se o consumidor cadastrar esse mesmo cartão em uma loja virtual, por exemplo, um novo token é emitido, para que cada canal ou conta tenha um token e um criptograma distintos, trazendo mais segurança para esses dados.
Esse processo é totalmente imperceptível para o consumidor final e fica a cargo da wallet solicitar a tokenização à bandeira, bem como acontece no fluxo com o meio de pagamento.
Vale destacar que as carteiras digitais já dominam o e-commerce a nível global, correspondendo a 50% do valor transacionado nesse ambiente, segundo o The Global Payment Report 2024.
Logo, ter o serviço de tokenização atrelado a esse método de pagamento é de grande relevância para o futuro do e-commerce e segurança transacional.
Pagamento omnichannel
A tokenização do cartão de crédito também facilita os pagamentos sem contato no mundo físico, conhecidos como pagamento touchless.
A substituição dos dados de cartão por tokens associados a dispositivos, como smartwatches, garante mais segurança e menor fricção para esses pagamentos sem contato, trazendo maior relevância e, possivelmente, maior adesão para esse método de pagamento.
Concluindo, a tokenização é uma camada adicional de segurança que tem grande potencial para revolucionar as transações financeiras não presenciais e sua adesão é uma questão de tempo até que todos os players do mercado solicitem o serviço junto às bandeiras.
Se você quer continuar se atualizando sobre o ambiente de segurança digital, leia outros artigos no Blog da ClearSale.
Este artigo foi escrito pelo time do Pagar.me, tecnologia de pagamento digital e omnichannel do Grupo StoneCo.