SOLUÇÃO DE CARTÃO DIGITAL

E E-WALLET PERSONALIZADA
COM TOKENIZAÇÃO
 Estratégia para 2021:
Negócios Independentes

Outsourcing de Soluções de Gestão Eletrônica

Impressão Pagamentos de Documentos

Impressoras Impressoras de Cartão Digitalização de

Multifuncionais Totens de Documentos
Suprimentos Autoatendimento Consultoria Arquivística
Vending Machine Licença de Software
ECM
SOLUÇÃO DE CARTÃO
DIGITAL E E-WALLET
PERSONALIZADA COM
TOKENIZAÇÃO

Proposta para
Grupo Carrefour
Brasil
Diagrama da Solução

Troca de
Banco/ Processado
informações
Administrad ra de
para validação
ora de Cartões
Crédito

Confirmaçã
oe
liberação Além do cartão físico,
Envio das para nosso software
informaçõe impressão
s do pedido
também pode
disponibilizar um
cartão digital para ser
cadastrado em uma e-
wallet própria
Pa
y
Emissão Instantânea em Terminais de
Autoatendimento

Benefícios

 Permite a personalização e emissão imediata do

cartão;
 Disponível 24 horas por dia;
 Possibilita a emissão de um cartão físico e também
do cartão digital.
EMISSÃO DE CARTÃO FÍSICO E DIGITAL
Emissão Instantânea de Cartões Digitais

Benefícios

 Inovação tecnológica valorizando a imagem do

Banco;
 Possibilita a emissão de um cartão físico e um
digital;
 Ideal para compras sem contato.
MODELO 1 - Cartão Físico + Digital / Carteira Digital (COM tokenização)

O cliente instala o app
em seu celular e faz o
registro no sistema.
O CardWizard faz interface com o host Mensagens de aplicativos
do banco e o registro de recuperação do móveis Cardwizard ou
CMS, junto com o ID do solicitante do CMS para atualizar o
token, após verificar se ele existe no Token Requestor ID no
CMS. Caso não exista, ele notifica o app CMS
para solicitar um ID ao provedor
(MDES).

1 2 3 4 5

O cliente realiza a verificação de Cartão impresso fisicamente na

identificação remota como parte do filial e atualização do CMS -
processo de abertura de uma nova Cliente Autentica no Quiosque
conta (SDK integrado ao aplicativo com MSC.
móvel do banco) e após a solicitação
do cartão é iniciada. O CardWizard faz interface
com o Switch para ativar o
cartão em tempo real.
MODELO 1 - Cartão Físico + Digital / Carteira Digital (COM tokenização)

O Cardwizard O provedor de token O aplicativo de mobile banking

obtém o ID do (MDES) responde com o notifica o Cardwizard que o
solicitante do token recibo da conta e o cartão foi carregado com
do CMS, se ainda Cardwizard envia o recibo sucesso na carteira ou falhou.
não tiver obtido da da conta para o aplicativo O consumidor está equipado
etapa 3. móvel com cartões digitais e físicos e
MSC ou MST para casos de uso
de banco online

6 7 8 9 10

O aplicativo do banco interage

Cardwizard envia os dados com a Wallet do banco para
do titular do cartão (PAN e iniciar a digitalização. A carteira
Token Requestor ID) para a do banco verifica a
plataforma do provedor de disponibilidade do recibo da conta
token (MDES) com MDES, e as respostas do
MDES com digitalização para a
Carteira da Banco.
MODELO 2 - Cartão Físico + Digital / Carteira Digital (SEM tokenização)

O cliente instala o app O CardWizard faz interface com o host

em seu celular e faz o do banco e o registro de recuperação do
registro no sistema. CMS, junto com o ID do solicitante do
token, após verificar se ele existe no
CMS. Caso não exista, ele notifica o app
para solicitar um ID ao provedor
(MDES).

1 2 3

O cliente realiza a verificação de

identificação remota como parte do
processo de abertura de uma nova
conta (SDK integrado ao aplicativo
móvel do banco) e após a solicitação
do cartão é iniciada.
MODELO 2 - Cartão Físico + Digital / Carteira Digital (SEM tokenização)

Cartão impresso fisicamente na O aplicativo de mobile banking

filial e atualização do CMS - notifica o Cardwizard que o
Cliente Autentica no Quiosque cartão foi carregado com
com MSC. sucesso na carteira ou falhou.
O consumidor está equipado
O CardWizard faz interface com cartões digitais e físicos e
com o Switch para ativar o MSC ou MST para casos de uso
cartão em tempo real. de banco online

4 5 6

O aplicativo do banco interage

com a Wallet do banco para
iniciar a digitalização. A carteira
do banco verifica a
disponibilidade do recibo da conta
com MDES, e as respostas do
MDES com digitalização para a
Carteira da Banco.
Plataforma da Fábrica de Token

API de Provedores de Serviços de Token

Solicitantes de
Token
Emissores

Token Vault Gateway

Issuers API

Issuers GW

TR Gateway
Solicitan Módulo de
Gestão de

TR API
te de Aplicação
Transações
Token Mobile

Gestão do Ciclo
Gestão da
i-TSP de Vida da
Tokenização
Conta
 Token Factory: enabling Digital Journey

Digitização Tokenização Carteira Casos de Uso

Token no Dispositivo
3rd party / Carteira de Emissores
PAN Captura Autenticação Proximidade
e App
Carteira

Captura de
Pagamentos
Imagem
Únicos

Token em Arquivo
para eCommerce, revendedores Pagamentos
Captura de
NFC isolados ou
recorrentes
com cartão em
arquivo
Captura de
Tela/API Pagamentos
ponto-a-
ponto
Fábrica de Token: Casos de Uso

Bancos
P2P
Pagamentos de Pagamentos P2P via
Banco por mensagens instantâneas,
Proximidade
emails, SMS, …

OEM E-Commerce
Pagamentos com Através de Token em
dispositivos, mobile ou arquivo, cartão virtual
via App

SRC
QR-Code Comércio remoto seguro
Pagamentos com com POS virtual padronizado
leitura de Qr-Code
Princípios de Tokenização
 A tokenização consiste na substituição, durante um processo reversível,
do PAN por um Token que mantém o mesmo formato e as mesmas
propriedades de um PAN clássico.

 Adicionar atributos ao token permite limitar seu uso a um domínio

particular.
 Um token pode ser limitado a
um canal de transação - por
exemplo, apenas para
pagamento móvel NFC - e a um
único dispositivo, ou atribuindo
um nível de segurança durante
sua emissão e armazenamento.
Variedade de Tokens EMVCo
 A tokenização EMVCo foi projetada para usar atualmente
8583 formatos de mensagem ISO / IEC, que suportam
interoperabilidade com a infraestrutura existente; a
especificação adiciona valores adicionais que podem ser
mapeados para campos existentes

 Esses tokens devem ser usados:

1. Em canais de cartão ausente, como transações de conta

em arquivo, para combate a fraudes;
2. No canal de cartão presente com cartões EMV, onde
um token substitui o PAN que, de outra forma, seria
codificado no chip;

3. Em canais móveis emergentes (códigos QR, NFC, BLE

...)
Tokens EMVCo – Outras Informações
 A intenção do modelo de tokenização EMVCo é limitar os níveis de
risco em caso de violação de dados e dentro de domínios específicos
definidos;

 Os tokens EMV têm um nível de garantia de token associado que é

determinado pelo processo de ID&V (Identificação e verificação)
realizado no momento da emissão do token;

 Os tokens EMV são projetados para serem interoperáveis ​entre redes

de pagamento;

 Os tokens EMV compartilham as mesmas características de um PAN

(incluindo BIN, data de expiração e mecanismo de verificação), a
fim de apoiar o fluxo de transação atual e minimizar o atrito no
ambiente de processamento de pagamento existente;

 Na prática, os tokens são emitidos de BIN’s designados

separadamente.
Soluções e Serviços
A C2B oferece o serviço baseado em 3 pilares:

 Provedor de Serviços de Tokenização compatível com EMV (TSP)

 Conjunto de mecanismos de segurança que foram implementados

além das especificações de Tokenização e HCE na plataforma TSP.

 App Carteira Mobile White-label (ou SDK)

Provedor de Serviços de
+ +
Token
Arquitetura de Pagamentos baseados na nuvem
Emissores Switch Adquirentes

Plataforma de Servidor Segura

Plataforma de Gestão do
Gestão da Gestão da
Aplicação Ciclo de Vida
Tokenização Transação
Mobile da Conta

Cartão
Digital Rede Adquirente

Carteira Mobile Comerciante

Componentes Modulares da Solução

 De-tokenização
 Autenticação em Carteira  Validação de Criptogramas
Plataforma
Mobile Gestão da  Validação de PIN
de Aplicação  Gestão de Fraudes
 Comunicação segura Transação
Mobile  Controle de acesso  Registros de Transação
 Token requestor gateway  Autorização API de
Emissores

 Interação com o POS através do

Carteira controlador NFC e módulo HCE
Mobile  Analisando os APDUs e gerando a
SDK criptografia solicitada pelo POS

 Processo de inscrição
 Processo de
Gestão do  Geração de token
provisionamento Gestão da  Geração LUK / SUK
Ciclo de  Processo de reposição 
Tokenizaçã Notificações Remotas
Vida da  Gerenciamento do ciclo de  Gerenciamento do ciclo de
Conta vida o vida
- Suspender tokens  Token Vault
- Retomar tokens
 Interface HSM
- Tokens de descarte
 API Ciclo de Vida de
emissores
Criptograma CVx para E-Commerce

A C2B está assegurando transações em linha utilizando um criptograma dinâmico de 3 dígitos

(dCVX2)
 O que é? dCVX2 é um número seguro de 3 dígitos, calculado criptográficamente, que muda periodicamente
 Para gerar e mostrar um dCVX2, o cliente só tem que iniciar seu app bancário e autenticar
 Em seguida, insira esta criptografia no formulário online do comerciante em vez do CVX2 normal

5123456789012345

564

123 x

Transação aprovada

 O dCVX2 é validado pelo host do emissor durante a solicitação de autorização. Qualquer transação feita com o
CVX2 regular seria rejeitada
 Esta solução torna impossível roubar um CVX2 lendo-o no verso do cartão ou usando um criptograma roubado
E-Commerce protegido por Tokenização
Em um ambiente CNP, a abordagem de segurança deve considerar:

 Alguma forma de autenticar o titular do cartão, como 3D Secure

 E tokenização para proteger os dados, criando um token para cada transação CNP que só pode ser usado para
um cartão e com uma negociação específica.

 Além do cálculo de um criptograma para cada transação  "grau EMVCo"

Digitalização
Digitalização +
Digitalização + CVV/CVC Dinâmico
CVV/CVC Dinâmico +
Tokenização do PAN

SEGURANÇA PARA AS TRANSAÇÕES DE E-

COMMERCE
Botão de Pagamento
 O botão de pagamentos inicia a transação de pagamento de e-commerce, se o
usuário tiver o aplicativo móvel instalado e os cartões cadastrados, ele pode iniciar
uma sessão de pagamento;

 O botão de pagamentos e o aplicativo interagem, para obter o cartão digitalizado e

o criptograma EMV gerado para esta transação específica;

 O botão de pagamentos faz o pedido de autorização com as informações da

transação, o cartão digitalizado e o criptograma EMV correspondente;

 A plataforma realiza a des-tokenização e valida o criptograma da transação;

 A plataforma solicita autorização da transação com o PAN, prazo de validade,

CVC / CVV reais ao Portal do Adquirente, que o redireciona para o respectivo
emissor;

 A aprovação / recusa da transação é enviada para o botão de pagamento, que

mostra a resposta ao cliente e para a página do comerciante.
Componente de Extensão no Navegador

Para maximizar o número de negociações e minimizar o atrito!

 O usuário aciona a extensão no navegador da web para iniciar a transação de

pagamento de comércio eletrônico
 A extensão no navegador da web e o aplicativo interagem; para obter o cartão
digitalizado e um CVC / CVV dinâmico gerado para esta transação específica
 A extensão faz um preenchimento automático da forma de pagamento do site do
estabelecimento comercial com os dados recebidos na etapa anterior
 A solicitação de autorização é recebida pelo switch do Comprador que solicita à
plataforma para remover a tokenização e validar o CVC / CVV dinâmico da
transação.
 O Adquirente solicita autorização da transação com o PAN, prazo de validade,
CVC / CVV real ao respectivo emissor
 A aprovação / recusa da transação é enviada diretamente para o site do comerciante
Componente Adicional: Cartão em Arquivo
Para garantir a proteção das credenciais do usuário

 Os usuários podem automatizar seus processos de compra sem o risco de

comprometer suas credenciais.

Registro
Caso de implementação em lojas físicas por códigos QR

Diferentes opções podem ser baseadas no manuseio de códigos QR

A solução C2B trabalha com três modos de uso, esses casos de uso
permitem o uso de tokens para extrair fundos de uma conta de cliente, com
uma experiência de pagamento aprimorada.

 CPQR: O consumidor apresenta o QR

 MPQR: O comerciante apresenta o QR
 MCPQR: Comerciante e consumidor apresentam o QR