Открыть сервис

Device Account Number

Device Account Number (сокр. DAN, с англ. — «номер счёта устройства») — это уникальный цифровой идентификатор, используемый в платёжных системах для проведения транзакций без раскрытия реальных банковских реквизитов владельца карты. DAN представляет собой токен — зашифрованную замену первичного номера счёта (PAN), который хранится на устройстве (смартфоне, планшете, смарт-часах) и используется при оплате через мобильные кошельки (Apple Pay, Google Pay, Samsung Pay) или другие бесконтактные платёжные решения. Основная функция DAN — обеспечение безопасности: даже при перехвате данных злоумышленник получает не реальный номер карты, а временный или ограниченный токен, который невозможно использовать для других транзакций.

История появления

Развитие бесконтактных платежей и мобильных кошельков в начале 2010-х годов потребовало новых методов защиты данных. Традиционные платёжные карты с магнитной полосой или чипом использовали статичный PAN, который при компрометации позволял злоумышленникам совершать покупки в интернете или создавать клоны карт. В 2014 году, с запуском Apple Pay, компания Apple совместно с платёжными системами (Visa, Mastercard, American Express) внедрила технологию токенизации. Вместо передачи PAN при каждой транзакции устройство генерировало уникальный DAN, который связывался с конкретным устройством и конкретным эмитентом карты. Позднее аналогичные механизмы были реализованы в Google Pay (2015) и Samsung Pay (2015). К 2020 году токенизация стала стандартом для всех крупных мобильных платёжных систем, а DAN — обязательным элементом инфраструктуры бесконтактных платежей.

Устройство и принцип работы

Генерация DAN

DAN создаётся платёжной системой или эмитентом карты в момент привязки карты к мобильному кошелёк. Процесс включает несколько этапов:

  1. Инициализация: пользователь вводит данные карты (PAN, срок действия, CVV) в приложение мобильного кошелька.
  2. Запрос токенизации: приложение отправляет данные в платёжную систему (например, Visa Token Service или Mastercard Digital Enablement Service).
  3. Генерация токена: платёжная система создаёт случайный 16-значный номер (DAN), который не совпадает с PAN и не подчиняется алгоритму Луна (контрольная сумма может отличаться). Этот номер привязывается к идентификатору устройства (Device ID) и эмитенту.
  4. Хранение: DAN сохраняется в защищённом элементе (Secure Element) устройства или в облаке (Apple Pay использует Secure Enclave, Google Pay — Trusted Execution Environment). Реальный PAN при этом не хранится на устройстве.

Использование при транзакции

При оплате в магазине или онлайн:

  1. Устройство передаёт DAN вместе с динамическим криптографическим кодом (cryptogram), который генерируется на основе DAN, суммы транзакции и одноразового номера (nonce).
  2. Платёжный терминал или интернет-магазин отправляет DAN и криптограмму в платёжную систему.
  3. Платёжная система сверяет DAN с базой данных токенов, находит связанный с ним PAN и проверяет криптограмму.
  4. Если проверка успешна, транзакция авторизуется эмитентом, и средства списываются с реального счёта.

Важно: DAN не является номером банковского счёта в традиционном смысле — это именно токен, который не может быть использован для прямого снятия денег или перевода без дополнительной аутентификации.

Виды и классификация

DAN можно классифицировать по нескольким признакам:

По способу хранения

По сроку действия

По области применения

Преимущества и недостатки

Преимущества

Недостатки

Применение в России

В России технология DAN активно использовалась с 2015 по 2022 год. Основные платёжные системы (Visa, Mastercard, «Мир») поддерживали токенизацию для Apple Pay, Google Pay и Samsung Pay. После введения санкций и ухода Visa и Mastercard из России в марте 2022 года, мобильные кошельки Apple Pay и Google Pay перестали работать с картами российских банков. Национальная платёжная система «Мир» разработала собственную систему токенизации — Mir Pay, которая использует аналогичные принципы, но с привязкой к российской инфраструктуре. В Mir Pay DAN генерируется на стороне НСПК (Национальной системы платёжных карт) и хранится на устройстве в защищённом элементе. С 2023 года Mir Pay поддерживается на устройствах Android, но не работает на iPhone из-за ограничений Apple. Также существуют альтернативы, такие как SberPay и Tinkoff Pay, использующие собственные токены, но они не являются полноценными аналогами DAN международных систем.

Критика и риски

Основные критические замечания в адрес DAN связаны с централизацией контроля: платёжные системы (Visa, Mastercard) и производители устройств (Apple, Google) получают возможность отслеживать транзакции и блокировать доступ к DAN по своему усмотрению. Например, после введения санкций Apple отключила Apple Pay для российских карт, что сделало невозможным использование DAN на устройствах Apple. Также существуют риски, связанные с уязвимостями в реализации токенизации: в 2019 году исследователи обнаружили, что некоторые реализации Google Pay позволяли извлекать DAN из памяти устройства при определённых условиях, хотя эти уязвимости были быстро устранены. Кроме того, DAN не защищает от мошенничества в случае кражи самого устройства — злоумышленник может использовать его для оплаты, если не установлена блокировка экрана или биометрическая аутентификация.

Интересные факты

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →