Device Account Number
Device Account Number (сокр. DAN, с англ. — «номер счёта устройства») — это уникальный цифровой идентификатор, используемый в платёжных системах для проведения транзакций без раскрытия реальных банковских реквизитов владельца карты. DAN представляет собой токен — зашифрованную замену первичного номера счёта (PAN), который хранится на устройстве (смартфоне, планшете, смарт-часах) и используется при оплате через мобильные кошельки (Apple Pay, Google Pay, Samsung Pay) или другие бесконтактные платёжные решения. Основная функция DAN — обеспечение безопасности: даже при перехвате данных злоумышленник получает не реальный номер карты, а временный или ограниченный токен, который невозможно использовать для других транзакций.
История появления
Развитие бесконтактных платежей и мобильных кошельков в начале 2010-х годов потребовало новых методов защиты данных. Традиционные платёжные карты с магнитной полосой или чипом использовали статичный PAN, который при компрометации позволял злоумышленникам совершать покупки в интернете или создавать клоны карт. В 2014 году, с запуском Apple Pay, компания Apple совместно с платёжными системами (Visa, Mastercard, American Express) внедрила технологию токенизации. Вместо передачи PAN при каждой транзакции устройство генерировало уникальный DAN, который связывался с конкретным устройством и конкретным эмитентом карты. Позднее аналогичные механизмы были реализованы в Google Pay (2015) и Samsung Pay (2015). К 2020 году токенизация стала стандартом для всех крупных мобильных платёжных систем, а DAN — обязательным элементом инфраструктуры бесконтактных платежей.
Устройство и принцип работы
Генерация DAN
DAN создаётся платёжной системой или эмитентом карты в момент привязки карты к мобильному кошелёк. Процесс включает несколько этапов:
- Инициализация: пользователь вводит данные карты (PAN, срок действия, CVV) в приложение мобильного кошелька.
- Запрос токенизации: приложение отправляет данные в платёжную систему (например, Visa Token Service или Mastercard Digital Enablement Service).
- Генерация токена: платёжная система создаёт случайный 16-значный номер (DAN), который не совпадает с PAN и не подчиняется алгоритму Луна (контрольная сумма может отличаться). Этот номер привязывается к идентификатору устройства (Device ID) и эмитенту.
- Хранение: DAN сохраняется в защищённом элементе (Secure Element) устройства или в облаке (Apple Pay использует Secure Enclave, Google Pay — Trusted Execution Environment). Реальный PAN при этом не хранится на устройстве.
Использование при транзакции
При оплате в магазине или онлайн:
- Устройство передаёт DAN вместе с динамическим криптографическим кодом (cryptogram), который генерируется на основе DAN, суммы транзакции и одноразового номера (nonce).
- Платёжный терминал или интернет-магазин отправляет DAN и криптограмму в платёжную систему.
- Платёжная система сверяет DAN с базой данных токенов, находит связанный с ним PAN и проверяет криптограмму.
- Если проверка успешна, транзакция авторизуется эмитентом, и средства списываются с реального счёта.
Важно: DAN не является номером банковского счёта в традиционном смысле — это именно токен, который не может быть использован для прямого снятия денег или перевода без дополнительной аутентификации.
Виды и классификация
DAN можно классифицировать по нескольким признакам:
По способу хранения
- Аппаратный (Hardware-based): хранится в защищённом элементе (Secure Element) — отдельном чипе на устройстве (например, в iPhone или Samsung Galaxy). Обеспечивает максимальную защиту от извлечения данных.
- Программный (Software-based): хранится в облаке или в зашифрованном виде в оперативной памяти устройства. Используется в Google Pay на устройствах без Secure Element (например, некоторые модели Android).
По сроку действия
- Постоянный (Static): привязан к устройству и карте на весь период использования. Не меняется между транзакциями.
- Динамический (Dynamic): генерируется заново для каждой транзакции или сессии. Используется в некоторых платёжных системах для повышения безопасности (например, в Apple Pay криптограмма меняется, но сам DAN остаётся статическим для одного устройства).
По области применения
- Для NFC-платежей: используется в бесконтактных терминалах.
- Для онлайн-платежей: применяется в интернет-магазинах через мобильные кошельки (например, оплата через Apple Pay на сайте).
- Для внутриприложенных покупок: используется в мобильных приложениях (например, оплата подписки через Google Play).
Преимущества и недостатки
Преимущества
- Безопасность: DAN не раскрывает реальный номер карты, что защищает от кражи данных при утечке информации с терминалов или сайтов.
- Ограниченность использования: DAN привязан к конкретному устройству и платёжной системе. Его невозможно использовать на другом устройстве или в другой системе без повторной авторизации.
- Удобство: пользователь не вводит данные карты при каждой покупке — достаточно приложить устройство к терминалу.
- Соответствие стандартам: токенизация соответствует требованиям PCI DSS (Payment Card Industry Data Security Standard) для обработки платёжных данных.
Недостатки
- Зависимость от устройства: при потере или поломке устройства доступ к DAN может быть утерян, и потребуется повторная привязка карты.
- Ограниченная совместимость: не все платёжные системы и эмитенты поддерживают токенизацию. В России, например, после ухода международных платёжных систем (Visa, Mastercard) в 2022 году, использование Apple Pay и Google Pay с картами российских банков стало невозможным, так как токенизация требовала взаимодействия с зарубежными серверами.
- Конфиденциальность: платёжные системы и производители устройств (Apple, Google) получают информацию о транзакциях, что может вызывать опасения по поводу сбора данных.
Применение в России
В России технология DAN активно использовалась с 2015 по 2022 год. Основные платёжные системы (Visa, Mastercard, «Мир») поддерживали токенизацию для Apple Pay, Google Pay и Samsung Pay. После введения санкций и ухода Visa и Mastercard из России в марте 2022 года, мобильные кошельки Apple Pay и Google Pay перестали работать с картами российских банков. Национальная платёжная система «Мир» разработала собственную систему токенизации — Mir Pay, которая использует аналогичные принципы, но с привязкой к российской инфраструктуре. В Mir Pay DAN генерируется на стороне НСПК (Национальной системы платёжных карт) и хранится на устройстве в защищённом элементе. С 2023 года Mir Pay поддерживается на устройствах Android, но не работает на iPhone из-за ограничений Apple. Также существуют альтернативы, такие как SberPay и Tinkoff Pay, использующие собственные токены, но они не являются полноценными аналогами DAN международных систем.
Критика и риски
Основные критические замечания в адрес DAN связаны с централизацией контроля: платёжные системы (Visa, Mastercard) и производители устройств (Apple, Google) получают возможность отслеживать транзакции и блокировать доступ к DAN по своему усмотрению. Например, после введения санкций Apple отключила Apple Pay для российских карт, что сделало невозможным использование DAN на устройствах Apple. Также существуют риски, связанные с уязвимостями в реализации токенизации: в 2019 году исследователи обнаружили, что некоторые реализации Google Pay позволяли извлекать DAN из памяти устройства при определённых условиях, хотя эти уязвимости были быстро устранены. Кроме того, DAN не защищает от мошенничества в случае кражи самого устройства — злоумышленник может использовать его для оплаты, если не установлена блокировка экрана или биометрическая аутентификация.
Интересные факты
- Первое массовое внедрение DAN произошло в 2014 году с запуском Apple Pay в США.
- В 2016 году Mastercard заявила, что токенизация снизила уровень мошенничества при бесконтактных платежах на 40% по сравнению с традиционными картами.
- В 2021 году объём транзакций с использованием DAN превысил 1 триллион долларов США по всему миру.
- В России до 2022 года около 70% всех бесконтактных платежей через мобильные кошельки использовали технологию DAN.
Источники
- «Tokenization: The Next Generation of Payment Security» — Visa Inc., 2015.
- «Digital Enablement Service: Technical Overview» — Mastercard, 2016.
- «Apple Pay Security and Privacy Overview» — Apple Inc., 2014.
- «Google Pay: Tokenization and Security» — Google LLC, 2015.
- «Технологии токенизации в платёжных системах» — НСПК, 2022.
- «Payment Card Industry Data Security Standard (PCI DSS)» — PCI Security Standards Council, 2018.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →