“Token hóa” (tokenization) trong không gian thẻ tài chính không phải là khái niệm mới. Công nghệ này lần đầu tiên được ứng dụng cho thanh toán điện tử hồi cuối những năm 1990. Tuy nhiên, các xu hướng trong lĩnh vực thương mại điện tử và quyền riêng tư dữ liệu, cùng với sự phát triển không ngừng của các phương pháp và công nghệ đột nhập mạng máy tính, đang dịch chuyển tokenization sang ngành bán lẻ và ngân hàng. Ngoài ra, EMVCo - cơ quan kỹ thuật toàn cầu chuyên trách thúc đẩy khả năng tương tác trên toàn thế giới giữa các giao dịch thanh toán an toàn thông qua con đường phát triển và công bố các tiêu chuẩn EMV - đã ứng dụng mạnh mẽ tokenization trong vài năm qua vì công nghệ này “hạn chế rủi ro tiềm tàng từ chính sách thỏa hiệp dữ liệu thanh toán” và “thúc đẩy phát triển công nghệ thanh toán mới cũng như những tình huống mà tại đó, mức độ rủi ro khi sử dụng số PAN được đánh giá là quá cao”.

Vì vậy, mặc dù tokenization không phải là một công nghệ mới, nhưng các chiến lược mới phức tạp nhằm cải thiện khả năng ngăn chặn gian lận, làm phong phú thêm trải nghiệm người dùng và hợp lý hóa quy trình tuân thủ hiện ngày càng phát triển, dẫn đến nhu cầu đối với các dịch vụ và công nghệ tokenization dựa trên đám mây tăng cao. Trên thực tế, thị trường này có giá trị 3,4 tỷ USD trong năm 2021 và được dự báo sẽ lên đến 8,6 tỷ USD trên toàn thế giới vào năm 2027 với tốc độ tăng trưởng kép hàng năm (CAGR) đạt hơn 21%.

Thúc đẩy tăng trưởng toàn cầu trong lĩnh vực thương mại điện tử

Trước đại dịch COVID-19, thương mại điện tử toàn cầu chiếm 15% tổng doanh số bán lẻ. Tuy vậy, những hạn chế đối với hoạt động mua sắm tại cửa hàng trong thời kỳ dịch bệnh đã thúc đẩy nhiều người tiêu dùng (NTD) mua sắm trực tuyến và di động hơn. Ngày nay, thương mại điện tử chiếm hơn 22% doanh số bán lẻ trên toàn thế giới. Các tổ chức tài chính hàng đầu, chẳng hạn như Morgan Stanley, dự báo con số 3.300 tỷ USD doanh thu thương mại điện tử toàn cầu có thể dễ dàng lên tới 5.400 tỷ USD vào cuối năm 2026.

Hầu hết mọi giao dịch thẻ diễn ra trong hệ sinh thái thanh toán đều được kích hoạt bởi các yếu tố số hóa tương tự nhau: số tài khoản chính (PAN), ngày hết hạn và mã bảo mật CVV2. Tất nhiên, đó là những mục tiêu mà giới tội phạm mạng hướng đến, bởi các đối tượng này có thể kiếm được nhiều tiền hơn và thu hút được đội ngũ lập trình viên lớn hơn so với các tổ chức đang cố gắng chống lại chúng. Số vụ tấn công nhiều đến mức mà các nhà bán lẻ cùng những đơn vị bán sản phẩm và dịch vụ trực tuyến phải xem xét cẩn thận mọi giao dịch. Ngay cả khi số PAN và mã CVV2 được mã hóa, chúng vẫn dễ bị tổn thương.

Đây là một trong những thực tế thúc đẩy xu thế tăng trưởng và đổi mới trong công nghệ tokenization. Nhờ cách thay thế số PAN của chủ thẻ bằng mã định danh duy nhất sử dụng một lần, thông tin sẽ trở nên vô dụng đối với tin tặc. Các nhà bán lẻ, hoặc các nhà cung cấp dịch vụ và sản phẩm trực tuyến khác, giữ lại một token đại diện cho dữ liệu nhạy cảm. Mỗi khi khởi tạo giao dịch, token đại diện đó được sử dụng để xác minh tài khoản. Ngay cả trong trường hợp thay thế thẻ bị mất hoặc hết hạn, hầu hết các tổ chức phát hành đều sử dụng hệ thống quản lý vòng đời tự động cập nhật token khi phát hành thẻ mới.

Tất cả những yếu tố trên góp phần tạo ra trải nghiệm thanh toán được cá nhân hóa cao bằng cách tạo điều kiện để NTD lưu các tùy chọn thanh toán cho những giao dịch trong tương lai. Ngoài ra, điều quan trọng cần lưu ý là mỗi đơn vị chấp nhận thanh toán (ĐVCNTT) sẽ sử dụng một token khác nhau khi lưu trữ thông tin thẻ tín dụng của NTD. Vì vậy, không có nguy cơ rò rỉ thông tin trên diện rộng khiến NTD phải hủy thẻ.

Nguyên tắc tương tự cũng được áp dụng cho ví di động. Khi dữ liệu thẻ tín dụng được lưu trong ví di động, số PAN được thay thế bằng token chia sẻ với ngân hàng phát hành. Nếu điện thoại bị mất hoặc bị đánh cắp, sẽ không có bất kỳ dữ liệu thanh toán nào được lưu trữ trên thiết bị và token đã lưu trữ sẽ vô dụng đối với mọi người dùng trái phép. Như vậy, thông tin thẻ không gặp phải nguy hiểm nếu điện thoại thông minh bị mất hoặc bị đánh cắp, vì dữ liệu thanh toán thực tế không được lưu trữ trên thiết bị này. Những đặc tính đó cũng mang lại cho NTD khả năng quản lý thẻ số hóa trên cơ sở từng ĐVCNTT hoặc trên từng thiết bị.

Tokenization cũng phổ biến với các nhà bán lẻ, chẳng hạn như Amazon hoặc Best Buy - những đơn vị muốn tạo ra trải nghiệm người dùng đặc biệt bên trong ứng dụng. Năm nay, nhiều chuyên gia dự đoán không dưới 10% tổng doanh số bán lẻ sẽ được thực hiện thông qua các ứng dụng di động. Vì vậy, ứng dụng của các thương hiệu cần phải đảm bảo cả tính bảo mật và mang đến trải nghiệm người dùng độc đáo.

Khác biệt giữa tokenization và mã hóa

Câu hỏi này thường được nhắc đến một cách thường xuyên và chúng ta cần lưu ý một số điểm khác biệt rõ ràng. Mã hóa bảo vệ dữ liệu thông qua biện pháp sử dụng mật mã toán học. Biện pháp này khiến cho dữ liệu trở nên không thể hiểu được đối với những người không có quyền truy cập các khóa được quản lý an toàn. Tất cả các yếu tố dữ liệu, chẳng hạn như thông tin thẻ tài chính và chi tiết giao dịch, đều được truyền đi. Nếu tin tặc chặn thành công hoạt động truyền mã hóa, chúng sẽ thu được dữ liệu. Nhưng tin tặc chỉ có thể đọc được dữ liệu đó nếu đánh cắp đúng khóa. (trong tương lai, chúng cũng có thể sử dụng máy tính lượng tử để bẻ khóa).

Tokenization không làm xáo trộn dữ liệu mà loại bỏ hoàn toàn dữ liệu ra khỏi tương tác. Tokenization thay thế dữ liệu nhạy cảm bằng token đại diện cho dữ liệu thẻ tài chính. Nếu token bị đánh cắp, token đó sẽ vô giá trị đối với tin tặc. Dữ liệu thực được lưu trữ trong một kho số hóa và chỉ có thể truy xuất được khi xuất trình đúng token. Cơ chế này khiến cho những âm mưu tấn công thông thường, chẳng hạn như tấn công trung gian, trở nên không hiệu quả. Trong trường hợp thanh toán di động hoặc trực tuyến, cơ chế này giúp bảo vệ thông tin tài chính của NTD và đơn giản hóa đáng kể quy trình tuân thủ PCI DSS./.

(Entrust)