Qu'est-ce que la tokenisation ?
La tokenisation est une technologie de sécurité utilisée dans le domaine du paiement numérique. Elle consiste à remplacer le PAN (Primary Account Number), c’est-à-dire le numéro de la carte détenue par l’utilisateur, par une donnée non sensible appelée jeton numérique ou token.
Le token un identifiant digital unique qui se substitue au PAN dans le système de paiement. Il est directement lié aux données d’origine, permettant l’autorisation des transactions sans exposer les données sensibles de la carte de l’utilisateur.
Cette méthode est notamment soutenue et promue par l’organisme mondial de standardisation EMVCo pour renforcer la sécurité sous-jacente des paiements numériques et réduire le risque d'utilisation non autorisée ou frauduleuse des numéros de carte primaires (PAN).
Un exemple concret :
Lorsqu’un utilisateur souhaite ajouter sa carte de paiement à une application mobile, de type « Wallet » (par exemple Apple Wallet), il commence par saisir son PAN, son code de sécurité, et d'autres informations de la carte physique.
Ensuite, le gestionnaire de l’application Wallet lance le processus de tokenisation auprès d’un acteur désigné par le terme Token Service Provider (TSP). Ce rôle de TSP est joué par les réseaux de paiement tels que Visa, Mastercard, Cartes Bancaires, etc.
Un token unique est par la suite généré et renvoyé à l’application Wallet, qui peut alors effectuer ses futurs paiements en magasin (paiements sans contact en l’occurrence), sans jamais exposer son PAN.
Organisation de l’écosystème de la tokenisation à un niveau global
Le Token Service Provider (TSP) est défini et occupe une place centrale dans le dispositif de tokenisation, comme le montre le schéma ci-dessous.Ensuite, un Token Requestor (TR) qui souhaite digitaliser une carte de paiement pour un cas d’usage précis doit s’adresser à un TSP pour ce faire.
Prenons deux exemples :
- Le TR est une banque de détail qui souhaite proposer un service de paiement mobile de proximité au sein de son application. Lorsqu’un client de cette banque souhaite activer ce service, la banque doit adresser une demande de tokenisation de la carte de paiement détenue par le client auprès d’un TSP pour ensuite provisionner le token au sein de l’application de la banque.
- Le TR est un e-commerçant qui souhaite proposer à ses clients d’enregistrer sa carte de paiement afin de pouvoir la réutiliser dans ses prochains achats sur le site (service de type Card-On-File). Lorsqu’un client souhaite enregistrer sa carte de paiement auprès du e-commerçant, celui-ci doit adresser une demande de tokenisation de la carte de paiement détenue par le client auprès d’un TSP pour ensuite enregistrer le token au sein de sa base de données.
Le TSP tient un rôle central notamment pour les raisons suivantes :
- Il est responsable de la base de données dite Token Vault qui enregistre la correspondance entre les cartes de paiement et les tokens associés.
- Lorsqu’une transaction de paiement utilisant le token est déclenchée, le TSP intervient dans la boucle d’autorisation, en amont de l’émetteur de carte, afin de valider certaines données de sécurité (des cryptogrammes créés à partir de clés provisionnées par le TSP au sein du profil de token) avant de transmettre la demande d’autorisation « détokenisée » à l’émetteur de la carte.
Ainsi, on voit que le TSP joue un rôle important à la fois en détenant des données sensibles (correspondance carte – token) et en intervenant systématiquement dans chaque transaction impliquant les tokens.
Enjeux de souveraineté et de contrôle par les émetteurs et les réseaux de paiement nationaux
En théorie, le rôle de TSP peut être joué par différents types d’acteurs de l’écosystème des paiements par carte (réseaux de paiement, prestataires de service de paiement etc). Dans la pratique, ce sont les grands réseaux de paiement qui se sont positionnés pour occuper ce rôle. En premier lieu, les réseaux internationaux de paiement, tels que Visa et Mastercard, ont construit des services de tokenisation au cœur de leur infrastructure. Etant donné leur empreinte globale, ces acteurs ont mis en place un large panel de services à même d’aider les TR (banques émettrices, marchands…) à déployer leurs services de façon simple et « universelle ». Un exemple pour illustrer la proposition de valeur de ces TSPs globaux : les Wallets de paiement mobile globaux (G-Pay, Apple Pay, Samsung Pay etc.) sont connectés aux TSPs des réseaux internationaux en tant que TR. Ainsi, les émetteurs membres de ces réseaux, utilisant déjà leurs services pour émettre des cartes physiques, peuvent faire appel à leurs services de TSP afin de bénéficier directement de la digitalisation de leurs cartes dans ces Wallets.
Face à ces offres globales des réseaux internationaux, les acteurs domestiques s’organisent afin de construire des TSPs locaux accessibles aux émetteurs du pays concerné. Ces démarches sont notamment observées dans des pays ayant un fort historique du paiement carte avec un réseau interbancaire et un schéma de paiement domestique bien implantés, c’est par exemple le cas de la France. On observe également des projets de « Hub de tokenisation domestique » dans des pays où les systèmes de paiement par carte sont plus récents, tels que l’Arabie Saoudite, et où la décision d’avoir un TSP local semble davantage liée à des questions de souveraineté et de maîtrise des données sensibles sur le territoire national.
Devant cette offre et la multiplicité des choix, les TR devront adopter des solutions leur permettant de garder un bon niveau de maîtrise de la proposition de valeur offerte à leurs clients. Cette question semble particulièrement critique pour les banques émettrices. En effet, la maîtrise des données du porteur de carte fait partie, traditionnellement, des priorités des émetteurs. De même, la dépendance envers des acteurs tiers dans la boucle d’autorisation des paiements représente un sujet sensible.
Pour un émetteur, la question de la sélection du ou des TSPs à utiliser pour tel ou tel service relève d’un choix stratégique et pas simplement d’une combinaison de critères techniques et financiers. C’est ce que nous appelons la « stratégie de « sourcing » des tokens ». Pour illustrer cela, prenons de nouveau un exemple, celui d’une banque émettrice qui opère dans un pays où il existe un schéma de paiement national et qui utilise également un réseau de paiement international, par exemple Visa ou Mastercard ; cette banque émet des cartes dites « co-badgées », c’est-à-dire permettant d’utiliser le réseau de paiement domestique lorsque le client paie dans le pays concerné et le réseau de paiement international pour des paiements à l’étranger. Lorsqu’il s’agit de réaliser la digitalisation de cette carte pour proposer un service de paiement mobile, cette banque émettrice aura à définir une stratégie de tokenisation. Elle pourrait par exemple décider de reproduire la notion de « co-badging » dans le monde digital et dans ce cas, elle devra sourcer un token auprès du TSP proposé par le schéma national et un autre token auprès du TSP du réseau international.
Une nécessaire maîtrise par les utilisateurs de tokens (Token Requestors)
Une nouvelle génération d’offres est apparue permettant aux utilisateurs de tokens d’avoir un accès simplifié à toutes les fonctionnalités liées à la tokenisation :
- Préparation des données nécessaires aux demandes de tokenisation ;
- « Sourcing » des tokens auprès des TSPs du marché en fonction d’une stratégie pré-définie ;
- Dans certains cas, approvisionnement des tokens au sein des applications de paiement ;
- Gestion du cycle de vie des tokens afin de fluidifier et de fiabiliser les différentes actions de type perte ou vol, renouvellement, etc.
Il s’agit de plateforme de type TR, mutualisant les accès aux TSPs, et proposant via des interfaces de programmation (APIs) une intégration simple pour les émetteurs et marchands.
C’est dans ce contexte que notre solution ReadyToTap Payment se positionne. Aujourd’hui, cette solution permet à différents types d’émetteurs – banque de détail, néo-banques, émetteurs de cartes prépayées, etc. – de bénéficier d’un large panel de fonctionnalités offertes par les TSPs majeurs du marché, avec une flexibilité et une simplicité de mise en œuvre.