PayPass

PayPass – technologia dodawana do kart zbliżeniowych wydawanych przez organizację MasterCard. Karty MasterCard PayPass i Maestro PayPass umożliwiają dokonywanie transakcji bezstykowych w punktach handlowo-usługowych wyposażonych w specjalny terminal, który za pośrednictwem łącza radiowego odczytuje dane zapisane na mikroprocesorze zatopionym w karcie lub innym urządzeniu (zegarku, breloku, naklejce). Przy zakupach, których wartość nie przekracza 100 złotych (w Polsce nowy limit obowiązuje od marca 2020, wcześniej było to 50 złotych^[1]) i 15 dolarów (w USA), transakcja nie wymaga potwierdzenia PIN-em ani podpisem. W przypadku gdy wartość zakupów jest większa, transakcja nadal przebiega zbliżeniowo, ale użytkownik karty musi ją potwierdzić w sposób standardowy, wpisując PIN.

Logotyp systemu MasterCard Paypass (2017)

MasterCard PayPass to funkcja, która może być dołączona zarówno do kart kredytowych, debetowych, jak i przedpłaconych. Z karty można korzystać w dwojaki sposób: w punktach akceptujących płatności bezstykowe – płacąc zbliżeniowo, a we wszystkich pozostałych punktach akceptujących karty systemu MasterCard – w sposób tradycyjny, jak każdą inną kartą płatniczą.

Historia

Terminal POS obsługujący system Mastercard Paypass (2013)

W 2005 rozpoczęto wydawanie kart z technologią MasterCard PayPass na dużą skalę na wybranych rynkach. Według danych MasterCard na koniec trzeciego kwartału 2010 w użyciu były 83 miliony kart i urządzeń PayPass akceptowanych w ponad 265 tys. punktów sprzedaży na świecie.

Obecnie^[kiedy?] trwa wiele procesów wdrożeniowych i pilotażowych w 36 krajach, w tym Australii, Brazylii, Kanadzie, Chinach, Czechach, Francji, Węgrzech, Niemczech, Indonezji, Polsce, Włoszech, Japonii, Korei, Libanie, Tajwanie, Tajlandii, Turcji, Zjednoczonych Emiratach Arabskich, Indiach, Wielkiej Brytanii i Stanach Zjednoczonych Ameryki Północnej.

PayPass w Polsce

W grudniu 2007 w Polsce dokonano pierwszej płatności kartą zbliżeniową wyposażoną w technologię MasterCard PayPass. Kartę tę wydał bank BZ WBK, a Polska była pierwszym krajem w Europie Centralnej, w którym wdrożono tę technologię^[2].

Bezpieczeństwo

Układ scalony PayPass RFID z karty MasterCard.

Karta MasterCard wydana przez Commonwealth Bank of Australia. Użyty półprzezroczysty plastik pozwala zobaczyć antenę oraz układ scalony modułu RFID znajdujące się wewnątrz karty.

Z racji wykorzystania chipu RFID częściowe klonowanie zbliżeniowej karty kredytowej jest możliwe, nawet zdalnie z pewnej odległości (np. w tłumie). Odległość ta to co najmniej 4 cm^[3]. Technologia PayPass uniemożliwia bezpośrednie sklonowanie zawartości chipa RFID, w tym kluczy szyfrujących. Można natomiast odczytać numer karty MasterCard i jej datę ważności, co jest zwykle niewystarczające do przeprowadzenia transakcji internetowej, do zatwierdzenia której wymagany jest jeszcze kod CVC2 wydrukowany na rewersie karty. Dla każdej transakcji bezstykowej, na podstawie tajnych kluczy szyfrujących i danych karty, chip generuje jednorazowy kod CVC, który stanowi potwierdzenie operacji dokonania płatności. Jeśli osoba nieuprawniona zdoła odczytać ten kod przed jego wykorzystaniem, umożliwi jej to przygotowanie jednorazowego klonu karty kredytowej, np. w postaci karty z paskiem magnetycznym. Należy przy tym zauważyć, że gdy przed dokonaniem transakcji przez klon karty, zostanie dokonana transakcja przez kartę oryginalną, to nowo wygenerowany kod CVC uniemożliwi już skorzystanie z klonu. Jeśli klon karty jako pierwszy wykorzysta kod CVC, taka transakcja zostanie zaakceptowana, jednak kolejna próba dokonana z użyciem oryginalnej lub sklonowanej karty spowoduje trwałą blokadę dalszych transakcji dla kart o tym numerze. Biorąc pod uwagę dość niskie limity transakcji zbliżeniowych, klonowanie karty dla jednokrotnego wykorzystania przez osobę nieuprawnioną zdaje się być mało opłacalne.

Bezpośrednie dokonywanie wielu transakcji z użyciem terminala mobilnego w dużym skupisku ludzi jest utrudnione ze względu na możliwość wzbudzenia systemu antyfraudowego czuwającego nad transakcjami w centrum autoryzacyjno-rozliczeniowym, który powinien zareagować szybciej, niż osoba nieuprawniona otrzyma tak uzyskane pieniądze.

Sposobem na całkowite zabezpieczenie się przed możliwością odczytu przez osoby niepowołane danych zwracanych przez chip, jest możliwość wyłączenia funkcjonalności zbliżeniowej na posiadanej karcie, która została zaoferowana przez banki dzięki wejściu w życie 1 kwietnia 2014 r. Rekomendacji Rady ds. Systemu Płatniczego w zakresie bezpieczeństwa kart zbliżeniowych z dnia 30.09.2013 r.^[4], zgodnie z którą klient ma mieć zapewnioną możliwość wyboru w zakresie włączenia lub wyłączenia funkcji zbliżeniowej na swojej karcie. Popularne do tej pory były także sposoby w postaci noszenia albo ekranującego w pełni portfela (teoretycznie powinno wystarczyć także zwykłe owinięcie karty folią aluminiową), albo usunięcie/zniszczenie chipa RFID lub przecięcie anteny na karcie^[5] (i jednocześnie skasowanie możliwości skorzystania z tej technologii)^[6].

Przypisy

1. Płatności zbliżeniowe: PayPass i Visa payWave - podstawowe informacje, limity, bezpieczeństwo [online] [dostęp 2020-09-04].
2. WojciechW. Boczoń WojciechW., Karty zbliżeniowe mają już 10 lat. Od nowinki technologicznej do codziennego standardu [online], PRNews.pl, 12 grudnia 2017 [dostęp 2023-02-24] (pol.).
3. Privatkunden - Credit Suisse [online], www.credit-suisse.com [dostęp 2017-11-15] (niem.).
4. http://nbp.pl/systemplatniczy/rada/20130930_rsp_rekomendacje.pdf
5. Jak unieszkodliwić technologię zbliżeniową PayPass lub payWave na karcie płatniczej – przecięcie anteny | Blog [online], blog.blaut.biz [dostęp 2017-11-15] (pol.).
6. » Ataki na zbliżeniowe karty kredytowe (RFID) - Niebezpiecznik.pl

Zobacz też

• Visa payWave

Linki zewnętrzne

• Oficjalna polska strona MasterCard PayPass