A Quadrac oferece uma plataforma SaaS que realiza autenticação e processamento de pagamentos de forma segura e econômica. Como diferencial, a tokenização de dados é feita com o CipherTrust Tokenization da Thales, em conjunto com o HSM payShield, assegurando a proteção de dados nos serviços MaaS.
Desde 2018, a Mobilidade como Serviço (MaaS) consolida-se no Japão, com a introdução de pagamentos sem contato. Usuários apenas aproximam o cartão em um terminal, sem necessidade de assinatura ou número PIN, o que facilita a compra de passagens e o embarque.
Empresas como Kyoto Tango Railway, Keifuku Bus e Hokuto Kotsu oferecem essa modalidade, enquanto Nankai Electric Railway e Fukuoka City Transportation Bureau realizaram testes. Esses testes incluíam bilhetes com pagamentos sem contato Visa e um aplicativo MaaS em smartphones, utilizando a plataforma Q-move MaaS da QUADRAC Co., Ltd. para autenticação e processamento dos pagamentos.
Desde fevereiro de 2020, a Q-move se destaca como solução segura e econômica, usando o HSM payShield e o CipherTrust Tokenization para tokenização de dados.
A equipe da Thales no Japão forneceu amplo suporte à Quadrac, incluindo treinamento e participação na primeira auditoria, facilitando a gestão de chaves de sistema com DUKPT e conformidade com PCI DSS.
“Ao agregar as funções comuns para pagamento de tarifas de transporte na nuvem, conseguimos iniciar o Q-move com um custo inicial muito mais baixo do que os sistemas de cobrança de tarifas existentes que utilizam cartões IC (Circuito Integrado) ou outros meios. Estamos confiantes de que ele desempenhará um papel fundamental no fornecimento de MaaS de forma integrada em diversas instituições de transporte.”
(Hirotaka Ito, Gerente de Infraestrutura de Nuvem, QUADRAC Co., Ltd.)
Confira com mais detalhes o case de sucesso da Thales e Quadrac.
Desafios
- Criar um serviço de nuvem altamente seguro e de baixo custo de infraestrutura para um sistema de pagamento de transporte utilizando a função de pagamento sem contato de um cartão de crédito.
- Usar DUKPT com segurança para comunicação criptográfica entre um terminal leitor dedicado e o centro de pagamento e autenticação. Sendo que um HSM (Hardware Security Module) é necessário para armazenar a chave do sistema com segurança.
- Para garantir a segurança das transações e conformidade com os requisitos de segurança, o centro de pagamento e autenticação precisava obter a Certificação PCI DSS.
- Reduzir o escopo das auditorias PCI DSS e a carga operacional implementando a tokenização de dados brutos.
- Ter a certificação PCI DSS e minimizar custos potenciais no desenvolvimento de sistemas, gerenciamento de operações e mão de obra. Com o objetivo de se preparar totalmente para as auditorias anuais.
Soluções
HSM payShield da Thales
A Quadrac comparou HSMs de diferentes empresas e selecionou o HSM payShield da Thales para gerenciar a chave do sistema DUKPT devido a:
- Histórico comprovado de casos de uso no Japão;
- Fornece as funções necessárias de maneira econômica;
- Capacidade de começar pequeno e depois atualizar o desempenho;
CipherTrust Tokenization
O foco principal era salvar os dados brutos descriptografados no centro após ser recebido via DUKPT. No entanto, no momento de criptografar novamente e salvar esses dados, havia um aumento da carga operacional para gerenciar as chaves criptográficas.
Para resolver esses problemas, a Quadrac decidiu tokenizar os dados. A tokenização é um método altamente seguro de proteção de dados e contribui para uma redução tanto no escopo de escrutínio do PCI DSS quanto na carga operacional.
Confira as vantagens do CipherTrust Tokenization:
- Histórico comprovado de realizações e eficiência de custo.
- Fácil de implementar, necessitando de recursos mínimos, como CPU e memória.
- Flexível o suficiente para suportar ambas as arquiteturas: com e sem cofre. Para o Q-move, a arquitetura sem cofre foi selecionada para simplificar a auditoria do PCI DSS e reduzir o investimento inicial.
- Saiba mais: Entenda como funciona a arquitetura sem e com cofre para tokenização de dados.
Tokenizar Dados: Os Resultados
- A Q-move suporta DUKPT e obteve a certificação PCI DSS. Tem uma infraestrutura de sistema altamente segura que permite aos usuários utilizarem de forma confiável a função de pagamento por aproximação de um cartão de crédito.
- Os dados do cartão de crédito são tokenizados antes de serem armazenados, o que reduz o escopo da auditoria do PCI DSS. Isso também reduz o investimento inicial e os custos operacionais futuros.
- A Q-move reduz custos e permite uma operação de alta segurança, o que facilita a introdução do sistema pelas empresas ferroviárias. Muitos casos de uso prático e testes de demonstração estão em andamento.
Guia de Termos
MaaS (Mobility as a Service): Plataforma que integra diversos meios de transporte em um único serviço digital, facilitando o planejamento de viagens e o pagamento por transporte público, bicicletas, carros compartilhados e outros.
DUKPT (Derived Unique Key Per Transaction): Método de criptografia que gera uma chave única para cada transação, aumentando a segurança dos dados e reduzindo o risco de fraudes durante as transações eletrônicas.
Certificação PCI DSS (Payment Card Industry Data Security Standard): Conjunto de padrões de segurança que todas as empresas que processam, armazenam ou transmitem informações de cartões de crédito devem seguir para proteger os dados do cliente e prevenir fraudes.
Assim como a Quadrac, a tokenização de dados pode ser a solução que você procura para a segurança de dados.
Assista ao nosso webinar e conheça, com a ajuda de especialistas, como essa abordagem pode ser uma solução promissora para sua empresa tanto a curto quanto a longo prazo. Sua empresa pode ser o nosso próximo case de sucesso.
