Tokenisation thẻ là gì?

Card Tokenisation Ngân hàng số & Thanh toán ~6 phút đọc

Tokenisation thẻ là gì?

Tokenisation thẻ (Card Tokenisation) là quá trình thay thế số thẻ thanh toán thực (Primary Account Number - PAN) bằng một mã định danh duy nhất gọi là token, được tạo ra ngẫu nhiên và chỉ có giá trị trong phạm vi một ứng dụng hoặc thiết bị cụ thể. Token là một chuỗi số 16 chữ số có cấu trúc tương tự số thẻ thực nhưng không mang thông tin giá trị gốc và không thể dịch ngược để lấy lại số thẻ ban đầu. Công nghệ này được phát triển nhằm bảo vệ thông tin thẻ thanh toán trong các giao dịch điện tử, giảm thiểu rủi ro lộ thông tin và ngăn chặn gian lận thanh toán.

Tại sao Tokenisation thẻ quan trọng trong ngân hàng?

  • Bảo vệ dữ liệu khách hàng: Số thẻ thực không bao giờ xuất hiện tại điểm bán hàng hay máy chủ thương mại điện tử, giảm đến 90% nguy cơ rò rỉ thông tin thanh toán.
  • Tuân thủ quy định PCI DSS: Chuẩn bảo mật Payment Card Industry Data Security Standard yêu cầu các tổ chức xử lý thanh toán phải bảo vệ dữ liệu chủ thẻ; tokenisation là biện pháp tuân thủ hiệu quả được công nhận.
  • Tăng trải nghiệm người dùng: Khách hàng chỉ cần thêm thẻ một lần, sau đó thanh toán nhanh chóng chỉ bằng một chạm hoặc xác thực sinh trắc học mà không cần nhập lại thông tin.
  • Hạn chế thiệt hại khi bị tấn công: Mỗi token chỉ có giá trị trong phạm vi merchant hoặc thiết bị cụ thể, nên kẻ tấn công dù đánh cắp được token cũng không thể sử dụng ở nơi khác.

Cách hoạt động của Tokenisation thẻ

Quy trình hoạt động theo 5 bước

Bước 1 - Thêm thẻ vào ứng dụng: Khách hàng nhập thông tin thẻ vào ví điện tử hoặc ứng dụng thanh toán (Apple Pay, Google Pay, Samsung Pay).

Bước 2 - Gửi yêu cầu đến TSP: Thông tin thẻ thực được mã hóa và gửi đến Token Service Provider (TSP) - nhà cung cấp dịch vụ token, có thể là tổ chức thanh toán quốc tế (Visa, Mastercard) hoặc ngân hàng được ủy quyền.

Bước 3 - Tạo token: TSP tạo ra token ngẫu nhiên và lưu trữ cặp ánh xạ (mapping) giữa token và PAN thực tại Token Vault - hệ thống lưu trữ bảo mật cao.

Bước 4 - Lưu trữ và sử dụng: Token được gửi về và lưu trong thiết bị/ứng dụng của người dùng. Số thẻ thực được xóa khỏi thiết bị.

Bước 5 - Giao dịch: Khi thanh toán, chỉ token được truyền qua mạng. Merchant và acquirer không bao giờ tiếp cận số thẻ thực.

Đặc điểm kỹ thuật của Token

Đặc điểm Mô tả
Tính duy nhất Mỗi token chỉ tồn tại cho một cặp thiết bị-merchant cụ thể
Không đảo ngược Không thể dịch ngược từ token ra số thẻ gốc
Giới hạn phạm vi Token của Shopee không dùng được tại Lazada
Vô hiệu hóa độc lập Có thể hủy token mà không ảnh hưởng thẻ thực

Ví dụ thực tế

Ví dụ 1: Thanh toán qua ví điện tử

Khách hàng B muốn mua sắm trên sàn thương mại điện tử Shopee. Thay vì nhập số thẻ 9704-0523-xxxx-xxxx mỗi lần giao dịch, khách hàng B thêm thẻ vào ví điện tử MoMo. Ngân hàng A (đối tác TSP) tạo token "4895-0012-xxxx-6789" chỉ có giá trị tại MoMo. Từ nay, mỗi khi thanh toán trên MoMo, hệ thống chỉ truyền token này. Nếu hacker đánh cắp được token, họ không thể sử dụng vì token chỉ hoạt động trong hệ sinh thái MoMo.

Ví dụ 2: Thanh toán không tiếp xúc

Khách hàng C sử dụng thẻ tín dụng của Ngân hàng B và thêm vào Apple Pay. Ngân hàng B (đóng vai trò TSP) tạo ra token số "4532-xxxx-xxxx-9876" lưu trong Secure Element của iPhone. Khi khách hàng C mua cà phê giá 65.000 đồng tại Highlands Coffee và thanh toán bằng Face ID, chỉ token được gửi qua mạng. Số thẻ thực 4532-...-1234 hoàn toàn không xuất hiện tại cửa hàng.

Phân biệt Tokenisation với các thuật ngữ liên quan

Tiêu chí Tokenisation Encryption (Mã hóa) Pseudonymisation
Bản chất Thay thế hoàn toàn dữ liệu thực bằng dữ liệu thay thế Biến đổi dữ liệu thực thành dạng không đọc được Thay thế định danh bằng tên giả
Có thể đảo ngược? Không - không thể lấy lại dữ liệu gốc Có - có thể giải mã với khóa phù hợp Có - có thể khôi phục với thông tin bổ sung
Phạm vi sử dụng Giới hạn trong ứng dụng/thiết bị/merchant cụ thể Áp dụng toàn bộ quá trình truyền dữ liệu Phụ thuộc vào ngữ cảnh sử dụng
Mức độ bảo mật Rất cao - token không có giá trị nội tại Cao - nhưng phụ thuộc vào độ mạnh thuật toán Trung bình - cần biện pháp bổ sung
Ứng dụng phổ biến Ví điện tử, mobile payment, thương mại điện tử Bảo mật truyền dữ liệu, lưu trữ database Quản lý dữ liệu khách hàng nội bộ

Câu hỏi thường gặp trong đề thi

Câu 1: Token trong Card Tokenisation có đặc điểm nào sau đây?

  • A. Có thể dịch ngược để lấy số thẻ gốc
  • B. Chỉ có giá trị trong phạm vi một ứng dụng hoặc thiết bị cụ thể
  • C. Được sử dụng chung cho tất cả các merchant
  • D. Lưu trữ thông tin thẻ thực tại máy chủ thương mại điện tử

Câu 2: Đơn vị nào chịu trách nhiệm tạo và quản lý token trong hệ thống thanh toán?

  • A. Merchant (người bán)
  • B. Acquirer (ngân hàng chấp nhận thanh toán)
  • C. Token Service Provider (TSP)
  • D. Cơ quan quản lý nhà nước

Câu 3: Sự khác biệt chính giữa Tokenisation và Encryption là gì?

  • A. Tokenisation mạnh hơn Encryption
  • B. Encryption có thể đảo ngược, Tokenisation không thể đảo ngược
  • C. Encryption sử dụng cho thẻ, Tokenisation sử dụng cho tiền
  • D. Không có sự khác biệt

Câu 4: Theo quy định tại Việt Nam, văn bản pháp luật nào quy định về bảo mật thông tin thẻ ngân hàng có nhắc đến tokenisation?

Tổng kết

Tokenisation thẻ là công nghệ bảo mật thiết yếu trong era ngân hàng số, giúp bảo vệ thông tin thanh toán của khách hàng khi số lượng giao dịch điện tử tăng mạnh. Điểm mấu chốt cần nhớ: token thay thế hoàn toàn số thẻ thực, không thể đảo ngược, và chỉ có giá trị trong phạm vi giới hạn. Khi ôn thi ngân hàng, hãy phân biệt rõ tokenisation với encryption - đây là câu hỏi phổ biến nhất trong đề thi. Chúc bạn luyện thi thành công!

🎓

Luyện thi với kiến thức này

Thuật ngữ này thường xuất hiện trong đề thi tuyển dụng ngân hàng

Chia sẻ thuật ngữ này:

🔗 Thuật ngữ liên quan 8