Mobile Payment mit Host Card Emulation und Secure Element

Seit Mobiltelefone eine volle Marktdurchdringung haben sind sie als Zahlungsinstrumente ein idealer Kanal für die Single Euro Payments Area (SEPA). Die Nutzung des Mobiltelefons wird hiermit in erster Linie für die Zahlungseinleitung betrachtet, während die zugrundeliegenden Zahlungen auf bestehenden SEPA-Instrumenten basieren. Im White Paper EPC492-09 analysiert der European Payments Council (EPC) die verschiedenen Zahlungskategorien und hat den Fokus auf Mobile Contactless SEPA-Kartenzahlungen (MCP), Mobile Remote SEPA Karten und auf SEPA Credit Transfer (SCT)-Zahlungen gelegt. Dieser Blog-Eintrag bietet einen High-Level-Überblick über mobile Zahlungen, speziell den Umgang mit:

Mobile Proximity Payments

Quelle: White Paper EPC492-09

Mobile Remote Payments

Quelle: White Paper EPC492-09

Das Mobiltelefon wird in erster Linie für die Initiierung von Zahlungen verwendet, während der EPC die Förderung der Nutzung von SEPA-Instrumenten für die zugrundeliegenden Zahlungen vorsieht.

Mobile Proximity und Remote Payments
Der EPC analysierte einige Zahlungsarten für "Proximity" und "Remote" mobile Zahlungen. Die folgenden Arten wurden als Kernprozesse kategorisiert:

• Mobile Contactless SEPA Card Payments 
• Mobile Proximity SEPA Credit Transfers 
• Mobile Remote SEPA Card Payments 
• Mobile Remote SEPA Credit Transfers

Bei Mobile Contactless SEPA-Kartenzahlungen hat man die Wahl zwischen dem Secure Element und dem Host-Karte Emulation Ansatz. Dies hat einen grossen Einfluss auf das Servicemodell und auf die Rollen der verschiedenen Akteure.

Secure Elements?
Eine erhöhte Sicherheit bzgl. Datenschutz oder Zahlungsdetail wird durch den Einsatz eines sogenannten Secure Elements (SE) erreicht. Erfahrungen mit Kartenzahlungen zeigen, dass diese Chip-Technologie eine effiziente und kostengünstige Möglichkeit ist, um eine verbesserte Sicherheit zu erzielen. Darüber hinaus kann bestehende Infrastruktur für Zertifizierungspraktiken bei Chips und Karten für SE wiederverwendet werden.
Für den Einsatz von SE in mobilen Geräten stehen eine Reihe von Wahlmöglichkeiten zur Verfügung, die mobile Zahlungen unterstützen. Die wichtigsten Faktoren, die mit der Wahl des SE im Zusammenhang stehen, sind:

• Kontrolle und Steuerung des SE 
• Intrinsische Sicherheitseigenschaften 
• Berechtigung zur formalen Sicherheitszertifizierung 
• Integration innerhalb des Mobiltelefons und Verbindungen zu externen Schnittstellen wie kontaktlos oder Remote-Protokolle 
• Verfügbarkeit (Fristen und geografischer Markt) 
• Support-Infrastruktur (Personalisierungstools) 
• Die Möglichkeit des Einsatzes für Mobiltelefone innerhalb der bestehenden kommerziellen Lieferketten 
• Wirtschaftlichkeit und Skalierbarkeit

Die Wahl der Art des SE hat einen Einfluss auf das Mobile Payment Service Modell. Daher hat sich der EPC bisher auf drei Arten von SE konzentriert:

• Universal Integrated Circuit Card (UICC) 
• Eingebettete SE 
• Entfernbare SE (z.B. Micro SD Card)

Die meisten Mobile Contactless Payment (MCP)-Implementierungen verwenden ein SE, obwohl auf Host Card Emulation basierende Lösungen an Dynamik gewinnen. Für die mobilen Distanzzahlungen (Mobile Remote Payment - MRP) authentifiziert sich der Zahler direkt an einem Zahlungsserver. Der Zahlungsdienstleister (Payment Service Provider - PSP) gibt die ausgewählte Authentifizierungsmethode vor. Dies erfordert nicht unbedingt die Verwendung eines SE. Doch wo immer ein SE bereits vorhanden ist, können MCP verbraucherfreundlicher gestaltet werden. Darüber hinaus kann die Verwendung eines SE die Sicherheit erhöhen. In jüngster Zeit basieren Lösungen für das mobile Gerät auf ein sogenanntes „SE in the Cloud“.

Host Card Emulation
Host Card Emulation (HCE) bezieht sich auf Gerätetechniken, die ohne den Zugang zu einem SE auskommen. Es ist eine Architektur, die virtuelle Karten nur mit Software zur Verfügung stellt. HCE schafft die Möglichkeit mobile kryptographische Anwendungen von Dritten anzustossen. Diese Technologie ermöglicht es dem MCP-Provider leichter berührungslose mobile Zahlungslösungen anzubieten.
Im Gegensatz zum SE befindet sich in HCE die Zahlungensanwendung auf dem Betriebssystem des Endgeräts. Der "Host" interagiert mit dem Cloud-System den NFC-Controller direkt. Es besteht keine Notwendigkeit für einen Kartenausgeber SIM oder andere sichere Elemente zu verwenden. Beispiele für HCE-Implementierungen und Piloten sind eine Reihe von spanischen Banken wie Bankinter, BBVA und Banco Sabadell sowie Sberbank in Russland.
HCE ist derzeit ab Android 4.4 KitKat und Blackberry OS 10 Betriebssysteme verfügbar. Im Gegensatz dazu werden traditionelle NFC-Zahlungen von den meisten Betriebssystemen wie Android, Blackberry und Windows unterstützt.
Schliesslich ermöglichen hybride Lösungen die Verwendung eines physikalischen SE (SIM) sowie Cloudbasierte Dienste. Royal Bank of Canada hat im Februar 2014 eine solche Lösung zur Verfügung gestellt und zwar von BELL ID1.

Übersicht

Mobiltelefone haben eine volle Marktdurchdringung erreicht. Somit sind sie ein ausgezeichneter Kanal als Zahlungsinstrumente. Nun gilt es für Zahlkartenherausgeber und Händler diesen Kanal als solchen zu nutzen. Mobile Zahlungsarten, welche sich an die Empfehlung der EPC halten, werden mühelos interagieren können.

Alberto De Gruttola ist Experte in Themen wie Digitalisierung von Geschäftsmodellen, Digitaler Zahlungsverkehr und Digitales Dokumentenmanagement. Er verfügt über ein technisches sowie betriebswirtschaftliches Studium. Sein Focus liegt in der Aufgliederung von Unternehmensanforderungen und der Projektleitung. Im Digitalen Zahlungsverkehr ist er besonders in den Bereichen E-Wallet und Card Not Present spezialisiert.


Sein Credo heisst: „Digitalisierung ist kein Endzustand, sondern ein beständiges Bestreben nach maximalem Erfolg, mittels Arbeitsprozessen und Informationstechnologien.“


#MobilePayment #Digitalisierung