Passkey Mastercard: Layanan Passkey Pembayaran Mastercard

Dalam beberapa tahun terakhir, sektor keuangan telah melihat lonjakan minat untuk meningkatkan keamanan dan pengalaman pengguna dengan metode otentikasi inovatif. Passkey kini muncul sebagai solusi yang sangat menarik dan semakin disukai di berbagai bank (misalnya, Revolut), fintech (misalnya, Finom), dan penyedia pembayaran (misalnya, PayPal).

Postingan blog kami sebelumnya telah membahas secara ekstensif implikasi dari pergeseran teknologi ini, terutama dalam konteks PSD2 / Strong Customer Authentication (SCA):

• Passkey Terikat Perangkat dan Tersinkronisasi
• Analisis Persyaratan PSD2 & SDA
• Apa Arti Persyaratan SCA untuk Passkey
• Implikasi PSD3 / PSR untuk Passkey
• Dynamic Linking.

Seiring kami terus menganalisis dunia otentikasi yang aman, Mastercard telah memperkenalkan layanan baru untuk passkey: Mastercard Payment Passkeys. Layanan ini, yang juga disebut dengan nama kerangka kerja teknisnya, Mastercard Token Authentication Service (TAS), merupakan langkah strategis untuk menggantikan metode otentikasi yang sudah usang dengan pendekatan yang aman, lancar, dan ramah pengguna dengan memanfaatkan biometrik (misalnya, Face ID, Touch ID). Layanan ini bertujuan untuk menyederhanakan proses checkout online, memadukan keamanan dengan kenyamanan bagi jutaan pembeli di seluruh dunia. Penamaan ganda itu sendiri tampaknya strategis. Payment Passkeys dengan jelas mengomunikasikan manfaat bagi pengguna berupa login biometrik yang disederhanakan kepada konsumen dan merchant, sementara Token Authentication Service selaras dengan detail implementasi teknis yang relevan bagi pengembang dan mitra yang mengintegrasikan sistem.

Postingan blog ini menganalisis pendekatan Mastercard, menjelajahi teknologi, pengalaman pengguna, manfaat, dan implikasi industri dari Payment Passkeys.

Integrasi passkey ke dalam sektor jasa keuangan adalah pergeseran menuju otentikasi yang lebih aman dan ramah pengguna.

Kekuatan pendorong di baliknya adalah ekspektasi konsumen. Seperti yang diungkapkan Mastercard dalam pernyataan sebelumnya, konsumen membenci kata sandi:

• 7 dari 10 konsumen merasa kewalahan dengan jumlah kata sandi yang harus mereka kelola
• Lebih dari 80% pelanggaran data yang terkonfirmasi disebabkan oleh kata sandi.

Mastercard mengakui bahwa setiap rahasia bersama, termasuk OTP, menjadi target bagi para penjahat siber. Itulah mengapa Mastercard ingin mengganti kata sandi dengan faktor berbasis individu. Passkey, dengan memanfaatkan biometrik perangkat (misalnya, Face ID, Touch ID), menjawab kebutuhan ini secara efektif.

Lebih lanjut, passkey menghilangkan titik lemah keamanan tradisional yang terkait dengan kata sandi, seperti risiko phishing. Dengan mengganti kata sandi dengan kunci kriptografis yang mudah digunakan tetapi sulit untuk dieksploitasi, passkey menawarkan solusi yang menarik bagi lembaga keuangan yang bertujuan untuk meningkatkan keamanan sekaligus menyederhanakan interaksi pengguna.

Model keamanan passkey selaras dengan persyaratan ketat dari peraturan keuangan seperti Strong Customer Authentication (SCA) di bawah PSD2. SCA mewajibkan otentikasi multi-faktor untuk sebagian besar pembayaran elektronik dan akses akun, yang memerlukan validasi menggunakan setidaknya dua elemen independen dari tiga kategori:

• Pengetahuan (sesuatu yang diketahui pengguna)
• Kepemilikan (sesuatu yang dimiliki pengguna)
• Inerensi (sesuatu yang melekat pada diri pengguna)

Passkey secara alami memenuhi persyaratan ini: kunci privat aman yang disimpan di perangkat mewakili faktor 'Kepemilikan', sementara biometrik yang digunakan untuk membukanya mewakili faktor 'Inerensi'. Jika PIN perangkat digunakan, itu dapat memenuhi faktor 'Pengetahuan'. Namun, ada diskusi yang sedang berlangsung di industri apakah passkey yang disinkronkan perlu memberikan jaminan tambahan mengenai keterikatan perangkat.

Selain itu, peraturan pembayaran sering kali memerlukan dynamic linking, yang memastikan bahwa proses otentikasi secara kriptografis mengikat jumlah transaksi dan penerima pembayaran spesifik ke persetujuan pengguna. Implementasi passkey, terutama ketika diintegrasikan dengan protokol seperti EMV 3DS atau menggunakan ekstensi seperti Secure Payment Confirmation (SPC), dirancang untuk memasukkan detail transaksi ini ke dalam tanda tangan kriptografis, memenuhi persyaratan penting ini.

Pengenalan Payment Passkeys oleh Mastercard bukanlah peristiwa yang terisolasi, melainkan puncak dari komitmen strategis jangka panjang untuk memajukan keamanan pembayaran dan mengadopsi standar otentikasi tanpa kata sandi.

Mastercard adalah salah satu anggota awal dari FIDO alliance, kekuatan pendorong di balik passkey & WebAuthn, di mana mereka telah bergabung sejak tahun 2012.

Di masa lalu, Mastercard telah meluncurkan Mastercard Biometric Authentication Service, yang merupakan langkah pertama menuju arah passkey. Layanan ini sudah dirancang untuk mematuhi standar FIDO.

Pada September 2023, Mastercard memberikan pembaruan tentang passkey dan Secure Payment Confirmation (SPC). Di dalamnya, Mastercard membagikan pandangan mereka tentang potensi proses passkey standar vs passkey SPC. Mockup-nya sudah pada tingkat yang detail (seperti yang akan Anda lihat di bawah).

Pada Agustus 2024, Mastercard meluncurkan Payment Passkey Service-nya di India, sebuah pasar yang ditandai dengan volume pembayaran digital yang tinggi dan adopsi seluler yang signifikan. Peluncuran awal ini kemungkinan besar berfungsi sebagai tempat uji coba skala besar untuk skalabilitas dan efektivitas, terutama di lingkungan di mana penipuan berbasis OTP menjadi masalah yang diketahui.

Menyusul peluncuran di India, Mastercard memperluas layanan ke wilayah kunci lainnya, termasuk Asia Pasifik (awalnya Singapura), Amerika Latin (dimulai dengan Brasil) dan Timur Tengah dan Afrika (MEA), dimulai dengan Uni Emirat Arab. Pendekatan per wilayah ini memungkinkan Mastercard untuk menyesuaikan implementasi dan kemitraannya dengan dinamika pasar lokal dan lanskap peraturan.

Elemen penting dari strategi ini adalah penekanan pada kemitraan. Di setiap wilayah peluncuran, Mastercard telah berkolaborasi erat dengan pemain lokal utama, termasuk agregator pembayaran:

• Agregator Pembayaran:
  • India: Juspay, Razorpay atau PayU
  • Amerika Latin: Yuno
  • MEA: noon Payments, Tap Payments
• Merchant online:
  • India: bigbasket
  • Amerika Latin: Sympla
• Bank terkemuka: (seperti
  • India: Axis Bank
  • Singapura: DBS atau UOB

Kemitraan ini penting untuk mengintegrasikan layanan Payment Passkey ke dalam ekosistem pembayaran yang ada, menangani peraturan lokal, dan menjangkau basis konsumen yang luas. Ini menunjukkan model yang fleksibel dan kolaboratif daripada pendekatan top-down yang seragam.

Pada Juni 2025, Mastercard telah secara signifikan memajukan strategi checkout amannya di seluruh Eropa. Perusahaan mencapai kemajuan substansial, terutama didorong oleh adopsi tokenisasi yang meluas, dengan hampir 50% transaksi e-commerce Eropa sekarang menggunakan teknologi ini. Tokenisasi menggantikan nomor kartu pembayaran yang sensitif dengan token digital yang aman, mengurangi paparan detail pembayaran pelanggan dan secara signifikan meningkatkan keamanan.

Secara bersamaan, Mastercard telah mulai meluncurkan passkey pembayaran dengan kemitraan awal yang terkenal termasuk Dintero, Netopia, dan Solidgate. Meskipun passkey pembayaran masih dalam tahap awal dibandingkan dengan tokenisasi, pengenalannya sejalan dengan visi Mastercard yang lebih luas tentang e-commerce tanpa kata sandi dan tanpa hambatan.

Pencapaian Kunci di Eropa:

• Adopsi tokenisasi: Hampir setengah dari e-commerce Eropa sekarang diamankan melalui tokenisasi.
• Cakupan luas:
  • Tokenisasi diterapkan di 45 negara Eropa.
  • Click to Pay (checkout tanpa kata sandi) aktif di 26 pasar, dengan pendaftaran berlipat ganda dalam setahun.
• Implementasi passkey awal: Passkey pembayaran diluncurkan dengan penyedia pembayaran Eropa tertentu.

Perkembangan ini menyoroti strategi jalur ganda Mastercard: ekspansi tokenisasi yang kuat saat ini, dilengkapi dengan adopsi passkey pembayaran yang strategis dan berwawasan ke depan.

Payment Passkeys Mastercard diaktifkan oleh Mastercard Token Authentication Service (TAS). TAS adalah infrastruktur yang mendasari yang memungkinkan merchant dan dompet digital untuk menawarkan konsumen kemampuan untuk mengotentikasi transaksi online mereka menggunakan biometrik yang terhubung ke passkey Mastercard mereka, menggantikan kata sandi atau OTP tradisional. Layanan ini tidak beroperasi secara terpisah. Ini terintegrasi secara mendalam dengan teknologi inti Mastercard lainnya, terutama tokenisasi dan berpotensi kerangka kerja EMV 3DS, sambil tetap mematuhi standar global.

Aspek penting dari layanan ini adalah integrasinya dengan Layanan Tokenisasi Mastercard, yang sering disebut sebagai MDES (Mastercard Digital Enablement Service). Tokenisasi adalah langkah keamanan penting yang menggantikan Primary Account Number (PAN) 16 digit aktual konsumen dengan pengidentifikasi digital unik atau "token". Token ini spesifik untuk perangkat, merchant, atau konteks transaksi tertentu. Ketika transaksi terjadi, hanya token yang ditransmisikan, yang berarti merchant tidak perlu menyimpan atau menangani PAN yang sebenarnya, secara signifikan mengurangi risiko yang terkait dengan pelanggaran data. Payment Passkeys Mastercard kemudian berfungsi sebagai mekanisme untuk mengotentikasi niat pengguna yang sah untuk menggunakan kredensial yang ditokenisasi ini untuk transaksi tertentu.

Otentikasi itu sendiri memanfaatkan passkey yang disimpan di perangkat pengguna, dibuka melalui biometrik perangkat (sidik jari, pemindaian wajah) atau PIN/kode sandi perangkat. Penting untuk dipahami bahwa data biometrik yang digunakan untuk membuka passkey tetap aman di perangkat pengguna dan tidak pernah dibagikan dengan Mastercard, merchant, atau pihak ketiga lainnya. Mekanisme passkey hanya mengonfirmasi keberhasilan otentikasi lokal (misalnya, Face ID, Touch ID) sebelum mengizinkan proses tanda tangan kriptografis untuk dilanjutkan.

Walaupun detail implementasi spesifik bervariasi, Payment Passkeys kemungkinan beroperasi di dalam atau bersama kerangka kerja EMV 3-D Secure (3DS), standar industri untuk mengamankan transaksi card-not-present (CNP). EMV 3DS memfasilitasi pertukaran data transaksi yang kaya antara merchant dan penerbit kartu, memungkinkan penerbit untuk melakukan penilaian risiko. Jika transaksi dianggap berisiko tinggi, penerbit dapat "menantang" pengguna untuk melakukan otentikasi tambahan (SCA). Mastercard Payment Passkeys menyediakan metode yang aman dan berpotensi jauh lebih lancar untuk memenuhi tantangan SCA ini dibandingkan dengan metode tradisional seperti OTP. Layanan terkait Mastercard, seperti Identity Check Express dan Delegated Authentication untuk Merchant, secara eksplisit memanfaatkan kemampuan FIDO / WebAuthn dalam alur EMV 3DS, memungkinkan merchant (dengan izin penerbit) untuk melakukan otentikasi atas nama penerbit menggunakan metode modern ini.

Sinergi antara passkey dan tokenisasi menciptakan arsitektur keamanan berlapis. Passkey mengamankan langkah otentikasi pengguna, mencegah individu yang tidak berwenang memulai transaksi. Tokenisasi melindungi kredensial pembayaran yang mendasarinya, meminimalkan nilai data apa pun yang berpotensi terekspos dalam pelanggaran. Pendekatan gabungan ini mengatasi penipuan dari berbagai sudut, membuat seluruh proses transaksi menjadi jauh lebih tangguh. Selain itu, mengintegrasikan otentikasi passkey ke dalam infrastruktur EMV 3DS yang sudah mapan adalah pendekatan pragmatis yang memfasilitasi adopsi. Ini memungkinkan penerbit dan acquirer untuk meningkatkan keamanan dan pengalaman pengguna dengan memanfaatkan investasi mereka yang ada dalam teknologi 3DS, daripada memerlukan penyebaran sistem otentikasi yang sepenuhnya terpisah.

Tujuan utama dari Mastercard Payment Passkeys adalah untuk merevolusi pengalaman checkout online, membuatnya lebih cepat, lebih sederhana, dan lebih aman dengan menghilangkan friksi yang terkait dengan kata sandi dan OTP. Perjalanan pengguna mencakup pembuatan awal passkey dan penggunaannya selanjutnya untuk mengotentikasi pembayaran.

Pengguna dapat diminta untuk membuat Mastercard Payment Passkey di beberapa titik dalam interaksi mereka dengan layanan Mastercard. Skenario umum meliputi:

• Selama Checkout: Seringkali, opsi untuk membuat passkey disajikan setelah pengguna berhasil menyelesaikan langkah otentikasi tradisional untuk suatu transaksi, seperti tantangan EMV 3DS yang melibatkan OTP atau metode lain. Onboarding kontekstual ini memanfaatkan pengalaman langsung pengguna dengan metode yang berpotensi memiliki friksi lebih tinggi untuk menyoroti manfaat checkout yang lebih lancar di masa depan.
• Dalam Aplikasi Penerbit: Bank yang menerbitkan Mastercard dapat mengintegrasikan alur pembuatan passkey langsung ke dalam aplikasi mobile banking mereka, memungkinkan pengguna untuk secara proaktif menautkan passkey ke kartu mereka.
• Selama Penambahan Kartu: Opsi ini mungkin juga disajikan ketika pengguna menambahkan Mastercard mereka ke dompet digital atau menyimpannya sebagai Card-on-File (CoF) dengan merchant atau layanan seperti Click to Pay.

Mari kita analisis secara singkat contoh pembuatan passkey selama checkout.

Setelah mengklik tombol “Bayar”, pengguna dialihkan dari toko sampel (https://decorshop.com) ke halaman web yang dihosting oleh Mastercard (https://verify.mastercard.com). Situs ini adalah bagian dari proses otentikasi EMV 3DS.

Setelah proses ini berhasil diselesaikan, pengguna memiliki opsi untuk membuat passkey. Perhatikan bahwa passkey ini akan dibuat untuk Relying Party ID Mastercard (misalnya, verify.mastercard.com atau mastercard.com). Jadi, passkey tidak terdaftar pada merchant tempat pengguna ingin mentransfer uang. Hal ini memungkinkan passkey yang sama untuk digunakan di semua merchant yang menggunakan layanan Payment Passkey Mastercard dan tidak hanya di merchant tertentu ini.

Diambil dari https://www.w3.org/2023/Talks/mc-passkeys-20230911.pdf

Setelah memutuskan untuk membuat passkey, otentikasi lokal (di sini smartphone Android yang menyimpan passkey di Google Password Manager) dilakukan. Setelah menyelesaikan pembuatan passkey, pengguna dialihkan kembali dari situs web Mastercard ke toko.

Diambil dari https://www.w3.org/2023/Talks/mc-passkeys-20230911.pdf

Setelah pengguna memiliki Mastercard Payment Passkey yang terkait dengan kredensial kartunya, proses checkout di merchant yang berpartisipasi menjadi jauh lebih sederhana:

1. Pemilihan Kartu: Pengguna memulai checkout dan memilih Mastercard mereka. Ini bisa berupa kartu yang disimpan dengan aman melalui layanan Click to Pay Mastercard, disimpan langsung dengan merchant (Secure Card on File - SCOF) atau bahkan dimasukkan selama alur checkout tamu.
2. Permintaan Otentikasi: Alih-alih diminta kata sandi, CVV, atau OTP, pengguna diminta untuk mengotentikasi menggunakan Mastercard Payment Passkey mereka. Alur pastinya dapat bervariasi:
   • Alur Passkey Standar: Pengguna mungkin mengalami pengalihan singkat yang mulus ke domain yang dikontrol Mastercard (misalnya, verify.mastercard.com). Di sini, permintaan WebAuthn standar muncul, meminta pengguna untuk mengonfirmasi transaksi menggunakan sensor biometrik atau PIN perangkat mereka. Setelah otentikasi lokal berhasil, mereka dialihkan kembali ke situs merchant untuk menyelesaikan pembelian. Alur ini terjadi dalam konteks pihak pertama, di mana pengguna mengotentikasi langsung dengan Mastercard.
   • Alur Secure Payment Confirmation (SPC) (Potensial): Alternatif, alur yang berpotensi lebih mulus melibatkan SPC. Dalam skenario ini, pengguna tetap berada di situs web merchant. Pop-up asli browser muncul, menampilkan detail transaksi utama (nama merchant, jumlah, info kartu parsial) dan meminta otentikasi passkey secara langsung. Ini menghilangkan pengalihan sepenuhnya dan menyediakan dynamic linking yang kuat dengan menyematkan detail transaksi dalam permintaan otentikasi. Harap dicatat bahwa passkey SPC masih dalam fase konsep dan belum diputuskan apakah akan mencapai ketersediaan umum (terutama karena Apple tidak menyetujuinya). Alur ini akan beroperasi dalam konteks pihak ketiga, di mana merchant memanggil otentikasi untuk passkey Mastercard, kemungkinan menggunakan kredensial yang dibagikan melalui EMV 3DS.

Diambil dari https://www.w3.org/2023/Talks/mc-passkeys-20230911.pdf

Sinergi antara Mastercard Payment Passkeys dan Click to Pay sangat patut diperhatikan. Click to Pay menyediakan cara yang terstandarisasi dan aman bagi konsumen untuk menyimpan detail kartu mereka yang ditokenisasi untuk checkout online yang lebih mudah di seluruh merchant yang berpartisipasi. Payment Passkeys berfungsi sebagai lapisan otentikasi biometrik modern untuk mengakses dan menggunakan kredensial Click to Pay yang tersimpan ini. Kombinasi ini adalah kunci untuk mencapai pengalaman checkout "satu klik" yang sesungguhnya, menghilangkan entri kartu manual dan tantangan kata sandi/OTP. Peluncuran global pertama layanan Click to Pay yang terintegrasi dengan Payment Passkey oleh Mastercard dan Tap Payments menggarisbawahi arah strategis ini. Ini memanfaatkan infrastruktur dan jaringan merchant Click to Pay yang ada, menyediakan mekanisme penskalaan yang kuat untuk adopsi Payment Passkey.

Tabel di bawah ini merangkum karakteristik utama dari alur otentikasi potensial:

Bagi merchant, mengadopsi Mastercard's Payment Passkey Service / Token Authentication Service berarti

• Mengurangi Penipuan dan Chargeback: Ini bisa dibilang manfaat paling signifikan. Dengan mengikat otentikasi langsung ke biometrik unik atau PIN perangkat pengguna melalui passkey yang tahan phishing, risiko transaksi tidak sah anjlok. Penggunaan tokenisasi yang mendasarinya lebih lanjut melindungi data kartu. Otentikasi yang lebih kuat ini juga dapat menyebabkan pergeseran tanggung jawab untuk jenis penipuan tertentu, mirip dengan manfaat yang terlihat dengan adopsi EMV 3DS. Studi kasus, seperti yang melibatkan noon Payments, secara eksplisit melaporkan penurunan insiden penipuan setelah menerapkan Payment Passkeys dan Click to Pay.
• Meningkatkan Tingkat Persetujuan dan Konversi: Friksi saat checkout adalah penyebab utama pengabaian keranjang belanja. Menghilangkan kebutuhan untuk mengingat kata sandi atau memasukkan OTP memperlancar alur pembayaran, yang mengarah ke tingkat penyelesaian yang lebih tinggi. Selain itu, sinyal otentikasi yang kuat yang disediakan oleh passkey memberi bank penerbit kepercayaan yang lebih besar untuk menyetujui transaksi, mengurangi kemungkinan penolakan palsu yang merugikan. Tingkat persetujuan yang lebih tinggi secara langsung berarti peningkatan penjualan dan pendapatan. Mitra seperti Yuno telah mencatat bahwa passkey mendorong tingkat konversi yang lebih tinggi.
• Meningkatkan Pengalaman Pelanggan dan Citra Merek: Menawarkan proses checkout yang canggih, aman, dan mudah meningkatkan kepuasan pelanggan dan membangun kepercayaan pada merek merchant. Menyediakan cara membayar yang terbukti lebih aman dapat menjadi pembeda kompetitif.

Bagi konsumen, layanan ini memungkinkan:

• Checkout yang Lancar dan Lebih Cepat: Manfaat paling langsung adalah penghapusan kerumitan. Pengguna tidak perlu lagi mengingat kata sandi yang rumit atau menunggu dan memasukkan OTP secara manual. Otentikasi terjadi dengan cepat menggunakan biometrik yang sama (misalnya, Face ID, Touch ID) yang digunakan untuk membuka kunci ponsel mereka. Sifat "daftar sekali, gunakan di mana saja" di seluruh merchant yang berpartisipasi menambah kenyamanan yang signifikan.
• Peningkatan Keamanan dan Ketenangan Pikiran: Payment Passkeys menawarkan keamanan yang secara fundamental lebih kuat daripada kata sandi atau OTP. Mereka tahan terhadap phishing dan banyak bentuk penipuan online. Mengetahui bahwa transaksi dilindungi oleh biometrik memberikan konsumen kepercayaan dan ketenangan pikiran yang lebih besar saat berbelanja online.
• Perlindungan Privasi: Karena data biometrik tetap ada di perangkat dan tokenisasi melindungi nomor kartu yang sebenarnya, lebih sedikit informasi sensitif yang ditransmisikan selama transaksi.

Tabel berikut merangkum proposisi nilai untuk setiap kelompok pemangku kepentingan:

Bagi merchant dan pengembang yang ingin memanfaatkan manfaat Mastercard Payment Passkeys, integrasi terjadi melalui Mastercard Token Authentication Service (TAS). TAS dirancang untuk bekerja bersama dengan solusi tokenisasi dan checkout Mastercard yang ada, terutama Click to Pay dan Secure Card on File (SCOF). Pada dasarnya, TAS menyediakan lapisan otentikasi biometrik canggih untuk transaksi menggunakan kredensial yang sudah ditokenisasi dan disimpan melalui layanan ini.

Pendekatan mengintegrasikan otentikasi passkey ke dalam layanan yang sudah mapan seperti Click to Pay dan SCOF ini bertujuan untuk meminimalkan gangguan bagi merchant. Daripada memerlukan jalur integrasi yang sama sekali baru, bisnis yang sudah menggunakan solusi Mastercard ini mungkin akan merasa bahwa menambahkan dukungan passkey adalah proses yang lebih sederhana, dengan memanfaatkan infrastruktur mereka yang ada.

Mastercard menyediakan sumber daya untuk integrasi melalui portal Mastercard Developers (developer.mastercard.com). Sumber daya ini mencakup SDK dan API yang dirancang untuk memfasilitasi implementasi fungsionalitas TAS. Meskipun spesifikasi teknis terperinci memerlukan akses ke portal, cuplikan dokumentasi mengungkapkan kasus penggunaan spesifik dan panggilan API yang terkait dengan manajemen passkey dalam konteks pembayaran, seperti "Create Passkey after ID&V" (Identity & Verification), "Create Passkey after Transaction Authentication," dan "Use Passkey for Transaction Authentication". Adanya fungsi-fungsi yang terdefinisi ini menunjukkan bahwa kerangka kerja integrasi yang terstruktur dan matang tersedia untuk pengembang.

Video resmi yang menjelaskan konsep ini juga tersedia:

Merchant dan pengembang yang tertarik untuk mengimplementasikan Mastercard Payment Passkeys harus merujuk ke portal Mastercard Developers untuk dokumentasi terperinci, SDK, API, dan panduan integrasi spesifik yang relevan dengan platform pilihan mereka (misalnya, Click to Pay, SCOF) dan lingkungan teknis.

Peluncuran Payment Passkey Service oleh Mastercard adalah perkembangan yang signifikan, menandai komitmen yang jelas dari jaringan pembayaran utama untuk beralih dari kata sandi dan OTP menuju otentikasi biometrik yang lebih aman dan ramah pengguna. Ini sejalan dengan visi Mastercard yang lebih luas untuk masa depan e-commerce, yang mencakup penghapusan entri kartu manual secara bertahap pada tahun 2030 di wilayah seperti Eropa, dengan mengandalkan tokenisasi dan metode otentikasi yang lancar seperti passkey.

Mastercard tidak sendirian dalam upaya ini. Visa telah meluncurkan Visa Payment Passkey Service miliknya sendiri, dengan nama yang serupa. Seperti penawaran Mastercard, layanan Visa dibangun di atas standar FIDO, memanfaatkan biometrik perangkat, bertujuan untuk menggantikan kata sandi/OTP, terintegrasi dengan tokenisasi dan Click to Pay, dan menekankan manfaat ganda dari peningkatan keamanan (pengurangan penipuan) dan pengalaman pengguna yang lebih baik. Visa menyoroti potensi pengurangan tingkat penipuan hingga 50% dibandingkan dengan SMS OTP dan mencatat dukungan OS dan browser yang luas untuk FIDO. Satu perbedaan potensial yang disebutkan dalam materi Visa adalah konsep "dukungan otentikasi yang dikelola Visa" atau "model federasi," di mana Visa menangani kompleksitas otentikasi FIDO inti, yang berpotensi menyederhanakan integrasi untuk merchant dan penerbit. Strategi paralel dan bahkan konvensi penamaan yang serupa yang diadopsi oleh dua jaringan kartu terbesar ini sangat menyarankan konvergensi di seluruh industri menuju passkey FIDO sebagai standar masa depan untuk mengotentikasi pembayaran online. Dorongan terkoordinasi ini menguntungkan seluruh ekosistem dengan mempromosikan interoperabilitas dan mengurangi fragmentasi.

American Express juga secara aktif menggabungkan teknologi otentikasi modern. Meskipun mereka belum meluncurkan merek "Payment Passkey Service" yang berbeda seperti Visa dan Mastercard (per Mei 2025), mereka telah mengintegrasikan kemampuan biometrik berbasis FIDO/WebAuthn (pengenalan wajah dan sidik jari) langsung ke dalam platform SafeKey mereka yang ada. SafeKey sendiri dibangun di atas standar EMV 3-D Secure. American Express, yang juga merupakan anggota dewan FIDO Alliance, dengan demikian memanfaatkan teknologi inti tanpa kata sandi yang sama tetapi menyematkannya dalam kerangka keamanan mereka yang sudah mapan. Ini mungkin mencerminkan strategi branding yang berbeda, memanfaatkan pengakuan SafeKey, atau berpotensi perbedaan arsitektur yang berasal dari model jaringan mereka. Meskipun demikian, arahnya konsisten: memanfaatkan biometrik pada perangkat dan standar FIDO untuk otentikasi online yang lebih kuat dan lebih lancar.

Pengenalan Mastercard Payment Passkey Service merupakan momen penting dalam evolusi keamanan dan UX pembayaran online. Dengan merangkul standar passkey FIDO dan mengintegrasikannya secara erat dengan tokenisasi dan solusi checkout yang ada seperti Click to Pay, Mastercard mengatasi kekurangan kritis dari otentikasi berbasis kata sandi dan OTP tradisional.

Inisiatif ini menawarkan manfaat besar di seluruh ekosistem pembayaran. Bagi merchant, ini menjanjikan pengurangan signifikan dalam kerugian akibat penipuan dan chargeback, ditambah dengan tingkat persetujuan transaksi yang lebih tinggi dan peningkatan konversi karena proses checkout yang tanpa hambatan. Bagi konsumen, ini memberikan cara membayar online yang lebih cepat, lebih nyaman, dan terbukti lebih aman, memanfaatkan biometrik perangkat yang sudah dikenal sambil menghilangkan kebutuhan untuk mengelola kata sandi atau menangani OTP.

Dasar teknologinya - menggabungkan otentikasi tahan phishing dengan minimalisasi data dari tokenisasi, semuanya dalam kerangka standar EMVCo yang sudah mapan - menciptakan pertahanan berlapis yang kuat terhadap penipuan. Peluncuran global strategis Mastercard yang didorong oleh kemitraan lebih lanjut menandakan signifikansi dan komitmen jangka panjang di balik teknologi ini.

Seiring Visa mengikuti jalur paralel dengan Payment Passkey Service-nya sendiri dan American Express mengintegrasikan kemampuan biometrik serupa ke dalam SafeKey, arahnya jelas: passkey dengan cepat menjadi standar baru untuk mengamankan pembayaran digital.