Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску
Для аттракционов см. Автомобиль с улучшенным движением . О мексиканской школе, известной как "EMV", см. Escuela Mexicana del Valle .

5143773081812421

EMV - это метод оплаты, основанный на техническом стандарте для смарт- платежных карт, а также для платежных терминалов и банкоматов, которые могут их принимать. Первоначально EMV расшифровывалось как « E uropay , M astercard и V isa », трем компаниям, создавшим стандарт.

Карты EMV - это смарт-карты , также называемые чип-картами, интегральными схемами или IC-картами, которые хранят свои данные на интегральных микросхемах в дополнение к магнитным полосам для обратной совместимости . К ним относятся карты, которые необходимо физически вставить или «погрузить» в считывающее устройство, а также бесконтактные карты, которые можно считывать на небольшом расстоянии с помощью технологии связи ближнего поля . Платежные карты, соответствующие стандарту EMV, часто называют чипами и PIN-кодами или чипами и картами подписи , в зависимости от методов аутентификации, используемых эмитентом карты, таких как личный идентификационный номер.(ПИН-код) или электронная подпись .

Существуют стандарты на основе ISO / IEC 7816 для контактных карт и стандарты на основе ISO / IEC 14443 для бесконтактных карт ( Mastercard Contactless , Visa PayWave , American Express ExpressPay ).

В феврале 2010 года компьютерные ученые из Кембриджского университета продемонстрировали, что реализация ввода PIN-кода EMV уязвима для атаки типа « злоумышленник в середине», но уязвимы были только реализации, в которых PIN-код проверялся в автономном режиме.

История [ править ]

См. Также: Платежная карта и Смарт-карта

До введения чипа и PIN-кода все личные транзакции по кредитным или дебетовым картам включали использование магнитной полосы или механического отпечатка для чтения и записи данных учетной записи, а также подписи для проверки личности. Покупатель передает свою карту кассиру в точке продажи.который затем пропускает карту через магнитный считыватель или делает отпечаток с выпуклого текста карты. В первом случае система проверяет реквизиты счета и распечатывает квитанцию ​​для подписи клиентом. В случае механического отпечатка заполняются детали транзакции, просматривается список украденных номеров, и покупатель подписывает отпечатанный бланк. В обоих случаях кассир должен убедиться, что подпись клиента совпадает с подписью на обратной стороне карты, чтобы подтвердить транзакцию.

Использование подписи на карте в качестве метода проверки имеет ряд недостатков безопасности, наиболее очевидным из которых является относительная легкость, с которой карты могут исчезнуть до того, как их законные владельцы смогут их подписать. Другой включает стирание и замену законной подписи, а третий - подделку правильной подписи.

Изобретение кремниевой интегральной схемы в 1959 году привело к идее встроить ее в пластиковую смарт-карту в конце 1960-х годов двумя немецкими инженерами, Хельмутом Греттрупом и Юргеном Детлоффом . [1] Первые смарт-карты были представлены как телефонные карты в 1970-х годах, а затем были адаптированы для использования в качестве платежных карт . [2] [3] Смарт-карты с тех пор использовали микросхемы MOS интегральных схем , а также технологии MOS-памяти, такие как флэш-память и EEPROM (электрически стираемая программируемая постоянная память.). [4]

Первым стандартом для смарт-платежных карт был Carte Bancaire B0M4 от Bull-CP8, развернутый во Франции в 1986 году, за ним последовал B4B0 '(совместимый с M4), развернутый в 1989 году. Geldkarte в Германии также предшествует EMV. EMV был разработан для обеспечения обратной совместимости карт и терминалов с этими стандартами. С тех пор Франция перевела всю свою карточную и терминальную инфраструктуру на EMV.

Первоначально EMV обозначало E uropay , M astercard и V isa - три компании, создавшие стандарт. Стандарт теперь управляется EMVCo , консорциумом, в котором контроль поровну разделен между Visa, Mastercard, JCB , American Express , China UnionPay и Discover. [5] EMVCo также относится к «партнерам», компаниям, способным предоставлять информацию и получать отзывы по подробным техническим и эксплуатационным вопросам, связанным со спецификациями EMV и соответствующими процессами. [6]

JCB присоединилась к консорциуму в феврале 2009 года, China UnionPay - в мае 2013 года [7] Discover в сентябре 2013 года [8] и RuPay 26 марта 2012 года. [9] [10]

Различия и преимущества [ править ]

Есть два основных преимущества перехода к платежным системам с использованием смарт-карт: повышенная безопасность (с соответствующим сокращением мошенничества) и возможность более точного контроля за утверждением транзакций по кредитным картам в автономном режиме. Одна из первоначальных целей EMV заключалась в том, чтобы обеспечить несколько приложений на карте: приложение для кредитной и дебетовой карты или электронный кошелек. Дебетовые карты нового выпуска в США [ когда? ] содержат два приложения - приложение для привязки карт (Visa, Mastercard и т. д.) и обычное дебетовое приложение. Идентификатор общего дебетового приложения в некоторой степени ошибочен, поскольку каждое "обычное" дебетовое приложение фактически использует приложение привязки карты резидента. [11]

Операции с чип-картами EMV повышают защиту от мошенничества по сравнению с операциями с картами с магнитной полосой, которые полагаются на подпись держателя и визуальный осмотр карты для проверки наличия таких функций, как голограмма . Использование PIN-кода и криптографических алгоритмов, таких как Triple DES , RSA и SHA.обеспечить аутентификацию карты для процессингового терминала и хост-системы эмитента карты. Время обработки сопоставимо с онлайн-транзакциями, в которых задержка связи составляет большую часть времени, в то время как криптографические операции на терминале занимают сравнительно мало времени. Предполагаемая повышенная защита от мошенничества позволила банкам и эмитентам кредитных карт провести «сдвиг ответственности», так что теперь продавцы несут ответственность (с 1 января 2005 года в регионе ЕС и с 1 октября 2015 года в США) за любое мошенничество, которое является результатом транзакций в системах, не поддерживающих EMV. [12] [ рекламный источник? ] [13] [ рекламный источник? ]

Большинство реализаций карт и терминалов EMV подтверждают личность держателя карты, требуя ввода личного идентификационного номера (ПИН), а не подписания бумажной квитанции. Произойдет ли аутентификация по PIN-коду, зависит от возможностей терминала и программирования карты. [ необходима цитата ]

Когда кредитные карты были впервые представлены, продавцы использовали механические, а не магнитные портативные импринтеры для карт, для которых требовалась копировальная бумага.сделать отпечаток. Они не общались в электронном виде с эмитентом карты, и карта никогда не уходила из поля зрения покупателя. Продавец должен был подтвердить транзакции, превышающие определенный валютный лимит, позвонив эмитенту карты. В 1970-х годах в Соединенных Штатах многие торговцы подписывались на регулярно обновляемый список украденных или иным образом недействительных номеров кредитных карт. Этот список обычно печатался в виде буклета на газетной бумаге в порядке номеров, как в тонкой телефонной книге, но без каких-либо данных, кроме списка недействительных номеров. Предполагалось, что кассиры будут листать этот буклет каждый раз при предъявлении кредитной карты для оплаты любой суммы до утверждения транзакции, что влекло за собой небольшую задержку. [ необходима цитата ]

Позже оборудованиесвязался с эмитентом карты в электронном виде, используя информацию с магнитной полосы для проверки карты и авторизации транзакции. Это было намного быстрее, чем раньше, но требовало, чтобы транзакция происходила в фиксированном месте. Следовательно, если транзакция не проводилась рядом с терминалом (например, в ресторане), служащий или официант должен был забрать карту у клиента и передать ее в банкомат. Для нечестного сотрудника было легко в любой момент тайно провести карту через дешевый аппарат, который мгновенно записал информацию на карту и полосу; Фактически, даже у терминала вор мог наклониться перед клиентом и провести карточкой по скрытому считывателю. Это сделало незаконное клонирование карт относительно простым и более распространенным явлением, чем раньше. [цитата необходима ]

С момента введения Чипа платежной карты и ПИН-кода клонирование чипа невозможно; можно скопировать только магнитную полосу, а скопированную карту нельзя использовать отдельно на терминале, требующем PIN-кода. Появление чипа и PIN-кода совпало с тем, что технология беспроводной передачи данных стала недорогой и широко распространенной. В дополнение к магнитным считывающим устройствам на мобильных телефонах, торговый персонал теперь может приносить покупателям беспроводные PIN-планшеты, так что карта никогда не пропадает из поля зрения держателя карты. Таким образом, для снижения рисков несанкционированного считывания и клонирования карт могут использоваться как чип-и-PIN, так и беспроводные технологии. [14]

Чип и ПИН-код вместо чипа и подписи [ править ]

Чип и ПИН-код - это один из двух методов проверки, которые могут использовать карты с поддержкой EMV. Вместо того, чтобы физически подписывать квитанцию ​​в целях идентификации, пользователь просто вводит личный идентификационный номер (PIN), как правило, длиной от 4 до 6 цифр. Этот номер должен соответствовать информации, хранящейся на чипе. Технология чипа и PIN-кода значительно усложняет мошенникам использование найденной карты, поэтому, если кто-то украдет карту, он не сможет совершать мошеннические покупки, если не знает PIN-код.

Чип и подпись, с другой стороны, отличаются от чипа и ПИН-кода, подтверждая личность потребителя с помощью подписи.

По состоянию на 2015 год чипы и карты для подписи более распространены в США, Мексике, некоторых частях Южной Америки (таких как Аргентина, Колумбия, Перу) и некоторых странах Азии (таких как Тайвань, Гонконг, Таиланд, Южная Корея, Сингапур и Индонезия), тогда как карты с чипом и PIN-кодом более распространены в большинстве европейских стран (например, в Великобритании, Ирландии, Франции, Португалии, Финляндии и Нидерландах), а также в Иране, Бразилии, Венесуэле, Индии, Шри-Ланке, Канаде, Австралии. и Новая Зеландия. [15] [16]

Операции онлайн, по телефону и по почте [ править ]

В то время как технология EMV помогла снизить уровень преступности в торговых точках, мошеннические транзакции переместились в более уязвимые транзакции по телефону , Интернету и почте, известные в отрасли как транзакции без предъявления карты или транзакции CNP. [17] Операции CNP составили не менее 50% всех случаев мошенничества с кредитными картами. [18] Из-за физического расстояния продавец не может предоставить покупателю клавиатуру в этих случаях, поэтому были разработаны альтернативы, в том числе

  • Программные подходы к онлайн-транзакциям, которые включают взаимодействие с банком-эмитентом карты или веб-сайтом сети, например, Verified by Visa и Mastercard SecureCode (реализация протокола Visa 3-D Secure ). 3-D Secure теперь заменяется надежной аутентификацией клиентов, как это определено в Европейской директиве о вторых платежных услугах .
  • Создание одноразовой виртуальной карты, привязанной к физической карте с заданной максимальной суммой.
  • Дополнительное оборудование с клавиатурой и экраном, которое может выдавать одноразовый пароль , например программа аутентификации чипа .
  • Клавиатура и экран интегрированы в сложные карты для создания одноразового пароля . С 2008 года Visa запускает пилотные проекты с использованием карты Emue, где сгенерированный номер заменяет код, напечатанный на обратной стороне стандартных карт. [19]

Команды [ править ]

ISO / IEC 7816 -3 определяет протокол передачи между чип-картами и считывающими устройствами. Используя этот протокол, данные обмениваются в единицах данных протокола приложения (APDU). Это включает отправку команды на карту, ее обработку и отправку ответа. EMV использует следующие команды:

  • блок приложения
  • разблокировать приложение
  • блок карты
  • внешняя аутентификация (7816-4)
  • генерировать криптограмму приложения
  • получить данные (7816-4)
  • получить варианты обработки
  • внутренняя аутентификация (7816-4)
  • Изменение / разблокировка PIN-кода
  • прочитать запись (7816-4)
  • выберите (7816-4)
  • проверить (7816-4).

Команды, за которыми следует «7816-4», определены в ISO / IEC 7816-4 и являются межотраслевыми командами, используемыми для многих приложений для чип-карт, таких как SIM- карты GSM .

Поток транзакции [ править ]

Транзакция EMV состоит из следующих этапов: [20] [ необходим сторонний источник ]

  • Выбор приложения
  • Начать обработку заявки
  • Чтение данных приложения
  • Ограничения обработки
  • Автономная аутентификация данных
  • Сертификаты
  • Проверка держателя карты
  • Управление терминальными рисками
  • Анализ действия терминала
  • Анализ действия первой карты
  • Авторизация транзакции онлайн (выполняется только в том случае, если этого требует результат предыдущих шагов; обязательно в банкоматах)
  • Анализ действий второй карты
  • Обработка скрипта эмитента .

Выбор приложения [ править ]

ИСО / МЭК 7816 определяет процесс выбора приложений. Цель выбора приложения заключалась в том, чтобы позволить картам содержать совершенно разные приложения, например GSM и EMV. Однако разработчики EMV реализовали выбор приложений как способ определения типа продукта, поэтому все эмитенты продукта (Visa, Mastercard и т. Д.) Должны иметь собственное приложение. То, как в EMV предписывается выбор приложений, является частым источником проблем совместимости между картами и терминалами. В книге 1 [21] стандарта EMV 15 страниц посвящено описанию процесса выбора приложений.

Идентификатор приложения (АИД) используется для адресации приложения в карты или хост - карты эмуляции (HCE) , если они доставлены без карты. AID состоит из зарегистрированного идентификатора поставщика приложения (RID) из пяти байтов, который выдается органом регистрации ISO / IEC 7816-5. За этим следует проприетарное расширение идентификатора приложения (PIX), которое позволяет поставщику приложения различать различные предлагаемые приложения. AID печатается на всех квитанциях держателей карт EMV.

Список приложений:

Схема карты / Платежная сетьИЗБАВЛЯТЬПродуктPIXПОМОГАТЬ
Данмёнт (Дания)A000000001Денежная карта1010A0000000011010
Виза (США)A000000003Кредитная или дебетовая карта Visa1010A0000000031010
Visa Electron2010 г.A0000000032010
V Pay2020 г.A0000000032020
Плюс8010A0000000038010
Mastercard (США)A000000004Кредитная или дебетовая карта Mastercard1010A0000000041010
Mastercard [22]9999A0000000049999
Маэстро3060A0000000043060
Только карта Cirrus ATM6000A0000000046000
Программа аутентификации чипа Securecode8002A0000000048002
MastercardA000000005Maestro UK
(ранее Switch )		0001A0000000050001
American Express (США)A000000025Американский экспресс01A00000002501
Сеть банкоматов LINK (Великобритания)A000000029Карта банкомата1010A0000000291010
CB (Франция)A000000042CB (кредитная или дебетовая карта)1010A0000000421010
CB (только дебетовая карта)2010 г.A0000000422010
JCB (Япония)A000000065Японское кредитное бюро1010A0000000651010
Данкорт (Дания)A000000121Данкорт1010A0000001211010
VisaDankort4711A0000001214711
Данкорт (Дж. / Скоростной)4711A0000001214712
Consorzio Bancomat (Италия)A000000141Bancomat / PagoBancomat0001A0000001410001
Diners Club / Discover (США)A000000152Diners Club / Откройте для себя3010A0000001523010
Банрисул (Бразилия)A000000154Банрикомпрас Дебито4442A0000001544442
SPAN2 (Саудовская Аравия)A000000228ОХВАТЫВАТЬ1010A00000022820101010
Interac (Канада)A000000277Дебетовая карточка1010A0000002771010
Discover (США)A000000324ZIP1010A0000003241010
UnionPay (Китай)A000000333Списание средств010101A000000333010101
Кредит010102A000000333010102
Квазикредит010103A000000333010103
Электронная наличность010106A000000333010106
ZKA (Германия)A000000359Гирокард1010028001A0000003591010028001
EAPS Bancomat (Италия)A000000359PagoBancomat10100380A00000035910100380
Verve (Нигерия)A000000371Verve0001A0000003710001
Сеть банкоматов Exchange Network (Канада / США)A000000439Карта банкомата1010A0000004391010
RuPay (Индия)A000000524RuPay1010A0000005241010
Dinube (Испания)A000000630Инициирование платежа Dinube (PSD2)0101A0000006300101
МИР (Россия)A000000658МИР Дебет2010 г.A0000006582010
МИР Кредит1010A0000006581010
Эденред (Бельгия)A000000436Билет Ресторан0100A0000004360100
eftpos (Австралия)A000000384Экономия (дебетовая карта)10A00000038410
Чек (дебетовая карта)20A00000038420
GIM-UEMOA


(Восемь стран Западной Африки: Бенин, Буркина-Фасо, Кот-д'Ивуар, Гвинея-Бисау, Мали, Нигер, Сенегал, Того)

A000000337Ретрейт01 000001A000000337301000
Стандарт01 000002A000000337101000
Классический01 000003A000000337102000
Предоплата онлайн01 000004A000000337101001
Возможность предоплаты в автономном режиме01 000005A000000337102001
Porte Monnaie Electronique01 000006A000000337601001
Миза (Египет)A000000732карта meeza100123A000000732100123

Начать обработку заявки [ править ]

Терминал отправляет на карту команду получения параметров обработки . При подаче этой команды терминал снабжает карту любыми элементами данных, запрошенными картой в списке объектов данных опций обработки (PDOL). PDOL (список тегов и длин элементов данных) дополнительно предоставляется картой терминалу во время выбора приложения . Карта отвечает профилем обмена приложениями (AIP), списком функций, выполняемых при обработке транзакции. Карта также содержит указатель файлов приложения (AFL), список файлов и записей, которые терминал должен прочитать с карты. [ необходима цитата ]

Прочитать данные приложения [ редактировать ]

Смарт-карты хранят данные в файлах. AFL содержит файлы, содержащие данные EMV. Все они должны быть прочитаны с помощью команды чтения записи. EMV не указывает, в каких файлах хранятся данные, поэтому все файлы должны быть прочитаны. Данные в этих файлах хранятся в формате BER TLV . EMV определяет значения тегов для всех данных, используемых при обработке карт. [23]

Ограничения обработки [ править ]

Целью ограничений обработки является проверка того, следует ли использовать карту. Проверяются три элемента данных, считанных на предыдущем шаге: номер версии приложения, контроль использования приложения (показывает, предназначена ли карта только для домашнего использования и т. Д.), Проверка даты действия / истечения срока действия приложения. [ необходима цитата ]

Если какая-либо из этих проверок не удалась, карта не обязательно отклоняется. Терминал устанавливает соответствующий бит в результатах проверки терминала (TVR), компоненты которых формируют основу для принятия / отклонения решения позже в потоке транзакции. Эта функция позволяет, например, эмитентам карт разрешать держателям карт продолжать использовать карты с истекшим сроком действия после даты истечения срока их действия, но все транзакции с картой с истекшим сроком действия должны выполняться в режиме онлайн. [ необходима цитата ]

Автономная аутентификация данных (ODA) [ править ]

Автономная аутентификация данных - это криптографическая проверка для проверки карты с использованием криптографии с открытым ключом . В зависимости от карты можно выполнить три различных процесса: [ необходима ссылка ]

  • Статическая аутентификация данных (SDA) гарантирует, что данные, считанные с карты, были подписаны эмитентом карты. Это предотвращает изменение данных, но не предотвращает клонирование.
  • Динамическая аутентификация данных (DDA) обеспечивает защиту от изменения данных и клонирования.
  • Комбинированная криптограмма DDA / генерации приложения (CDA) объединяет DDA с генерацией криптограммы приложения карты для обеспечения действительности карты. Может потребоваться поддержка CDA в устройствах, поскольку этот процесс реализован на определенных рынках. Этот процесс не является обязательным в терминалах и может выполняться только там, где его поддерживают и карта, и терминал. [ необходима цитата ]

Сертификаты EMV [ править ]

Для проверки подлинности платежных карт используются сертификаты EMV. Центр сертификации EMV [24] выдает цифровые сертификаты эмитентам платежных карт. По запросу чип платежной карты предоставляет терминалу сертификат открытого ключа эмитента карты и SSAD. Терминал извлекает открытый ключ CA из локального хранилища и использует его для подтверждения доверия для CA и, если он доверяет, для проверки того, что открытый ключ эмитента карты был подписан CA. Если открытый ключ эмитента карты действителен, терминал использует открытый ключ эмитента карты для проверки того, что SSAD карты был подписан эмитентом карты. [25]

Проверка держателя карты [ изменить ]

Проверка держателя карты используется для оценки того, является ли лицо, предъявившее карту, законным держателем карты. EMV поддерживает множество методов проверки держателя карты (CVM). Они [ необходима цитата ]

  • Подпись
  • ПИН-код в открытом виде
  • Зашифрованный PIN-код в автономном режиме
  • Автономный текстовый PIN-код и подпись
  • Оффлайн зашифрованный PIN-код и подпись
  • ПИН-код онлайн
  • CVM не требуется
  • Ошибка обработки CVM

Терминал использует список CVM, считанный с карты, для определения типа проверки, которую необходимо выполнить. Список CVM устанавливает приоритет используемых CVM относительно возможностей терминала. Разные терминалы поддерживают разные CVM. Банкоматы обычно поддерживают онлайн-PIN. POS-терминалы различаются по поддержке CVM в зависимости от типа и страны. [ необходима цитата ]

Для автономных зашифрованных ПИН-методов терминал шифрует ПИН-блок с открытым текстом с помощью открытого ключа карты перед отправкой его на карту с помощью команды « Проверить» . Для метода онлайн-ПИН блок ПИН-кода в открытом виде зашифровывается терминалом с использованием его двухточечного ключа шифрования перед его отправкой процессору эквайера в сообщении с запросом на авторизацию.

В 2017 году EMVCo добавила поддержку методов биометрической верификации в версии 4.3 спецификаций EMV [26].

Управление терминальными рисками [ править ]

Управление рисками терминалов выполняется только на устройствах, на которых необходимо принять решение о том, должна ли транзакция авторизоваться онлайн или офлайн. Если транзакции всегда выполняются в режиме онлайн (например, банкоматы) или всегда в автономном режиме, этот шаг можно пропустить. Управление терминальным риском проверяет сумму транзакции на соответствие пределу автономного потолка (выше которого транзакции должны обрабатываться в интерактивном режиме). Также возможно иметь 1 в онлайн-счетчике и проверку по списку горячих карт (что необходимо только для автономных транзакций). Если результат любого из этих тестов положительный, терминал устанавливает соответствующий бит в результатах верификации терминала (TVR). [27]

Анализ терминального действия [ править ]

Результаты предыдущих шагов обработки используются для определения того, должна ли транзакция быть одобрена в автономном режиме, отправлена ​​в оперативный режим для авторизации или отклонена в автономном режиме. Это выполняется с помощью комбинации объектов данных, известных как коды действий терминала (TAC), хранящихся в терминале, и кодов действий эмитента (IAC), считываемых с карты. TAC логически объединяется с IAC, чтобы предоставить эквайеру уровень контроля над результатом транзакции. [ необходима цитата ]

Оба типа кода действия принимают значения Denial, Online и Default. Каждый код действия содержит серию битов, которые соответствуют битам в результатах проверки терминала (TVR), и используются для принятия терминалом решения о том, принять, отклонить или перейти в режим онлайн для платежной транзакции. TAC устанавливается эквайером карты; на практике схемы карт рекомендуют настройки TAC, которые следует использовать для конкретного типа терминала в зависимости от его возможностей. IAC устанавливается эмитентом карты; Некоторые эмитенты карт могут решить, что карты с истекшим сроком действия должны быть отклонены, установив соответствующий бит в Denial IAC. Другие эмитенты могут захотеть, чтобы транзакция продолжалась в интерактивном режиме, чтобы в некоторых случаях они могли разрешить выполнение этих транзакций. [ необходима цитата ]

Устройство, доступное только в режиме онлайн, такое как банкомат, всегда пытается выйти в сеть с запросом авторизации, если только он не отклонен в автономном режиме из-за кодов действий эмитента - настройки отказа. Во время обработки IAC-Denial и TAC-Denial для устройства, работающего только в режиме онлайн, единственным релевантным битом результатов проверки Терминала является «Сервис не разрешен». [ необходима цитата ]

Когда устройство, работающее только в режиме онлайн, выполняет обработку IAC — Online и TAC — Online, единственным релевантным битом TVR является «Значение транзакции превышает минимальный предел». Поскольку нижний предел установлен на ноль, транзакция всегда должна переходить в оперативный режим, а все другие значения в TAC — Online или IAC — Online не имеют значения. Устройствам, работающим только в режиме онлайн, не требуется выполнять обработку IAC по умолчанию. [ необходима цитата ]

Анализ действия первой карты [ править ]

Одним из объектов данных, считываемых с карты на этапе чтения данных приложения, является CDOL1 (список объектов данных карты). Этот объект представляет собой список тегов, которые карта хочет отправить ей, чтобы принять решение о том, одобрить или отклонить транзакцию (включая сумму транзакции, но и многие другие объекты данных). Терминал отправляет эти данные и запрашивает криптограмму с помощью команды создания криптограммы приложения. В зависимости от решения терминала (офлайн, онлайн, отказ) терминал запрашивает с карты одну из следующих криптограмм: [ необходима цитата ]

  • Сертификат транзакции (TC) - офлайн-утверждение
  • Криптограмма запроса авторизации (ARQC) - онлайн-авторизация
  • Криптограмма проверки подлинности приложения (AAC) - отказ в автономном режиме.

Этот шаг дает карте возможность принять анализ действий терминала или отклонить транзакцию или принудительно выполнить транзакцию в режиме онлайн. Карта не может вернуть TC, когда был запрошен ARQC, но может вернуть ARQC, когда был запрошен TC. [ необходима цитата ]

Авторизация онлайн-транзакции [ править ]

Транзакции переходят в режим онлайн после запроса ARQC. ARQC отправляется в сообщении авторизации. Карта генерирует ARQC. Его формат зависит от приложения карты. EMV не определяет содержимое ARQC. ARQC, созданный приложением карты, представляет собой цифровую подпись деталей транзакции, которую эмитент карты может проверить в режиме реального времени. Это обеспечивает надежную криптографическую проверку подлинности карты. Эмитент отвечает на запрос авторизации кодом ответа (принятие или отклонение транзакции), криптограммой ответа авторизации (ARPC) и, возможно, скриптом эмитента (строкой команд, которые должны быть отправлены на карту). [ необходима цитата ]

Обработка ARPC не выполняется в контактных транзакциях, обрабатываемых с помощью Visa Quick Chip [28] для EMV и Mastercard M / Chip Fast [29], а также в бесконтактных транзакциях по схемам, поскольку карта удаляется из считывающего устройства после создания ARQC.

Анализ действия второй карты [ править ]

CDOL2 (список объектов данных карты) содержит список тегов, которые карта хотела бы отправить после авторизации транзакции онлайн (код ответа, ARPC и т. Д.). Даже если по какой-либо причине терминал не может выйти в онлайн (например, сбой связи), терминал должен снова отправить эти данные на карту, используя команду генерации криптограммы авторизации. Это позволяет карте узнать ответ эмитента. После этого приложение карты может сбросить ограничения на использование в автономном режиме.

Обработка скрипта эмитента [ править ]

Если эмитент карты хочет обновить пост-выпуск карты, он может отправлять команды на карту, используя обработку сценария эмитента. Скрипты эмитента не имеют смысла для терминала и могут быть зашифрованы между картой и эмитентом для обеспечения дополнительной безопасности. Скрипт эмитента можно использовать для блокировки карт или изменения параметров карты. [30]

Обработка сценария эмитента недоступна в контактных транзакциях, обрабатываемых с помощью Visa Quick Chip [31] для EMV и Mastercard M / Chip Fast, [32], а также для бесконтактных транзакций в разных схемах.

Контроль стандарта EMV [ править ]

Контактная площадка для электрического интерфейса на лицевой стороне кредитной карты

Первая версия стандарта EMV была опубликована в 1995 году. Сейчас стандарт определяется и управляется частной корпорацией EMVCo LLC. В настоящее время членами EMVCo [33] являются American Express , Discover Financial , JCB International , Mastercard , China UnionPay и Visa Inc. Каждая из этих организаций владеет равной долей в EMVCo и имеет представителей в организации EMVCo и рабочих группах EMVCo.

Признание соответствия стандарту EMV (т. Е. Сертификация устройства) выдается EMVCo после представления результатов испытаний, проведенных аккредитованной испытательной лабораторией. [ необходима цитата ]

Тестирование на соответствие EMV имеет два уровня: EMV Level 1, который охватывает интерфейсы физического, электрического и транспортного уровня, и EMV Level 2, который охватывает выбор платежных приложений и обработку кредитных финансовых транзакций. [ необходима цитата ]

После прохождения общих тестов EMVCo программное обеспечение должно быть сертифицировано платежными брендами на предмет соответствия проприетарным реализациям EMV, таким как Visa VSDC, American Express AEIPS, Mastercard MChip, JCB JSmart или EMV-совместимым реализациям сторонних участников, таких как LINK в Великобритания или Interac в Канаде. [ необходима цитата ]

Список документов и стандартов EMV [ править ]

По состоянию на 2011 год, начиная с версии 4.0, официальные стандартные документы EMV, которые определяют все компоненты платежной системы EMV, публикуются в виде четырех «книг» и некоторых дополнительных документов:

  • Книга 1: Требования к интерфейсу ICC и терминала, не зависящие от приложения [21]
  • Книга 2: Безопасность и управление ключами [34]
  • Книга 3: Спецификация приложения [35]
  • Книга 4: Требования к интерфейсу держателя карты, оператора и эквайера [36]
  • Общая спецификация платежного приложения [37]
  • Спецификация персонализации карты EMV [38]

Версии [ править ]

Первый стандарт EMV появился в 1995 году как EMV 2.0. Это было обновлено до EMV 3.0 в 1996 году (иногда называемое EMV '96) с более поздними поправками к EMV 3.1.1 в 1998 году. Это было дополнительно исправлено до версии 4.0 в декабре 2000 года (иногда называемой EMV 2000). Версия 4.0 вступила в силу в июне 2004 года. Версия 4.1 вступила в силу в июне 2007 года. Версия 4.2 действует с июня 2008 года. Версия 4.3 действует с ноября 2011 года. [39]

Уязвимости [ править ]

Возможность сбора PIN-кодов и клонирования магнитных полос [ править ]

Помимо данных второй дорожки на магнитной полосе, карты EMV обычно содержат идентичные данные, закодированные на микросхеме, которые считываются как часть обычного процесса транзакции EMV. Если устройство чтения EMV скомпрометировано до такой степени, что перехватывается разговор между картой и терминалом, злоумышленник может восстановить как данные дорожки-два, так и PIN-код, что позволит создать карту с магнитной полосой, которая, в то время как не может использоваться в терминале с чипом и PIN-кодом, может использоваться, например, в оконечных устройствах, которые позволяют откатиться к обработке магнитной полосы для иностранных клиентов без чип-карт и дефектных карт. Эта атака возможна только в том случае, если (а) автономный ПИН-код представлен в открытом виде устройством ввода ПИН-кода на карту,где (b) запасной вариант магнитной полосы разрешен эмитентом карты и (c) эмитент карты не может проводить географические и поведенческие проверки.[ необходима цитата ]

APACS , представляющая платежную индустрию Великобритании, заявила, что изменения, внесенные в протокол (где значения проверки карты различаются между магнитной полосой и чипом - iCVV), сделали эту атаку неэффективной и что такие меры будут приняты с января 2008 года. [40 ] Тесты карт в феврале 2008 г. показали, что это могло быть отложено. [41]

Успешные атаки [ править ]

Захват разговора - это форма атаки, которая, как сообщается, имела место против терминалов Shell в мае 2006 года, когда они были вынуждены отключить всю аутентификацию EMV на своих заправочных станциях после того, как у клиентов было украдено более 1 миллиона фунтов стерлингов. [42]

В октябре 2008 года сообщалось, что сотни считывателей карт EMV для использования в Великобритании, Ирландии, Нидерландах, Дании и Бельгии были искусно взломаны в Китае во время или вскоре после производства. В течение 9 месяцев данные и ПИН-коды кредитных и дебетовых карт отправлялись по сетям мобильной связи преступникам в Лахоре , Пакистан. США Национальной Контрразведки Исполнительный Джоэл Бреннер сказал: «Раньше лишь в несколько государственной нации «сек спецслужбыбыли бы в состоянии осуществить этот тип операции. Это страшно ». Данные обычно использовались через пару месяцев после транзакции по карте, чтобы следователям было труднее выявить уязвимость. После обнаружения мошенничества было обнаружено, что взломанные терминалы могут быть идентифицированы, поскольку дополнительные схемы увеличивают их вес примерно на 100 г. Предполагается, что были украдены десятки миллионов фунтов стерлингов [43]. Эта уязвимость подтолкнула усилия по внедрению лучшего контроля над электронными POS-устройствами на протяжении всего их жизненного цикла, практика, одобренная такими стандартами безопасности электронных платежей, как эти. разрабатывается Secure POS Vendor Alliance (SPVA). [44]

Сбор PIN-кода и клонирование полосы [ править ]

В феврале 2008 года в программе BBC Newsnight исследователи Кембриджского университета Стивен Мердок и Саар Дример продемонстрировали один пример атаки, чтобы проиллюстрировать, что чип и PIN-код недостаточно безопасны, чтобы оправдать передачу ответственности за доказательство мошенничества с банков на клиентов. [45] [46] Эксплуатация Кембриджского университета позволила экспериментаторам получить данные карты для создания магнитной полосы и PIN-кода.

APACS , британская платежная ассоциация, не согласилась с большей частью отчета, заявив, что «типы атак на устройства ввода PIN-кода, подробно описанные в этом отчете, сложно предпринять и в настоящее время экономически невыгодно для мошенников». [47] Они также заявили, что изменения в протоколе (указание различных значений верификации карты между чипом и магнитной полосой - iCVV) сделают эту атаку неэффективной с января 2008 года. В октябре 2008 года мошенничество, о котором сообщалось, действовало в течение 9 месяцев (см. выше), вероятно, действовал в то время, но не был обнаружен в течение многих месяцев.

В августе 2016 года исследователи компьютерной безопасности NCR (компания платежных технологий) показали, как похитители кредитных карт могут переписать код магнитной полосы, чтобы она выглядела как карта без чипа, что позволяет подделывать ее. [ необходима цитата ]

2010: Скрытое оборудование отключает проверку PIN-кода на украденной карте [ править ]

11 февраля 2010 года команда Мердока и Драймера из Кембриджского университета объявила, что они обнаружили «недостаток в микросхеме и ПИН-коде, настолько серьезный, что они думают, что он показывает, что вся система нуждается в переписывании», что было «настолько простым, что это их шокировало». [48] [49] Украденная карта подключается к электронной схеме и к поддельной карте, которая вставляется в терминал (« атака посредника »). Вводятся любые четыре цифры, которые принимаются в качестве действительного ПИН-кода. [ необходима цитата ]

Команда BBC NewsnightПрограмма посетила кафетерий Кембриджского университета (с разрешения) с системой и смогла оплатить с помощью своих собственных карт (вор мог использовать украденные карты), подключенных к цепи, вставив поддельную карту и набрав «0000» в качестве ПИН-кода. Транзакции регистрировались в обычном режиме и не отслеживались системами безопасности банков. Один из членов исследовательской группы сказал: «Даже мелкие криминальные системы имеют лучшее оборудование, чем мы. Уровень технической сложности, необходимой для проведения этой атаки, действительно довольно низок». В объявлении об уязвимости говорилось: «Требуемый опыт невысокий (электроника на уровне бакалавриата) ... Мы оспариваем утверждение банковской отрасли о том, что преступники недостаточно искушены,потому что они уже продемонстрировали гораздо более высокий уровень навыков, чем это необходимо для этой атаки, в их миниатюрных скиммерах устройства ввода ПИН-кода ». Неизвестно, была ли использована эта уязвимость.[ необходима цитата ]

EMVCo не согласился и опубликовал ответ, в котором говорилось, что, хотя такая атака может быть теоретически возможной, ее будет чрезвычайно сложно и дорого провести успешно, что текущие компенсирующие меры, вероятно, обнаружат или ограничат мошенничество, и что возможная финансовая выгода от атака минимальна, в то время как риск отклонения транзакции или разоблачения мошенника значительный. [50]

Когда к нам обратились за комментариями, несколько банков (Co-operative Bank, Barclays и HSBC) заявили, что это проблема всей отрасли, и направили команду Newsnight в ассоциацию банковской торговли для получения дальнейших комментариев. [51] По словам Фила Джонса из Ассоциации потребителей , чип и ПИН-код помогли снизить случаи карточных преступлений, но многие случаи остаются необъясненными. «Что мы действительно знаем, так это то, что у нас есть дела, выдвинутые отдельными лицами, которые кажутся весьма убедительными». [ необходима цитата ]

Поскольку отправка ПИН-кода подавлена, это точный эквивалент выполнения продавцом транзакции обхода ПИН-кода. Такие транзакции не могут быть успешными в автономном режиме, поскольку карта никогда не генерирует автономную авторизацию без успешного ввода ПИН-кода. В результате этого транзакция ARQC должна быть отправлена ​​онлайн эмитенту, который знает, что ARQC был сгенерирован без успешной отправки PIN-кода (поскольку эта информация включена в зашифрованный ARQC) и, следовательно, может отклонить транзакцию, если это было связано с высокой стоимостью, несоответствием характеру или иным образом с типичными параметрами управления рисками, установленными эмитентом. [ необходима цитата ]

Первоначально клиенты банка должны были доказать, что они не проявили халатность со своим PIN-кодом, прежде чем получить компенсацию, но правила Великобритании, действующие с 1 ноября 2009 года, жестко возлагали бремя на банки, чтобы доказать, что клиент проявил халатность в любом споре, с Заказчику дано 13 месяцев на предъявление претензии. [52] Мердок сказал, что «[банкам] следует оглянуться на предыдущие транзакции, в которых клиент сказал, что его PIN-код не использовался, а банковская запись показала, что это так, и рассмотреть вопрос о возмещении этим клиентам, потому что они могут быть жертвами этого типа. мошенничества ". [ необходима цитата ]

2011: переход на более раннюю версию CVM позволяет произвольно извлекать ПИН-код [ править ]

На конференции CanSecWest в марте 2011 года Андреа Барисани и Даниэле Бьянко представили исследование, раскрывающее уязвимость в EMV, которая позволяет произвольно собирать PIN-код, несмотря на конфигурацию карты проверки держателя карты, даже если поддерживаемые данные CVM подписаны. [53]

Сбор ПИН-кода может выполняться с помощью флотатора. По сути, список CVM, который был изменен для понижения CVM до автономного ПИН-кода, по-прежнему соблюдается POS-терминалами, несмотря на то, что его подпись недействительна. [54]

Реализация [ править ]

Первоначально EMV означало Europay , Mastercard и Visa - три компании, создавшие стандарт. Стандарт теперь управляется EMVCo , консорциумом финансовых компаний. [ необходима цитата ] Наиболее широко известные микросхемы стандарта EMV: [ когда? ]

  • ВИС: Виза
  • Чип Mastercard: Mastercard
  • AEIPS: American Express
  • UICS: China Union Pay
  • J Smart: JCB
  • D-PAS: Discover / Diners Club International
  • Рупай: NPCI
  • Verve

Visa и Mastercard также разработали стандарты использования карт EMV в устройствах для поддержки транзакций без предъявления карт (CNP) по телефону и через Интернет. Mastercard имеет программу аутентификации чипа (CAP) для безопасной электронной коммерции. Его реализация известна как EMV-CAP и поддерживает несколько режимов. Visa имеет схему динамической аутентификации с использованием пароля (DPA), которая является их реализацией CAP с использованием различных значений по умолчанию.

Во многих странах мира платежные системы дебетовыми и / или кредитными картами ввели сдвиг ответственности. [ необходима цитата ] Обычно эмитент карты несет ответственность за мошеннические транзакции. Однако после реализации сдвига ответственности, если банкомат или торговый терминал продавца не поддерживает EMV, владелец банкомата или продавец несет ответственность за мошенническую транзакцию.

Системы с чипом и PIN-кодом могут создавать проблемы для путешественников из стран, которые не выпускают карты с чипом и PIN-кодом, поскольку некоторые розничные продавцы могут отказать в приеме их бескиповых карт. [55] Хотя большинство терминалов по-прежнему принимают карты с магнитной полосой, а основные бренды кредитных карт требуют, чтобы продавцы принимали их, [56] некоторые сотрудники могут отказать в приеме карты, полагая, что они несут ответственность за любое мошенничество, если карта не может проверить PIN-код. Карты без чипа и PIN-кода также могут не работать в некоторых автоматических торговых автоматах, например, на вокзалах или в кассах самообслуживания в супермаркетах. [57]

Африка [ править ]

  • Сдвиг ответственности Mastercard между странами этого региона произошел 1 января 2006 года. [58] К 1 октября 2010 года смещение ответственности произошло для всех транзакций в точках продаж. [59]
  • Изменение ответственности Visa для точек продаж произошло 1 января 2006 г. Для банкоматов изменение ответственности произошло 1 января 2008 г. [60]

Южная Африка [ править ]

  • Смена ответственности Mastercard произошла 1 января 2005 г. [58]

Страны Азиатско-Тихоокеанского региона [ править ]

  • Сдвиг ответственности Mastercard между странами этого региона произошел 1 января 2006 г. [58] К 1 октября 2010 г. смещение ответственности произошло для всех транзакций в точках продаж, за исключением внутренних транзакций в Китае и Японии. [59]
  • Сдвиг ответственности Visa для точек продаж состоялся 1 октября 2010 года. [60] Для банкоматов дата смещения ответственности состоялась 1 октября 2015 года, за исключением Китая, Индии, Японии и Таиланда, где смещение ответственности произошло 1 октября 2017. [61] Внутренние банкоматные операции в Китае в настоящее время не подлежат крайнему сроку сдвига ответственности.

Австралия [ править ]

  • Mastercard требует, чтобы все терминалы в торговых точках были совместимы с EMV к апрелю 2013 года. Для банкоматов сдвиг ответственности произошел в апреле 2012 года. К концу 2015 года банкоматы должны быть совместимы с EMV [62]
  • Перенос ответственности Visa в отношении банкоматов состоялся 1 апреля 2013 года. [60]

Малайзия [ править ]

  • Малайзия - первая страна в мире, полностью перешедшая на смарт-карты, совместимые с EMV, через два года после ее внедрения в 2005 году. [63] [64]

Новая Зеландия [ править ]

  • Mastercard требует, чтобы все терминалы в торговых точках были совместимы с EMV к 1 июля 2011 года. Для банкоматов сдвиг ответственности произошел в апреле 2012 года. Банкоматы должны быть совместимы с EMV к концу 2015 года. [62]
  • Изменение ответственности Visa в отношении банкоматов произошло 1 апреля 2013 года. [60]

Европа [ править ]

  • Смена ответственности Mastercard произошла 1 января 2005 г. [58]
  • Изменение ответственности Visa для точек продаж произошло 1 января 2006 г. Для банкоматов изменение ответственности произошло 1 января 2008 г. [60]
  • Франция сократила количество случаев мошенничества с картами более чем на 80% с момента его введения в 1992 году (см. Carte Bleue ).

Соединенное Королевство [ править ]

Чип и PIN-код Великобритании логотип

Чип и ПИН-код были испытаны в Нортгемптоне , Англия, с мая 2003 г. [65], и в результате 14 февраля 2006 г. [66] были развернуты по всей Великобритании с рекламой в прессе и на национальном телевидении, рекламирующей «Безопасность в цифрах». лозунг. На первых этапах развертывания, если считалось, что произошла мошенническая транзакция с магнитной картой, банк-эмитент возмещал розничному продавцу деньги, как это было до введения чипа и PIN-кода. 1 января 2005 г. ответственность по таким операциям перешла к розничному продавцу; это послужило стимулом для розничных продавцов к обновлению своих торговых точек.(PoS) системы и большинство крупных уличных сетей были модернизированы вовремя к крайнему сроку EMV. Многие малые предприятия изначально не хотели обновлять свое оборудование, поскольку для этого требовалась совершенно новая система PoS - значительные вложения.

Новые карты с магнитными полосами и чипами теперь выпускаются всеми крупными банками. Замена карт с предварительным чипом и PIN-кодом была серьезной проблемой, поскольку банки просто заявили, что потребители получат свои новые карты «по истечении срока действия их старой карты» - несмотря на то, что многие люди имели карты со сроком действия еще в 2007 году. Switch потеряла крупный контракт с HBOS с Visa , поскольку они не были готовы выпустить новые карты так рано, как того требовал банк.

Внедрение чипа и PIN-кода подверглось критике как предназначенное для снижения ответственности банков в случаях заявленного мошенничества с картами, требуя от клиента доказать, что он действовал «с разумной осторожностью» для защиты своего PIN-кода и карты, а не о том, что банк должен доказать соответствие подписи. До появления чипа и PIN-кода, если подпись клиента была подделана, банки несли юридическую ответственность и должны были возместить клиенту расходы. До 1 ноября 2009 г. не существовало такого закона, защищающего потребителей от мошенничества с использованием их чипов и PIN-кодов, только добровольный банковский код.. Было много сообщений о том, что банки отказывались возмещать жертвам мошенничества с использованием карт, утверждая, что их системы не могут дать сбой в указанных обстоятельствах, несмотря на несколько задокументированных успешных крупномасштабных атак. [ необходима цитата ]

Положения о платежных услугах 2009 года вступили в силу 1 ноября 2009 года [67] и возложили на банки ответственность доказать, а не предполагать, что владелец карты виноват. [52] Управление финансовых услуг (FSA) заявило, что «банк, строительный кооператив или компания, выпускающая кредитные карты, должны доказать, что транзакция была совершена вами, и не было сбоев в процедурах или технических трудностей», прежде чем отказаться от ответственности.

Латинская Америка и Карибский бассейн [ править ]

  • Перераспределение ответственности Mastercard между странами этого региона произошло 1 января 2005 г. [58]
  • Сдвиг ответственности Visa для точек продаж состоялся 1 октября 2012 года для всех стран в этом регионе, которые еще не внедрили сдвиг ответственности. Для банкоматов сдвиг ответственности произошел 1 октября 2014 года для всех стран в этом регионе, которые еще не внедрили сдвиг ответственности. [60]

Бразилия [ править ]

  • Смена ответственности Mastercard произошла 1 марта 2008 г. [58]
  • Изменение ответственности Visa для точек продаж произошло 1 апреля 2011 года. Для банкоматов изменение ответственности произошло 1 октября 2012 года. [60]

Колумбия [ править ]

  • Изменение ответственности Mastercard произошло 1 октября 2008 г. [58]

Мексика [ править ]

  • 1 октября 2015 года Discover внедрила сдвиг ответственности. Что касается оплаты на заправочных станциях, то сдвиг ответственности состоялся 1 октября 2017 года. [68]
  • Изменение ответственности Visa для точек продаж произошло 1 апреля 2011 года. Для банкоматов изменение ответственности произошло 1 октября 2012 года. [60]

Венесуэла [ править ]

  • Смена ответственности Mastercard произошла 1 июля 2009 года. [58]

Ближний Восток [ править ]

  • Сдвиг ответственности Mastercard между странами этого региона произошел 1 января 2006 года. [58] К 1 октября 2010 года смещение ответственности произошло для всех транзакций в точках продаж. [59]
  • Изменение ответственности Visa для точек продаж произошло 1 января 2006 г. Для банкоматов изменение ответственности произошло 1 января 2008 г. [60]

Северная Америка [ править ]

Канада [ править ]

  • 31 октября 2012 года American Express осуществила сдвиг в ответственности. [69] [ рекламный источник? ]
  • 1 октября 2015 года Discover внедрила сдвиг ответственности для всех транзакций, за исключением операций с оплатой по факту на заправочных станциях; эти транзакции были перенесены 1 октября 2017 года. [68] [ необходим сторонний источник ]
  • Interac (канадская сеть дебетовых карт) прекратила обработку не-EMV-транзакций в банкоматах 31 декабря 2012 года и ввела обязательные EMV-транзакции в торговых точках 30 сентября 2016 года, а 31 декабря 2015 года произошел сдвиг в ответственности. [70] [ неудачная проверка ] [ необходим сторонний источник ]
  • 31 марта 2011 года Mastercard внедрила сдвиг обязательств по внутренней транзакции, а 15 апреля 2011 года - сдвиг по международным обязательствам. Для оплаты на заправочных станциях сдвиг ответственности был введен 31 декабря 2012 года. [69]
  • 31 марта 2011 года Visa осуществила сдвиг обязательств по внутренним операциям, а 31 октября 2010 года - сдвиг по международным обязательствам. 31 декабря 2012 года для оплаты на заправках на заправочных станциях сдвиг ответственности был введен [69].
  • За 5-летний период после перехода на EMV количество мошеннических транзакций с использованием внутренних карт и карт в Канаде значительно сократилось. Согласно отчетам Helcim, мошенничество с внутренними дебетовыми картами с предъявлением карт сократилось на 89,49%, а мошенничество с кредитными картами - на 68,37%. [71] [ рекламный источник? ]

Соединенные Штаты [ править ]

После широко распространенной кражи личных данных из-за слабой безопасности в торговых точках Target , Home Depot и других крупных розничных продавцов, Visa, Mastercard и Discover [72] в марте 2012 года - и American Express [73] в июне 2012 года - объявили планы миграции на EMV в США. [74] С момента объявления несколько банков и эмитентов карт анонсировали карты с технологией чипа и подписи EMV, включая American Express, Bank of America, Citibank, Wells Fargo , [75] JPMorgan Chase, US Bank и несколько кредитных союзов. .

В 2010 году ряд компаний начали выпускать предоплаченные дебетовые карты с чипом и PIN-кодом, позволяющие американцам загружать наличные в евро или фунтах стерлингов . [76] [ рекламный источник? ] Федеральный кредитный союз Организации Объединенных Наций был первым эмитентом США, который предложил кредитные карты с чипом и PIN-кодом. [77] В мае 2010 года в пресс-релизе Gemalto (глобального производителя карт EMV) указывалось, что Федеральный кредитный союз Организации Объединенных Наций в Нью-Йорке станет первым эмитентом карт EMV в Соединенных Штатах, предлагающим своим клиентам кредитную карту EMV Visa. . [78]JPMorgan был первым крупным банком, который в середине 2012 года представил карту с технологией EMV, а именно карту Palladium. [79]

По состоянию на апрель 2016 года 70% потребителей в США имеют карты EMV, а по состоянию на декабрь 2016 года примерно 50% продавцов соответствуют требованиям EMV. [80] [81] Однако развертывание у разных поставщиков было медленным и непоследовательным. Даже продавцы с оборудованием EMV могут быть не в состоянии обрабатывать транзакции с чипами из-за недостатков программного обеспечения или соответствия требованиям. [82] Bloomberg также указал на проблемы с развертыванием программного обеспечения, включая изменения звуковых подсказок для компьютеров Verifone, на выпуск и развертывание которых может уйти несколько месяцев. Однако отраслевые эксперты ожидают в США большей стандартизации развертывания программного обеспечения и стандартов. Visa и Mastercardоба внедрили стандарты для ускорения транзакций с микросхемой, чтобы сократить время, необходимое для их выполнения, до менее трех секунд. Эти системы имеют маркировку Visa Quick Chip и Mastercard M / Chip Fast. [83]

  • 1 октября 2015 г. American Express ввела сдвиг в отношении ответственности для терминалов торговых точек. [84] [ рекламный источник? ] Для оплаты на заправке на заправочных станциях смещение ответственности наступает 16 апреля 2021 года. Оно было продлено с 1 октября 2020 года из-за осложнений, связанных с коронавирусом. [85]
  • Откройте для себя введенный сдвиг ответственности 1 октября 2015 года. Для оплаты на заправке на заправочных станциях сдвиг ответственности наступает 1 октября 2020 года. [68]
  • 19 апреля 2013 года Maestro ввела сдвиг ответственности для международных карт, используемых в США. [86]
  • Mastercard осуществила сдвиг ответственности для терминалов торговых точек 1 октября 2015 года. [84] Для оплаты на заправочной станции на заправочных станциях сдвиг ответственности формально наступает 1 октября 2020 года. [87] Для банкоматов дата изменения ответственности была 1 октября. Октябрь 2016 г. [88] [89]
  • Visa осуществила сдвиг ответственности для терминалов торговых точек 1 октября 2015 года. Для оплаты на заправочной станции на заправочных станциях сдвиг ответственности формально наступает 1 октября 2020 года. [87] [90] Для банкоматов дата изменения ответственности была 1 октября. Октябрь 2017 г. [61]

См. Также [ править ]

  • Бесконтактная оплата
  • Атака на цепочку поставок
  • Двухфакторная аутентификация
  • Код MM

Ссылки [ править ]

  1. ^ Chen, Zhiqun (2000). Технология Java Card для смарт-карт: Руководство по архитектуре и программисту . Эддисон-Уэсли Профессионал . С.  3-4 . ISBN 9780201703290.
  2. ^ «Краткий обзор смарт-карт (обновление 2019)» . Gemalto . 7 октября 2019 . Проверено 27 октября 2019 года .
  3. Соренсен, Эмили (26 июля 2019 г.). «Подробная история автоматов для кредитных карт» . Мобильная транзакция . Проверено 27 октября 2019 года .
  4. ^ Veendrick, Гарри JM (2017). ИС нанометрового КМОП: от основ до ASIC . Springer. п. 315. ISBN 9783319475974.
  5. ^ "Члены EMVCo" . EMVCo . Дата обращения 10 мая 2015 .
  6. ^ https://www.emvco.com/get-involved/associates/
  7. ^ «China UnionPay присоединяется к EMVCo» (пресс-релиз). Finextra Research. 20 мая 2013 . Дата обращения 10 мая 2015 .
  8. ^ «Discover присоединяется к EMVCo, чтобы помочь продвигать глобальные стандарты EMV» . Откройте для себя сетевые новости. 3 сентября 2013 . Дата обращения 10 мая 2015 .
  9. ^ "Международный сайт Rupay" .
  10. ^ «Дебетовые карты NPCI RuPay, конкурирующие с Visa и Mastercard» . The Economic Times . 27 марта 2012 . Проверено 25 июля 2019 .
  11. ^ «Visa и MasterCard поддерживают общие решения для включения дебетовой маршрутизации чипа в США» . Mastercard.
  12. ^ «Сдвиг ответственности за мошеннические операции» . Карточная ассоциация Великобритании . Дата обращения 10 мая 2015 .
  13. ^ «Понимание изменений ответственности за мошенничество в США в 2015 году» (PDF) . www.emv-connection.com . EMV Migration Forum. Архивировано из оригинального (PDF) 19 сентября 2015 года . Проверено 15 ноября 2015 года .
  14. ^ «Почему вы все еще не застрахованы от мошенничества, если у вас есть кредитная карта с чипом» . ABC News .
  15. ^ "Chip-and-PIN vs. Chip-and-Signature" , CardHub.com, получено 31 июля 2012 г.
  16. ^ «Обновление EMV: обсуждение с Федеральной резервной системой» (PDF) . Виза . Проверено 2 января 2017 года .
  17. Рианна Карлин, Патрисия (15 февраля 2017 г.). «Как уменьшить возвратные платежи, не убивая онлайн-продажи» . Forbes .
  18. ^ «BBC NEWS - Технологии - Код кредитной карты для борьбы с мошенничеством» . bbc.co.uk .
  19. ^ «Visa тестирует карты со встроенным PIN-кодом» . ЭТО ПРО .
  20. ^ «Как работает EMV (чип и PIN) - схема транзакции» . Creditcall Ltd . Дата обращения 10 мая 2015 .
  21. ^ a b «Книга 1: Требования к интерфейсу ICC и терминала, не зависящие от приложений» (PDF) . 4.3. EMVCo. 30 ноября 2011 . Проверено 20 сентября 2018 года .
  22. ^ «Продукты и услуги MasterCard - Документация» . Проверено 17 апреля 2017 года .
  23. ^ «Руководство по технологии чипов EMV» (PDF) . EMVCo. Ноябрь 2014 г.
  24. ^ "EMV CA" . Центр сертификации EMV во всем мире. 20 ноября 2010 . Проверено 20 марта 2020 года .
  25. ^ «Книга 2: Безопасность и управление ключами (PDF). 4.3» (PDF) . EMVCo. 29 ноября 2011 . Проверено 20 сентября 2018 года .
  26. ^ https://www.emvco.com/wp-content/uploads/2017/03/EMVCo-Website-Content-2.1-Contact-Portal-plus-Biometric-FAQ_v2.pdf
  27. ^ «Характеристики бесконтактных платежных систем» (PDF) . EMVCo.
  28. ^ https://usa.visa.com/visa-everywhere/security/visa-quick-chip.html
  29. ^ https://newsroom.mastercard.com/press-releases/mchip-fast-from-mastercard-speeds-emv-transactions-and-shoppers-through-checkout/
  30. ^ https://www.emvco.com/wp-content/uploads/documents/A-Guide-to-EMV-Chip-Technology-v3.0-1.pdf
  31. ^ https://usa.visa.com/visa-everywhere/security/visa-quick-chip.html
  32. ^ https://newsroom.mastercard.com/press-releases/mchip-fast-from-mastercard-speeds-emv-transactions-and-shoppers-through-checkout/
  33. ^ EMVCo. «Члены EMVCo» . Дата обращения 1 августа 2020 .
  34. ^ «Книга 2: Безопасность и управление ключами» (PDF) . 4.3. EMVCo. 29 ноября 2011 . Проверено 20 сентября 2018 года .
  35. ^ «Книга 3: Спецификация приложения» (PDF) . 4.3. EMVCo. 28 ноября 2011 . Проверено 20 сентября 2018 года .
  36. ^ «Книга 4: Требования к интерфейсу держателя карты, оператора и эквайера» (PDF) . 4.3. EMVCo. 27 ноября 2011 . Проверено 20 сентября 2018 года .
  37. ^ "SB CPA Specification v1 Plus Bulletins" (PDF) . EMVCo. 1 марта 2008 . Проверено 20 сентября 2018 года .
  38. ^ «Спецификация персонализации карты EMV®» (PDF) . EMVCo. 1 июля 2007 . Проверено 20 сентября 2018 года .
  39. ^ «Спецификации карт интегральных схем для платежных систем» . EMVCo . Проверено 26 марта 2012 года .
  40. ^ "Насколько безопасны чип и PIN-код?" . BBC Newsnight. 26 февраля 2008 г.
  41. ^ Саар Драймер; Стивен Дж. Мердок; Росс Андерсон. «Уязвимости устройства ввода PIN-кода (PED)» . Компьютерная лаборатория Кембриджского университета . Дата обращения 10 мая 2015 .
  42. ^ "Бензиновая фирма приостанавливает работу чипа и штифта" . BBC News . 6 мая 2006 . Проверено 13 марта 2015 года .
  43. ^ "Организованная преступность подделывает европейские устройства считывания карт" . Реестр. 10 октября 2008 г.
  44. ^ «Технические рабочие группы, Secure POS Vendor Alliance» . 2009. Архивировано из оригинального 15 апреля 2010 года.
  45. ^ "Чип и пин действительно безопасны?" . BBC News . 26 февраля 2008 . Проверено 2 мая 2010 года .
  46. ^ "Чип и булавка" . 6 февраля 2007 года Архивировано из оригинала 5 июля 2007 года.
  47. Джон Лейден (27 февраля 2008 г.). «Канцелярские скрепки нападения на шпажки Чип и ПИН» . Канал . Дата обращения 10 мая 2015 .
  48. ^ Стивен Дж. Мердок; Саар Дример; Росс Андерсон; Майк Бонд. «Проверка PIN-кода EMV» клин «уязвимость» . Компьютерная лаборатория Кембриджского университета . Проверено 12 февраля 2010 года .
  49. Сьюзан Уоттс (11 февраля 2010 г.). «Выявлены новые недоработки в системе чипов и штифтов» . BBC News . Проверено 12 февраля 2010 года .
  50. ^ «Ответ EMVCo на отчет Кембриджского университета об уязвимостях чипа и PIN-кода (« Chip and PIN is Broken »- февраль 2010 г.)» (PDF) . EMVCo. Архивировано из оригинального (PDF) 8 мая 2010 года . Проверено 26 марта 2010 года .
  51. ^ Сьюзен, Уоттс. «Выявлены новые недостатки в системе чипов и штифтов (11 февраля 2010 г.)» . Newsnight . BBC . Дата обращения 9 декабря 2015 .
  52. ^ a b Ричард Эванс (15 октября 2009 г.). «Карточное мошенничество: теперь банкам нужно доказывать вашу вину» . Телеграф . Дата обращения 10 мая 2015 .
  53. ^ Андреа Барисани; Даниэле Бьянко; Адам Лори; Зак Франкен (2011). «Чип и ПИН определенно сломаны» (PDF) . Aperture Labs . Дата обращения 10 мая 2015 .
  54. ^ Адам Лори; Зак Франкен; Андреа Барисани; Даниэле Бьянко. "EMV - Chip & Pin МВО Attack Понизить" . Aperture Labs и обратный путь . Дата обращения 10 мая 2015 .
  55. ^ «Кредитные карты США устарели, менее полезны за границей, так как карты« Чип и PIN »становятся все популярнее» . creditcards.com .[ постоянная мертвая ссылка ]
  56. ^ "Visa Australia" . visa-asia.com .
  57. Хиггинс, Мишель (29 сентября 2009 г.). «Для американцев пластик меньше покупают за границей» . Нью-Йорк Таймс . Проверено 17 апреля 2017 года .
  58. ^ a b c d e f g h i «Руководство по возвратным платежам» (PDF) . MasterCard во всем мире. 3 ноября 2010 . Дата обращения 10 мая 2015 .
  59. ^ a b c «Правила эксплуатации» (PDF) . Visa International. Архивировано 3 марта 2013 года из оригинального (PDF) .
  60. ^ a b c d e f g h i «Путешествие к динамическим данным» . Виза.[ постоянная мертвая ссылка ]
  61. ^ a b «Visa расширяет дорожную карту США по внедрению чипов EMV, чтобы включить банкоматы и стандартное дебетовое решение» (пресс-релиз). Фостер-Сити, Калифорния: Visa. 4 февраля 2013 . Дата обращения 10 мая 2015 .
  62. ^ a b «MasterCard объявляет о пятилетнем плане по изменению облика платежной индустрии в Австралии» . Mastercard Australia. Архивировано из оригинального 28 января 2013 года .
  63. ^ «Малайзия первой завершила миграцию карт на основе чипов» . Старт в сети.
  64. ^ «США учатся у Малайзии, 10 лет спустя» . The Rakyat Post. 14 октября 2015 г.
  65. ^ «Пробные кредитные карты с защитой от мошенничества» . BBC Business News . 11 апреля 2003 . Проверено 27 мая 2015 года .
  66. ^ Ассоциация карт Великобритании. «Руководство по чипам и PIN-кодам» (PDF) . Проверено 27 мая 2015 года .
  67. ^ Фонд, Интернет-память. "[АРХИВНОЕ СОДЕРЖАНИЕ] Веб-архив правительства Великобритании - Национальный архив" . Архивировано из оригинального 12 ноября 2008 года . Проверено 17 апреля 2017 года .
  68. ^ a b c «Откройте для себя введение в действие сдвига ответственности EMV к 2015 году» (пресс-релиз). Finextra Research. 12 ноября 2012 . Дата обращения 10 мая 2015 .
  69. ^ a b c «Сдвиг ответственности за чип» . globalpayments. Архивировано из оригинала на 30 июля 2013 года.
  70. ^ «Interac - Для торговцев» . Проверено 17 апреля 2017 года .
  71. ^ «EMV снижает количество случаев мошенничества с предъявлением карт в Канаде (инфографика) - официальный блог Helcim ™» . Проверено 17 апреля 2017 года .
  72. ^ «Discover реализует мандат EMV для США, Канады и Мексики» . Архивировано из оригинального 10 мая 2012 года .
  73. ^ «American Express объявляет о дорожной карте США EMV для продвижения контактных, бесконтактных и мобильных платежей» (пресс-релиз). Нью-Йорк: American Express. 29 июня 2012. Архивировано из оригинала 10 мая 2015 года . Дата обращения 10 мая 2015 .
  74. ^ "Неопределенная судьба EMV в США" . Протеановая оплата. Архивировано из оригинального 29 сентября 2013 года . Проверено 22 сентября 2012 года .
  75. ^ Camhi, Джонатан (3 августа 2012). «Wells Fargo представляет новую карту EMV для потребителей» . Банковские системы и технологии. Архивировано из оригинала на 5 июня 2014 года . Дата обращения 10 мая 2015 .
  76. ^ «Travelex предлагает первую в Америке карту предоплаты в иностранной валюте с чипом и PIN-кодом» . Деловой провод . Деловой провод. 1 декабря 2010 . Проверено 6 февраля 2014 года .
  77. ^ «UNFCU станет первым эмитентом в США, который предложит кредитные карты с чипом высокой безопасности» . Федеральный кредитный союз ООН .
  78. ^ Ray Wizbowski (13 мая 2010). «Федеральный кредитный союз Организации Объединенных Наций выбирает Gemalto в качестве первой глобальной платежной карты, выпущенной в США» (пресс-релиз). Остин, Техас: Gemalto . Дата обращения 10 мая 2015 .
  79. Пол Риглер (25 июля 2013 г.). «Праймер для кредитных карт с чип-пин-кодом и чип-и-подписью на 2013 год» . Частый деловой путешественник . Дата обращения 10 мая 2015 .
  80. ^ Goldman, Шарон (20 марта 2017). «Становится ли тернистый путь к розничному внедрению EMV?» . Проверено 17 апреля 2017 года .
  81. ^ "Опрос кредитных карт EMV" .
  82. ^ "У розничных продавцов есть считыватели чип-карт - почему они их не используют?" . Проверено 22 ноября 2017 года .
  83. ^ «План сделать чиповые кредитные карты менее раздражающими» . Bloomberg.com . 17 июля 2017 . Дата обращения 5 августа 2017 .
  84. ^ a b Кэти Медич (июль 2012 г.). «Миграция на EMV - вехи вехи платежного бренда» . Дата обращения 10 мая 2015 .
  85. ^ «Amex присоединяется к Visa, чтобы отложить миграцию EMV на газ в США» .
  86. ^ Дэвид Heun (10 сентября 2012). «MasterCard переносит политику ответственности за использование чип-карт EMV в банкоматы США» . SourceMedia. Архивировано из оригинального 22 февраля 2014 года . Дата обращения 10 мая 2015 .
  87. ^ a b «Задержка топливной ответственности EMV вызывает опасения по поводу мошенничества с картами» . Credit Union Times . Проверено 4 декабря +2016 .
  88. Бет Китченер (10 сентября 2012 г.). «MasterCard расширяет план перехода на EMV в США на банкоматы» (пресс-релиз). Покупка, Нью-Йорк: Mastercard . Дата обращения 10 мая 2015 .
  89. ^ «EMV для эквайеров США: семь руководящих принципов для готовности к EMV» (PDF) . Архивировано 5 июля 2016 года из оригинального (PDF) . Проверено 17 апреля 2017 года .
  90. ^ «Visa объявляет об участии США в глобальном изменении ответственности за подделки в точках продаж» (PDF) (пресс-релиз). Виза. 9 августа 2011 . Дата обращения 10 мая 2015 .

Внешние ссылки [ править ]

  • Официальный веб-сайт
  • Почему чип EMV используется в дебетовой / кредитной карте.