EMV
EMV (Europay + MasterCard + VISA) — международный стандарт для операций по банковским картам с чипом. Этот стандарт первоначально был разработан совместными усилиями компаний Europay, MasterCard и Visa, чтобы повысить уровень безопасности финансовых операций.
Стандарт EMV определяет физическое, электронное и информационное взаимодействие между банковской картой и платёжным терминалом для финансовых операций. Базируется на стандартах ISO/IEC 7816 для контактных карт, и стандартах ISO/IEC 14443 для бесконтактных карт.
Первый стандарт для платёжных карт Cartes Bancaires M4 был создан во Франции в 1986 году. EMV также предшествовал стандарт Geldkarte в Германии. EMV полностью совместим с этими двумя стандартами. Франция перевела все выпускаемые на территории страны карты на стандарт EMV.
В мае 2010 года было заявлено, что United Nations Federal Credit Union[en] в Нью-Йорке выпустит первую карту стандарта EMV в США[1].
Особенности и преимущества EMVПравить
Основные преимущества — повышенный уровень безопасности транзакций и возможность более точного контроля транзакций в «офлайн». Одна из целей EMV — повысить функциональность карт (например, платёжная карта с электронным проездным).
Повышенный уровень безопасности обеспечивается за счёт ухода от визуального контроля (проверка продавцом голограммы, подписи, сверка имени с удостоверением личности) к использованию ПИН-кода и криптографических алгоритмов, таких как DES, Triple DES, RSA и SHA для аутентификации карты.
Новый уровень безопасности позволил банкам-эмитентам карт перенести ответственность за утерянные средства таким образом, что теперь (с 1 января 2005 года в ЕС) торгующие организации или банки-эквайеры несут ответственность за мошеннические транзакции, совершенные при помощи систем, не поддерживающих стандарт EMV.
Уязвимости EMVПравить
Фундаментальных уязвимостей чисто чиповых карт стандарта EMV не существует на текущий момент (2020). Платёжные системы постоянно отслеживают ситуацию с текущим уровнем технологии и заранее ужесточают требования к длине криптографических ключей и криптографическим алгоритмам, использующимся при издании чиповых карт.
На текущий момент (2020) допустимо издание чиповых карт, содержащих в том числе и магнитную полосу на самой карте, а также значение СVV2 (его называют разными терминами в зависимости от платёжной системы карты). Именно возможность провести транзакцию по чиповой карте, не используя собственно чип, является фундаментальной уязвимостью используемой на данный момент технологии - то есть для успешной поддельной транзакции достаточно скопировать магнитную полосу, иногда даже не нужен ПИН в этом случае. Или, что даже более просто - для поддельной транзакции через интернет торговца достаточно знать полный номер карты, срок её действия, и значение СVV2, которые просто текстом напечатаны на самой карте.
Платёжные системы осознают данные опасности, и в настоящее время происходит постепенный отказ от технологий, которые потенциально уязвимы. Это делается с помощью переноса ответственности за мошеннические операции, проведённые небезопасным образом, на продавцов или банки-эквайеры. Это вынуждает последних отказываться от небезопасных методов приёма транзакций, запрещая их или переходя на защищённые технологии, например, 3-D Secure для интернет-платежей, и отказ от терминалов, принимающих исключительно карты по магнитной полосе и, как следствие, постепенное запрещение транзакций по магнитной полосе вообще.
Операции онлайн, по телефону и по почтеПравить
В то время как технология EMV помогла снизить уровень преступности в торговых точках, мошеннические транзакции переместились в более уязвимые транзакции по телефону, Интернету и почтовым переводам, известные в отрасли как транзакции без предъявления карты или транзакции CNP.[2] Операции CNP составили не менее 50% всех случаев мошенничества с кредитными картами.[3] Из-за физического расстояния продавец не может предоставить покупателю клавиатуру в этих случаях, поэтому были разработаны альтернативы, в том числе
- Программные подходы к онлайн-транзакциям, которые включают взаимодействие с банком-эмитентом карты или веб-сайтом сети, например, Verified by Visa и Mastercard SecureCode (реализация протокола Visa 3-D Secure). 3-D Secure теперь заменяется надежной аутентификацией клиентов, как это определено в Европейской директиве о вторых платежных услугах.
- Создание одноразовой виртуальной карты, привязанной к физической карте с заданной максимальной суммой.
- Дополнительное оборудование с клавиатурой и экраном, которое может выдавать одноразовый пароль, например программа аутентификации чипа.
- Клавиатура и экран интегрированы в сложные карты для создания одноразового пароля. С 2008 года Visa запускает пилотные проекты с использованием карты Emue, где сгенерированный номер заменяет код, напечатанный на обратной стороне стандартных карт.[4]
ЗащищенностьПравить
Чип имеет существенно более высокую степень защиты по сравнению с магнитной полосой. Секретный ключ чипа, идентифицирующий карту в банковских операциях, хранится в защищённой памяти, он записывается в память чипа на стадии изготовления, и его невозможно оттуда извлечь с помощью внешних устройств, не нарушая целостности самого чипа. Регулярно публикуемая многими национальными банками статистика показывает значительное снижение случаев мошенничества при использовании EMV[5].
Также чип, в отличие от магнитной полосы, гораздо менее подвержен воздействию магнитных полей.
ПримечанияПравить
- ↑ United Nations Federal Credit Union Selects Gemalto for First U.S. Issued Globally Compliant Payment Card, Gemalto NV, <http://www.gemalto.com/php/pr_view.php?id=749> Архивная копия от 4 марта 2014 на Wayback Machine
- ↑ How To Reduce Chargebacks Without Killing Online Sales (неопр.). Forbes (15 февраля 2017). Дата обращения: 2 февраля 2021. Архивировано 28 июня 2019 года.
- ↑ BBC NEWS – Technology – Credit card code to combat fraud, bbc.co.uk. Архивировано 21 мая 2009 года. Дата обращения: 2 февраля 2021.
- ↑ Visa tests cards with built in PIN machine (неопр.). IT PRO. Дата обращения: 2 февраля 2021. Архивировано 13 апреля 2021 года.
- ↑ Fraud and EMV, <http://www.gemalto.com/emv/fraud_emv.html> Архивная копия от 31 декабря 2012 на Wayback Machine Архивированная копия (неопр.). Дата обращения: 15 января 2013. Архивировано из оригинала 31 декабря 2012 года.