ЕМВ

Стандарт смарт-карты оплаты

Кредитная карта EMV

EMV — это метод оплаты, основанный на техническом стандарте для смарт -карт оплаты и для платежных терминалов и банкоматов , которые могут их принимать. EMV означает « Europay , Mastercard и Visa » — три компании, создавшие стандарт. ^[1]

Карты EMV — это смарт-карты , также называемые чип-картами, картами с интегральными схемами или картами с интегральными схемами, которые хранят свои данные на чипах с интегральными схемами , в дополнение к магнитным полосам для обратной совместимости . К ним относятся карты, которые должны быть физически вставлены или «погружены» в считыватель, а также бесконтактные карты , которые могут быть считаны на небольшом расстоянии с помощью технологии связи ближнего поля . Платежные карты, которые соответствуют стандарту EMV, часто называются картами с чипом и ПИН-кодом или чипом и подписью , в зависимости от методов аутентификации, используемых эмитентом карты, таких как персональный идентификационный номер (ПИН-код) или электронная подпись . Существуют стандарты, основанные на ISO/IEC 7816 , для контактных карт и основанные на ISO/IEC 14443 для бесконтактных карт ( Mastercard Contactless , Visa PayWave , American Express ExpressPay ). ^{[2] [ требуется лучший источник ]}

История

До введения чипа и PIN-кода все очные транзакции по кредитным или дебетовым картам включали использование магнитной полосы или механического отпечатка для считывания и записи данных счета, а также подписи для целей проверки личности. Клиент передает свою карту кассиру в точке продажи , который затем проводит карту через магнитный считыватель или делает отпечаток с рельефного текста карты. В первом случае система проверяет данные счета и печатает квитанцию ​​для подписи клиента. В случае механического отпечатка заполняются данные транзакции, сверяется список украденных номеров, и клиент подписывает отпечатанную квитанцию. В обоих случаях кассир должен проверить, что подпись клиента совпадает с подписью на обратной стороне карты, чтобы подтвердить подлинность транзакции.

Использование подписи на карте в качестве метода проверки имеет ряд недостатков безопасности, наиболее очевидным из которых является относительная легкость, с которой карты могут пропасть до того, как их законные владельцы смогут их подписать. Другой касается стирания и замены законной подписи, а еще один касается подделки правильной подписи.

Изобретение кремниевой интегральной схемы в 1959 году привело к идее ее встраивания в пластиковую смарт-карту в конце 1960-х годов двумя немецкими инженерами, Хельмутом Греттрупом и Юргеном Детлоффом . ^[3] Самые первые смарт-карты были представлены как телефонные карты в 1970-х годах, а затем были адаптированы для использования в качестве платежных карт . ^{[4] [5]} С тех пор смарт-карты используют микросхемы МОП-интегральных схем , а также технологии памяти МОП, такие как флэш-память и EEPROM (электрически стираемое программируемое постоянное запоминающее устройство ). ^[6]

Первым стандартом для смарт-карт был Carte Bancaire B0M4 от Bull-CP8, развернутый во Франции в 1986 году, за которым последовал B4B0' (совместимый с M4), развернутый в 1989 году. Geldkarte в Германии также предшествовал EMV. EMV был разработан, чтобы обеспечить обратную совместимость карт и терминалов с этими стандартами. С тех пор Франция перевела всю свою инфраструктуру карт и терминалов на EMV.

EMV означает Europay, Mastercard и Visa — три компании, создавшие стандарт. В настоящее время стандартом управляет EMVCo , консорциум, в котором контроль разделен поровну между Visa, Mastercard, JCB , American Express , China UnionPay и Discover. ^[7] EMVCo принимает публичные комментарии по своим проектам стандартов и процессов, но также позволяет другим организациям становиться «партнерами» и «подписчиками» для более глубокого сотрудничества. ^[8] JCB присоединилась к консорциуму в феврале 2009 года, China UnionPay — в мае 2013 года, ^[9] а Discover — в сентябре 2013 года. ^[10]

Ведущими поставщиками карт и чипов EMV являются: ABnote (American Bank Corp), CPI Card Group, IDEMIA (образованная в результате слияния Oberthur Technologies и Safran Identity & Security (Morpho) в 2017 году), Gemalto (приобретена Thales Group в 2019 году) , Giesecke & Devrient и Versatile Card Technology. ^[11]

Различия и преимущества

Переход на кредитные карты на основе смарт-карт имеет два основных преимущества: улучшенная безопасность (со связанным с этим снижением мошенничества) и возможность более точного контроля за одобрением транзакций по кредитным картам «офлайн». Одной из первоначальных целей EMV было обеспечение нескольких приложений на карте: для приложения кредитной и дебетовой карты или электронного кошелька. Начиная с 2013 года, новые дебетовые карты в США содержат два приложения — приложение ассоциации карт (Visa, Mastercard и т. д.) и общее дебетовое приложение. ^[12]

Транзакции с использованием чиповых карт EMV повышают уровень защиты от мошенничества по сравнению с транзакциями с использованием магнитных карт, которые полагаются на подпись держателя и визуальный осмотр карты для проверки таких особенностей, как голограмма . Использование PIN-кода и криптографических алгоритмов, таких как Triple DES , RSA и SHA, обеспечивает аутентификацию карты для терминала обработки и хост-системы эмитента карты. Время обработки сопоставимо с онлайн-транзакциями, в которых задержка связи составляет большую часть времени, в то время как криптографические операции на терминале занимают сравнительно мало времени. Предполагаемое повышение защиты от мошенничества позволило банкам и эмитентам кредитных карт установить «сдвиг ответственности», так что торговцы несут ответственность (с 1 января 2005 года в регионе ЕС и с 1 октября 2015 года в США) за любое мошенничество, возникающее в результате транзакций в системах, которые не поддерживают EMV. ^{[1] [13] [14]} Большинство реализаций карт и терминалов EMV подтверждают личность держателя карты, требуя ввода персонального идентификационного номера (ПИН-кода) вместо подписания бумажного чека. Будет ли иметь место аутентификация по ПИН-коду, зависит от возможностей терминала и программирования карты.

Когда впервые появились кредитные карты, торговцы использовали механические, а не магнитные портативные импринтеры карт, которым для отпечатка требовалась копировальная бумага . Они не общались в электронном виде с эмитентом карты, и карта никогда не покидала поле зрения покупателя. Торговец должен был подтвердить транзакции, превышающие определенный лимит валюты, позвонив эмитенту карты. В 1970-х годах в Соединенных Штатах многие торговцы подписывались на регулярно обновляемый список украденных или иным образом недействительных номеров кредитных карт. Этот список обычно печатался в виде брошюры на газетной бумаге, в числовом порядке, как тонкая телефонная книга, но без каких-либо данных, кроме списка недействительных номеров. Кассиры на кассе должны были пролистывать эту брошюру каждый раз, когда кредитная карта предъявлялась для оплаты любой суммы, перед одобрением транзакции, что вызывало небольшую задержку. ^[15]

Позже ^{[ когда? ]} терминальное оборудование у продавца в электронном виде связывалось с эмитентом карты, используя информацию с магнитной полосы для проверки карты и авторизации транзакции. Это было намного быстрее, но требовало, чтобы транзакция происходила в фиксированном месте. Следовательно, если транзакция не происходила рядом с терминалом (например, в ресторане), клерк или официант должен был забрать карту у клиента и отнести ее к карточному аппарату. Нечестный сотрудник мог легко тайно провести карту через дешевый аппарат, который мгновенно записывал информацию на карте и полосе; фактически, даже у терминала вор мог наклониться перед клиентом и провести карту по скрытому считывателю. Это сделало незаконное клонирование карт относительно простым и более распространенным явлением, чем раньше. ^{[ необходима цитата ]}

С момента введения чипа и ПИН-кода платежной карты клонирование чипа стало невозможным; можно скопировать только магнитную полосу, а скопированную карту нельзя использовать отдельно на терминале, требующем ПИН-код. Введение чипа и ПИН-кода совпало с тем, что беспроводная технология передачи данных стала недорогой и широко распространенной. В дополнение к магнитным считывателям на базе мобильных телефонов, персонал торговых точек теперь может приносить клиенту беспроводные ПИН-пады, так что карта никогда не будет вне поля зрения держателя карты. Таким образом, как чип и ПИН-код, так и беспроводные технологии могут использоваться для снижения рисков несанкционированного считывания и клонирования карты. ^[16]

Чип и ПИН-код против чипа и подписи

Чип и PIN-код — один из двух методов проверки, которые могут использовать карты с поддержкой EMV. ^[15] Вместо того, чтобы физически подписывать чек для целей идентификации, пользователь вводит персональный идентификационный номер (PIN-код), обычно длиной от четырех до шести цифр. Этот номер должен соответствовать информации, хранящейся на чипе или PIN-коде на хосте. Технология чипа и PIN-кода значительно усложняет мошенникам использование найденной карты, поскольку, если кто-то украдет карту, он не сможет совершить мошеннические покупки, если не знает PIN-код.

С другой стороны, чип и подпись отличаются от чипа и ПИН-кода тем, что проверяют личность потребителя с помощью подписи. ^[17]

По состоянию на 2015 год карты с чипом и подписью более распространены в США, Мексике, некоторых частях Южной Америки (например, Аргентине и Перу) и некоторых азиатских странах (например, Тайване, Гонконге, Таиланде, Южной Корее, Сингапуре и Индонезии), тогда как карты с чипом и PIN-кодом более распространены в большинстве европейских стран (например, Великобритании, Ирландии, Франции, Португалии, Финляндии и Нидерландах), а также в Пакистане, Иране, Бразилии, Колумбии, Венесуэле, Индии, Шри-Ланке, Канаде, Австралии и Новой Зеландии. ^{[18] [19]}

Онлайн-, телефонные и почтовые транзакции

В то время как технология EMV помогла снизить уровень преступности в точках продаж, мошеннические транзакции переместились в более уязвимые телефонные , интернет- и почтовые транзакции, известные в отрасли как транзакции без предъявления карты или CNP. ^[20] Транзакции CNP составили не менее 50% от всего мошенничества с кредитными картами. ^[21] Из-за физического расстояния продавец не может предоставить клавиатуру покупателю в этих случаях, поэтому были разработаны альтернативы, включая

• Программные подходы к онлайн-транзакциям, включающие взаимодействие с банком-эмитентом карты или веб-сайтом сети, такие как Verified by Visa и Mastercard SecureCode (реализации протокола 3-D Secure от Visa ). 3-D Secure теперь заменяется на Strong Customer Authentication , как определено в Европейской директиве о платежных услугах второго уровня .
• Создание одноразовой виртуальной карты, привязанной к физической карте с заданной максимальной суммой.
• Дополнительное оборудование с клавиатурой и экраном, которое может генерировать одноразовый пароль , например, программа аутентификации по чипу .
• Клавиатура и экран интегрированы в сложные карты для создания одноразового пароля . С 2008 года Visa запускает пилотные проекты с использованием карты Emue, где сгенерированный номер заменяет код, напечатанный на обратной стороне стандартных карт. ^[22]

Что касается того, что быстрее, The New York Times пояснила, что это вопрос восприятия: в то время как метод с чипом требует, чтобы чип оставался в устройстве до завершения транзакции и процесса авторизации, метод считывания телефона выполняет авторизацию в фоновом режиме; чек начинает выдаваться сразу же. ^[23]

Команды

ISO/IEC 7816 -3 определяет протокол передачи данных между чип-картами и считывателями. С помощью этого протокола данные обмениваются в единицах данных протокола приложения (APDU). Это включает отправку команды на карту, ее обработку картой и отправку ответа. EMV использует следующие команды:

• блок приложений
• приложение разблокировать
• блокировка карты
• внешняя аутентификация (7816-4)
• создать криптограмму приложения
• получить данные (7816-4)
• получить варианты обработки
• внутренняя аутентификация (7816-4)
• Изменить/разблокировать PIN-код
• прочитать запись (7816-4)
• выберите (7816-4)
• проверить (7816-4).

Команды, за которыми следует «7816-4», определены в стандарте ISO/IEC 7816-4 и являются межотраслевыми командами, используемыми для многих приложений с чип-картами, таких как SIM- карты GSM .

Поток транзакций

Транзакция EMV состоит из следующих шагов: ^{[24] [ необходим сторонний источник ]}

1. Выбор приложения
2. Инициировать обработку заявки
3. Чтение данных приложения
4. Ограничения на обработку
5. Оффлайн аутентификация данных
6. Сертификаты
7. Проверка держателя карты
8. Управление терминальными рисками
9. Анализ терминального действия
10. Анализ действий первой карты
11. Авторизация онлайн-транзакции (выполняется только в случае, если это требуется по результатам предыдущих шагов; обязательна в банкоматах)
12. Анализ действий второй карты
13. Обработка скрипта эмитента

Выбор приложения

ISO/IEC 7816 определяет процесс выбора приложения. Целью выбора приложения было позволить картам содержать совершенно разные приложения, например GSM и EMV. Однако разработчики EMV реализовали выбор приложения как способ идентификации типа продукта, так что все эмитенты продуктов (Visa, Mastercard и т. д.) должны иметь свое собственное приложение. Способ выбора приложения, предписанный в EMV, является частым источником проблем взаимодействия между картами и терминалами. Книга 1 ^[25] стандарта EMV посвящает 15 страниц описанию процесса выбора приложения.

Идентификатор приложения (AID) используется для обращения к приложению на карте или Host Card Emulation (HCE), если оно поставляется без карты. AID состоит из зарегистрированного идентификатора поставщика приложения (RID) из пяти байт, который выдается регистрационным органом ISO/IEC 7816-5. За ним следует фирменное расширение идентификатора приложения (PIX), которое позволяет поставщику приложения различать различные предлагаемые приложения. AID печатается на всех квитанциях держателя карты EMV. Эмитенты карт могут изменить имя приложения из имени сети карт.

Список приложений:

Инициировать обработку заявки

Терминал отправляет на карту команду get processing options . При отправке этой команды терминал предоставляет карте любые элементы данных, запрошенные картой в списке объектов данных параметров обработки (PDOL). PDOL (список тегов и длин элементов данных) опционально предоставляется картой терминалу во время выбора приложения. Карта отвечает профилем обмена приложениями (AIP), списком функций для выполнения при обработке транзакции. Карта также предоставляет локатор файлов приложения (AFL), список файлов и записей, которые терминалу необходимо считать с карты. ^{[ необходима цитата ]}

Чтение данных приложения

Смарт-карты хранят данные в файлах. AFL содержит файлы, содержащие данные EMV. Все они должны быть прочитаны с помощью команды read record. EMV не указывает, в каких файлах хранятся данные, поэтому все файлы должны быть прочитаны. Данные в этих файлах хранятся в формате BER TLV . EMV определяет значения тегов для всех данных, используемых при обработке карт. ^[28]

Ограничения на обработку

Целью ограничений обработки является определение того, следует ли использовать карту. Проверяются три элемента данных, считанных на предыдущем этапе: номер версии приложения, контроль использования приложения (показывает, предназначена ли карта только для внутреннего использования и т. д.), проверка сроков действия/действия приложения. ^{[ необходима цитата ]}

Если какая-либо из этих проверок не проходит, карта не обязательно отклоняется. Терминал устанавливает соответствующий бит в результатах проверки терминала (TVR), компоненты которого формируют основу для принятия/отклонения решения позже в потоке транзакций. Эта функция позволяет, например, эмитентам карт разрешать держателям карт продолжать использовать просроченные карты после истечения срока их действия, но для всех транзакций с просроченной картой, которые будут выполняться в режиме онлайн. ^{[ необходима цитата ]}

Аутентификация данных в автономном режиме (ODA)

Оффлайн-аутентификация данных — это криптографическая проверка для проверки карты с использованием криптографии с открытым ключом . Существует три различных процесса, которые могут быть выполнены в зависимости от карты: ^{[ необходима цитата ]}

• Статическая аутентификация данных (SDA) гарантирует, что данные, считанные с карты, подписаны эмитентом карты. Это предотвращает изменение данных, но не предотвращает клонирование.
• Динамическая аутентификация данных (DDA) обеспечивает защиту от изменения данных и клонирования.
• Комбинированный DDA/генерация криптограммы приложения (CDA) объединяет DDA с генерацией криптограммы приложения карты для обеспечения действительности карты. Поддержка CDA в устройствах может быть необходима, так как этот процесс был реализован на определенных рынках. Этот процесс не является обязательным в терминалах и может быть выполнен только там, где и карта, и терминал поддерживают его. ^{[ необходима цитата ]}

Сертификаты EMV

Для проверки подлинности платежных карт используются сертификаты EMV. Центр сертификации EMV ^[29] выдает цифровые сертификаты эмитентам платежных карт. По запросу чип платежной карты предоставляет терминалу сертификат открытого ключа эмитента карты и SSAD. Терминал извлекает открытый ключ CA из локального хранилища и использует его для подтверждения доверия к CA и, если он доверен, для проверки того, что открытый ключ эмитента карты был подписан CA. Если открытый ключ эмитента карты действителен, терминал использует открытый ключ эмитента карты для проверки того, что SSAD карты был подписан эмитентом карты. ^[30]

Проверка держателя карты

Проверка держателя карты используется для оценки того, является ли лицо, предъявившее карту, законным держателем карты. Существует множество методов проверки держателя карты (CVM), поддерживаемых в EMV. Они ^{[ необходима цитата ]}

• Подпись
• Оффлайн текстовый PIN-код
• Зашифрованный офлайн PIN-код
• Офлайн-открытый текстовый PIN-код и подпись
• Зашифрованный офлайн PIN-код и подпись
• Онлайн ПИН-код
• CVM не требуется
• Потребительское устройство CVM
• Не удалось обработать CVM

Терминал использует список CVM, считываемый с карты, для определения типа проверки, которую необходимо выполнить. Список CVM устанавливает приоритет использования CVM относительно возможностей терминала. Различные терминалы поддерживают разные CVM. Банкоматы, как правило, поддерживают онлайн-PIN. POS-терминалы различаются по поддержке CVM в зависимости от типа и страны. ^{[ необходима цитата ]}

Для методов офлайн-шифрования PIN-кода терминал шифрует открытый текстовый PIN-блок открытым ключом карты перед отправкой его на карту с помощью команды Verify. Для метода онлайн-PIN-кода открытый текстовый PIN-блок шифруется терминалом с помощью его ключа шифрования точка-точка перед отправкой его процессору-эквайеру в сообщении запроса на авторизацию.

Все офлайн-методы уязвимы для атак типа «человек посередине». В 2017 году EMVCo добавила поддержку методов биометрической верификации в версии 4.3 спецификаций EMV. ^[31]

Управление терминальными рисками

Управление рисками терминала выполняется только в устройствах, где необходимо принять решение о том, должна ли транзакция быть авторизована в режиме онлайн или офлайн. Если транзакции всегда выполняются в режиме онлайн (например, банкоматы) или всегда офлайн, этот шаг можно пропустить. Управление рисками терминала проверяет сумму транзакции на соответствие максимальному лимиту офлайн (выше которого транзакции должны обрабатываться в режиме онлайн). Также возможно иметь 1 в онлайн-счетчике и проверку по списку горячих карт (который необходим только для офлайн-транзакций). Если результат любого из этих тестов положительный, терминал устанавливает соответствующий бит в результатах проверки терминала (TVR). ^[32]

Анализ терминального действия

Результаты предыдущих этапов обработки используются для определения того, следует ли одобрить транзакцию в автономном режиме, отправить онлайн для авторизации или отклонить в автономном режиме. Это делается с помощью комбинации объектов данных , известных как коды действий терминала (TAC), хранящихся в терминале, и коды действий эмитента (IAC), считываемых с карты. TAC логически ИЛИ с IAC, чтобы предоставить приобретателю транзакции уровень контроля над результатом транзакции. Оба типа кода действия принимают значения Отказ, Онлайн и По умолчанию. Каждый код действия содержит ряд бит, которые соответствуют битам в результатах проверки терминала (TVR) и используются при принятии терминалом решения о том, принять, отклонить или перейти в режим онлайн для платежной транзакции. TAC устанавливается приобретателем карты; на практике карты рекомендуют настройки TAC, которые следует использовать для определенного типа терминала в зависимости от его возможностей. IAC устанавливается эмитентом карты; некоторые эмитенты карт могут решить, что просроченные карты должны быть отклонены, установив соответствующий бит в IAC Отказ. Другие эмитенты могут захотеть, чтобы транзакция проводилась в режиме онлайн, чтобы в некоторых случаях они могли разрешить проведение этих транзакций. ^{[33] [ необходим лучший источник ]}

Когда устройство, работающее только в режиме онлайн, выполняет обработку IAC-Online и TAC-Online, единственным соответствующим битом TVR является «Стоимость транзакции превышает нижний предел». Поскольку нижний предел установлен на ноль, транзакция всегда должна переходить в режим онлайн, а все остальные значения в TAC-Online или IAC-Online не имеют значения. Устройствам, работающим только в режиме онлайн, не нужно выполнять обработку IAC по умолчанию. Устройство, работающее только в режиме онлайн, такое как банкомат, всегда пытается выйти в режим онлайн с запросом на авторизацию, если только оно не отклонено в режиме офлайн из-за настроек IAC-Denial. Во время обработки IAC-Denial и TAC-Denial для устройства, работающего только в режиме онлайн, единственным соответствующим битом результатов проверки терминала является «Сервис не разрешен». ^[34]

Анализ действий первой карты

Одним из объектов данных, считываемых с карты на этапе Read application data, является CDOL1 (Card Data object List). Этот объект представляет собой список тегов, которые карта хочет отправить себе для принятия решения об одобрении или отклонении транзакции (включая сумму транзакции, а также множество других объектов данных). Терминал отправляет эти данные и запрашивает криптограмму с помощью команды generate application cryptogram. В зависимости от решения терминала (офлайн, онлайн, отклонить), терминал запрашивает одну из следующих криптограмм с карты: ^{[ необходима цитата ]}

• Сертификат транзакции (TC) — офлайн-подтверждение
• Криптограмма запроса авторизации (ARQC) — онлайн-авторизация
• Криптограмма аутентификации приложения (AAC) — отказ в автономном режиме

Этот шаг дает карте возможность принять анализ действий терминала или отклонить транзакцию или принудительно провести транзакцию в режиме онлайн. Карта не может вернуть TC, когда запрошен ARQC, но может вернуть ARQC, когда запрошен TC. ^[34]

Авторизация онлайн-транзакций

Транзакции переходят в режим онлайн, когда запрашивается ARQC. ARQC отправляется в сообщении авторизации. Карта генерирует ARQC. Его формат зависит от приложения карты. EMV не определяет содержимое ARQC. ARQC, созданный приложением карты, представляет собой цифровую подпись деталей транзакции, которую эмитент карты может проверить в режиме реального времени. Это обеспечивает надежную криптографическую проверку подлинности карты. Эмитент отвечает на запрос авторизации кодом ответа (принимая или отклоняя транзакцию), криптограммой ответа авторизации (ARPC) и, опционально, скриптом эмитента (строкой команд, которые должны быть отправлены на карту). ^[34]

Обработка ARPC не выполняется в контактных транзакциях, обрабатываемых с помощью Visa Quick Chip ^[35] для EMV и Mastercard M/Chip Fast, ^[36] а также в бесконтактных транзакциях между схемами, поскольку карта извлекается из считывателя после генерации ARQC.

Анализ действий второй карты

CDOL2 (список объектов данных карты) содержит список тегов, которые карта хотела отправить после авторизации онлайн-транзакции (код ответа, ARPC и т. д.). Даже если по какой-либо причине терминал не смог выйти в сеть (например, сбой связи), терминал должен снова отправить эти данные на карту с помощью команды генерации криптограммы авторизации. Это позволяет карте узнать ответ эмитента. Затем приложение карты может сбросить лимиты использования в автономном режиме.

Обработка скрипта эмитента

Если эмитент карты хочет обновить карту после выпуска, он может отправлять команды на карту, используя обработку скрипта эмитента. Скрипты эмитента не имеют смысла для терминала и могут быть зашифрованы между картой и эмитентом для обеспечения дополнительной безопасности. Скрипт эмитента может использоваться для блокировки карт или изменения параметров карты. ^[37]

Обработка скрипта эмитента недоступна в контактных транзакциях, обрабатываемых с помощью Visa Quick Chip ^[35] для EMV и Mastercard M/Chip Fast, ^[36] а также для бесконтактных транзакций между схемами.

Спецификация чипа EMV

Контактная площадка для электрического интерфейса на лицевой стороне кредитной карты

Первая версия стандарта EMV была опубликована в 1995 году. Сейчас стандарт определяется и управляется частной корпорацией EMVCo LLC. Текущими членами EMVCo ^[38] являются American Express , Discover Financial , JCB International , Mastercard , China UnionPay и Visa Inc. Каждая из этих организаций владеет равной долей EMVCo и имеет представителей в организации EMVCo и рабочих группах EMVCo.

Признание соответствия стандарту EMV (т. е. сертификация устройства) выдается EMVCo после предоставления результатов испытаний, проведенных аккредитованной испытательной организацией. ^{[ необходима ссылка ]}

Тестирование на соответствие EMV имеет два уровня: EMV уровня 1, который охватывает интерфейсы физического, электрического и транспортного уровня, и EMV уровня 2, который охватывает выбор платежного приложения и обработку кредитных финансовых транзакций. ^{[ необходима ссылка ]}

После прохождения общих тестов EMVCo программное обеспечение должно быть сертифицировано платежными брендами на соответствие фирменным реализациям EMV, таким как Visa VSDC, American Express AEIPS, Mastercard MChip, JCB JSmart, или EMV-совместимым реализациям не-членов EMVCo, таким как LINK в Великобритании или Interac в Канаде. ^{[ необходима ссылка ]}

Список документов и стандартов EMV

Начиная с версии 4.0 2011 года официальные документы по стандарту EMV, определяющие все компоненты платежной системы EMV, публикуются в виде четырех «книг» и некоторых дополнительных документов:

• Книга 1: Требования к интерфейсу ICC для терминала, не зависящие от приложений ^[25]
• Книга 2: Безопасность и управление ключами ^[39]
• Книга 3: Спецификация приложения ^[40]
• Книга 4: Требования к интерфейсу держателя карты, обслуживающего персонала и эквайера ^[41]
• Спецификация приложения для общих платежей ^[42]
• Спецификация персонализации карт EMV ^[43]

Версии

Первый стандарт EMV появился в 1995 году как EMV 2.0. Он был обновлен до EMV 3.0 в 1996 году (иногда называемый EMV '96) с последующими поправками к EMV 3.1.1 в 1998 году. Он был дополнительно изменен до версии 4.0 в декабре 2000 года (иногда называемой EMV 2000). Версия 4.0 вступила в силу в июне 2004 года. Версия 4.1 вступила в силу в июне 2007 года. Версия 4.2 действует с июня 2008 года. Версия 4.3 действует с ноября 2011 года. ^[44]

Уязвимости

Возможности сбора PIN-кодов и клонирования магнитных полос

В дополнение к данным дорожки-2 на магнитной полосе, карты EMV обычно имеют идентичные данные, закодированные на чипе, которые считываются как часть обычного процесса транзакции EMV. Если считыватель EMV скомпрометирован до такой степени, что перехватывается разговор между картой и терминалом, то злоумышленник может восстановить как данные дорожки-2, так и PIN-код, что позволяет создать карту с магнитной полосой, которая, хотя и не может использоваться в терминале с чипом и PIN-кодом, может использоваться, например, в терминальных устройствах, которые допускают откат к обработке магнитной полосы для иностранных клиентов без чиповых карт и дефектных карт. Эта атака возможна только в том случае, если (a) автономный PIN-код представлен в открытом виде устройством ввода PIN-кода на карту, где (b) откат к магнитной полосе разрешен эмитентом карты и (c) где географическая и поведенческая проверка не может быть проведена эмитентом карты. ^{[ необходима цитата ]}

APACS , представляющая платежную индустрию Великобритании, заявила, что изменения, указанные в протоколе (где значения проверки карты различаются между магнитной полосой и чипом – iCVV), сделали эту атаку неэффективной и что такие меры будут применяться с января 2008 года. ^[45] Тесты на картах в феврале 2008 года показали, что это могло быть отложено. ^[46]

Успешные атаки

Перехват разговоров — это форма атаки, которая, как сообщалось, имела место против терминалов Shell в мае 2006 года, когда они были вынуждены отключить всю аутентификацию EMV на своих автозаправочных станциях после того, как у клиентов было украдено более 1 миллиона фунтов стерлингов. ^[47]

В октябре 2008 года сообщалось, что сотни считывателей карт EMV, предназначенных для использования в Великобритании, Ирландии, Нидерландах, Дании и Бельгии, были взломаны в Китае во время или вскоре после производства. В течение девяти месяцев данные и PIN-коды кредитных и дебетовых карт отправлялись по сетям мобильной связи преступникам в Лахоре , Пакистан. Руководитель Национальной контрразведки США Джоэл Бреннер сказал: «Раньше только разведывательное агентство государства было способно провернуть такую ​​операцию. Это страшно». Украденные данные обычно использовались через пару месяцев после транзакций по карте, чтобы следователям было сложнее определить уязвимость. После того, как мошенничество было обнаружено, было обнаружено, что взломанные терминалы можно было идентифицировать, поскольку дополнительная схема увеличивала их вес примерно на 100 граммов. Считается, что были украдены десятки миллионов фунтов. ^[48] ​​Эта уязвимость подтолкнула усилия по внедрению лучшего контроля над POS-устройствами на протяжении всего их жизненного цикла, практика, одобренная стандартами безопасности электронных платежей, такими как те, которые разрабатываются Secure POS Vendor Alliance (SPVA). ^[49]

Сбор PIN-кода и клонирование полос

В программе BBC Newsnight в феврале 2008 года исследователи из Кембриджского университета Стивен Мердок и Саар Драймер продемонстрировали один пример атаки, чтобы проиллюстрировать, что чип и ПИН-код недостаточно безопасны, чтобы оправдать передачу ответственности за доказательство мошенничества от банков к клиентам. ^{[50] [51]} Эксплойт Кембриджского университета позволил экспериментаторам получить как данные карты для создания магнитной полосы, так и ПИН-код.

APACS , британская платежная ассоциация, не согласилась с большинством доклада, заявив, что «Типы атак на устройства ввода PIN-кода, описанные в этом докладе, трудноосуществимы и в настоящее время экономически невыгодны для мошенников». ^[52] Они также заявили, что изменения в протоколе (указание различных значений проверки карты между чипом и магнитной полосой — iCVV) сделают эту атаку неэффективной с января 2008 года.

В августе 2016 года исследователи безопасности корпорации NCR показали, как воры кредитных карт могут переписать код магнитной полосы, чтобы она выглядела как карта без чипа, что позволяет производить подделки. ^{[ необходима цитата ]}

2010: Скрытое оборудование отключает проверку PIN-кода на украденной карте

11 февраля 2010 года команда Мердока и Драймера в Кембриджском университете объявила, что обнаружила «недостаток в чипе и PIN-коде, настолько серьезный, что, по их мнению, он показывает, что вся система нуждается в переписывании», который был «настолько прост, что это их шокировало». Украденная карта подключается к электронной схеме и к поддельной карте, которая вставляется в терминал (« атака «человек посередине »). Можно ввести любые четыре цифры, и они будут приняты в качестве действительного PIN-кода. ^{[53] [54]}

Команда из программы Newsnight BBC посетила кафетерий Кембриджского университета (с разрешения) с системой и смогла заплатить, используя свои собственные карты (вор использовал бы украденные карты), подключенные к схеме, вставив поддельную карту и набрав «0000» в качестве PIN-кода. Транзакции были зарегистрированы как обычные и не были обнаружены системами безопасности банков. Член исследовательской группы сказал: «Даже у небольших преступных систем есть лучшее оборудование, чем у нас. Уровень технической сложности, необходимый для проведения этой атаки, на самом деле довольно низок». В объявлении об уязвимости говорилось: «Требуемая экспертиза не высока (уровень бакалавриата по электронике). Мы оспариваем утверждение банковской отрасли о том, что преступники недостаточно искушены, поскольку они уже продемонстрировали гораздо более высокий уровень мастерства, чем необходимо для этой атаки, в своих миниатюрных скиммерах для ввода PIN-кода». Неизвестно, была ли эта уязвимость использована, но она может объяснить нераскрытые случаи заявленного мошенничества. ^[54]

EMVCo не согласилась и опубликовала ответ, в котором говорилось, что, хотя такая атака теоретически возможна, ее было бы чрезвычайно сложно и дорого осуществить успешно, что текущие компенсирующие меры контроля, скорее всего, обнаружат или ограничат мошенничество, и что возможная финансовая выгода от атаки минимальна, в то время как риск отклонения транзакции или разоблачения мошенника значителен. ^[55] Команда Кембриджа не согласна: они осуществили это так, что банки не заметили, с помощью стандартного оборудования с некоторыми простыми дополнениями. Менее громоздкие версии можно было бы легко сделать. Те, кто производит такое оборудование для атаки, не должны подвергать себя риску, но могут продать его кому угодно через Интернет. ^[54]

Когда к нам обратились за комментариями, несколько банков (Co-operative Bank, Barclays и HSBC) заявили, что это проблема всей отрасли, и направили команду Newsnight в банковскую торговую ассоциацию для дальнейших комментариев. ^[56] По словам Фила Джонса из Ассоциации потребителей , Chip and PIN помогли сократить случаи преступления с использованием карт, но многие случаи остаются необъясненными. «Что мы знаем, так это то, что у нас есть случаи, которые были возбуждены отдельными лицами, и которые кажутся весьма убедительными». ^{[ необходима цитата ]}

Атака использует тот факт, что выбор метода аутентификации не аутентифицирован, что позволяет человеку посередине. Терминал запрашивает PIN-код, получает его и получает подтверждение транзакции картой, которая думает, что выполняет транзакцию с картой и подписью, которая действительно может быть успешной в автономном режиме. Это также работает в режиме онлайн, возможно, из-за недостаточной проверки. ^[57]

Первоначально клиенты банков должны были доказать, что они не проявили небрежности со своим PIN-кодом, прежде чем получить возмещение, но британские правила, вступившие в силу с 1 ноября 2009 года, возложили бремя доказывания того, что клиент проявил небрежность в любом споре, на банки, при этом клиенту дается 13 месяцев, чтобы подать иск. ^[58] Мердок сказал, что «[банки] должны проанализировать предыдущие транзакции, в которых клиент утверждал, что его PIN-код не использовался, а банковская запись показывала, что это было сделано, и рассмотреть возможность возврата средств этим клиентам, поскольку они могли стать жертвами такого рода мошенничества». ^[54]

2011: понижение версии CVM позволяет произвольно собирать PIN-коды

На конференции CanSecWest в марте 2011 года Андреа Барисани и Даниэле Бьянко представили исследование, раскрывающее уязвимость в EMV, которая позволяет произвольно собирать PIN-коды, несмотря на конфигурацию проверки держателя карты, даже если поддерживаемые данные CVM подписаны. ^[59]

Сбор PIN-кодов может быть выполнен с помощью чип-скиммера. По сути, список CVM, который был изменен для понижения CVM до офлайнового PIN-кода, по-прежнему принимается POS-терминалами, несмотря на то, что его подпись недействительна. ^[60]

Обход PIN-кода

В 2020 году исследователи Дэвид Басин, Ральф Сасс и Хорхе Торо из ETH Zurich сообщили ^{[61] [62]} о проблеме безопасности, влияющей на бесконтактные карты Visa : отсутствие криптографической защиты критически важных данных, отправляемых картой на терминал во время транзакции EMV. Рассматриваемые данные определяют метод проверки держателя карты (например, проверку PIN-кода), который будет использоваться для транзакции. Команда продемонстрировала, что можно изменить эти данные, чтобы заставить терминал поверить, что PIN-код не требуется, поскольку держатель карты был проверен с помощью своего устройства (например, смартфона). Исследователи разработали приложение для Android , которое эффективно превращает физическую карту Visa в мобильное платежное приложение (например, Apple Pay , Google Pay ) для совершения покупок на большие суммы без PIN-кода. Атака осуществляется с использованием двух смартфонов с поддержкой NFC , один из которых находится рядом с физической картой, а второй — рядом с платежным терминалом. Атака может затронуть карты Discover и китайской UnionPay , но на практике это не было продемонстрировано, в отличие от карт Visa.

В начале 2021 года та же команда раскрыла, что карты Mastercard также уязвимы для атаки обхода PIN-кода. Они показали, что преступники могут обмануть терминал, заставив его провести транзакцию с бесконтактной картой Mastercard, полагая, что это карта Visa. Эта путаница с брендом карты имеет критические последствия, поскольку ее можно использовать в сочетании с обходом PIN-кода для Visa, чтобы также обойти PIN-код для карт Mastercard. ^[62]

Выполнение

Корпус полупроводникового чипа EMV со стороны, противоположной его контактным площадкам

Вид чипа, снимок матрицы

EMV означает « Europay , Mastercard и Visa », три компании, которые создали стандарт. Стандарт в настоящее время управляется EMVCo , консорциумом финансовых компаний. ^[1] Дополнительные широко известные чипы стандарта EMV:

• AEIPS: American Express
• UICS: China Union Pay
• J Смарт: JCB
• D-PAS: Discover/Diners Club International
• Рупия: NPCI
• Верв

Visa и Mastercard также разработали стандарты для использования карт EMV в устройствах для поддержки транзакций без предъявления карты (CNP) по телефону и через Интернет. Mastercard имеет программу аутентификации чипа (CAP) для безопасной электронной коммерции. Ее реализация известна как EMV-CAP и поддерживает ряд режимов. Visa имеет схему аутентификации с помощью динамического пароля (DPA), которая является их реализацией CAP с использованием различных значений по умолчанию.

Во многих странах мира сети оплаты дебетовыми и/или кредитными картами внедрили смену ответственности. ^{[ требуется цитата ]} Обычно ответственность за мошеннические транзакции несет эмитент карты. Однако после внедрения смены ответственности, если банкомат или терминал точки продажи продавца не поддерживает EMV, владелец банкомата или продавец несет ответственность за мошенническую транзакцию.

Системы чипа и ПИН-кода могут вызывать проблемы у путешественников из стран, которые не выпускают карты с чипом и ПИН-кодом, поскольку некоторые розничные торговцы могут отказаться принимать их карты без чипа. ^[63] Хотя большинство терминалов по-прежнему принимают карты с магнитной полосой, а основные бренды кредитных карт требуют, чтобы продавцы принимали их, ^[64] некоторые сотрудники могут отказаться принимать карты, полагая, что они несут ответственность за любое мошенничество, если карта не может проверить ПИН-код. Карты без чипа и ПИН-кода также могут не работать в некоторых необслуживаемых торговых автоматах, например, на вокзалах или в кассах самообслуживания в супермаркетах. ^[65]

Африка

• Перераспределение ответственности Mastercard среди стран этого региона произошло 1 января 2006 года. ^[66] К 1 октября 2010 года распределение ответственности произошло по всем транзакциям в точках продаж. ^[67]
• Переход ответственности Visa в отношении точек продаж произошел 1 января 2006 года. Для банкоматов переход ответственности произошел 1 января 2008 года. ^[68]

ЮАР

• Изменение ответственности Mastercard произошло 1 января 2005 года. ^[66]

Страны Азии и Тихоокеанского региона

• Перераспределение ответственности Mastercard среди стран этого региона произошло 1 января 2006 года. ^[66] К 1 октября 2010 года распределение ответственности произошло по всем транзакциям в точках продаж, за исключением внутренних транзакций в Китае и Японии. ^[67]
• Переход ответственности Visa для точек продаж произошел 1 октября 2010 года. ^[68] Для банкоматов дата перехода ответственности наступила 1 октября 2015 года, за исключением Китая, Индии, Японии и Таиланда, где переход ответственности произошел 1 октября 2017 года. ^[69] Внутренние транзакции через банкоматы в Китае в настоящее время не подпадают под действие крайнего срока перехода ответственности.

Австралия

• Mastercard потребовала, чтобы все терминалы в точках продаж были совместимы с EMV к апрелю 2013 года. Для банкоматов передача ответственности произошла в апреле 2012 года. Банкоматы должны были стать совместимыми с EMV к концу 2015 года. ^[70]
• Передача ответственности Visa за банкоматы произошла 1 апреля 2013 года. ^[68]

Малайзия

• Малайзия стала первой страной в мире, которая полностью перешла на смарт-карты, совместимые со стандартом EMV, через два года после его внедрения в 2005 году. ^{[71] [72]}

Новая Зеландия

• Mastercard потребовала, чтобы все терминалы в точках продаж соответствовали стандарту EMV к 1 июля 2011 года. Для банкоматов передача ответственности произошла в апреле 2012 года. Банкоматы должны соответствовать стандарту EMV к концу 2015 года. ^[70]
• Переход ответственности Visa за банкоматы произошел 1 апреля 2013 года. ^[68]

Европа

• Изменение ответственности Mastercard произошло 1 января 2005 года. ^[66]
• Переход ответственности Visa в отношении точек продаж произошел 1 января 2006 года. Для банкоматов переход ответственности произошел 1 января 2008 года. ^[68]
• Франция сократила мошенничество с картами более чем на 80% с момента введения этой системы в 1992 году (см. Carte Bleue ).

Великобритания

Логотип Chip and PIN UK

Система Chip and PIN была опробована в Нортгемптоне , Англия , с мая 2003 года ^[73] и в результате была развернута по всей стране в Соединенном Королевстве 14 февраля 2006 года ^[74] с рекламой в прессе и на национальном телевидении, расхваливающей слоган «Безопасность в цифрах». На первых этапах развертывания, если считалось, что произошла мошенническая транзакция с магнитной картой, банк-эмитент возмещал розничному продавцу деньги, как это было до введения Chip and PIN. 1 января 2005 года ответственность за такие транзакции была переложена на розничного продавца; это послужило стимулом для розничных продавцов обновить свои системы точек продаж (PoS), и большинство крупных сетей на центральных улицах вовремя обновили свое оборудование к крайнему сроку EMV. Многие мелкие предприятия изначально не хотели обновлять свое оборудование, так как это требовало совершенно новой системы PoS — значительных инвестиций.

Новые карты с магнитными полосами и чипами теперь выпускаются всеми крупными банками. Замена карт с предчипами и PIN-кодами стала серьезной проблемой, поскольку банки просто заявили, что потребители получат свои новые карты «когда истечет срок действия их старых карт» — несмотря на то, что у многих людей были карты с истекающим сроком действия еще в 2007 году. Эмитент карт Switch потерял крупный контракт с HBOS в пользу Visa , поскольку они не были готовы выпустить новые карты так рано, как того хотел банк.

Реализацию Chip and PIN критиковали как направленную на снижение ответственности банков в случаях предполагаемого мошенничества с картами, требуя от клиента доказать, что он действовал «с разумной осторожностью» для защиты своего PIN-кода и карты, вместо того, чтобы банк должен был доказать, что подпись совпадала. До появления Chip and PIN, если подпись клиента была подделана, банки несли юридическую ответственность и должны были возместить клиенту ущерб. До 1 ноября 2009 года не было такого закона, защищающего потребителей от мошеннического использования их транзакций с использованием Chip and PIN, только добровольный Банковский кодекс . Было много сообщений о том, что банки отказывались возмещать ущерб жертвам мошеннического использования карт, утверждая, что их системы не могли выйти из строя при указанных обстоятельствах, несмотря на несколько задокументированных успешных крупномасштабных атак. ^{[ необходима цитата ]}

Положения о платежных услугах 2009 года вступили в силу 1 ноября 2009 года ^[75] и переложили бремя доказывания, а не предположения, на банки, что держатель карты виновен. ^[58] Управление по финансовым услугам (FSA) заявило: «Банк, строительное общество или компания, выдавшая кредитную карту, должны доказать, что транзакция была совершена вами, и не было никаких сбоев в процедурах или технических трудностей», прежде чем отказаться от ответственности.

Латинская Америка и Карибский бассейн

• Перераспределение ответственности Mastercard среди стран этого региона произошло 1 января 2005 года. ^[66]
• Смещение ответственности Visa для точек продаж произошло 1 октября 2012 года для всех стран в этом регионе, которые еще не внедрили смещение ответственности. Для банкоматов смещение ответственности произошло 1 октября 2014 года для всех стран в этом регионе, которые еще не внедрили смещение ответственности. ^[68]

Бразилия

• Изменение ответственности Mastercard произошло 1 марта 2008 года. ^[66]
• Переход ответственности Visa в отношении точек продаж произошел 1 апреля 2011 года. Для банкоматов переход ответственности произошел 1 октября 2012 года. ^[68]

Колумбия

• Изменение ответственности Mastercard произошло 1 октября 2008 года. ^[66]

Мексика

• Discover осуществил перенос ответственности 1 октября 2015 года. Для оплаты на заправочных станциях перенос ответственности произошел 1 октября 2017 года. ^[76]
• Переход ответственности Visa в отношении точек продаж произошел 1 апреля 2011 года. Для банкоматов переход ответственности произошел 1 октября 2012 года. ^[68]

Венесуэла

• Изменение ответственности Mastercard произошло 1 июля 2009 года. ^[66]

Средний Восток

• Перераспределение ответственности Mastercard среди стран этого региона произошло 1 января 2006 года. ^[66] К 1 октября 2010 года распределение ответственности произошло по всем транзакциям в точках продаж. ^[67]
• Переход ответственности Visa в отношении точек продаж произошел 1 января 2006 года. Для банкоматов переход ответственности произошел 1 января 2008 года. ^[68]

Северная Америка

Канада

• American Express осуществила перенос ответственности 31 октября 2012 года. ^{[1] [77]}
• Discover осуществил перенос ответственности 1 октября 2015 года для всех транзакций, за исключением оплаты на заправочных станциях; эти транзакции были смещены 1 октября 2017 года. ^{[76] [ необходим сторонний источник ]}
• Interac (сеть дебетовых карт Канады) прекратила обработку не-EMV-транзакций в банкоматах 31 декабря 2012 года и ввела обязательные EMV-транзакции в терминалах точек продаж 30 сентября 2016 года, при этом переход ответственности произошел 31 декабря 2015 года. ^{[78] [ не удалось проверить ] [ необходим сторонний источник ]}
• Mastercard ввела внутреннюю транзакционную ответственность за смену ответственности 31 марта 2011 года, а международную — 15 апреля 2011 года. Для оплаты на заправочных станциях смена ответственности была введена 31 декабря 2012 года. ^[77]
• Visa ввела перенос ответственности по внутренним транзакциям 31 марта 2011 года, а международный перенос ответственности — 31 октября 2010 года. Для оплаты на заправочных станциях перенос ответственности был введён 31 декабря 2012 года. ^[77]
• За пятилетний период после перехода на EMV в Канаде значительно сократилось количество мошеннических транзакций с внутренними картами с предъявителем. Согласно отчетам Helcim, мошенничество с внутренними дебетовыми картами с предъявителем сократилось на 89,49%, а с кредитными картами — на 68,37%. ^{[1] [79]}

Соединенные Штаты

После широкомасштабной кражи персональных данных из-за слабой безопасности в терминалах точек продаж в Target , Home Depot и других крупных розничных сетях Visa, Mastercard и Discover ^[80] в марте 2012 года, а также American Express ^[81] в июне 2012 года, объявили о своих планах перехода на EMV в Соединенных Штатах. ^[82] После этого объявления несколько банков и эмитентов карт объявили о выпуске карт с технологией чипа и подписи EMV, включая American Express, Bank of America, Citibank, Wells Fargo ^[83] , JPMorgan Chase, US Bank и несколько кредитных союзов.

В 2010 году ряд компаний начали выпускать предоплаченные дебетовые карты, которые включают чип и PIN-код и позволяют американцам пополнять счет наличными в виде евро или фунтов стерлингов . ^{[84] [1]} Федеральный кредитный союз Организации Объединенных Наций был первым эмитентом в США, предложившим кредитные карты с чипом и PIN-кодом. ^[85] В мае 2010 года в пресс-релизе Gemalto (мировой производитель карт EMV) указывалось, что Федеральный кредитный союз Организации Объединенных Наций в Нью-Йорке станет первым эмитентом карт EMV в США, предлагая своим клиентам кредитную карту EMV Visa. ^[86] JPMorgan был первым крупным банком, представившим карту с технологией EMV, а именно свою карту Palladium , в середине 2012 года. ^[87]

По состоянию на апрель 2016 года 70% потребителей в США имели карты EMV, а по состоянию на декабрь 2016 года примерно 50% продавцов соответствовали стандарту EMV. ^{[88] [89]} Однако внедрение было медленным и непоследовательным у разных поставщиков. Даже продавцы с оборудованием EMV могут не иметь возможности обрабатывать транзакции с чипами из-за недостатков программного обеспечения или соответствия. ^[90] Bloomberg также упомянул проблемы с развертыванием программного обеспечения, включая изменения в звуковых подсказках для машин Verifone , выпуск и развертывание программного обеспечения которых может занять несколько месяцев. Однако отраслевые эксперты ожидают большей стандартизации в Соединенных Штатах в отношении развертывания программного обеспечения и стандартов. Visa и Mastercard внедрили стандарты для ускорения транзакций с чипами с целью сокращения времени для них до менее трех секунд. Эти системы обозначены как Visa Quick Chip и Mastercard M/Chip Fast. ^[91]

• American Express ввела перенос ответственности для терминалов в точках продаж 1 октября 2015 года. ^{[92] [ рекламный источник? ]} Для оплаты на заправке на заправочных станциях перенос ответственности был назначен на 16 апреля 2021 года. Он был продлен с 1 октября 2020 года из-за пандемии COVID-19 . ^[93]
• Откройте для себя реализованный перенос ответственности 1 октября 2015 года. Для оплаты на заправочных станциях перенос ответственности был 1 октября 2020 года. ^[76]
• Maestro ввела перенос ответственности 19 апреля 2013 года для международных карт, используемых в Соединенных Штатах. ^[94]
• Mastercard ввела перенос ответственности для терминалов в точках продаж 1 октября 2015 года. ^[92] Для оплаты на заправочных станциях, дата переноса ответственности формально была 1 октября 2020 года. ^[95] Для банкоматов дата переноса ответственности была 1 октября 2016 года. ^{[96] [97]}
• Visa ввела перенос ответственности для терминалов в точках продаж 1 октября 2015 года. Для оплаты на заправочных станциях и автозаправочных станциях перенос ответственности формально наступил 1 октября 2020 года. ^{[95] [98]} Для банкоматов дата переноса ответственности наступила 1 октября 2017 года. ^{[69] [1]}

Примечания

1. одобрено Mastercard NetsUnion, также известной как Mastercard NetsUnion Information Technology (Beijing) Co., Ltd., совместным предприятием Mastercard и китайской банковской сети
2. одобрено совместным предприятием American Express Express (Hangzhou) Technology Services Company Limited

Смотрите также

• Бесконтактная оплата
• Атака на цепочку поставок
• Двухфакторная аутентификация
• ММ-код

Ссылки

1. Стейси Коули (23 сентября 2015 г.). «Скоро на кассах: платежные системы с микрочиповыми картами». The New York Times . Получено 31 июля 2022 г.
2. Важные стандарты индустрии смарт-карт. ISO 7816, Cardwerk Technologies
3. Чэнь, Чжицюнь (2000). Технология Java Card для смарт-карт: Архитектура и руководство программиста . Addison-Wesley Professional . С. 3-4. ISBN 9780201703290.
4. "Краткий обзор смарт-карт (обновление 2019 г.)". Gemalto . 7 октября 2019 г. . Получено 27 октября 2019 г. .
5. Соренсен, Эмили (26 июля 2019 г.). «Подробная история машин для кредитных карт». Мобильные транзакции . Получено 27 октября 2019 г.
6. Veendrick, Harry JM (2017). Нанометровые КМОП-ИС: от основ до ASIC. Springer. стр. 315. ISBN 9783319475974.
7. "EMVCo Members". EMVCo. Архивировано из оригинала 15 февраля 2016 года . Получено 10 мая 2015 года .
8. "Способы участия" . Получено 31 января 2023 г. .
9. "China UnionPay присоединяется к EMVCo" (пресс-релиз). Finextra Research. 20 мая 2013 г. Получено 10 мая 2015 г.
10. "Discover присоединяется к EMVCo, чтобы помочь продвинуть мировые стандарты EMV". Discover Network News. 3 сентября 2013 г. Получено 10 мая 2015 г.
11. Топ-7 поставщиков на мировом рынке карт EMV с 2016 по 2020 год, пресс-релиз Technavio, 24 августа 2016 г.
12. "Visa и MasterCard поддерживают общие решения для обеспечения маршрутизации дебетовых чипов в США". Mastercard. Архивировано из оригинала 14 июня 2021 г. Получено 7 октября 2020 г.
13. "Перенос ответственности за мошеннические транзакции". Ассоциация карт Великобритании . Получено 10 мая 2015 г.
14. "Understanding the 2015 US Fraud Liability Shifts" (PDF) . www.emv-connection.com . Форум по миграции EMV. Архивировано из оригинала (PDF) 19 сентября 2015 г. . Получено 15 ноября 2015 г. .
15. Mark Scott (2 декабря 2014 г.). «Подготовка к использованию карт с чипом и ПИН-кодом в Соединенных Штатах». The New York Times . Получено 31 июля 2022 г.
16. «Почему вы все еще не защищены от мошенничества, если у вас есть кредитная карта с чипом». ABC News .
17. Энн Каррнс (20 июня 2011 г.). «US Bank и Chase добавляют чиповые карты EMV для путешественников» . Получено 31 июля 2022 г.
18. Chip-and-PIN против Chip-and-Signature, CardHub.com (теперь wallethub) , получено 31 июля 2012 г. {{citation}}: Проверить |url=значение ( помощь )
19. "Обновление EMV: обсуждение с Федеральным резервом" (PDF) . Visa . Получено 2 января 2017 г. .
20. Карлин, Патрисия (15 февраля 2017 г.). «Как сократить возвратные платежи, не убивая онлайн-продажи». Forbes .
21. "BBC NEWS – Технологии – Код кредитной карты для борьбы с мошенничеством". bbc.co.uk .
22. "Visa тестирует карты со встроенным ПИН-кодом". IT PRO . 11 ноября 2008 г.
23. Брайан X. Чен (4 мая 2016 г.). «Почему Apple Pay и другие мобильные кошельки превосходят чиповые карты». The New York Times . Получено 31 июля 2022 г.
24. "Как работает EMV (чип и PIN-код) – Схема транзакций". Creditcall Ltd. Получено 10 мая 2015 г.
25. "Книга 1: Требования к интерфейсу терминала ICC, не зависящие от приложений" (PDF) . 4.3. EMVCo. 30 ноября 2011 г. . Получено 20 сентября 2018 г. .^{[ постоянная мертвая ссылка ]}
26. Warming, Jan Bigum (21 августа 2022 г.). Платежи: от ракушек каури до биткойнов. Независимо опубликовано. ISBN 979-8-8405-4325-2.
27. "MasterCard Product & Services - Documentation" . Получено 17 апреля 2017 г. .
28. "Руководство по технологии чипов EMV" (PDF) . EMVCo. Ноябрь 2014 г. Архивировано из оригинала (PDF) 16 февраля 2021 г. Получено 7 октября 2020 г.
29. "EMV CA". EMV Certificate Authority Worldwide. 20 ноября 2010 г. Архивировано из оригинала 4 июля 2020 г. Получено 20 марта 2020 г.
30. "Книга 2: Безопасность и управление ключами (PDF). 4.3" (PDF) . EMVCo. 29 ноября 2011 г. . Получено 20 сентября 2018 г. .^{[ постоянная мертвая ссылка ]}
31. Контактный чип – Общие часто задаваемые вопросы (FAQ) Архивировано 15 июня 2021 г. на Wayback Machine
32. "ContactlessSpecifications for Payment Systems" (PDF) . EMVCo. Архивировано из оригинала (PDF) 15 июня 2021 г. . Получено 7 октября 2020 г. .
33. Определение TAC: Код действия терминала
34. "Технологический партнер Visa: Код действия терминала (минимум VISA)".
35. "Быстрый чип".
36. "M/Chip Fast от MasterCard ускоряет транзакции EMV и покупателей через кассу". Архивировано из оригинала 28 октября 2020 г. Получено 30 ноября 2020 г.
37. «Условия использования» (PDF) .^{[ постоянная мертвая ссылка ]}
38. EMVCo. "EMVCo Members" . Получено 1 августа 2020 г. .
39. "Книга 2: Безопасность и управление ключами" (PDF) . 4.3. EMVCo. 29 ноября 2011 г. Получено 20 сентября 2018 г.^{[ постоянная мертвая ссылка ]}
40. "Книга 3: Спецификация приложения" (PDF) . 4.3. EMVCo. 28 ноября 2011 г. Получено 20 сентября 2018 г.^{[ постоянная мертвая ссылка ]}
41. "Книга 4: Требования к интерфейсу держателя карты, обслуживающего персонала и эквайера" (PDF) . 4.3. EMVCo. 27 ноября 2011 г. Получено 20 сентября 2018 г.^{[ постоянная мертвая ссылка ]}
42. "SB CPA Specification v1 Plus Bulletins" (PDF) . EMVCo. 1 марта 2008 г. . Получено 20 сентября 2018 г. .^{[ постоянная мертвая ссылка ]}
43. "Спецификация персонализации карт EMV®" (PDF) . EMVCo. 1 июля 2007 г. . Получено 20 сентября 2018 г. .^{[ постоянная мертвая ссылка ]}
44. "Спецификации карт с интегральной схемой для платежных систем". EMVCo. Архивировано из оригинала 2 апреля 2012 г. Получено 26 марта 2012 г.
45. «Насколько надежны чип и PIN-код?». BBC Newsnight. 26 февраля 2008 г.
46. Саар Дример; Стивен Дж. Мердок; Росс Андерсон. «Уязвимости устройств ввода PIN-кода (PED)». Компьютерная лаборатория Кембриджского университета . Получено 10 мая 2015 г.
47. "Petrol firms suspends chip-and-pin". BBC News . 6 мая 2006 г. Получено 13 марта 2015 г.
48. «Организованная преступность вмешивается в работу европейских устройств для считывания карт». The Register. 10 октября 2008 г.
49. «Технические рабочие группы, Secure POS Vendor Alliance». 2009. Архивировано из оригинала 15 апреля 2010 г.
50. «Действительно ли Chip and Pin безопасны?». BBC News . 26 февраля 2008 г. Получено 2 мая 2010 г.
51. "Chip and pin". 6 февраля 2007 г. Архивировано из оригинала 5 июля 2007 г.
52. Джон Лейден (27 февраля 2008 г.). «Атака скрепками пронзает Чипа и ПИНа». The Channel . Получено 10 мая 2015 г.
53. Стивен Дж. Мердок; Саар Дример; Росс Андерсон; Майк Бонд. «Уязвимость «клина» проверки PIN-кода EMV». Компьютерная лаборатория Кембриджского университета . Получено 12 февраля 2010 г.
54. Сьюзан Уоттс (11 февраля 2010 г.). «Обнаружены новые недостатки в системе чипов и штифтов». BBC News . Получено 12 февраля 2010 г.
55. "Ответ от EMVCo на отчет Кембриджского университета об уязвимостях чипа и PIN-кода ('Chip and PIN is Broken' – февраль 2010 г.)" (PDF) . EMVCo. Архивировано из оригинала (PDF) 8 мая 2010 г. . Получено 26 марта 2010 г. .
56. Сьюзан, Уоттс. «Обнаружены новые недостатки в системе чипов и штифтов (11 февраля 2010 г.)». Newsnight . BBC . Получено 9 декабря 2015 г. .
57. Росс Андерсон (11 февраля 2010 г.). «Чип и ПИН-код взломаны». Для нас и банкиров неудивительно, что эта атака работает офлайн [...] настоящий шок в том, что она работает и онлайн
58. Richard Evans (15 октября 2009 г.). «Карточное мошенничество: теперь банки должны доказать вашу вину». The Telegraph . Архивировано из оригинала 21 октября 2009 г. Получено 10 мая 2015 г.
59. Андреа Барисани; Даниэле Бьянко; Адам Лори; Зак Франкен (2011). «Chip & PIN определенно сломан» (PDF) . Aperture Labs. Архивировано из оригинала (PDF) 19 октября 2015 года . Получено 10 мая 2015 года .
60. Адам Лори; Зак Франкен; Андреа Барисани; Даниэле Бьянко. «EMV – Chip & Pin CVM Downgrade Attack». Aperture Labs и Inverse Path. Архивировано из оригинала 19 октября 2015 г. Получено 10 мая 2015 г.
61. D. Basin, R. Sasse, J. Toro-Pozo (2020). «Стандарт EMV: сломать, исправить, проверить». Симпозиум IEEE 2021 года по безопасности и конфиденциальности (SP) : 1766–1781. arXiv : 2006.08249 .{{cite journal}}: CS1 maint: несколько имен: список авторов ( ссылка )
62. «Стандарт EMV: сломать, исправить, проверить».
63. «Американские кредитные карты устарели и стали менее полезными за рубежом, поскольку карты с чипом и ПИН-кодом становятся все более популярными». creditcards.com .^{[ постоянная мертвая ссылка ]}
64. "Visa Australia". visa-asia.com . Архивировано из оригинала 22 сентября 2013 года . Получено 29 июня 2015 года .
65. Хиггинс, Мишель (29 сентября 2009 г.). «Американцы покупают меньше пластика за границей». The New York Times . Получено 17 апреля 2017 г.
66. "Руководство по возврату платежей" (PDF) . MasterCard Worldwide. 3 ноября 2010 г. . Получено 10 мая 2015 г. .
67. "Operating Regulations" (PDF) . Visa International. Архивировано из оригинала (PDF) 3 марта 2013 г.
68. "Путешествие к динамическим данным". Visa. Архивировано из оригинала 28 июня 2021 г.
69. "Visa расширяет дорожную карту США по внедрению чипов EMV, чтобы включить в нее банкоматы и общее дебетовое решение" (пресс-релиз). Фостер-Сити, Калифорния: Visa. 4 февраля 2013 г. Получено 10 мая 2015 г.
70. "MasterCard объявляет о пятилетнем плане по изменению облика платежной индустрии в Австралии". Mastercard Australia. Архивировано из оригинала 28 января 2013 г.
71. "Малайзия первой завершила переход на чиповые карты". The Star Online .
72. "США извлекают уроки из Малайзии, 10 лет спустя". The Rakyat Post. 14 октября 2015 г. Архивировано из оригинала 20 марта 2019 г. Получено 30 декабря 2016 г.
73. "Проверка кредитных карт для борьбы с мошенничеством". BBC Business News . 11 апреля 2003 г. Получено 27 мая 2015 г.
74. Ассоциация карт Великобритании. "Руководство по чипам и ПИН-кодам" (PDF) . Получено 27 мая 2015 г.
75. Фонд, Память Интернета. "[АРХИВИРОВАННОЕ СОДЕРЖАНИЕ] Веб-архив правительства Великобритании – Национальный архив". Архивировано из оригинала 12 ноября 2008 года . Получено 17 апреля 2017 года .
76. "Discover to implement EMV liability shift by 2015" (пресс-релиз). Finextra Research. 12 ноября 2012 г. Получено 10 мая 2015 г.
77. "Chip Liability Shift". globalpayments. Архивировано из оригинала 30 июля 2013 г.
78. "Interac - Для торговцев" . Получено 17 апреля 2017 г.
79. "EMV снижает мошенничество с предъявлением карт в Канаде (инфографика) - Официальный блог Helcim™" . Получено 17 апреля 2017 г.
80. "Discover реализует мандат EMV для США, Канады и Мексики". Архивировано из оригинала 10 мая 2012 года.
81. "American Express объявляет о плане действий US EMV по продвижению контактных, бесконтактных и мобильных платежей" (пресс-релиз). Нью-Йорк: American Express. 29 июня 2012 г. Архивировано из оригинала 10 мая 2015 г. Получено 10 мая 2015 г.
82. "EMV's Uncertain Fate in the US". Protean Payment. Архивировано из оригинала 29 сентября 2013 года . Получено 22 сентября 2012 года .
83. Кэмхи, Джонатан (3 августа 2012 г.). «Wells Fargo представляет новую карту EMV для потребителей». Банковские системы и технологии. Архивировано из оригинала 5 июня 2014 г. Получено 10 мая 2015 г.
84. "Travelex предлагает первую в Америке предоплаченную карту в иностранной валюте с чипом и PIN-кодом". Business Wire . 1 декабря 2010 г. Получено 6 февраля 2014 г.
85. "UNFCU станет первым эмитентом в США, предлагающим кредитные карты с чипом высокой безопасности". Федеральный кредитный союз Организации Объединенных Наций .
86. Рэй Визбовски (13 мая 2010 г.). «United Nations Federal Credit Union Selects Gemalto for First US Issued Globally Compliant Payment Card» (пресс-релиз). Остин, Техас: Gemalto . Получено 10 мая 2015 г.
87. Пол Риглер (25 июля 2013 г.). «Кредитные карты с чипом и пин-кодом и чипом и подписью: руководство на 2013 год». Frequent Business Traveler . Получено 10 мая 2015 г.
88. Голдман, Шарон (20 марта 2017 г.). «Становится ли каменистая дорога к принятию розничных сетей EMV более гладкой?». Журнал CIO . Архивировано из оригинала 27 марта 2017 г. Получено 17 апреля 2017 г.
89. "EMV Credit Cards Poll". Архивировано из оригинала 27 марта 2017 года . Получено 26 марта 2017 года .
90. «У розничных торговцев есть считыватели чип-карт — почему они их не используют?» . Получено 22 ноября 2017 г.
91. «План сделать чиповые кредитные карты менее раздражающими». Bloomberg.com . 17 июля 2017 г. Получено 5 августа 2017 г.
92. Cathy Medich (июль 2012 г.). "EMV-миграция – обусловленная вехами платежного бренда" . Получено 10 мая 2015 г.
93. «Amex присоединяется к Visa в отсрочке перехода на EMV для американского газа». 5 мая 2020 г.
94. Дэвид Хён (10 сентября 2012 г.). «MasterCard внедряет политику ответственности EMV Chip-Card в банкоматах США». SourceMedia. Архивировано из оригинала 22 февраля 2014 г. Получено 10 мая 2015 г.
95. "EMV Fuel Liability Delay Pumps Card Fraud Concerns". Credit Union Times . Получено 4 декабря 2016 г.
96. Бет Китченер (10 сентября 2012 г.). «MasterCard расширяет дорожную карту миграции US EMV до канала ATM» (пресс-релиз). Покупка, Нью-Йорк: Mastercard. Архивировано из оригинала 8 мая 2015 г. Получено 10 мая 2015 г.
97. "EMV для американских покупателей: семь руководящих принципов готовности к EMV" (PDF) . Архивировано из оригинала (PDF) 5 июля 2016 г. . Получено 17 апреля 2017 г. .
98. "Visa Announces US Participation in Global Point-of-Sale Counterfeit Liability Shift" (PDF) (пресс-релиз). Visa. 9 августа 2011 г. Архивировано из оригинала (PDF) 23 мая 2015 г. Получено 10 мая 2015 г.

Внешние ссылки

• Официальный сайт
• BBC: Что внутри банковской карты, ноябрь 2022 г.