EMV (EMV)
EMV (Europay + MasterCard + VISA) — международный стандарт для операций по банковским картам с чипом. Этот стандарт первоначально был разработан совместными усилиями компаний Europay, MasterCard и Visa, чтобы повысить уровень безопасности финансовых операций.
Стандарт EMV определяет физическое, электронное и информационное взаимодействие между банковской картой и платёжным терминалом для финансовых операций. Базируется на стандартах ISO/IEC 7816 для контактных карт, и стандартах ISO/IEC 14443 для бесконтактных карт.
Первый стандарт для платёжных карт Cartes Bancaires M4 был создан во Франции в 1986 году. EMV также предшествовал стандарт Geldkarte в Германии. EMV полностью совместим с этими двумя стандартами. Франция перевела все выпускаемые на территории страны карты на стандарт EMV.
В мае 2010 года было заявлено, что United Nations Federal Credit Union[англ.] в Нью-Йорке выпустит первую карту стандарта EMV в США[1].
Особенности и преимущества EMV
[править | править код]Основные преимущества — повышенный уровень безопасности транзакций и возможность более точного контроля транзакций в «офлайн». Одна из целей EMV — повысить функциональность карт (например, платёжная карта с электронным проездным).
Повышенный уровень безопасности обеспечивается за счёт ухода от визуального контроля (проверка продавцом голограммы, подписи, сверка имени с удостоверением личности) к использованию ПИН-кода и криптографических алгоритмов, таких как DES, Triple DES, RSA и SHA для аутентификации карты
Новый уровень безопасности позволил банкам-эмитентам карт перенести ответственность за утерянные средства таким образом, что теперь (с 1 января 2005 года в ЕС) торгующие организации или банки-эквайеры несут ответственность за мошеннические транзакции, совершенные при помощи систем, не поддерживающих стандарт EMV.
Уязвимости EMV
[править | править код]Фундаментальных уязвимостей чисто чиповых карт стандарта EMV не существует на текущий момент (2020). Платёжные системы постоянно отслеживают ситуацию с текущим уровнем технологии и заранее ужесточают требования к длине криптографических ключей и криптографическим алгоритмам, использующимся при издании чиповых карт.
На текущий момент (2020) допустимо издание чиповых карт, содержащих в том числе и магнитную полосу на самой карте, а также значение СVV2 (его называют разными терминами в зависимости от платёжной системы карты). Именно возможность провести транзакцию по чиповой карте, не используя собственно чип, является фундаментальной уязвимостью используемой на данный момент технологии - то есть для успешной поддельной транзакции достаточно скопировать магнитную полосу, иногда даже не нужен ПИН в этом случае. Или, что даже более просто - для поддельной транзакции через интернет торговца достаточно знать полный номер карты, срок её действия, и значение СVV2, которые просто текстом напечатаны на самой карте.
Платёжные системы осознают данные опасности, и в настоящее время происходит постепенный отказ от технологий, которые потенциально уязвимы. Это делается с помощью переноса ответственности за мошеннические операции, проведённые небезопасным образом, на продавцов или банки-эквайеры. Это вынуждает последних отказываться от небезопасных методов приёма транзакций, запрещая их или переходя на защищённые технологии, например, 3-D Secure для интернет-платежей, и отказ от терминалов, принимающих исключительно карты по магнитной полосе и, как следствие, постепенное запрещение транзакций по магнитной полосе вообще.
Операции онлайн, по телефону и по почте
[править | править код]В то время как технология EMV помогла снизить уровень преступности в торговых точках, мошеннические транзакции переместились в более уязвимые транзакции по телефону, Интернету и почтовым переводам, известные в отрасли как транзакции без предъявления карты или транзакции CNP.[2] Операции CNP составили не менее 50% всех случаев мошенничества с кредитными картами.[3] Из-за физического расстояния продавец не может предоставить покупателю клавиатуру в этих случаях, поэтому были разработаны альтернативы, в том числе
- Программные подходы к онлайн-транзакциям, которые включают взаимодействие с банком-эмитентом карты или веб-сайтом сети, например, Verified by Visa и Mastercard SecureCode (реализация протокола Visa 3-D Secure). 3-D Secure теперь заменяется надежной аутентификацией клиентов, как это определено в Европейской директиве о вторых платежных услугах.
- Создание одноразовой виртуальной карты, привязанной к физической карте с заданной максимальной суммой.
- Дополнительное оборудование с клавиатурой и экраном, которое может выдавать одноразовый пароль, например программа аутентификации чипа.
- Клавиатура и экран интегрированы в сложные карты для создания одноразового пароля. С 2008 года Visa запускает пилотные проекты с использованием карты Emue, где сгенерированный номер заменяет код, напечатанный на обратной стороне стандартных карт.[4]
Защищенность
[править | править код]Чип имеет существенно более высокую степень защиты по сравнению с магнитной полосой. Секретный ключ чипа, идентифицирующий карту в банковских операциях, хранится в защищённой памяти, он записывается в память чипа на стадии изготовления, и его невозможно оттуда извлечь с помощью внешних устройств, не нарушая целостности самого чипа. Регулярно публикуемая многими национальными банками статистика показывает значительное снижение случаев мошенничества при использовании EMV[5].
Также чип, в отличие от магнитной полосы, гораздо менее подвержен воздействию магнитных полей.
Примечания
[править | править код]- ↑ United Nations Federal Credit Union Selects Gemalto for First U.S. Issued Globally Compliant Payment Card, Gemalto NV, Архивировано 4 марта 2014, Дата обращения: 27 июня 2011 Источник . Дата обращения: 27 июня 2011. Архивировано 4 марта 2014 года.
- ↑ How To Reduce Chargebacks Without Killing Online Sales . Forbes (15 февраля 2017). Дата обращения: 2 февраля 2021. Архивировано 28 июня 2019 года.
- ↑ "BBC NEWS – Technology – Credit card code to combat fraud". bbc.co.uk. Архивировано 21 мая 2009. Дата обращения: 2 февраля 2021.
- ↑ Visa tests cards with built in PIN machine . IT PRO. Дата обращения: 2 февраля 2021. Архивировано 13 апреля 2021 года.
- ↑ Fraud and EMV, Архивировано 31 декабря 2012, Дата обращения: 15 января 2013 Архивированная копия . Дата обращения: 15 января 2013. Архивировано 31 декабря 2012 года.Архивированная копия . Дата обращения: 15 января 2013. Архивировано 31 декабря 2012 года.