Chip and PIN

JGC VISA01s.jpg

EMV (Europay + MasterCard + VISA) — международный стандарт для операций по банковским картам с чипом. Этот стандарт первоначально был разработан совместными усилиями компаний Europay, MasterCard и Visa, чтобы повысить уровень безопасности финансовых операций.

Стандарт EMV определяет физическое, электронное и информационное взаимодействие между банковской картой и платёжным терминалом для финансовых операций. Базируется на стандартах ISO/IEC 7816 для контактных карт, и стандартах ISO/IEC 14443 для бесконтактных карт.

Первый стандарт для платёжных карт Cartes Bancaires M4 был создан во Франции в 1986 году. EMV также предшествовал стандарт Geldkarte в Германии. EMV полностью совместим с этими двумя стандартами. Франция перевела все выпускаемые на территории страны карты на стандарт EMV.


В мае 2010 года было заявлено, что United Nations Federal Credit Union[en] в Нью-Йорке выпустит первую карту стандарта EMV в США[1].


Особенности и преимущества EMV

Основные преимущества — повышенный уровень безопасности транзакций и возможность более точного контроля транзакций в «офлайн». Одна из целей EMV — повысить функциональность карт (например, платёжная карта с электронным проездным).

Повышенный уровень безопасности обеспечивается за счёт ухода от визуального контроля (проверка продавцом голограммы, подписи, сверка имени с удостоверением личности) к использованию ПИН-кода и криптографических алгоритмов, таких как DES, Triple DES, RSA и SHA для аутентификации карты.

Новый уровень безопасности позволил банкам-эмитентам карт перенести ответственность за утерянные средства таким образом, что теперь (с 1 января 2005 года в ЕС) торгующие организации или банки-эквайеры несут ответственность за мошеннические транзакции, совершенные при помощи систем, не поддерживающих стандарт EMV.

Уязвимости EMV

Фундаментальных уязвимостей чисто чиповых карт стандарта EMV не существует на текущий момент (2019). Платёжные системы постоянно отслеживают ситуацию с текущим уровнем технологии и заранее ужесточают требования к длине криптографических ключей и криптографическим алгоритмам, использующимся при издании чиповых карт.

На текущий момент (2019) допустимо издание чиповых карт, содержащих в том числе и магнитную полосу на самой карте, а также значение СVV2 (его называют разными терминами в зависимости от платёжной системы карты). Именно возможность провести транзакцию по чиповой карте, не используя собственно чип, является фундаментальной уязвимостью используемой на данный момент технологии - то есть для успешной поддельной транзакции достаточно скопировать магнитную полосу, иногда даже не нужен ПИН в этом случае. Или, что даже более просто - для поддельной транзакции через интернет торговца достаточно знать PAN карты, срок её действия, и значение СVV2, которые просто текстом напечатаны на самой карте.

Платёжные системы осознают данные опасности, и в настоящее время происходит постепенный отказ от технологий, которые потенциально уязвимы. Это делается с помощью переноса ответственности за мошеннические операции, проведённые небезопасным образом, на продавцов или банки-эквайеры. Это вынуждает последних отказываться от небезопасных методов приёма транзакций, запрещая их или переходя на защищённые технологии, например, 3-D Secure для интернет-платежей, и отказ от терминалов, принимающих исключительно карты по магнитной полосе и, как следствие, постепенное запрещение транзакций по магнитной полосе вообще.

Защищенность

Чип имеет существенно более высокую степень защиты по сравнению с магнитной полосой. Секретный ключ чипа, идентифицирующий карту в банковских операциях, хранится в защищённой памяти, он записывается в память чипа на стадии изготовления, и его невозможно оттуда извлечь с помощью внешних устройств, не нарушая целостности самого чипа. Регулярно публикуемая многими национальными банками статистика показывает значительное снижение случаев мошенничества при использовании EMV[2].

Также чип, в отличие от магнитной полосы, гораздо менее подвержен воздействию магнитных полей.

Примечания

См. также

Ссылки