EMV
EMV (Europay + MasterCard + VISA) — международный стандарт для операций по банковским картам с чипом. Этот стандарт разработан совместными усилиями компаний Europay, MasterCard и Visa, чтобы повысить уровень безопасности финансовых операций.
Основное отличие для пользователя карты стандарта EMV — преимущественное требование ввода ПИН-кода при проведении любого платежа через терминал (например, в магазинах, ресторанах). Тем не менее, данное требование не является обязательным: при желании банк-эмитент может настроить CVM-лист чип-карты так, что в первую очередь она будет запрашивать подпись.
Стандарт EMV определяет физическое, электронное и информационное взаимодействие между банковской картой и платёжным терминалом для финансовых операций. Существуют стандарты, основанные на ISO/IEC 7816 для контактных карт, и стандарты ISO/IEC 14443 для бесконтактных карт.
Первый стандарт для платёжных карт Cartes Bancaires M4 был создан во Франции в 1986 году. EMV также предшествовал стандарт Geldkarte в Германии. EMV полностью совместим с этими двумя стандартами. Франция перевела все выпускаемые на территории страны карты на стандарт EMV.
Наиболее распространённые вариации стандарта EMV:
- VSDC — VISA
- MChip — MasterCard
- AEIPS — American Express
- J Smart — JCB
В мае 2010 года было заявлено, что United Nations Federal Credit Union[англ.] в Нью-Йорке выпустит первую карту стандарта EMV в США[1].
Особенности и преимущества EMV
[править | править код]Основные преимущества — повышенный уровень безопасности транзакций и возможность более точного контроля транзакций в «офлайн». Одна из целей EMV — повысить функциональность карт (например, платёжная карта с электронным проездным).
Повышенный уровень безопасности обеспечивается за счёт ухода от визуального контроля (проверка продавцом голограммы, подписи, сверка имени с удостоверением личности) к использованию ПИН-кода и криптографических алгоритмов, таких как DES, Triple DES, RSA и SHA для аутентификации карты.
Новый уровень безопасности позволил банкам и эмитентам карт перенести ответственность за утерянные средства таким образом, что теперь (с 1 января 2005 года в ЕС) торгующие организации несут ответственность за мошеннические транзакции, совершенные при помощи систем, не поддерживающих стандарт EMV, а при использовании карт стандарта EMV ответственность ложится на держателя карты, если он не сможет доказать, что не присутствовал при совершении транзакции, не давал разрешение на транзакцию и не раскрыл ПИН-код третьим лицам.
Уязвимости EMV
[править | править код]Фундаментальной уязвимостью EMV является необходимость вводить ПИН-код при каждой покупке, что потенциально предоставляет многочисленные возможности для его перехвата — по сравнению с процедурой покупки, при которой ПИН-код не вводится, что исключает его перехват. Так и произошло, когда хакеры проникли в систему оплаты услуг более 20 отелей в США. Эксперты полагают, что хакеры похитили личные данные людей, номера их счетов в банках, сроки действия карт, но не смогли получить ПИН-коды, которые в данных гостиницах не требуют для удостоверения личности и оплаты[2].
Знание ПИН-кода позволяет снять наличные с украденной или потерянной карты. При этом бремя доказательства того, что карта украдена или потеряна, ложится на держателя карты.
Перехватив ПИН-код и клонировав магнитную полосу карты, злоумышленник может произвести оплату копией карты в POS-терминалах, не поддерживающих работу с чипом[3]. При этом снятие наличных в банкоматах и оплата в POS-терминале с поддержкой оплаты по чипу невозможно, так как данные магнитной полосы карты содержат информацию о необходимости использовать чип. Терминал прочтёт эту информацию и потребует использовать чип EMV, который невозможно скопировать таким образом.
EMV также не защищает и от мошеннического использования карты в Интернете (если злоумышленнику стал известен 16-значный номер карты, срок её действия и секретный CVC2/CVV2 код) при операциях, не защищённых дополнительно протоколом 3-D Secure. Строго говоря, данная уязвимость присуща не только EMV-картам.
Защищенность
[править | править код]Чип имеет существенно более высокую степень защиты по сравнению с магнитной полосой. Секретный ключ чипа, идентифицирующий карту в банковских операциях, хранится в защищённой памяти, он записывается в память чипа на стадии изготовления, и его невозможно оттуда извлечь с помощью внешних устройств, не нарушая целостности самого чипа. Регулярно публикуемая многими национальными банками статистика показывает значительное снижение случаев мошенничества при использовании EMV[4].
Также чип, в отличие от магнитной полосы, гораздо менее подвержен воздействию магнитных полей.
Примечания
[править | править код]- ↑ United Nations Federal Credit Union Selects Gemalto for First U.S. Issued Globally Compliant Payment Card, Gemalto NV
- ↑ Злоумышленники, вероятно, получили доступ к личным данным клиентов сетей Starwood, Marriott, Hyatt и Intercontinental
- ↑ "Petrol firm suspends chip-and-pin". BBC News. 6 May 2006.
- ↑ Fraud and EMV
Ссылки
[править | править код]- EMVCo
- What is EMV? (недоступная ссылка)
| Типы карт | |
|---|---|
| Глобальные платёжные системы | |
| Локальные платёжные системы, в том числе закрытые |
|
| Основные кредитные карты | |
| Основные дебетовые карты | |
| Выпуск банковских карт | |
| Приём банковских карт | |
| Связанные понятия | |
| Безопасность | |
