EMV – standard służący podniesieniu bezpieczeństwa transakcji kartowych
Data: 15 czerwca 2010 | Autor: Mikołaj Rutkowski | Brak komentarzy »
Ponieważ w ostatnim wpisie o statystyce oszustw kartowych za 2009 rok rzuciłem trochę karcianym żargonem technologicznym, spieszę wyjaśnić, cóż to takiego jest standard EMV. Otóż jest to standard elektronicznych kart płatniczych, oparty na technologii smart card – co oznacza po prostu kombinację “czip + PIN”. Kartami EMV są wszystkie karty, które oprócz paska magnetycznego, mają jeszcze wtopiony w nie mikroprocesor. W zasadzie – podchodząc do tego w dość uproszczony sposób – standard EMV określa pewien sposób autentykacji i autoryzacji kartami płatniczymi, a więc można powiedzieć, że jest pewnego rodzaju protokołem.
Nazwa jest akronimem pochodzącym od trzech organizacji, które ten standard opracowały – Europay, MasterCard i Visa. Rozwojem tego standardu zajmuje się powołana przez nie organizacja EMVCo., zaś aktualnie, tj. od roku 2008, obowiązuje specyfikacja 4.2 standardu. Aktualnie EMVCo. rozwija równolegle standard płatności bezstykowych (PayPass w przypadku MasterCarda i payWave dla Visy).
Karty w standardzie EMV docelowo mają być wyposażone jedynie w mikroprocesor (czip), co znacznie zmniejsza ryzyko ich podrobienia. Póki co, jesteśmy jednak w okresie przejściowym, w którym banki wydają nam karty wyposażone zarówno w czip, jak i pasek magnetyczny. Jest to oczywistą pochodną tego, że musi minąć trochę czasu, zanim cała infrastruktura techniczna obsługi kart zostanie przystosowana do odczytywania czipów. Zaś pochodną pochodnej jest to, że aktualna infrastruktura jest także przystosowana do odczytu tak czipów, jak i pasków magnetycznych. Generalną zasadą jest to, żeby dane urządzenie (bankomat, terminal POS) odczytywało – o ile to możliwe – dane z czipa, a dopiero jeśli nie jest to możliwe (tj. karta nie ma czipa, lub też jego odczyt jest z jakichś powodów niemożliwy), odczytywało dane z paska magnetycznego.
Jak możecie się domyślić, autoryzacja transakcji kodem PIN jest znacznie bardziej bezpieczna, niż potwierdzenie transakcji podpisem na “kwitku” (slipie). Dlaczego? Po pierwsze dlatego, że nasz podpis łatwiej podrobić niż odgadnąć nasz kod PIN (w przypadku kradzieży lub skopiowania karty). A po drugie – i to bardziej prozaiczne – mechanizm weryfikacji naszego podpisu na slipie z podpisem na karcie chyba nie zdał egzaminu. Ilu z czytelników może pochwalić się, że przy ostatnich zakupach ekspedientka faktycznie zweryfikowała, czy te podpisy są identyczne? Zapewne niewielu.
Poza zmianą sposobu potwierdzania samej transakcji przez klienta, EMV wprowadza także zmiany w sposobie jej autoryzacji na linii karta-terminal, a następnie terminal-centrum rozliczeniowe. Chodzi głównie o użycie silniejszych algorytmów szyfrujących w celu potwierdzenia autentyczności przedstawianej karty, ale nie tylko. Pragnący bardziej szczegółowych informacji o technikaliach procesu rozliczania transakcji kartami EMV, mogą skorzystać ze szczegółowego schematu, znajdującego się pod tym adresem. Banki twierdzą też, że jeśli klient neguje dokonanie transakcji, są w stanie udowodnić mu, że to właśnie jego karta została użyta do kwestionowanej transakcji.
Cechą charakterystyczną, związaną z wprowadzeniem kart w standardzie EMV, jest ustanowienie przez wydawców kart instytucji zwanej liability shift (przeniesienie odpowiedzialności). Jej podstawowym celem jest – nie oszukujmy się – zachęta dla “opornych” instytucji do wdrażania standardu EMV. Dlaczego? Ponieważ zgodnie z zasadą liability shift, odpowiedzialność za fraudowe transakcje ponosi ten podmiot uczestniczący w procesie rozliczenia transakcji kartą, który nie wdrożył jeszcze technologii EMV.
Skomentuj wpis
Musisz być zalogowany/a, żeby zamieszczać komentarze.