EMV

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск

EMV (Europay + MasterCard + VISA) — международный стандарт для операций по банковским картам с чипом. Этот стандарт разработан совместными усилиями компаниями Europay, MasterCard и Visa, чтобы повысить уровень безопасности финансовых операций.

Основное отличие для пользователя карты стандарта EMV — преимущественное требование ввода ПИН-кода при проведении любого платежа через терминал (например, в магазинах, ресторанах). Тем не менее, данное требование не является обязательным: при желании банк-эмитент может настроить CVM-лист чип-карты так, что в первую очередь она будет запрашивать подпись.

Стандарт EMV определяет физическое, электронное и информационное взаимодействие между банковской картой и платёжным терминалом для финансовых операций. Существуют стандарты, основанные на ISO/IEC 7816 для контактных карт, и стандарты ISO/IEC 14443 для бесконтактных карт.

Первый стандарт для платёжных карт Cartes Bancaires M4 был создан во Франции в 1986 году. EMV также предшествовал стандарт Geldkarte в Германии. EMV полностью совместим с этими двумя стандартами. Франция перевела все выпускаемые на территории страны карты на стандарт EMV.

Наиболее распространённые вариации стандарта EMV:

В мае 2010 года было заявлено, что United Nations Federal Credit Union[en] в Нью-Йорке выпустит первую карту стандарта EMV в США[1]

Особенности и преимущества EMV[править | править вики-текст]

Основные преимущества — повышенный уровень безопасности транзакций и возможность более точного контроля транзакций в «оффлайн». Одна из целей EMV — повысить функциональность карт (например, платёжная карта с электронным проездным).

Повышенный уровень безопасности обеспечивается за счёт ухода от визуального контроля (проверка продавцом голограммы, подписи, сверка имени с удостоверением личности) к использованию ПИН-кода и криптографических алгоритмов, таких как DES, Triple DES, RSA и SHA для аутентификации карты.

Новый уровень безопасности позволил банкам и эмитентам карт перенести ответственность за утерянные средства таким образом, что теперь (с 1 января 2005 года в ЕС) торгующие организации несут ответственность за мошеннические транзакции, совершенные при помощи систем, не поддерживающих стандарт EMV, а при использовании карт стандарта EMV ответственность ложится на держателя карты, если он не сможет доказать, что не присутствовал при совершении транзакции, не давал разрешение на транзакцию и не раскрыл ПИН-код третьим лицам.

Уязвимости EMV[править | править вики-текст]

Перехватив ПИН-код и клонировав магнитную полосу карты, злоумышленник может произвести оплату копией карты в POS-терминалах, не поддерживающих работу с чипом.[2]. При этом снятие наличных в банкоматах и оплата в POS-терминале с поддержкой оплаты по чипу невозможно, так как данные магнитной полосы карты содержат информацию о необходимости использовать чип. Терминал прочтёт эту информацию и потребует использовать чип EMV, который невозможно скопировать таким образом. EMV также не защищает и от мошеннического использования карты в Интернете (если злоумышленнику стал известен 16-значный номер карты, срок её действия и секретный CVC2/CVV2 код) при операциях, не защищённых дополнительно протоколом 3-D Secure. Строго говоря, данные уязвимости присущи не только EMV-картам.

Защищенность[править | править вики-текст]

Чип имеет существенно более высокую степень защиты по сравнению с магнитной полосой. Секретный ключ чипа, идентифицирующий карту в банковских операциях, хранится в защищённой памяти, он записывается в память чипа на стадии изготовления, и его невозможно оттуда извлечь с помощью внешних устройств, не нарушая целостности самого чипа. Регулярно публикуемая многими национальными банками статистика показывает значительное снижение случаев мошенничества при использовании EMV [3]. ПИН-код чипа в ряде операций проверяется самим чипом, в отличие от ПИН-кода магнитной полосы, который проверяется компьютером банка. Это обстоятельство усложняет перехват ПИН-кода при передаче в банк, хотя, с другой стороны, делает возможным перехват ПИН-кода шиммером. Также чип, в отличие от магнитной полосы, не подвержен воздействию магнитных полей.

Примечания[править | править вики-текст]

Ссылки[править | править вики-текст]