EMV
EMV (zkratku z Europay, MasterCard a Visa) je celosvětový standard pro vzájemné operace mezi čipovými kartami a čtecími zařízení karet jako jsou pokladní místa (POS) s terminály a bankomaty. Tento standard slouží pro autentizaci kreditní karty a debetní karty k transakcím.
Historie standardu
EMV začal jako společný projekt platebních společností Europay (v roce 2002 začleněna do společnosti MasterCard), MasterCard a VISA pro zajištění bezpečnosti a globální interoperability čipových platebních karet. Standard je nyní definován a spravován veřejnou korporací EMVCo. V prosinci 2004 se k organizaci připojila společnost JCB Co., Ltd. (dříve Japan Credit Bureau), v únoru 2009 American Express, v květnu 2015 China UnionPay,[1] a v září 2013 firma Discover.[2] Členové EMVCo mají stejné hlasovací práva, tj. 1/6.[3] Systémy IC karet založených na specifikaci EMV jsou zaváděny po celém světě, pod názvy jako "IC Credit" a "Chip a PIN".
Normy EMV definují interakci na úrovni fyzické, elektrické, datových a aplikačních mezi IC karty a IC zařízení pro zpracování karet pro finanční transakce. Existují standardy založené na ISO/IEC 7816 pro kontaktní karty, a normy založené na ISO/IEC 14443 pro bezkontaktní karty (PayPass, PayWave, ExpressPay).
První standard pro platební karty byl Carte Bancaire M4 z Bull-CP8 nasazen ve Francii v roce 1986 následuje B4B0 (kompatibilní s M4) rozmístěné v roce 1989. GeldKarte v Německu předek EMV. EMV byl navržen tak, aby karty a terminály byly zpětně kompatibilní s těmito normami z důvodu, že Francie používala tyto standardy a až později začala migrovat všechny své karty a terminály na infrastrukturu pro EMV.
Nejznámější implementace čipových karet standardu EMV jsou:
- VSDC – Visa
- M/Chip – MasterCard
- AEIPS – American Express
- J Smart – JCB
- D-PAS – Discover/Diners Club International
Visa a MasterCard také vyvinuli standardy pro použití EMV karet v zařízení pro podporu nekaretních transakcí přes telefon a internet. MasterCard má Chip Authentication Program (CAP) pro bezpečné e-commerce. Jeho realizace je známý jako EMV-CAP a podporuje řadu režimů. Visa má Dynamic Passcode Authentication (DPA) schéma, které je jejich realizace CAP pomocí různých výchozích hodnot.
V únoru 2010, počítačoví odborníci z Cambridgeské univerzity prokázala, že zavedení vstupu EMV PIN je náchylné k útoku man-in-the-middle; Nicméně, způsob PINy jsou zpracovány, závisí na schopnostech kartou a terminálem.
Rozdíly a výhody EMV
Smyslem a cílem tohoto standardu EMV je specifikovat interoperabilitu mezi EMV-kompatibilní IC karty a EMV-kompatibilními platebními terminály po celém světě. Tam jsou dvě hlavní výhody přechodu na chytré-karty založené na kreditním platebních systémů pomocí karet: zvýšení bezpečnosti (spojenou redukcí podvodů), a možnost pro jemnější ovládání "offline" kreditní karty – schválení transakce. Jedním z původních cílů EMV bylo umožnit více aplikací se na jedné kartě: pro žádosti o kreditní a debetní karty nebo e-peněženky.
EMV Transakce za pomocí čipových karet má zlepšit zabezpečení proti podvodům v porovnání s použitím pouze magnetickým proužkem u karet, kde se spoléhá pouze na podpis držitele a vizuální kontrola karty pro kontrolu funkce, jako je hologram výrobce například. Použití kódu PIN a kryptografických algoritmů, jako jsou Triple DES, RSA a SHA zajistit autentizaci karty do terminálu pro zpracování a hostitelského systému karty emitenta. Doba zpracování je srovnatelný s on-line transakcemi, ve kterém komunikaci zpožďují účty pro většinu času, zatímco kryptografické operace tvá poměrně málo času. Předpokládá zvýšenou ochranu před podvody umožnilo bankám a vydavatelům kreditních karet prosadit "posunu odpovědnosti", tak, že obchodníci jsou nyní odpovědný (od 1. ledna 2005 v regionu EU) pro jakýkoli podvod, která vyplývá z transakcí, na systémy, která nejsou kompatibilní se systémem EMV.[4]
I když není to jediný možný způsob, většina implementací EMV karet a terminálů vyžaduje potvrzení totožnosti držitele karty tím, že vyžaduje zadání osobního identifikačního čísla (PIN) spíše než podpisu stvrzenku papíru. Zda jsou nebo nejsou ověření PIN probíhá závisí na schopnostech terminálu a programového vybavení karty.
Příkazy
ISO/IEC 7816-3 definuje přenosový protokol mezi čipovými kartami a čtečkami. Pomocí tohoto protokolu, se údaje vyměňují v aplikačním protokolu (APDU). To zahrnuje posílání příkazu na kartě, zpracování příkazu kartou, a odesláním odpovědi. EMV používá následující příkazy:
- application block
- application unblock
- card block
- external authenticate (7816-4)
- generate application cryptogram
- get data (7816-4)
- get processing options
- internal authenticate (7816-4)
- PIN change/unblock
- read record (7816-4)
- select (7816-4)
- verify (7816-4)
Příkazy s označením "7816-4" jsou definovány v normě ISO/IEC 7816-4 a jedná se příkazy mezioborové používané pro mnoho aplikací čipových karet, jako jsou karty GSM SIM.
Verze
První norma EMV se objevil v roce 1995 jako EMV 2.0. To byl povýšený na EMV 3.0 v roce 1996 (někdy označované jako EMV '96) s pozdějšími změnami EMV 3.1.1 v roce 1998. Toto bylo dále ve znění pozdějších předpisů na verzi 4.0 v prosinci 2000 (někdy označované jako EMV 2000).
- Version 4.0 nabyl účinnosti v červnu 2004
- Version 4.1 nabyl účinnosti v červnu 2007
- Version 4.2 používá se od června 2008
- Version 4.3 používá se od listopadu 2011.[5]
Reference
V tomto článku byl použit překlad textu z článku EMV na anglické Wikipedii.
- Finextra Research: China UnionPay joins EMVCo, tisková zpráva, [cit. 10 May 2015], Dostupné on-line.
- Discover Joins EMVCo to Help Advance Global EMV Standards [online]. Discover Network News, 3 September 2013 [cit. 2015-05-10]. Dostupné online. (anglicky)
- EMVCo Members [online]. EMVCo [cit. 2015-05-10]. Dostupné online. (anglicky)
- Shift of liability for fraudulent transactions [online]. The UK Cards Association [cit. 2015-05-10]. Dostupné online. (anglicky)
- Integrated Circuit Card Specifications for Payment Systems [online]. EMVCo [cit. 2012-03-26]. Dostupné online. (anglicky)