EMV
EMV (zkratku z Europay, MasterCard a Visa) je celosvětový standard pro vzájemné operace mezi čipovými kartami a čtecími zařízení karet jako jsou pokladní místa (POS) s terminály a bankomaty. Tento standard slouží pro akceptaci kreditní karty a debetní karty k transakcím.
EMV karty jsou nejčastěji čipové platební karty. Patří mezi ně karty, které je nutné fyzicky vložit do čtečky a také bezkontaktní karty, které lze číst na krátkou vzdálenost pomocí NFC technologie. Jako autentizační metodu může vydavatel karty určit čip a osobní identifikační číslo (PIN) nebo čip a digitální podpis. Existují normy založené na ISO/IEC 7816 pro kontaktní karty a založené na ISO/IEC 14443 pro bezkontaktní karty (Mastercard Contactless, Visa PayWave, American Express ExpressPay).
Čip karty dokáže zašifrovat posílané informace a vygenerovat jedinečný kód pro kažkou transakci. EMV čip generuje při každém vložení karty do POS jiný jednorázový kód.
Historie standardu
EMV začal jako společný projekt platebních společností Europay (v roce 2002 začleněna do společnosti MasterCard), MasterCard a VISA pro zajištění bezpečnosti a globální interoperability čipových platebních karet. Standard je nyní definován a spravován veřejnou korporací EMVCo. V prosinci 2004 se k organizaci připojila společnost JCB Co., Ltd. (dříve Japan Credit Bureau), v únoru 2009 American Express, v květnu 2015 China UnionPay,[1] a v září 2013 firma Discover.[2] Členové EMVCo mají stejné hlasovací práva, tj. 1/6.[3] Systémy IC karet založených na specifikaci EMV jsou zaváděny po celém světě, pod názvy jako "IC Credit" a "Chip a PIN".
Normy EMV definují interakci na úrovni fyzické, elektrické, datových a aplikačních mezi IC karty a IC zařízení pro zpracování karet pro finanční transakce. Existují standardy založené na ISO/IEC 7816 pro kontaktní karty, a normy založené na ISO/IEC 14443 pro bezkontaktní karty (PayPass, PayWave, ExpressPay).
První standard pro platební karty byl Carte Bancaire M4 z Bull-CP8 nasazen ve Francii v roce 1986 následuje B4B0 (kompatibilní s M4) rozmístěné v roce 1989. GeldKarte v Německu předek EMV. EMV byl navržen tak, aby karty a terminály byly zpětně kompatibilní s těmito normami z důvodu, že Francie používala tyto standardy a až později začala migrovat všechny své karty a terminály na infrastrukturu pro EMV.
Nejznámější implementace čipových karet standardu EMV jsou:
- VSDC – Visa
- M/Chip – MasterCard
- AEIPS – American Express
- J Smart – JCB
- D-PAS – Discover/Diners Club International
Visa a MasterCard také vyvinuli standardy pro použití EMV karet v zařízení pro podporu nekaretních transakcí přes telefon a internet. MasterCard má Chip Authentication Program (CAP) pro bezpečné e-commerce. Jeho realizace je známý jako EMV-CAP a podporuje řadu režimů. Visa má Dynamic Passcode Authentication (DPA) schéma, které je jejich realizace CAP pomocí různých výchozích hodnot.
V únoru 2010, počítačoví odborníci z Cambridgeské univerzity prokázala, že zavedení vstupu EMV PIN je náchylné k útoku man-in-the-middle; Nicméně, způsob PINy jsou zpracovány, závisí na schopnostech kartou a terminálem.
První norma EMV se objevila v roce 1995 jako EMV 2.0. To byl povýšený na EMV 3.0 v roce 1996 (někdy označované jako EMV '96) s pozdějšími změnami EMV 3.1.1 v roce 1998. Toto bylo dále ve znění pozdějších předpisů na verzi 4.0 v prosinci 2000 (někdy označované jako EMV 2000).
- Version 4.0 nabyl účinnosti v červnu 2004
- Version 4.1 nabyl účinnosti v červnu 2007
- Version 4.2 používá se od června 2008
- Version 4.3 používá se od listopadu 2011.[4]
Rozdíly a výhody EMV
Smyslem a cílem tohoto standardu EMV je specifikovat interoperabilitu mezi EMV-kompatibilní IC karty a EMV-kompatibilními platebními terminály po celém světě. Tam jsou dvě hlavní výhody přechodu na chytré-karty založené na kreditním platebních systémů pomocí karet: zvýšení bezpečnosti (spojenou redukcí podvodů), a možnost pro jemnější ovládání "offline" kreditní karty – schválení transakce. Jedním z původních cílů EMV bylo umožnit více aplikací se na jedné kartě: pro žádosti o kreditní a debetní karty nebo e-peněženky.
EMV Transakce za pomocí čipových karet má zlepšit zabezpečení proti podvodům v porovnání s použitím pouze magnetickým proužkem u karet, kde se spoléhá pouze na podpis držitele a vizuální kontrola karty pro kontrolu funkce, jako je hologram výrobce například. Použití kódu PIN a kryptografických algoritmů, jako jsou Triple DES, RSA a SHA zajistit autentizaci karty do terminálu pro zpracování a hostitelského systému karty emitenta. Doba zpracování je srovnatelný s on-line transakcemi, ve kterém komunikaci zpožďují účty pro většinu času, zatímco kryptografické operace tvá poměrně málo času. Předpokládá zvýšenou ochranu před podvody umožnilo bankám a vydavatelům kreditních karet prosadit "posunu odpovědnosti", tak, že obchodníci jsou nyní odpovědný (od 1. ledna 2005 v regionu EU) pro jakýkoli podvod, která vyplývá z transakcí, na systémy, která nejsou kompatibilní se systémem EMV.[5]
I když není to jediný možný způsob, většina implementací EMV karet a terminálů vyžaduje potvrzení totožnosti držitele karty tím, že vyžaduje zadání osobního identifikačního čísla (PIN) spíše než podpisu stvrzenku papíru. Zda jsou nebo nejsou ověření PIN probíhá závisí na schopnostech terminálu a programového vybavení karty.
Příkazy
ISO/IEC 7816-3 definuje přenosový protokol mezi čipovými kartami a čtečkami. Pomocí tohoto protokolu, se údaje vyměňují v aplikačním protokolu (APDU). To zahrnuje poslání příkazu na kartu, zpracování příkazu kartou, a odeslání odpovědi. EMV používá následující příkazy:
- application block
- application unblock
- card block
- external authenticate (7816-4)
- generate application cryptogram
- get data (7816-4)
- get processing options
- internal authenticate (7816-4)
- PIN change/unblock
- read record (7816-4)
- select (7816-4)
- verify (7816-4)
Příkazy s označením "7816-4" jsou definovány v normě ISO/IEC 7816-4 a jedná se příkazy mezioborové používané pro mnoho aplikací čipových karet, jako jsou karty GSM SIM.
EMVCo a dokumentace
Standardy EMV[6] definuje a spravuje soukromá společnost EMVCo LLC. Členy EMVCo jsou American Express, Discover Financial, JCB International, Mastercard, China UnionPay a Visa Inc.[7] Každá z těchto organizací vlastní stejný podíl EMVCo a má své zástupce v organizaci EMVCo a pracovních skupinách EMVCo.
Uznání shody se standardem EMV (tj. certifikát zařízení) vydává EMVCo po předložení výsledků zkoušek provedených akreditovanou zkušebnou.
Testování EMV shody má dvě úrovně:
- EMV Level 1, která pokrývá fyzická, elektrická a transportní rozhraní, a
- EMV Level 2, která pokrývá výběr platebních aplikací a zpracování kreditních finančních transakcí.
Po absolvování běžných testů EMVCo musí být software ještě certifikován platebními institucemi, aby vyhovoval proprietárním implementacím EMV, jako je Visa VSDC, American Express AEIPS, Mastercard MChip, JCB JSmart, nebo implementacím kompatibilním s EMV nečlenů EMVCo, jako je LINK v UK nebo Interac v Kanadě.
Reference
V tomto článku byl použit překlad textu z článku EMV na anglické Wikipedii.
- ↑ Finextra Research: China UnionPay joins EMVCo, tisková zpráva, [cit. 10 May 2015], Dostupné on-line.
- ↑ Discover Joins EMVCo to Help Advance Global EMV Standards [online]. Discover Network News, 3 September 2013 [cit. 2015-05-10]. Dostupné online. (anglicky)
- ↑ EMVCo Members [online]. EMVCo [cit. 2015-05-10]. Dostupné online. (anglicky)
- ↑ Integrated Circuit Card Specifications for Payment Systems [online]. EMVCo [cit. 2012-03-26]. Dostupné online. (anglicky)
- ↑ Shift of liability for fraudulent transactions [online]. The UK Cards Association [cit. 2015-05-10]. Dostupné online. (anglicky)
- ↑ EMVCo LLC: Document Search
- ↑ EMVCO. EMVCo Members [online]. [cit. 2022-08-01]. Dostupné online. (anglicky)
Externí odkazy
- Obrázky, zvuky či videa k tématu EMV na Wikimedia Commons