ЭМВ

EMV — это метод оплаты, основанный на техническом стандарте для смарт- платежных карт , а также для платежных терминалов и банкоматов , которые могут их принимать. EMV означает « Europay , Mastercard и Visa » — три компании, создавшие стандарт. ^{[ 1 ]}

Карты EMV — это смарт-карты , также называемые чип-картами, картами с интегральными схемами или картами IC, которые хранят свои данные на микросхемах с интегральными схемами в дополнение к магнитным полосам для обеспечения обратной совместимости . К ним относятся карты, которые необходимо физически вставить или «погрузить» в считывающее устройство, а также бесконтактные карты , которые можно прочитать на небольшом расстоянии с помощью технологии ближней связи . Платежные карты, соответствующие стандарту EMV, часто называются картами с чипом и PIN-кодом или картами с чипом и подписью , в зависимости от методов аутентификации, используемых эмитентом карты, таких как личный идентификационный номер (PIN) или электронная подпись . Существуют стандарты, основанные на ISO/IEC 7816 для контактных карт и на основе ISO/IEC 14443 для бесконтактных карт ( Mastercard Contactless , Visa PayWave , American Express ExpressPay ). ^{[ 2 ] [ нужен лучший источник ]}

До введения чипа и ПИН-кода все личные транзакции по кредитным или дебетовым картам включали использование магнитной полосы или механического отпечатка для считывания и записи данных учетной записи, а также подписи для целей проверки личности. Покупатель передает свою карту кассиру в точке продаж , который затем пропускает карту через магнитный считыватель или делает отпечаток на рельефном тексте карты. В первом случае система проверяет данные счета и распечатывает квитанцию, которую клиент может подписать. В случае механического отпечатка заполняются данные транзакции, просматривается список украденных номеров, и клиент подписывает отпечатанный квитанцию. В обоих случаях кассир должен убедиться, что подпись клиента совпадает с подписью на обратной стороне карты, чтобы подтвердить транзакцию.

Использование подписи на карте в качестве метода проверки имеет ряд недостатков безопасности, наиболее очевидным из которых является относительная легкость, с которой карты могут пропасть до того, как их законные владельцы смогут их подписать. Другой предполагает стирание и замену законной подписи, а третий — подделку правильной подписи.

Изобретение кремниевой интегральной схемы в 1959 году привело к идее включения ее в пластиковую смарт-карту в конце 1960-х годов двумя немецкими инженерами, Хельмутом Грёттрупом и Юргеном Детлоффом . ^{[ 3 ]} Самые ранние смарт-карты были представлены в качестве визитных карточек в 1970-х годах, а затем были адаптированы для использования в качестве платежных карт . ^{[ 4 ] [ 5 ]} С тех пор в смарт-картах используются интегральные микросхемы MOS, а также технологии памяти MOS , такие как флэш-память и EEPROM (электрически стираемая программируемая постоянная память ). ^{[ 6 ]}

Первым стандартом смарт-платежных карт был Carte Bancaire B0M4 от Bull-CP8, внедренный во Франции в 1986 году, за которым последовал B4B0' (совместимый с M4), внедренный в 1989 году. Geldkarte в Германии также появился до EMV. EMV был разработан, чтобы обеспечить обратную совместимость карт и терминалов с этими стандартами. С тех пор Франция перевела всю свою карточную и терминальную инфраструктуру на EMV.

EMV означает Europay, Mastercard и Visa — три компании, создавшие стандарт. В настоящее время стандарт управляется консорциумом EMVCo , контроль над которым поровну разделен между Visa, Mastercard, JCB , American Express , China UnionPay и Discover. ^{[ 7 ]} EMVCo принимает публичные комментарии по своим проектам стандартов и процессов, но также позволяет другим организациям становиться «партнерами» и «подписчиками» для более глубокого сотрудничества. ^{[ 8 ]} JCB присоединилась к консорциуму в феврале 2009 года, China UnionPay — в мае 2013 года. ^{[ 9 ]} и Discover в сентябре 2013 года. ^{[ 10 ]}

Ведущими поставщиками карт и чипов EMV являются: ABnote (American Bank Corp), CPI Card Group, IDEMIA (в результате слияния Oberthur Technologies и Safran Identity & Security (Morpho) в 2017 году), Gemalto (приобретена Thales Group в 2019 году). ) Giesecke & Devrient и универсальная карточная технология. ^{[ 11 ]}

Переход к платежным системам кредитных карт на основе смарт-карт дает два основных преимущества: улучшенная безопасность (с соответствующим снижением уровня мошенничества) и возможность более точного контроля над «автономными» утверждениями транзакций по кредитным картам. Одной из первоначальных целей EMV было обеспечение возможности использования нескольких приложений на карте: приложений для кредитных и дебетовых карт или электронного кошелька. Дебетовые карты нового выпуска в США ^{[ когда? ]} содержат два приложения — приложение для привязки карт (Visa, Mastercard и т. д.) и общее приложение для дебета. Идентификатор общего дебетового приложения в некоторой степени является неправильным, поскольку каждое «обычное» дебетовое приложение фактически использует приложение для ассоциации карты резидента. ^{[ 12 ]}

Операции по картам с чипом EMV повышают защиту от мошенничества по сравнению с транзакциями по картам с магнитной полосой, которые основаны на подписи владельца и визуальном осмотре карты для проверки таких функций, как голограмма . Использование PIN-кода и криптографических алгоритмов, таких как Triple DES , RSA и SHA, обеспечивает аутентификацию карты на обрабатывающем терминале и в хост-системе эмитента карты. Время обработки сравнимо с онлайн-транзакциями, в которых большую часть времени занимает задержка связи, а криптографические операции на терминале занимают сравнительно мало времени. Предполагаемая повышенная защита от мошенничества позволила банкам и эмитентам кредитных карт добиться «смены ответственности», в результате чего продавцы теперь несут ответственность (с 1 января 2005 г. в регионе ЕС и с 1 октября 2015 г. в США) за любое мошенничество, которое возникает в результате транзакций в системах, которые не поддерживают EMV. ^{[ 1 ] [ 13 ] [ 14 ]} Большинство реализаций карт и терминалов EMV подтверждают личность владельца карты, требуя ввода личного идентификационного номера (ПИН-кода), а не подписания бумажной квитанции. Происходит ли аутентификация по PIN-коду, зависит от возможностей терминала и программирования карты.

Когда кредитные карты были впервые представлены, торговцы использовали механические, а не магнитные портативные импринтеры карт, которым требовалась копировальная бумага для создания отпечатка . Они не общались электронно с эмитентом карты, и карта никогда не уходила из поля зрения клиента. Продавец должен был подтвердить транзакции, превышающие определенный валютный лимит, позвонив эмитенту карты. В 1970-е годы в США многие торговцы подписались на регулярно обновляемый список украденных или недействительных номеров кредитных карт. Этот список обычно печатался в виде буклета на газетной бумаге в порядке номеров, очень похоже на тонкую телефонную книгу, но без каких-либо данных, кроме списка недействительных номеров. Кассиры на кассах должны были просматривать этот буклет каждый раз, когда предъявлялась кредитная карта для оплаты любой суммы, прежде чем утверждать транзакцию, что приводило к небольшой задержке. ^{[ 15 ]}

Позже оборудование связалось с эмитентом карты в электронном виде, используя информацию с магнитной полосы для проверки карты и авторизации транзакции. Это было намного быстрее, чем раньше, но требовало, чтобы транзакция происходила в фиксированном месте. Следовательно, если транзакция происходила не возле терминала (например, в ресторане), продавцу или официанту приходилось забирать карту у покупателя и к карточному автомату. Нечестный сотрудник в любой момент мог легко тайно провести карту через дешевую машину, которая мгновенно записывала информацию на карту и полосу; Фактически, даже на терминале вор мог наклониться перед покупателем и поднести карту к скрытому считывателю. Это сделало незаконное клонирование карт относительно простым и более распространенным явлением, чем раньше. ^{[ нужна ссылка ]}

С момента введения чипа и ПИН-кода платежной карты клонирование чипа невозможно; Копировать можно только магнитную полосу, а скопированную карту нельзя использовать отдельно на терминале, требующем PIN-код. Внедрение чипа и PIN-кода совпало с тем, что технология беспроводной передачи данных стала недорогой и широко распространенной. В дополнение к магнитным считывателям на базе мобильных телефонов сотрудники торговых точек теперь могут приносить покупателю беспроводные ПИН-панели, поэтому карта никогда не выходит из поля зрения владельца карты. Таким образом, для снижения рисков несанкционированного считывания и клонирования карт можно использовать как чип, так и PIN-код, а также беспроводные технологии. ^{[ 16 ]}

Чип и PIN-код — это один из двух методов проверки, которые могут использовать карты с поддержкой EMV. ^{[ 15 ]} Вместо того, чтобы физически подписывать квитанцию ​​в целях идентификации, пользователь вводит личный идентификационный номер (ПИН), обычно состоящий из четырех-шести цифр. Этот номер должен соответствовать информации, хранящейся на чипе или PIN-коде на хосте. Технология чипа и ПИН-кода значительно усложняет мошенникам использование найденной карты, поскольку, если кто-то украдет карту, они не смогут совершать мошеннические покупки, если не знают ПИН-код.

С другой стороны, чип и подпись отличаются от чипа и ПИН-кода тем, что личность потребителя подтверждается подписью. ^{[ 17 ]}

По состоянию на 2015 год карты с чипом и подписью более распространены в США, Мексике, некоторых частях Южной Америки (например, Аргентина и Перу) и некоторых азиатских странах (например, Тайвань, Гонконг, Таиланд, Южная Корея, Сингапур и Индонезия). , тогда как карты с чипом и ПИН-кодом более распространены в большинстве европейских стран (например, в Великобритании, Ирландии, Франции, Португалии, Финляндии и Нидерландах), а также в Иране, Бразилии, Колумбии, Венесуэле, Индии, Шри-Ланке, Канаде, Австралии. и Новая Зеландия. ^{[ 18 ] [ 19 ]}

Хотя технология EMV помогла снизить уровень преступности в точках продаж, мошеннические транзакции переместились в сторону более уязвимых транзакций по телефону , Интернету и почте , известных в отрасли как транзакции без предъявления карты или CNP. ^{[ 20 ]} Транзакции CNP составляют не менее 50% всего мошенничества с кредитными картами. ^{[ 21 ]} Из-за физического расстояния в этих случаях продавец не может предоставить покупателю клавиатуру, поэтому были разработаны альтернативные варианты, в том числе

• Программные подходы для онлайн-транзакций, предполагающие взаимодействие с банком-эмитентом карты или веб-сайтом сети, такие как Verified by Visa и Mastercard SecureCode (реализация протокола Visa 3-D Secure ). 3-D Secure теперь заменяется строгой аутентификацией клиентов , как это определено во Второй европейской директиве о платежных услугах .
• Создание одноразовой виртуальной карты, привязанной к физической карте с заданной максимальной суммой.
• Дополнительное оборудование с клавиатурой и экраном, которое может создавать одноразовый пароль , например программа аутентификации чипа .
• Клавиатура и экран интегрированы в сложные карты для создания одноразового пароля . С 2008 года Visa реализует пилотные проекты с использованием карты Emue, где сгенерированный номер заменяет код, напечатанный на обратной стороне стандартных карт. ^{[ 22 ]}

Что касается того, что быстрее, The New York Times объяснила, что это вопрос восприятия: хотя метод чипа требует, чтобы чип оставался в машине до тех пор, пока транзакция и процесс авторизации не будут завершены, метод считывания телефона выполняет авторизацию в фоновом режиме. ; чек начинает приходить сразу. ^{[ 23 ]}

ISO/IEC 7816-3 определяет протокол передачи между чиповыми картами и считывателями. С помощью этого протокола обмен данными осуществляется в блоках данных протокола приложения (APDU). Это включает отправку команды на карту, ее обработку картой и отправку ответа. EMV использует следующие команды:

• прикладной блок
• разблокировка приложения
• карточный блок
• внешняя аутентификация (7816-4)
• генерировать криптограмму приложения
• получить данные (7816-4)
• получить варианты обработки
• внутренняя аутентификация (7816-4)
• Смена/разблокировка ПИН-кода
• прочитать запись (7816-4)
• выбрать (7816-4)
• проверить (7816-4).

Команды, за которыми следует «7816-4», определены в стандарте ISO/IEC 7816-4 и представляют собой межотраслевые команды, используемые для многих приложений с чип-картами, таких как карты GSM SIM- .

Транзакция EMV состоит из следующих шагов: ^{[ 24 ] [ нужен сторонний источник ]}

1. Выбор приложения
2. Начать обработку заявки
3. Чтение данных приложения
4. Ограничения обработки
5. Аутентификация данных в автономном режиме
6. Сертификаты
7. Проверка держателя карты
8. Управление рисками терминала
9. Анализ действий терминала
10. Анализ действия первой карты
11. Авторизация онлайн-транзакций (выполняется только в том случае, если этого требует результат предыдущих шагов; обязательно в банкоматах)
12. Анализ действий второй карты
13. Обработка сценария эмитента

ISO/IEC 7816 определяет процесс выбора приложения. Целью выбора приложений было позволить картам содержать совершенно разные приложения, например GSM и EMV. Однако разработчики EMV реализовали выбор приложения как способ идентификации типа продукта, поэтому все эмитенты продуктов (Visa, Mastercard и т. д.) должны иметь собственное приложение. Способ выбора приложения, предписанный в EMV, является частым источником проблем совместимости между картами и терминалами. Книга 1 ^{[ 25 ]} стандарта EMV отводит 15 страниц описанию процесса выбора приложения.

Идентификатор приложения (AID) используется для обращения к приложению на карте или эмуляции хост-карты (HCE), если оно поставляется без карты. AID состоит из пятибайтового зарегистрированного идентификатора поставщика приложений (RID), который выдается органом регистрации ISO/IEC 7816-5. За этим следует собственное расширение идентификатора приложения (PIX), которое позволяет поставщику приложений различать различные предлагаемые приложения. AID печатается на всех квитанциях держателей карт EMV. Эмитенты карт могут изменить название приложения на название карточной сети.

Список приложений:

Схема карты/платежная сеть	ИЗБАВЛЯТЬ	Продукт	ПИКС	ПОМОГАТЬ
FBF-1886 (Дания) [ 26 ]	А000000001	Карта лояльности	0001	А0000000010001
Датская монета (Дания)	А000000001	Денежная карта	1010	А0000000011010
Виза	А000000003	Кредитная или дебетовая карта Visa	1010	А0000000031010
		Виза Электрон	2010	А0000000032010
		V Pay	2020	А0000000032020
		Плюс	8010	А0000000038010
Мастеркард	А000000004	Кредитная или дебетовая карта Mastercard	1010	А0000000041010
		Мастеркард [ 27 ]	9999	А0000000049999
		Маэстро	3060	А0000000043060
		Cirrus Только банкоматная карта	6000	А0000000046000
		Программа аутентификации по чипу Securecode	8002	А0000000048002
	А000000005	Маэстро Великобритания (ранее Switch )	0001	А0000000050001
Американ Экспресс	А000000025	Американ Экспресс	01	А00000002501
	А000000790	American Express (дебетовые и кредитные карты Китая)	01	А00000079001
Дебет США (все межбанковские сети) (США)	А000000098	Фирменная карта Visa	0840	А0000000980840
	А000000004	Фирменная карта Mastercard	2203	А0000000042203
	А000000152	Фирменная карта Discover	4010	А0000001524010
Menards Credit Card (карта магазина) (США)	А000000817	Карта магазина	002001	А000000817002001
Сеть банкоматов LINK (Великобритания)	А000000029	Банкоматная карта	1010	А0000000291010
CB (Франция)	А000000042	CB (кредитная или дебетовая карта)	1010	А0000000421010
		CB (только дебетовая карта)	2010	А0000000422010
JCB (Япония)	А000000065	Японское кредитное бюро	1010	А0000000651010
Данкорт (Дания)	А000000121	Данкорт	1010	А0000001211010
		ВизаДанкорт	4711	А0000001214711
		Данкорт (J/Спиди)	4712	А0000001214712
Консорциум банкоматов (Италия)	А000000141	Банкомат/ПагоБанкомат	0001	А0000001410001
Diners Club / Откройте для себя	А000000152	Diners Club/Откройте для себя	3010	А0000001523010
Банрисул (Бразилия)	А000000154	Дебет Банрикомпраса	4442	А0000001544442
SPAN2 (Саудовская Аравия)	А000000228	ОХВАТЫВАТЬ	1010	А0000002281010
Интерак (Канада)	А000000277	Дебетовая карта	1010	А0000002771010
Откройте для себя (США)	А000000324	Почтовый индекс	1010	А0000003241010
ЮнионПэй (Китай)	А000000333	Дебет	010101	А000000333010101
		Кредит	010102	А000000333010102
		Как будто он поверил	010103	А000000333010103
		Электронные деньги	010106	А000000333010106
ДК (Германия)	А000000359	Жирокар	1010028001	А0000003591010028001
Банкомат EAPS (Италия)	А000000359	ПагоБанкомат	10100380	А00000035910100380
Верве (Нигерия)	А000000371	Воодушевление	0001	А0000003710001
Сеть банкоматов Exchange Network (Канада/США)	А000000439	Банкоматная карта	1010	А0000004391010
РуПей (Индия)	А000000524	РуПей	1010	А0000005241010
Динубе (Испания)	А000000630	Инициирование платежа Dinube (PSD2)	0101	А0000006300101
МИР (Россия)	А000000658	дебетовый ME	2010	А0000006582010
		МИР Кредит	1010	А0000006581010
Эденред (Бельгия)	А000000436	Билетный ресторан	0100	А0000004360100
ефтпос (Австралия)	А000000384	Сбережения (дебетовая карта)	10	А00000038410
		Чек (дебетовая карта)	20	А00000038420
ГИМ-УЭМОА (Восемь стран Западной Африки: Бенин, Буркина-Фасо, Кот-д'Ивуар, Гвинея-Бисау, Мали, Нигер, Сенегал, Того)	А000000337	Снятие	01 000001	А000000337301000
		Стандартный	01 000002	А000000337101000
		Классический	01 000003	А000000337102000
		Предоплата онлайн	01 000004	А000000337101001
		Предоплата возможна офлайн	01 000005	А000000337102001
		Электронный кошелек	01 000006	А000000337601001
Миза (Египет)	А000000732	Карта Мизы	100123	А000000732100123
Меркурий (ОАЭ)	А000000529	Карта Меркурий	1010	А0000005291010
Китай Т-Союз	А000000632	Электронный кошелек ТО	010105	А000000632010105
		ТО Электронная касса	010106	А000000632010106

Терминал отправляет получения параметров обработки на карту команду . При выдаче этой команды терминал предоставляет карте любые элементы данных, запрошенные картой, в списке объектов данных вариантов обработки (PDOL). PDOL (список тегов и длин элементов данных) опционально предоставляется картой терминалу во время выбора приложения . Карта отвечает профилем обмена приложениями (AIP) — списком функций, которые необходимо выполнить при обработке транзакции. Карта также предоставляет указатель файлов приложения (AFL), список файлов и записей, которые терминалу необходимо прочитать с карты. ^{[ нужна ссылка ]}

Смарт-карты хранят данные в файлах. AFL содержит файлы, содержащие данные EMV. Все это необходимо прочитать с помощью команды чтения записи. EMV не определяет, в каких файлах хранятся данные, поэтому необходимо прочитать все файлы. Данные в этих файлах хранятся в формате BER TLV . EMV определяет значения тегов для всех данных, используемых при обработке карт. ^{[ 28 ]}

Цель ограничений обработки — определить, следует ли использовать карту. Проверяются три элемента данных, считанные на предыдущем шаге: номер версии приложения, контроль использования приложения (показывает, предназначена ли карта только для внутреннего использования и т. д.), проверка даты вступления в силу/истечения срока действия приложения. ^{[ нужна ссылка ]}

Если какая-либо из этих проверок не пройдена, карта не обязательно отклоняется. Терминал устанавливает соответствующий бит в результатах проверки терминала (TVR), компоненты которых формируют основу для решения о принятии/отклонении позже в потоке транзакции. Эта функция позволяет, например, эмитентам карт разрешить держателям карт продолжать использовать карты с истекшим сроком действия после истечения срока их действия, но при этом все транзакции с картой с истекшим сроком действия будут выполняться в режиме онлайн. ^{[ нужна ссылка ]}

Аутентификация данных в автономном режиме — это криптографическая проверка карты с использованием криптографии с открытым ключом . В зависимости от карты можно выполнить три различных процесса: ^{[ нужна ссылка ]}

• Статическая аутентификация данных (SDA) гарантирует, что данные, считанные с карты, подписаны эмитентом карты. Это предотвращает изменение данных, но не предотвращает клонирование.
• Динамическая аутентификация данных (DDA) обеспечивает защиту от изменения данных и клонирования.
• Комбинированная криптограмма DDA/генерация приложения карты (CDA) сочетает DDA с генерацией криптограммы приложения для обеспечения действительности карты. Может потребоваться поддержка CDA в устройствах, поскольку этот процесс реализован на конкретных рынках. Этот процесс не является обязательным для терминалов и может выполняться только в том случае, если его поддерживают и карта, и терминал. ^{[ нужна ссылка ]}

Для проверки подлинности платежных карт используются EMV-сертификаты. Центр сертификации EMV ^{[ 29 ]} выдает цифровые сертификаты эмитентам платежных карт. По запросу чип платежной карты предоставляет терминалу сертификат открытого ключа эмитента карты и SSAD. Терминал извлекает открытый ключ центра сертификации из локального хранилища и использует его для подтверждения доверия к центру сертификации и, если ему доверяют, для проверки того, что открытый ключ эмитента карты был подписан центром сертификации. Если открытый ключ эмитента карты действителен, терминал использует открытый ключ эмитента карты для проверки того, что SSAD карты подписан эмитентом карты. ^{[ 30 ]}

Проверка владельца карты используется для оценки того, является ли лицо, предъявившее карту, законным держателем карты. В EMV поддерживается множество методов проверки держателей карт (CVM). Они есть ^{[ нужна ссылка ]}

• Подпись
• PIN-код в виде открытого текста в автономном режиме
• Зашифрованный PIN-код в автономном режиме
• PIN-код и подпись в виде открытого текста в автономном режиме
• Автономный зашифрованный PIN-код и подпись
• Онлайн-ПИН-код
• CVM не требуется
• CVM потребительского устройства
• Ошибка обработки CVM

Терминал использует список CVM, считанный с карты, для определения типа проверки, которую необходимо выполнить. Список CVM устанавливает приоритет использования CVM относительно возможностей терминала. Разные терминалы поддерживают разные CVM. Банкоматы обычно поддерживают онлайн-ПИН-код. POS-терминалы различаются по поддержке CVM в зависимости от типа и страны. ^{[ нужна ссылка ]}

Для автономных методов шифрования PIN-кода терминал шифрует блок PIN-кода в открытом виде с помощью открытого ключа карты перед отправкой его на карту с помощью команды Verify . Для онлайн-метода PIN-код открытого текста PIN-блок шифруется терминалом с использованием его ключа двухточечного шифрования перед отправкой его процессору-эквайеру в сообщении запроса авторизации.

Все оффлайн-методы уязвимы для атак «человек посередине» . В 2017 году EMVCo добавила поддержку методов биометрической проверки в версию 4.3 спецификаций EMV. ^{[ 31 ]}

Управление рисками терминала осуществляется только в устройствах, где необходимо принять решение о том, должна ли транзакция быть авторизована онлайн или оффлайн. Если транзакции всегда выполняются онлайн (например, в банкоматах) или всегда офлайн, этот шаг можно пропустить. Управление рисками терминала проверяет сумму транзакции на соответствие предельному лимиту в автономном режиме (при превышении которого транзакции должны обрабатываться в режиме онлайн). Также возможно иметь 1 на онлайн-счетчике и проверять список горячих карт (что необходимо только для автономных транзакций). Если результат любого из этих тестов положительный, терминал устанавливает соответствующий бит в результатах проверки терминала (TVR). ^{[ 32 ]}

Результаты предыдущих этапов обработки используются для определения того, следует ли транзакцию утвердить в автономном режиме, отправить онлайн для авторизации или отклонить в автономном режиме. Это делается с использованием комбинации объектов данных, известных как коды действий терминала (TAC), хранящихся в терминале, и кодов действий эмитента (IAC), считанных с карты. TAC соединен логическим ИЛИ с IAC, чтобы предоставить эквайеру уровень контроля над результатом транзакции. Оба типа кода действия принимают значения Denial, Online и Default. Каждый код действия содержит серию битов, которые соответствуют битам в результатах проверки терминала (TVR) и используются при принятии терминалом решения о принятии, отклонении или переходе в режим онлайн для платежной транзакции. TAC устанавливается эквайером карты; на практике карточные схемы подсказывают настройки ТАС, которые следует использовать для конкретного типа терминала в зависимости от его возможностей. IAC устанавливается эмитентом карты; некоторые эмитенты карт могут решить, что карты с истекшим сроком действия следует отклонить, установив соответствующий бит в Denial IAC. Другие эмитенты могут захотеть, чтобы транзакция проходила в режиме онлайн, чтобы в некоторых случаях они могли разрешить проведение этих транзакций. ^{[ 33 ] [ нужен лучший источник ]}

Когда устройство, работающее только в режиме онлайн, выполняет обработку IAC-Online и TAC-Online, единственным соответствующим битом TVR является «Значение транзакции превышает нижний предел». Поскольку нижний предел установлен на ноль, транзакция всегда должна осуществляться в режиме онлайн, а все остальные значения в TAC-Online или IAC-Online не имеют значения. Устройствам, работающим только в режиме онлайн, не требуется выполнять обработку IAC по умолчанию. Устройство, работающее только в режиме онлайн, такое как банкомат, всегда пытается подключиться к сети с запросом авторизации, если только оно не будет отклонено в автономном режиме из-за настроек IAC-Denial. Во время обработки IAC-Denial и TAC-Denial для устройства, работающего только в режиме онлайн, единственным соответствующим битом результатов проверки терминала является «Служба не разрешена». ^{[ 34 ]}

Одним из объектов данных, считываемых с карты на этапе чтения данных приложения, является CDOL1 (список объектов данных карты). Этот объект представляет собой список тегов, которые карта хочет отправить ей для принятия решения об одобрении или отклонении транзакции (включая сумму транзакции, а также многие другие объекты данных). Терминал отправляет эти данные и запрашивает криптограмму с помощью команды создания криптограммы приложения. В зависимости от решения терминала (оффлайн, онлайн, отказ) терминал запрашивает с карты одну из следующих криптограмм: ^{[ нужна ссылка ]}

• Сертификат транзакции (ТС) — одобрение в автономном режиме.
• Криптограмма запроса авторизации (ARQC) — онлайн-авторизация.
• Криптограмма проверки подлинности приложения (AAC) — отказ в автономном режиме

Этот шаг дает карте возможность принять анализ действий терминала, отклонить транзакцию или принудительно провести транзакцию в режиме онлайн. Карта не может вернуть TC, когда запрошен ARQC, но может вернуть ARQC, когда запрошен TC. ^{[ 34 ]}

Транзакции переходят в режим онлайн, когда запрошен ARQC. ARQC отправляется в сообщении авторизации. Карта генерирует ARQC. Его формат зависит от применения карты. EMV не определяет содержимое ARQC. ARQC, созданный приложением карты, представляет собой цифровую подпись деталей транзакции, которую эмитент карты может проверить в режиме реального времени. Это обеспечивает надежную криптографическую проверку подлинности карты. Эмитент отвечает на запрос авторизации кодом ответа (принятие или отклонение транзакции), криптограммой ответа на авторизацию (ARPC) и, при необходимости, сценарием эмитента (строка команд, которые будут отправлены на карту). ^{[ 34 ]}

Обработка ARPC не выполняется в контактных транзакциях, обрабатываемых с помощью Visa Quick Chip. ^{[ 35 ]} для EMV и Mastercard M/Chip Fast, ^{[ 36 ]} и в бесконтактных транзакциях между схемами, поскольку карта извлекается из считывающего устройства после создания ARQC.

CDOL2 (список объектов данных карты) содержит список тегов, которые карта хотела отправить после авторизации онлайн-транзакции (код ответа, ARPC и т. д.). Даже если по какой-либо причине терминал не смог выйти в Интернет (например, сбой связи), терминал должен повторно отправить эти данные на карту с помощью команды генерации криптограммы авторизации. Это позволяет карте узнать ответ эмитента. Приложение карты может затем сбросить ограничения на использование в автономном режиме.

Если эмитент карты хочет обновить почтовый выпуск карты, он может отправлять команды на карту, используя обработку сценария эмитента. Скрипты эмитента не имеют смысла для терминала и могут быть зашифрованы между картой и эмитентом для обеспечения дополнительной безопасности. Скрипт эмитента можно использовать для блокировки карты или изменения параметров карты. ^{[ 37 ]}

Обработка сценария эмитента недоступна в контактных транзакциях, обрабатываемых с помощью Visa Quick Chip. ^{[ 35 ]} для EMV и Mastercard M/Chip Fast, ^{[ 36 ]} и для бесконтактных транзакций по схемам.

Первая версия стандарта EMV была опубликована в 1995 году. Сейчас стандарт определяется и управляется частной корпорацией EMVCo LLC. Действующие члены EMVCo ^{[ 38 ]} являются American Express , Discover Financial , JCB International , Mastercard , China UnionPay и Visa Inc. Каждая из этих организаций владеет равной долей EMVCo и имеет представителей в организации EMVCo и рабочих группах EMVCo.

Признание соответствия стандарту EMV (т. е. сертификация устройства) выдается EMVCo после предоставления результатов испытаний, проведенных аккредитованной испытательной организацией. ^{[ нужна ссылка ]}

Тестирование на соответствие EMV имеет два уровня: уровень EMV 1, который охватывает интерфейсы физического, электрического и транспортного уровня, и уровень EMV 2, который охватывает выбор платежного приложения и обработку кредитно-финансовых транзакций. ^{[ нужна ссылка ]}

После прохождения общих тестов EMVCo программное обеспечение должно быть сертифицировано платежными брендами на соответствие проприетарным реализациям EMV, таким как Visa VSDC, American Express AEIPS, Mastercard MChip, JCB JSmart, или EMV-совместимым реализациям не членов EMVCo, таким как LINK в Великобритания или Interac в Канаде. ^{[ нужна ссылка ]}

Этот раздел необходимо обновить . Пожалуйста, помогите обновить эту статью, чтобы отразить недавние события или новую доступную информацию. ( март 2020 г. )

С 2011 года, начиная с версии 4.0, официальные стандартные документы EMV, которые определяют все компоненты платежной системы EMV, публикуются в виде четырех «книг» и некоторых дополнительных документов:

• Книга 1: Независимые от приложения требования к интерфейсу ICC и терминала ^{[ 25 ]}
• Книга 2: Безопасность и управление ключами ^{[ 39 ]}
• Книга 3: Спецификация приложения ^{[ 40 ]}
• Книга 4: Требования к интерфейсу держателя карты, оператора и эквайера ^{[ 41 ]}
• Спецификация общего платежного приложения ^{[ 42 ]}
• Спецификация персонализации карты EMV ^{[ 43 ]}

Первый стандарт EMV появился в 1995 году как EMV 2.0. В 1996 году он был обновлен до EMV 3.0 (иногда называемый EMV '96) с последующими поправками к EMV 3.1.1 в 1998 году. В декабре 2000 года в него были внесены поправки до версии 4.0 (иногда называемой EMV 2000). Версия 4.0 вступила в силу в июне 2004 г. Версия 4.1 вступила в силу в июне 2007 г. Версия 4.2 действует с июня 2008 г. Версия 4.3 действует с ноября 2011 г. ^{[ 44 ]}

В дополнение к данным второй дорожки на магнитной полосе карты EMV обычно содержат идентичные данные, закодированные на чипе, которые считываются как часть обычного процесса транзакции EMV. Если считыватель EMV скомпрометирован до такой степени, что разговор между картой и терминалом перехвачен, то злоумышленник сможет восстановить как данные второй дорожки, так и PIN-код, что позволит создать карту с магнитной полосой, которая, хотя не может использоваться в терминале с чипом и PIN-кодом, может использоваться, например, в терминальных устройствах, которые позволяют перейти к обработке магнитных полос для иностранных клиентов без чип-карт и дефектных карт. Эта атака возможна только в том случае, если (а) автономный ПИН-код представлен в виде открытого текста устройством ввода ПИН-кода на карте, когда (б) резервный вариант магнитной полосы разрешен эмитентом карты и (в) когда географическая и поведенческая проверка не может быть выполнена. производится эмитентом карты. ^{[ нужна ссылка ]}

APACS , представляющая платежную индустрию Великобритании, заявила, что изменения, внесенные в протокол (где значения проверки карты различаются между магнитной полосой и чипом – iCVV), сделали эту атаку неэффективной и что такие меры будут действовать с января 2008 года. ^{[ 45 ]} Тесты карт в феврале 2008 года показали, что это могло быть отложено. ^{[ 46 ]}

Перехват разговоров — это форма атаки, которая, как сообщается, имела место против терминалов Shell в мае 2006 года, когда они были вынуждены отключить всю аутентификацию EMV на своих заправочных станциях после того, как у клиентов было украдено более 1 миллиона фунтов стерлингов. ^{[ 47 ]}

В октябре 2008 года сообщалось, что сотни устройств чтения карт EMV, предназначенных для использования в Великобритании, Ирландии, Нидерландах, Дании и Бельгии, были взломаны в Китае во время или вскоре после производства. В течение девяти месяцев данные и PIN-коды кредитных и дебетовых карт пересылались по сетям мобильных телефонов преступникам в Лахоре , Пакистан. Руководитель Национальной контрразведки США Джоэл Бреннер сказал: «Раньше только разведывательное управление национального государства было способно провести операцию такого типа. Это страшно». Украденные данные обычно использовались через пару месяцев после транзакций по карте, чтобы следователям было сложнее выявить уязвимость. После того, как мошенничество было обнаружено, выяснилось, что подделанные клеммы можно идентифицировать, поскольку дополнительная схема увеличила их вес примерно на 100 граммов. Предполагается, что десятки миллионов фунтов были украдены. ^{[ 48 ]} Эта уязвимость стимулировала усилия по улучшению контроля над POS-устройствами на протяжении всего их жизненного цикла — практика, одобренная стандартами безопасности электронных платежей, такими как те, которые разрабатываются Secure POS Vendor Alliance (SPVA). ^{[ 49 ]}

В программе BBC Newsnight в феврале 2008 года исследователи из Кембриджского университета Стивен Мердок и Саар Дример продемонстрировали один пример атаки, чтобы проиллюстрировать, что чип и PIN-код недостаточно безопасны, чтобы оправдать перекладывание ответственности за доказывание мошенничества со стороны банков на клиентов. ^{[ 50 ] [ 51 ]} Эксплойт Кембриджского университета позволил экспериментаторам получить как данные карты для создания магнитной полосы, так и PIN-код.

APACS , британская платежная ассоциация, не согласилась с большей частью отчета, заявив, что «типы атак на устройства ввода PIN-кода, подробно описанные в этом отчете, трудно осуществимы и в настоящее время экономически невыгодны для мошенников». ^{[ 52 ]} Они также заявили, что изменения в протоколе (с указанием разных значений проверки карты между чипом и магнитной полосой – iCVV) сделают эту атаку неэффективной с января 2008 года.

В августе 2016 года исследователи безопасности корпорации NCR показали, как воры кредитных карт могут переписать код магнитной полосы, чтобы она выглядела как бесчиповая карта, что позволяет подделывать ее. ^{[ нужна ссылка ]}

11 февраля 2010 года команда Мердока и Дримера из Кембриджского университета объявила, что они обнаружили «недостаток в чипе и ПИН-коде, настолько серьезный, что они думают, что это показывает, что вся система нуждается в переписывании», которая была «настолько простой, что их шокировала». Украденная карта подключается к электронной схеме и к поддельной карте, которая вставляется в терминал (« атака посредника »). Любые четыре цифры можно ввести и принять в качестве действительного PIN-кода. ^{[ 53 ] [ 54 ]}

Команда программы BBC Newsnight посетила кафетерий Кембриджского университета (с разрешения) с помощью системы и смогла расплатиться с помощью своих собственных карт (вор мог использовать украденные карты), подключенных к схеме, вставив фальшивую карту и набрав « 0000» в качестве PIN-кода. Транзакции были зарегистрированы в обычном режиме и не были зафиксированы системами безопасности банков. Член исследовательской группы сказал: «Даже мелкие преступные системы оснащены лучшим оборудованием, чем мы. Уровень технической сложности, необходимый для осуществления этой атаки, на самом деле довольно низок». В объявлении об уязвимости говорилось: «Необходимый опыт невелик (бакалавриат в области электроники). Мы оспариваем утверждение банковской отрасли о том, что преступники недостаточно искушены, потому что они уже продемонстрировали гораздо более высокий уровень навыков, чем есть на самом деле. необходимые для этой атаки в их миниатюрных скиммерах для ввода PIN-кода». Неизвестно, была ли использована эта уязвимость, но она могла объяснить нераскрытые случаи предполагаемого мошенничества. ^{[ 54 ]}

EMVCo с этим не согласилась и опубликовала ответ, в котором говорилось, что, хотя такая атака теоретически возможна, ее успешное осуществление будет чрезвычайно трудным и дорогостоящим, что существующие компенсирующие средства контроля, скорее всего, позволят обнаружить или ограничить мошенничество, и что возможная финансовая выгода от атака минимальна, а риск отклонения транзакции или разоблачения мошенника значителен. ^{[ 55 ]} Команда Кембриджа с этим не согласна: они провели это незаметно для банков, на готовом оборудовании с некоторыми нехитрыми дополнениями. Можно легко сделать менее громоздкие версии. Производители такого оборудования для атаки не подвергают себя риску, а могут продать его кому угодно через Интернет. ^{[ 54 ]}

Когда к ним обратились за комментариями, несколько банков (Co-operative Bank, Barclays и HSBC) заявили, что это проблема всей отрасли, и направили команду Newsnight в отраслевую банковскую ассоциацию для получения дальнейших комментариев. ^{[ 56 ]} По словам Фила Джонса из Ассоциации потребителей , чип и PIN-код помогли снизить количество преступлений с использованием карт, но многие случаи остаются необъяснимыми. «Что мы действительно знаем, так это то, что у нас есть случаи, рассказанные отдельными людьми, которые кажутся весьма убедительными». ^{[ нужна ссылка ]}

Атака использует тот факт, что выбор метода аутентификации не аутентифицирован, что позволяет человеку оказаться посередине. Терминал запрашивает PIN-код, получает его и подтверждает транзакцию с помощью карты, которая думает, что выполняет транзакцию с использованием карты и подписи, что действительно может быть успешным в автономном режиме. Онлайн тоже работает, возможно из-за недостаточности проверок. ^{[ 57 ]}

Первоначально клиенты банка должны были доказать, что они не проявили небрежности в отношении своего ПИН-кода, прежде чем получить возмещение, но правила Великобритании, вступившие в силу с 1 ноября 2009 года, возложили на банки обязанность доказывать, что клиент проявил небрежность в любом споре, при этом клиенту было предоставлено право на возмещение ущерба. 13 месяцев на подачу иска. ^{[ 58 ]} Мердок сказал, что «[банкам] следует оглянуться на предыдущие транзакции, в которых клиент сообщал, что его PIN-код не использовался, а банковская запись показала, что он использовался, и рассмотреть возможность возврата денег этим клиентам, поскольку они могут стать жертвами мошенничества такого типа. " ^{[ 54 ]}

На конференции CanSecWest в марте 2011 года Андреа Барисани и Даниэле Бьянко представили исследование, раскрывающее уязвимость в EMV, которая позволяет собирать произвольный PIN-код, несмотря на конфигурацию проверки владельца карты, даже если данные поддерживаемых CVM подписаны. ^{[ 59 ]}

Сбор ПИН-кода можно выполнить с помощью скиммера для стружки. По сути, список CVM, который был изменен для понижения статуса CVM до автономного PIN-кода, по-прежнему учитывается POS-терминалами, несмотря на то, что его подпись недействительна. ^{[ 60 ]}

В 2020 году исследователи Дэвид Басин, Ральф Сасс и Хорхе Торо из ETH Zurich сообщили ^{[ 61 ] [ 62 ]} проблема безопасности, затрагивающая бесконтактные карты Visa : отсутствие криптографической защиты критически важных данных, отправляемых картой на терминал во время транзакции EMV. Соответствующие данные определяют метод проверки владельца карты (например, проверка PIN-кода), который будет использоваться для транзакции. Команда продемонстрировала, что можно изменить эти данные, чтобы заставить терминал поверить в то, что ПИН-код не требуется, поскольку владелец карты был проверен с помощью своего устройства (например, смартфона). Исследователи разработали экспериментальное приложение для Android , которое эффективно превращает физическую карту Visa в мобильное платежное приложение (например, Apple Pay , Google Pay ) для совершения дорогостоящих покупок без использования PIN-кода. Атака осуществляется с использованием двух смартфонов с поддержкой NFC , один из которых находится рядом с физической картой, а второй — рядом с платежным терминалом. Атака могла затронуть карты Discover и китайской UnionPay , но на практике этого не было продемонстрировано, в отличие от карт Visa.

В начале 2021 года та же команда сообщила, что карты Mastercard также уязвимы для атаки с обходом PIN-кода. Они показали, что преступники могут обманным путем заставить терминал совершить транзакцию с бесконтактной картой Mastercard, при этом полагая, что это карта Visa. Эта путаница с брендами карт имеет критические последствия, поскольку ее можно использовать в сочетании с обходом ПИН-кода для Visa, чтобы также обойти ПИН-код для карт Mastercard. ^{[ 62 ]}

EMV означает « Europay , Mastercard и Visa » — три компании, создавшие стандарт. В настоящее время стандарт управляется EMVCo , консорциумом финансовых компаний. ^{[ 1 ]} Дополнительными широко известными чипами стандарта EMV являются:

• AEIPS: Американ Экспресс
• UICS: China Union Pay
• Джей Смарт: JCB
• D-PAS: Discover/Diners Club International
• Рупей: NPCI
• Воодушевление

Visa и Mastercard также разработали стандарты использования карт EMV в устройствах для поддержки транзакций без предъявления карты (CNP) по телефону и через Интернет. Mastercard имеет программу аутентификации чипа (CAP) для безопасной электронной коммерции. Его реализация известна как EMV-CAP и поддерживает ряд режимов. Visa использует схему динамической аутентификации по паролю (DPA), которая представляет собой реализацию CAP с использованием различных значений по умолчанию.

Во многих странах мира платежные сети по дебетовым и/или кредитным картам внедрили изменение ответственности. ^{[ нужна ссылка ]} Обычно за мошеннические транзакции ответственность несет эмитент карты. Однако после реализации смещения ответственности, если банкомат или терминал торговой точки не поддерживает EMV, владелец банкомата или торговый центр несет ответственность за мошенническую транзакцию.

Системы с чипом и PIN-кодом могут вызвать проблемы у путешественников из стран, которые не выпускают карты с чипом и PIN-кодом, поскольку некоторые розничные торговцы могут отказаться принимать их бесчиповые карты. ^{[ 63 ]} Хотя большинство терминалов по-прежнему принимают карты с магнитной полосой, а основные бренды кредитных карт требуют, чтобы продавцы принимали их, ^{[ 64 ]} некоторые сотрудники могут отказаться брать карту, полагая, что они несут ответственность за любое мошенничество, если карта не может подтвердить ПИН-код. Карты без чипа и ПИН-кода также могут не работать в некоторых автоматических торговых автоматах, например, на вокзалах или в кассах самообслуживания в супермаркетах. ^{[ 65 ]}

• Смена ответственности Mastercard между странами этого региона произошла 1 января 2006 года. ^{[ 66 ]} К 1 октября 2010 года произошло изменение ответственности по всем операциям в точках продаж. ^{[ 67 ]}
• Сдвиг ответственности Visa для точек продаж произошел 1 января 2006 года. Для банкоматов сдвиг ответственности произошел 1 января 2008 года. ^{[ 68 ]}

• Смена ответственности Mastercard произошла 1 января 2005 года. ^{[ 66 ]}

• Смена ответственности Mastercard между странами этого региона произошла 1 января 2006 года. ^{[ 66 ]} К 1 октября 2010 года произошло изменение ответственности по всем операциям в точках продаж, за исключением внутренних операций в Китае и Японии. ^{[ 67 ]}
• Смена ответственности Visa за точки продаж произошла 1 октября 2010 года. ^{[ 68 ]} Для банкоматов дата смены ответственности произошла 1 октября 2015 года, за исключением Китая, Индии, Японии и Таиланда, где смена ответственности произошла 1 октября 2017 года. ^{[ 69 ]} Внутренние транзакции через банкоматы в Китае в настоящее время не подпадают под действие срока смены ответственности.

• Mastercard потребовала, чтобы все терминалы в торговых точках были совместимы с EMV к апрелю 2013 года. Для банкоматов изменение ответственности произошло в апреле 2012 года. Банкоматы должны соответствовать требованиям EMV к концу 2015 года. ^{[ 70 ]}
• Смена ответственности Visa за банкоматы произошла 1 апреля 2013 года. ^{[ 68 ]}

• Малайзия — первая страна в мире, которая полностью перешла на смарт-карты, совместимые с EMV, через два года после ее внедрения в 2005 году. ^{[ 71 ] [ 72 ]}

• Mastercard потребовала, чтобы все терминалы в торговых точках соответствовали требованиям EMV к 1 июля 2011 года. В отношении банкоматов изменение ответственности произошло в апреле 2012 года. Банкоматы должны соответствовать требованиям EMV к концу 2015 года. ^{[ 70 ]}
• Смена ответственности Visa за банкоматы произошла 1 апреля 2013 года. ^{[ 68 ]}

• Смена ответственности Mastercard произошла 1 января 2005 года. ^{[ 66 ]}
• Сдвиг ответственности Visa для точек продаж произошел 1 января 2006 года. Для банкоматов сдвиг ответственности произошел 1 января 2008 года. ^{[ 68 ]}
• Франция сократила мошенничество с картами более чем на 80% с момента ее введения в 1992 году (см. Carte Bleue ).

Чип и ПИН-код прошли испытания в Нортгемптоне , Англия, в мае 2003 года. ^{[ 73 ]} и в результате был развернут по всей стране в Соединенном Королевстве 14 февраля 2006 г. ^{[ 74 ]} с рекламой в прессе и на национальном телевидении, рекламирующей лозунг «Безопасность в цифрах». На первых этапах развертывания, если считалось, что произошла мошенническая транзакция с магнитной картой, ритейлеру возмещалась банк-эмитент, как это было до внедрения чипа и ПИН-кода. С 1 января 2005 г. ответственность за такие сделки была переложена на розничного торговца; это послужило стимулом для ритейлеров модернизировать свои системы точек продаж (PoS), а большинство крупных торговых сетей выполнили обновление вовремя, к крайнему сроку EMV. Многие малые предприятия изначально не хотели обновлять свое оборудование, поскольку для этого требовалась совершенно новая система PoS, а это были значительные инвестиции.

Новые карты с магнитными полосами и чипами теперь выпускаются всеми крупными банками. Замена карт с чипом и PIN-кодом была серьезной проблемой, поскольку банки просто заявляли, что потребители получат свои новые карты «когда истечет срок действия их старой карты» - несмотря на то, что у многих людей были карты со сроком действия еще в 2007 году. Эмитент карты Switch потеряла крупный контракт с HBOS в пользу Visa , поскольку они не были готовы выпустить новые карты так рано, как этого хотел банк.

Внедрение чипа и ПИН-кода подверглось критике за то, что оно призвано снизить ответственность банков в случаях предполагаемого мошенничества с картами, требуя от клиента доказать, что он действовал «с разумной осторожностью» для защиты своего ПИН-кода и карты, вместо того, чтобы банку приходилось это делать. докажите, что подпись совпала. До появления чипа и ПИН-кода, если подпись клиента была подделана, банки несли юридическую ответственность и должны были возместить клиенту компенсацию. До 1 ноября 2009 года не существовало такого закона, защищающего потребителей от мошеннического использования их транзакций с чипом и ПИН-кодом, а был только добровольный Банковский кодекс . Было много сообщений о том, что банки отказывались возмещать расходы жертвам мошеннического использования карт, утверждая, что их системы не могут выйти из строя в описанных обстоятельствах, несмотря на несколько задокументированных успешных крупномасштабных атак. ^{[ нужна ссылка ]}

Положение о платежных услугах 2009 года вступило в силу 1 ноября 2009 года. ^{[ 75 ]} и переложили на банки ответственность доказывать, а не предполагать, что виноват владелец карты. ^{[ 58 ]} Управление финансовых услуг (FSA) заявило: «Банк, строительное общество или компания, выпускающая кредитные карты, должны доказать, что транзакция была совершена вами, и не было никаких нарушений процедур или технических трудностей», прежде чем отказаться от ответственности.

• Перенос ответственности Mastercard между странами этого региона произошел 1 января 2005 года. ^{[ 66 ]}
• Сдвиг ответственности Visa для точек продаж произошел 1 октября 2012 года для всех стран этого региона, которые еще не осуществили сдвиг ответственности. Для банкоматов изменение ответственности произошло 1 октября 2014 года для всех стран этого региона, которые еще не осуществили изменение ответственности. ^{[ 68 ]}

• Смена ответственности Mastercard произошла 1 марта 2008 года. ^{[ 66 ]}
• Сдвиг ответственности Visa для точек продаж произошел 1 апреля 2011 года. Для банкоматов сдвиг ответственности произошел 1 октября 2012 года. ^{[ 68 ]}

• Смена ответственности Mastercard произошла 1 октября 2008 года. ^{[ 66 ]}

• Discover реализовал сдвиг ответственности 1 октября 2015 года. В отношении оплаты на заправочных станциях сдвиг ответственности произошел 1 октября 2017 года. ^{[ 76 ]}
• Сдвиг ответственности Visa для точек продаж произошел 1 апреля 2011 года. Для банкоматов сдвиг ответственности произошел 1 октября 2012 года. ^{[ 68 ]}

• Смена ответственности Mastercard произошла 1 июля 2009 года. ^{[ 66 ]}

• Смена ответственности Mastercard между странами этого региона произошла 1 января 2006 года. ^{[ 66 ]} К 1 октября 2010 года произошло изменение ответственности по всем операциям в точках продаж. ^{[ 67 ]}
• Сдвиг ответственности Visa для точек продаж произошел 1 января 2006 года. Для банкоматов сдвиг ответственности произошел 1 января 2008 года. ^{[ 68 ]}

• American Express осуществила изменение ответственности 31 октября 2012 года. ^{[ 1 ] [ 77 ]}
• 1 октября 2015 года Discover осуществил изменение ответственности для всех транзакций, кроме оплаты на заправочных станциях; эти транзакции были перенесены на 1 октября 2017 года. ^{[ 76 ] [ нужен сторонний источник ]}
• Interac (канадская сеть дебетовых карт) прекратила обработку транзакций, не связанных с EMV, в банкоматах 31 декабря 2012 года и ввела в действие транзакции EMV в торговых терминалах 30 сентября 2016 года, а 31 декабря 2015 года произойдет изменение ответственности. ^{[ 78 ] [ не удалось пройти проверку ] [ нужен сторонний источник ]}
• Mastercard ввела сдвиг ответственности по транзакциям внутри страны 31 марта 2011 года, а международный сдвиг ответственности — 15 апреля 2011 года. Для оплаты на заправочных станциях сдвиг ответственности был реализован 31 декабря 2012 года. ^{[ 77 ]}
• Visa ввела сдвиг ответственности по внутренним транзакциям 31 марта 2011 года, а международный сдвиг ответственности - 31 октября 2010 года. Для оплаты на заправочных станциях сдвиг ответственности был реализован 31 декабря 2012 года. ^{[ 77 ]}
• За пятилетний период после перехода на EMV количество мошеннических транзакций по внутренним картам в Канаде значительно сократилось. Согласно отчетам Helcim , мошенничество с дебетовыми картами внутри страны сократилось на 89,49%, а мошенничество с кредитными картами - на 68,37%. ^{[ 1 ] [ 79 ]}

После широко распространенной кражи личных данных из-за слабой безопасности в терминалах торговых точек Target , Home Depot и других крупных розничных сетей Visa, Mastercard и Discover ^{[ 80 ]} в марте 2012 года – и American Express ^{[ 81 ]} в июне 2012 года — объявили о своих планах миграции на EMV в США. ^{[ 82 ]} С момента этого объявления несколько банков и эмитентов карт анонсировали карты с технологией чипа и подписи EMV, в том числе American Express, Bank of America, Citibank, Wells Fargo , ^{[ 83 ]} JPMorgan Chase, Банк США и несколько кредитных союзов.

В 2010 году ряд компаний начали выпускать предоплаченные дебетовые карты с чипом и PIN-кодом, позволяющие американцам вносить наличные в евро или фунтах стерлингов . ^{[ 84 ] [ 1 ]} Федеральный кредитный союз ООН был первым эмитентом в США, предложившим кредитные карты с чипом и PIN-кодом. ^{[ 85 ]} В мае 2010 года в пресс-релизе Gemalto (глобального производителя карт EMV) указывалось, что Федеральный кредитный союз Организации Объединенных Наций в Нью-Йорке станет первым эмитентом карт EMV в Соединенных Штатах, предложившим своим клиентам кредитную карту EMV Visa. ^{[ 86 ]} JPMorgan был первым крупным банком, представившим карту с технологией EMV, а именно карту Palladium , в середине 2012 года. ^{[ 87 ]}

По состоянию на апрель 2016 года 70% потребителей в США имели карты EMV, а по состоянию на декабрь 2016 года примерно 50% продавцов соответствовали требованиям EMV. ^{[ 88 ] [ 89 ]} Однако развертывание было медленным и непоследовательным у разных поставщиков. Даже продавцы с оборудованием EMV могут быть не в состоянии обрабатывать транзакции с использованием чипов из-за недостатков программного обеспечения или соответствия требованиям. ^{[ 90 ]} Bloomberg также упомянул проблемы с развертыванием программного обеспечения, в том числе изменения в звуковых подсказках для компьютеров Verifone , выпуск и развертывание программного обеспечения которых может занять несколько месяцев. Однако отраслевые эксперты ожидают в США большей стандартизации развертывания программного обеспечения и стандартов. Visa и Mastercard внедрили стандарты для ускорения транзакций с использованием чипов с целью сократить время их проведения до трех секунд. Эти системы имеют маркировку Visa Quick Chip и Mastercard M/Chip Fast. ^{[ 91 ]}

• American Express ввела изменение ответственности за торговые терминалы 1 октября 2015 года. ^{[ 92 ] [ рекламный источник? ]} По оплате на АЗС, на заправках смена ответственности наступила 16 апреля 2021 года. С 1 октября 2020 года она была продлена в связи с пандемией COVID-19 . ^{[ 93 ]}
• Откройте для себя смещение ответственности с 1 октября 2015 года. Для оплаты на колонках и заправках смещение ответственности произошло с 1 октября 2020 года. ^{[ 76 ]}
• Maestro ввела изменение ответственности от 19 апреля 2013 года для международных карт, используемых в США. ^{[ 94 ]}
• Mastercard ввела изменение ответственности для торговых терминалов 1 октября 2015 года. ^{[ 92 ]} По оплате на заправке, на заправках смена ответственности формально произошла с 1 октября 2020 года. ^{[ 95 ]} Для банкоматов дата переноса ответственности приходится на 1 октября 2016 года. ^{[ 96 ] [ 97 ]}
• Visa ввела сдвиг ответственности для торговых терминалов 1 октября 2015 года. Для оплаты на заправке и заправочных станциях сдвиг ответственности формально наступил 1 октября 2020 года. ^{[ 95 ] [ 98 ]} Для банкоматов дата переноса ответственности приходится на 1 октября 2017 года. ^{[ 69 ] [ 1 ]}

• Бесконтактная оплата
• Атака на цепочку поставок
• Двухфакторная аутентификация
• ММ-код

• Официальный сайт
• BBC: Что внутри банковской карты , ноябрь 2022 г.