EMV es un método de pago basado en un estándar técnico para tarjetas de pago inteligentes y para terminales de pago y cajeros automáticos que pueden aceptarlas. EMV originalmente significaba " E uropay , M astercard y V isa ", las tres empresas que crearon el estándar.
Las tarjetas EMV son tarjetas inteligentes , también llamadas tarjetas con chip, tarjetas de circuitos integrados o tarjetas IC que almacenan sus datos en chips de circuitos integrados, además de bandas magnéticas para compatibilidad con versiones anteriores . Estos incluyen tarjetas que deben insertarse físicamente o "sumergirse" en un lector, así como tarjetas sin contacto que se pueden leer a corta distancia utilizando tecnología de comunicación de campo cercano . Las tarjetas de pago que cumplen con el estándar EMV a menudo se denominan tarjetas con chip y PIN o tarjetas con chip y firma , según los métodos de autenticación empleados por el emisor de la tarjeta, como un número de identificación personal (PIN) o firma digital .
Existen estándares basados en ISO / IEC 7816 para tarjetas de contacto y estándares basados en ISO / IEC 14443 para tarjetas sin contacto ( Mastercard Contactless , Visa PayWave , American Express ExpressPay ).
En febrero de 2010, científicos informáticos de la Universidad de Cambridge demostraron que una implementación de la entrada de PIN EMV es vulnerable a un ataque de intermediario, pero solo las implementaciones en las que el PIN se validaba fuera de línea eran vulnerables.
Historia
Hasta la introducción de Chip & PIN, todas las transacciones cara a cara con tarjeta de crédito o débito implicaban el uso de una banda magnética o una impresión mecánica para leer y registrar los datos de la cuenta, y una firma para fines de verificación de identidad. El cliente entrega su tarjeta al cajero en el punto de venta, quien luego pasa la tarjeta a través de un lector magnético o hace una impresión del texto en relieve de la tarjeta. En el primer caso, el sistema verifica los detalles de la cuenta e imprime un comprobante para que el cliente lo firme. En el caso de una impresión mecánica, se completan los detalles de la transacción, se consulta una lista de números robados y el cliente firma el comprobante impreso. En ambos casos, el cajero debe verificar que la firma del cliente coincida con la del reverso de la tarjeta para autenticar la transacción.
El uso de la firma en la tarjeta como método de verificación tiene una serie de fallas de seguridad, la más obvia es la relativa facilidad con la que las tarjetas pueden desaparecer antes de que sus legítimos propietarios puedan firmarlas. Otro implica el borrado y reemplazo de la firma legítima, y otro más implica la falsificación de la firma correcta.
La invención del chip de circuito integrado de silicio en 1959 llevó a la idea de incorporarlo en una tarjeta inteligente de plástico a fines de la década de 1960 por dos ingenieros alemanes, Helmut Gröttrup y Jürgen Dethloff . [1] Las primeras tarjetas inteligentes se introdujeron como tarjetas telefónicas en la década de 1970, antes de ser adaptadas para su uso como tarjetas de pago . [2] [3] Desde entonces, las tarjetas inteligentes han utilizado chips de circuitos integrados MOS , junto con tecnologías de memoria MOS como la memoria flash y EEPROM ( memoria de sólo lectura programable y borrable eléctricamente ). [4]
El primer estándar para tarjetas de pago inteligentes fue la Carte Bancaire B0M4 de Bull-CP8 desplegada en Francia en 1986, seguida por la B4B0 '(compatible con la M4) desplegada en 1989. Geldkarte en Alemania también es anterior a EMV. EMV fue diseñado para permitir que las tarjetas y terminales sean retrocompatibles con estos estándares. Desde entonces, Francia ha migrado toda su infraestructura de tarjetas y terminales a EMV.
EMV originalmente significaba E uropay , M astercard y V isa , las tres empresas que crearon el estándar. El estándar ahora es administrado por EMVCo , un consorcio con control dividido en partes iguales entre Visa, Mastercard, JCB , American Express , China UnionPay y Discover. [5] EMVCo también se refiere a "Asociados", empresas capaces de proporcionar información y recibir comentarios sobre problemas técnicos y operativos detallados relacionados con las especificaciones de EMV y los procesos relacionados. [6]
JCB se unió al consorcio en febrero de 2009, China UnionPay en mayo de 2013, [7] Discover en septiembre de 2013, [8] y RuPay el 26 de marzo de 2012. [9] [10]
Diferencias y beneficios
Hay dos beneficios principales al pasar a sistemas de pago con tarjeta de crédito basados en tarjetas inteligentes: seguridad mejorada (con reducción de fraude asociada) y la posibilidad de un control más preciso de las aprobaciones de transacciones con tarjeta de crédito "fuera de línea". Uno de los objetivos originales de EMV era proporcionar múltiples aplicaciones en una tarjeta: para una solicitud de tarjeta de crédito y débito o un monedero electrónico. Nuevas tarjetas de débito de emisión en los EE . UU. [ ¿Cuándo? ] contienen dos aplicaciones: una aplicación de asociación de tarjetas (Visa, Mastercard, etc.) y una aplicación de débito común. El ID de la aplicación de débito común es un nombre poco apropiado ya que cada aplicación de débito "común" en realidad usa la aplicación de asociación de tarjeta de residente. [11]
Las transacciones con tarjetas con chip EMV mejoran la seguridad contra el fraude en comparación con las transacciones con tarjetas de banda magnética que dependen de la firma del titular y la inspección visual de la tarjeta para verificar características como el holograma . El uso de un PIN y algoritmos criptográficos como Triple DES , RSA y SHA proporcionan autenticación de la tarjeta al terminal de procesamiento y al sistema anfitrión del emisor de la tarjeta. El tiempo de procesamiento es comparable al de las transacciones en línea, en las que la demora en las comunicaciones representa la mayor parte del tiempo, mientras que las operaciones criptográficas en la terminal toman comparativamente poco tiempo. La supuesta mayor protección contra el fraude ha permitido a los bancos y a los emisores de tarjetas de crédito impulsar un "cambio de responsabilidad", de modo que los comerciantes ahora son responsables (a partir del 1 de enero de 2005 en la región de la UE y el 1 de octubre de 2015 en los EE. UU.) Por cualquier fraude que resulta de transacciones en sistemas que no son compatibles con EMV. [12] [ fuente promocional? ] [13] [ fuente promocional? ]
La mayoría de las implementaciones de tarjetas y terminales EMV confirman la identidad del titular de la tarjeta al requerir la entrada de un número de identificación personal (PIN) en lugar de firmar un recibo en papel. El hecho de que se lleve a cabo o no la autenticación con PIN depende de las capacidades del terminal y de la programación de la tarjeta. [ cita requerida ]
Cuando se introdujeron por primera vez las tarjetas de crédito, los comerciantes utilizaban impresoras de tarjetas portátiles mecánicas en lugar de magnéticas que requerían papel carbón para hacer una impresión. No se comunicaron electrónicamente con el emisor de la tarjeta y la tarjeta nunca abandonó la vista del cliente. El comerciante tenía que verificar las transacciones por encima de un cierto límite de moneda llamando por teléfono al emisor de la tarjeta. Durante la década de 1970 en los Estados Unidos, muchos comerciantes se suscribieron a una lista actualizada periódicamente de números de tarjetas de crédito robados o no válidos. Esta lista se imprimía comúnmente en forma de folleto en papel de periódico, en orden numérico, muy parecido a una guía telefónica delgada, pero sin ningún dato aparte de la lista de números inválidos. Se esperaba que los cajeros de la caja hojearan este folleto cada vez que se presentaba una tarjeta de crédito para el pago de cualquier monto, antes de aprobar la transacción, que incurría en un breve retraso. [ cita requerida ]
Posteriormente, el equipo se comunicó electrónicamente con el emisor de la tarjeta, utilizando información de la banda magnética para verificar la tarjeta y autorizar la transacción. Esto fue mucho más rápido que antes, pero requirió que la transacción ocurriera en una ubicación fija. En consecuencia, si la transacción no se realizaba cerca de una terminal (en un restaurante, por ejemplo), el empleado o el camarero tenían que quitarle la tarjeta al cliente y llevarla a la máquina de tarjetas. Era fácilmente posible en cualquier momento que un empleado deshonesto pasara la tarjeta subrepticiamente a través de una máquina barata que registraba instantáneamente la información en la tarjeta y la banda; de hecho, incluso en la terminal, un ladrón podría agacharse frente al cliente y deslizar la tarjeta en un lector oculto. Esto hizo que la clonación ilegal de tarjetas fuera relativamente fácil y una ocurrencia más común que antes. [ cita requerida ]
Desde la introducción de la tarjeta de pago Chip y PIN, la clonación del chip no es factible; solo se puede copiar la banda magnética y una tarjeta copiada no se puede usar sola en un terminal que requiera un PIN. La introducción de Chip y PIN coincidió con el hecho de que la tecnología de transmisión de datos inalámbrica se volviera económica y generalizada. Además de los lectores magnéticos basados en teléfonos móviles, el personal del comerciante ahora puede llevar al cliente un teclado con PIN inalámbricos, por lo que la tarjeta nunca está fuera de la vista del titular de la tarjeta. Por lo tanto, las tecnologías inalámbricas y de chip y PIN se pueden utilizar para reducir los riesgos de deslizamiento no autorizado y clonación de tarjetas. [14]
Chip y PIN versus chip y firma
Chip y PIN es uno de los dos métodos de verificación que pueden emplear las tarjetas habilitadas para EMV. En lugar de firmar físicamente un recibo con fines de identificación, el usuario simplemente ingresa un número de identificación personal (PIN), generalmente de 4 a 6 dígitos de longitud. Este número debe corresponder a la información almacenada en el chip. La tecnología de chip y PIN hace que sea mucho más difícil para los estafadores usar una tarjeta encontrada, por lo que si alguien roba una tarjeta, no puede realizar compras fraudulentas a menos que conozca el PIN.
Chip y firma, por otro lado, se diferencia del chip y el PIN al verificar la identidad de un consumidor con una firma.
A partir de 2015, las tarjetas con chip y firma son más comunes en los EE. UU., México, partes de América del Sur (como Argentina, Colombia, Perú) y algunos países asiáticos (como Taiwán, Hong Kong, Tailandia, Corea del Sur, Singapur y Indonesia), mientras que las tarjetas con chip y PIN son más comunes en la mayoría de los países europeos (por ejemplo, el Reino Unido, Irlanda, Francia, Portugal, Finlandia y los Países Bajos), así como en Irán, Brasil, Venezuela, India, Sri Lanka, Canadá, Australia. y Nueva Zelanda. [15] [16]
Transacciones de pedidos en línea, por teléfono y por correo
Si bien la tecnología EMV ha ayudado a reducir la delincuencia en el punto de venta, las transacciones fraudulentas se han desplazado a transacciones más vulnerables por teléfono , Internet y pedidos por correo , conocidas en la industria como transacciones con tarjeta ausente o CNP. [17] Las transacciones del CNP representaron al menos el 50% de todos los fraudes con tarjetas de crédito. [18] Debido a la distancia física, el comerciante no puede presentar un teclado al cliente en estos casos, por lo que se han ideado alternativas, que incluyen
- Enfoques de software para transacciones en línea que involucran la interacción con el banco emisor de la tarjeta o el sitio web de la red, como Verified by Visa y Mastercard SecureCode (implementaciones del protocolo 3-D Secure de Visa ). 3-D Secure ahora está siendo reemplazado por la Autenticación Fuerte del Cliente como se define en la Segunda Directiva Europea de Servicios de Pago .
- Creación de una tarjeta virtual de una sola vez respaldada en una tarjeta física con una cantidad máxima determinada.
- Hardware adicional con teclado y pantalla que puede generar una contraseña de un solo uso , como el Programa de autenticación de chip .
- Teclado y pantalla integrados en tarjetas complejas para producir una contraseña de un solo uso . Desde 2008, Visa ha estado ejecutando proyectos piloto utilizando la tarjeta Emue donde el número generado reemplaza el código impreso en el reverso de las tarjetas estándar. [19]
Comandos
ISO / IEC 7816-3 define el protocolo de transmisión entre tarjetas con chip y lectores. Con este protocolo, los datos se intercambian en unidades de datos de protocolo de aplicación (APDU). Esto comprende enviar un comando a una tarjeta, la tarjeta lo procesa y envía una respuesta. EMV utiliza los siguientes comandos:
- bloque de aplicación
- Desbloqueo de aplicaciones
- bloque de tarjetas
- autenticación externa (7816-4)
- generar criptograma de aplicación
- obtener datos (7816-4)
- obtener opciones de procesamiento
- autenticación interna (7816-4)
- Cambio / desbloqueo de PIN
- leer registro (7816-4)
- seleccionar (7816-4)
- verificar (7816-4).
Los comandos seguidos de "7816-4" se definen en ISO / IEC 7816-4 y son comandos interindustriales que se utilizan para muchas aplicaciones de tarjetas con chip, como las tarjetas SIM GSM .
Flujo de transacciones
Una transacción EMV tiene los siguientes pasos: [20] [se necesita una fuente de terceros ]
- Selección de aplicaciones
- Iniciar el procesamiento de la solicitud
- Leer datos de la aplicación
- Restricciones de procesamiento
- Autenticación de datos sin conexión
- Certificados
- Verificación del titular de la tarjeta
- Gestión de riesgos terminales
- Análisis de acción terminal
- Análisis de la acción de la primera carta
- Autorización de transacciones online (solo se realiza si así lo requiere el resultado de los pasos anteriores; obligatorio en cajeros automáticos)
- Análisis de la acción de la segunda carta
- Procesamiento de guiones emisores .
Selección de aplicaciones
ISO / IEC 7816 define un proceso para la selección de aplicaciones. La intención de la selección de aplicaciones era permitir que las tarjetas contuvieran aplicaciones completamente diferentes, por ejemplo, GSM y EMV. Sin embargo, los desarrolladores de EMV implementaron la selección de aplicaciones como una forma de identificar el tipo de producto, por lo que todos los emisores de productos (Visa, Mastercard, etc.) deben tener su propia aplicación. La forma en que se prescribe la selección de aplicaciones en EMV es una fuente frecuente de problemas de interoperabilidad entre tarjetas y terminales. El libro 1 [21] del estándar EMV dedica 15 páginas a describir el proceso de selección de aplicaciones.
Se utiliza un identificador de aplicación (AID) para direccionar una aplicación en la tarjeta o emulación de tarjeta de host (HCE) si se entrega sin tarjeta. Un AID consiste en un identificador de proveedor de aplicaciones (RID) registrado de cinco bytes, que es emitido por la autoridad de registro ISO / IEC 7816-5. A esto le sigue una extensión de identificador de aplicación patentada (PIX), que permite al proveedor de la aplicación diferenciar entre las diferentes aplicaciones ofrecidas. La AID está impresa en todos los recibos de titulares de tarjetas EMV.
Lista de aplicaciones:
Esquema de tarjeta / Red de pago | DESHACERSE | Producto | PIX | AYUDA |
---|---|---|---|---|
Danmønt (Dinamarca) | A000000001 | Tarjeta de efectivo | 1010 | A0000000011010 |
Visa (EE. UU.) | A000000003 | Crédito o débito Visa | 1010 | A0000000031010 |
Visa Electron | 2010 | A0000000032010 | ||
V pagar | 2020 | A0000000032020 | ||
Más | 8010 | A0000000038010 | ||
Mastercard (EE. UU.) | A000000004 | Crédito o débito Mastercard | 1010 | A0000000041010 |
Mastercard [22] | 9999 | A0000000049999 | ||
Maestro | 3060 | A0000000043060 | ||
Solo tarjeta de cajero automático Cirrus | 6000 | A0000000046000 | ||
Código de seguridad del programa de autenticación de chip | 8002 | A0000000048002 | ||
Tarjeta MasterCard | A000000005 | Maestro UK (anteriormente Switch ) | 0001 | A0000000050001 |
American Express (EE. UU.) | A000000025 | American Express | 01 | A00000002501 |
Red de cajeros automáticos LINK (Reino Unido) | A000000029 | Tarjeta de cajero automático | 1010 | A0000000291010 |
CB (Francia) | A000000042 | CB (tarjeta de crédito o débito) | 1010 | A0000000421010 |
CB (solo tarjeta de débito) | 2010 | A0000000422010 | ||
JCB (Japón) | A000000065 | Oficina de Crédito de Japón | 1010 | A0000000651010 |
Dankort (Dinamarca) | A000000121 | Dankort | 1010 | A0000001211010 |
VisaDankort | 4711 | A0000001214711 | ||
Dankort (J / veloz) | 4711 | A0000001214712 | ||
Consorzio Bancomat (Italia) | A000000141 | Bancomat / PagoBancomat | 0001 | A0000001410001 |
Diners Club / Discover (EE. UU.) | A000000152 | Diners Club / Discover | 3010 | A0000001523010 |
Banrisul (Brasil) | A000000154 | Banricompras Debito | 4442 | A0000001544442 |
SPAN2 (Arabia Saudita) | A000000228 | LAPSO | 1010 | A00000022820101010 |
Interac (Canadá) | A000000277 | Tarjeta de débito | 1010 | A0000002771010 |
Descubrir (EE. UU.) | A000000324 | CÓDIGO POSTAL | 1010 | A0000003241010 |
UnionPay (China) | A000000333 | Débito | 010101 | A000000333010101 |
Crédito | 010102 | A000000333010102 | ||
Cuasicrédito | 010103 | A000000333010103 | ||
Efectivo electrónico | 010106 | A000000333010106 | ||
ZKA (Alemania) | A000000359 | Girocard | 1010028001 | A0000003591010028001 |
EAPS Bancomat (Italia) | A000000359 | PagoBancomat | 10100380 | A00000035910100380 |
Verve (Nigeria) | A000000371 | Brío | 0001 | A0000003710001 |
La red de cajeros automáticos de Exchange Network (Canadá / EE. UU.) | A000000439 | Tarjeta de cajero automático | 1010 | A0000004391010 |
RuPay (India) | A000000524 | RuPay | 1010 | A0000005241010 |
Dinube (España) | A000000630 | Inicio de pago Dinube (PSD2) | 0101 | A0000006300101 |
MIR (Rusia) | A000000658 | Débito MIR | 2010 | A0000006582010 |
Crédito MIR | 1010 | A0000006581010 | ||
Edenred (Bélgica) | A000000436 | Ticket Restaurante | 0100 | A0000004360100 |
eftpos (Australia) | A000000384 | Ahorros (tarjeta de débito) | 10 | A00000038410 |
Cheque (tarjeta de débito) | 20 | A00000038420 | ||
GIM-UEMOA
| A000000337 | Retrait | 01 000001 | A000000337301000 |
Estándar | 01 000002 | A000000337101000 | ||
Clásico | 01 000003 | A000000337102000 | ||
Prepaye en línea | 01 000004 | A000000337101001 | ||
Prepaye Possibile Offline | 01 000005 | A000000337102001 | ||
Porte Monnaie Electronique | 01 000006 | A000000337601001 | ||
meeza (Egipto) | A000000732 | tarjeta de meeza | 100123 | A000000732100123 |
Iniciar el procesamiento de la solicitud
El terminal envía el comando obtener opciones de procesamiento a la tarjeta. Al emitir este comando, el terminal suministra a la tarjeta los elementos de datos solicitados por la tarjeta en la lista de objetos de datos de opciones de procesamiento (PDOL). El PDOL (una lista de etiquetas y longitudes de elementos de datos) es opcionalmente proporcionado por la tarjeta al terminal durante la selección de la aplicación . La tarjeta responde con el perfil de intercambio de aplicaciones (AIP), una lista de funciones a realizar en el procesamiento de la transacción. La tarjeta también proporciona el localizador de archivos de la aplicación (AFL), una lista de archivos y registros que el terminal necesita leer de la tarjeta. [ cita requerida ]
Leer datos de la aplicación
Las tarjetas inteligentes almacenan datos en archivos. La AFL contiene los archivos que contienen datos EMV. Todos estos deben leerse utilizando el comando de registro de lectura. EMV no especifica en qué archivos se almacenan los datos, por lo que se deben leer todos los archivos. Los datos de estos archivos se almacenan en formato BER TLV . EMV define valores de etiqueta para todos los datos utilizados en el procesamiento de tarjetas. [23]
Restricciones de procesamiento
El propósito de las restricciones de procesamiento es ver si se debe usar la tarjeta. Se verifican tres elementos de datos leídos en el paso anterior: número de versión de la aplicación, control de uso de la aplicación (esto muestra si la tarjeta es solo para uso doméstico, etc.), verificación de las fechas de vigencia / vencimiento de la aplicación. [ cita requerida ]
Si alguna de estas comprobaciones falla, la tarjeta no se rechaza necesariamente. El terminal establece el bit apropiado en los resultados de verificación del terminal (TVR), cuyos componentes forman la base de una decisión de aceptación / rechazo posterior en el flujo de la transacción. Esta función permite, por ejemplo, que los emisores de tarjetas permitan a los titulares de tarjetas seguir usando tarjetas vencidas después de su fecha de vencimiento, pero que todas las transacciones con una tarjeta vencida se realicen en línea. [ cita requerida ]
Autenticación de datos sin conexión (ODA)
La autenticación de datos fuera de línea es una verificación criptográfica para validar la tarjeta mediante criptografía de clave pública . Hay tres procesos diferentes que se pueden llevar a cabo según la tarjeta: [ cita requerida ]
- La autenticación de datos estáticos (SDA) garantiza que los datos leídos de la tarjeta hayan sido firmados por el emisor de la tarjeta. Esto evita la modificación de datos, pero no evita la clonación.
- La autenticación dinámica de datos (DDA) proporciona protección contra la modificación de datos y la clonación.
- El criptograma combinado de DDA / generar aplicación (CDA) combina DDA con la generación del criptograma de aplicación de una tarjeta para asegurar la validez de la tarjeta. Puede ser necesario el soporte de CDA en dispositivos, ya que este proceso se ha implementado en mercados específicos. Este proceso no es obligatorio en terminales y solo se puede realizar donde tanto la tarjeta como el terminal lo admitan. [ cita requerida ]
Certificados EMV
Para verificar la autenticidad de las tarjetas de pago, se utilizan certificados EMV. La Autoridad de Certificación EMV [24] emite certificados digitales a los emisores de tarjetas de pago. Cuando se solicita, el chip de la tarjeta de pago proporciona el certificado de clave pública del emisor de la tarjeta y el SSAD al terminal. El terminal recupera la clave pública de la CA del almacenamiento local y la usa para confirmar la confianza de la CA y, si se confía, para verificar que la clave pública del emisor de la tarjeta haya sido firmada por la CA. Si la clave pública del emisor de la tarjeta es válida, el terminal usa la clave pública del emisor de la tarjeta para verificar que el SSAD de la tarjeta fue firmado por el emisor de la tarjeta. [25]
Verificación del titular de la tarjeta
La verificación del titular de la tarjeta se utiliza para evaluar si la persona que presenta la tarjeta es el titular legítimo. Hay muchos métodos de verificación del titular de la tarjeta (CVM) compatibles con EMV. Son [ cita requerida ]
- Firma
- PIN de texto sin formato sin conexión
- PIN cifrado sin conexión
- PIN y firma de texto plano sin conexión
- PIN y firma cifrados sin conexión
- PIN en línea
- No se requiere CVM
- Falló el procesamiento de CVM
El terminal usa una lista CVM leída de la tarjeta para determinar el tipo de verificación a realizar. La lista de CVM establece una prioridad de CVM a utilizar en relación con las capacidades del terminal. Diferentes terminales admiten diferentes CVM. Los cajeros automáticos generalmente admiten PIN en línea. Los terminales POS varían en su soporte de CVM según el tipo y el país. [ cita requerida ]
Para los métodos de PIN cifrados fuera de línea, el terminal cifra el bloque de PIN de texto sin cifrar con la clave pública de la tarjeta antes de enviarlo a la tarjeta con el comando Verificar . Para el método de PIN en línea, el bloque de PIN de texto sin cifrar es cifrado por el terminal utilizando su clave de cifrado de punto a punto antes de enviarlo al procesador adquirente en el mensaje de solicitud de autorización.
En 2017, EMVCo agregó soporte para métodos de verificación biométrica en la versión 4.3 de las especificaciones EMV [26]
Gestión de riesgos terminales
La gestión de riesgos de terminales solo se realiza en dispositivos en los que se debe tomar una decisión sobre si una transacción debe autorizarse en línea o fuera de línea. Si las transacciones siempre se realizan en línea (por ejemplo, cajeros automáticos) o siempre fuera de línea, este paso se puede omitir. La gestión de riesgos de terminales verifica el monto de la transacción con un límite máximo fuera de línea (por encima del cual las transacciones deben procesarse en línea). También es posible tener un 1 en un contador en línea y una verificación con una lista de tarjetas activas (que solo es necesario para transacciones fuera de línea). Si el resultado de cualquiera de estas pruebas es positivo, el terminal establece el bit apropiado en los resultados de verificación del terminal (TVR). [27]
Análisis de acción terminal
Los resultados de los pasos de procesamiento anteriores se utilizan para determinar si una transacción debe aprobarse fuera de línea, enviarse en línea para su autorización o rechazarse fuera de línea. Esto se hace mediante una combinación de objetos de datos conocidos como códigos de acción de terminal (TAC) que se encuentran en el terminal y códigos de acción del emisor (IAC) leídos de la tarjeta. El TAC es lógicamente OR con el IAC, para darle al adquirente de la transacción un nivel de control sobre el resultado de la transacción. [ cita requerida ]
Ambos tipos de código de acción toman los valores Denegación, En línea y Predeterminado. Cada código de acción contiene una serie de bits que corresponden a los bits de los resultados de verificación del terminal (TVR) y se utilizan en la decisión del terminal de aceptar, rechazar o conectarse en línea para una transacción de pago. El TAC lo establece el adquirente de la tarjeta; en la práctica, los esquemas de tarjetas aconsejan la configuración de TAC que se debe utilizar para un tipo de terminal en particular, dependiendo de sus capacidades. El IAC lo establece el emisor de la tarjeta; algunos emisores de tarjetas pueden decidir que las tarjetas vencidas deben rechazarse, estableciendo el bit apropiado en el IAC de negación. Es posible que otros emisores deseen que la transacción se realice en línea para que, en algunos casos, puedan permitir que se lleven a cabo estas transacciones. [ cita requerida ]
Un dispositivo solo en línea, como un cajero automático, siempre intenta conectarse con la solicitud de autorización, a menos que se rechace fuera de línea debido a códigos de acción del emisor: configuración de denegación. Durante el procesamiento de IAC (Denegación) y TAC (Denegación), para un dispositivo solo en línea, el único bit de resultados de verificación de Terminal relevante es "Servicio no permitido". [ cita requerida ]
Cuando un dispositivo solo en línea realiza procesamiento IAC (en línea y TAC) en línea, el único bit TVR relevante es "El valor de transacción excede el límite mínimo". Debido a que el límite mínimo se establece en cero, la transacción siempre debe estar en línea y todos los demás valores en TAC — En línea o IAC — En línea son irrelevantes. Los dispositivos solo en línea no necesitan realizar el procesamiento predeterminado de IAC. [ cita requerida ]
Análisis de la acción de la primera carta
Uno de los objetos de datos leídos de la tarjeta en la etapa Leer datos de la aplicación es CDOL1 (Lista de objetos de datos de la tarjeta). Este objeto es una lista de etiquetas que la tarjeta desea que se le envíen para tomar una decisión sobre si aprobar o rechazar una transacción (incluido el monto de la transacción, pero también muchos otros objetos de datos). El terminal envía estos datos y solicita un criptograma utilizando el comando generate application cryptogram. Dependiendo de la decisión del terminal (fuera de línea, en línea, rechazar), el terminal solicita uno de los siguientes criptogramas de la tarjeta: [ cita requerida ]
- Certificado de transacción (TC): aprobación fuera de línea
- Criptograma de solicitud de autorización (ARQC): autorización en línea
- Criptograma de autenticación de aplicaciones (AAC): rechazo fuera de línea.
Este paso le da a la tarjeta la oportunidad de aceptar el análisis de acción del terminal o rechazar una transacción o forzar una transacción en línea. La tarjeta no puede devolver un TC cuando se solicitó un ARQC, pero puede devolver un ARQC cuando se solicitó un TC. [ cita requerida ]
Autorización de transacciones en línea
Las transacciones se realizan en línea cuando se solicita un ARQC. El ARQC se envía en el mensaje de autorización. La tarjeta genera el ARQC. Su formato depende de la aplicación de la tarjeta. EMV no especifica el contenido del ARQC. El ARQC creado por la aplicación de la tarjeta es una firma digital de los detalles de la transacción, que el emisor de la tarjeta puede verificar en tiempo real. Esto proporciona una sólida verificación criptográfica de que la tarjeta es genuina. El emisor responde a una solicitud de autorización con un código de respuesta (aceptando o rechazando la transacción), un criptograma de respuesta de autorización (ARPC) y, opcionalmente, un script del emisor (una cadena de comandos que se enviarán a la tarjeta). [ cita requerida ]
El procesamiento ARPC no se realiza en transacciones de contacto procesadas con Visa Quick Chip [28] para EMV y Mastercard M / Chip Fast, [29] y en transacciones sin contacto entre esquemas porque la tarjeta se retira del lector después de que se ha generado el ARQC.
Análisis de la acción de la segunda carta
CDOL2 (lista de objetos de datos de la tarjeta) contiene una lista de etiquetas que la tarjeta deseaba enviar después de la autorización de la transacción en línea (código de respuesta, ARPC, etc.). Incluso si por alguna razón el terminal no pudiera conectarse en línea (por ejemplo, falla de comunicación), el terminal debe enviar estos datos a la tarjeta nuevamente usando el comando generar criptograma de autorización. Esto le permite a la tarjeta conocer la respuesta del emisor. La aplicación de la tarjeta puede restablecer los límites de uso fuera de línea.
Procesamiento de script de emisor
Si el emisor de una tarjeta desea actualizar una emisión posterior a la tarjeta, puede enviar comandos a la tarjeta mediante el procesamiento de secuencias de comandos del emisor. Los scripts del emisor no tienen sentido para el terminal y se pueden cifrar entre la tarjeta y el emisor para proporcionar seguridad adicional. La secuencia de comandos del emisor se puede utilizar para bloquear tarjetas o cambiar los parámetros de la tarjeta. [30]
El procesamiento de secuencias de comandos del emisor no está disponible en transacciones de contacto procesadas con Visa Quick Chip [31] para EMV y Mastercard M / Chip Fast, [32] y para transacciones sin contacto entre esquemas.
Control del estándar EMV
La primera versión del estándar EMV se publicó en 1995. Ahora el estándar está definido y administrado por la corporación privada EMVCo LLC. Los miembros actuales de EMVCo [33] son American Express , Discover Financial , JCB International , Mastercard , China UnionPay y Visa Inc. Cada una de estas organizaciones posee una participación igual de EMVCo y tiene representantes en la organización EMVCo y en los grupos de trabajo de EMVCo.
EMVCo emite el reconocimiento del cumplimiento del estándar EMV (es decir, la certificación del dispositivo) después de la presentación de los resultados de las pruebas realizadas por una casa de pruebas acreditada. [ cita requerida ]
Las pruebas de cumplimiento de EMV tienen dos niveles: EMV Nivel 1, que cubre las interfaces físicas, eléctricas y de nivel de transporte, y EMV Nivel 2, que cubre la selección de aplicaciones de pago y el procesamiento de transacciones financieras de crédito. [ cita requerida ]
Después de pasar las pruebas comunes de EMVCo, el software debe estar certificado por las marcas de pago para cumplir con las implementaciones patentadas de EMV como Visa VSDC, American Express AEIPS, Mastercard MChip, JCB JSmart o implementaciones compatibles con EMV de miembros que no son de EMVCo, como LINK en el Reino Unido o Interac en Canadá. [ cita requerida ]
Lista de documentos y estándares EMV
A partir de 2011, desde la versión 4.0, los documentos estándar oficiales de EMV que definen todos los componentes de un sistema de pago EMV se publican como cuatro "libros" y algunos documentos adicionales:
- Libro 1: Requisitos de interfaz de terminal a ICC independiente de la aplicación [21]
- Libro 2: Seguridad y administración de claves [34]
- Libro 3: Especificación de la aplicación [35]
- Libro 4: Requisitos de la interfaz del titular de la tarjeta, el asistente y el adquirente [36]
- Especificación de la aplicación de pago común [37]
- Especificación de personalización de la tarjeta EMV [38]
Versiones
El primer estándar EMV apareció en 1995 como EMV 2.0. Esto se actualizó a EMV 3.0 en 1996 (a veces denominado EMV '96) con modificaciones posteriores a EMV 3.1.1 en 1998. Esto se modificó a la versión 4.0 en diciembre de 2000 (a veces denominado EMV 2000). La versión 4.0 entró en vigor en junio de 2004. La versión 4.1 entró en vigor en junio de 2007. La versión 4.2 está en vigor desde junio de 2008. La versión 4.3 está en vigor desde noviembre de 2011. [39]
Vulnerabilidades
Oportunidades para recolectar PIN y clonar bandas magnéticas
Además de los datos de la pista dos en la banda magnética, las tarjetas EMV generalmente tienen datos idénticos codificados en el chip, que se leen como parte del proceso normal de transacción EMV. Si un lector de EMV se ve comprometido en la medida en que se intercepta la conversación entre la tarjeta y el terminal, entonces el atacante puede recuperar tanto los datos de la pista dos como el PIN, lo que permite la construcción de una tarjeta de banda magnética que, si bien no se puede usar en un terminal con chip y PIN, se puede usar, por ejemplo, en dispositivos terminales que permiten el respaldo al procesamiento de banda magnética para clientes extranjeros sin tarjetas con chip y tarjetas defectuosas. Este ataque solo es posible cuando (a) el PIN fuera de línea se presenta en texto sin formato mediante el dispositivo de ingreso de PIN a la tarjeta, donde (b) el emisor de la tarjeta permite el respaldo de banda magnética y (c) donde no se pueden realizar comprobaciones geográficas y de comportamiento a cargo del emisor de la tarjeta. [ cita requerida ]
APACS , en representación de la industria de pagos del Reino Unido, afirmó que los cambios especificados en el protocolo (donde los valores de verificación de la tarjeta difieren entre la banda magnética y el chip, el iCVV) hicieron que este ataque fuera ineficaz y que tales medidas estarían en vigor a partir de enero de 2008. [40 ] Las pruebas en tarjetas en febrero de 2008 indicaron que esto podría haberse retrasado. [41]
Ataques exitosos
La captura de conversaciones es una forma de ataque que, según se informó, tuvo lugar contra terminales de Shell en mayo de 2006, cuando se vieron obligados a deshabilitar toda la autenticación EMV en sus estaciones de servicio después de que se robaran más de £ 1 millón a los clientes. [42]
En octubre de 2008, se informó que cientos de lectores de tarjetas EMV para su uso en Gran Bretaña, Irlanda, los Países Bajos, Dinamarca y Bélgica habían sido manipulados por expertos en China durante o poco después de la fabricación. Durante 9 meses, se enviaron detalles y PIN de tarjetas de crédito y débito a través de redes de telefonía móvil a delincuentes en Lahore , Pakistán. Estados Unidos Nacional de Contrainteligencia Ejecutivo Joel Brenner dijo: "Anteriormente, sólo un Estado-nación 's agencia de inteligencia habría sido capaz de lograr este tipo de operación. Da miedo." Por lo general, los datos se usaban un par de meses después de las transacciones con tarjeta para que a los investigadores les resultara más difícil identificar la vulnerabilidad. Después de que se descubrió el fraude, se descubrió que los terminales manipulados podían identificarse ya que los circuitos adicionales aumentaban su peso en aproximadamente 100 g. Se cree que se han robado decenas de millones de libras esterlinas. [43] Esta vulnerabilidad estimuló los esfuerzos para implementar un mejor control de los dispositivos POS electrónicos durante todo su ciclo de vida, una práctica respaldada por estándares de seguridad de pago electrónico como los que está desarrollando la Secure POS Vendor Alliance (SPVA). [44]
Recolección de PIN y clonación de bandas
En un programa de la BBC Newsnight de febrero de 2008 , los investigadores de la Universidad de Cambridge Steven Murdoch y Saar Drimer demostraron un ejemplo de ataque, para ilustrar que Chip y PIN no son lo suficientemente seguros como para justificar pasar la responsabilidad de probar el fraude de los bancos a los clientes. [45] [46] El exploit de la Universidad de Cambridge permitió a los experimentadores obtener tanto los datos de la tarjeta para crear una banda magnética como el PIN.
APACS , la asociación de pagos del Reino Unido, no estuvo de acuerdo con la mayor parte del informe y dijo que "los tipos de ataque a los dispositivos de entrada de PIN detallados en este informe son difíciles de emprender y actualmente no son económicamente viables para que los lleve a cabo un estafador". [47] También dijeron que los cambios en el protocolo (especificando diferentes valores de verificación de la tarjeta entre el chip y la banda magnética - el iCVV) harían que este ataque fuera ineficaz a partir de enero de 2008. El fraude reportado en octubre de 2008 había operado durante 9 meses (ver arriba) probablemente estaba en funcionamiento en ese momento, pero no se descubrió durante muchos meses.
En agosto de 2016, investigadores de seguridad informática de NCR (empresa de tecnología de pago) mostraron cómo los ladrones de tarjetas de crédito pueden reescribir el código de una banda magnética para que parezca una tarjeta sin chip, lo que permite la falsificación. [ cita requerida ]
2010: el hardware oculto deshabilita la verificación de PIN en la tarjeta robada
El 11 de febrero de 2010, el equipo de Murdoch y Drimer en la Universidad de Cambridge anunciaron que habían encontrado "una falla en el chip y el PIN tan grave que creen que muestra que todo el sistema necesita una reescritura" que fue "tan simple que los sorprendió". [48] [49] Una tarjeta robada se conecta a un circuito electrónico ya una tarjeta falsa que se inserta en el terminal (" ataque de intermediario "). Se ingresan cuatro dígitos y se aceptan como PIN válido. [ cita requerida ]
Un equipo del programa Newsnight de la BBC visitó una cafetería de la Universidad de Cambridge (con permiso) con el sistema y pudo pagar con sus propias tarjetas (un ladrón usaría tarjetas robadas) conectadas al circuito, insertando una tarjeta falsa y escribiendo " 0000 "como PIN. Las transacciones se registraron con normalidad y no fueron recogidas por los sistemas de seguridad de los bancos. Un miembro del equipo de investigación dijo: "Incluso los sistemas criminales de pequeña escala tienen mejores equipos que nosotros. La cantidad de sofisticación técnica necesaria para llevar a cabo este ataque es realmente bastante baja". El anuncio de la vulnerabilidad decía: "La experiencia que se requiere no es alta (electrónica de nivel universitario) ... Disputamos la afirmación de la industria bancaria de que los delincuentes no son lo suficientemente sofisticados, porque ya han demostrado un nivel de habilidad mucho más alto. de lo necesario para este ataque en sus skimmers miniaturizados de dispositivos de entrada de PIN ". No se sabe si se ha aprovechado esta vulnerabilidad. [ cita requerida ]
EMVCo no estuvo de acuerdo y publicó una respuesta diciendo que, si bien un ataque de este tipo podría ser teóricamente posible, sería extremadamente difícil y costoso llevarlo a cabo con éxito, que es probable que los controles de compensación actuales detecten o limiten el fraude y que la posible ganancia financiera de el ataque es mínimo, mientras que el riesgo de una transacción rechazada o la exposición del defraudador es significativo. [50]
Cuando se les solicitó comentarios, varios bancos (Co-operative Bank, Barclays y HSBC) dijeron que se trataba de un problema de toda la industria y remitieron al equipo de Newsnight a la asociación de comercio bancario para obtener más comentarios. [51] Según Phil Jones de la Asociación de Consumidores , Chip y PIN han ayudado a reducir los casos de delitos con tarjetas, pero muchos casos siguen sin explicarse. "Lo que sí sabemos es que tenemos casos presentados por individuos que parecen bastante persuasivos". [ cita requerida ]
Debido a que se suprime el envío del PIN, este es el equivalente exacto de un comerciante que realiza una transacción de omisión de PIN. Tales transacciones no pueden tener éxito sin conexión, ya que una tarjeta nunca genera una autorización fuera de línea sin una entrada correcta de PIN. Como resultado de esto, el ARQC de la transacción debe enviarse en línea al emisor, quien sabe que el ARQC se generó sin un envío correcto del PIN (ya que esta información se incluye en el ARQC cifrado) y, por lo tanto, es probable que rechace la transacción si fueron por un valor alto, fuera de carácter o fuera de los parámetros típicos de gestión de riesgos establecidos por el emisor. [ cita requerida ]
Originalmente, los clientes bancarios tenían que demostrar que no habían sido negligentes con su PIN antes de obtener reparación, pero las regulaciones del Reino Unido vigentes desde el 1 de noviembre de 2009 colocaban firmemente en los bancos la responsabilidad de demostrar que un cliente había sido negligente en cualquier disputa, con el el cliente tiene 13 meses para realizar una reclamación. [52] Murdoch dijo que "[los bancos] deberían mirar hacia atrás en las transacciones anteriores en las que el cliente dijo que su PIN no se había utilizado y el registro bancario mostraba que sí, y considerar reembolsar a estos clientes porque podrían ser víctimas de este tipo de fraude ". [ cita requerida ]
2011: la rebaja de CVM permite la recolección arbitraria de PIN
En la conferencia CanSecWest en marzo de 2011, Andrea Barisani y Daniele Bianco presentaron una investigación que descubrió una vulnerabilidad en EMV que permitiría la recolección arbitraria de PIN a pesar de la configuración de verificación del titular de la tarjeta de la tarjeta, incluso cuando se firman los datos de CVM compatibles. [53]
La recolección de PIN se puede realizar con un skimmer de viruta. En esencia, una lista CVM que ha sido modificada para degradar el CVM a PIN fuera de línea todavía es respetada por los terminales POS, a pesar de que su firma no es válida. [54]
Implementación
EMV originalmente significaba " Europay , Mastercard y Visa ", las tres empresas que crearon el estándar. El estándar ahora lo gestiona EMVCo , un consorcio de empresas financieras. [ cita requerida ] Los chips más conocidos del estándar EMV son: [ ¿cuándo? ]
- VIS: Visa
- Chip Mastercard: Mastercard
- AEIPS: American Express
- UICS: China Union Pay
- J inteligente: JCB
- D-PAS: Discover / Diners Club International
- Rupay: NPCI
- Brío
Visa y Mastercard también han desarrollado estándares para el uso de tarjetas EMV en dispositivos para admitir transacciones con tarjeta no presente (CNP) por teléfono e Internet. Mastercard tiene el Programa de autenticación de chip (CAP) para el comercio electrónico seguro. Su implementación se conoce como EMV-CAP y admite varios modos. Visa tiene el esquema de Autenticación de código de acceso dinámico (DPA), que es su implementación de CAP utilizando diferentes valores predeterminados.
En muchos países del mundo, las redes de pago con tarjetas de débito y / o crédito han implementado cambios de responsabilidad. [ cita requerida ] Normalmente, el emisor de la tarjeta es responsable de las transacciones fraudulentas. Sin embargo, después de que se implementa un cambio de responsabilidad, si el cajero automático o el terminal del punto de venta del comerciante no es compatible con EMV, el propietario o comerciante del cajero automático es responsable de la transacción fraudulenta.
Los sistemas con chip y PIN pueden causar problemas a los viajeros de países que no emiten tarjetas con chip y PIN, ya que algunos minoristas pueden negarse a aceptar sus tarjetas sin chip. [55] Si bien la mayoría de los terminales todavía aceptan tarjetas de banda magnética, y las principales marcas de tarjetas de crédito exigen que los proveedores las acepten, [56] algunos miembros del personal pueden negarse a aceptar la tarjeta, bajo la creencia de que son responsables de cualquier fraude si el la tarjeta no puede verificar un PIN. Es posible que las tarjetas sin chip y PIN tampoco funcionen en algunas máquinas expendedoras desatendidas en, por ejemplo, estaciones de tren o cajas de caja de autoservicio en los supermercados. [57]
África
- El cambio de responsabilidad de Mastercard entre países dentro de esta región tuvo lugar el 1 de enero de 2006. [58] Para el 1 de octubre de 2010, se había producido un cambio de responsabilidad para todas las transacciones de punto de venta. [59]
- El cambio de responsabilidad de Visa para los puntos de venta tuvo lugar el 1º de enero de 2006. En el caso de los cajeros automáticos, el cambio de responsabilidad tuvo lugar el 1 de enero de 2008. [60]
Sudáfrica
- El cambio de responsabilidad de Mastercard tuvo lugar el 1 de enero de 2005. [58]
Países de Asia / Pacífico
- El cambio de responsabilidad de Mastercard entre países dentro de esta región tuvo lugar el 1 de enero de 2006. [58] Para el 1 de octubre de 2010, se había producido un cambio de responsabilidad para todas las transacciones en el punto de venta, excepto para las transacciones nacionales en China y Japón. [59]
- El cambio de responsabilidad de Visa para los puntos de venta tuvo lugar el 1 de octubre de 2010. [60] En el caso de los cajeros automáticos, la fecha de cambio de responsabilidad tuvo lugar el 1 de octubre de 2015, excepto en China, India, Japón y Tailandia, donde el cambio de responsabilidad fue el 1 de octubre. 2017. [61] Las transacciones de cajeros automáticos nacionales en China no están actualmente sujetas a un plazo de cambio de responsabilidad.
Australia
- Mastercard requería que todos los terminales de punto de venta fueran compatibles con EMV para abril de 2013. En el caso de los cajeros automáticos, el cambio de responsabilidad tuvo lugar en abril de 2012. Los cajeros automáticos deben cumplir con la normativa EMV para finales de 2015 [62]
- El cambio de responsabilidad de Visa por los cajeros automáticos tuvo lugar el 1 de abril de 2013. [60]
Malasia
- Malasia es el primer país del mundo en migrar completamente a tarjetas inteligentes compatibles con EMV dos años después de su implementación en 2005. [63] [64]
Nueva Zelanda
- Mastercard exigía que todos los terminales de punto de venta cumplieran con la normativa EMV antes del 1 de julio de 2011. En el caso de los cajeros automáticos, el cambio de responsabilidad tuvo lugar en abril de 2012. Los cajeros automáticos deben cumplir con la normativa EMV para finales de 2015. [62]
- El cambio de responsabilidad de Visa por los cajeros automáticos fue el 1 de abril de 2013. [60]
Europa
- El cambio de responsabilidad de Mastercard tuvo lugar el 1 de enero de 2005. [58]
- El cambio de responsabilidad de Visa para los puntos de venta tuvo lugar el 1º de enero de 2006. En el caso de los cajeros automáticos, el cambio de responsabilidad tuvo lugar el 1 de enero de 2008. [60]
- Francia ha reducido el fraude con tarjetas en más del 80% desde su introducción en 1992 (ver Carte Bleue ).
Reino Unido
Chip y PIN se probaron en Northampton , Inglaterra desde mayo de 2003, [65] y, como resultado, se lanzó a nivel nacional en el Reino Unido el 14 de febrero de 2006 [66] con anuncios en la prensa y la televisión nacional promocionando la "Seguridad en cifras". eslogan. Durante las primeras etapas de implementación, si se consideraba que había ocurrido una transacción fraudulenta con tarjeta magnética, el banco emisor reembolsaba al minorista, como era el caso antes de la introducción de Chip y PIN. El 1 de enero de 2005, la responsabilidad por dichas transacciones se transfirió al minorista; esto actuó como un incentivo para que los minoristas actualizaran sus sistemas de punto de venta (PoS), y la mayoría de las principales cadenas comerciales se actualizaron a tiempo para la fecha límite de EMV. Muchas empresas más pequeñas se mostraron inicialmente reacias a actualizar sus equipos, ya que requería un sistema PoS completamente nuevo, una inversión significativa.
Todos los bancos importantes emiten nuevas tarjetas con bandas magnéticas y chips. El reemplazo de tarjetas pre-chip y PIN fue un problema importante, ya que los bancos simplemente declararon que los consumidores recibirían sus nuevas tarjetas "cuando su tarjeta anterior caduque", a pesar de que muchas personas han tenido tarjetas con fechas de vencimiento hasta 2007. El emisor de la tarjeta Switch perdió un contrato importante con HBOS con Visa , ya que no estaban listos para emitir las nuevas tarjetas tan pronto como el banco quería.
La implementación de Chip y PIN fue criticada por estar diseñada para reducir la responsabilidad de los bancos en casos de fraude de tarjeta reclamado al exigir al cliente que demuestre que había actuado "con un cuidado razonable" para proteger su PIN y tarjeta, en lugar de que el banco tuviera que hacerlo probar que la firma coincide. Antes de Chip y PIN, si se falsificaba la firma de un cliente, los bancos eran legalmente responsables y tenían que reembolsar al cliente. Hasta el 1 de noviembre de 2009 no existía tal ley que protegiera a los consumidores del uso fraudulento de sus transacciones con chip y PIN, solo el Código Bancario voluntario . Hubo muchos informes de que los bancos se negaron a reembolsar a las víctimas del uso fraudulento de tarjetas, alegando que sus sistemas no podían fallar en las circunstancias informadas, a pesar de varios ataques exitosos a gran escala documentados. [ cita requerida ]
El Reglamento de servicios de pago de 2009 entró en vigor el 1 de noviembre de 2009 [67] y transfirió la responsabilidad a los bancos de demostrar, en lugar de asumir, que el titular de la tarjeta tiene la culpa. [52] La Autoridad de Servicios Financieros (FSA) dijo "Es el banco, la sociedad de crédito hipotecario o la compañía de tarjetas de crédito demostrar que usted realizó la transacción y que no hubo fallas en los procedimientos o dificultades técnicas" antes de rechazar la responsabilidad.
Latinoamerica y el caribe
- El cambio de responsabilidad de Mastercard entre países de esta región tuvo lugar el 1º de enero de 2005. [58]
- El cambio de responsabilidad de Visa para los puntos de venta tuvo lugar el 1 de octubre de 2012, para los países de esta región que aún no habían implementado un cambio de responsabilidad. En el caso de los cajeros automáticos, el cambio de responsabilidad tuvo lugar el 1 de octubre de 2014, para los países de esta región que aún no habían implementado un cambio de responsabilidad. [60]
Brasil
- El cambio de responsabilidad de Mastercard tuvo lugar el 1 de marzo de 2008. [58]
- El cambio de responsabilidad de Visa para los puntos de venta tuvo lugar el 1 de abril de 2011. En el caso de los cajeros automáticos, el cambio de responsabilidad tuvo lugar el 1 de octubre de 2012. [60]
Colombia
- El cambio de responsabilidad de Mastercard tuvo lugar el 1 de octubre de 2008. [58]
México
- Discover implementó un cambio de responsabilidad el 1 de octubre de 2015. Para el pago en el surtidor en las estaciones de servicio, el cambio de responsabilidad fue el 1 de octubre de 2017. [68]
- El cambio de responsabilidad de Visa para los puntos de venta tuvo lugar el 1 de abril de 2011. En el caso de los cajeros automáticos, el cambio de responsabilidad tuvo lugar el 1 de octubre de 2012. [60]
Venezuela
- El cambio de responsabilidad de Mastercard tuvo lugar el 1 de julio de 2009. [58]
Oriente Medio
- El cambio de responsabilidad de Mastercard entre países dentro de esta región tuvo lugar el 1 de enero de 2006. [58] Para el 1 de octubre de 2010, se había producido un cambio de responsabilidad para todas las transacciones de punto de venta. [59]
- El cambio de responsabilidad de Visa para los puntos de venta tuvo lugar el 1º de enero de 2006. En el caso de los cajeros automáticos, el cambio de responsabilidad tuvo lugar el 1 de enero de 2008. [60]
América del norte
Canadá
- American Express implementó un cambio de responsabilidad el 31 de octubre de 2012. [69] [ ¿fuente promocional? ]
- Discover implementó un cambio de responsabilidad el 1 de octubre de 2015 para todas las transacciones, excepto el pago en el surtidor en las estaciones de servicio; esas transacciones cambiaron el 1 de octubre de 2017. [68] [se necesita una fuente de terceros ]
- Interac (la red de tarjetas de débito de Canadá) dejó de procesar transacciones no EMV en cajeros automáticos el 31 de diciembre de 2012 y ordenó transacciones EMV en terminales de punto de venta el 30 de septiembre de 2016, con un cambio de responsabilidad que tuvo lugar el 31 de diciembre de 2015. [70] [ verificación fallida ] [se necesita una fuente de terceros ]
- Mastercard implementó el cambio de responsabilidad por transacciones nacionales el 31 de marzo de 2011 y el cambio de responsabilidad internacional el 15 de abril de 2011. Para el pago en el surtidor en las gasolineras, el cambio de responsabilidad se implementó el 31 de diciembre de 2012. [69]
- Visa implementó el cambio de responsabilidad por transacciones nacionales el 31 de marzo de 2011 y el cambio de responsabilidad internacional el 31 de octubre de 2010. Para el pago en el surtidor en las gasolineras, el cambio de responsabilidad se implementó el 31 de diciembre de 2012. [69]
- Durante un período de 5 años posterior a la migración EMV, las transacciones fraudulentas presentes en tarjetas de crédito nacionales se redujeron significativamente en Canadá. Según los informes de Helcim , el fraude con tarjetas de débito nacionales con tarjeta presente se redujo en un 89,49% y el fraude con tarjetas de crédito en un 68,37%. [71] [ fuente promocional? ]
Estados Unidos
Después de un robo de identidad generalizado debido a la debilidad de la seguridad en los terminales de punto de venta en Target , Home Depot y otros minoristas importantes, se anunciaron Visa, Mastercard y Discover [72] en marzo de 2012, y American Express [73] en junio de 2012. sus planes de migración EMV para los Estados Unidos. [74] Desde el anuncio, varios bancos y emisores de tarjetas han anunciado tarjetas con tecnología de firma y chip EMV, como American Express, Bank of America, Citibank, Wells Fargo , [75] JPMorgan Chase, US Bank y varias uniones de crédito. .
En 2010, varias empresas comenzaron a emitir tarjetas de débito prepagas que incorporan Chip y PIN y permiten a los estadounidenses cargar efectivo en euros o libras esterlinas . [76] [ fuente promocional? ] United Nations Federal Credit Union fue el primer emisor de los Estados Unidos en ofrecer tarjetas de crédito con chip y PIN. [77] En mayo de 2010, un comunicado de prensa de Gemalto (un productor mundial de tarjetas EMV) indicó que United Nations Federal Credit Union en Nueva York se convertiría en el primer emisor de tarjetas EMV en los Estados Unidos, ofreciendo una tarjeta de crédito EMV Visa a sus clientes. . [78] JPMorgan fue el primer banco importante en introducir una tarjeta con tecnología EMV, a saber, su tarjeta Palladium, a mediados de 2012. [79]
En abril de 2016, el 70% de los consumidores estadounidenses tienen tarjetas EMV y, en diciembre de 2016, aproximadamente el 50% de los comerciantes cumplen con EMV. [80] [81] Sin embargo, la implementación ha sido lenta e inconsistente entre los proveedores. Incluso los comerciantes con hardware EMV pueden no poder procesar transacciones con chips debido a deficiencias de software o de cumplimiento. [82] Bloomberg también ha citado problemas con la implementación de software, incluidos cambios en las indicaciones de audio para las máquinas Verifone , que pueden tardar varios meses en lanzarse y desplegarse. Los expertos de la industria, sin embargo, esperan una mayor estandarización en los Estados Unidos para la implementación y los estándares de software. Visa y Mastercard han implementado estándares para acelerar las transacciones con chips con el objetivo de reducir el tiempo para que estas sean menos de tres segundos. Estos sistemas están etiquetados como Visa Quick Chip y Mastercard M / Chip Fast. [83]
- American Express implementó el cambio de responsabilidad para los terminales de punto de venta el 1 de octubre de 2015. [84] [ ¿fuente promocional? ] Para el pago en el surtidor, en las estaciones de servicio, el cambio de responsabilidad es el 16 de abril de 2021. Esto se extendió desde el 1 de octubre de 2020 debido a complicaciones del coronavirus. [85]
- Discover implementó el cambio de responsabilidad el 1 de octubre de 2015. Para el pago en el surtidor, en las estaciones de servicio, el cambio de responsabilidad es el 1 de octubre de 2020. [68]
- Maestro implementó un cambio de responsabilidad el 19 de abril de 2013 para las tarjetas internacionales utilizadas en los Estados Unidos. [86]
- Mastercard implementó el cambio de responsabilidad para los terminales de punto de venta el 1 de octubre de 2015. [84] Para el pago en el surtidor, en las estaciones de servicio, el cambio de responsabilidad formalmente es el 1 de octubre de 2020. [87] Para los cajeros automáticos, la fecha de cambio de responsabilidad fue el 1 Octubre de 2016. [88] [89]
- Visa implementó el cambio de responsabilidad para terminales de punto de venta el 1 de octubre de 2015. Para el pago en el surtidor, en las estaciones de servicio, el cambio de responsabilidad formalmente es el 1 de octubre de 2020. [87] [90] Para los cajeros automáticos, la fecha de cambio de responsabilidad fue el 1 Octubre de 2017. [61]
Ver también
- Pago sin contacto
- Ataque a la cadena de suministro
- Autenticación de dos factores
- Código MM
Referencias
- ^ Chen, Zhiqun (2000). Tecnología de tarjeta Java para tarjetas inteligentes: Arquitectura y guía del programador . Addison-Wesley Professional . pp. 3 -4. ISBN 9780201703290.
- ^ "Una breve reseña de las tarjetas inteligentes (actualización de 2019)" . Gemalto . 7 de octubre de 2019 . Consultado el 27 de octubre de 2019 .
- ^ Sorensen, Emily (26 de julio de 2019). "La historia detallada de las máquinas de tarjetas de crédito" . Transacción móvil . Consultado el 27 de octubre de 2019 .
- ^ Veendrick, Harry JM (2017). Circuitos integrados de nanómetros CMOS: de los conceptos básicos a los ASIC . Saltador. pag. 315. ISBN 9783319475974.
- ^ "Miembros de EMVCo" . EMVCo . Consultado el 10 de mayo de 2015 .
- ^ https://www.emvco.com/get-involved/associates/
- ^ "China UnionPay se une a EMVCo" (Comunicado de prensa). Investigación Finextra. 20 de mayo de 2013 . Consultado el 10 de mayo de 2015 .
- ^ "Discover se une a EMVCo para ayudar a promover los estándares globales de EMV" . Descubra las noticias de la red. 3 de septiembre de 2013 . Consultado el 10 de mayo de 2015 .
- ^ "Sitio web internacional de Rupay" .
- ^ "Tarjetas de débito RuPay de NPCI para competir con Visa y Mastercard" . The Economic Times . 27 de marzo de 2012 . Consultado el 25 de julio de 2019 .
- ^ "Visa y MasterCard admiten soluciones comunes para habilitar el enrutamiento de débito con chip de EE. UU . " . Tarjeta MasterCard.
- ^ "Desplazamiento de responsabilidad por transacciones fraudulentas" . Asociación de Tarjetas del Reino Unido . Consultado el 10 de mayo de 2015 .
- ^ "Comprensión de los cambios en la responsabilidad por fraude en EE. UU. En 2015" (PDF) . www.emv-connection.com . Foro de migración EMV. Archivado desde el original (PDF) el 19 de septiembre de 2015 . Consultado el 15 de noviembre de 2015 .
- ^ "Por qué aún no está a salvo del fraude si tiene una tarjeta de crédito con chip" . ABC News .
- ^ "Chip-and-PIN vs. Chip-and-Signature" , CardHub.com, consultado el 31 de julio de 2012.
- ^ "Actualización de EMV: Discusión con la Reserva Federal" (PDF) . Visa . Consultado el 2 de enero de 2017 .
- ^ Carlin, Patricia (15 de febrero de 2017). "Cómo reducir las devoluciones de cargo sin matar las ventas en línea" . Forbes .
- ^ "BBC NEWS - Tecnología - Código de tarjeta de crédito para combatir el fraude" . bbc.co.uk .
- ^ "Tarjetas de prueba Visa con máquina PIN incorporada" . ES PRO .
- ^ "Cómo funciona EMV (Chip & PIN) - Diagrama de flujo de transacciones" . CreditCall Ltd . Consultado el 10 de mayo de 2015 .
- ^ a b "Libro 1: ICC independiente de la aplicación para requisitos de interfaz de terminal" (PDF) . 4.3. EMVCo. 30 de noviembre de 2011 . Consultado el 20 de septiembre de 2018 .
- ^ "Productos y servicios de MasterCard - Documentación" . Consultado el 17 de abril de 2017 .
- ^ "Una guía para la tecnología de chips EMV" (PDF) . EMVCo. Noviembre de 2014.
- ^ "EMV CA" . Autoridad de certificación EMV en todo el mundo. 20 de noviembre de 2010 . Consultado el 20 de marzo de 2020 .
- ^ "Libro 2: Seguridad y administración de claves (PDF). 4.3" (PDF) . EMVCo. 29 de noviembre de 2011 . Consultado el 20 de septiembre de 2018 .
- ^ https://www.emvco.com/wp-content/uploads/2017/03/EMVCo-Website-Content-2.1-Contact-Portal-plus-Biometric-FAQ_v2.pdf
- ^ "Especificaciones sin contacto para sistemas de pago" (PDF) . EMVCo.
- ^ https://usa.visa.com/visa-everywhere/security/visa-quick-chip.html
- ^ https://newsroom.mastercard.com/press-releases/mchip-fast-from-mastercard-speeds-emv-transactions-and-shoppers-through-checkout/
- ^ https://www.emvco.com/wp-content/uploads/documents/A-Guide-to-EMV-Chip-Technology-v3.0-1.pdf
- ^ https://usa.visa.com/visa-everywhere/security/visa-quick-chip.html
- ^ https://newsroom.mastercard.com/press-releases/mchip-fast-from-mastercard-speeds-emv-transactions-and-shoppers-through-checkout/
- ^ EMVCo. "Miembros de EMVCo" . Consultado el 1 de agosto de 2020 .
- ^ "Libro 2: Seguridad y administración de claves" (PDF) . 4.3. EMVCo. 29 de noviembre de 2011 . Consultado el 20 de septiembre de 2018 .
- ^ "Libro 3: Especificación de la aplicación" (PDF) . 4.3. EMVCo. 28 de noviembre de 2011 . Consultado el 20 de septiembre de 2018 .
- ^ "Libro 4: Requisitos de la interfaz del titular de la tarjeta, el asistente y el adquirente" (PDF) . 4.3. EMVCo. 27 de noviembre de 2011 . Consultado el 20 de septiembre de 2018 .
- ^ "Boletines SB CPA Specification v1 Plus" (PDF) . EMVCo. 1 de marzo de 2008 . Consultado el 20 de septiembre de 2018 .
- ^ "Especificación de personalización de la tarjeta EMV®" (PDF) . EMVCo. 1 de julio de 2007 . Consultado el 20 de septiembre de 2018 .
- ^ "Especificaciones de tarjetas de circuito integrado para sistemas de pago" . EMVCo . Consultado el 26 de marzo de 2012 .
- ^ "¿Qué tan seguros son Chip y PIN?" . BBC Newsnight. 26 de febrero de 2008.
- ^ Saar Drimer; Steven J. Murdoch; Ross Anderson. "Vulnerabilidades del dispositivo de entrada de PIN (PED)" . Laboratorio de Computación de la Universidad de Cambridge . Consultado el 10 de mayo de 2015 .
- ^ "Empresa de gasolina suspende chip-and-pin" . BBC News . 6 de mayo de 2006 . Consultado el 13 de marzo de 2015 .
- ^ "La delincuencia organizada manipula los dispositivos de deslizamiento de tarjetas europeas" . El registro. 10 de octubre de 2008.
- ^ "Grupos de trabajo técnico, Secure POS Vendor Alliance" . 2009. Archivado desde el original el 15 de abril de 2010.
- ^ "¿Chip and Pin es realmente seguro?" . BBC News . 26 de febrero de 2008 . Consultado el 2 de mayo de 2010 .
- ^ "Chip y pin" . 6 de febrero de 2007. Archivado desde el original el 5 de julio de 2007.
- ^ John Leyden (27 de febrero de 2008). "Pinchos de ataque de clip de papel Chip y PIN" . El canal . Consultado el 10 de mayo de 2015 .
- ^ Steven J. Murdoch; Saar Drimer; Ross Anderson; Mike Bond. Vulnerabilidad de "cuña" de verificación de PIN EMV . Laboratorio de Computación, Universidad de Cambridge . Consultado el 12 de febrero de 2010 .
- ^ Susan Watts (11 de febrero de 2010). "Reveladas nuevas fallas en el chip y el sistema de pines" . BBC News . Consultado el 12 de febrero de 2010 .
- ^ "Respuesta de EMVCo al Informe de la Universidad de Cambridge sobre vulnerabilidades de chip y PIN ('Chip and PIN is Broken' - febrero de 2010)" (PDF) . EMVCo. Archivado desde el original (PDF) el 8 de mayo de 2010 . Consultado el 26 de marzo de 2010 .
- ^ Susan, Watts. "Reveladas nuevas fallas en el chip y el sistema de pines (11 de febrero de 2010)" . Noche de noticias . BBC . Consultado el 9 de diciembre de 2015 .
- ^ a b Richard Evans (15 de octubre de 2009). "Fraude con tarjetas: los bancos ahora tienen que demostrar su culpabilidad" . El telégrafo . Consultado el 10 de mayo de 2015 .
- ^ Andrea Barisani; Daniele Bianco; Adam Laurie; Zac Franken (2011). "Chip & PIN definitivamente está roto" (PDF) . Laboratorios de apertura . Consultado el 10 de mayo de 2015 .
- ^ Adam Laurie; Zac Franken; Andrea Barisani; Daniele Bianco. "EMV - Ataque de degradación de CVM Chip & Pin" . Laboratorios de apertura y trayectoria inversa . Consultado el 10 de mayo de 2015 .
- ^ "Tarjetas de crédito estadounidenses obsoletas, menos útiles en el extranjero, a medida que las tarjetas 'Chip y PIN' se ponen de moda" . creditcards.com .[ enlace muerto permanente ]
- ^ "Visa Australia" . visa-asia.com .
- ^ Higgins, Michelle (29 de septiembre de 2009). "Para los estadounidenses, el plástico compra menos en el extranjero" . The New York Times . Consultado el 17 de abril de 2017 .
- ^ a b c d e f g h yo "Guía de contracargos" (PDF) . MasterCard en todo el mundo. 3 de noviembre de 2010 . Consultado el 10 de mayo de 2015 .
- ^ a b c "Reglamento Operativo" (PDF) . Visa Internacional. Archivado desde el original (PDF) el 3 de marzo de 2013.
- ^ a b c d e f g h yo "El viaje a los datos dinámicos" . Visa.[ enlace muerto permanente ]
- ^ a b "Visa amplía la hoja de ruta de EE. UU. Para la adopción de chips EMV para incluir cajeros automáticos y una solución de débito común" (comunicado de prensa). Foster City, California: Visa. 4 de febrero de 2013 . Consultado el 10 de mayo de 2015 .
- ^ a b "MasterCard anuncia un plan quinquenal para cambiar la cara de la industria de pagos en Australia" . Mastercard Australia. Archivado desde el original el 28 de enero de 2013.
- ^ "Malasia es el primero en completar la migración de tarjetas basadas en chip" . El comienzo en línea.
- ^ "EE.UU. aprende de Malasia, 10 años después" . El puesto de Rakyat. 14 de octubre de 2015.
- ^ "Tarjetas de crédito antifraude a prueba" . BBC Business News . 11 de abril de 2003 . Consultado el 27 de mayo de 2015 .
- ^ Asociación de Tarjetas del Reino Unido. "La guía de chip y PIN" (PDF) . Consultado el 27 de mayo de 2015 .
- ^ Fundación, Memoria de Internet. "[CONTENIDO ARCHIVADO] Archivo Web del Gobierno del Reino Unido - Los Archivos Nacionales" . Archivado desde el original el 12 de noviembre de 2008 . Consultado el 17 de abril de 2017 .
- ^ a b c "Descubrir para hacer cumplir el cambio de responsabilidad EMV para 2015" (Comunicado de prensa). Investigación Finextra. 12 de noviembre de 2012 . Consultado el 10 de mayo de 2015 .
- ^ a b c "Cambio de responsabilidad de chip" . pagos globales. Archivado desde el original el 30 de julio de 2013.
- ^ "Interac - para comerciantes" . Consultado el 17 de abril de 2017 .
- ^ "EMV reduce el fraude con tarjeta presente en Canadá (infografía): el blog oficial de Helcim ™" . Consultado el 17 de abril de 2017 .
- ^ "Discover Implements EMV Mandate para EE. UU., Canadá y México" . Archivado desde el original el 10 de mayo de 2012.
- ^ "American Express Announces US EMV Roadmap to Advance Contact, Contactless and Mobile Payments" (Comunicado de prensa). Nueva York: American Express. 29 de junio de 2012. Archivado desde el original el 10 de mayo de 2015 . Consultado el 10 de mayo de 2015 .
- ^ "Destino incierto de EMV en los Estados Unidos" . Pago proteico. Archivado desde el original el 29 de septiembre de 2013 . Consultado el 22 de septiembre de 2012 .
- ^ Camhi, Jonathan (3 de agosto de 2012). "Wells Fargo presenta una nueva tarjeta EMV para consumidores" . Tecnología y sistemas bancarios. Archivado desde el original el 5 de junio de 2014 . Consultado el 10 de mayo de 2015 .
- ^ "Travelex ofrece la primera tarjeta prepaga en moneda extranjera habilitada con chip y PIN de Estados Unidos" . Business Wire . Business Wire. 1 de diciembre de 2010 . Consultado el 6 de febrero de 2014 .
- ^ "UNFCU será el primer emisor en Estados Unidos en ofrecer tarjetas de crédito con chip de alta seguridad" . Cooperativa Federal de Crédito de las Naciones Unidas .
- ^ Ray Wizbowski (13 de mayo de 2010). "La Cooperativa de Crédito Federal de las Naciones Unidas selecciona a Gemalto como la primera tarjeta de pago emitida en EE. UU. Que cumple con las normas mundiales" (Comunicado de prensa). Austin, Texas: Gemalto . Consultado el 10 de mayo de 2015 .
- ^ Paul Riegler (25 de julio de 2013). "Cartilla de tarjeta de crédito Chip-and-Pin y Chip-and-Signature para 2013" . Viajero de negocios frecuente . Consultado el 10 de mayo de 2015 .
- ^ Goldman, Sharon (20 de marzo de 2017). "¿Se está suavizando el camino difícil hacia la adopción minorista de EMV?" . Consultado el 17 de abril de 2017 .
- ^ "Encuesta de tarjetas de crédito EMV" .
- ^ "Los minoristas tienen lectores de tarjetas con chip, ¿por qué no los utilizan?" . Consultado el 22 de noviembre de 2017 .
- ^ "El plan para hacer que las tarjetas de crédito con chip sean menos molestas" . Bloomberg.com . 17 de julio de 2017 . Consultado el 5 de agosto de 2017 .
- ^ a b Cathy Medich (julio de 2012). "Migración EMV - impulsada por hitos de marca de pago" . Consultado el 10 de mayo de 2015 .
- ^ "Amex se une a Visa para posponer la migración EMV de gas de EE. UU . " .
- ^ David Heun (10 de septiembre de 2012). "MasterCard lleva la política de responsabilidad de tarjetas con chip EMV a los cajeros automáticos de EE . UU . " . SourceMedia. Archivado desde el original el 22 de febrero de 2014 . Consultado el 10 de mayo de 2015 .
- ^ a b "Problemas de fraude de tarjetas de bombas de demora de responsabilidad de combustible EMV" . Tiempos de cooperativas de crédito . Consultado el 4 de diciembre de 2016 .
- ^ Beth Kitchener (10 de septiembre de 2012). "MasterCard extiende la hoja de ruta de migración EMV de EE. UU. Al canal ATM" (Comunicado de prensa). Compra, NY: Mastercard . Consultado el 10 de mayo de 2015 .
- ^ "EMV para compradores estadounidenses: siete principios rectores para la preparación EMV" (PDF) . Archivado desde el original (PDF) el 5 de julio de 2016 . Consultado el 17 de abril de 2017 .
- ^ "Visa anuncia la participación de EE. UU. En el cambio global de responsabilidad por falsificación de puntos de venta" (PDF) (Comunicado de prensa). Visa. 9 de agosto de 2011 . Consultado el 10 de mayo de 2015 .
enlaces externos
- Página web oficial
- Por qué se utiliza el chip EMV en tarjetas de débito / crédito.