将美国支付系统迁移到欧洲支付MasterCard Visa (EMV)智能卡标准可能需要比预想的时间长得多,而且提供的安全好处也比技术支持者所吹捧的要少。
在后面的几周内目标的大规模数据泄露, EMV标准得到了支付行业利益相关者和立法者的高度关注。
基于EMV标准的卡片使用嵌入式微处理器代替磁条来存储持卡人数据。通常,持卡人在使用该卡时需要使用个人识别号码(PIN)验证自己。
芯片密码信用卡和借记卡被认为比美国使用的磁条卡安全得多。虽然世界其他地方很久以前就开始使用芯片密码信用卡了,但由于种种原因,美国在采用这项技术方面一直落后。
但Target事件似乎让许多人相信,是时候抛开对EMV的保留意见,全面转向EMV了。
甚至在这次入侵之前,万事达和维萨就宣布,他们希望商户和发卡机构在2015年10月之前做好EMV卡交易的准备。他们注意到,销售点终端发生的任何欺诈行为的责任将在该日期之后转移到商户或发卡银行。
如果零售商的销售点系统已具备emv功能,但发卡银行的卡不符合emv要求,那么在2015年10月15日后,与这些卡相关的任何欺诈交易的成本将由银行承担。另一方面,如果银行已准备好emv,但商户的POS不支持该技术,商户将为任何欺诈承担责任。
在责任转换发生之前,加油站所有者将有额外两年的时间将自动加油机迁移到EMV。
尽管一直对截止日期持保留态度,但万事达卡和维萨只是在塔吉特事件发生后的几周内才巩固了他们的计划。两家信用卡协会的高管公开证实,他们打算坚持执行EMV实施路线图,并以Target违规事件为例,说明为何需要采取这一举措。
问题是改变EMV并不容易,但代价不菲。
1.升级到EMV将花费数十亿美元
最大的障碍之一是成本。能够读取EMV卡的POS系统可以花费数百美元。像目标这样的零售商可以预期支付数千万美元,只需交换硬件。此外,它们还需要花费软件,测试和部署。
代表便利店和石油零售商的贸易组织石油便利技术标准联盟(PCATS)的执行董事Gray Taylor预计,他的行业将不得不花费40亿美元来更换大约80万个POS系统。
格雷估计,在美国各地,商家将需要更换或升级约1300万个POS系统,以便为EMV卡交易做好准备。泰勒说:“这是一笔巨大的支出,我们将不得不转嫁给消费者。”
此外,如果发卡银行想要为PIN借记卡和PIN信用交易做好准备,就需要花费数千万美元来升级他们的网络和内部系统。
2.安全投资回报率仍然不确定
目前尚不清楚这些投资是否会产生许多人认为的那种安全收益。
这是因为EMV标准可以以多种方式实现。世界上大多数的EMV实现都要求持卡人在进行交易时输入PIN作为身份验证措施。这种芯片- pin EMV实现被认为具有最强的安全优势。
但EMV也可以以不那么安全的方式实施。例如,EMV可以简单地实现为没有PIN的芯片卡,或需要签名或PIN来验证持卡人的芯片卡。这样的智能卡实现仍然比磁条卡提供更多的安全性,但它们不如芯片和密码格式安全。
万事达(MasterCard)和维萨(Visa)的选择主要是由美国的发卡银行来决定。
但由于没有强制性的个人密码要求,美国向EMV标准的任何举措充其量都是不成熟的。
“这不是零售商长期以来所要求的加强安全系统,”零售业领袖协会(RILA)的高级副总裁Brain Dodge说。“将系统转移到EMV是一个巨大的成本。从零售商的角度来看,我们(从智能卡)获得的额外保护不足以证明费用是合理的,”道奇说,没有强制的个人识别码要求。
3.不仅仅是密码问题
EMV在美国的实施计划也允许在卡的背面使用磁条。专门从事零售证券业务的独立顾问詹姆斯·休格莱特(James Huguelet)说,这进一步削弱了最初使用智能卡可能带来的好处。
此外,Huguelet说,EMV实施计划不要求对所有交易的持卡人信息进行加密,这是另一个主要的弱点。
例如,EMV技术几乎无法防止数据窃贼从塔吉特的POS系统中获取信用卡和借记卡数据,因为这些数据在加密之前就被窃取了。
Huguelet说,即使所有这些问题都神奇地得到解决,EMV本身并不能使在线和移动支付方式更安全。EMV卡的设计初衷是为了让所谓的“卡现交易”更加安全。该技术使得克隆信用卡和使用它们进行欺诈交易变得更加困难。然而,它们在诸如在线或移动交易等无卡情况下使用较少。
在Target被攻破之后,“有一种观点认为,美国没有迅速转向EMV——如果它这么做了,将会让消费者更安全,”Huguelet说。“但这类故事情节忽略了美国EMV现状中一些难以忽视的真相。”
万事达卡北美市场(MasterCard North American Markets)高级业务主管赛斯•艾森(Seth Eisen)淡化了这种担忧。他指出,拟议的EMV模式下的负债结构将激励美国银行和零售商实施最安全的EMV形式。
“交易发生的终端将决定责任转移的技术。如果终端不是EMV,而卡是,那么商家要为任何伪造欺诈承担责任,”艾森说。
“在责任转变生效后,如果要举行的欺诈,那么具有较低安全标准的缔约方将对欺诈负责。”他说,银行和零售商有同举办的奖励,迁移到最强大的EMV形式。
签证没有立即响应评论请求。
4.时间也是一个问题
将整个美国支付系统转移到EMV将比2015年10月的最后期限要长得多。
加拿大于2003年开始使用EMV。cats的泰勒说,10多年后,中国只有大约85%的POS系统可以使用EMV卡,而中国的支付系统更加集中,POS系统也比美国少得多
与此同时,在商人几乎完全转移到启用EMV的POS系统的国家,银行才能发布智能卡,泰勒说。
泰勒说,将美国支付系统迁移到EMV将花费数年时间,而且流程完成后,大多数付款都将转移到移动和在线应用程序。“签证和万事达卡在使我们与世界其他地区同质化的地狱弯曲。但事实是,我们将成为老化技术的最后一个家伙。”
Taylor说,与其过于关注EMV标准,不如努力开发技术和技术,以确保未来的支付方式。与此同时,他指出,有几种选择可以让支付技术更安全,包括端到端加密、令牌化和强制使用PIN。
5.法律障碍
EMV在美国采用的另一个障碍,至少就零售商而言,是与借记卡PIN和借记卡签名交易的处理方式有关。
根据一项名为德宾修正案(Durbin Amendment)的联邦措施,商家应该可以在至少两个处理借记卡交易的独立网络中进行选择。这项措施旨在增加竞争,减少有争议的“交易费”,即商户为每笔借记卡交易向银行和信用合作社支付的费用。
然而,银行和商人之间关于法院对德宾修正案意图的解释的法律纠纷推迟了该措施的实施。这一问题预计要到今年秋天才会有裁决,这意味着零售商将不得不等到那时来决定他们应该如何为PIN和签名借方交易实施EMV。
这篇文章中,5可能妨碍EMV SmartCard在美国采用的问题,最初发表于Computerworld.com.
Jaikumar Vijayan涵盖数据安全和隐私问题,金融服务安全和计算机世界的电子投票。在Twitter上关注Jaikumar@jaivijayan或订阅Jaikumar的RSS提要.他的电子邮件地址是jvijayan@computerworld.com.
看到Jaikumar Vijayan在Computerworld.com上报道.
阅读更多关于端点安全性的内容在Computerworld的端点安全主题中心。
这篇文章“可能阻碍EMV智能卡在美国应用的5个问题”最初由《计算机世界》 .