昨天是最后期限。最后,美国正在从传统的刷卡雷竞技比分方式转向更安全的基于芯片的EMV系统(EMV适用于欧洲支付、万事达和Visa,这三家公司共同发明了这项技术)。
这种芯片更难伪造,而且与磁条不同,它不容易读取和复制,而这正是信用卡造假者长期以来所做的。在其他国家,芯片与个人识别码相结合,所以如果有人偷了卡,他们不能使用它,除非他们也知道你的个人识别码——这是美国借记卡长期使用的第二因素认证形式,但不是美国信用卡。然而,美国的银行并不要求使用芯片卡的个人密码;老式的、与安全无关的签名仍将在这里使用。
多年来,EMV安全支付技术在欧洲和加拿大随处可见,但由于银行和商户不愿做出必要的改变,该技术在美国未能得到推广。他们不仅要更换读卡器,还要更换后端系统以适应基于芯片的卡,而且他们认为欺诈成本低于转换成本。雷竞技比分
然而,巨大的违反在目标在2013年,由于担心犯罪分子会用假卡充斥市场,人们转而使用EMV支付技术。国会甚至威胁要采取行动,去年秋天,美国总统奥巴马(Barack Obama)下令联邦机构使用EMV终端,以刺激行业变革。
但这种转变并非法律或监管。这是信用卡处理机构强加给会员银行和接受其信用卡的商家的决定。没有在10月1日截止日期前完成新阅读器部署的商家,以及没有计划这么做的商家,都不会受到实际惩罚。
支持芯片的信用卡和借记卡仍有磁条,因此商家可以继续用老式的方式处理支付。改变的是,企业将对不符合emv规定的任何欺诈行为承担全部责任。对于那些不愿改变的商家来说,这是一个定时炸弹。(苹果支付和安卓支付的交易甚至比芯片交易更安全,所以商家在使用这些支付系统时无需承担欺诈责任。)
“这是一项责任委托,”德勤网络风险服务支付诚信业务主管普拉卡什·桑塔纳(Prakash Santhana)说。如果犯罪分子使用假卡,如果商家没有采用EMV,就会“承担”诈骗所产生的“成本”。
新的支付技术代表着一个重大的安全改进,但警告仍然存在。这项授权适用于信用卡,但尚未适用于借记卡,并且向美国消费者提供了优惠,即没有所需的PIN,这使得EMV支付的安全性低于加拿大或欧洲。好处是,由商户安装的EMV硬件为未来更先进的支付方式奠定了基础。
大多数美国EMV读卡器都配有用于苹果支付和安卓支付等电子支付系统的NFC无线电,但这种无线电技术不在EMV规范中。然而,苹果公司选择了苹果支付面世的时间为了充分利用读卡器转换的优势,读卡器制造商在他们必须制造的新终端上安装了必要的无线电技术,以支持EMV芯片。这也推动了谷歌钱包的发展,谷歌钱包比Apple Pay早了几年,其改进后的服务现在被称为Android Pay。
商家:转换或承受风险
在支付卡等式中有三个参与者:
- 处理支付的银行卡网络和处理器
- 向消费者发行信用卡的银行
- 接受消费者信用卡的零售商和商人
向EMV的转换需要全面的改变:处理者更新其系统以处理来自EMV卡的交易,银行向其所有客户发行新的芯片卡,零售商必须升级读卡器和销售点系统以接受芯片卡。
现在,债务在银行和商人之间分摊。如果罪犯在未切换到EMV的商户处使用克隆卡,则该商户应完全承担与欺诈相关的所有费用。但如果信用卡最初没有芯片,那么发卡银行就有责任。
凯捷金融服务公司(Capgemini Financial Services)信用卡和支付业务负责人黛博拉·巴克斯利(Deborah Baxley)表示,“这是一种胡萝卜/大棒的方法”,可以让所有参与者都遵守EMV。有很多“胡萝卜”需要尽快升级,而不是推迟升级——例如,如果拥有大量终端的零售商已经更新了大部分设备,他们就可以减少责任和处罚。
EMV规则的两个例外是加油站泵和自动取款机,它们还有两年的时间来升级读卡器,因为这项技术比销售点终端复杂得多。私有标签卡(如零售商发行的卡)不包括在该转换中。由于发卡机构和信用卡网络不得不采用不同的方法,EMV的借记卡也被推迟。巴克斯利说,多德-弗兰克法案要求借记卡能够在两个独立的网络上工作,这与EMV背道而驰。
只针对一种类型的欺诈
当卡网络在20世纪90年代中期聚集在一起时,他们担心各种各样的支付欺诈。EMV标准的出现是为了解决一种特定类型的欺诈:“无卡”欺诈。这是指犯罪分子窃取存储在信用卡磁条上的账户和客户信息,制造假卡或克隆卡。信用卡上的三位数代码最初用于验证交易时该人是否拥有信用卡。
据Cigital的首席技术官Gary McGraw估计,未使用信用卡的欺诈行为占全部欺诈行为的10%到15%。
用磁条中的被盗数据制作假卡是相当便宜的;用芯片做这件事要昂贵得多。但是,由于转换尚未完成,因此仍存在假冒欺诈的空间。巴克斯利说,如果信用卡数据被盗,这些数据仍然可以用来创建克隆卡,以便从ATM机取款。
EMV标准有两种实现方式:芯片和密码(chip-and-PIN)和芯片和签名(chip-and-signature)。大多数采用EMV的国家都使用芯片和密码(Chip-and-PIN),用户需要在读卡器中输入密码来验证交易。使用芯片和签名,用户行为不会发生变化,除了在签署交易之前,消费者会蘸卡而不是刷卡。美国是2雷竞技比分0国集团中最后一个采用EMV标准的国家,虽然大多数国家选择了芯片和密码,但美国和少数其他国家选择了芯片和签名。
麦格劳说:“不管出于什么原因,(他们)认为美国公众太愚蠢了,不会使用芯片和密码。”这种转换是让支付变得更安全的“一小步”,但“芯片和密码在支付安全方面要好得多”。
通过芯片和签名,美国只解决了克隆问题。考虑物理盗窃。在芯片和PIN码的保护下雷竞技比分,一个盗贼在不知道密码的情况下,将无法使用偷来的——而且是真的——卡。有了芯片和签名,盗取被盗卡的窃贼可能会使用假签名。
需要额外的控制
支付卡行业(PCI)安全标准委员会(SSC)总经理Stephen Orfei表示,EMV将"杜绝伪造欺诈行为"。然而,PCI委员会一再强调,EMV并不是万能的,零售商和商家需要额外的安全控制,如点对点加密和标记化,以确保持卡人数据的安全。点对点加密将确保从信用卡读取的信息立即被加密,并通过安全通道传输到销售点系统。这将使受感染的PoS终端上的恶意软件更难从卡片数据中获取内存。
EMV也不会解决在线欺诈、盗取或其他类型的身份盗窃问题,专家预测,犯罪分子将在网上转移更多的努力。桑塔纳说,被盗的卡号仍有可能被用于网上购物,而且还会有更多的ACH欺诈、支票欺诈和账户接管的例子。
如果诈骗是一块大蛋糕,那么代表面对面假卡问题的那块蛋糕将会缩小,而在线诈骗的那块蛋糕将会变大。诈骗的蛋糕不会因为EMV而变得更小。
“一旦你封锁了一个载体,攻击者就会转向另一个,”Santhana说。
不转换是一个代价高昂的决定
在全国范围内更换硬件和软件以备emv使用是一项艰巨的任务,而且成本不菲。麦格劳估计成本高达数十亿美元。已经因数据泄露和易欺诈组织而遭受损失的零售商已经走上了更换的道路。例如,沃尔玛一年多前就换了。
麦格劳说,在塔吉特百货出现之前的几年里,告诉所有的商家他们必须出去买新的系统,这是一个很难说服他们的理由。从这个意义上说,零售违规行为也有一线希望,因为它促使银行和商家进行这种转变。
最小的企业可能不会那么积极地转换,因为它们必须吸收的交易额要小得多。桑萨纳指出,在干洗店这样的企业中,客户必须返回,这降低了欺诈交易的可能性。巴克斯利说,中型和大型零售商将无法承担欺诈的成本,也无法承受重大欺诈事件造成的声誉损害。
“这就像买保险。有些人不会买,但聪明的人会,”麦格劳说。
对于零售商来说,这是严格意义上的硬件改变,因为他们需要投资于新的读卡器和销售点系统,但也有相关成本,比如培训员工如何使用新系统。EMV延迟推出的部分原因还在于资源问题:商家必须等到他们的银行和支付网关/处理器通过EMV认证后才能部署硬件并进行测试,以确保新系统能够正常工作。
对于仍持观望态度的商家来说,还有另一个“胡萝卜”可以让这项工作变得有价值:面向未来,接受更现代的支付方式,比如非接触式支付。
对于那些想要利用谷歌钱包或Apple Pay的商家来说,升级到EMV可以同时解决这一变化。
这种转变可能有点艰难,但它使零售商能够利用即将到来的新变化。随着人们习惯了芯片卡、非接触式支付,甚至生物识别支付,未来的升级和改进将不再那么具有破坏性,这要感谢EMV。麦格劳补充说:“也许到2018年,我们可以足够智能地使用个人识别码。”
这个故事,"EMV为未来更好的支付奠定了基础"最初是由信息世界 .