为什么大多数商家都错过了EMV的截止日期?

上周五的10月1日的最后期限所谓EMV或“芯片密码”信用卡技术取代1960年代建造的“swipe-and-signature”磁条卡系统不应该是一个惊喜的支付卡行业的主要参与者(PCI)——商人、发卡机构和银行。

四年前的8月，作为EMV标准的三家开发商之一的Visa(以及Europay和万事达卡)宣布，它将在美国转向EMV (EMV在欧洲已经使用了十多年)。的EMV迁移论坛由智能卡联盟于2012年7月创建。

在过去一年半的时间里，这一数字一直在稳步上升报告他还警告称，如果商家或发卡机构没有EMV技术，他们可能要为信用卡欺诈使用付出代价。

但是，根据有多少参与者在最后期限前完成了任务，看起来很多人都没有意识到或者忽略了它。上周估计，没有新支付终端的商家的比例从50%到75%不等。

[关于CSO:预测EMV推出的赢家和输家]

‎高级分析师Gilles Ubaghs卵子的金融服务技术的独立分析师和咨询公司指出,他的公司发现,“30.2%的商人说,他们从未听说过EMV,今年年初,另有36.8%报告他们没有兴趣在未来推出EMV。”

另一个调查Randstad Technologies的研究发现，“直到今年夏天，42%的企业要么还没有采取任何措施，要么没有意识到转型的任何进展。”

电子交易协会的首席执行官杰森·奥克斯曼引用了美国电子交易协会的数据调查在上周的截止日期前，只有27%的美国商家准备好了emv。预计到12月，这一比例将升至44%，但要到2017年才能达到90%。

他说，调查显示，发卡机构做得更好，70%的发卡机构将在今年年底发行具有emv功能的信用卡。

NICE Actimize的副总裁Joram Borenstein，报道去年4月，他在大波士顿地区进行了一项不太科学但更有趣的个人调查，在那里他试图在十多家品牌连锁店和独立零售商使用自己信用卡的芯片部分。

“在大多数情况下，柜台后面的店员根本不知道我在做什么……他们看起来几乎总是很生气，让我刷卡;我想他们认为我疯了，”他写道，并补充说他认为波士顿是典型的，“几乎没有人准备好了芯片和pin。商人们肯定不会……”

一个明显的问题是:为什么?特别是考虑到责任风险。特别是EMV使得“卡片现钞”交易更不容易受到欺诈，而美国目前在这一网络犯罪领域处于世界领先地位。

更不用说美国了美国以自己是世界上技术最先进的国家之一而自豪，但在实施这项技术方面却落后于大多数其他国家。

[关于CSO:EMV是解决信用卡诈骗的灵丹妙药吗?]

根据专家的说法，有很多原因。首先，最后期限不是法律。不符合规定的，将不会受到罚款或刑事制裁。

报道最多的采用这种方法的“动机”是所谓的“责任转移”，这意味着，无论哪一方——商户还是发卡机构——拥有“较少”的技术，都将被追究欺诈交易的责任。

安全分析师、Securosis首席技术官阿德里安•莱恩(Adrian Lane)在最近的一项研究中提出纸有比责任更涉及转变——大部分是很好的商人,但他说的阻力变化是因为,”商人被要求承担巨大的成本和运营中断解决银行业问题而不是一个商人的问题。”

他补充说，这比“直接的装备交换”要复杂得多。

商人咨询集团(Merchant Advisory Group)首席执行官马克•霍维德尔(Mark Horwedel)对此表示赞同。他说，这种转变的大部分负担，尤其是经济负担，都落在商人身上。

“这是强加给商家的最复杂、最昂贵的POS项目。他们让我们为转换支付75%的费用。”他补充说，在欧洲，网络降低了他们的交换费，或者提出分担一些安装新设备的成本。他说，除此之外，美国商户支付的交易费用是欧洲的七到八倍。

“信用卡是一种银行产品，”他说，“从表面上看，它们是不安全的，但这个行业做了一边倒的努力，把(提高信用卡安全性的)费用转移给了商家。”

他还抱怨轮班时间过长。“四年是不够的，”他说。“在加拿大是8到10年。这是一次巨大的改革。”

Randstad的解决方案总监Dick Mitchell说，消费者对EMV系统的需求并没有太大的推动力，“所以很多企业都没有感觉到系统升级的紧迫性。部分原因是消费者历来不承担这种责任，但也缺乏相关教育。”

他说，可能会发生另一起大规模的零售数据泄露事件，比如at目标2013年底，“在这些零售商身上点燃了火。”

安全专家也警告说，美国版本的EMV不像欧洲版本那样安全，因为许多银行允许使用“芯片和签名”，而不要求客户输入个人密码。

Ubaghs表示，这样的举动“极大地降低了EMV的有效性，因为你删除了EMV的两个认证要素之一。”扒手仍然可以使用你的信用卡，伪造你的签名。这是美国的糟糕举动，会削弱安全。”

他和其他人指出，其他所有市场的消费者都在使用个人识别码，而美国消费者使用借记卡和自动取款机。

他们说，主要原因是发卡机构和银行担心，如果要求客户输入密码，他们就不会经常使用信用卡。Ubaghs说:“他们可能会陷入钱包危机，甚至是消费者放弃信用卡。”“记住一张卡上的密码并不是那么困难，但如果你有五六张卡，如果你有太多的密码，你可能会更换或放弃一些。”

Lane在他的论文中警告说，至少到目前为止，EMV的另一个缺陷是，它“没有强制使用点对点加密(P2PE)，更别提完整的端到端加密了。”如果没有使用代币，主账号数据和其他数据仍然以明文传输。”

缺乏加密是导致塔吉特被入侵造成灾难性后果的原因之一。

令牌问题正在得到解决，奥克斯曼说，“新的，尖端技术的部署，连同EMV为我们复杂的网络提供了多层防御。”标记化可以通过用不能被拦截的一次性使用令牌替换帐户信息来防止未来的数据泄露。”

尽管如此，正如许多专家指出的，甚至EMV的拥护者也承认，EMV对在线或“无卡”交易没有提供安全改进。

但它的支持者指出，有证据表明它能遏制欺诈行为。“我们从EMV芯片在世界上已经成熟的地区所知道的是，”PCI安全标准理事会的国际主管Jeremy King说，“无论EMV芯片如何被实现，它都能显著减少销售点的伪造欺诈行为。”

Lane同意，更好的安全性，更不用说减少欺诈责任，是采用EMV的很好的理由。但是，他在他的论文中指出，与即将到来的更重要的转变——移动支付的好处相比，它们都是次要的。

他写道，像星巴克这样的公司已经“确凿地证明了消费者将使用手机支付。”

他认为，“从被动磁条卡到智能卡的转变是一个巨大的飞跃，但从塑料卡到智能手机将相当于支付行业从马到汽车的转变。”

在他的论文中，他详细阐述了很多细节，但总结了他所说的，“商家的大量优势(从移动支付)，以最小到没有运营中断，包括:

• 更好的客户体验
• 更好的跟踪和分析
• 通过引用标记更好地检测欺诈
• 实现不丢失功能的P2PE
• 通过系统地删除PAN数据减少潜在的破坏

他说:“这是在大肆宣传减少债务的基础上进行的。”

这篇文章，“为什么大多数商家都错过了EMV的截止日期?方案 。