PIN kód a bezpečnosť platby cez internet

PIN kód a bezpečnosť platby cez internet

Až do zavedenia kódu PIN všetky transakcie s kreditnými alebo debetnými kartami zahŕňali použitie magnetického prúžku alebo mechanického odtlačku na čítanie a zaznamenávanie údajov účtu a podpis na účely overenia totožnosti. Zákazník odovzdá svoju kartu predajcovi na pokladni v mieste predaja, ktorý buď pretiahne kartu cez magnetickú čítaciu jednotku, alebo urobí odtlačok z vyvýšeného textu karty. V prvom prípade systém overí podrobnosti o účte a vytlačí pre zákazníka podpis – article utile. V prípade mechanického odtlačku sa vyplnia údaje o transakcii, prekonzultuje sa zoznam ukradnutých čísiel a zákazník podpíše vytlačený doklad. V obidvoch prípadoch musí pokladník overiť, či sa podpis zákazníka zhoduje so zadaním karty na overenie transakcie.

Používanie podpisu na karte ako metóda overovania má niekoľko bezpečnostných nedostatkov, z ktorých najzrejmejšia je relatívna ľahkosť, s ktorou môžu karty odcudzené skôr, ako ich môžu legitímni majitelia nahlásiť ako ukradnuté. Ďalšia zahŕňa vymazanie a výmenu legitímneho podpisu a ďalší sa týka falšovania správneho podpisu na karte. Nedávno bola na čiernom trhu k dispozícii technológia na čítanie aj zapisovanie magnetických pruhov, čím sa karty ľahko klonujú a používajú bez vedomia majiteľa.

Prvým štandardom pre inteligentné platobné karty bol Carte Bancaire M4 od Bull-CP8 nasadený vo Francúzsku v roku 1986, po ktorom nasledoval model B4B0 (kompatibilný s M4) nasadeným v roku 1989. Nový štandard EMV bol navrhnutý tak, aby karty a terminály boli spätne kompatibilné s týmito normami. Francúzsko odvtedy migrovalo svoju infraštruktúru kariet a terminálov do spoločnosti EMV.

Norma EMV bola pôvodne napísaná v rokoch 1993 a 1994. Spoločnosť JCB vstúpila do konzorcia vo februári 2009, China UnionPay v máji 2013. Poďme si zhrnúť niektoré rozdiely a výhody EMV. Existujú dva hlavné výhody prechodu na platobné systémy založené na inteligentných kreditných kartách: zlepšenie bezpečnosti (s následným znížením počtu podvodov) a možnosť jemnejšej kontroly schválení transakcií kreditnou kartou takzvane offline. Jedným z pôvodných cieľov EMV bolo zabezpečiť viac aplikácií na karte: pre žiadosť o kreditnú a debetnú kartu alebo elektronickú peňaženku. Podľa súčasných predpisov týkajúcich sa spracovania v Spojených štátoch nové debetné karty od vydania obsahujú dve aplikácie – žiadosť o asociáciu kariet (Visa, MasterCard atď., meilleur lisseur) a bežnú debetnú aplikáciu.

Transakcie s čipovou kartou EMV zlepšujú bezpečnosť proti podvodom v porovnaní s transakciami s kartami s magnetickým prúžkom, ktoré sa spoliehajú na podpis držiteľa a vizuálnu kontrolu karty či kontrolu funkcií, ako je hologram. Použitie kódu PIN a kryptografických algoritmov ako Triple DES, RSA a SHA poskytuje autentifikáciu karty spracovateľskému terminálu a hostiteľskému systému emitenta karty. Čas spracovania je porovnateľný s online transakciami, pri ktorých sa komunikácia oneskoruje vo väčšine prípadov, zatiaľ čo kryptografické operácie na termináli trvajú pomerne krátko. Predpokladaná zvýšená ochrana pred podvodmi umožnila bankám a emitentom kreditných kariet presadzovať zmenu zodpovednosti, takže obchodníci sú teraz zodpovední (od 1. januára 2005 v regióne EÚ a 1. októbra 2015 v USA) za akýkoľvek podvod, ktorý vyplýva z transakcií na systémoch, ktoré nie sú schopné využívať EMV. Hoci to nie je jediná možná metóda, väčšina implementácií kariet EMV a terminálov potvrdzuje totožnosť držiteľa karty tým, že vyžaduje zadanie osobného identifikačného čísla (PIN) namiesto podpisu dokladu o papierovej kópii. Bez ohľadu na to, či ide o autentifikáciu PIN, závisí od možností terminálu a programovania karty.