EMV
EMV — это международный стандарт для пластиковых банковских карт и терминалов оплаты, основанный на использовании микропроцессорных чипов. Название происходит от первых букв компаний-разработчиков: Europay, Mastercard и Visa. Стандарт определяет физические характеристики карты, протоколы взаимодействия чипа с терминалом и методы криптографической защиты транзакций, обеспечивая более высокий уровень безопасности по сравнению с традиционными картами с магнитной полосой.
История
Разработка стандарта EMV началась в 1993 году, когда ведущие платёжные системы осознали необходимость в едином глобальном стандарте для чиповых карт. До этого каждая система (Visa, Mastercard, Europay) использовала собственные протоколы, что создавало несовместимость оборудования. В 1996 году была опубликована первая версия спецификации EMV 96.
Первое крупное внедрение произошло в Европе. К 2005 году большинство европейских стран перешло на чиповые карты, что значительно снизило уровень мошенничества с подделкой пластика. В России массовое внедрение карт с чипом EMV началось в середине 2000-х годов, а к 2010-м годам практически все эмитируемые банковские карты стали чиповыми.
В 2015 году в США произошёл так называемый «EMV-сдвиг» — переход от карт с магнитной полосой к чиповым картам, вызванный ужесточением требований со стороны платёжных систем и ростом убытков от мошенничества. В настоящее время EMV является доминирующим стандартом для карточных платежей в мире, хотя в некоторых странах (например, в Японии) существуют альтернативные национальные стандарты.
Архитектура и принципы работы
Физический интерфейс
Карта EMV содержит встроенный микропроцессор (чип) с контактной площадкой. Чип имеет собственную операционную систему (например, Java Card или MULTOS), память и криптографический сопроцессор. При вставке карты в терминал происходит электрическое соединение контактов чипа с контактами терминала, после чего начинается обмен данными.
Протокол обмена
Взаимодействие между картой и терминалом строится по принципу «запрос-ответ». Терминал отправляет команды (например, «выбери приложение», «выполни криптограмму»), а карта возвращает результаты. Ключевые этапы транзакции:
- Выбор приложения — карта сообщает терминалу, какие платёжные приложения (Visa, Mastercard, МИР) она поддерживает.
- Инициализация — терминал считывает данные о карте (номер, срок действия, лимиты).
- Аутентификация — проверка подлинности карты с помощью криптографических алгоритмов.
- Авторизация — получение разрешения от эмитента (банка-владельца карты) на проведение операции.
- Генерация криптограммы — карта создаёт уникальный цифровой код транзакции, который невозможно подделать.
Бесконтактные технологии
Стандарт EMV поддерживает бесконтактные платежи через интерфейс NFC (Near Field Communication). Для этого используется спецификация EMV Contactless (ранее — PayPass от Mastercard и payWave от Visa). Бесконтактная транзакция занимает доли секунды и не требует ввода PIN-кода для сумм ниже установленного лимита (в России — до 1000 рублей).
Ключевые компоненты безопасности
Динамическая аутентификация
Главное преимущество EMV перед магнитной полосой — использование динамических данных. При каждой транзакции чип генерирует уникальный код (криптограмму), который зависит от суммы, времени и других параметров. Даже если злоумышленник перехватит данные одной операции, он не сможет использовать их для другой.
Офлайн-авторизация
Карта EMV может выполнять авторизацию без связи с банком-эмитентом, используя локальные лимиты и списки стоп-листов, хранящиеся в чипе. Это позволяет проводить платежи в местах с плохой связью (например, в самолётах или отдалённых регионах).
DDA и CDA
В спецификации EMV предусмотрены два уровня аутентификации:
- DDA (Dynamic Data Authentication) — динамическая аутентификация данных, при которой карта доказывает подлинность с помощью цифровой подписи.
- CDA (Combined DDA/AC) — комбинированная аутентификация, объединяющая проверку подлинности и генерацию криптограммы в одном шаге.
Виды и версии стандарта
EMV 4.x (классический)
Базовая версия, используемая для контактных карт. Включает все основные протоколы аутентификации и авторизации.
EMV Contactless
Расширение для бесконтактных платежей. Определяет спецификации радиоинтерфейса, протоколы быстрой транзакции и меры по предотвращению коллизий (когда несколько карт находятся в поле считывателя).
EMV 3DS (3-D Secure)
Не путать с основным стандартом. 3-D Secure — это протокол для аутентификации держателя карты при онлайн-платежах, разработанный на основе принципов EMV. Текущая версия — EMV 3DS 2.0, поддерживающая биометрию и мобильные устройства.
EMV Tokenization
Стандарт токенизации, при котором реальный номер карты заменяется на уникальный цифровой токен. Используется в мобильных кошельках (Apple Pay, Google Pay) и для платежей через интернет.
Применение в России
В России стандарт EMV является основным для всех банковских карт, включая национальную платёжную систему «Мир». Карты «Мир» полностью совместимы с EMV на уровне протоколов, хотя используют собственную криптографическую подсистему. Бесконтактные платежи по стандарту EMV Contactless поддерживаются всеми современными российскими терминалами.
С 2019 года в России действует обязательное требование к эмиссии карт только с чипом EMV. Карты с магнитной полосой больше не выпускаются, хотя существующие могут использоваться до истечения срока действия.
Критика и ограничения
Несмотря на высокий уровень безопасности, EMV не лишён недостатков:
- Сложность внедрения — переход на чиповые карты требует замены всей инфраструктуры (терминалы, банкоматы, процессинговые системы), что связано с большими затратами.
- Уязвимость к атакам «человек посередине» — в некоторых реализациях возможны атаки на протокол обмена между картой и терминалом, хотя они требуют физического доступа к оборудованию.
- Отсутствие защиты от мошенничества в интернете — EMV защищает только физические транзакции; для онлайн-платежей требуются дополнительные меры (3-D Secure, CVV2).
- Проблемы с совместимостью — некоторые старые терминалы не поддерживают новые версии EMV, что может вызывать сбои при оплате.
Перспективы развития
Современные тенденции в развитии EMV включают:
- Усиление биометрической аутентификации — интеграция отпечатков пальцев и распознавания лица непосредственно в карту.
- Динамический CVV — изменение трёхзначного кода на обратной стороне карты через заданные интервалы времени.
- Интеграция с IoT — использование EMV-протоколов для платежей через умные устройства (автомобили, холодильники, часы).
- Квантово-устойчивая криптография — разработка алгоритмов, защищённых от атак с использованием квантовых компьютеров.
Источники
- EMVCo. «EMV Integrated Circuit Card Specifications for Payment Systems». Version 4.3, 2011.
- Mastercard Worldwide. «The EMV Standard: A Technical Overview». 2015.
- Visa Inc. «EMV Chip Technology: Security and Implementation Guide». 2018.
- Банк России. «Стандарты эмиссии платёжных карт в Российской Федерации». Указание № 5341-У, 2020.
- Ассоциация «ФинТех». «Технологии бесконтактных платежей: анализ и перспективы». Москва, 2022.
- Anderson R. «Security Engineering: A Guide to Building Dependable Distributed Systems». 3rd ed., Wiley, 2020.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →