Открыть сервис

EMV-стандарт

EMV-стандарт (Europay, Mastercard, Visa) — это глобальный технический стандарт для проведения платежей с использованием банковских карт и других платёжных инструментов, основанных на технологии чиповых микропроцессоров. Стандарт определяет требования к аппаратному и программному обеспечению карт, терминалов и процессинговых систем, обеспечивая единый протокол взаимодействия между участниками платёжной транзакции. Основное назначение EMV — повышение безопасности безналичных расчётов за счёт криптографической аутентификации карты и эмитента, а также предотвращение мошенничества, связанного с подделкой магнитной полосы.

История

Предпосылки создания

До широкого внедрения EMV основным способом аутентификации банковских карт была магнитная полоса. Данные на ней хранятся в открытом виде и легко считываются, копируются и подделываются. К концу 1990-х годов рост числа мошеннических операций с использованием скимминга (копирования данных магнитной полосы) и изготовления поддельных карт стал серьёзной проблемой для платёжной индустрии. Потери банков и торговых компаний исчислялись миллиардами долларов ежегодно.

Разработка и внедрение

В 1993 году три крупнейшие платёжные системы — Europay International, Mastercard International и Visa International — начали совместную работу над созданием единого стандарта для чиповых карт. Первая спецификация была опубликована в 1996 году. В 1999 году была основана компания EMVCo LLC, которая стала управляющей организацией, ответственной за развитие, поддержку и лицензирование стандарта.

Первоначально внедрение EMV шло неравномерно. Лидерами стали страны Европы и Азиатско-Тихоокеанского региона (например, Великобритания, Франция, Япония, Южная Корея). В США переход на EMV-карты начался значительно позже, в середине 2010-х годов, после массовых утечек данных из торговых сетей (Target, Home Depot). В России активное внедрение чиповых карт по стандарту EMV началось в середине 2000-х годов и к 2010-м годам стало массовым.

Современное состояние

По состоянию на 2024 год EMV является доминирующим стандартом для платёжных карт в мире. Более 90% всех выпускаемых банковских карт соответствуют требованиям EMV. Стандарт постоянно развивается: в него включаются новые технологии, такие как бесконтактные платежи (NFC), токенизация, биометрическая аутентификация и поддержка мобильных кошельков.

Классификация и версии

Стандарт EMV представляет собой набор спецификаций, которые делятся на несколько уровней и версий:

  • EMV Core Specifications (Ядро EMV) — базовые спецификации, описывающие логику работы чиповой карты, протоколы обмена данными между картой и терминалом, а также процедуры аутентификации. Включают в себя:
  • EMV Book 1 — общие требования и архитектура.
  • EMV Book 2 — интерфейсы и данные.
  • EMV Book 3 — спецификации приложений.
  • EMV Book 4 — требования к безопасности.
  • EMV Contactless Specifications (Спецификации бесконтактных платежей) — расширение стандарта для работы с картами и устройствами, использующими технологию NFC (Near Field Communication). Включают спецификации EMV Contactless (EMVCo) и EMV Contactless Kernel.
  • EMV Tokenization Specification (Спецификация токенизации) — описывает процесс замены реального номера карты (PAN) на уникальный токен для проведения платежей через мобильные устройства, интернет-магазины и другие цифровые каналы.
  • EMV 3-D Secure (3DS) — протокол для аутентификации держателя карты при онлайн-платежах. Версия 2.0 (3DS 2.0) была разработана для повышения безопасности и улучшения пользовательского опыта.
  • EMV Payment Tokenisation — спецификация для управления токенами в экосистеме платёжных сервисов.

Устройство и принцип работы

Физический носитель

EMV-карта представляет собой пластиковую карту стандартного размера (ISO/IEC 7810 ID-1) с встроенным микропроцессором (чипом). Чип содержит операционную систему, криптографические ключи и приложения, управляющие платёжными функциями. Карта может иметь контактный интерфейс (золотые контакты на поверхности) и/или бесконтактный интерфейс (антенна, встроенная в пластик).

Логика работы

Процесс EMV-транзакции включает несколько этапов:

  1. Инициализация: Терминал подаёт питание на чип карты (при контактном способе) или активирует антенну (при бесконтактном). Карта отправляет терминалу список поддерживаемых приложений.
  2. Выбор приложения: Терминал выбирает подходящее приложение (например, Visa или Mastercard) на основе данных, полученных от карты, и своих настроек.
  3. Аутентификация карты: Терминал проверяет подлинность карты. Это может быть сделано несколькими способами:
  • SDA (Static Data Authentication) — статическая аутентификация. Терминал проверяет цифровую подпись, записанную на карте. Не защищает от клонирования карты.
  • DDA (Dynamic Data Authentication)динамическая аутентификация. Карта генерирует уникальный криптографический код для каждой транзакции, что делает клонирование практически невозможным.
  • CDA (Combined DDA/Application Cryptogram) — комбинированная аутентификация. Одновременно проверяется подлинность карты и генерируется криптограмма для авторизации.
  1. Верификация держателя карты: Терминал проверяет, что карта используется законным владельцем. Способы:
  • PIN (Personal Identification Number) — ввод PIN-кода. PIN может проверяться офлайн (на карте) или онлайн (на сервере эмитента).
  • Подпись — традиционная подпись на чеке.
  • Без верификации — для сумм ниже лимита (например, при бесконтактных платежах).
  1. Авторизация: Терминал отправляет запрос на авторизацию в процессинговый центр, который связывается с банком-эмитентом. Эмитент проверяет доступные средства, лимиты и историю операций. В ответ эмитент может одобрить или отклонить транзакцию, а также запросить дополнительную аутентификацию (например, 3-D Secure).
  2. Генерация криптограммы: Карта генерирует уникальный криптографический код (Application Cryptogram), который подтверждает, что транзакция была проведена с использованием подлинной карты. Этот код передаётся эмитенту для проверки.
  3. Завершение: Терминал выводит результат транзакции (успех/отказ) и печатает чек.

Безопасность

EMV-стандарт значительно повышает безопасность платежей по сравнению с магнитной полосой. Основные механизмы защиты:

  • Криптографическая аутентификация: Каждая карта содержит уникальный секретный ключ, который используется для генерации цифровых подписей и криптограмм. Подделать такой ключ без физического доступа к чипу практически невозможно.
  • Динамический код: В отличие от статического номера карты, EMV-транзакция генерирует уникальный код для каждой операции. Даже если злоумышленник перехватит данные одной транзакции, он не сможет их использовать для другой.
  • Офлайн-аутентификация: Карта может проверять подлинность карты и PIN-кода без подключения к банку, что ускоряет транзакции и снижает нагрузку на сети.
  • Токенизация: Замена реального номера карты на токен позволяет проводить платежи через мобильные устройства и интернет без риска раскрытия конфиденциальных данных.

Применение

EMV-стандарт используется во всех типах операций с банковскими картами:

  • Платежи в торговых точках (POS-терминалы): Основная область применения. Карты вставляются в терминал (контактный способ) или прикладываются к нему (бесконтактный).
  • Банкоматы (ATM): Снятие наличных, проверка баланса, пополнение счёта.
  • Онлайн-платежи (e-commerce): Через протокол 3-D Secure (3DS) и токенизацию.
  • Мобильные платежи: Apple Pay, Google Pay, Samsung Pay и другие сервисы используют токенизированные версии EMV-карт.
  • Транспортные системы: В некоторых городах (например, Лондон, Нью-Йорк) EMV-карты используются для оплаты проезда в метро и автобусах.

Критика и ограничения

Несмотря на широкое распространение, EMV-стандарт имеет ряд недостатков:

  • Сложность внедрения: Разработка и сертификация EMV-карт и терминалов требуют значительных затрат. Небольшие банки и торговые компании могут испытывать трудности с переходом.
  • Скорость: Контактные EMV-транзакции могут быть медленнее, чем операции с магнитной полосой, особенно на старых терминалах.
  • Уязвимости: Несмотря на высокую безопасность, EMV не является абсолютно неуязвимым. Известны случаи атак на терминалы (например, с помощью специальных устройств, считывающих данные с чипа при контакте) и уязвимости в протоколах бесконтактных платежей.
  • Ограниченная поддержка: Не все банки и страны полностью перешли на EMV. В некоторых регионах (например, в ряде стран Африки и Латинской Америки) по-прежнему широко используются карты с магнитной полосой.
  • Зависимость от инфраструктуры: EMV требует наличия совместимых терминалов, процессинговых центров и банковских систем. В условиях слабой инфраструктуры внедрение затруднено.

Источники

  • EMVCo. EMV Specifications. — EMVCo, LLC, 2023.
  • Mastercard. EMV Chip Technology: A Technical Overview. — Mastercard Worldwide, 2020.
  • Visa. EMV Chip Card Acceptance Guide. — Visa Inc., 2021.
  • Банк России. Стандарты безопасности платёжных карт. — Центральный банк Российской Федерации, 2022.
  • ISO/IEC 7816. Identification cards — Integrated circuit cards. — International Organization for Standardization, 2020.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →