EMV-стандарт
EMV-стандарт (Europay, Mastercard, Visa) — это глобальный технический стандарт для проведения платежей с использованием банковских карт и других платёжных инструментов, основанных на технологии чиповых микропроцессоров. Стандарт определяет требования к аппаратному и программному обеспечению карт, терминалов и процессинговых систем, обеспечивая единый протокол взаимодействия между участниками платёжной транзакции. Основное назначение EMV — повышение безопасности безналичных расчётов за счёт криптографической аутентификации карты и эмитента, а также предотвращение мошенничества, связанного с подделкой магнитной полосы.
История
Предпосылки создания
До широкого внедрения EMV основным способом аутентификации банковских карт была магнитная полоса. Данные на ней хранятся в открытом виде и легко считываются, копируются и подделываются. К концу 1990-х годов рост числа мошеннических операций с использованием скимминга (копирования данных магнитной полосы) и изготовления поддельных карт стал серьёзной проблемой для платёжной индустрии. Потери банков и торговых компаний исчислялись миллиардами долларов ежегодно.
Разработка и внедрение
В 1993 году три крупнейшие платёжные системы — Europay International, Mastercard International и Visa International — начали совместную работу над созданием единого стандарта для чиповых карт. Первая спецификация была опубликована в 1996 году. В 1999 году была основана компания EMVCo LLC, которая стала управляющей организацией, ответственной за развитие, поддержку и лицензирование стандарта.
Первоначально внедрение EMV шло неравномерно. Лидерами стали страны Европы и Азиатско-Тихоокеанского региона (например, Великобритания, Франция, Япония, Южная Корея). В США переход на EMV-карты начался значительно позже, в середине 2010-х годов, после массовых утечек данных из торговых сетей (Target, Home Depot). В России активное внедрение чиповых карт по стандарту EMV началось в середине 2000-х годов и к 2010-м годам стало массовым.
Современное состояние
По состоянию на 2024 год EMV является доминирующим стандартом для платёжных карт в мире. Более 90% всех выпускаемых банковских карт соответствуют требованиям EMV. Стандарт постоянно развивается: в него включаются новые технологии, такие как бесконтактные платежи (NFC), токенизация, биометрическая аутентификация и поддержка мобильных кошельков.
Классификация и версии
Стандарт EMV представляет собой набор спецификаций, которые делятся на несколько уровней и версий:
- EMV Core Specifications (Ядро EMV) — базовые спецификации, описывающие логику работы чиповой карты, протоколы обмена данными между картой и терминалом, а также процедуры аутентификации. Включают в себя:
- EMV Book 1 — общие требования и архитектура.
- EMV Book 2 — интерфейсы и данные.
- EMV Book 3 — спецификации приложений.
- EMV Book 4 — требования к безопасности.
- EMV Contactless Specifications (Спецификации бесконтактных платежей) — расширение стандарта для работы с картами и устройствами, использующими технологию NFC (Near Field Communication). Включают спецификации EMV Contactless (EMVCo) и EMV Contactless Kernel.
- EMV Tokenization Specification (Спецификация токенизации) — описывает процесс замены реального номера карты (PAN) на уникальный токен для проведения платежей через мобильные устройства, интернет-магазины и другие цифровые каналы.
- EMV 3-D Secure (3DS) — протокол для аутентификации держателя карты при онлайн-платежах. Версия 2.0 (3DS 2.0) была разработана для повышения безопасности и улучшения пользовательского опыта.
- EMV Payment Tokenisation — спецификация для управления токенами в экосистеме платёжных сервисов.
Устройство и принцип работы
Физический носитель
EMV-карта представляет собой пластиковую карту стандартного размера (ISO/IEC 7810 ID-1) с встроенным микропроцессором (чипом). Чип содержит операционную систему, криптографические ключи и приложения, управляющие платёжными функциями. Карта может иметь контактный интерфейс (золотые контакты на поверхности) и/или бесконтактный интерфейс (антенна, встроенная в пластик).
Логика работы
Процесс EMV-транзакции включает несколько этапов:
- Инициализация: Терминал подаёт питание на чип карты (при контактном способе) или активирует антенну (при бесконтактном). Карта отправляет терминалу список поддерживаемых приложений.
- Выбор приложения: Терминал выбирает подходящее приложение (например, Visa или Mastercard) на основе данных, полученных от карты, и своих настроек.
- Аутентификация карты: Терминал проверяет подлинность карты. Это может быть сделано несколькими способами:
- SDA (Static Data Authentication) — статическая аутентификация. Терминал проверяет цифровую подпись, записанную на карте. Не защищает от клонирования карты.
- DDA (Dynamic Data Authentication) — динамическая аутентификация. Карта генерирует уникальный криптографический код для каждой транзакции, что делает клонирование практически невозможным.
- CDA (Combined DDA/Application Cryptogram) — комбинированная аутентификация. Одновременно проверяется подлинность карты и генерируется криптограмма для авторизации.
- Верификация держателя карты: Терминал проверяет, что карта используется законным владельцем. Способы:
- PIN (Personal Identification Number) — ввод PIN-кода. PIN может проверяться офлайн (на карте) или онлайн (на сервере эмитента).
- Подпись — традиционная подпись на чеке.
- Без верификации — для сумм ниже лимита (например, при бесконтактных платежах).
- Авторизация: Терминал отправляет запрос на авторизацию в процессинговый центр, который связывается с банком-эмитентом. Эмитент проверяет доступные средства, лимиты и историю операций. В ответ эмитент может одобрить или отклонить транзакцию, а также запросить дополнительную аутентификацию (например, 3-D Secure).
- Генерация криптограммы: Карта генерирует уникальный криптографический код (Application Cryptogram), который подтверждает, что транзакция была проведена с использованием подлинной карты. Этот код передаётся эмитенту для проверки.
- Завершение: Терминал выводит результат транзакции (успех/отказ) и печатает чек.
Безопасность
EMV-стандарт значительно повышает безопасность платежей по сравнению с магнитной полосой. Основные механизмы защиты:
- Криптографическая аутентификация: Каждая карта содержит уникальный секретный ключ, который используется для генерации цифровых подписей и криптограмм. Подделать такой ключ без физического доступа к чипу практически невозможно.
- Динамический код: В отличие от статического номера карты, EMV-транзакция генерирует уникальный код для каждой операции. Даже если злоумышленник перехватит данные одной транзакции, он не сможет их использовать для другой.
- Офлайн-аутентификация: Карта может проверять подлинность карты и PIN-кода без подключения к банку, что ускоряет транзакции и снижает нагрузку на сети.
- Токенизация: Замена реального номера карты на токен позволяет проводить платежи через мобильные устройства и интернет без риска раскрытия конфиденциальных данных.
Применение
EMV-стандарт используется во всех типах операций с банковскими картами:
- Платежи в торговых точках (POS-терминалы): Основная область применения. Карты вставляются в терминал (контактный способ) или прикладываются к нему (бесконтактный).
- Банкоматы (ATM): Снятие наличных, проверка баланса, пополнение счёта.
- Онлайн-платежи (e-commerce): Через протокол 3-D Secure (3DS) и токенизацию.
- Мобильные платежи: Apple Pay, Google Pay, Samsung Pay и другие сервисы используют токенизированные версии EMV-карт.
- Транспортные системы: В некоторых городах (например, Лондон, Нью-Йорк) EMV-карты используются для оплаты проезда в метро и автобусах.
Критика и ограничения
Несмотря на широкое распространение, EMV-стандарт имеет ряд недостатков:
- Сложность внедрения: Разработка и сертификация EMV-карт и терминалов требуют значительных затрат. Небольшие банки и торговые компании могут испытывать трудности с переходом.
- Скорость: Контактные EMV-транзакции могут быть медленнее, чем операции с магнитной полосой, особенно на старых терминалах.
- Уязвимости: Несмотря на высокую безопасность, EMV не является абсолютно неуязвимым. Известны случаи атак на терминалы (например, с помощью специальных устройств, считывающих данные с чипа при контакте) и уязвимости в протоколах бесконтактных платежей.
- Ограниченная поддержка: Не все банки и страны полностью перешли на EMV. В некоторых регионах (например, в ряде стран Африки и Латинской Америки) по-прежнему широко используются карты с магнитной полосой.
- Зависимость от инфраструктуры: EMV требует наличия совместимых терминалов, процессинговых центров и банковских систем. В условиях слабой инфраструктуры внедрение затруднено.
Источники
- EMVCo. EMV Specifications. — EMVCo, LLC, 2023.
- Mastercard. EMV Chip Technology: A Technical Overview. — Mastercard Worldwide, 2020.
- Visa. EMV Chip Card Acceptance Guide. — Visa Inc., 2021.
- Банк России. Стандарты безопасности платёжных карт. — Центральный банк Российской Федерации, 2022.
- ISO/IEC 7816. Identification cards — Integrated circuit cards. — International Organization for Standardization, 2020.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →