塔吉特公司(Target)发生大规模数据泄露事件后,信用卡行业加强支付卡安全的努力似乎演变成了零售商和信用卡公司之间的芯片与密码技术之争。
万事达和Visa希望所有美国零售商在2015年10月之前安装能够接受欧洲支付万事达Visa (EMV)智能卡的支付终端,否则将面临更大的违约责任风险。
EMV芯片卡在世界各地广泛使用,被认为比磁条卡安全得多,尤其是与个人识别号码(PIN)一起使用时。
然而,零售商不得不承担向EMV转移的大部分成本,他们表示,只要对所有信用卡和借记卡交易实施强制性的PIN要求,就有可能迅速提高美国支付卡的安全性。
他们说,就像从atm机取款需要pin码一样,所有的支付卡交易也需要pin码。
周三,美国零售联合会在参议院商业、科学和交通委员会的一份声明中说:“用个人密码而不是签名来保护所有银行卡是可以迅速采取的最重要的防欺诈措施。”
声明指出PIN借记卡在世界范围内的广泛使用,并指出:“这是经过验证的,它的有效性和相对容易实现的。”芯片是一个理想的附加组件。如果以实现速度为重点,则采用引脚替代签名比采用芯片实现更好。
NRF指出,美国支付卡安全的最大问题之一是,信用卡公司只需要信用卡交易的签名。pin已经被证明是一种更好的验证用户身份的方法,在减少欺诈方面比签名更好。
NRF对参议院委员会表示:“PIN交易造成的欺诈损失是签名交易的六分之一。”然而,NRF声称,信用卡公司拒绝将其作为一项要求,因为他们可以从基于签名的交易中收取更多的费用。
该行业组织承认,EMV芯片卡将是向正确方向迈出的一步,但前提是该芯片卡必须与个人密码一起使用。
在美国,Visa和万事达都不坚持对智能卡进行PIN认证。取而代之的是,持卡人将能够通过签名验证自己的身份,就像他们目前使用磁条卡所做的那样。
Visa公司指出,增加PIN要求将大大增加EMV迁移的成本和完成迁移所需的时间。他们说芯片卡,即使没有密码,也比磁条卡安全得多。
NRF和其他零售集团认为,使用不带密码的芯片卡削弱了芯片技术的防欺诈优势。商家将花费数十亿美元安装符合emv的读卡器,但无论是商家还是消费者都不会从这项技术中完全受益。
“我们基本上会花费数十亿来结合1990年代技术(芯片)和1960年代的遗物(签名)面对21世纪的威胁,“贸易机构说。
代表全球数万商家的美国零售联合会发言人周三坚称,该协会并不是说智能卡无处容身。“我们只是说PIN是最受欢迎的。信用卡公司坚持认为,采用密码将减缓转型。如果是这样的话,那么只需使用PIN而不是芯片,”他说。
NRF周三向参议院委员会表示,端到端加密和标记化等其他技术手段也提供了巨大的防欺诈潜力,成本更低,被EMV等专有手段锁定的风险更小。
Gartner的分析师阿维娃•利坦(Avivah Litan)表示,PIN认证和签名认证的争论很大程度上与金钱有关。
“这都是银行想要最大化收益的问题,”Litan说。“输入密码后,他们从商家那里赚取的费用会更低。银行提倡一种不太安全的方法,这绝对是荒谬的。这都是因为他们想从商家那里赚到最多的钱。”
这已经不是美国商户和信用卡公司第一次就支付卡安全问题发生争执了。
像NRF这样的组织坚持认为,商家被要求承担不公平的部分成本,以加强信用卡和借记卡的安全,以及由数据泄露导致的欺诈成本,就像几个月前在塔吉特发生的那样。NRF说,根据2009年的一份分析师报告,据一些人估计,商户最终为未经授权的交易支付了90%的成本,而金融机构的这一比例为10%。
该协会称,尽管如此,零售商在如何保护信用卡和借记卡数据和交易方面几乎没有发言权,而是"任由占主导地位的信用卡公司摆布"。
Visa和万事达没有立即回应置评请求。
这篇文章中,支付卡安全改造成为芯片与PIN大战,最初发表于Computerworld.com。
Jaikumar Vijayan为计算机世界涵盖数据安全和隐私问题,金融服务安全和电子投票。在推特上关注Jaikumar@jaivijayan或订阅Jaikumar的RSS提要。他的电子邮件地址是jvijayan@computerworld.com。
看到Jaikumar Vijayan在Computerworld.com报道更多内容。
阅读更多关于金融it的内容在计算机世界的金融IT主题中心。
这篇文章,“支付卡安全改造成为芯片与PIN之争”最初发表于《计算机世界》 。