昨天是最后期限。最后,美国正在从传统的信用2020欧洲杯夺冠热门卡交易刷卡方式转向更安全的基于芯片的EMV系统方案(针对Europay、万事达和Visa,它们共同开创了这项技术)。
这种芯片更难伪造,而且与磁条不同的是,它不容易识别和复制,而这正是信用卡造假者长期以来所做的。在其他国家,这种芯片与个人识别码(PIN)相连,所以如果有人偷了卡,除非他们也知道你的个人识别码,否则他们无法使用它。然而,美国的银行并不要求使用带有芯片卡的大头针;在这里仍然使用旧式的、与安全性无关的签名。
多年来,EMV安全支付技术在欧洲和加拿大已经无处不在,但在美国却没有引起重视,因为银行和商家不愿做出必要的改变。2020欧洲杯夺冠热门他们不仅要更换读卡器,还要更换后端系统,以适应基于芯片的卡片,而且他们认为欺诈成本低于转换成本。
然而,巨大的违反在目标2013年,由于担心罪犯会用假卡充斥市场,人们开始转向EMV支付技术。国会甚至威胁要采取行动,奥巴马总统去年秋天下令联邦机构使用EMV终端,以刺激行业变革。
但这种转变不是法律或法规。这是信用卡处理机构强加给其会员银行和接受其信用卡的商户的一个决定。对于那些在10月1日的最后期限之前没有完成部署新阅读器的商家,以及那些没有计划部署新阅读器的商家,不会有任何实际的惩罚。
启用芯片信用卡和借记卡仍然有磁条,因此商家可以继续处理付款老式的方式。什么是改变的是企业将举行时发生的不是EMV兼容而导致的任何欺诈行为承担全部责任。这对于那些不切换商人一个定时炸弹。(苹果公司薪酬及Android Pay的交易甚至比芯片交易更安全,所以使用这些支付系统时,商家没有欺诈行为承担责任。)
“这是一项责任规定,”德勤(Deloitte)网络风险服务支付完整性业务主管普拉卡什•桑塔纳(Prakash Santhana)表示。如果罪犯使用假卡,商户将“吃掉”因欺诈而产生的费用,如果他们没有采用EMV。
新的支付技术代表了一个重大的安全改进,但警告仍然存在。这一规定适用于信用卡,但还不适用于借记卡,而且美国消费者也得到了优惠,即没有必要的个人识别码,这使得EMV的支付不如加拿大或欧洲的安全。这样做的好处是,商家安装的EMV硬件为未来更先进的支付方式奠定了基础。
大多数美国EMV卡读卡器来与NFC无线电电子支付系统,如苹果支付和Android收费,但是无线电技术不是EMV规范的一部分。然而,苹果为Apple Pay的推出设定了时间为了充分利用阅读器的转换功能,读卡器制造商在新的终端上安装了必要的无线电技术,以支持EMV芯片。这也提振了很少使用的谷歌钱包,它比苹果支付(Apple Pay)早了好几年,其改进后的服务现在被称为安卓支付(Android Pay)。
商家:更换或承担风险
有三名球员支付卡方程:
- 处理支付的卡片网络和处理器
- 银行这个问题卡给消费者
- 接受消费者信用卡的零售商和商人
向EMV的转变需要全面的改变:处理器升级他们的系统来处理EMV卡的交易,银行向所有客户发行新的芯片卡,零售商必须升级读卡器和销售点系统来接受芯片卡。
现在,债务在银行和商人之间分摊。如果犯罪分子使用克隆卡的商户没有切换到EMV,那么商户将完全承担与欺诈相关的所有费用。但是,如果这张卡一开始就没有芯片,那么发行这张卡的银行就有责任。
凯捷金融服务公司(Capgemini Financial Services)信用卡与支付业务负责人黛博拉•巴克斯利(Deborah Baxley)表示,“这是一种胡萝卜加大棒的做法”,目的是让所有玩家都遵守emv。有很多“胡萝卜”可以尽早升级,比如,如果零售商更新了大部分设备,就可以减轻拥有大量终端的零售商的责任和处罚。
EMV规则的两个例外是加油站泵和自动取款机,它们有两年多的时间来升级它们的读卡器,因为这种技术比销售点终端复杂得多。私有标签卡,例如零售商发行的卡片,不包括在此切换中。由于发卡机构和信用卡网络不得不采取不同的方式,EMV的借记卡业务也被推迟。巴克斯利说,《多德-弗兰克法案》要求借记卡能够在两个独立的网络上使用,这与EMV背道而驰。
只解决一种类型的欺诈
20世纪90年代中期,当这些信用卡网络联合起来的时候,它们就被各种各样的支付欺诈所困扰。EMV标准的出现是为了解决一种特定类型的欺诈:“卡不存在”。这指的是罪犯盗取存储在磁条上的账户和客户信息,制造假卡或克隆卡。信用卡上的三位数字代码最初是用来验证在交易时实际拥有信用卡的人。
Cigital的首席技术官Gary McGraw估计,无卡欺诈占全部欺诈的10%到15%。
用偷来的磁条数据制作假磁卡是相当便宜的;用芯片做这个要贵得多。然而,由于转换尚未完成,仍有伪造欺诈的空间。巴克斯利说,如果银行卡数据被盗,这些数据仍然可以用来制造克隆卡,从atm机取款。
有实施EMV标准的方式有两种:芯片和PIN芯片和签名。芯片和PIN,通过谁已经通过了EMV大多数国家,使用需要用户通过阅读器沾卡并输入密码,以验证该交易。随着芯片和签名,还有除了一个事实,消费者逢低卡代替刷卡,签约交易之前用户行为没有变化。美国是最2020欧洲杯夺冠热门后的G20国家采取的EMV标准,并同时大多数国家的挑选芯片和PIN,美国等少数国家选择了芯片和签名。
“无论出于什么原因,[他们已经]决定了美国公众是太愚蠢做芯片和PIN,”麦格劳说。这种切换是一个“婴儿步”向付款更安全一点,但“芯片和PIN的方式,途径,方式,支付的安全性更好。”
通过使用芯片和签名,美国只解决了克隆问题。2020欧洲杯夺冠热门考虑物理盗窃。根据芯片密码法,一个小偷如果不知道密码,就无法使用偷来的真卡。有了芯片和签名,持有被盗卡的窃贼就可以使用伪造的签名。
需要额外的控制
支付卡行业(PCI)安全标准委员会(SSC)总经理Stephen Orfei说,EMV将“消除假冒欺诈”。然而,PCI委员会一再强调,EMV不是万能药,零售商和商家需要额外的安全控制,如点对点加密和标记化,以保护持卡人的数据。点对点加密将确保信用卡上读取的信息被立即加密并通过安全通道传输到销售点系统。这将使恶意软件更难从受感染的PoS终端获取卡数据。
EMV也不会解决网络诈骗、信息过滤或其他类型的身份盗窃问题,专家预测犯罪分子会把更多的精力转移到网络上。Santhana说,被盗的卡号仍然可以用来在网上购物,而且还会有更多的ACH欺诈、支票欺诈和账户接管的例子。
如果欺诈是一个大馅饼,表示脸对脸伪造卡的问题将缩小片,但网络诈骗片会得到更大。欺诈馅饼是不会得到任何小,因为EMV的。
“一旦封锁一个矢量,攻击者切换到不同的一个,” Santhana说。
不换工作是一个代价高昂的决定
在全国范围内替换硬件和软件以使其具备emv的能力是一项艰巨的任务,而且代价不菲。麦格劳估计成本高达数十亿美元。已经被数据泄露和有欺诈倾向的组织伤害的零售商已经走上了转变的道路。例如,沃尔玛(Walmart)在一年多前就改变了做法。
在目标之前的岁月,告诉所有他们必须出去买新系统的商家是一场艰苦的说法做出,麦格劳说。在这个意义上说,零售违反了一线希望,因为它激励银行和商家做出这种转变。
最小的企业可能不会那么积极地转换,因为它们必须消化的交易量要小得多。Santhana指出,像干洗店这样的企业,顾客必须回来,这样欺诈性交易就不太可能发生。巴克斯利说,中型和大型零售商将无法承担欺诈的成本,也无法经受重大欺诈事件造成的声誉损害。
“这就像买保险。有些人会不买,和聪明的人做的,”麦格劳说。
对于零售商,这是严格意义上的硬件变化,他们需要投资新的读卡器和点销售系统,但也有相关的成本,比如如何使用新系统的员工进行培训。在EMV部署延误的部分也是一个资源问题:招商不得不等待,直到他们的银行和支付网关/处理器已经证明使用EMV,才可以部署硬件和测试,以确保新的系统都工作。
对于那些还在观望的商家来说,还有另一个“胡萝卜”可以让他们的工作更有价值:可以接受更现代的支付方式,比如非接触式支付。
对于谁一直想利用谷歌钱包或苹果支付的商家,升级到EMV会解决,同时这种变化。
这种切换可能已经有点粗糙,但它定位的零售商采取的新变化若隐若现的优势。当人们习惯了使芯片卡,非接触式支付,甚至生物识别支付的东西,未来的升级和改进都不会很明显,由于EMV。“也许到2018年,我们可以得到足够聪明使用PIN,补充说:”麦格劳。
这个故事,“EMV设置了一个更好的未来支付的舞台”最初发表信息世界 。