Last Friday’s Oct. 1 deadline for so-called EMV or “chip-and-PIN” credit card technology to replace the 1960s-vintage “swipe-and-signature” magnetic stripe card system should not have been a surprise to any of the major players in the payment card industry (PCI) – merchants, card issuers and banks.
Visa, one of the three developers of the EMV standard (along with Europay and MasterCard) announced in August 2011 – more than four years ago – that it would be moving to EMV in the U.S. (it has been in use in Europe for more than a decade). TheEMV迁移论坛由智能卡联盟于2012年7月创建的。
在过去的一年半中已经有定期,增加报告在即将到来的最后期限,但有警告沿,如果商家或发卡行没有EMV技术,他们可以对钩冒用卡的成本。
但是,基于有多少与会者满足这一期限,它看起来像他们中的很多人没有意识到,或忽略了它。估计,缺乏新的支付终端商户的比例从上周的50%不等,以高达75%。
〔也可CSO:预测在EMV部署赢家和输家]
在独立分析师和顾问公司Ovum,金融服务技术的高级分析师吉尔Ubaghs,指出,他的公司发现,“商人的30.2%报告说,他们从来没有听说过EMV在今年年初,另外36.8%报告说,他们有在未来推出EMV没有兴趣“。
另一个调查由任仕达技术,发现,“迟至今年夏季,企业42%的人要么采取任何步骤或不了解向着过渡任何进展。”
电子交易协会首席执行官贾森·奥克斯曼,引调查通过该Strawhecker组,发现只有27的美国商人%是EMV准备由上周的最后期限。这预计将在十二月增加至44%,但没有得到90%到2017年。
他说,调查显示,发卡机构做的更好 - 这70%将在今年年底相继出台使EMV卡。
贾森·奥克斯曼,CEO,电子交易协会
约兰鲍仁斯坦,在NICE Actimize的副总裁,报道去年四月在大波士顿,在那里他试图在十几个名牌连锁店和独立零售商更多的使用他的信用卡的芯片部分不太科学,但是更有趣的个人调查。
“在大多数情况下,柜台后面的店员根本不知道我在做什么......他们几乎总是显得不耐烦,指示我扫过;我想他们认为我疯了,”他写道,并补充说,他认为波士顿是典型的是,“几乎没有人准备的芯片和PIN码。招商肯定不是......”
最明显的问题是:为什么?尤其是考虑到责任风险。特别是由于EMV使“实卡”交易更不容易受到欺诈和美国目前持有的在网络犯罪这一领域引领世界可疑的区别。
且不说美国,这在世界上技术最先进的国家之间存在自诩,其他大多数国家在实现该技术滞后于。
〔也可CSO:EMV是银弹,以信用卡诈骗罪?]
据专家介绍,有多种原因。首先,截止日期是不是法律。如果不符合就不会产生罚款或刑事处罚。
最广泛报道的“激励”采纳的是所谓的责任的转变,这意味着无论哪一方 - 商家或发卡机构 - 具有“较小”的技术将被用于欺诈交易负责。
阿德里安巷,安全分析师兼首席技术官Securosis,在最近的一份研究论证纸有更多的参与比负债转变 - 其中大部分为客商非常好 - 但他说太多的变化性是因为,“商家被要求承担显著成本和运营中断,解决银行问题,而不是一个商人的问题“。
他补充说,这是远远超过复杂,“直设备调剂。”
商家咨询集团的CEO马克Horwedel,对此表示赞同。他说,大部分的负担 - 尤其是财政负担 - 这种转变落在商人。
“这是以往任何时候都强加给商家最复杂和最昂贵点的销售终端(POS)项目。他们让我们付出了转换的75%,”他补充说,在欧洲,网络降低了他们的交换费或提供给大家分享一些安装新设备的成本。此外,他说,美国商家的支付是七到八次与欧洲支付交易费用。
“信用卡是银行产品,”他说,“在他们的脸上,他们是不安全的,但业界已经取得了一边倒的努力转移费用的商家(使它更安全)。”
他还抱怨允许的换挡时间。“四年是远远不够的,”他说。“在加拿大是8至10年。这是一个巨大的检修“。
马克Horwedel,CEO,商家咨询小组
迪克·米切尔,在任仕达解决方案总监说,有来自消费者挑剔的EMV系统“,让很多商家只是没有感觉迫切需要升级自己的系统没有大的推动。其中一部分是因为消费者历来被从责任绝缘,但同时也出现了缺乏教育“。
他说,这很可能会采取另一种主要的零售数据泄露,如在目标在2013年底,“真正烧火下一些零售商。”
该re are also warnings from security experts that such a major breach remains likely, since the American version of EMV won’t be as secure as that in Europe, because many banks are allowing “chip and signature,” instead of requiring a customer to enter a PIN number.
Ubaghs说,这样的举动,“大大减少EMV的有效性,为您删除EMV的双因素认证元素之一。扒手仍然可以使用你的卡和伪造签名。这是一个不好的举动,美国将降低安全性。”
他和其他人指出,消费者在所有其他市场使用的PIN,和美国的客户提供借记卡和自动取款机做到这一点。
最主要的原因,他们说,是发卡机构和银行担心,如果要求客户输入PIN,他们不会用他们的卡一样多。“他们风险落入背的钱包的位置,甚至消费者会放弃卡,” Ubaghs说。“一卡一记住PIN并不难,但如果你有五,六张牌,你可能会改变或放弃一些,如果你有太多的PIN码左右浮动。”
里警告说在他的论文另一个缺陷,至少到目前为止,在EMV是它,“不授权使用点至点加密(P2PE),更全面的终端到终端的加密。PAN(主账户号)数据仍然传送在清澈的,与任何其它数据一起被传递,如果未使用的付款令牌。”
迪克·米切尔,解决方案总监,任仕达技术
缺乏加密功能是那取得的目标违约如此灾难性的事情之一。
令牌问题正在得到解决,奥克斯曼说,随着“新,尖端技术的部署,随着EMV目前我国复杂网络的多层防御。符号化可以通过与不能被截获单次使用令牌替换帐户信息防止未来的数据泄露。”
不过,正如许多专家所指出的,甚至EMV倡导者承认,EMV提供了没有安全改进在线,或“卡不在场”的交易。
但它的倡导者指向的证据表明,它路肩欺诈行为。“我们确实从EMV知道什么芯片的成熟世界的地区,”杰里米·王,PCI安全标准委员会的国际部主任说,“是EMV芯片,不管它是如何实现的,结果在假冒欺诈显著减少销售点“。
巷同意,更好的安全性,欺诈责任何况下降,是采用EMV很好的理由。但是,他在他的论文指出,他们都是次要的是即将到来的更重大转变的好处:移动支付。
公司像星巴克,他写道,有“确凿地证明,消费者将使用手机支付。”
他认为,“从被动磁条卡迁移到智能卡是一个大的跳跃,但是从塑料卡到智能手机将成为支付行业的相当于从马到汽车的转变。”
他进入在他的论文相当详细,但总结了他所谓的“丰富的优势,为客商(从移动支付),以最小的传递没有中断运营的情况,其中包括:
- 更好的客户体验
- 更好的跟踪和分析
- 更好的欺诈检测通过参考令牌
- 器具P2PE没有功能丧失
- 通过系统去除PAN数据的缩小潜在违约
“这些都是除了在责任鼓吹减少,”他说。
这个故事,“为什么大多数商家错过了最后期限EMV?”最初由出版CSO 。