ای ام وی (EMV)
مفهوم: ای ام وی EMV
والد: استانداردهای اسمارت کارت یا کارت هوشمند
بعد:تشخیص
فرزند: تشخیص با پین و تشخیص با امضا
لید
استاندارد EMV یک چارچوب امنیتی است که توسط شرکت EMVCO ارایه شده و ناظر بر نحوه تعامل بین کارت های هوشمند و ابزارهای پذیرش آنها در سطوح فیزیکی، الکتریکی، داده و برنامه کاربردی می باشد.
تعریف به حد
این استاندارد صورت تکامل یافته استاندارد اولیه کارته بنکره است که با اهداف مشابه ای پیش از تولد این استاندارد مطرح بوده است.
وجوه افتراق یا شقوق مختلف
فهرست مطالب
محتویات
تاریخچه
شرکت EMVCO شرکتی تحقيقاتی و استانداردگذار است که با مشارکت یوروپی ، مسترکارت و ویزا در سال 1996 و پس از پیشرفتهای حاصله در حوزه کارت هوشمند پایه گذاری شد تا نسبت به جایگزینی یک استاندارد جهان شمول بجای استانداردهای پراکنده ای که تا قبل از آن توسط هر شرکتی بهطور مستقل ایجاد و رعایت میشد، اقدام نماید. پس از این شرکتها، شرکت جِیسیبی ژاپن در دسامبر 2004، امریکن اکسپرس در فوریه 2009 و چاینایونیونپِی در می 2013 بدان پیوستند. بر اساس این استاندارد تراکنشهای پرداخت از طریق تعامل بین پایانه و کارت هوشمند، انجام میگیرد. این استاندارد تعامل کارت و ترمینال را در سطح فیزیکی، الکتریکی، داده و برنامه کاربردی تعریف می کند. استاندارد تراکنش با کارتهای هوشمند سودنی ISO/IEC 7816 و برای کارتهای بی سودنیISO/IEC 14443 است.
اهداف و مزیت ها
مزیت این استاندارد و هدف از ایجاد آن، ایجاد یکپارچکی در کارتهای هوشمند و ابزارهای پذیرش آن است. مزیتهای اصلی این استاندارد شامل: «امنیت»، «کنترل بهینه و مطمئن تراکنشهای برون خط» و استفاده از چند برنامه کاربردی روی یک کارت است.
این استاندارد از دو قسمت تشکیل میشود که قسمت اول نحوه تعامل بین کارت هوشمند و پایانه را تعریف مینماید و قسمت دوم 2 ، این تعامل را در لایههای داده و کاربری تعریف مینماید؛ و درآن، روال انجام تراکنش و کنترلهای مورد نیاز در مراحل مختلف تعریف میشود. انجام تراکنش با کارتهای ایاموی می¬تواند بدون استفاده از رمز و یا با استفاده از آن باشد. این بستگی به کاربرد مورد انتظار از کارت و تراکنش دارد. بر اساس ISO/IEC 7816-3 (بخش سوم استاندارد مذکور) ارتباط بین ترمینال و کارت تحت APDU صورت می پذیرد. ترمینال، دستوری را برای کارت ارسال کرده، کارت آن را بهصورت داخلی پردازش نموده و نتیجه را بازمی گرداند.
بر اساس استاندارد ایاموی، هر تولید کننده اپلیکیشن با نام RID شناخته شده و RID در کارت ذخیره می شود. هم چنین هر اپلیکیشنی با مشخصه ای با نام AID شناخته می شود که آن نیز در کارت ذخیره میشود. هم چنین مشخصه ای با نام PIX وجود دارد که طی آن اپلیکیشنهای تولیدی توسط یک تولیدکننده از یکدیگر تفکیک می¬شوند.
روش های تشخیص و شناسایی
روشهای متنوعی توسط ایاموی برای شناسایی دارنده کارت پشتیبانی می¬شوند ملقب به CVM هستند. روش های شناسایی در یک تقسیم بندی کلی به دو دسته تقسیم بندی می شوند:
-Chip and Signature: که در آمریکا (تا قبل از سال 2015)، فیلیپین، مکزیک، آلمان، اتریش مرسوم است.
-Chip and PIN: که در کشورهای اروپایی، کانادا، استرالیا و نیوزلند مرسوم است.
ترمینال با خواندن لیست CVM موجود در کارت متوجه روش سیویام مربوط به هر کارت می شود. بر اساس استاندارد ISO/IEC 7816-4 (بخش چهارم)، کارت هوشمند می تواند بهعنوان سیم کارت در شبکه جیاسام مورد استفاده قرار گیرد، البته در آنجا دستورات مبادله شده بین کارت و شبکه/دستگاه درون سازمانی و بر اساس استاندارد ایاموی نیست. برای مدیریت ریسک بهتر، این قابلیت در استاندارد ایاموی فراهم است که تراکنش ها یا همیشه بهصورت آنلاین انجام شده و یا در صورت انجام تراکنش بهصورت برونخط، تحت شرایطی، مثلاً تراکنش با مبلغی بیش از مبلغ تعیین شده، به جای پردازش آفلاین بهصورت آنلاین پردازش شود.
تراکنشهای غیر حضوری تحت استاندارد EMV
انجام تراکنش روی ابزارهای اینترنت، تلفن و ایمیل که کارت حاضر نیست، با کارتهای ای¬ام¬وی نیز میسر است، هرچند که در این حالت نیز نگرانی¬های امنیتی بیشتری نسبت به وضعیت عادی وجود دارد.
برای این امر دو دسته راهکار وجود دارد:
-راهکار صرف نرم¬افزاری که بر مبنای پیاده¬سازی پروتکل 3-D Secure است.
-سخت¬افزار مخصوص تراکنش¬های بدون کارت که اقدام به تولید رمز یکبار مصرف (OTP) می¬نماید. مسترکارت این اقدام را انجام داده و روش خود را CAP نامیده است. ویزا این اقدام را انجام داده و سرویس خود را DPA نامیده است.
-سخت¬افزار مخصوص تولید رمز یکبار مصرف که با کارت یکپارچه شده است. ویزا در یک پروژه که از سال 2008 و تحت نام Emue Card آغاز نموده، کارتی را در اختیار قرار داده که بجای ارقام CVV2 ثابت، ارقام یکبار مصرف تولید می¬نماید.
رمزنگاری در EMV
رمزنگاری در استاندارد EMV بر اساس الگوی نامتقارن و با استفاده از تابع RSA انجام می¬پذیرد. در طول زمان با افزایش توان پردازشی کامپیوترهای آزمایشگاهی و تجاری، طبق یک برنامه مشخص طول کلید مورد استفاده در الگوریتم رمزنگاری در این استاندارد افزایش می¬یابد تا نگرانی از این محل وجود نداشته باشد. به-عنوان مثال بر اساس تواریخ زیر، طول کلیدها افزایش یافته است:
-استفاده از گواهینامه امنیتی با کلیدعمومی به طول 768 بیت در 31 دسامبر 2002 منقضی شده است.
-استفاده از گواهینامه امنیتی با کلیدعمومی به طول 896 بیت در 31 دسامبر 2004 منقضی شده است.
-استفاده از گواهینامه امنیتی با کلیدعمومی به طول 1024 بیت در 31 دسامبر 2008 منقضی شده است.
-استفاده از کلیدهای 1152 بیت با تاریخ انقضای 31 دسامبر 2017 در حال حاضر در دستور کار است.
-استفاده از کلیدهای 1408 بیت پس از آن تاریخ آغاز شده و تا 31 دسامبر 2024 معتبر خواهد بود.
وضعیت بکارگیری EMV در کشورهای مختلف
استاندارد EMV از زمان مطرح شدن توسط شرکت EMVCO در سال 1996 توسط بزرگان صنعت پرداخت مورد استفاده بوده است و هر ساله شاهد بکارگیری وسیعتر این استاندارد در دنیا بودهایم. بر اساس اعلام شرکت مذکور در پایان سال 2012 وضعیت پیادهسازی این استاندارد در دنیا به ترتیب جدول زیر است.
| Region | EMV Cards | Adoption rate | EMV Terminals | Adoption rate |
| Canada, Latin America, Caribbean | 401 M | 49.2% | 5.6 M | 78.5% |
| Asia Pacific | 372 M | 26.7% | 5 M | 50.5% |
| Africa & Middle East | 50 M | 28.6% | 0.6 M | 76.7% |
| Europe Zone 1 | 755 M | 80.7% | 11.7 M | 94.5% |
| Europe Zone 2 | 46 M | 15.5% | 0.9 M | 73.2% |
| Totals | 1.62 B | 44.9% | 23.8 M | 75.7% |
در این جدول کشور آمریکا مشاهده نمیشود، چرا که علیرغم بکارگیری این استاندارد توسط چهار بزرگ دنیای پرداخت که همگی شرکتهای آمریکایی هستند (ویزا، مسترکارت، آمریکن اکسپرس و دیسکاور) این استاندارد در آمریکا مقبول واقع نشده و تا نیمه سال 2015 آمریکا تنها کشور گروه G20 بود که این استاندارد را بطور گسترده پیادهسازی نکرده بود.
کشورهای عضو SEPA که در جدول بالا با Europe Zone 1 نمایش داده شده است از نظر بکارگیری این استاندارد نسبت به بقیه دنیا وضعیت مطلوبتری دارد. این بدان علت است که بر اساس مصوبات کمیته پرداخت اروپا، استفاده از EMV در سطح اتحادیه اروپا / SEPA الزامی بود.
شایان ذکر است که موضوع الزام به استفاده از EMV در همه جای دنیا برگرفته از الگوی بکار گرفته شده توسط بزرگان صنعت پرداخت با نام Liability Shift نام دارد. در این الگو از یک تاریخ مشخص به بعد که در اتحادیه اروپا سال 2005 به بعد بود، مسئولیت هرگونه ریسک (کلاهبرداری، پولشویی و ...) در هنگام پذیرش کارتهای غیر EMV بر عهده مرچنت میباشند. همین وضعیت در مورد صادرکنندگان تحت برند نیز وجود داشته و به شرط صدور کارت غیر EMV آنها مسئولیت را باید بپذیرند. نتیجه این وضعیت، شرایطی را ایجاب میکند که همگی به سمت استفاده از استاندارد هجوم آورده و تنها سهم کوچکی از بازار با پذیرش ریسک همچنان وضعیت قبلی را ادامه خواهد داد.
برنامه مهاجرت آمریکا به EMV
کشور آمریکا بعد از سالها بالاخره تصمیم گرفت که از اکتبر 2015 به سمت پیادهسازی EMV حرکت نماید. محرک اصلی حرکت به سمت EMV در آمریکا نیز موضوع ریسک زیاد روشهای مبنی بر کارت مغناطیسی بود که از سال 1960 در حال استفاده است. هزینههای برآورد شده در مسیر حرکت آمریکا به سمت EMV به شرح جدول زیر است:
| Item | Volume | Estimated cost to replace |
| POS Device | 15,000,000 | 6,750,000,000 $ |
| ATM’s | 360,000 | 500,000,000 $ |
| Credit /Debit Cards | 1,126,800,000 | 1,400,000,000 $ |
| Total | 1,142,160,000 | 8,650,000,000 $ |
همانگونه که ملاحظه میشود هزینه 8.65 میلیارد دلار هزینهای بسیار گزاف است، ولی جالب توجه است که بدانیم بر اساس مدلسازیهای صورت پذیرفته از آمار سالهای قبل، برآورد هزینه ریسک (کلاهبرداری، پولشویی و ...) در سال 2015 در آمریکا برابر با 10 میلیارد دلار خواهد بود. لذا بدیهی است که این مهاجرت صورت پذیرد. البته از هم اکنون برخی از شبکههای کوچک خودپرداز اعلام نمودهاند که از این برنامه تبعیت نخواهند کرد.
انجام چنین اقداماتی در کشور آمریکا همواره با نظارت و دخالت دولت آمریکا بوده است، همانطور که مجلسین آمریکا رویآوردن به سمت کارتهای هوشمند را در دهه قبل نپذیرفتند، در سال 2014 کنگره آمریکا بود که الزام قانونی حرکت به سمت EMV را پدید آورده و رئیس جمهور آمریکا، آقای باراک اوباما نیز چندی پیش دستور داد که کلیه کارتهای Purchase Card دولت فدرال و دولتهای ایالتی تبدیل به کارتهای هوشمند شود.
جستارهای وابسته
پانویس/ پاورقی
منابع
پیوند به بیرون
الگوهای ناوبری
رده