ای ام وی (EMV)

مفهوم: ای ام وی EMV

والد: استانداردهای اسمارت کارت یا کارت هوشمند

بعد:تشخیص

فرزند: تشخیص با پین و تشخیص با امضا


لید

استاندارد EMV یک چارچوب امنیتی است که توسط شرکت EMVCO ارائه شده و ناظر بر نحوه تعامل بین کارت‌های هوشمند و ابزارهای پذیرش آن‌ها در سطوح فیزیکی، الکتریکی، داده و برنامه کاربردی می‌باشد.

تعریف به حد

این استاندارد صورت تکامل‌یافته استاندارد اولیه کارته بنکره است که با اهداف مشابهی پیش از تولد این استاندارد مطرح بوده است.

وجوه افتراق یا شقوق مختلف

فهرست مطالب

تاریخچه

شرکت EMVCO شرکتی تحقيقاتی و استانداردگذار است که با مشارکت یوروپی، مسترکارت و ویزا در سال ۱۹۹۶ و پس از پیشرفت‌های حاصله در حوزه کارت هوشمند پایه‌گذاری شد تا نسبت به جایگزینی یک استاندارد جهان شمول بجای استانداردهای پراکنده‌ای که تا قبل از آن توسط هر شرکتی به‌طور مستقل ایجاد و رعایت می‌شد، اقدام نماید. پس از این شرکت‌ها، شرکت جِی‌سی‌بی ژاپن در دسامبر ۲۰۰۴، امریکن اکسپرس در فوریه ۲۰۰۹ و چاینایونیون‌پِی در می ۲۰۱۳ بدان پیوستند. بر اساس این استاندارد تراکنش‌های پرداخت از طریق تعامل بین پایانه و کارت هوشمند، انجام می‌گیرد. این استاندارد تعامل کارت و ترمینال را در سطح فیزیکی، الکتریکی، داده و برنامه کاربردی تعریف می‌کند. استاندارد تراکنش با کارت‌های هوشمند سودنی ISO/IEC 7816 و برای کارت‌های بی سودنی ISO/IEC 14443 است.

اهداف و مزیت ها

مزیت این استاندارد و هدف از ایجاد آن، ایجاد یکپارچگی در کارت‌های هوشمند و ابزارهای پذیرش آن است. مزیت‌های اصلی این استاندارد شامل: «امنیت»، «کنترل بهینه و مطمئن تراکنش‌های برون خط» و استفاده از چند برنامه کاربردی روی یک کارت است.

این استاندارد از دو قسمت تشکیل می‌شود که قسمت اول نحوه تعامل بین کارت هوشمند و پایانه را تعریف می‌نماید و قسمت دوم، این تعامل را در لایه‌های داده و کاربری تعریف می‌نماید؛ و درآن، روال انجام تراکنش و کنترل‌های مورد نیاز در مراحل مختلف تعریف می‌شود. انجام تراکنش با کارت‌های ای‌ام‌وی می‌تواند بدون استفاده از رمز و یا با استفاده از آن باشد. این بستگی به کاربرد مورد انتظار از کارت و تراکنش دارد. بر اساس ISO/IEC 7816-3 (بخش سوم استاندارد مذکور) ارتباط بین ترمینال و کارت تحت APDU صورت می پذیرد. ترمینال، دستوری را برای کارت ارسال کرده، کارت آن را به‌صورت داخلی پردازش نموده و نتیجه را باز می‌گرداند.

بر اساس استاندارد ای‌ام‌وی، هر تولی کننده اپلیکیشن با نام RID شناخته شده و RID در کارت ذخیره می‌شود. هم چنین هر اپلیکیشنی با مشخصه‌ای با نام AID شناخته می‌شود که آن نیز در کارت ذخیره می‌شود. هم چنین مشخصه ای با نام PIX وجود دارد که طی آن اپلیکیشن‌های تولیدی توسط یک تولیدکننده از یکدیگر تفکیک می‌شوند.

روش های تشخیص و شناسایی

روش‌های متنوعی توسط ای‌ام‌وی برای شناسایی دارنده کارت پشتیبانی می‌شوند ملقب به CVM هستند. روش های شناسایی در یک تقسیم بندی کلی به دو دسته تقسیم بندی می شوند:

-Chip and Signature: که در آمریکا (تا قبل از سال 2015)، فیلیپین، مکزیک، آلمان، اتریش مرسوم است.

-Chip and PIN: که در کشورهای اروپایی، کانادا، استرالیا و نیوزلند مرسوم است.

ترمینال با خواندن لیست CVM موجود در کارت متوجه روش سی‌وی‌ام مربوط به هر کارت می شود. بر اساس استاندارد ISO/IEC 7816-4 (بخش چهارم)، کارت هوشمند می تواند به‌عنوان سیم کارت در شبکه جی‌اس‌ام مورد استفاده قرار گیرد، البته در آن‌جا دستورات مبادله شده بین کارت و شبکه/دستگاه درون سازمانی و بر اساس استاندارد ای‌ام‌وی نیست. برای مدیریت ریسک بهتر، این قابلیت در استاندارد ای‌ام‌وی فراهم است که تراکنش ها یا همیشه به‌صورت آنلاین انجام شده و یا در صورت انجام تراکنش به‌صورت برون‌خط، تحت شرایطی، مثلاً تراکنش با مبلغی بیش از مبلغ تعیین شده، به جای پردازش آفلاین به‌صورت آنلاین پردازش شود.

تراکنش­های غیر حضوری تحت استاندارد EMV

انجام تراکنش روی ابزارهای اینترنت، تلفن و ایمیل که کارت حاضر نیست، با کارتهای ای‌-ام-وی نیز میسر است، هرچند که در این حالت نیز نگرانی‌های امنیتی بیشتری نسبت به وضعیت عادی وجود دارد.

برای این امر دو دسته راهکار وجود دارد:

-راهکار صرف نرم‌افزاری که بر مبنای پیاده‌سازی پروتکل 3-D Secure است.

-سخت‌افزار مخصوص تراکنش‌های بدون کارت که اقدام به تولید رمز یکبار مصرف (OTP) می‌نماید. مسترکارت این اقدام را انجام داده و روش خود را CAP نامیده است. ویزا این اقدام را انجام داده و سرویس خود را DPA نامیده است.

-سخت‌فزار مخصوص تولید رمز یکبار مصرف که با کارت یکپارچه شده است. ویزا در یک پروژه که از سال ۲۰۰۸ و تحت نام Emue Card آغاز نموده، کارتی را در اختیار قرار داده که بجای ارقام CVV2 ثابت، ارقام یکبار مصرف تولید می‌نماید.

رمزنگاری در EMV

رمزنگاری در استاندارد EMV بر اساس الگوی نامتقارن و با استفاده از تابع RSA انجام می‌پذیرد. در طول زمان با افزایش توان پردازشی کامپیوترهای آزمایشگاهی و تجاری، طبق یک برنامه مشخص طول کلید مورد استفاده در الگوریتم رمزنگاری در این استاندارد افزایش می‌یابد تا نگرانی از این محل وجود نداشته باشد. به عنوان مثال بر اساس تواریخ زیر، طول کلیدها افزایش یافته است:

-استفاده از گواهینامه امنیتی با کلیدعمومی به طول ۷۶۸ بیت در ۳۱ دسامبر ۲۰۰۲ منقضی شده است.

-استفاده از گواهینامه امنیتی با کلیدعمومی به طول ۸۹۶ بیت در ۳۱ دسامبر ۲۰۰۴ منقضی شده است.

-استفاده از گواهینامه امنیتی با کلیدعمومی به طول ۱۰۲۴ بیت در ۳۱ دسامبر ۲۰۰۸ منقضی شده است.

-استفاده از کلیدهای ۱۱۵۲ بیت با تاریخ انقضای 31 دسامبر ۲۰۱۷ در حال حاضر در دستور کار است.

-استفاده از کلیدهای ۱۴۰۸ بیت پس از آن تاریخ آغاز شده و تا ۳۱ دسامبر ۲۰۲۴ معتبر خواهد بود.

وضعیت بکارگیری EMV در کشورهای مختلف

استاندارد EMV از زمان مطرح شدن توسط شرکت EMVCO در سال ۱۹۹۶ توسط بزرگان صنعت پرداخت مورد استفاده بوده است و هر ساله شاهد بکارگیری وسیع­تر این استاندارد در دنیا بوده‌­ایم. بر اساس اعلام شرکت مذکور در پایان سال ۲۰۱۲ وضعیت پیاده­سازی این استاندارد در دنیا به ترتیب جدول زیر است.

Region EMV Cards Adoption rate EMV Terminals Adoption rate
Canada, Latin America, Caribbean 401 M 49.2% 5.6 M 78.5%
Asia Pacific 372 M 26.7% 5 M 50.5%
Africa & Middle East 50 M 28.6% 0.6 M 76.7%
Europe Zone 1 755 M 80.7% 11.7 M 94.5%
Europe Zone 2 46 M 15.5% 0.9 M 73.2%
Totals 1.62 B 44.9% 23.8 M 75.7%

در این جدول کشور آمریکا مشاهده نمی­شود، چرا که علی­رغم بکارگیری این استاندارد توسط چهار بزرگ دنیای پرداخت که همگی شرکت‌­های آمریکایی هستند (ویزا، مسترکارت، آمریکن اکسپرس و دیسکاور) این استاندارد در آمریکا مقبول واقع نشده و تا نیمه سال ۲۰۱۵ آمریکا تنها کشور گروه G20 بود که این استاندارد را بطور گسترده پیاده‌­سازی نکرده بود.  

کشورهای عضو SEPA که در جدول بالا با Europe Zone 1 نمایش داده شده است از نظر بکارگیری این استاندارد نسبت به بقیه دنیا وضعیت مطلوب­‌تری دارد. این بدان علت است که بر اساس مصوبات کمیته پرداخت اروپا، استفاده از EMV در سطح اتحادیه اروپا / SEPA الزامی بود.

شایان ذکر است که موضوع الزام به استفاده از EMV در همه جای دنیا برگرفته از الگوی بکار گرفته شده توسط بزرگان صنعت پرداخت با نام Liability Shift نام دارد. در این الگو از یک تاریخ مشخص به بعد که در اتحادیه اروپا سال ۲۰۰۵ به بعد بود، مسئولیت هرگونه ریسک (کلاهبرداری، پولشویی و ...) در هنگام پذیرش کارت‌­های غیر EMV بر عهده مرچنت می­‌باشند. همین وضعیت در مورد صادرکنندگان تحت برند نیز وجود داشته و به شرط صدور کارت غیر EMV آن‌ها مسئولیت را باید بپذیرند. نتیجه این وضعیت، شرایطی را ایجاب می‌­کند که همگی به سمت استفاده از استاندارد هجوم آورده و تنها سهم کوچکی از بازار با پذیرش ریسک هم­چنان وضعیت قبلی را ادامه خواهد داد.

برنامه مهاجرت آمریکا به EMV

کشور آمریکا بعد از سال‌ها بالاخره تصمیم گرفت که از اکتبر ۲۰۱۵ به سمت پیاده‌­سازی EMV حرکت نماید. محرک اصلی حرکت به سمت EMV در آمریکا نیز موضوع ریسک زیاد روش‌­های مبنی بر کارت مغناطیسی بود که از سال ۱۹۶۰ در حال استفاده است. هزینه‌های برآوردشده در مسیر حرکت آمریکا به سمت EMV به شرح جدول زیر است:

Item Volume Estimated cost to replace
POS Device 15,000,000 6,750,000,000 $
ATM’s 360,000 500,000,000 $
Credit /Debit Cards 1,126,800,000 1,400,000,000 $
Total 1,142,160,000 8,650,000,000 $

همانگونه که ملاحظه می‌­شود هزینه ۸/۶۵ میلیارد دلار هزینه‌ه­ای بسیار گزاف است، ولی جالب توجه است که بدانیم بر اساس مدل­سازی­‌های صورت پذیرفته از آمار سال‌های قبل، برآورد هزینه ریسک (کلاهبرداری، پولشویی و ...) در سال ۲۰۱۵ در آمریکا برابر با ۱۰ میلیارد دلار خواهد بود. لذا بدیهی است که این مهاجرت صورت پذیرد. البته از هم اکنون برخی از شبکه­های کوچک خودپرداز اعلام نموده‌­اند که از این برنامه تبعیت نخواهند کرد.

انجام چنین اقداماتی در کشور آمریکا همواره با نظارت و دخالت دولت آمریکا بوده است، همانطور که مجلسین آمریکا روی ­آوردن به سمت کارت‌های هوشمند را در دهه قبل نپذیرفتند، در سال ۲۰۱۴ کنگره آمریکا بود که الزام قانونی حرکت به سمت EMV را پدید آورده و رئیس جمهور آمریکا، آقای باراک اوباما نیز چندی پیش دستور داد که کلیه کارت­‌های Purchase Card دولت فدرال و دولت‌های ایالتی تبدیل به کارت‌­های هوشمند شود.

جستارهای وابسته

پانویس/ پاورقی

منابع

پیوند به بیرون

الگوهای ناوبری

رده