ای ام وی (EMV)
مفهوم: ای ام وی EMV
والد: استانداردهای اسمارت کارت یا کارت هوشمند
بعد:تشخیص
فرزند: تشخیص با پین و تشخیص با امضا
لید
استاندارد EMV یک چارچوب امنیتی است که توسط شرکت EMVCO ارائه شده و ناظر بر نحوه تعامل بین کارتهای هوشمند و ابزارهای پذیرش آنها در سطوح فیزیکی، الکتریکی، داده و برنامه کاربردی میباشد.
تعریف به حد
این استاندارد صورت تکاملیافته استاندارد اولیه کارته بنکره است که با اهداف مشابهی پیش از تولد این استاندارد مطرح بوده است.
وجوه افتراق یا شقوق مختلف
فهرست مطالب
محتویات
تاریخچه
شرکت EMVCO شرکتی تحقيقاتی و استانداردگذار است که با مشارکت یوروپی، مسترکارت و ویزا در سال ۱۹۹۶ و پس از پیشرفتهای حاصله در حوزه کارت هوشمند پایهگذاری شد تا نسبت به جایگزینی یک استاندارد جهان شمول بجای استانداردهای پراکندهای که تا قبل از آن توسط هر شرکتی بهطور مستقل ایجاد و رعایت میشد، اقدام نماید. پس از این شرکتها، شرکت جِیسیبی ژاپن در دسامبر ۲۰۰۴، امریکن اکسپرس در فوریه ۲۰۰۹ و چاینایونیونپِی در می ۲۰۱۳ بدان پیوستند. بر اساس این استاندارد تراکنشهای پرداخت از طریق تعامل بین پایانه و کارت هوشمند، انجام میگیرد. این استاندارد تعامل کارت و ترمینال را در سطح فیزیکی، الکتریکی، داده و برنامه کاربردی تعریف میکند. استاندارد تراکنش با کارتهای هوشمند سودنی ISO/IEC 7816 و برای کارتهای بی سودنی ISO/IEC 14443 است.
اهداف و مزیت ها
مزیت این استاندارد و هدف از ایجاد آن، ایجاد یکپارچگی در کارتهای هوشمند و ابزارهای پذیرش آن است. مزیتهای اصلی این استاندارد شامل: «امنیت»، «کنترل بهینه و مطمئن تراکنشهای برون خط» و استفاده از چند برنامه کاربردی روی یک کارت است.
این استاندارد از دو قسمت تشکیل میشود که قسمت اول نحوه تعامل بین کارت هوشمند و پایانه را تعریف مینماید و قسمت دوم، این تعامل را در لایههای داده و کاربری تعریف مینماید؛ و درآن، روال انجام تراکنش و کنترلهای مورد نیاز در مراحل مختلف تعریف میشود. انجام تراکنش با کارتهای ایاموی میتواند بدون استفاده از رمز و یا با استفاده از آن باشد. این بستگی به کاربرد مورد انتظار از کارت و تراکنش دارد. بر اساس ISO/IEC 7816-3 (بخش سوم استاندارد مذکور) ارتباط بین ترمینال و کارت تحت APDU صورت می پذیرد. ترمینال، دستوری را برای کارت ارسال کرده، کارت آن را بهصورت داخلی پردازش نموده و نتیجه را باز میگرداند.
بر اساس استاندارد ایاموی، هر تولی کننده اپلیکیشن با نام RID شناخته شده و RID در کارت ذخیره میشود. هم چنین هر اپلیکیشنی با مشخصهای با نام AID شناخته میشود که آن نیز در کارت ذخیره میشود. هم چنین مشخصه ای با نام PIX وجود دارد که طی آن اپلیکیشنهای تولیدی توسط یک تولیدکننده از یکدیگر تفکیک میشوند.
روش های تشخیص و شناسایی
روشهای متنوعی توسط ایاموی برای شناسایی دارنده کارت پشتیبانی میشوند ملقب به CVM هستند. روش های شناسایی در یک تقسیم بندی کلی به دو دسته تقسیم بندی می شوند:
-Chip and Signature: که در آمریکا (تا قبل از سال ۲۰۱۵)، فیلیپین، مکزیک، آلمان، اتریش مرسوم است.
-Chip and PIN: که در کشورهای اروپایی، کانادا، استرالیا و نیوزلند مرسوم است.
ترمینال با خواندن لیست CVM موجود در کارت متوجه روش سیویام مربوط به هر کارت می شود. بر اساس استاندارد ISO/IEC 7816-4 (بخش چهارم)، کارت هوشمند می تواند بهعنوان سیم کارت در شبکه جیاسام مورد استفاده قرار گیرد، البته در آنجا دستورات مبادله شده بین کارت و شبکه/دستگاه درونسازمانی و بر اساس استاندارد ایاموی نیست. برای مدیریت ریسک بهتر، این قابلیت در استاندارد ایاموی فراهم است که تراکنش ها یا همیشه بهصورت آنلاین انجام شده و یا در صورت انجام تراکنش بهصورت برونخط، تحت شرایطی، مثلاً تراکنش با مبلغی بیش از مبلغ تعیین شده، به جای پردازش آفلاین بهصورت آنلاین پردازش شود.
تراکنشهای غیر حضوری تحت استاندارد EMV
انجام تراکنش روی ابزارهای اینترنت، تلفن و ایمیل که کارت حاضر نیست، با کارتهای ای ام وی نیز میسر است، هرچند که در این حالت نیز نگرانیهای امنیتی بیشتری نسبت به وضعیت عادی وجود دارد.
برای این امر دو دسته راهکار وجود دارد:
-راهکار صرف نرمافزاری که بر مبنای پیادهسازی پروتکل 3-D Secure است.
-سختافزار مخصوص تراکنشهای بدون کارت که اقدام به تولید رمز یکبار مصرف (OTP) مینماید. مسترکارت این اقدام را انجام داده و روش خود را CAP نامیده است. ویزا این اقدام را انجام داده و سرویس خود را DPA نامیده است.
-سختفزار مخصوص تولید رمز یکبار مصرف که با کارت یکپارچه شده است. ویزا در یک پروژه که از سال ۲۰۰۸ و تحت نام Emue Card آغاز نموده، کارتی را در اختیار قرار داده که بجای ارقام CVV2 ثابت، ارقام یکبار مصرف تولید مینماید.
رمزنگاری در EMV
رمزنگاری در استاندارد EMV بر اساس الگوی نامتقارن و با استفاده از تابع RSA انجام میپذیرد. در طول زمان با افزایش توان پردازشی کامپیوترهای آزمایشگاهی و تجاری، طبق یک برنامه مشخص طول کلید مورد استفاده در الگوریتم رمزنگاری در این استاندارد افزایش مییابد تا نگرانی از این محل وجود نداشته باشد. به عنوان مثال بر اساس تواریخ زیر، طول کلیدها افزایش یافته است:
-استفاده از گواهینامه امنیتی با کلیدعمومی به طول ۷۶۸ بیت در ۳۱ دسامبر ۲۰۰۲ منقضی شده است.
-استفاده از گواهینامه امنیتی با کلیدعمومی به طول ۸۹۶ بیت در ۳۱ دسامبر ۲۰۰۴ منقضی شده است.
-استفاده از گواهینامه امنیتی با کلیدعمومی به طول ۱۰۲۴ بیت در ۳۱ دسامبر ۲۰۰۸ منقضی شده است.
-استفاده از کلیدهای ۱۱۵۲ بیت با تاریخ انقضای 31 دسامبر ۲۰۱۷ در حال حاضر در دستور کار است.
-استفاده از کلیدهای ۱۴۰۸ بیت پس از آن تاریخ آغاز شده و تا ۳۱ دسامبر ۲۰۲۴ معتبر خواهد بود.
وضعیت بکارگیری EMV در کشورهای مختلف
استاندارد EMV از زمان مطرح شدن توسط شرکت EMVCO در سال ۱۹۹۶ توسط بزرگان صنعت پرداخت مورد استفاده بوده است و هر ساله شاهد بکارگیری وسیعتر این استاندارد در دنیا بودهایم. بر اساس اعلام شرکت مذکور در پایان سال ۲۰۱۲ وضعیت پیادهسازی این استاندارد در دنیا به ترتیب جدول زیر است.
| Region | EMV Cards | Adoption rate | EMV Terminals | Adoption rate |
| Canada, Latin America, Caribbean | 401 M | 49.2% | 5.6 M | 78.5% |
| Asia Pacific | 372 M | 26.7% | 5 M | 50.5% |
| Africa & Middle East | 50 M | 28.6% | 0.6 M | 76.7% |
| Europe Zone 1 | 755 M | 80.7% | 11.7 M | 94.5% |
| Europe Zone 2 | 46 M | 15.5% | 0.9 M | 73.2% |
| Totals | 1.62 B | 44.9% | 23.8 M | 75.7% |
در این جدول کشور آمریکا مشاهده نمیشود، چرا که علیرغم بکارگیری این استاندارد توسط چهار بزرگ دنیای پرداخت که همگی شرکتهای آمریکایی هستند (ویزا، مسترکارت، آمریکن اکسپرس و دیسکاور) این استاندارد در آمریکا مقبول واقع نشده و تا نیمه سال ۲۰۱۵ آمریکا تنها کشور گروه G20 بود که این استاندارد را به طور گسترده پیادهسازی نکرده بود.
کشورهای عضو SEPA که در جدول بالا با Europe Zone 1 نمایش داده شده است از نظر بکارگیری این استاندارد نسبت به بقیه دنیا وضعیت مطلوبتری دارد. این بدان علت است که بر اساس مصوبات کمیته پرداخت اروپا، استفاده از EMV در سطح اتحادیه اروپا / SEPA الزامی بود.
شایان ذکر است که موضوع الزام به استفاده از EMV در همه جای دنیا برگرفته از الگوی بکار گرفته شده توسط بزرگان صنعت پرداخت با نام Liability Shift نام دارد. در این الگو از یک تاریخ مشخص به بعد که در اتحادیه اروپا سال ۲۰۰۵ به بعد بود، مسئولیت هرگونه ریسک (کلاهبرداری، پولشویی و ...) در هنگام پذیرش کارتهای غیر EMV بر عهده مرچنت میباشند. همین وضعیت در مورد صادرکنندگان تحت برند نیز وجود داشته و به شرط صدور کارت غیر EMV آنها مسئولیت را باید بپذیرند. نتیجه این وضعیت، شرایطی را ایجاب میکند که همگی به سمت استفاده از استاندارد هجوم آورده و تنها سهم کوچکی از بازار با پذیرش ریسک همچنان وضعیت قبلی را ادامه خواهد داد.
برنامه مهاجرت آمریکا به EMV
کشور آمریکا بعد از سالها بالاخره تصمیم گرفت که از اکتبر ۲۰۱۵ به سمت پیادهسازی EMV حرکت نماید. محرک اصلی حرکت به سمت EMV در آمریکا نیز موضوع ریسک زیاد روشهای مبنی بر کارت مغناطیسی بود که از سال ۱۹۶۰ در حال استفاده است. هزینههای برآوردشده در مسیر حرکت آمریکا به سمت EMV به شرح جدول زیر است:
| Item | Volume | Estimated cost to replace |
| POS Device | 15,000,000 | 6,750,000,000 $ |
| ATM’s | 360,000 | 500,000,000 $ |
| Credit /Debit Cards | 1,126,800,000 | 1,400,000,000 $ |
| Total | 1,142,160,000 | 8,650,000,000 $ |
همانگونه که ملاحظه میشود هزینه ۸/۶۵ میلیارد دلار هزینههای بسیار گزاف است، ولی جالب توجه است که بدانیم بر اساس مدلسازیهای صورت پذیرفته از آمار سالهای قبل، برآورد هزینه ریسک (کلاهبرداری، پولشویی و ...) در سال ۲۰۱۵ در آمریکا برابر با ۱۰ میلیارد دلار خواهد بود. لذا بدیهی است که این مهاجرت صورت پذیرد. البته از هم اکنون برخی از شبکههای کوچک خودپرداز اعلام نمودهاند که از این برنامه تبعیت نخواهند کرد.
انجام چنین اقداماتی در کشور آمریکا همواره با نظارت و دخالت دولت آمریکا بوده است، همانطور که مجلسین آمریکا روی آوردن به سمت کارتهای هوشمند را در دهه قبل نپذیرفتند، در سال ۲۰۱۴ کنگره آمریکا بود که الزام قانونی حرکت به سمت EMV را پدید آورده و رئیس جمهور آمریکا، آقای باراک اوباما نیز چندی پیش دستور داد که کلیه کارتهای Purchase Card دولت فدرال و دولتهای ایالتی تبدیل به کارتهای هوشمند شود.
جستارهای وابسته
پانویس/ پاورقی
منابع
پیوند به بیرون
الگوهای ناوبری
رده