ای ام وی (EMV)

نسخهٔ تاریخ ‏۶ اکتبر ۲۰۲۱، ساعت ۱۷:۲۷ توسط M.arbabafzali (بحث | مشارکت‌ها)
(تفاوت) → نسخهٔ قدیمی‌تر | نمایش نسخهٔ فعلی (تفاوت) | نسخهٔ جدیدتر ← (تفاوت)

مفهوم: ای ام وی EMV

والد: استانداردهای اسمارت کارت یا کارت هوشمند

بعد:تشخیص

فرزند: تشخیص با پین و تشخیص با امضا


لید

استاندارد EMV یک چارچوب امنیتی است که توسط شرکت EMVCO ارائه شده و ناظر بر نحوه تعامل بین کارت‌های هوشمند و ابزارهای پذیرش آن‌ها در سطوح فیزیکی، الکتریکی، داده و برنامه کاربردی می‌باشد.

تعریف به حد

EMV یک روش پرداخت مبتنی بر یک استاندارد فنی برای کارت‌های پرداخت هوشمند و پایانه‌های پرداخت و دستگاه‌های خودپرداز است که می تواند آن‌ها را بپذیرد. EMV در اصل مخفف «Europay، Mastercard و Visa» یعنی سه شرکتی که این استاندارد را ایجاد کردند، است.

وجوه افتراق یا شقوق مختلف

ای ام وی یک نوع اسمارت کارت است که با کارت‌های نوار مغناطیسی متفاوت است. تراکنش مربوط به یک کارت اعتباری مبتنی بر تراشه EMV تنها در مواردی مجاز است که پین معتبر وارد شود. در حالی که در مورد کارت‌های تراشه غیر EMV (کارت‌های نوار مغناطیسی) تراکنش با امضای روی برگه شارژ مجاز خواهد بود.

فهرست مطالب

تاریخچه[ویرایش | ویرایش مبدأ]

شرکت EMVCO شرکتی تحقيقاتی و استانداردگذار است که با مشارکت یوروپی، مسترکارت و ویزا در سال ۱۹۹۶ و پس از پیشرفت‌های حاصله در حوزه کارت هوشمند پایه‌گذاری شد تا نسبت به جایگزینی یک استاندارد جهان شمول بجای استانداردهای پراکنده‌ای که تا قبل از آن توسط هر شرکتی به‌طور مستقل ایجاد و رعایت می‌شد، اقدام نماید. پس از این شرکت‌ها، شرکت جِی‌سی‌بی ژاپن در دسامبر ۲۰۰۴، امریکن اکسپرس در فوریه ۲۰۰۹ و چاینایونیون‌پِی در می ۲۰۱۳ بدان پیوستند. بر اساس این استاندارد تراکنش‌های پرداخت از طریق تعامل بین پایانه و کارت هوشمند، انجام می‌گیرد. این استاندارد تعامل کارت و ترمینال را در سطح فیزیکی، الکتریکی، داده و برنامه کاربردی تعریف می‌کند. استاندارد تراکنش با کارت‌های هوشمند سودنی ISO/IEC 7816 و برای کارت‌های بی سودنی ISO/IEC 14443 است.

اهداف و مزیت ها[ویرایش | ویرایش مبدأ]

مزیت این استاندارد و هدف از ایجاد آن، ایجاد یکپارچگی در کارت‌های هوشمند و ابزارهای پذیرش آن است. مزیت‌های اصلی این استاندارد شامل: «امنیت»، «کنترل بهینه و مطمئن تراکنش‌های برون خط» و استفاده از چند برنامه کاربردی روی یک کارت است.

این استاندارد از دو قسمت تشکیل می‌شود که قسمت اول نحوه تعامل بین کارت هوشمند و پایانه را تعریف می‌نماید و قسمت دوم، این تعامل را در لایه‌های داده و کاربری تعریف می‌نماید؛ و درآن، روال انجام تراکنش و کنترل‌های مورد نیاز در مراحل مختلف تعریف می‌شود. انجام تراکنش با کارت‌های ای‌ام‌وی می‌تواند بدون استفاده از رمز و یا با استفاده از آن باشد. این بستگی به کاربرد مورد انتظار از کارت و تراکنش دارد. بر اساس ISO/IEC 7816-3 (بخش سوم استاندارد مذکور) ارتباط بین ترمینال و کارت تحت APDU صورت می پذیرد. ترمینال، دستوری را برای کارت ارسال کرده، کارت آن را به‌صورت داخلی پردازش نموده و نتیجه را باز می‌گرداند.

بر اساس استاندارد ای‌ام‌وی، هر تولی کننده اپلیکیشن با نام RID شناخته شده و RID در کارت ذخیره می‌شود. هم چنین هر اپلیکیشنی با مشخصه‌ای با نام AID شناخته می‌شود که آن نیز در کارت ذخیره می‌شود. هم چنین مشخصه ای با نام PIX وجود دارد که طی آن اپلیکیشن‌های تولیدی توسط یک تولیدکننده از یکدیگر تفکیک می‌شوند.

روش های تشخیص و شناسایی[ویرایش | ویرایش مبدأ]

روش‌های متنوعی توسط ای‌ام‌وی برای شناسایی دارنده کارت پشتیبانی می‌شوند ملقب به CVM هستند. روش های شناسایی در یک تقسیم‌بندی کلی به دو دسته تقسیم‌بندی می شوند:

-Chip and Signature: که در آمریکا (تا قبل از سال ۲۰۱۵)، فیلیپین، مکزیک، آلمان، اتریش مرسوم است.

-Chip and PIN: که در کشورهای اروپایی، کانادا، استرالیا و نیوزلند مرسوم است.

ترمینال با خواندن لیست CVM موجود در کارت متوجه روش سی‌وی‌ام مربوط به هر کارت می شود. بر اساس استاندارد ISO/IEC 7816-4 (بخش چهارم)، کارت هوشمند می تواند به‌عنوان سیم کارت در شبکه جی‌اس‌ام مورد استفاده قرار گیرد، البته در آن‌جا دستورات مبادله شده بین کارت و شبکه/دستگاه درون‌سازمانی و بر اساس استاندارد ای‌ ام‌ وی نیست. برای مدیریت ریسک بهتر، این قابلیت در استاندارد ای‌ ام‌ وی فراهم است که تراکنش ها یا همیشه به‌صورت آنلاین انجام شده و یا در صورت انجام تراکنش به‌صورت برون‌خط، تحت شرایطی، مثلاً تراکنش با مبلغی بیش از مبلغ تعیین شده، به جای پردازش آفلاین به‌صورت آنلاین پردازش شود.

تراکنش­های غیر حضوری تحت استاندارد EMV[ویرایش | ویرایش مبدأ]

انجام تراکنش روی ابزارهای اینترنت، تلفن و ایمیل که کارت حاضر نیست، با کارت‌های ای‌ ام وی نیز میسر است، هرچند که در این حالت نیز نگرانی‌های امنیتی بیشتری نسبت به وضعیت عادی وجود دارد.

برای این امر دو دسته راهکار وجود دارد:

  • -راهکار صرف نرم‌افزاری که بر مبنای پیاده‌سازی پروتکل 3-D Secure است.
  • -سخت‌افزار مخصوص تراکنش‌های بدون کارت که اقدام به تولید رمز یکبار مصرف (OTP) می‌نماید. مسترکارت این اقدام را انجام داده و روش خود را CAP نامیده است. ویزا این اقدام را انجام داده و سرویس خود را DPA نامیده است. سخت‌فزار مخصوص تولید رمز یکبار مصرف که با کارت یکپارچه شده است. ویزا در یک پروژه که از سال ۲۰۰۸ و تحت نام Emue Card آغاز نموده، کارتی را در اختیار قرار داده که بجای ارقام CVV2 ثابت، ارقام یکبار مصرف تولید می‌نماید.

رمزنگاری در EMV[ویرایش | ویرایش مبدأ]

رمزنگاری در استاندارد EMV بر اساس الگوی نامتقارن و با استفاده از تابع RSA انجام می‌پذیرد. در طول زمان با افزایش توان پردازشی کامپیوترهای آزمایشگاهی و تجاری، طبق یک برنامه مشخص طول کلید مورد استفاده در الگوریتم رمزنگاری در این استاندارد افزایش می‌یابد تا نگرانی از این محل وجود نداشته باشد. به عنوان مثال بر اساس تواریخ زیر، طول کلیدها افزایش یافته است:

-استفاده از گواهینامه امنیتی با کلیدعمومی به طول ۷۶۸ بیت در ۳۱ دسامبر ۲۰۰۲ منقضی شده است.

-استفاده از گواهینامه امنیتی با کلیدعمومی به طول ۸۹۶ بیت در ۳۱ دسامبر ۲۰۰۴ منقضی شده است.

-استفاده از گواهینامه امنیتی با کلیدعمومی به طول ۱۰۲۴ بیت در ۳۱ دسامبر ۲۰۰۸ منقضی شده است.

-استفاده از کلیدهای ۱۱۵۲ بیت با تاریخ انقضای 31 دسامبر ۲۰۱۷ در حال حاضر در دستور کار است.

-استفاده از کلیدهای ۱۴۰۸ بیت پس از آن تاریخ آغاز شده و تا ۳۱ دسامبر ۲۰۲۴ معتبر خواهد بود.

وضعیت بکارگیری EMV در کشورهای مختلف[ویرایش | ویرایش مبدأ]

استاندارد EMV از زمان مطرح شدن توسط شرکت EMVCO در سال ۱۹۹۶ توسط بزرگان صنعت پرداخت مورد استفاده بوده است و هر ساله شاهد بکارگیری وسیع­تر این استاندارد در دنیا بوده‌­ایم. بر اساس اعلام شرکت مذکور در پایان سال ۲۰۱۲ وضعیت پیاده‌­سازی این استاندارد در دنیا به ترتیب جدول زیر است.

Region EMV Cards Adoption rate EMV Terminals Adoption rate
Canada, Latin America, Caribbean 401 M 49.2% 5.6 M 78.5%
Asia Pacific 372 M 26.7% 5 M 50.5%
Africa & Middle East 50 M 28.6% 0.6 M 76.7%
Europe Zone 1 755 M 80.7% 11.7 M 94.5%
Europe Zone 2 46 M 15.5% 0.9 M 73.2%
Totals 1.62 B 44.9% 23.8 M 75.7%

در این جدول کشور آمریکا مشاهده نمی‌­شود، چرا که علی­رغم بکارگیری این استاندارد توسط چهار بزرگ دنیای پرداخت که همگی شرکت‌­های آمریکایی هستند (ویزا، مسترکارت، آمریکن اکسپرس و دیسکاور) این استاندارد در آمریکا مقبول واقع نشده و تا نیمه سال ۲۰۱۵ آمریکا تنها کشور گروه G20 بود که این استاندارد را به طور گسترده پیاده‌­سازی نکرده بود.  

کشورهای عضو SEPA که در جدول بالا با Europe Zone 1 نمایش داده شده است از نظر بکارگیری این استاندارد نسبت به بقیه دنیا وضعیت مطلوب­‌تری دارد. این بدان علت است که بر اساس مصوبات کمیته پرداخت اروپا، استفاده از EMV در سطح اتحادیه اروپا / SEPA الزامی بود.

شایان ذکر است که موضوع الزام به استفاده از EMV در همه جای دنیا برگرفته از الگوی بکار گرفته شده توسط بزرگان صنعت پرداخت با نام Liability Shift نام دارد. در این الگو از یک تاریخ مشخص به بعد که در اتحادیه اروپا سال ۲۰۰۵ به بعد بود، مسئولیت هرگونه ریسک (کلاهبرداری، پولشویی و ...) در هنگام پذیرش کارت‌­های غیر EMV بر عهده مرچنت می­‌باشند. همین وضعیت در مورد صادرکنندگان تحت برند نیز وجود داشته و به شرط صدور کارت غیر EMV آن‌ها مسئولیت را باید بپذیرند. نتیجه این وضعیت، شرایطی را ایجاب می‌­کند که همگی به سمت استفاده از استاندارد هجوم آورده و تنها سهم کوچکی از بازار با پذیرش ریسک هم­چنان وضعیت قبلی را ادامه خواهد داد.

برنامه مهاجرت آمریکا به EMV[ویرایش | ویرایش مبدأ]

کشور آمریکا بعد از سال‌ها بالاخره تصمیم گرفت که از اکتبر ۲۰۱۵ به سمت پیاده‌­سازی EMV حرکت نماید. محرک اصلی حرکت به سمت EMV در آمریکا نیز موضوع ریسک زیاد روش‌­های مبنی بر کارت مغناطیسی بود که از سال ۱۹۶۰ در حال استفاده است. هزینه‌های برآوردشده در مسیر حرکت آمریکا به سمت EMV به شرح جدول زیر است:

Item Volume Estimated cost to replace
POS Device 15,000,000 6,750,000,000 $
ATM’s 360,000 500,000,000 $
Credit /Debit Cards 1,126,800,000 1,400,000,000 $
Total 1,142,160,000 8,650,000,000 $

همانگونه که ملاحظه می‌­شود هزینه ۸/۶۵ میلیارد دلار هزینه‌ه­ای بسیار گزاف است، ولی جالب توجه است که بدانیم بر اساس مدل­‌سازی­‌های صورت پذیرفته از آمار سال‌های قبل، برآورد هزینه ریسک (کلاهبرداری، پولشویی و ...) در سال ۲۰۱۵ در آمریکا برابر با ۱۰ میلیارد دلار خواهد بود. لذا بدیهی است که این مهاجرت صورت پذیرد. البته از هم اکنون برخی از شبکه­های کوچک خودپرداز اعلام نموده‌­اند که از این برنامه تبعیت نخواهند کرد.

انجام چنین اقداماتی در کشور آمریکا همواره با نظارت و دخالت دولت آمریکا بوده است، همانطور که مجلسین آمریکا روی ­آوردن به سمت کارت‌های هوشمند را در دهه قبل نپذیرفتند، در سال ۲۰۱۴ کنگره آمریکا بود که الزام قانونی حرکت به سمت EMV را پدید آورده و رئیس جمهور آمریکا، آقای باراک اوباما نیز چندی پیش دستور داد که کلیه کارت­‌های Purchase Card دولت فدرال و دولت‌های ایالتی تبدیل به کارت‌­های هوشمند شود.

جستارهای وابسته

پانویس/ پاورقی

منابع

"A short review of smart cards (2019 update)". Gemalto. 7 October 2019. Retrieved 27 October 2019.

Sorensen, Emily (26 July 2019). "The Detailed History of Credit Card Machines". Mobile Transaction. Retrieved 27 October 2019.

www.emv-connection.com. EMV Migration Forum. Archived from the original on 19 September 2015. Retrieved 15 November 2015.

پیوند به بیرون

الگوهای ناوبری

رده