文章目录
- EMVCo
- EMVCo是谁?
- EMVCo是做什么的?
- EMVCo是如何运作的?
- EMVCo 是否强制要求 EMV 规范?
- EMV
- EMV的历史背景
- EMV技术的一些关键点
- EMV Technologies
- EMV 认证
- EMV的三层认证
- EMV规范在全球各地存在差异
- 参考
EMVCo
EMVCo是谁?
EMVCo 是一家全球技术机构,通过管理和改进 EMV 规范和相关测试流程,促进全球互操作性和安全支付交易的接受度。
EMVCo 成立于 1999 年,旨在制定和管理规范,以应对在不同国家之间建立全球互操作性的挑战,并采用安全技术来打击卡欺诈,同时促进支付行业的创新。
EMVCo 由美国运通、Discover、JCB、万事达卡、银联和 Visa 共同拥有。
EMVCo是做什么的?
EMVCo 管理和改进 EMV 规范和支持计划,使基于卡的支付产品能够在全球范围内无缝、安全地协同工作。
作为一个寻求促进在安全性和互操作性方面标准化的支付基础设施的组织,EMVCo在将支付行业参与者之间的利益相关者利益聚集在一起方面发挥着重要作用。
但是,EMVCo 并未为实施其规范制定义务、要求或建议。EMVCo 不强制要求或强制执行发卡行、商户和收单行的 EMV 合规性或实施政策,这些政策由 EMVCo 之外的支付网络独立处理。
EMVCo是如何运作的?
EMVCo 的工作由六个成员组织(美国运通、Discover、JCB、万事达卡、银联和 Visa)监督,这些组织认识到对支付交易的可靠性和安全性以及使它们成为可能的技术基础设施负有共同责任。EMVCo由管理委员会管理,董事会由每个成员组织的两名代表组成。EMVCo 执行委员会由成员组织代表组成,为 EMVCo 的长期战略提供指导。
EMVCo 是否强制要求 EMV 规范?
不,EMVCo 不强制要求使用 EMV 规范。EMVCo 是一个技术机构,全权负责创建和维护 EMV 规范,这些规范可供任何组织免费使用。
EMV
“EMV”一词是一个注册商标,用于区分符合 EMV 规范的产品、服务和解决方案,从而使支付能够在店内、电子商务和远程支付环境中无缝、安全地进行。
其中,EMV代表"Europay, Mastercard, and Visa",这是三个最早推动和制定EMV标准的支付卡组织的首字母缩写。
EMV是一种支付卡技术标准,旨在提高信用卡和借记卡交易的安全性。这项技术的主要特征包括使用嵌入式芯片来存储和处理卡片信息,相对于传统的磁条卡,EMV卡更加安全。
目前已是全球公认的统一标准。EMV技术的推广旨在减少支付卡欺诈,提高交易的安全性,并推动全球范围内更安全、更先进的支付系统。
EMV的历史背景
二十世纪九十年代、二十一世纪初欧洲、美国等世界范围内的磁条银行卡被盗刷的情况比较严重。
为了解决磁条银行卡盗刷问题,几大银行卡组织成立了 EMVCo 组织制定 EMV 金融支付标准,在银行卡上加入芯片,可以存储信息和参与计算,芯片起到的作用包括:
-
数据安全:芯片内有一部分信息是不能被读取和复制的,确保卡片不能被复制,同时,芯片内也存储了一系列密钥,用于加密和身份认证;
-
交易安全:每次交易,芯片与 POS、ATM 等读卡设备,以及设备和交易后台之间都是要双向认证的。只有芯片确认 POS/ATM 读卡设备、交易后台身份合法。以及 POS/ ATM、交易后台确认 芯片 身份合法后,交易才有可能被批准。否则,任何一方身份校验失败,交易都会被拒绝;
EMV技术的一些关键点
-
芯片卡: EMV卡内置了芯片,与传统的磁条卡相比,这使得卡片信息更难以被盗取。芯片生成一次性的动态数据,使得每次交易都有唯一的标识符,降低了欺诈的风险。
-
PIN验证: 在许多EMV交易中,持卡人需要通过输入个人识别号码(PIN)进行身份验证,而不是通过签名。这提供了额外的安全性,因为只有持卡人知道PIN。
-
全球标准: EMV标准已成为全球范围内支付卡交易的主要标准,而不仅仅是欧洲。它由全球范围内的许多银行和支付卡组织所采用。
-
责任转移: 在EMV交易中,如果商家未能使用EMV兼容的终端设备处理交易,且发生欺诈行为,责任通常会转移到商家。这激励商家采用更安全的支付处理设备。
EMV Technologies
目前支持接触卡、非接卡、手机、二维码等交易。
EMV 认证
EMV认证指的是符合EMV标准的支付卡产品、终端设备以及相关支付系统的认证过程。EMV标准涉及到支付卡的制卡、终端设备的制造、以及交易处理等多个方面,因此进行EMV认证有助于确保整个支付生态系统的互操作性和安全性。以下是EMV认证的一些关键方面:
-
卡片认证: 针对符合EMV标准的支付卡,卡片制造商需要进行相应的认证。这包括对卡片芯片的性能、数据存储和处理能力等方面的测试。认证的目的是确保卡片能够正确地与各种终端设备进行通信,并安全地进行交易。
-
终端认证: 对符合EMV标准的终端设备(如POS终端)进行认证是为了验证其与卡片的互操作性。终端认证确保终端能够正确地读取和处理芯片卡上的信息,以及支持EMV交易的各个阶段,包括生成和验证动态数据等。
-
交易认证: 在EMV标准中,还存在与交易本身相关的认证过程。这包括对交易数据的处理、认证和授权。在EMV交易中,终端、卡片和支付系统之间的通信需要遵循一定的规则和协议,确保交易的安全性。
-
全球平台集成认证: 鉴于EMV是一个全球性的标准,认证过程也要考虑不同地区和国家的差异。因此,有一些全球平台集成认证的标准,以确保支付系统在全球范围内的一致性。
-
标准符合性认证: 卡片、终端设备以及支付系统都需要符合EMV标准的具体规范。因此,认证过程也涉及对这些产品和系统是否符合标准规范的验证。
根据EMV规范的要求,认证的内容按照硬件,EMV内核,应用层处理逻辑等划分为了3层,分别要通过不同的认证审核,得到不同的认证证书。
认证是一个动态的过程,随着技术的演进和新标准的制定,认证标准也可能得到更新。
EMV的三层认证
根据EMV规范,EMV认证通常包括对硬件、EMV内核以及应用层处理逻辑的三个层次的认证审核,每个层次都会获得相应的认证证书。这三个层次的认证涵盖了支付卡系统中的关键组件和处理流程。
-
硬件层认证: 这一层次的认证主要关注支付终端设备的硬件部分。审核的内容包括芯片卡读卡器、终端的物理安全性、通信接口等。目的是确保硬件设备能够正常地与EMV芯片卡进行通信,并且在物理上足够安全,以防范各类攻击。
-
EMV内核认证: EMV内核是嵌入在芯片卡和支付终端中的软件模块,负责处理EMV交易中的各个步骤。EMV内核认证关注的是这个软件模块的正确性、稳定性和与EMV标准的一致性。审核的内容包括EMV内核的功能测试、性能测试以及与EMV标准规范的符合性测试。
-
应用层处理逻辑认证: 这一层次的认证关注的是支付卡应用层的处理逻辑,包括卡片上的应用和终端设备上的应用。审核的内容包括交易流程、数据处理、安全性策略等方面的测试,以确保支付卡系统在实际使用中能够按照EMV标准的要求进行交易。
每个认证层次都会生成相应的认证证书,这些证书是对通过认证的组件或系统的一种确认,表明其符合EMV规范的要求。这些认证证书通常由专门的认证机构颁发,这些机构是经过认可和授权的,具有权威性。通过参与EMV认证,支付系统的各个组件能够得到验证,保证整个支付生态系统的安全性和互操作性。
EMV规范在全球各地存在差异
EMV通常指的是由EMVCo组织发布的EMV标准规范,而这些规范在全球范围内得到了广泛采用。然而,确实有一些国家或地区出于各种原因,可能选择不完全遵循或采用EMV规范。
一些国家可能出于自身金融管控和安全考虑,采用了不同的支付卡技术标准,或者在EMV标准的基础上进行了一些本地的定制。这可能包括对特定的加密算法、认证流程或者其他安全特性的调整。在这种情况下,虽然该国家的支付系统可能仍然具备高水平的安全性,但与全球使用EMV标准的地区可能存在一些差异。
这样的差异可能导致一些挑战,尤其是对于国际旅行者或者在跨国交易中涉及的商家和金融机构。为了促进全球支付体系的互操作性和安全性,国际上通常会推动采用EMV标准。
因地区间的差异和国家的主权考虑,一些地区仍然可能选择采用不同的支付卡技术标准。
参考
https://www.emvco.com/
