EMV

EMV es un estandar de interoperabilidad de tarjetas IC ("Tarjetas con circuito integrado ") y TPV con soporte de circuito integrado, para la autenticacion de pagos mediante tarjetas de credito y debito . El nombre EMV es un acronimo de " Europay MasterCard VISA ", las tres companias que inicialmente colaboraron en el desarrollo del estandar. Los sistemas de tarjeta IC basados en EMV estan introduciendose de forma escalonada en todo el mundo.

El estandar EMV define la interaccion entre las tarjetas IC y los dispositivos de procesamiento de tarjetas IC a nivel fisico, electrico, de datos y de aplicacion, para transacciones finales. Algunas partes del estandar estan basados en gran medida en la interfaz 'IC microprocesador card' definida en el ISO 7816 .

El sistema es incompatible con las tarjetas Carte Bleue , desplegadas sistematicamente en Francia desde 1992 (aunque su existencia se remonta a 1967). Sin embargo, Carte Bleue esta migrando hacia el estandar EMV, habiendo iniciado dicho proceso en 2002 y encontrandose actualmente en un estado muy avanzado. Actualmente, es perfectamente posible utilizar tarjetas con el sistema EMV en Francia.

Diferencias y ventajas de EMV [ editar ]

El proposito y objetivo del estandar EMV es el de permitir una interoperabilidad segura, a nivel mundial, entre tarjetas IC que cumplan EMV y terminales de pago de tarjetas de credito que cumplan EMV. Existen dos ventajas principales al cambiar a tarjetas de credito y sistemas de pago basados en EMV: mayor seguridad (lo que implica una reduccion del fraude) y la posibilidad de controlar de forma mas detallada la aprobacion de transacciones sin conexion.

Las transacciones financieras mediante EMV ofrecen una mayor proteccion contra el fraude que los pagos tradicionales mediante tarjeta de credito con banda magnetica . Esto se debe al uso de algoritmos de cifrado como DES , Triple DES , RSA y SHA para la provision de autentificacion por parte de la tarjeta al terminal que la procesa, y al centro que se encarga de la transaccion. Sin embargo, el procesamiento es generalmente mas lento que utilizando tarjetas de banda magnetica, debido a los calculos criptograficos necesarios en el intercambio de mensajes entre tarjeta y terminal. Esta mejora en la proteccion contra el fraude ha permitido a bancos y entidades emisoras de tarjetas de credito iniciar una 'inversion de responsabilidades' segun la cual los comerciantes son ahora responsables (desde el 1 de enero de 2005) de todo fraude resultante de una transaccion realizada sin EMV en sus sistemas. La aplicacion practica de este nuevo concepto depende de cada pais y de su grado de implantacion de los pagos por EMV.

Aunque no se trate del unico metodo posible, la mayoria de implementaciones de tarjetas y terminales EMV confirman la identidad del propietario de la tarjeta solicitando el tecleo de un NIP ( Numero Identificacion Personal ) en lugar de requerir la firma del recibo en papel. La autentificacion mediante NIP depende de las posibilidades del terminal y de la programacion de la tarjeta. En el futuro, estos sistemas podrian actualizarse para utilizar otros sistemas de autentificacion, por ejemplo biometricos .

Control del estandar EMV [ editar ]

El estandar fue definido y es administrado por la entidad EMVco . El reconocimiento de cumplimiento del estandar EMV (certificacion de dispositivos) es emitido por EMVCo segun los resultados remitidos por una firma auditora homologada.

La prueba de cumplimiento de EMV tiene dos niveles: El Nivel 1 de EMV, que cubre interfaces a nivel fisico, electrico y de transporte, y el Nivel 2 de EMV que cubre la seleccion de aplicaciones de pago y el procesamiento de transacciones financieras mediante tarjetas de credito.

Comandos EMV [ editar ]

ISO 7816 -3 define el protocolo de transmision entre las tarjetas con chip y los lectores. El uso de este protocolo, los datos se intercambian en unidades de datos de protocolo de aplicacion (APDU). Esto incluye el envio de un comando a una tarjeta, procesamiento de la tarjeta, y el envio de una respuesta. EMV utiliza los siguientes comandos:

Bloquear aplicacion
Desbloquear aplicacion
Bloquear tarjeta
Autenticacion externa (7816-4)
Generar criptograma aplicacion
Obtener datos (7816-4)

Obtener opciones de procesamiento
Autenticacion interna (7816-4)
Cambio de PIN / desbloquear
Leer registro (7816-4)
Seleccionar (7816-4)
Verificar (7816-4)

Los comandos seguidos de "7816-4" se definen en la norma ISO / IEC 7816-4 y son comandos interindustriales utilizados para muchas aplicaciones de tarjetas con chip, como GSM SIM tarjetas.

Flujo de transacciones EMV [ editar ]

Una transaccion EMV sigue los siguientes pasos: ^[
1
]

Seleccion de aplicaciones
Iniciar el proceso de aplicacion
Leer datos de aplicacion
Restricciones de Procesamiento
Autenticacion de datos sin conexion
Verificacion del titular de la tarjeta
Gestion de riesgos del Terminal
Analisis de la accion Terminal
Analisis Primera accion tarjeta
Autorizacion de la transaccion en linea (solo lleva a cabo si es requerido por el resultado de los pasos anteriores; obligatoria en los cajeros automaticos)
Segunda accion de analisis de tarjeta
Procesamiento del Emisor .

Seleccion de aplicaciones [ editar ]

ISO 7816 define un proceso para la seleccion de la aplicacion. La intencion de seleccion de aplicacion fue permitir que las tarjetas alojasen diferentes aplicaciones, por ejemplo GSM y EMV. EMV sin embargo utilizo la seleccion de aplicaciones como una forma de identificar el tipo de producto, de modo que todos los emisores de productos (Visa, MasterCard, etc) tienen que tener su propia aplicacion. La forma de seleccion de solicitudes segun lo prescrito en el EMV es una fuente frecuente de problemas de interoperabilidad entre tarjetas y terminales. Libro 1 de la norma EMV dedica 15 paginas a describir el proceso de seleccion de la aplicacion.

Un identificador de aplicacion (AID) se utiliza para identificar una aplicacion en la tarjeta. Un AID consiste en un registro de proveedores de aplicaciones (RID) de cinco bytes, que es emitido por la autoridad de registro ISO / IEC 7816-5. Esto es seguido por una extension propietaria identificador de aplicacion (PIX) que permite que el proveedor de la aplicacion pueda diferenciar entre las diferentes aplicaciones que se ofrecen. El AID debe imprimirse en todos los recibos EMV.

Card scheme	RID	Product	PIX	AID
Visa	A000000003	Visa credit or debit	1010	A0000000031010
		Visa Electron	2010	A0000000032010
		V PAY	2020	A0000000032020
		Plus	8010	A0000000038010
MasterCard	A000000004	MasterCard credit or debit	1010	A0000000041010
		MasterCard ^[ 2 ]	9999	A0000000049999
		Maestro (debit card)	3060	A0000000043060
		Cirrus (interbank network) ATM card only	6000	A0000000046000
MasterCard	A000000005	Maestro UK (formerly branded as Switch )	0001	A0000000050001
American Express	A000000025	American Express	01	A00000002501
LINK (UK) ATM network	A000000029	ATM card	1010	A0000000291010
CB (France)	A000000042	CB (Credit or Debit card)	1010	A0000000421010
CB (France)	A000000042	CB (Debit card only)	2010	A0000000422010
JCB	A000000065	Japan Credit Bureau	1010	A0000000651010
Dankort (Denmark)	A000000121	Debit card	1010	A0000001211010
CoGeBan (Italy)	A000000141	PagoBANCOMAT	0001	A0000001410001
Diners Club / Discover	A000000152	Diners Club/Discover	3010	A0000001523010
Banrisul (Brazil)	A000000154	Banricompras Debito	4442	A0000001544442
SPAN2 (Saudi Arabia)	A000000228	SPAN	1010	A00000022820101010
Interac (Canada)	A000000277	Debit card	1010	A0000002771010
Discover	A000000324	ZIP	1010	A0000003241010
UnionPay	A000000333	Debit	010101	A000000333010101
		Credit	010102	A000000333010102
		Quasi Credit	010103	A000000333010103
		Electronic Cash	010106	A000000333010106
ZKA (Germany)	A000000359	Girocard	1010028001	A0000003591010028001
EAPS BANCOMAT (Italy)	A000000359	PagoBANCOMAT	10100380	A00000035910100380
Verve (Nigeria)	A000000371	Verve	0001	A0000003710001
The Exchange Network ATM Network	A000000439	ATM card	1010	A0000004391010
RuPay (India)	A000000524	RuPay	1010	A0000005241010

Iniciar el proceso de aplicacion [ editar ]

El terminal envia el comando obtener opciones de procesamiento a la tarjeta. Al enviar este comando, el terminal proporciona a la tarjeta todos los elementos de datos solicitados por esta en la opciones de tratamiento de la informacion lista de objetos (PDOL). El PDOL (una lista de las etiquetas y las longitudes de los elementos de datos) esta opcionalmente provisto por la tarjeta al terminal durante la Seleccion aplicacion . La tarjeta responde con el perfil de intercambio aplicacion (AIP), proporcionando una lista de las funciones que se deben realizar en el procesamiento de la transaccion. La tarjeta tambien envia el localizador de expediente de solicitud (AFL), una lista de los archivos y registros que el terminal tiene que leer de la tarjeta.

Leer datos de aplicacion [ editar ]

En las Tarjetas inteligentes se almacenan datos en archivos. La AFL contiene los archivos que contienen datos EMV. Los datos se leen con el comando registro leido. EMV no especifica en que archivos se almacenan los datos, asi que todos los archivos tienen que ser leidos. Los datos de estos archivos se almacenan siguiendo las BER y el formato TLV . EMV define valores de las etiquetas de todos los datos utilizados en el procesamiento de tarjetas.

Restricciones de Procesamiento [ editar ]

El proposito de las restricciones de procesamiento es comprobar si la tarjeta se debe utilizar. Se comprueban tres elementos de datos leidos en el paso anterior:

Numero de version de la aplicacion
El control de la utilizacion de aplicaciones (Esto muestra si la tarjeta es solo para el uso domestico, etc)
Las fechas de aplicacion efectiva / caducidad.

Si cualquiera de estas comprobaciones falla, la tarjeta no es necesariamente rechazada. El terminal establece el bit apropiado en los resultados de la verificacion de terminal (TVR), los componentes de los que forman la base de una decision de aceptar / rechazar mas adelante en el flujo de la transaccion. Esta funcion permite, por ejemplo, que los emisores de tarjetas permitan a sus usuarios seguir utilizando las tarjetas caducadas despues de su fecha de caducidad, pero para todas las transacciones realizadas con una tarjeta caducada, obligar a realizarla en linea.

Autenticacion de datos sin conexion [ editar ]

Con la autenticacion de datos sin conexion ( offline ) se pretende validar la autenticidad de la tarjeta empleando criptografia de clave publica. EMV contempla tres metodos diferentes dependiendo de las caracteristicas del chip y las necesidades de seguridad:

Autenticacion de datos estatica (SDA): Metodo que asegura que ciertos datos leidos de la tarjeta (por ejemplo, su fecha de caducidad) han sido firmados por la entidad emisora de la tarjeta. Esto evita que estos datos sean modificados (por ejemplo, ampliando la caducidad de la tarjeta), pero no impide la clonacion de la tarjeta completa.
Autenticacion de datos dinamica (DDA): Metodo que proporciona proteccion contra la alteracion de ciertos datos y la clonacion de tarjetas completas. Esto se realiza mediante la firma dinamica (es decir, diferente en cada transaccion) no solo de los datos que se desea proteger sino tambien de un numero aleatorio. Para poder aplicar DDA es necesario que el chip de la tarjeta sea capaz de realizar cifrados de criptografia de clave publica.
Autenticacion de datos combinada (CDA): Metodo que combina el SDA con la firma dinamica no solo de ciertos datos sino de la transaccion completa, lo que permite una mayor seguridad. Sin embargo, este proceso solo puede realizarse cuando tanto tarjeta como terminal estan actualizados para soportarlo.

Verificacion del titular de la tarjeta [ editar ]

La Verificacion del titular de la tarjeta se utiliza para evaluar si la persona que presenta la tarjeta es el titular legitimo. Hay muchos metodos de verificacion del titular de la tarjeta (CVMS) apoyados en EMV:

Firma
Plaintext PIN offline
PIN cifrado offline
Plaintext PIN y firma offline
PIN y firma cifrada offline
PIN Online
No se requiere CVM
Procesamiento de Falla CVM.

El terminal usa una lista CVM enviada por la tarjeta para determinar el tipo de verificacion a realizar. La lista CVM establece una prioridad de CVMS para ser utilizados en relacion con las capacidades del terminal. Diferentes terminales soportan diferentes CVMS. Cajeros automaticos en general requieren PIN en linea. Los terminales punto de venta varian en su uso de CVM en funcion de su tipo y en que pais se encuentran ubicados.

Chip y PIN vs Chip y firma [ editar ]

De acuerdo a la preferencia del emisor, algunas tarjetas EMV son "chip y pin" y requieren que el cliente teclee un codigo de 4 a 6 digitos numero de identificacion personal (PIN) al hacer una compra en terminales con capacidad PIN. Las fichas en estas tarjetas ofrecen "PIN" en la parte superior de la lista de posibles metodos de verificacion del titular de la tarjeta (CVM), pero con una opcion de reserva para la firma (o incluso ninguna verificacion en los terminales no atendidos).

Otras tarjetas EMV usan o bien solo la firma o bien firma sobre PIN en su lista de CVM (es decir, la firma en el punto de venta, pero el PIN en los terminales o cajeros automaticos sin vigilancia). Estos son a menudo llamados "chips y tarjetas de firma". ^[
3
]

Las tarjetas configuradas solo con firma no funcionaran en punto de venta que no permite un CVM distinto de PIN, como algunos quioscos no atendidos en Europa, ^[
3
] mientras que las tarjetas de firmas podrian funcionar. POS Atendido que se cuenta con personal de comerciantes estan obligados por el contrato de tarjeta de credito para aceptar tarjetas de banda magnetica, asi como chips y tarjetas de firma. ^[
3
] Chip y tarjetas con PIN no se han adoptado en los EE.UU. a partir de 2012 para una variedad de razones, incluyendo la falta de caracteristicas de gestion de PIN en cajeros automaticos. ^[
3
]

A partir de 2012, las tarjetas de chip y firma son mas comunes en los EE.UU., Australia, Nueva Zelanda y algunos paises europeos (como Alemania y Austria), mientras que las tarjetas de chip y PIN son mas comunes en otros paises europeos (por ejemplo, el Reino Unido, Irlanda, Francia y los Paises Bajos), asi como en Canada. ^[
3
]

Gestion de riesgos del Terminal [ editar ]

La gestion de riesgos Terminal solo se realiza en los dispositivos donde hay una decision que debe tomarse si una operacion debe ser autorizada en linea o fuera de linea. Si las transacciones se realizan siempre en linea (por ejemplo, cajeros automaticos) o siempre fuera de linea, este paso se puede perder. La gestion del riesgo de Terminal Server verifica el monto de la transaccion contra de un limite maximo fuera de linea (por encima del cual las transacciones deben hacerse en linea). Tambien es posible tener un 1 en n contador en linea, y un cheque contra una lista de tarjetas caliente (que solo es necesaria para las transacciones fuera de linea). Si el resultado de cualquiera de estas pruebas es positiva, el terminal establece el bit apropiado en el resultados de la verificacion de terminal (TVR).

Analisis de la accion Terminal [ editar ]

Los resultados de las etapas de procesamiento anteriores se utilizan para determinar si una transaccion debe ser aprobada fuera de linea, enviados en linea para autorizacion, o incluso fuera de linea. Esto se hace utilizando una combinacion de codigos de accion de terminales (TAC) que se celebran en el terminal y codigos de accion Emisor (IAC), que se leen en la tarjeta.

Una linea de solo dispositivo, como un cajero automatico siempre trata de ir en linea con la solicitud de autorizacion, a menos que se redujo fuera de linea debido a codigos de accion Emisor ajustes - negacion. Durante IAC- negacion y TAC- Negacion de procesamiento, para una linea unico dispositivo, el unico resultados de la verificacion de terminal poco relevante es "El servicio no permitido ".

Cuando una linea de solo dispositivo realiza IAC- Online y TAC- Online transformacion del unico bit TVR relevante es el "valor de transaccion excede el limite de piso". Debido a que el limite de suelo se ajusta a cero, la transaccion siempre debe ir en linea y todos los demas valores de TAC- linea o IAC- Online son irrelevante.

Solo en linea dispositivos no necesitan para llevar a cabo el procesamiento de IAC -default.

Analisis Primera accion tarjeta [ editar ]

Uno de los objetos de datos leidos de la tarjeta en la etapa de Leer datos de aplicacion es el CDOL1 (Lista de objetos de datos de la tarjeta). Este objeto es una lista de etiquetas que la tarjeta quiere enviar para tomar una decision sobre si se debe aprobar o rechazar la transaccion (incluyendo monto de la transaccion, pero muchos otros objetos de datos tambien). El terminal envia estos datos y solicita un criptograma con el comando generar criptograma de aplicacion. En funcion de la decision de la terminal (fuera de linea, en linea, el declive), la terminal solicita una de las siguientes criptogramas de la tarjeta :

Certificado de transaccion (TC) - Desconectado aprobacion
Autorizacion de Solicitud de Autorizacion del criptograma (ARQC) -Online
La aplicacion de autenticacion criptograma (AAC) Desconectado declive.

Este paso de la tarjeta da la oportunidad de aceptar el analisis de la actuacion de la terminal o rechazar una transaccion o forzar una transaccion en linea. La tarjeta no puede devolver un TC cuando un ARQC se ha solicitado, pero puede devolver un ARQC cuando un TC se ha solicitado.

Autorizacion de la transaccion en linea [ editar ]

Transacciones ir en linea cuando se ha solicitado una ARQC. El ARQC se envia en el mensaje de autorizacion. La tarjeta genera el ARQC. Su formato depende de la aplicacion de la tarjeta. EMV no especifica el contenido de la ARQC. El ARQC creado por el uso de la tarjeta es un [firma digital []] de los detalles de la transaccion que se puede comprobar en tiempo real por el emisor de la tarjeta. Esto proporciona un fuerte de comprobacion criptografica que la tarjeta es autentica. El emisor responde a una solicitud de autorizacion con un codigo de respuesta (aceptar o rechazar la transaccion), un criptograma respuesta de autorizacion (ARPC) y, opcionalmente, una secuencia de comandos emisor (una cadena de comandos para ser enviados a la tarjeta).

Segunda accion de analisis de tarjeta [ editar ]

CDOL2 (lista de objetos de datos de tarjeta) contiene una lista de etiquetas que la tarjeta quiere ser enviado tras la autorizacion de transacciones en linea (codigo de respuesta ARPC, etc.) Incluso si por alguna razon el terminal no podia ir en linea (por ejemplo, fallo de comunicacion), el terminal debe enviar estos datos a la tarjeta de nuevo utilizando el comando generara criptograma autorizacion. De este modo, la tarjeta sabe la respuesta del emisor. La solicitud de la tarjeta puede entonces reajustar los limites de uso sin conexion.

Procesamiento del Emisor [ editar ]

Si un emisor de la tarjeta desea actualizar una emision posterior de tarjeta que puede enviar comandos a la tarjeta mediante el proceso del script emisor. Guiones Emisor se cifran entre la tarjeta y el emisor, por lo que no tienen sentido a la terminal. Emisor secuencia de comandos se puede utilizar para bloquear tarjetas, o cambiar parametros de la tarjeta.

Vease tambien [ editar ]

NFC

Referencias [ editar ]

↑ ≪Copia archivada≫ . Archivado desde el original el 25 de enero de 2014 . Consultado el 26 de enero de 2014 .
↑ PayPass Implementation Guides
↑ ^a ^b ^c ^d ^e "Chip-and-PIN vs. Chip-and-Signature" , CardHub.com, retrieved 31 July 2012.

Enlaces externos [ editar ]

EMVCo , Organismo responsable del desarrollo y mantenimiento del estandar
Chip and PIN , web dirigida por la Asociacion para Servicios de compensacion de pagos ( APACS ), la autoridad central de coordinacion del Reino Unido para la implementacion de EMV
Chip and SPIN , discusion de algunos aspectos de seguridad de EMV, de los miembros de la Universidad de Cambridge Grupo de Seguridad
Que es EMV? , Una guia tecnica para transacciones EMV, completa con un glosario de terminos de un diagrama de flujo que muestra las etapas de una transaccion tipica
Glosario de terminos EMV , un glosario completo de terminos y terminologia utilizada en EMV
Carte Bleue - Entidad francesa competidora de EMV que actualmente esta adaptandose al estandar EMV (en Frances)

Datos: Q923066
Multimedia: Contact EMV / Q923066

[1] ≪Copia archivada≫ . Archivado desde el original el 25 de enero de 2014 . Consultado el 26 de enero de 2014 .

[2] PayPass Implementation Guides

[chipAndPin-3] "Chip-and-PIN vs. Chip-and-Signature" , CardHub.com, retrieved 31 July 2012.

[ 1 ]

[ 2 ]

[ 3 ]