Carding 4 Carders
Professional
При выполнении платежа в ситуации наличия карты (CP) от клиента может потребоваться подтверждение своей личности и авторизация для выполнения платежа с использованием метода проверки держателя карты (CVM). Обычно используемые CVM - это подпись клиента, ввод персонального идентификационного номера (PIN) и биометрические данные на мобильном устройстве или карте. Однако во многих ситуациях также есть возможность использовать noCVM, когда клиенту не нужно предоставлять дополнительную аутентификацию, кроме простого владения и использования самого механизма оплаты.
Использование noCVM наиболее распространено в бесконтактных платежах, когда карта нажимается на платежный терминал, а не вставляется или удаляется, поскольку это наиболее соответствует общей концепции «быстро и легко», с которой чаще всего ассоциируется бесконтактный. Однако нет никаких формальных ограничений, препятствующих использованию noCVM для контактных транзакций, а также для бесконтактных транзакций.
Определение того, какой CVM, если таковой имеется, будет использоваться для конкретного платежа, на самом деле может быть довольно сложным, с участием многих различных сторон. Стремясь уменьшить физический контакт, который может быть связан с платежами, во многих местах сейчас рассматривается вопрос об увеличении лимита бесконтактных noCVM, и в этом блоге точно описывается, что это означает, как этого можно достичь и какие сложности могут возникнуть при обеспечении последовательное и «свободное от прикосновения» взаимодействие с клиентами при бесконтактных платежах.
Идентификаторы CVM и проверки
Итак, какие возможные CVM существуют? Итак, из EMV Book 3 (Application Specification) у нас есть следующие таблицы возможных CVM в качестве вывода из списка, предоставленного картой в теге 8E. Первая таблица показывает, что первые два бита возвращаемых идентификаторов CVM либо зарезервированы для использования в будущем, либо указывают действие, которое необходимо предпринять, если выбранный CVM не удался. Например, если есть выбор онлайн-PIN, но это не удается, разрешено ли вернуться к подписи для авторизации транзакции? Во второй таблице показаны типы CVM, которые могут поддерживаться.
Проблемы совместимости CVM
При выполнении транзакции на основе EMV платежный терминал и карта должны «согласовать» приемлемый CVM для использования. Карта имеет список возможных CVM, которые она поддерживает (хранится в теге 8E, как показано в таблицах выше), который может представлять собой единый список для всех возможных значений транзакции или может включать различные типы CVM в зависимости от суммы покупки. Платежный терминал также будет иметь типы CVM, которые он поддерживает - если нет ПИН-панели, он не может поддерживать ввод ПИН-кода, например, - и поэтому могут возникать ситуации, когда терминал и карта не могут прийти к соглашению о том, какой CVM использовать. , и транзакция завершится неудачно.
Раньше это происходило довольно часто с международными путешественниками, когда их платежная карта, выпущенная внутри страны, поддерживает только онлайн-PIN, а платежный терминал в стране, которую они посещают, может поддерживать только автономный PIN-код. Но этот сценарий стал менее распространенным в наши дни с внедрением noCVM. Однако теперь существуют аналогичные ситуации, когда терминал может поддерживать только noCVM, например, в торговом автомате или билетном автомате, который не может принимать ввод PIN-кода, подпись или биометрические данные.
Вдобавок ко всему этому существует CDCVM - метод проверки держателя карты потребительского устройства. CDCVM полагается на аутентификацию, которую держатель карты предоставляет своему платежному механизму напрямую, например биометрический или PIN-код на мобильном телефоне. Когда используется CDCVM, это может быть указано в другом теге (не обязательно в теге 8E, который показывает поддержку CVM), и это может затем использоваться терминалом, чтобы решить, требуется ли дальнейшее использование CVM.
Суммы покупки CVM
Выше было отмечено, что в списке CVM, предоставленном картой, могут быть указаны разные CVM в зависимости от суммы покупки. Это делается путем указания сумм X / Y в списке CVM - двух разных значений суммы, которые можно использовать для определения до трех различных наборов CVM, которые будут использоваться:
Когда сумма покупки меньше значения X
Когда сумма покупки больше значения X, но меньше значения Y
Когда сумма покупки больше значения Y
Таким образом, карта может иметь значение X, равное 100 евро, и значение Y, например, 200 евро, и допускать использование noCVM для транзакций покупки ниже X, но не выше этого значения в 100 евро. На той же карте может быть разрешено использование подписи ниже значения Y 200 евро, но при этом требуется, чтобы онлайн-PIN использовался для всех транзакций, превышающих эту сумму.
Конечно, терминал по-прежнему должен «согласовать» CVM, который разрешает карта - карта, которая разрешает noCVM ниже значения Y 200 евро, все равно может запрашивать PIN-код, если терминал настроен на запрос PIN-кода выше 100 евро.
Накопительные лимиты
Одним из последних осложнений при изменении использования CVM является обеспечение ограничений на покупки или совокупной суммы, чаще всего связанных с соблюдением директивы PSD2 для строгой аутентификации клиентов (SCA). Здесь карта или эмитент будут отслеживать количество транзакций, выполненных между выполнением какой-либо более высокой формы CVM (например, проверка PIN-кода), и потребовать периодического использования этого более сильного CVM. Для PSD2 это ограничение составляет 5 транзакций или совокупная сумма покупки 150 евро.
В таких случаях, даже если терминал и карта соглашаются использовать noCVM для транзакции, если совокупная сумма покупки с момента последнего использования PIN-кода превышает 150 евро или для последних пяти транзакций использовался noCVM, Эмитент может отклонить транзакции и требуют, чтобы использовалась более сильная форма CVM (например, PIN).
Управление переходом noCVM
Поэтому, если вы хотите изменить лимит для noCVM, это не так просто, как просто изменить конфигурацию терминала, чтобы разрешить более высокие суммы. Карта должна быть соответствующим образом сконфигурирована, чтобы допускать это, и на самом деле серверная часть эмитента и системы управления мошенничеством эквайера также могут иметь влияние на это. В рамках мер по предотвращению недавних атак, когда было обнаружено, что данными, используемыми для определения CVM, выбранной для транзакции, можно манипулировать (поскольку эти данные часто не аутентифицируются), было увеличено количество случаев, когда эмитент проверяет используемую CVM. в транзакции, как сообщает терминал или в предоставленной криптограмме карты, и любые корректировки лимитов noCVM также должны включать корректировки этих проверок.
Итак, поскольку мы стремимся перейти к повышенным ограничениям для использования noCVM - по крайней мере, в краткосрочной перспективе (надеюсь), пока мы пытаемся минимизировать физический контакт в эти особенно сложные времена - вполне вероятно, что решения не будут полностью реализованы во всех сферах. Некоторые карты могут работать с повышенными лимитами, а некоторые - нет. Некоторые терминалы могут работать с повышенными лимитами, а некоторые - нет. Эта новая проблема совместимости должна быть рассмотрена и протестирована, чтобы помочь сделать этот переход как можно более плавным и, конечно же, помочь обеспечить достижение общей цели по обеспечению максимальной безопасности всех в это время.
Использование noCVM наиболее распространено в бесконтактных платежах, когда карта нажимается на платежный терминал, а не вставляется или удаляется, поскольку это наиболее соответствует общей концепции «быстро и легко», с которой чаще всего ассоциируется бесконтактный. Однако нет никаких формальных ограничений, препятствующих использованию noCVM для контактных транзакций, а также для бесконтактных транзакций.
Определение того, какой CVM, если таковой имеется, будет использоваться для конкретного платежа, на самом деле может быть довольно сложным, с участием многих различных сторон. Стремясь уменьшить физический контакт, который может быть связан с платежами, во многих местах сейчас рассматривается вопрос об увеличении лимита бесконтактных noCVM, и в этом блоге точно описывается, что это означает, как этого можно достичь и какие сложности могут возникнуть при обеспечении последовательное и «свободное от прикосновения» взаимодействие с клиентами при бесконтактных платежах.
Идентификаторы CVM и проверки
Итак, какие возможные CVM существуют? Итак, из EMV Book 3 (Application Specification) у нас есть следующие таблицы возможных CVM в качестве вывода из списка, предоставленного картой в теге 8E. Первая таблица показывает, что первые два бита возвращаемых идентификаторов CVM либо зарезервированы для использования в будущем, либо указывают действие, которое необходимо предпринять, если выбранный CVM не удался. Например, если есть выбор онлайн-PIN, но это не удается, разрешено ли вернуться к подписи для авторизации транзакции? Во второй таблице показаны типы CVM, которые могут поддерживаться.
| Бит 8 | Бит 7 | Бит 6 | Бит 5 | Бит 4 | Бит 3 | Бит 2 | Бит 1 | Действия, которые необходимо предпринять после обработки CVM |
| 0 | X | X | X | X | X | X | X | Зарезервировано для использования в будущем |
| X | 0 | X | X | X | X | X | X | Не пройти проверку держателя карты, если этот CVM не прошел. |
| Бит 8 | Бит 7 | Бит 6 | Бит 5 | Бит 4 | Бит 3 | Бит 2 | Бит 1 | CVM поддерживается |
| X | X | 0 | 0 | 0 | 0 | 0 | 1 | Обычный текст офлайн-проверка PIN-кода |
| X | X | 0 | 0 | 0 | 0 | 1 | 0 | Зашифрованная онлайн-проверка PIN-кода |
| X | X | 0 | 0 | 0 | 0 | 1 | 1 | Обычный текст в автономном режиме ПИН-код и подпись |
| X | X | 0 | 0 | 0 | 1 | 0 | 0 | Зашифрованная офлайн-проверка PIN-кода |
| X | X | 0 | 0 | 0 | 1 | 0 | 1 | Зашифрованная автономная проверка PIN-кода и подпись |
| X | X | 0 | 1 | 1 | 1 | 1 | 0 | Подпись |
| X | X | 0 | 1 | 1 | 1 | 1 | 1 | Нет CVM |
| X | X | 1 | 0 | X | X | X | X | Зарезервировано для использования платежной системой / брендом |
| X | X | 1 | 1 | X | X | X | X | Зарезервировано для использования эмитентом карты |
| X | X | 1 | 1 | 1 | 1 | 1 | 1 | Не доступен для использования |
| X | X | Все остальные значения, не указанные выше | Зарезервировано для использования в будущем |
Проблемы совместимости CVM
При выполнении транзакции на основе EMV платежный терминал и карта должны «согласовать» приемлемый CVM для использования. Карта имеет список возможных CVM, которые она поддерживает (хранится в теге 8E, как показано в таблицах выше), который может представлять собой единый список для всех возможных значений транзакции или может включать различные типы CVM в зависимости от суммы покупки. Платежный терминал также будет иметь типы CVM, которые он поддерживает - если нет ПИН-панели, он не может поддерживать ввод ПИН-кода, например, - и поэтому могут возникать ситуации, когда терминал и карта не могут прийти к соглашению о том, какой CVM использовать. , и транзакция завершится неудачно.
Раньше это происходило довольно часто с международными путешественниками, когда их платежная карта, выпущенная внутри страны, поддерживает только онлайн-PIN, а платежный терминал в стране, которую они посещают, может поддерживать только автономный PIN-код. Но этот сценарий стал менее распространенным в наши дни с внедрением noCVM. Однако теперь существуют аналогичные ситуации, когда терминал может поддерживать только noCVM, например, в торговом автомате или билетном автомате, который не может принимать ввод PIN-кода, подпись или биометрические данные.
Вдобавок ко всему этому существует CDCVM - метод проверки держателя карты потребительского устройства. CDCVM полагается на аутентификацию, которую держатель карты предоставляет своему платежному механизму напрямую, например биометрический или PIN-код на мобильном телефоне. Когда используется CDCVM, это может быть указано в другом теге (не обязательно в теге 8E, который показывает поддержку CVM), и это может затем использоваться терминалом, чтобы решить, требуется ли дальнейшее использование CVM.
Суммы покупки CVM
Выше было отмечено, что в списке CVM, предоставленном картой, могут быть указаны разные CVM в зависимости от суммы покупки. Это делается путем указания сумм X / Y в списке CVM - двух разных значений суммы, которые можно использовать для определения до трех различных наборов CVM, которые будут использоваться:
Когда сумма покупки меньше значения X
Когда сумма покупки больше значения X, но меньше значения Y
Когда сумма покупки больше значения Y
Таким образом, карта может иметь значение X, равное 100 евро, и значение Y, например, 200 евро, и допускать использование noCVM для транзакций покупки ниже X, но не выше этого значения в 100 евро. На той же карте может быть разрешено использование подписи ниже значения Y 200 евро, но при этом требуется, чтобы онлайн-PIN использовался для всех транзакций, превышающих эту сумму.
Конечно, терминал по-прежнему должен «согласовать» CVM, который разрешает карта - карта, которая разрешает noCVM ниже значения Y 200 евро, все равно может запрашивать PIN-код, если терминал настроен на запрос PIN-кода выше 100 евро.
Накопительные лимиты
Одним из последних осложнений при изменении использования CVM является обеспечение ограничений на покупки или совокупной суммы, чаще всего связанных с соблюдением директивы PSD2 для строгой аутентификации клиентов (SCA). Здесь карта или эмитент будут отслеживать количество транзакций, выполненных между выполнением какой-либо более высокой формы CVM (например, проверка PIN-кода), и потребовать периодического использования этого более сильного CVM. Для PSD2 это ограничение составляет 5 транзакций или совокупная сумма покупки 150 евро.
В таких случаях, даже если терминал и карта соглашаются использовать noCVM для транзакции, если совокупная сумма покупки с момента последнего использования PIN-кода превышает 150 евро или для последних пяти транзакций использовался noCVM, Эмитент может отклонить транзакции и требуют, чтобы использовалась более сильная форма CVM (например, PIN).
Управление переходом noCVM
Поэтому, если вы хотите изменить лимит для noCVM, это не так просто, как просто изменить конфигурацию терминала, чтобы разрешить более высокие суммы. Карта должна быть соответствующим образом сконфигурирована, чтобы допускать это, и на самом деле серверная часть эмитента и системы управления мошенничеством эквайера также могут иметь влияние на это. В рамках мер по предотвращению недавних атак, когда было обнаружено, что данными, используемыми для определения CVM, выбранной для транзакции, можно манипулировать (поскольку эти данные часто не аутентифицируются), было увеличено количество случаев, когда эмитент проверяет используемую CVM. в транзакции, как сообщает терминал или в предоставленной криптограмме карты, и любые корректировки лимитов noCVM также должны включать корректировки этих проверок.
Итак, поскольку мы стремимся перейти к повышенным ограничениям для использования noCVM - по крайней мере, в краткосрочной перспективе (надеюсь), пока мы пытаемся минимизировать физический контакт в эти особенно сложные времена - вполне вероятно, что решения не будут полностью реализованы во всех сферах. Некоторые карты могут работать с повышенными лимитами, а некоторые - нет. Некоторые терминалы могут работать с повышенными лимитами, а некоторые - нет. Эта новая проблема совместимости должна быть рассмотрена и протестирована, чтобы помочь сделать этот переход как можно более плавным и, конечно же, помочь обеспечить достижение общей цели по обеспечению максимальной безопасности всех в это время.
