EMV в пути: обезболивающие в затруднительном положении при PCI

[Carding 4 Carders]

EMV в пути соединяет общественный транспорт с (глобальными) схемами оплаты, обеспечивая большую простоту использования пассажирам пригородных поездов. Однако, поскольку такие решения по своей сути обрабатывают данные платежных карт, требуется, чтобы операторы общественного транспорта (PTO), реализующие такие решения с оплатой на выходе, соответствовали Стандарту безопасности данных индустрии платежных карт (PCI DSS). Это верно, даже если шлюзы не обрабатывают платежи напрямую, а «только» собирают данные карты для последующей обработки.

Соответствие стандарту PCI DSS оценивается квалифицированным специалистом по безопасности (QSA) посредством аудита. Хотя соблюдение PCI DSS является зрелым процессом для многих организаций, EMV в процессе передачи может создать новые проблемы и привлечь новых сторон к соблюдению требований PCI. Это, в свою очередь, может привести к возникновению большего количества проблем во время аудита или, возможно, в худшем случае к компрометации и раскрытию данных платежных карт, что приведет к потенциально дорогостоящему и наносящему ущерб бренду нарушению.

Чтобы убедиться, что аудит проходит гладко и позволяет достичь двух целей - соответствия требованиям и безопасности вашей платежной инфраструктуры, крайне важно убедиться, что QSA, который вы выбираете для проведения аудита, обладает опытом и знаниями в тонкостях и взаимодействии различных PCI. стандарты, а также EMV и операции с оплатой по прибытии. Кроме того, вы должны четко задокументировать свои существующие процессы и системы, которые включают данные платежных карт, чтобы помочь вам понять области соответствия для вашей системы и помочь вашему QSA понять эти области во время аудита.

Как правило, есть два основных способа облегчить процесс аудита:

• Ограничьте объем аудита PCI DSS.
• Используйте компоненты, которые могут быть реализованы в соответствии с требованиями PCI DSS.

Но как применить эти средства к EMV в транзитной среде? Как наиболее эффективно достичь целей в области соблюдения нормативных требований и безопасности?

Ограничение области действия PCI DSS
Аудит PCI DSS учитывает не только технологии, но также людей и процессы. Важной концепцией PCI DSS является среда данных о держателях карт ( CDE ), которая включает все системы, людей и процессы, в которых задействованы данные о держателях карт. Помимо CDE, любая система, которая может повлиять на безопасность CDE, также подпадает под аудит PCI DSS.

Таким образом, внедрение EMV в транзитном режиме должно быть сосредоточено на максимальном ограничении CDE и ограничении данных о держателях карт теми системами, которые их обрабатывают:

• Механизмы приема карт (в том числе считыватели Pay-at-Gate)
• Платежная бэк-офисная система PTO (или транзитная схема) для изменения стоимости транзакций в соответствии с фактической стоимостью проезда и пересылки их в систему своего банка-эквайера.
• Система поддержки клиентов для идентификации поездок клиентов по их карте или номеру основного счета (PAN).

Другие системы также могут потребовать данные транзакции. Например, для реконструкции поездки требуется идентификатор, чтобы связать транзакции регистрации с транзакциями выезда. Для расчета тарифа идентификаторы должны быть связаны с продуктами или, в случае ограничения тарифов, с предыдущими поездками. Вместо использования PAN в качестве идентификатора эти системы могут использовать токенизированные или хешированные PAN, чтобы помочь с ограничением объема. В будущем EMV представляет концепцию « PAR » - справки по платежному счету, которая предназначена для использования в качестве замены PAN именно в таких ситуациях, однако использование PAR в настоящее время ограничено, и функциональная транзитная система не может предполагать, что такое значение будет присутствовать в это время.

Чтобы обеспечить как можно меньший объем PCI DSS, CDE и любые системы, которые могут повлиять на их безопасность (например, системы удаленного управления), должны быть отделены от других систем PTO. Это может быть достигнуто путем сегментации сети, как показано в примере на рисунке 1.

Использование компонентов и решений, совместимых с PCI
Еще один способ уменьшить влияние аудита PCI DSS - использовать компоненты и решения, которые уже соответствуют некоторым стандартам PCI. Это, конечно, включает PCI DSS, но также и другие стандарты PCI, поэтому важно понимать, каким программам PCI соответствует выбранное решение и как это может повлиять на аудит. Когда поставщик какого-либо конкретного платежного продукта рекламирует «соответствие требованиям PCI», вы должны спросить, какой именно программе PCI он соответствует, и как это соответствие было подтверждено.

Безопасность транзакций с помощью PIN-кода PCI (PCI PTS) может применяться к любому устройству, которое принимает данные карты PCI. Однако только устройства, которые принимают PIN-код, должны соответствовать стандарту PCI PTS, и поэтому многие транзитные терминалы, такие как устройства приема платежей на входе, не обязаны соответствовать требованиям PCI PTS. Несмотря на это, некоторые терминалы могут соответствовать разделу этого стандарта, не относящемуся к PIN, который касается «Безопасного чтения и обмена данными» (SRED). Приобретение терминалов, совместимых с SRED, гарантирует, что конфиденциальные данные карты (без PIN-кода) могут быть безопасно обработаны устройством и выведены в зашифрованном виде, что защищает конфиденциальность этих данных.Список продуктов, соответствующих стандарту PCI PTS, поддерживается самой PCI., и каждый список можно выбрать, чтобы определить, совместимо ли решение с SRED (как показано в примере ниже):

Часто такие устройства утверждаются как SCR или Secure Card Reader, хотя соответствие SRED может также применяться к другим типам устройств PTS. Важно ознакомиться с политикой безопасности таких устройств и, возможно, попросить совета по их безопасному использованию, так как режим шифрования работы может потребовать правильной настройки. Из-за этой сложности системы, использующие терминалы, совместимые с SRED, для сокращения объема PCI DSS, должны быть надлежащим образом проверены специальным экспертом, утвержденным в рамках программы PCI Point-to-Point Encryption (PCI P2PE).

Программа PCI P2PE обеспечивает достаточную защиту данных о держателях карт при их передаче с терминала в бэк-офис. Это позволяет рассматривать любую инфраструктуру, через которую проходят (зашифрованные) данные, вне сферы действия стандарта PCI DSS. Однако важно понимать, что оценка компонентов и общего решения P2PE по-прежнему требуется для соответствия требованиям P2PE, поэтому выбор правильных поставщиков технологий и партнеров жизненно важен для получения максимальной отдачи от любого сокращения объема.

Процессы, в которых задействованы терминалы, такие как управление устройствами и управление уязвимостями, также входят в сферу действия стандарта PCI DSS. Если поставщик продемонстрировал, что его решение может быть реализовано в соответствии с PCI DSS, он уже определил эти процессы. PTO должны интегрировать эти процессы в свою повседневную деятельность, чтобы предоставить четкие доказательства соответствия PCI DSS QSA.

Другой примечательной программой PCI является PA DSS, которая касается программного обеспечения платежных приложений, в отличие от PCI PTS, которая фокусируется на аппаратном и программном обеспечении систем приема карт. Стандарт безопасности данных платежных приложений (PA DSS) обычно применяется к готовым программным продуктам и способствует - но по сути не обеспечивает и не заменяет - соответствие стандарту PCI DSS. Обычно платежное приложение уже является частью терминала, предоставляемого продавцом. В этом случае поставщик несет ответственность за правильную интеграцию приложения, что является еще одной причиной, по которой PTO выбирают поставщиков, которые используют строительные блоки, соответствующие стандарту PCI, и стремятся обеспечить, чтобы их договорные соглашения с третьими сторонами правильно и полностью распределяли каждую область Соблюдение PCI в нужные стороны.

Конечно, можно провести аудит с компонентами, которые ранее не демонстрировали соответствие требованиям PCI, но это может внести как сложности в оценку, так и риск несоблюдения. Таким образом, и МОМ, и поставщики получают выгоду от компонентов, которые могут быть наглядно реализованы способами, совместимыми с различными стандартами PCI, с конечной целью облегчения бремени демонстрации соответствия PCI DSS во время аудита на месте.

Вывод
Реализация EMV в процессе передачи должна соответствовать Стандарту безопасности данных индустрии платежных карт (PCI DSS), и, вероятно, будут подвергнуты проверке PCI DSS на месте утвержденным квалифицированным специалистом по оценке безопасности (QSA). Помимо четкого документирования их процессов и систем и активной поддержки QSA, лучший способ облегчить аудит PCI DSS - это ограничить его объем, сохранив небольшую среду данных о держателях карт (CDE) и максимально сегментируя ее от других систем. Кроме того, компоненты, которые продемонстрировали свою совместимость с PCI, могут избавить как поставщиков, так и операторов общественного транспорта (PTO) от большой головной боли, а решения, которые могут соответствовать стандарту PCI Point-to-Point Encryption (PCI P2PE) следует внимательно рассмотреть как вариант, позволяющий значительно сократить общий процесс соответствия.

 

[Carding 4 Carders]

EMV во время пандемии​

В ответ на пандемию COVID-19 продавцы изучают варианты, чтобы сделать покупки более безопасными для своих клиентов. Процесс оплаты в магазине представляет собой уникальную проблему из-за физического взаимодействия с терминалами и ПИН-кодами во время транзакций. Хотя «новая норма» может включать в себя расширенные протоколы очистки и дезинфекции поверхностей с высокой степенью касания, она также дает возможность переосмыслить способы осуществления платежей, включая более широкое внедрение вариантов бесконтактных и мобильных платежей.

Поскольку предприятия уже сталкиваются с множеством проблем, любые продавцы, которые не рассматривают полезность бесконтактных платежей в этой новой среде и вместо этого полагаются исключительно на устаревшие методы контактной оплаты, такие как магнитная полоса и контакт с EMV, должны оценить влияние предпочтений клиентов для «бесконтактный» опыт сказывается на их бизнесе. Клиенты могут не решаться платить, вводя ПИН-код или подписываясь стилусом на панели для ввода ПИН-кода при покупке предметов первой необходимости в продуктовом магазине или при покупке бензина на заправочной станции.

Таким образом, у продавцов и их партнеров есть возможность подумать о том, как наилучшим образом удовлетворить потребности клиентов за счет перехода на бесконтактные и мобильные способы оплаты. Однако любое такое изменение оборудования или методов обработки платежей все равно необходимо будет сертифицировать в соответствии с соответствующими требованиями, такими как те, которые регулируют прием бесконтактных платежей. Для завершения такого процесса сертификации эквайеров и брендов карт могут потребоваться месяцы и потребуются ресурсы, прежде чем варианты бесконтактной оплаты можно будет развернуть в торговых точках.

Как лучше всего справиться с этой головоломкой?
Наши эксперты по бесконтактным платежам дают рекомендации, которые следует использовать во время пандемии COVID-19 для розничных продавцов, которые должны использовать способ оплаты, требующий от покупателя вставить или провести карту. Рекомендации, представленные в этом посте, предназначены для рынка США, но, обладая глобальным опытом и влиянием UL в области платежей, вы можете быть уверены, что мы сможем помочь с любыми географическими реализациями, которые могут быть интересны помимо этого.
Эти функции можно включать и отключать без необходимости повторной сертификации в отношении эквайера и брендов карт, а также отключения идентификаторов дебетовых приложений (AID), и их можно развернуть, просто выполнив регрессию по выбранным тестовым случаям. Приведенный ниже список не является исчерпывающим, и некоторые из вариантов предназначены для совместной работы в тандеме для достижения общей цели сокращения физического контакта во время оплаты в магазине.

Автоматический выбор дебета

Проблема:
Функция «автоматического дебетования» может позволить продавцам отдавать предпочтение дебетовому приложению по сравнению с другими базовыми продуктами того же бренда. Когда продавец поддерживает автоматическое дебетование, покупатель часто заканчивает тем, что вводит ПИН-код или обходит его, что требует контакта с поверхностью ПИН-панели.

Смягчение:
У продавцов есть настраиваемая опция для отключения опции автоматического дебетования и выбора держателя карты, которая позволяет приложению Point of Sale (POS) выбирать приложение с наивысшим показателем приоритета в микросхеме без вмешательства держателя карты при вводе PIN-кода, уменьшая физический контакт во время оплаты. .

Фильтрация списка кандидатов

Проблема:
Платежные карты могут иметь несколько резидентных приложений, таких как приложение «внутренний дебет» и приложение «международный кредит». Как отмечалось выше, схемы дебетования часто требуют использования ПИН-кода, поэтому, когда эти приложения выбираются по умолчанию для оплаты, это может привести к усилению контакта с терминалом.

Смягчение:
Продавцы могут иметь настраиваемую опцию для определения приоритета глобальных кредитных приложений, которые обычно поддерживают подпись и не используют метод проверки держателя карты (без CVM), по сравнению с обычным дебетовым или глобальным дебетовым приложением в США (которое обычно использует предпочтительный маршрут PIN). Это, наряду с отключением выбора держателя карты, позволяет приложению POS выбирать приложение, которое имеет индикатор наивысшего приоритета в платежной карте, без какого-либо вмешательства держателя карты в ввод PIN-кода.

Распространенные дебетовые заявки США:

• Общий дебет Visa США
• Общий дебет Mastercard в США
• Откройте для себя общий дебет в США

Выбор держателя карты

Проблема:
Выбор держателя карты позволяет держателю карты выбрать предпочтительное приложение для карты с несколькими счетами. Хотя эта функция позволяет клиенту управлять приложением для кредитования / дебетования, которое используется для оплаты, она также позволяет им контактировать с физической панелью PIN.

Смягчение:
У продавцов есть настраиваемая опция для отключения опции выбора держателя карты, которая позволяет приложению POS выбирать приложение с наивысшим показателем приоритета на платежной карте без какого-либо вмешательства держателя карты при вводе PIN-кода.
В случае, если POS выбрало обычное дебетовое приложение США в качестве наиболее предпочтительного приложения в ICC, продавцы, поддерживающие возможности обработки POS без PIN-кода, могут обрабатывать транзакцию как NOCVM.
В случае, если глобальный дебет был выбран POS в качестве наиболее предпочтительного приложения в ICC, продавцы и эквайеры, обрабатывающие глобальные дебетовые операции (например, Interlink и Maestro) в виде одного сообщения, могут продолжать обработку в обычном режиме, поскольку PIN-код требуется для этих транзакций.

POS без PIN-кода
POS без PIN-кода - это новый термин для транзакций без PIN-кода на любую сумму ниже 50 долларов США, в которой продавец может обрабатывать обычную дебетовую транзакцию в США без PIN-кода через поддерживаемую дебетовую сеть без PIN-кода. Продавцы могут претендовать на обработку POS без ПИН-кода через эквайера, если торговцы-эквайеры могут направлять транзакции в дебетовые сети, поддерживающие обработку без ПИН-кода (STAR, Accel и т. д.).

Многие страны увеличили свои лимиты без ПИН-кодов до гораздо более высоких, чем 50 долларов (в таких странах, как Австралия, в настоящее время они составляют 200 австралийских долларов или примерно 132 доллара США). Поскольку люди ищут более безопасные способы оплаты, эквайеры и платежные бренды должны рассмотреть возможность увеличения ограничений POS без PIN-кода до более высоких лимитов, таких как 100 долларов США, чтобы уменьшить количество контактов во время большего процента выполняемых транзакций.

Другие вещи, которые следует учитывать:
Конечно, то, что вы можете делать некоторые из перечисленных выше вещей, не означает, что это правильно для вашей компании. Наряду с советами, которые может предоставить UL, любой, кто хочет внедрить эти изменения, также должен учитывать следующее:

1. Эти рекомендации следует внедрять только после обсуждения с эквайерами, шлюзами и платежными системами, а также после оценки их влияния на комиссию за торгово-обменные операции.
2. Отключение автоматических дебетовых транзакций влияет на выбор клиента, и этот выбор может иметь важное значение для некоторых клиентов. При внедрении следует продумать, как лучше всего сигнализировать клиентам о том, как будут обрабатываться транзакции, или предоставить клиентам варианты использования «традиционных» методов для некоторых платежных линий.
3. Глобальные дебетовые операции (например, Interlink и Maestro) по-прежнему должны обрабатываться как единое сообщение, как это сегодня поддерживается процессорами с PIN-кодом.
4. Эти рекомендации были сделаны после определения минимальной потребности в тестировании и сертификации для реализации функций.