Национальная федерация розничной торговли заявляет, что самый быстрый способ повысить безопасность - это запрашивать ПИН-коды для всех транзакций по кредитным картам.
Усилия отрасли по укреплению безопасности платежных карт после массового взлома данных в Target, похоже, превращаются в битву между розничными продавцами и компаниями, выпускающими кредитные карты, по поводу чипа и технологии PIN.
MasterCard и Visa хотят, чтобы все розничные продавцы в США установили к октябрю 2015 года платежные терминалы, способные принимать смарт-карты Europay MasterCard Visa (EMV), в противном случае они столкнутся с повышенным риском несанкционированного доступа.
Чип-карты EMV широко используются во всем мире и считаются гораздо более безопасными, чем карты с магнитной полосой, особенно при использовании вместе с персональным идентификационным номером (PIN).
Однако розничные торговцы, которым приходится нести основную часть затрат на переход на EMV, говорят, что можно быстро повысить безопасность платежных карт в США, просто введя обязательный PIN-код для всех транзакций с кредитными и дебетовыми картами.
По их словам, так же, как PIN-коды необходимы для снятия денег в банкоматах, PIN-коды должны требоваться для всех транзакций с платежными картами.
«Защита всех карт с помощью PIN-кода вместо подписи - это единственный наиболее важный шаг по защите от мошенничества, который можно быстро предпринять», - говорится в заявлении Национальной федерации розничной торговли в среду перед комитетом Сената по торговле, науке и транспорту.
«Это доказано, эффективно и относительно легко реализуемо», - говорится в заявлении, указывая на повсеместное использование дебетовых карт с PIN-кодом во всем мире. «Чип - желательное дополнение. Если важна скорость внедрения, то замена подписи на PIN-код предпочтительнее, чем реализация чипа».
NRF отметил, что одна из самых больших проблем с безопасностью платежных карт в США заключается в том, что компании-операторы, производящие карты, требуют только подпись для транзакции по кредитной карте. ПИН-коды оказались гораздо лучшим методом аутентификации личности пользователя и лучше для уменьшения мошенничества, чем подписи.
«На транзакции по PIN-коду приходится в шесть раз меньше потерь от мошенничества, чем у транзакций с подписью», - заявили в NRF комитету Сената. Тем не менее, по утверждению NRF, карточные компании отказались сделать это обязательным, потому что они могут собирать больше комиссий с транзакций на основе подписей.
Торговая группа признала, что чиповые карты EMV будут шагом в правильном направлении, но только если карты будут использоваться вместе с PIN-кодом.
В США ни Visa, ни MasterCard не настаивают на требовании аутентификации PIN-кода для смарт-карт. Вместо этого держатели карт смогут подтвердить свою личность с помощью подписи, как в настоящее время они делают с картами с магнитной полосой.
Visa отметила, что добавление PIN-кода существенно увеличит стоимость перехода на EMV и время, необходимое для его выполнения. Было сказано, что чип-карты, даже без PIN-кода, значительно безопаснее, чем карты с магнитной полосой.
NRF и другие розничные группы утверждают, что использование чип-карты без PIN-кода умаляет преимущества чиповой технологии для предотвращения мошенничества. Продавцы потратят миллиарды долларов на установку считывателей карт, совместимых с EMV, но ни продавцы, ни потребители не получат полной выгоды от этой технологии.
«Мы, по сути, потратим миллиарды, чтобы объединить технологию (чипы) 1990-х годов с пережитком (сигнатурой) 1960-х годов перед лицом угроз 21 века», - заявили в торговой организации.
Представитель NRF в среду настоял на том, чтобы торговая группа, представляющая десятки тысяч торговцев по всему миру, не говорила, что смарт-картам нет места. «Мы просто говорим, что PIN-код наиболее желателен. Компании, выпускающие карты, настаивали на том, что принятие PIN-кода замедлит переход. Если это так, просто перейдите к PIN-коду, а не к чипу», - сказал он.
NRF сообщил комитету Сената в среду, что другие технологические подходы, такие как сквозное шифрование и токенизация, также предлагают значительный потенциал предотвращения мошенничества с меньшими затратами и с меньшим риском быть привязанным к проприетарному подходу, подобному EMV.
По словам Авивы Литан, аналитика Gartner, споры о сравнении PIN-кода и аутентификации с помощью подписи во многом связаны с деньгами.
«Все дело в том, что банки хотят максимизировать доход», - сказал Литан. «Когда вводится PIN-код, они получают более низкую комиссию от продавцов. Совершенно бессмысленно, что банки выступают за менее безопасный подход. Все потому, что они хотят максимизировать сумму денег, которую они зарабатывают у продавцов».
Это не первый случай, когда американские торговцы и компании, выпускающие кредитные карты, вступают в ссоры по поводу безопасности платежных карт.
Такие группы, как NRF, утверждают, что торговцы должны нести несправедливую долю расходов на обеспечение безопасности кредитных и дебетовых карт и стоимость мошенничества, которое возникает в результате утечки данных, подобной той, что произошла в Target несколько месяцев назад. По некоторым оценкам, продавцы в конечном итоге оплачивают 90% стоимости несанкционированных транзакций по сравнению с 10% финансовыми учреждениями, говорится в сообщении NRF, ссылаясь на отчет аналитиков за 2009 год.
Несмотря на это, розничные торговцы не знают, как следует защищать данные и транзакции по кредитным и дебетовым картам, и вместо этого находятся во власти «доминирующих компаний, выпускающих кредитные карты», заявила торговая группа.
Visa и MasterCard не сразу ответили на запрос о комментарии.
Джайкумар Виджаян занимается вопросами безопасности и конфиденциальности данных, безопасности финансовых услуг и электронного голосования для Computerworld. Следите за сообщениями Джайкумара в Twitter по адресу @jaivijayan или подпишитесь на RSS-канал Джайкумара. Его адрес электронной почты: [email protected].
Узнайте больше о финансовых информационных технологиях в центре финансовых информационных технологий Computerworld.
Эта история «Модернизация системы безопасности платежных карт, превратившаяся в борьбу с чипами и PIN-кодами» была первоначально опубликована Computerworld.
Усилия отрасли по укреплению безопасности платежных карт после массового взлома данных в Target, похоже, превращаются в битву между розничными продавцами и компаниями, выпускающими кредитные карты, по поводу чипа и технологии PIN.
MasterCard и Visa хотят, чтобы все розничные продавцы в США установили к октябрю 2015 года платежные терминалы, способные принимать смарт-карты Europay MasterCard Visa (EMV), в противном случае они столкнутся с повышенным риском несанкционированного доступа.
Чип-карты EMV широко используются во всем мире и считаются гораздо более безопасными, чем карты с магнитной полосой, особенно при использовании вместе с персональным идентификационным номером (PIN).
Однако розничные торговцы, которым приходится нести основную часть затрат на переход на EMV, говорят, что можно быстро повысить безопасность платежных карт в США, просто введя обязательный PIN-код для всех транзакций с кредитными и дебетовыми картами.
По их словам, так же, как PIN-коды необходимы для снятия денег в банкоматах, PIN-коды должны требоваться для всех транзакций с платежными картами.
«Защита всех карт с помощью PIN-кода вместо подписи - это единственный наиболее важный шаг по защите от мошенничества, который можно быстро предпринять», - говорится в заявлении Национальной федерации розничной торговли в среду перед комитетом Сената по торговле, науке и транспорту.
«Это доказано, эффективно и относительно легко реализуемо», - говорится в заявлении, указывая на повсеместное использование дебетовых карт с PIN-кодом во всем мире. «Чип - желательное дополнение. Если важна скорость внедрения, то замена подписи на PIN-код предпочтительнее, чем реализация чипа».
NRF отметил, что одна из самых больших проблем с безопасностью платежных карт в США заключается в том, что компании-операторы, производящие карты, требуют только подпись для транзакции по кредитной карте. ПИН-коды оказались гораздо лучшим методом аутентификации личности пользователя и лучше для уменьшения мошенничества, чем подписи.
«На транзакции по PIN-коду приходится в шесть раз меньше потерь от мошенничества, чем у транзакций с подписью», - заявили в NRF комитету Сената. Тем не менее, по утверждению NRF, карточные компании отказались сделать это обязательным, потому что они могут собирать больше комиссий с транзакций на основе подписей.
Торговая группа признала, что чиповые карты EMV будут шагом в правильном направлении, но только если карты будут использоваться вместе с PIN-кодом.
В США ни Visa, ни MasterCard не настаивают на требовании аутентификации PIN-кода для смарт-карт. Вместо этого держатели карт смогут подтвердить свою личность с помощью подписи, как в настоящее время они делают с картами с магнитной полосой.
Visa отметила, что добавление PIN-кода существенно увеличит стоимость перехода на EMV и время, необходимое для его выполнения. Было сказано, что чип-карты, даже без PIN-кода, значительно безопаснее, чем карты с магнитной полосой.
NRF и другие розничные группы утверждают, что использование чип-карты без PIN-кода умаляет преимущества чиповой технологии для предотвращения мошенничества. Продавцы потратят миллиарды долларов на установку считывателей карт, совместимых с EMV, но ни продавцы, ни потребители не получат полной выгоды от этой технологии.
«Мы, по сути, потратим миллиарды, чтобы объединить технологию (чипы) 1990-х годов с пережитком (сигнатурой) 1960-х годов перед лицом угроз 21 века», - заявили в торговой организации.
Представитель NRF в среду настоял на том, чтобы торговая группа, представляющая десятки тысяч торговцев по всему миру, не говорила, что смарт-картам нет места. «Мы просто говорим, что PIN-код наиболее желателен. Компании, выпускающие карты, настаивали на том, что принятие PIN-кода замедлит переход. Если это так, просто перейдите к PIN-коду, а не к чипу», - сказал он.
NRF сообщил комитету Сената в среду, что другие технологические подходы, такие как сквозное шифрование и токенизация, также предлагают значительный потенциал предотвращения мошенничества с меньшими затратами и с меньшим риском быть привязанным к проприетарному подходу, подобному EMV.
По словам Авивы Литан, аналитика Gartner, споры о сравнении PIN-кода и аутентификации с помощью подписи во многом связаны с деньгами.
«Все дело в том, что банки хотят максимизировать доход», - сказал Литан. «Когда вводится PIN-код, они получают более низкую комиссию от продавцов. Совершенно бессмысленно, что банки выступают за менее безопасный подход. Все потому, что они хотят максимизировать сумму денег, которую они зарабатывают у продавцов».
Это не первый случай, когда американские торговцы и компании, выпускающие кредитные карты, вступают в ссоры по поводу безопасности платежных карт.
Такие группы, как NRF, утверждают, что торговцы должны нести несправедливую долю расходов на обеспечение безопасности кредитных и дебетовых карт и стоимость мошенничества, которое возникает в результате утечки данных, подобной той, что произошла в Target несколько месяцев назад. По некоторым оценкам, продавцы в конечном итоге оплачивают 90% стоимости несанкционированных транзакций по сравнению с 10% финансовыми учреждениями, говорится в сообщении NRF, ссылаясь на отчет аналитиков за 2009 год.
Несмотря на это, розничные торговцы не знают, как следует защищать данные и транзакции по кредитным и дебетовым картам, и вместо этого находятся во власти «доминирующих компаний, выпускающих кредитные карты», заявила торговая группа.
Visa и MasterCard не сразу ответили на запрос о комментарии.
Джайкумар Виджаян занимается вопросами безопасности и конфиденциальности данных, безопасности финансовых услуг и электронного голосования для Computerworld. Следите за сообщениями Джайкумара в Twitter по адресу @jaivijayan или подпишитесь на RSS-канал Джайкумара. Его адрес электронной почты: [email protected].
Узнайте больше о финансовых информационных технологиях в центре финансовых информационных технологий Computerworld.
Эта история «Модернизация системы безопасности платежных карт, превратившаяся в борьбу с чипами и PIN-кодами» была первоначально опубликована Computerworld.
