чиповая карта VISA

А вот скажите, чем чиповая карта VISA лучше обычной ?
То, что ПОТЕНЦИАЛЬНО чипом можно реализовать хоть цифровую подпись я понимаю...
Но что реально уже используется в выпускаемых картах ?
Что вообще хранится в памяти чипа ?
В интренете, кроме маркетингового бреда, ничего не нашел...

http://www.emvco.com/
http://www.actcda.com/resource/emv.pdf
http://verifone.com/pdf/EMV_white_paper.pdf
и собственно:
http://www.emvcard.com/standarts.phtml


Поиск информации - это тоже искусство ;-)

[Сообщение изменено пользователем 16.08.2007 12:55]

Бытовым языком - считать данные с чипа (и в последствии записать их на другую карту) значительно сложнее, чем с магнитной полосы, что соответственно повышает безопасность.

А если на карте и чип, и магнитная полоса ? :-)
Я так понял, что в плане защиты от скиминга и ему подобного, ничем такая карта не лучше обычной. Правильно ? :-)

Магнитная полоса предназначена для проведения операции на устройствах, которые не поддерживаю чип. На ней также хранится информация о том, что карта чиповая.
Если устройство поддерживает чип, то на нем выйдет информация о том, что операцию надо проводить по чипу.

Хорошо, предположим злоумышленник сделал бесчиповую копию моей карты (то есть на копии есть только магнитная полоса, но нет чипа). Получается, что он сможет ей воспользоваться только в тех POS-терминалах/банкоматах, которые не поддерживают чиповые карты ?

а вот такое: http://forum.kazna.ru/index.php?topic=11876#msg509...
у него бы получилось ?

В принципе да. Зависит от настроек программного обеспечения оборудования.



В некоторых странах разрешена выдача наличных по картам в торговых точках. Но это соответственно с комиссией.
Тут в принципе два варианта:
1. Ему якобы выдали деньги без комиссии, но по заниженному курсу.
2. Считали данные карты в надежде на будующие прибыли.
Данные магнитной полосы считались бы с чиповой карты без проблем. При изготовлении пластика с этими данными мы уже вопрос обсудили.
При этом есть еще вариант использования карты для покупок в интернет. При этом понадобится номер карты, срок ее действия, имя и фамилия и CVV. Все это можно посмотреть на самой карте.
Вывод: чиповые карты более безопасны чем магнитные, но полную безопасность Вы получите только если сами будете ее обеспечивать.

и еще один ламерский вопрос, вот Вы говорите:

а может ли злоумышленник на дубликат не заносить информацию о том, что эта карта чиповая ?

Сложный вопрос. В принципе все возможно. Вопрос сколько это будет стоить усилий.

Соблюдайте правила использования карты:
1. Не храните ее вместе с Пином;
2. Все операции с картой должны проводится у Вас на глазах (во избежании считывания карты еще одним картридером, переписывания реквизитов карты);
3. Если проводите опреации в банкомате смотрите на наличие подозрительных накладок на картридере, клавиатуре, наличие камер, направленных на клавиатуру;
4. Не сообщайте ПИН код никому (даже друзьям и родственникам, сотрудникам банка, сотрудникам торговых точек и т.д.), т.е. СОВСЕМ никому.
5. Не производите покупки в интернет магазинах, о которых ничего не знаете;
6. Не вводите ПИН код нигде кроме банкоматов, отделений банков и торговых точек.
7. По картам с магнитной полосой старайтесь не вводить ПИН код и в торговых точках (это не является требованием платежной системы)

:-)
На словах это конечно просто, а на деле получаем, что почти во всех кабаках при оплате карточкой ее уносят за кулисы...

Вопрос технического оснащения :-)
Есть GPRS и WiFi модели....

Разговаривал с человеком открывшим , хм и закрывшим не один ресторан.

По его словам в Ресторанах , это считается дурным тоном проводить операцию по оплате на глазах у всех участников застолья. Кто платит может хотеть скрыть сотимость посиделок. Ну как бы не принято у них это.

А тут в чем открытость?
Если человек уходит сам в каморку, для того что-бы ничего не видели, то и так может уйти....
А разницы в том, выйдет чек который он подписывает у стола рядом с ним или его ему из каморки принесут я не вижу.

Усилий будет ненамного больше чем для записи скопированной полосы на болванку без каких-то измений - вот только разумный эмитент проверяет при авторизации сервис-код для карты.

Кто Вы уважаемый Abwer™? Может не стоит на этом форуме обсуждать вопросы безопасности - давайте Вы лучше про продукты Ситибанка будете оды петь :-)

я вижу :-)
Как правило человек работающий с терминалом , это кассир, сидящий в каморке. Зачастую в нефирменной одежде, совсем другой конституции. Передать терминал официанту неполучится,..........он не умеет с ним работать.
Вот и представьте выползает такая тетя Клава к клиентам в вечерних нарядах, вокруг полусумрак, симпатичные официантки, на сцене девушка у шеста, а Клава стоя в наклонку перед клиентом, загородив ему вид на сцену, юзает карточку на терминале. И..............................БЗДЫНЬ,............... ой уронила терминал на пол:-), карточка в одну сторону, ленточка от терминала в другую, аккомулятор в третью....................
Вобщем картина маслом..........:-)

ЗЫ статистика разбитых GSM терминалов, говорит в пользу стационарных в каморке.

1. В форуме я высказываю свое личное мнение, а не мнение моей организации.
2. Подробно высказываться в интернете по вопросам безопасности я считаю нецелесообразным и пишу в общих чертах.
3. Я оды ни кому не пою и сити банк (к которому, как я уже писал в другой ветке отношения не имею и не испытываю восторга от его наименования) в качестве примера приводил не я. Просто уже достало, что любители некоторых банков черезмерно опускают другие, а свои идеализируют до фанатизма.




Проверять то проверяет, но я знаю банк, програмное обеспечение терминалов которого позволяет провести операцию с чиповой карте по магнитной полосе (если знать как).

Это уже проблема персонала :-)
Есть места, где все операции с картой проводит старший администратор :-)

Позвольте, но ведь раздел форума как раз называется "банковские ТЕХНОЛОГИИ", а не скажем "кредитные продукты"...

Хм ну и я знаю, а вы и кассирам рассказываете??

Нет.

Дык и хотелось понять насколько вашему мнению можно доверять - ИМХО в большинстве случае место работы и должность кореллируют с профессиональным опытом. А то непонятно - вроде позиицонируете себя как специалиста по пластику и тут же пишите "перлы"::

Какое дело ЭМИТЕНТУ, до того как работает софт на терминале? - я как раз и писал, что нормальнынй эмитент настроит свой процессинг так, что будет отбивать авторизации:
1) по магнитной полосе если чиповая карта в чиповом терминале;
2) если у карты будет подменён сервис-код.
И тут уже пофиг как работает софт на терминале, как обучены кассиры и насколько криворук эквайер.

Не припомню с самого начала работы этого форума чтобы здесь более менее серьёзно обсуждались технологии. А устраивать на офруме ликбез для юнных кардеров счиаю неправильным.
А наш вопрос

правильный ответ такой - по чиповой карте риски банка-эмитента по мошеничеству через скиминг ниже, соответственно теоретически и у клиента будет меньше хлопот по оспариванию мошеннических операций. А вобще безопасность карты клиента сильно зависит от банка - должен работать целый комплекс мер и технологий и чип сам по себе не панацея.

Спасибо. Полученными ответами я полностью удовлетворен.
Но странная картина получается: "банк" продает "услугу" и "расширенную услугу", но чем "расширенная услуга" лучше говорит крайне неохотно...

А если проблемы с чипом (неисправность)?

Перевыпускать карту.
Вообще, странная логика предусматривать варианты для обхода фичи, призванной повысить безопасность клиента и банка.
Типа, вот наша новая стальная дверь с суперсекретным замком, но если вдруг ключ потеряете, то ее можно открыть гвоздиком.

"Сдох" чип - никаких транзакций в чиповом терминале по полосе. Обращатсья в банк и первыпускать карту. А сиюминутная ситуация решается путем оффлайновой оплаты (3 экземпляра слипа с подписью клиента).



Проводя аналогию с автомобилем, Вам достаточно слов "противозаносная система обеспечивает поперечную устойчиволсть автомобиля" или нужно привести диаграммы взаимодействия датчиков, компьютера и EBD?
Четкий ответ был дан в самом начале:



Необходимость дальнейшего закапывания в технические детали на публичном ресурсе сомнительно. Могу аргументировать, но мне кажется, что причина и так понятна.