Temat: Po co EMV?

Witam,

Chciałbym poznać opinie członków tej grupy dot. migracji do EMV.
Czy poza kwestiami bezpieczeństwa i SEPA istnieją pomysły, dla których obecne wprowadzenie EMV ma wg Państwa sens?
Jakie są Państwa opinie?


pozdrawiam
Krzysztof

Temat: Po co EMV?

Multiaplikacyjność.

Temat: Po co EMV?

To zależy od punktu widzenia.
Z punktu widzenia banków/acquirerów EMV nie było aż tak potrzebne dopóki kosztu fraudów i naciski EVMCo nie były dokuczliwe.

Z kolei z mojego punktu widzenia jako użytkownika karty EMV jest jak najbardziej oczekiwane i to najchętniej w wersji tylko z chipem. Wtedy naprawdę czułbym się pewniej wkładając kartę do bankomatu czy podając sprzedawcy.
No i oczywiście wieloaplikayjność to też dla mnie ciekawa oferta ale nasze banki chyba się jakoś nie kwapią.

Wojtek.

Temat: Po co EMV?

Nikt się nie wypowiadał w temacie EMV przez tak długi czas, że myślałem, że już się nic nie pojawi.

Nie chcę zabrzmieć jak przesadny malkontent, ale tak całkowicie szczerze, to moim zdaniem tylko oszustwa i odgórne nakazy (jak SEPA) naprawdę popychają wydawanie kart hybrydowych (z kartami wyłącznie elektronicznymi to chyba przy obecnej infrastrukturze akceptacyjnej jest pieśń przyszłości na przynajmniej kilka ładnych lat).

Odpowiadając poniekąd na pytanie postawione w tym wątku, o EMV wszyscy właściwie mówią jednym tchem od lat to samo - w skrócie:
- multiaplikacyjność
- zwiększone możliwości offline
- bezpieczeństwo
- zdalne zarządzanie aplikacją w karcie
ale kiedy przyjrzeć się temu bliżej wygląda to bardziej skomplikowanie.

Trudno się z zaletą multiaplikacyjności nie zgodzić, bo potencjał istnieje. Ze znalezieniem konkretnych przykładów zastosowania jest już jednak znacznie trudniej, co najłatwiej zobaczyć obserwując liczbę kart multiaplikacyjnych w polu.
Pomysły łączenia kilku produktów w jednej karcie (szczególnie jeśli myślimy o innych zastosowaniach niż po prostu dedykowane rozwiązanie do identyfikacji klienta/online banking, jak CAP bądź DPA) napotykają problemy natury organizacyjnej raczej niż technicznej.

Możliwościami realizacji transakcji offline nikt już raczej nie interesuje się z powodu ograniczania stosunkowo niewysokich w dzisiejszych czasach kosztów telekomunikacyjnych. W stronę offline można spojrzeć raczej pod kątem mniejszego zapotrzebowania na przepustowość systemów autoryzacyjnych (i dostępowych) w szczytach (np. świątecznych).

Czy o bezpieczeństwo chodzi, to też trudno powiedzieć. Może, ale jeśli SDA to raczej online CAM w rzeczywistości daje jakieś poczucie bezpieczeństwa. Kart DDA/CDA wciąż jak na lekarstwo, szczególnie z dłuższymi kluczami, a przy okazji EMV musi się niedługo zmierzyć z problemem maksymalnej długości klucza (1984 bity dla RSA na dzień dzisiejszy to ani mało, ani dużo).
Jeśli bezpośrednio porównywać do kart wyłącznie z paskiem to rzeczywiście bezpieczeństwo to jest argument.

O zdalnym zarządzaniu aplikacjami w ogóle niewiele można powiedzieć, bo cokolwiek więcej niż blokowanie aplikacji i zmiana/odblokowanie PINu offline należy do rzadkości. Rozwiązań z półki dla wydawców za dużo nie ma. Nie ma 'killer-application', dla której inwestycja w wykorzystanie skryptów byłaby czymś oczywistym.

Największym chyba problemem na drodze do wprowadzania EMV jest wciąż niska świadomość, jak ta technologia działa i co można z nią zrobić. Większość wydawców, nawet wydających już karty EMV, do ich personalizacji podchodzi, jak do kart z paskiem.
Z punktu widzenia EMV to może nawet i lepiej, że ktoś migruje najprościej jak się da, bo wdrożoną technologię można później rozwijać, a jest szybciej. Najczęściej górnolotne zamierzenia opóźniają wdrożenia o wiele miesięcy, mimo że po drodze część założeń i tak ulega weryfikacji.

Na szczęście dla nas wszystkich (łącznie z posiadaczami kart) tak naprawdę nie ma sensu dyskutować jakie są zalety i czy wprowadzać EMV, ale jak to wdrażać i jak później rozwijać. Na tę dyskusję wciąż jeszcze jest sporo miejsca, bo wygląda to różnie.

Temat: Po co EMV?

Jak dla mnie to zaletą wdrażania EMV jest równiez idący za tym Contactless i płatniości low-value.

Ale sądzę że pan Krzysztof zadał to pytanie w kontekście argumentacji dla podmiotów które miałyby EMV wdrażać, tak?

Sam jestem ciekaw czy są jakieś argumenty które są w stanie przekonac jednego z największych polskich acquirerów i niektóre sieci handlowe aby zaczęli implementować/używać EMV ...

W.

Temat: Po co EMV?

Też chciałbym przeczytać/usłyszeć szczere opinie, co jest, a co nie argumentem rzeczywiście istotnym dla wydawców.

A ten acquirer, o którym mowa Panie Wojciechu, wydaje się być całkiem przekonany...

Temat: Po co EMV?

Z pewnością płatności bezstykowe będą robić furrorę w najbliższych czasach, a sieć płatności znacznie się rozwinie, tylko że do tego nie potrzeba wcale EMV.

Napewno wydawcy takich kart, wprowadzając technologię stara się wykorzystać to marketingowo, dopóki konkurencja jeszcze takich kart nie wydaje.

Jeżeli chodzi o transakcje offline, atrakcyjność to nie tylko redukcja samego kosztu połączeń, ale również szybsze procesowanie i decyzja o akceptacji, a na autoryzację online z banku trzeba poczekać dłużej.

WYmagania zmiany standardu to również pieniądze, które płyną przez firmy i organizacje płatnicze z tytułu projektu. Zmiana standardu przez bank to przecież kasa dla organizacji płatniczej za poszczególne działania przy projekcie , kasa dla producentów plastików i mikroprocesorów, kasa dla firm zajmujących sie personalizacją i co za tym idzie rozwój tych instytucji oraz praca dla nas wszystkich. Nic tylko się cieszyć ;)

Temat: Po co EMV?

Grzegorz Macko:
Z pewnością płatności bezstykowe będą robić furrorę w najbliższych czasach, a sieć płatności znacznie się rozwinie, tylko że do tego nie potrzeba wcale EMV.

Czy potrzeba? Niby nie, a jednak tak. Nie mnie się wypowiadać na temat polityki organizacji na ten temat oraz ewentualnych wyjątków i odstąpień od własnych regulacji, ale dla Europy wdrożenia akceptacji płatności bezstykowych muszą się odbywać tylko poprzez technologie bezstykowe oparte o EMV (PayPass M/Chip oraz qVSDC).

Jeżeli chodzi o transakcje offline, atrakcyjność to nie tylko redukcja samego kosztu połączeń, ale również szybsze procesowanie i decyzja o akceptacji, a na autoryzację online z banku trzeba poczekać dłużej.

Trudno postawić znak równości pomiędzy transakcjami bezstykowymi i offline. Ani nie każda transakcja bezstykowa musi być offline, ani stykowa, czy wręcz kartą magnetyczną musi być realizowana online.
Równie dobrze jak dla innych dla transakcji bezstykowych konieczny może być PIN lub podpis.

WYmagania zmiany standardu to również pieniądze, które płyną przez firmy i organizacje płatnicze z tytułu projektu. Zmiana standardu przez bank to przecież kasa dla organizacji płatniczej za poszczególne działania przy projekcie , kasa dla producentów plastików i mikroprocesorów, kasa dla firm zajmujących sie personalizacją i co za tym idzie rozwój tych instytucji oraz praca dla nas wszystkich. Nic tylko się cieszyć ;)

Można na to patrzeć i w ten sposób, bo to wszystko prawda.
Wiele regulacji, jak choćby PCI PED i PCI DSS, mają też inne cele. Bez odgórnej obligacji nikt się bardzo nie kwapi wydawać pieniędzy na zabezpieczenia. Nie mówię, że tak zawsze jest, ale w tej branży powinno się być przynajmniej pół kroku przed przestępcami. W innym przypadku koszty oszustw mocno rosną, a klienci odwracają się od płatności kartami na rzecz gotówki.

Jako świetny przykład można przytoczyć wdrażanie EMV w Polsce. Kiedy kilka lat temu mówiło się, że trzeba wdrażać technologię, bo nasz stosunkowo niski poziom oszustw kartowych drastycznie się podniesie po przejściu na EMV krajów zachodnich, to wielu Bankom szkoda było wygospodarować w swoich budżetach pieniędzy na takie projekty. Może trudno się dziwić, jeśli kalkulację się robi dla "tu i teraz". Parę lat później na ten sam projekt trzeba było wyłożyć znacznie większe pieniądze i doliczyć jeszcze do tego koszty wynikające z "Liability Shift". Pomijam już sam fakt paniki wśród posiadaczy kart, jaka powstała po szeregu doniesień medialnych o przypadkach skimmingu. Sam fakt, że się zrobiło głośno może nie jest w sumie najgorszy, bo ludzie zaczęli baczniej przyglądać się bankomatom i ostrożniej obchodzić z kartami, ale przynajmniej części strat można było uniknąć.

Temat: Po co EMV?

Samo wprowadzenie najnowszysch rozwiązań tylko przez wydawców niestety bezpieczeństwa nie zapewnia, a co gorsza wdrożenie jest jeszcze okupione walką z centrami autoryzacyjnymi, których terminale powodują problemy z obsługą, bo te nie są zdolne do prawidłowego obsłużenia transakcji, co zazwyczaj wychodzi dopiero po wdrożeniu.
Niestety produktu niepełnowartościowego lub powodującego problem podczas transakcji nie będzie się dawać posiadaczom, (*klientom banku) a wtedy koszty związane z wprowadzeniem technologii nie są rekompensowane dopóki problematyczny acquirer nie wprowadzi poprawek.
I tak np. wprowadzenie rekomandowanych przez np MC parametrów aplikacji M/Chip 4 jest niemozliwe, bo spowoduje to, ze na co którymś terminalu, który powinien obsłużyć transakcję prawidłowo, proces nie będzie zgodny z oczekiwanym, gdyż karta jest zgodna ze standardem EMV, a terminal posiada bug`i i nie zachowuje się zgodnie z tym standardem.

W takich wypadkach wyprzedzanie technologii i standardów nie będzie dla Banku korzystne, bo wtedy nie od Banku, ani nie dostawcy kart zależy prawidłowe funkcjonowanie tej technologii.

Co wtedy pozostaje? Wdrożenie nowoczesnego i drogiego produktu, w którym należy wyłączyć opcje związane z najnowszą technologią i czekać na lepsze czasy, aż rynek pod naporem organizacji płatniczych, regulacji i standardów (być może i kar finansowych) dostosuje się do spełniania standardu, ale przez ten okres ponosi się większe koszty, niż by się ponosiło wdrażając mniej bezpieczny, ale już sprawdzony standard.

Temat: Po co EMV?

Zgoda. Jest to czyste marnotrawstwo.
Dosyć odważnym jest jednak stwierdzenie, że błędy występują po stronie aplikacji terminalowych i to właśnie jest hamulcem.
Oczywiście, błędy zdarzają się wszędzie, ale myślę, że głównymi adresatami pretensji powinny być MC i VISA, bo powinny dbać o maksymalną akceptowalność. Certyfikacja taka jak TIP (wcale nie szybka i nie taka znowu tania) nastawiona jest właśnie na wykrywanie problemów z akceptacją kart wszelkiej maści przed wdrożeniem. Skoro terminale z aplikacją, które jak Pan mówi "nie są zdolne do prawidłowego obsłużenia transakcji", posiadają certyfikat od MC to coś jest nie tak.
Tak naprawdę podejrzewam, że aplikacje terminalowe nie są problemem a ich parametryzacja, która jest niejednokrotnie wykonywana przez osoby posiadające umiarkowaną świadomość konsekwencji niektórych modyfikacji. W rzeczywistości dokonują albo zmian uznawanych za 'major change', co skutkuje nieważnością
certyfikatu i istnieje prawdopodobieństwo wystąpienia problemów z niektórymi kartami, albo nie ustawiają prawidłowych wartości produkcyjnych niektórych parametrów, co może mieć podobne skutki w skrajnych przypadkach.
Nie zmienia to wszystko faktu, że problem istnieje.
Wszystko co leci przez sieć akceptacyjną jest jednak najczęściej wystarczającą wskazówką, do odnalezienia nieprawidłowości, ale z praktyki tak się nie dzieje.

Przykład z życia:
Odczytałem ze swojej karty EMV log transakcyjny, w którym występuje wypłata z bankomatu z Country Code 985. Ponieważ jest to dana biorąca udział w generacji kryptogramu, więc musiała być także w taki sposób przekazana do wydawcy, aby weryfikacja się udała. Raczej nie byłem pierwszym klientem w tym bankomacie, więc przecież szybko cała sprawa powinna wyjść na jaw, skoro takie bzdury latają przez sieci autoryzacyjne.
Gdyby przykładowo to była karta krajowa żądająca Country Code w PDOL i go weryfikująca, transakcja mogłaby się szybko zakończyć.Michał Głuchowski edytował(a) ten post dnia 02.09.09 o godzinie 12:40