据我所知,对于EMV卡,在交易发生之前,终端要进行卡身份验证(使用静态数据身份验证或动态数据身份验证),以确保该卡不是伪造的卡。 (相反,似乎无法进行POS终端身份验证)
在Google Play中,有许多应用程序可以读取EMV卡数据。 使用支持NFC的智能手机,我们可以读取卡的敏感信息,包括卡号和有效期。 (与使用智能卡读卡器的接触式EMV卡相同)
我的问题是:
对于EMV卡,是否有任何标准规定了卡与终端之间的“相互认证”协议。 并且卡仅在执行“相互认证”步骤后才将卡数据发送到终端。
谢谢
答案 0 :(得分:1)
据我所知。我相信是这样,因为业务用例无法证明该要求是合理的。
情况1.如您所说,有些读取器可以读取卡数据。但是,如果有人从卡中拿走所有数据并在终端上重播,由于交易受一次使用的密码保护,并且终端提供了不可预测的数字,因此它将失败。
情况2.伪造卡后的欺诈者可以获得一些商品/服务并离开,但对于终端机,必须将其注册到收单行/银行。不能有僵尸终端。因此,终端机要检查卡的真实性,而不是相反。
您可以从芯片上获取轨道/卡,但是磁条也可以。
答案 1 :(得分:1)
终端和卡之间的 EMV付款交易中没有相互认证。
由于每笔交易都基于某些特定于交易的唯一数据和密码,因此无法克隆(这里我不是在谈论SDA卡)。
即使任何读取器都可以读取数据(EMV实际允许),由于这些读取器应用程序未获得EMV的授权,因此它们不能使用VISA / MasterCard服务器进行事务处理。
答案 2 :(得分:0)
(从另一个角度扩展现有答案)
在在线交易期间,卡确认终端能够与发卡行进行通信-即终端能够传递卡生成的ARQC strong>给发行人,并获得有效的ARPC 。
Gaurav Shukla在his answer中指出,伪造的终端无法与相应的付款关联服务器进行通信。