Muchas personas se sorprenden al saber que EMV no cifra el PAN. Pero en realidad, una vez que EMV se haya implementado completamente, el cifrado del PAN se volverá innecesario y quedará como una deuda técnica de los actuales protocolos inseguros. EMV no necesita comenzar con ese equipaje.
La razón por la que EMV no requiere cifrado del PAN es que el PAN solo representa Identity ; no representa Autenticación del chip (ese es el trabajo del mensaje ARQC), y no representa la Autorización del titular de la tarjeta para usar la tarjeta (ese es el trabajo del PIN). Mientras el chip esté autenticado y el usuario proporcione la autorización, la transacción estará protegida. La identidad no tiene por qué mantenerse en secreto.
En el mundo actual que no es EMV, la identidad, la autenticación y la autorización se combinan en la banda magnética inmutable. Copiar los datos de banda le permite clonar una tarjeta, por lo que es necesario proteger toda la banda. Usamos las palabras "robo de identidad" para que la gente piense que están robando nuestra identidad, pero en realidad, están robando los tres atributos de la tarjeta al mismo tiempo.
Con EMV, todavía se requiere que PAN proporcione la identidad de la tarjeta. El resto de los datos de EMV no incluye información suficiente para identificar la tarjeta, ni debería hacerlo. La identidad puede incluso hacerse pública, siempre y cuando no pueda ser utilizada por sí misma.
En EMV, el criptograma ARQC sirve como la firma del chip, autentificando los mensajes originados en el chip asociado con el PAN. La criptografía y el almacenamiento seguro en los chips garantizan que no se pueda falsificar un ARQC. Debido a que el ARQC es transaccional, cada solicitud es diferente; los ataques de repetición no funcionan mientras el banco garantice que los ARQC duplicados sean rechazados.
El PIN sirve como la autorización del usuario para cargar. El PIN le dice al chip "hey, su usuario acaba de demostrar en este momento que quiere que se lleve a cabo esta transacción". Depende de su banco si quieren que su tarjeta requiera un PIN; podrían estar contentos simplemente dejándole firmar la transacción.
[Tenga en cuenta que la mayoría de los bancos de EE. UU. optaron por Chip y Signature en lugar de Chip y PIN. La única ventaja de Chip y PIN es que protege su tarjeta del uso no autorizado en caso de pérdida o robo; pero realmente, la FDIC ya limita su responsabilidad personal a $ 50 , y casi todos los bancos renuncian que a $ 0 en el caso de una tarjeta perdida o robada. Y como los bancos ganan dinero cada vez que cobran algo, prefieren aceptar el riesgo de fraude (que ya están obligados a tomar por ley ) que incomodar a sus clientes al hacer que escriban un PIN. Creen que los clientes incomodados encontrarán una manera más fácil de pagar, reduciendo sus ganancias.]
Pero estamos muy lejos de la implementación completa de EMV. El cambio de responsabilidad de octubre de 2015 se creó como incentivo para que los minoristas de EE. UU. Cambien el procesamiento de sus transacciones para utilizar EMV, pero muy pocos minoristas de EE. UU. Realmente aceptan tarjetas con chip a partir de abril de 2016. Despliegue de nuevos terminales, nuevo software y nuevas tarjetas en 6 millones de minoristas 11,000 bancos y miles de millones de tarjetas requieren mucho tiempo y dinero. Y nadie ha creado todavía una solución universalmente aceptada para asegurar las transacciones con Tarjeta No Presente (CNP), como reservas de hoteles, compras por Internet, etc. Por lo tanto, hasta que EMV esté completamente implementado y el problema de CNP esté resuelto, todavía depende de los comerciantes y los terminales de punto de venta proteger. y cifre los PAN y los datos de autorización confidenciales. Por ahora, eso incluye el PAN.