En respuesta a:
¿Cuál es la diferencia entre hacer que la tarjeta hable directamente con el servidor y que la tarjeta le diga al sistema de puntos de venta sus detalles y luego comunicarse con el servidor de autorización (que puede hacerse mediante una banda magnética o una tarjeta de proximidad)? p>
La diferencia es que el cifrado de extremo a extremo (también denominado cifrado punto a punto o P2PE en la industria de pagos) significa que cualquier persona entre la tarjeta y el emisor se queda en la oscuridad con respecto a los detalles confidenciales de la transacción (PAN etc.).
En cuanto a:
¿Cuáles son los beneficios de este procedimiento que tienen las tarjetas EMV? y ¿por qué es necesario (si lo es)?
El beneficio es que no necesita confiar en nadie entre la tarjeta y el emisor. En el caso del malware POS, la ventaja aquí es obvia. Pero esto también tiene ventajas incluso si no hay ningún malware en la ruta entre la tarjeta y el emisor.
Si el comerciante no puede ver los detalles de la tarjeta, entonces el comerciante no puede almacenar los detalles de la tarjeta. Si el comerciante no puede almacenar los detalles de la tarjeta, reduce el alcance de las auditorías PCI-DSS y reduce el riesgo para el comerciante. Y para los procesadores que enrutan las transacciones. Y cualquier otra persona entre la tarjeta y el emisor.
La respuesta de RP de las organizaciones en la industria de los apyments es que esto hace que todo sea más seguro para todos. Una respuesta más cínica es que el comerciante preferiría pagar un poco más ahora por una solución P2PE para evitar investigaciones costosas, multas y liquidaciones posteriores.
Su pregunta y mi respuesta tratan sobre el cifrado de la información confidencial entre la tarjeta y el emisor, pero P2PE es algo que surgió de las tarjetas EMV. Es una medida de seguridad adicional que es posible gracias a las tarjetas EMV (y otros medios 'inteligentes'). Una tarjeta de banda magnética es un medio tonto y no poder implementar P2PE es solo un inconveniente.
En cuanto a su pregunta sobre DDA y CDA, me temo que no puedo ofrecer una respuesta mejor que las respuestas simplificadas que puede encontrar en Google, etc.