Tarjetas EMV (chip): ¿qué sentido tiene que la tarjeta chip se comunique directamente con el servidor de autorización? & Aclaración de CDA en EMV

Question

Tarjetas EMV (chip): ¿qué sentido tiene que la tarjeta chip se comunique directamente con el servidor de autorización? & Aclaración de CDA en EMV

#1 de user3337410 (3 votos)

3

De acuerdo con mi investigación, entiendo que la Tarjeta Chip crea una Clave de CA (MasterKey + AccNumber) para comunicarse con el servidor de autorización de forma segura (la clave 3DES debe tener comunicación cifrada) pero no entiendo lo siguiente ...

¿Cuál es la diferencia entre hacer que la tarjeta se comunique directamente con el servidor y que la tarjeta le diga al sistema de puntos de venta sus detalles y luego comunicarse con el servidor de autorización (que puede hacerse mediante una banda magnética o una tarjeta de proximidad)? ?
¿Cuáles son los beneficios de este procedimiento que tienen las tarjetas EMV? y ¿por qué es necesario (si lo es)?

Otra pregunta que tengo es que no entiendo el Criptograma de aplicación / DDA Combinado (CDA), los sitios web y los informes que he encontrado solo dieron una breve explicación de si alguien podría indicarme la dirección de dónde puedo encontrarlo. más sobre esto (preferiblemente los aspectos técnicos de cómo funciona y qué tipo de criptografía utiliza, etc.).

credit-card payment-gateway emv

pregunta Brandon Seet 21.03.2014 - 06:05

fuente

1 respuesta

Lea otras preguntas en las etiquetas credit-card payment-gateway emv

¿Los ataques de BESTIA y CRIMEN se aplican a un servicio IMAP? Mejores prácticas para antirrobo de portátiles. Seguimiento de la computadora

score 3 · Answer 1

En respuesta a:

¿Cuál es la diferencia entre hacer que la tarjeta hable directamente con el servidor y que la tarjeta le diga al sistema de puntos de venta sus detalles y luego comunicarse con el servidor de autorización (que puede hacerse mediante una banda magnética o una tarjeta de proximidad)? p>

La diferencia es que el cifrado de extremo a extremo (también denominado cifrado punto a punto o P2PE en la industria de pagos) significa que cualquier persona entre la tarjeta y el emisor se queda en la oscuridad con respecto a los detalles confidenciales de la transacción (PAN etc.).

En cuanto a:

¿Cuáles son los beneficios de este procedimiento que tienen las tarjetas EMV? y ¿por qué es necesario (si lo es)?

El beneficio es que no necesita confiar en nadie entre la tarjeta y el emisor. En el caso del malware POS, la ventaja aquí es obvia. Pero esto también tiene ventajas incluso si no hay ningún malware en la ruta entre la tarjeta y el emisor.

Si el comerciante no puede ver los detalles de la tarjeta, entonces el comerciante no puede almacenar los detalles de la tarjeta. Si el comerciante no puede almacenar los detalles de la tarjeta, reduce el alcance de las auditorías PCI-DSS y reduce el riesgo para el comerciante. Y para los procesadores que enrutan las transacciones. Y cualquier otra persona entre la tarjeta y el emisor.

La respuesta de RP de las organizaciones en la industria de los apyments es que esto hace que todo sea más seguro para todos. Una respuesta más cínica es que el comerciante preferiría pagar un poco más ahora por una solución P2PE para evitar investigaciones costosas, multas y liquidaciones posteriores.

Su pregunta y mi respuesta tratan sobre el cifrado de la información confidencial entre la tarjeta y el emisor, pero P2PE es algo que surgió de las tarjetas EMV. Es una medida de seguridad adicional que es posible gracias a las tarjetas EMV (y otros medios 'inteligentes'). Una tarjeta de banda magnética es un medio tonto y no poder implementar P2PE es solo un inconveniente.

En cuanto a su pregunta sobre DDA y CDA, me temo que no puedo ofrecer una respuesta mejor que las respuestas simplificadas que puede encontrar en Google, etc.