อีเอ็มวี

EMVเป็นวิธีการชำระเงินที่ใช้มาตรฐานทางเทคนิคสำหรับบัตรชำระเงิน อัจฉริยะ และสำหรับเครื่องรับชำระเงินและเครื่องเอทีเอ็มที่สามารถรับบัตรเหล่านี้ได้ EMV ย่อมาจาก " Europay , MastercardและVisa " ซึ่งเป็นบริษัทสามแห่งที่สร้างมาตรฐานนี้ขึ้นมา^[¹^] EMV บริหารจัดการโดย EMVCo ซึ่งเป็นกลุ่มเทคโนโลยีทางการเงินที่เป็นเจ้าของโดยบริษัทผู้ให้บริการบัตร

บัตร EMV เป็นสมาร์ทการ์ดหรือเรียกอีกอย่างว่า บัตรชิป บัตรวงจรรวม (ICC) หรือบัตร IC ซึ่งเก็บข้อมูลไว้ใน ชิป วงจรรวมนอกเหนือจากแถบแม่เหล็กเพื่อความเข้ากันได้กับระบบเก่าบัตรเหล่านี้รวมถึงบัตรที่ต้องเสียบหรือ "จุ่ม" ลงในเครื่องอ่าน และบัตรแบบไร้สัมผัสที่สามารถอ่านได้ในระยะสั้นโดยใช้ เทคโนโลยี การสื่อสารระยะใกล้บัตรชำระเงินที่สอดคล้องกับมาตรฐาน EMV มักเรียกว่า บัตร ชิปและ PINหรือ บัตร ชิปและลายเซ็นขึ้นอยู่กับวิธีการตรวจสอบสิทธิ์ที่ผู้ออกบัตรใช้ เช่นหมายเลขประจำตัวส่วนบุคคล (PIN) หรือลายเซ็นอิเล็กทรอนิกส์มีมาตรฐานอยู่ โดยอิงตามISO/IEC 7816สำหรับบัตรแบบสัมผัส และอิงตามISO/IEC 14443สำหรับบัตรแบบไร้สัมผัส ( Mastercard Contactless , Visa PayWave , American Express ExpressPay ) ^{[ 2 ]}

ประวัติศาสตร์

โลโก้ของ EMVCo ซึ่งเป็นกลุ่มพันธมิตรที่บริหารจัดการ EMV และมาตรฐานที่เกี่ยวข้อง

ก่อนการนำระบบชิปและรหัส PIN มา ใช้ การทำธุรกรรม บัตรเครดิตหรือบัตรเดบิต แบบพบหน้ากันทั้งหมด เกี่ยวข้องกับการใช้แถบแม่เหล็กหรือการพิมพ์แบบกลไกเพื่ออ่านและบันทึกข้อมูลบัญชี และลายเซ็นเพื่อยืนยันตัวตน ลูกค้าจะยื่นบัตรให้พนักงานเก็บเงิน ณ จุดขายจากนั้นพนักงานจะนำบัตรผ่านเครื่องอ่านแม่เหล็กหรือทำการพิมพ์จากตัวอักษรนูนบนบัตร ในกรณีแรก ระบบจะตรวจสอบรายละเอียดบัญชีและพิมพ์ใบเสร็จให้ลูกค้าเซ็นชื่อ ในกรณีของการพิมพ์แบบกลไก รายละเอียดการทำธุรกรรมจะถูกกรอก ตรวจสอบรายชื่อหมายเลขที่ถูกขโมย และลูกค้าเซ็นชื่อในใบเสร็จที่พิมพ์แล้ว สำหรับธุรกรรมที่มีมูลค่าสูง อาจมีการขออนุมัติโดยผู้ค้าโทรไปยังสายด่วนและรับรหัสซึ่งเขียนลงบนใบเสร็จ ในทั้งสองกรณี พนักงานเก็บเงินต้องตรวจสอบว่าลายเซ็นของลูกค้าตรงกับลายเซ็นด้านหลังบัตรเพื่อยืนยันความถูกต้องของธุรกรรม

การใช้ลายเซ็นบนบัตรเป็นวิธีการตรวจสอบนั้นมีช่องโหว่ด้านความปลอดภัยหลายประการ ที่เห็นได้ชัดที่สุดคือ บัตรอาจสูญหายได้ง่ายก่อนที่เจ้าของตัวจริงจะลงลายเซ็นได้ อีกช่องโหว่หนึ่งคือการลบและแทนที่ลายเซ็นที่ถูกต้อง และอีกช่องโหว่หนึ่งคือการปลอมลายเซ็นที่ถูกต้อง

การประดิษฐ์ ชิป วงจรรวม ซิลิคอน ในปี 1959 นำไปสู่แนวคิดในการรวมชิปดังกล่าวเข้ากับสมาร์ทการ์ด พลาสติก ในช่วงปลายทศวรรษ 1960 โดยวิศวกรชาวเยอรมันสองคนคือHelmut GröttrupและJürgen Dethloff [ ³^]^สมาร์ทการ์ดรุ่นแรกๆ ถูกนำมาใช้เป็นบัตรโทรศัพท์ในช่วงทศวรรษ 1970 ก่อนที่จะถูกดัดแปลงมาใช้เป็นบัตรชำระเงินใน ภายหลัง ^[⁴^]^[⁵^]ตั้งแต่นั้นมา สมาร์ทการ์ดได้ใช้ ชิป วงจรรวม MOSร่วมกับ เทคโนโลยี หน่วยความจำ MOSเช่นหน่วยความจำแฟลชและEEPROM ( หน่วยความจำอ่านอย่างเดียวที่ลบและตั้งโปรแกรมได้ด้วย ไฟฟ้า ) ^[⁶^]

มาตรฐานแรกสำหรับบัตรชำระเงินอัจฉริยะคือCarte Bancaire B0M4 จาก Bull-CP8 ซึ่งเริ่มใช้ในฝรั่งเศสในปี 1986 ตามมาด้วย B4B0' (ที่ใช้งานร่วมกับ M4 ได้) ซึ่งเริ่มใช้ในปี 1989 บัตร Geldkarteในเยอรมนีก็มีมาก่อน EMV เช่นกัน EMV ถูกออกแบบมาเพื่อให้บัตรและเครื่องรับชำระเงินสามารถใช้งานร่วมกับมาตรฐานเหล่านี้ได้ ปัจจุบันฝรั่งเศสได้เปลี่ยนโครงสร้างพื้นฐานด้านบัตรและเครื่องรับชำระเงินทั้งหมดไปใช้ EMV แล้ว

EMV ย่อมาจาก Europay, Mastercard และ Visa ซึ่งเป็นบริษัทสามแห่งที่สร้างมาตรฐานนี้ขึ้นมา ปัจจุบันมาตรฐานนี้ได้รับการจัดการโดย EMVCo ซึ่งเป็นกลุ่มพันธมิตรที่มีการแบ่งการควบคุมอย่างเท่าเทียมกันระหว่าง Visa, Mastercard, JCB , American Express , China UnionPayและDiscover ^{[ 7 ]} EMVCo รับฟังความคิดเห็นจากสาธารณะเกี่ยวกับร่างมาตรฐานและกระบวนการต่างๆ และยังอนุญาตให้องค์กรอื่นๆ เข้าร่วมเป็น "พันธมิตร" และ "สมาชิก" เพื่อความร่วมมือที่ลึกซึ้งยิ่งขึ้น^{[ 8 ]} JCB เข้าร่วมกลุ่มพันธมิตรในเดือนกุมภาพันธ์ พ.ศ. 2552, China UnionPay ในเดือนพฤษภาคม พ.ศ. 2556 ^{[ 9 ]}และ Discover ในเดือนกันยายน พ.ศ. 2556 ^{[ 10 ]}

ผู้จำหน่ายบัตรและชิป EMV ชั้นนำ ได้แก่ABnote (American Bank Corp), CPI Card Group, IDEMIA (จากการควบรวมกิจการของOberthur Technologiesและ Safran Identity & Security (Morpho) ในปี 2017), Gemalto (ถูกซื้อกิจการโดยThales Groupในปี 2019) , Giesecke & Devrientและ Versatile Card Technology ^{[ 11 ]}

ความแตกต่างและข้อดี

การเปลี่ยนไปใช้ระบบชำระเงินด้วยบัตรสมาร์ทการ์ดมีประโยชน์หลักสองประการ ได้แก่ ความปลอดภัยที่ดียิ่งขึ้น (พร้อมการลดการฉ้อโกงที่เกี่ยวข้อง) และความเป็นไปได้ในการควบคุมการอนุมัติธุรกรรมบัตรแบบ "ออฟไลน์" ที่ละเอียดขึ้น หนึ่งในเป้าหมายดั้งเดิมของ EMV คือการจัดให้มีแอปพลิเคชันหลายอย่างบนบัตรเดียว ได้แก่ แอปพลิเคชัน บัตรเครดิตและบัตรเดบิตหรือกระเป๋าเงินอิเล็กทรอนิกส์ ตั้งแต่ปี 2013 บัตรเดบิตที่ออกใหม่ในสหรัฐอเมริกามีแอปพลิเคชันสองรายการ ได้แก่ แอปพลิเคชันของสมาคมบัตร (Visa, Mastercard เป็นต้น) และแอปพลิเคชันเดบิตทั่วไป^{[ 12 ]}

การทำธุรกรรมด้วยบัตรชิป EMV ช่วยเพิ่มความปลอดภัยจากการฉ้อโกงเมื่อเทียบกับการทำธุรกรรมด้วยบัตรแถบแม่เหล็ก ซึ่งอาศัยลายเซ็นของผู้ถือบัตรและการตรวจสอบบัตรด้วยสายตาเพื่อตรวจสอบคุณสมบัติต่างๆ เช่นโฮโลแกรม การใช้รหัส PIN และอัลกอริธึมการเข้ารหัส เช่นTriple DES , RSAและSHAช่วยยืนยันความถูกต้องของบัตรให้กับเครื่องประมวลผลและระบบโฮสต์ของผู้ออกบัตร เวลาในการประมวลผลเทียบได้กับการทำธุรกรรมออนไลน์ ซึ่งความล่าช้าในการสื่อสารกินเวลาส่วนใหญ่ ในขณะที่การเข้ารหัสที่เครื่องประมวลผลใช้เวลาเพียงเล็กน้อย การป้องกันการฉ้อโกงที่เพิ่มขึ้นนี้ทำให้ธนาคารและผู้ออกบัตรสามารถสร้าง "การเปลี่ยนความรับผิด" ได้ โดยที่ผู้ค้าต้องรับผิดชอบ (ตั้งแต่วันที่ 1 มกราคม 2548 ในภูมิภาคสหภาพยุโรปและ 1 ตุลาคม 2558 ในสหรัฐอเมริกา) สำหรับการฉ้อโกงใดๆ ที่เกิดขึ้นจากการทำธุรกรรมบนระบบที่ไม่รองรับ EMV ^{[ 1 ]}^{[ 13 ]}^{[ 14 ]}การใช้งานบัตรและเครื่องรับชำระเงิน EMV ส่วนใหญ่จะยืนยันตัวตนของผู้ถือบัตรโดยการป้อนหมายเลขประจำตัวส่วนบุคคล (PIN) แทนการเซ็นชื่อในใบเสร็จรับเงินแบบกระดาษ การตรวจสอบสิทธิ์ด้วย PIN จะเกิดขึ้นหรือไม่นั้นขึ้นอยู่กับความสามารถของเครื่องรับชำระเงินและการตั้งโปรแกรมของบัตร

เมื่อมีการนำบัตรชำระเงินมาใช้ครั้งแรก ผู้ค้าใช้เครื่องพิมพ์บัตรแบบกลไกแทนเครื่องพิมพ์บัตรแบบพกพาแม่เหล็ก ซึ่งต้องใช้กระดาษคาร์บอนในการพิมพ์ พวกเขาไม่ได้ติดต่อสื่อสารกับผู้ออกบัตรทางอิเล็กทรอนิกส์ และบัตรก็ไม่เคยห่างจากสายตาของลูกค้า ผู้ค้าต้องตรวจสอบธุรกรรมที่มีมูลค่าเกินจำนวนที่กำหนดโดยการโทรศัพท์ไปยังผู้ออกบัตร ในช่วงทศวรรษ 1970 ในสหรัฐอเมริกา ผู้ค้าจำนวนมากสมัครรับรายชื่อหมายเลขบัตรเครดิตที่ถูกขโมยหรือไม่ถูกต้องซึ่งมีการอัปเดตเป็นประจำ รายชื่อนี้มักจะพิมพ์เป็นเล่มบนกระดาษหนังสือพิมพ์ เรียงตามลำดับตัวเลข คล้ายกับสมุดโทรศัพท์เล่มบางๆ แต่ไม่มีข้อมูลใดๆ นอกเหนือจากรายชื่อหมายเลขที่ไม่ถูกต้อง พนักงานเก็บเงินจะต้องพลิกดูเล่มนี้ทุกครั้งที่มีการนำบัตรเครดิตมาชำระเงินไม่ว่าจำนวนเท่าใด ก่อนที่จะอนุมัติธุรกรรม ซึ่งทำให้เกิดความล่าช้าเล็กน้อย^{[ 15 ]}

ต่อมา อุปกรณ์รับชำระเงินที่ร้านค้าจะติดต่อกับผู้ออกบัตรทางอิเล็กทรอนิกส์ โดยใช้ข้อมูลจากแถบแม่เหล็กเพื่อตรวจสอบบัตรและอนุมัติการทำธุรกรรม วิธีนี้เร็วกว่ามาก แต่จำเป็นต้องทำธุรกรรมในสถานที่ที่กำหนดไว้ ดังนั้น หากธุรกรรมไม่ได้เกิดขึ้นใกล้กับเครื่องรับชำระเงิน (เช่น ในร้านอาหาร) พนักงานขายหรือพนักงานเสิร์ฟจะต้องนำบัตรออกจากลูกค้าและไปที่เครื่องรับชำระเงิน ซึ่งเป็นไปได้ที่พนักงานที่ไม่ซื่อสัตย์จะแอบรูดบัตรผ่านเครื่องที่บันทึกข้อมูลบนบัตรและแถบแม่เหล็กได้ง่ายๆ

นับตั้งแต่มีการนำชิปและรหัส PIN มาใช้ การคัดลอกชิปจึงเป็นไปไม่ได้ มีเพียงแถบแม่เหล็กเท่านั้นที่สามารถคัดลอกได้ และบัตรที่คัดลอกมานั้นไม่สามารถใช้งานได้ด้วยตัวเองที่เครื่องรับชำระเงินที่ต้องใช้รหัส PIN การนำชิปและรหัส PIN มาใช้เกิดขึ้นพร้อมกับการที่ เทคโนโลยีการส่งข้อมูล แบบไร้สายมีราคาถูกลงและแพร่หลายมากขึ้น นอกจากเครื่องอ่านแม่เหล็กที่ใช้โทรศัพท์มือถือแล้ว พนักงานร้านค้ายังสามารถนำแป้นพิมพ์ PIN แบบไร้สายมาให้ลูกค้าได้ ทำให้บัตรไม่เคยคลาดสายตาจากผู้ถือบัตร ดังนั้นทั้งเทคโนโลยีชิปและรหัส PIN และเทคโนโลยีไร้สายจึงสามารถนำมาใช้เพื่อลดความเสี่ยงจากการรูดบัตรโดยไม่ได้รับอนุญาตและการคัดลอกบัตรได้^{[ 16 ]}

ชิปและรหัส PIN เทียบกับ ชิปและลายเซ็น

ชิปและรหัส PIN เป็นหนึ่งในสองวิธีการตรวจสอบที่บัตร EMV สามารถใช้งานได้^{[ 15 ]}แทนที่จะเซ็นชื่อในใบเสร็จเพื่อยืนยันตัวตน ผู้ใช้จะป้อนหมายเลขประจำตัวส่วนบุคคล (PIN) ซึ่งโดยทั่วไปมีความยาวสี่ถึงหกหลัก หมายเลขนี้ต้องตรงกับข้อมูลที่จัดเก็บไว้ในชิปหรือรหัส PIN ที่โฮสต์ เทคโนโลยีชิปและรหัส PIN ทำให้ผู้ฉ้อโกงใช้บัตรที่พบได้ยากขึ้นมาก เนื่องจากหากมีคนขโมยบัตร พวกเขาจะไม่สามารถทำการซื้อที่ผิดกฎหมายได้เว้นแต่จะรู้รหัส PIN

ในทางกลับกัน ชิปและลายเซ็นจะแตกต่างจากชิปและ PIN โดยการตรวจสอบตัวตนของผู้บริโภคด้วยลายเซ็น^{[ 17 ]}

ณ ปี 2015 บัตรชิปและรหัส PIN เป็นที่นิยมใช้กันในประเทศส่วนใหญ่ในยุโรป (เช่น สหราชอาณาจักร ไอร์แลนด์ ฝรั่งเศส โปรตุเกส ฟินแลนด์ และเนเธอร์แลนด์) รวมถึงในปากีสถาน อิหร่าน บราซิล โคลอมเบีย เวเนซุเอลา อินเดีย ศรีลังกา แคนาดา ออสเตรเลีย และนิวซีแลนด์ ส่วนบัตรชิปและลายเซ็นต์เป็นที่นิยมใช้กันในสหรัฐอเมริกา เม็กซิโก บางส่วนของอเมริกาใต้ (เช่น อาร์เจนตินาและเปรู) และบางประเทศในเอเชีย (เช่น ไต้หวัน ฮ่องกง ไทย เกาหลีใต้ สิงคโปร์ และอินโดนีเซีย) ^{[ 18 ]}^{[ 19 ]}

ธุรกรรมทางออนไลน์ ทางโทรศัพท์ และทางไปรษณีย์

แม้ว่าเทคโนโลยี EMV จะช่วยลดอาชญากรรม ณ จุดขายได้ แต่ธุรกรรมฉ้อโกงได้เปลี่ยนไปสู่ธุรกรรมทางโทรศัพท์ อินเทอร์เน็ต และการสั่งซื้อทางไปรษณีย์ที่มีความเสี่ยงมากขึ้นซึ่งใน วงการเรียกว่าธุรกรรมแบบไม่มีบัตรหรือ CNP ^{[ 20 ]}ธุรกรรม CNP คิดเป็นอย่างน้อย 50% ของการฉ้อโกงบัตรเครดิตทั้งหมด^{[ 21 ]}เนื่องจากระยะทางทางกายภาพ ทำให้ผู้ค้าไม่สามารถแสดงแป้นพิมพ์ให้ลูกค้าเห็นในกรณีเหล่านี้ได้ ดังนั้นจึงมีการคิดค้นทางเลือกอื่นขึ้นมา รวมถึง

วิธีการทางซอฟต์แวร์สำหรับการทำธุรกรรมออนไลน์ที่เกี่ยวข้องกับการโต้ตอบกับเว็บไซต์ของธนาคารผู้ออกบัตรหรือเครือข่าย เช่น Verified by Visa และ Mastercard SecureCode (ซึ่งเป็นการใช้งาน โปรโตคอล 3-D Secure ของ Visa ) ปัจจุบัน 3-D Secure กำลังถูกแทนที่ด้วยการยืนยันตัวตนลูกค้าที่เข้มงวดมากขึ้นตามที่กำหนดไว้ในระเบียบการบริการชำระเงินฉบับที่สองของยุโรป
สร้างหมายเลขบัตรเสมือนแบบใช้ครั้งเดียวที่เชื่อมโยงกับบัตรจริงที่มีวงเงินสูงสุดที่กำหนดไว้
ฮาร์ดแวร์เพิ่มเติมที่มีแป้นพิมพ์และหน้าจอที่สามารถสร้างรหัสผ่านแบบใช้ครั้งเดียวได้เช่นโปรแกรมตรวจสอบความถูกต้องด้วยชิป (Chip Authentication Program )
แป้นพิมพ์และหน้าจอที่รวมอยู่ในบัตรที่ซับซ้อนเพื่อสร้างรหัสผ่านแบบใช้ครั้งเดียว ตั้งแต่ปี 2551 Visa ได้ดำเนินโครงการนำร่องโดยใช้บัตร Emue ซึ่งหมายเลขที่สร้างขึ้นจะแทนที่รหัสที่พิมพ์อยู่ด้านหลังของบัตรมาตรฐาน^{[ 22 ]}

ส่วนเรื่องความเร็วนั้นThe New York Timesอธิบายว่าเป็นเรื่องของการรับรู้: ในขณะที่วิธีการใช้ชิปต้องให้ชิปอยู่ในเครื่องจนกว่าการทำธุรกรรมและกระบวนการอนุมัติจะเสร็จสมบูรณ์ วิธีการใช้โทรศัพท์รูดจะทำการอนุมัติในเบื้องหลัง และใบเสร็จจะเริ่มออกมาทันที^{[ 23 ]}

คำสั่ง

ISO/IEC 7816-3กำหนดโปรโตคอลการส่งข้อมูลระหว่างชิปการ์ดและเครื่องอ่าน โดยใช้โปรโตคอลนี้ ข้อมูลจะถูกแลกเปลี่ยนในหน่วยข้อมูลโปรโตคอลแอปพลิเคชัน (APDU) ซึ่งประกอบด้วยการส่งคำสั่งไปยังการ์ด การประมวลผลของการ์ด และการส่งการตอบกลับ EMV ใช้คำสั่งต่อไปนี้:

บล็อกแอปพลิเคชัน
ปลดบล็อกแอปพลิเคชัน
บล็อกการ์ด
การตรวจสอบสิทธิ์ภายนอก (7816-4)
สร้างรหัสลับแอปพลิเคชัน
รับข้อมูล (7816-4)
รับตัวเลือกการประมวลผล
การตรวจสอบสิทธิ์ภายใน (7816-4)
เปลี่ยนรหัส PIN / ปลดล็อก
อ่านบันทึก (7816-4)
เลือก (7816-4)
ตรวจสอบ (7816-4)

คำสั่งที่ตามด้วย "7816-4" นั้นถูกกำหนดไว้ในมาตรฐาน ISO/IEC 7816-4 และเป็นคำสั่งที่ใช้กันทั่วไปในอุตสาหกรรมต่างๆ สำหรับแอปพลิเคชันการ์ดชิปหลายประเภท เช่นซิมการ์ด GSM

ขั้นตอนการทำธุรกรรม

ธุรกรรม EMV มีขั้นตอนดังต่อไปนี้: ^{[ 24 ]}

การคัดเลือกใบสมัคร
เริ่มดำเนินการประมวลผลใบสมัคร
อ่านข้อมูลแอปพลิเคชัน
ข้อจำกัดในการประมวลผล
การตรวจสอบสิทธิ์ข้อมูลแบบออฟไลน์
ใบรับรอง
การตรวจสอบผู้ถือบัตร
การจัดการความเสี่ยงขั้นสุดท้าย
การวิเคราะห์การกระทำขั้นสุดท้าย
การวิเคราะห์การกระทำของไพ่ใบแรก
การอนุมัติธุรกรรมออนไลน์ (ดำเนินการเฉพาะเมื่อจำเป็นตามผลลัพธ์ของขั้นตอนก่อนหน้าเท่านั้น; บังคับใช้ในตู้เอทีเอ็ม)
การวิเคราะห์การกระทำของไพ่ใบที่สอง
การประมวลผลสคริปต์ผู้ออก

การคัดเลือกใบสมัคร

ISO/IEC 7816กำหนดกระบวนการสำหรับการเลือกแอปพลิเคชัน จุดประสงค์ของการเลือกแอปพลิเคชันคือเพื่อให้บัตรสามารถมีแอปพลิเคชันที่แตกต่างกันได้อย่างสมบูรณ์ เช่นGSMและ EMV อย่างไรก็ตาม นักพัฒนา EMV ได้นำการเลือกแอปพลิเคชันมาใช้เป็นวิธีในการระบุประเภทของผลิตภัณฑ์ ดังนั้นผู้ออกผลิตภัณฑ์ทั้งหมด (Visa, Mastercard เป็นต้น) จะต้องมีแอปพลิเคชันของตนเอง วิธีการกำหนดการเลือกแอปพลิเคชันใน EMV เป็นแหล่งที่มาของปัญหาการทำงานร่วมกันระหว่างบัตรและเครื่องรับชำระเงินบ่อยครั้ง หนังสือเล่มที่ 1 ^{[ 25 ]}ของมาตรฐาน EMV อุทิศ 15 หน้าเพื่ออธิบายกระบวนการเลือกแอปพลิเคชัน

ตัวระบุแอปพลิเคชัน (AID) ใช้สำหรับระบุแอปพลิเคชันในบัตรหรือระบบจำลองบัตรโฮสต์ (HCE) หากจัดส่งโดยไม่มีบัตร AID ประกอบด้วยตัวระบุผู้ให้บริการแอปพลิเคชันที่ลงทะเบียนแล้ว (RID) ขนาดห้าไบต์ ซึ่งออกโดยหน่วยงานลงทะเบียน ISO/IEC 7816-5 ตามด้วยส่วนขยายตัวระบุแอปพลิเคชันเฉพาะ (PIX) ซึ่งช่วยให้ผู้ให้บริการแอปพลิเคชันสามารถแยกแยะแอปพลิเคชันต่างๆ ที่นำเสนอได้ AID จะพิมพ์อยู่บนใบเสร็จรับเงินของผู้ถือบัตร EMV ทุกใบ ผู้ออกบัตรสามารถเปลี่ยนแปลงชื่อแอปพลิเคชันจากชื่อของเครือข่ายบัตรได้

รายชื่อแอปพลิเคชัน:

ระบบบัตร / เครือข่ายการชำระเงิน	กำจัด	ผลิตภัณฑ์	รูปภาพ	ความช่วยเหลือ
FBF-1886 (เดนมาร์ก) ^{[ 26 ]}	A000000001	บัตรสะสมแต้ม	0001	A0000000010001
ดันม็องต์ (เดนมาร์ก)	A000000001	บัตรเงินสด	1010	A0000000011010
วีซ่า	A000000003	บัตรเครดิตหรือบัตรเดบิตวีซ่า	1010	A0000000031010
		วีซ่าอิเล็กตรอน	2010	A0000000032010
		วีเพย์	2020	A0000000032020
		นอกจากนี้	8010	A0000000038010
มาสเตอร์การ์ด	A000000004	บัตรเครดิตหรือบัตรเดบิตมาสเตอร์การ์ด	1010	A0000000041010
		มาสเตอร์การ์ด^{[ 27 ]}	9999	A0000000049999
		มาเอสโตร	3060	A0000000043060
		บัตรเอทีเอ็ม Cirrusเท่านั้น	6000	A0000000046000
		โปรแกรมตรวจสอบความถูกต้องของชิป Securecode	8002	A0000000048002
	เอ000000005	Maestro UK (เดิมชื่อ Switch )	0001	A0000000050001
	A000000010	มาสเตอร์การ์ด (จีน, บัตรเดบิตและบัตรเครดิต) ^{[หมายเหตุ 1 ]}	8888	A0000000108888
อเมริกันเอ็กซ์เพรส	A000000025	อเมริกันเอ็กซ์เพรส	01	A00000002501
อเมริกันเอ็กซ์เพรส	A000000790	AMEX จีน (บัตรเดบิตและบัตรเครดิต) ^{[หมายเหตุ 2 ]}	01	A00000079001
บัตรเดบิตสหรัฐ (ทุกเครือข่ายระหว่างธนาคาร) (สหรัฐอเมริกา)	A000000098	บัตรวีซ่า	0840	A0000000980840
	A000000004	บัตรมาสเตอร์การ์ด	2203	A0000000042203
	A000000152	บัตร Discover	4010	A0000001524010
บัตรเครดิต Menards (บัตรของร้านค้า) (สหรัฐอเมริกา)	A000000817	บัตรร้านค้า	002001	A000000817002001
เครือข่ายตู้เอทีเอ็ม LINK (สหราชอาณาจักร)	A000000029	บัตรเอทีเอ็ม	1010	A0000000291010
ซีบี (ฝรั่งเศส)	A000000042	CB (บัตรเครดิตหรือบัตรเดบิต)	1010	A0000000421010
ซีบี (ฝรั่งเศส)	A000000042	CB (รับเฉพาะบัตรเดบิต)	2010	A0000000422010
เจซีบี (ญี่ปุ่น)	A000000065	สำนักงานข้อมูลเครดิตแห่งประเทศญี่ปุ่น	1010	A0000000651010
Dankort (เดนมาร์ก)	A000000121	ดันคอร์ท	1010	A0000001211010
		วีซ่าแดนคอร์ท	4711	A0000001214711
		ดันคอร์ต (J/เร็ว)	4712	A0000001214712
		มาสเตอร์การ์ด ดันคอร์ท	4713	A0000001214713
คอนซอร์ซิโอ บันโคแมท (อิตาลี)	A000000141	บันโคแมท/ปาโกบันโคแมท	0001	A0000001410001
ไดเนอร์สคลับ / ดิสคัฟเวอร์	A000000152	ไดเนอร์สคลับ/ดิสคัฟเวอร์	3010	A0000001523010
บันริซุล (บราซิล)	A000000154	บันริคอมปราส เดบิโต	4442	A0000001544442
SPAN2 (ซาอุดีอาระเบีย)	A000000228	สแปน	1010	A0000002281010
อินเตอร์แรค (แคนาดา)	A000000277	บัตรเดบิต	1010	A0000002771010
ดิสคัฟเวอร์ (สหรัฐอเมริกา)	A000000324	รหัสไปรษณีย์	1010	A0000003241010
ยูเนี่ยนเพย์ (จีน)	A000000333	เดบิต	010101	A000000333010101
		เครดิต	010102	A000000333010102
		เครดิตเสมือน	010103	A000000333010103
		เงินอิเล็กทรอนิกส์	010106	A000000333010106
ดีเค (เยอรมนี)	A000000359	จิโรการ์ด	1010028001	A0000003591010028001
EAPS Bancomat (อิตาลี)	A000000359	ปาโกบันโคแมท	10100380	A00000035910100380
เวอร์ฟ (ไนจีเรีย)	A000000371	ความกระตือรือร้น	0001	A0000003710001
เครือข่ายตู้เอทีเอ็ม ของ Exchange Network (แคนาดา/สหรัฐอเมริกา)	A000000439	บัตรเอทีเอ็ม	1010	A0000004391010
RuPay (อินเดีย)	A000000524	รูเพย์	1010	A0000005241010
ดินูเบ (สเปน)	A000000630	การเริ่มต้นการชำระเงิน Dinube (PSD2)	0101	A0000006300101
เอ็มอาร์ (รัสเซีย)	A000000658	เดบิต MIR	2010	A0000006582010
เอ็มอาร์ (รัสเซีย)	A000000658	เครดิต MIR	1010	A0000006581010
เอเดนเรด (เบลเยียม)	A000000436	ร้านอาหารตั๋ว	0100	A0000004360100
เครื่องรูดบัตร (ออสเตรเลีย)	A000000384	การออม (บัตรเดบิต)	10	A00000038410
เครื่องรูดบัตร (ออสเตรเลีย)	A000000384	เช็ค (บัตรเดบิต)	20	A00000038420
จีเอ็ม-ยูเอโมอา (แปดประเทศในแอฟริกาตะวันตก: เบนิน, บูร์กินาฟาโซ, โกตดิวัวร์, กินีบิสเซา, มาลี, ไนเจอร์, เซเนกัล, โตโก)	A000000337	การลาพัก	01 000001	A000000337301000
		มาตรฐาน	01 000002	A000000337101000
		คลาสสิก	01 000003	A000000337102000
		ชำระเงินล่วงหน้าทางออนไลน์	01 000004	A000000337101001
		สามารถชำระเงินล่วงหน้าแบบออฟไลน์ได้	01 000005	A000000337102001
		ประตูเหรียญอิเล็กทรอนิกส์	01 000006	A000000337601001
มีซา (อียิปต์)	A000000732	มีซ่าการ์ด	100123	A000000732100123
ปรอท (สหรัฐอาหรับเอมิเรตส์)	A000000529	เมอร์คิวรีการ์ด	1010	A0000005291010
ไชน่า ที-ยูเนียน	A000000632	กระเป๋าเงินอิเล็กทรอนิกส์ MOT	010105	A000000632010105
ไชน่า ที-ยูเนียน	A000000632	MOT เงินสดอิเล็กทรอนิกส์	010106	A000000632010106

เริ่มดำเนินการประมวลผลใบสมัคร

เครื่องเทอร์มินัลจะส่ง คำสั่ง ขอตัวเลือกการประมวลผลไปยังการ์ด เมื่อส่งคำสั่งนี้ เครื่องเทอร์มินัลจะส่งข้อมูลต่างๆ ที่การ์ดร้องขอในรายการวัตถุข้อมูลตัวเลือกการประมวลผล (PDOL) ไปยังการ์ด PDOL (รายการแท็กและความยาวขององค์ประกอบข้อมูล) นั้น การ์ดอาจส่งให้เครื่องเทอร์มินัลในระหว่างการเลือกแอปพลิเคชัน ก็ได้ การ์ดจะตอบกลับด้วยโปรไฟล์การแลกเปลี่ยนแอปพลิ เคชัน (AIP) ซึ่งเป็นรายการฟังก์ชันที่จะดำเนินการในการประมวลผลธุรกรรม การ์ดยังให้ตัวระบุตำแหน่งไฟล์แอปพลิเคชัน (AFL) ซึ่งเป็นรายการไฟล์และระเบียนที่เครื่องเทอร์มินัลจำเป็นต้องอ่านจากการ์ดด้วย

อ่านข้อมูลแอปพลิเคชัน

สมาร์ทการ์ดจัดเก็บข้อมูลในไฟล์ AFL ประกอบด้วยไฟล์ที่มีข้อมูล EMV ไฟล์เหล่านี้ทั้งหมดจะต้องถูกอ่านโดยใช้คำสั่งอ่านบันทึก EMV ไม่ได้ระบุว่าข้อมูลถูกจัดเก็บไว้ในไฟล์ใด ดังนั้นจึงต้องอ่านไฟล์ทั้งหมด ข้อมูลในไฟล์เหล่านี้จะถูกจัดเก็บใน รูปแบบ BER TLV EMV กำหนดค่าแท็กสำหรับข้อมูลทั้งหมดที่ใช้ในการประมวลผลการ์ด^{[ 28 ]}

ข้อจำกัดในการประมวลผล

จุดประสงค์ของข้อจำกัดในการประมวลผลคือเพื่อตรวจสอบว่าควรใช้บัตรหรือไม่ โดยจะตรวจสอบข้อมูลสามส่วนที่อ่านได้ในขั้นตอนก่อนหน้า ได้แก่ หมายเลขเวอร์ชันของแอปพลิเคชัน การควบคุมการใช้งานแอปพลิเคชัน (เช่น แสดงว่าบัตรนี้ใช้ภายในประเทศเท่านั้นหรือไม่ เป็นต้น) และการตรวจสอบวันที่เริ่มต้น/สิ้นสุดการใช้งานของแอปพลิเคชัน

หากการตรวจสอบใดๆ เหล่านี้ล้มเหลว บัตรก็ไม่จำเป็นต้องถูกปฏิเสธเสมอไป เครื่องรับชำระเงินจะตั้งค่าบิตที่เหมาะสมในผลการตรวจสอบเครื่อง (TVR) ซึ่งส่วนประกอบต่างๆ ของผลการตรวจสอบนี้จะเป็นพื้นฐานในการตัดสินใจยอมรับ/ปฏิเสธในขั้นตอนการทำธุรกรรมต่อไป คุณสมบัตินี้ช่วยให้ผู้ออกบัตรสามารถอนุญาตให้ผู้ถือบัตรใช้บัตรที่หมดอายุต่อไปได้หลังจากวันหมดอายุ แต่ธุรกรรมทั้งหมดที่ใช้บัตรที่หมดอายุจะต้องดำเนินการทางออนไลน์เท่านั้น

การตรวจสอบความถูกต้องของข้อมูลแบบออฟไลน์ (ODA)

การตรวจสอบความถูกต้องของข้อมูลแบบออฟไลน์เป็นการตรวจสอบทางเข้ารหัสลับเพื่อยืนยันความถูกต้องของบัตรโดยใช้การเข้ารหัสลับแบบกุญแจสาธารณะมีกระบวนการที่แตกต่างกันสามแบบที่สามารถดำเนินการได้ขึ้นอยู่กับบัตรแต่ละประเภท:

การตรวจสอบความถูกต้องของข้อมูลแบบคงที่ (Static Data Authenticationหรือ SDA) ช่วยให้มั่นใจได้ว่าข้อมูลที่อ่านจากบัตรได้รับการลงนามโดยผู้ออกบัตรแล้ว ซึ่งจะป้องกันการแก้ไขข้อมูล แต่ไม่สามารถป้องกันการปลอมแปลงบัตรได้
การตรวจสอบความถูกต้องของข้อมูลแบบไดนามิก (DDA) ช่วยป้องกันการแก้ไขและการคัดลอกข้อมูล
การเข้ารหัสแบบ DDA ร่วมกับการสร้างรหัสเข้ารหัสแอปพลิเคชัน (CDA) เป็นการผสานรวม DDA กับการสร้างรหัสเข้ารหัสแอปพลิเคชัน ของบัตร เพื่อรับรองความถูกต้องของบัตร อาจจำเป็นต้องมีการรองรับ CDA ในอุปกรณ์ เนื่องจากกระบวนการนี้ได้ถูกนำไปใช้ในตลาดเฉพาะบางแห่งแล้ว กระบวนการนี้ไม่จำเป็นต้องทำในเครื่องรับชำระเงิน และสามารถดำเนินการได้เฉพาะในกรณีที่ทั้งบัตรและเครื่องรับชำระเงินรองรับเท่านั้น

ใบรับรอง EMV

เพื่อตรวจสอบความถูกต้องของบัตรชำระเงิน จะใช้ใบรับรอง EMV หน่วยงานออกใบรับรอง EMV ^{[ 29 ]}ออกใบรับรองดิจิทัลให้กับผู้ออกบัตรชำระเงิน เมื่อได้รับการร้องขอ ชิปบัตรชำระเงินจะให้ใบรับรองคีย์สาธารณะของผู้ออกบัตรและข้อมูลแอปพลิเคชันคงที่ที่ลงนาม (SSAD) ^{[ 30 ]}แก่เทอร์มินัล เทอร์มินัลจะดึงคีย์สาธารณะของ CA จากที่เก็บข้อมูลภายในเครื่องและใช้เพื่อยืนยันความน่าเชื่อถือสำหรับ CA และหากเชื่อถือได้ จะตรวจสอบว่าคีย์สาธารณะของผู้ออกบัตรได้รับการลงนามโดย CA หรือไม่ หากคีย์สาธารณะของผู้ออกบัตรถูกต้อง เทอร์มินัลจะใช้คีย์สาธารณะของผู้ออกบัตรเพื่อตรวจสอบว่า SSAD ของบัตรได้รับการลงนามโดยผู้ออกบัตร^{[ 31 ]}

การตรวจสอบผู้ถือบัตร

การตรวจสอบผู้ถือบัตรใช้เพื่อประเมินว่าบุคคลที่แสดงบัตรนั้นเป็นผู้ถือบัตรที่ถูกต้องหรือไม่ EMV รองรับวิธีการตรวจสอบผู้ถือบัตร (CVM) หลายวิธี ได้แก่...

ลายเซ็น
รหัส PIN แบบข้อความธรรมดาแบบออฟไลน์
รหัส PIN เข้ารหัสแบบออฟไลน์
รหัส PIN และลายเซ็นแบบข้อความธรรมดาแบบออฟไลน์
รหัส PIN และลายเซ็นที่เข้ารหัสแบบออฟไลน์
รหัส PIN ออนไลน์
ไม่จำเป็นต้องใช้ CVM
อุปกรณ์สำหรับผู้บริโภค CVM
การประมวลผล CVM ล้มเหลว

เครื่องรับชำระเงินจะใช้รายการ CVM ที่อ่านจากบัตรเพื่อกำหนดประเภทของการตรวจสอบที่จะดำเนินการ รายการ CVM จะกำหนดลำดับความสำคัญของ CVM ที่จะใช้โดยสัมพันธ์กับความสามารถของเครื่องรับชำระเงิน เครื่องรับชำระเงินแต่ละประเภทจะรองรับ CVM ที่แตกต่างกัน โดยทั่วไปแล้วตู้ ATM จะรองรับ PIN ออนไลน์ ส่วนเครื่อง POS จะรองรับ CVM ที่แตกต่างกันไปขึ้นอยู่กับประเภทและประเทศ

สำหรับวิธีการป้อนรหัส PIN แบบเข้ารหัสออฟไลน์ เครื่องเทอร์มินัลจะเข้ารหัสบล็อกข้อความ PIN ที่ไม่เข้ารหัสด้วยกุญแจสาธารณะของบัตรก่อนที่จะส่งไปยังบัตรด้วย คำสั่ง ตรวจสอบสำหรับวิธีการป้อนรหัส PIN แบบออนไลน์ เครื่องเทอร์มินัลจะเข้ารหัสบล็อกข้อความ PIN ที่ไม่เข้ารหัสโดยใช้กุญแจเข้ารหัสแบบจุดต่อจุดก่อนที่จะส่งไปยังตัวประมวลผลของผู้รับชำระเงินในข้อความร้องขอการอนุญาต

วิธีการออฟไลน์ทั้งหมดมีความเสี่ยงต่อการโจมตีแบบ man-in-the-middleในปี 2017 EMVCo ได้เพิ่มการสนับสนุนวิธีการตรวจสอบไบโอเมตริกในเวอร์ชัน 4.3 ของข้อกำหนด EMV ^{[ 32 ]}

การจัดการความเสี่ยงขั้นสุดท้าย

การจัดการความเสี่ยงของเทอร์มินัลจะดำเนินการเฉพาะในอุปกรณ์ที่มีการตัดสินใจว่าควรอนุมัติธุรกรรมแบบออนไลน์หรือออฟไลน์ หากธุรกรรมดำเนินการแบบออนไลน์เสมอ (เช่น ตู้เอทีเอ็ม) หรือแบบออฟไลน์เสมอ ขั้นตอนนี้สามารถข้ามไปได้ การจัดการความเสี่ยงของเทอร์มินัลจะตรวจสอบจำนวนเงินธุรกรรมเทียบกับวงเงินสูงสุดแบบออฟไลน์ (ซึ่งหากเกินกว่านั้น ธุรกรรมควรดำเนินการแบบออนไลน์) นอกจากนี้ยังสามารถมีค่า 1 ในเคาน์เตอร์ออนไลน์ และตรวจสอบกับรายการบัตรต้องห้าม (ซึ่งจำเป็นสำหรับธุรกรรมแบบออฟไลน์เท่านั้น) หากผลการทดสอบใดๆ เหล่านี้เป็นบวก เทอร์มินัลจะตั้งค่าบิตที่เหมาะสมในผลการตรวจสอบเทอร์มินัล (TVR) ^{[ 33 ]}

การวิเคราะห์การกระทำขั้นสุดท้าย

ผลลัพธ์จากขั้นตอนการประมวลผลก่อนหน้านี้จะถูกนำมาใช้เพื่อพิจารณาว่าควรอนุมัติธุรกรรมแบบออฟไลน์ ส่งไปตรวจสอบออนไลน์ หรือปฏิเสธแบบออฟไลน์ กระบวนการนี้ทำโดยใช้ข้อมูล สองประเภท ได้แก่รหัสการดำเนินการของเครื่องรับชำระเงิน (TAC) ที่เก็บไว้ในเครื่องรับชำระเงิน และรหัสการดำเนินการของผู้ออกบัตร (IAC) ที่อ่านจากบัตร TAC จะถูกดำเนินการทางตรรกะแบบ ORกับ IAC เพื่อให้ผู้รับชำระเงินสามารถควบคุมผลลัพธ์ของธุรกรรมได้ รหัสการดำเนินการทั้งสองประเภทมีค่าเป็น ปฏิเสธ ออนไลน์ และค่าเริ่มต้น รหัสการดำเนินการแต่ละรหัสประกอบด้วยบิตหลายบิตซึ่งสอดคล้องกับบิตในผลการตรวจสอบของเครื่องรับชำระเงิน (TVR) และใช้ในการตัดสินใจของเครื่องรับชำระเงินว่าจะยอมรับ ปฏิเสธ หรือส่งธุรกรรมการชำระเงินไปออนไลน์ TAC ถูกกำหนดโดยผู้รับชำระเงิน ในทางปฏิบัติ ระบบบัตรจะแนะนำการตั้งค่า TAC ที่ควรใช้สำหรับเครื่องรับชำระเงินแต่ละประเภทขึ้นอยู่กับความสามารถของเครื่องนั้น ส่วน IAC ถูกกำหนดโดยผู้ออกบัตร ผู้ออกบัตรบางรายอาจตัดสินใจว่าควรปฏิเสธบัตรที่หมดอายุโดยการตั้งค่าบิตที่เหมาะสมใน IAC ที่เป็นค่าปฏิเสธ ผู้ออกหลักทรัพย์รายอื่นอาจต้องการให้การทำธุรกรรมดำเนินการทางออนไลน์ เพื่อที่พวกเขาจะสามารถดำเนินการธุรกรรมเหล่านี้ได้ในบางกรณี^{[ 34 ]}

เมื่ออุปกรณ์ออนไลน์เท่านั้นทำการประมวลผล IAC-Online และ TAC-Online บิต TVR ที่เกี่ยวข้องเพียงอย่างเดียวคือ "มูลค่าธุรกรรมเกินขีดจำกัดขั้นต่ำ" เนื่องจากขีดจำกัดขั้นต่ำถูกตั้งค่าเป็นศูนย์ ธุรกรรมจึงควรดำเนินการออนไลน์เสมอ และค่าอื่นๆ ทั้งหมดใน TAC-Online หรือ IAC-Online จะไม่เกี่ยวข้อง อุปกรณ์ออนไลน์เท่านั้นไม่จำเป็นต้องทำการประมวลผล IAC-default อุปกรณ์ออนไลน์เท่านั้น เช่น ตู้ ATM จะพยายามดำเนินการออนไลน์กับคำขออนุมัติเสมอ เว้นแต่จะถูกปฏิเสธแบบออฟไลน์เนื่องจากการตั้งค่า IAC-Denial ในระหว่างการประมวลผล IAC-Denial และ TAC-Denial สำหรับอุปกรณ์ออนไลน์เท่านั้น บิตผลการตรวจสอบเทอร์มินัล ที่เกี่ยวข้องเพียงอย่างเดียว คือ "ไม่อนุญาตให้ใช้บริการ" ^{[ 35 ]}

การวิเคราะห์การกระทำของไพ่ใบแรก

หนึ่งในอ็อบเจ็กต์ข้อมูลที่อ่านจากบัตรใน ขั้นตอน การอ่านข้อมูลแอปพลิเคชันคือ CDOL1 (รายการอ็อบเจ็กต์ข้อมูลบัตร) อ็อบเจ็กต์นี้เป็นรายการแท็กที่บัตรต้องการให้ส่งไปเพื่อตัดสินใจว่าจะอนุมัติหรือปฏิเสธธุรกรรม (รวมถึงจำนวนเงินธุรกรรม แต่ยังมีอ็อบเจ็กต์ข้อมูลอื่นๆ อีกมากมาย) เทอร์มินัลจะส่งข้อมูลนี้และร้องขอรหัสลับโดยใช้คำสั่งสร้างรหัสลับแอปพลิเคชัน ขึ้นอยู่กับการตัดสินใจของเทอร์มินัล (ออฟไลน์ ออนไลน์ ปฏิเสธ) เทอร์มินัลจะร้องขอรหัสลับอย่างใดอย่างหนึ่งต่อไปนี้จากบัตร:

ใบรับรองธุรกรรม (TC) — การอนุมัติแบบออฟไลน์
รหัสลับคำขอการอนุญาต (ARQC) — การอนุญาตออนไลน์
การเข้ารหัสยืนยันตัวตนแอปพลิเคชัน (AAC) — การปฏิเสธแบบออฟไลน์

ขั้นตอนนี้ทำให้บัตรมีโอกาสยอมรับการวิเคราะห์การดำเนินการของเทอร์มินัลหรือปฏิเสธธุรกรรมหรือบังคับให้ทำธุรกรรมออนไลน์ บัตรไม่สามารถส่งคืน TC เมื่อมีการขอ ARQC แต่สามารถส่งคืน ARQC เมื่อมีการขอ TC ^{[ 35 ]}

การอนุมัติธุรกรรมออนไลน์

ธุรกรรมจะออนไลน์เมื่อมีการร้องขอ ARQC โดย ARQC จะถูกส่งไปในข้อความอนุญาต บัตรจะเป็นผู้สร้าง ARQC รูปแบบของ ARQC ขึ้นอยู่กับแอปพลิเคชันของบัตร EMV ไม่ได้ระบุเนื้อหาของ ARQC ARQC ที่สร้างโดยแอปพลิเคชันของบัตรเป็นลายเซ็นดิจิทัลของรายละเอียดธุรกรรม ซึ่งผู้ออกบัตรสามารถตรวจสอบได้แบบเรียลไทม์ วิธีนี้ช่วยให้การตรวจสอบทางเข้ารหัสลับมีความแข็งแกร่งและยืนยันความถูกต้องของบัตร ผู้ออกบัตรจะตอบสนองต่อคำขออนุญาตด้วยรหัสตอบกลับ (ยอมรับหรือปฏิเสธธุรกรรม) รหัสลับการตอบกลับการอนุญาต (ARPC) และสคริปต์ของผู้ออกบัตร (ชุดคำสั่งที่จะส่งไปยังบัตร) ^{[ 35 ]}

การประมวลผล ARPC จะไม่ดำเนินการในธุรกรรมแบบสัมผัสที่ประมวลผลด้วย Visa Quick Chip ^{[ 36 ]}สำหรับ EMV และ Mastercard M/Chip Fast ^{[ 37 ]}และในธุรกรรมแบบไร้สัมผัสระหว่างระบบต่างๆ เนื่องจากบัตรจะถูกนำออกจากเครื่องอ่านหลังจากสร้าง ARQC แล้ว

การวิเคราะห์การกระทำของไพ่ใบที่สอง

CDOL2 (Card data object list) ประกอบด้วยรายการแท็กที่บัตรต้องการให้ส่งหลังจากอนุมัติธุรกรรมออนไลน์ (รหัสตอบกลับ, ARPC เป็นต้น) แม้ว่าด้วยเหตุผลใดก็ตามที่เครื่องไม่สามารถเชื่อมต่อออนไลน์ได้ (เช่น การสื่อสารล้มเหลว) เครื่องก็ควรส่งข้อมูลนี้ไปยังบัตรอีกครั้งโดยใช้คำสั่งสร้างรหัสลับการอนุมัติ ซึ่งจะทำให้บัตรทราบการตอบกลับจากผู้ออกบัตร จากนั้นแอปพลิเคชันของบัตรอาจรีเซ็ตขีดจำกัดการใช้งานแบบออฟไลน์ได้

การประมวลผลสคริปต์ผู้ออก

หากผู้ออกบัตรต้องการอัปเดตบัตรหลังการออกบัตร ก็สามารถส่งคำสั่งไปยังบัตรโดยใช้การประมวลผลสคริปต์ของผู้ออกบัตร สคริปต์ของผู้ออกบัตรไม่มีความหมายต่อเทอร์มินัล และสามารถเข้ารหัสระหว่างบัตรและผู้ออกบัตรเพื่อเพิ่มความปลอดภัย สคริปต์ของผู้ออกบัตรสามารถใช้เพื่อบล็อกบัตร หรือเปลี่ยนพารามิเตอร์ของบัตรได้^{[ 38 ]}

การประมวลผลสคริปต์ผู้ออกบัตรไม่สามารถใช้งานได้ในธุรกรรมแบบสัมผัสที่ประมวลผลด้วย Visa Quick Chip ^{[ 36 ]}สำหรับ EMV และ Mastercard M/Chip Fast ^{[ 37 ]}และสำหรับธุรกรรมแบบไร้สัมผัสในทุกระบบ

มาตรฐานข้อกำหนดชิป EMV

แผ่นสัมผัสสำหรับอินเทอร์เฟซไฟฟ้าที่ด้านหน้าของบัตรเครดิต

มาตรฐาน EMV ได้รับการกำหนดและจัดการโดยบริษัทเอกชน EMVCo LLC สมาชิกปัจจุบันของ EMVCo ^{[ 39 ]}ได้แก่American Express , Discover Financial , JCB International , Mastercard , China UnionPayและVisa Inc.แต่ละองค์กรเหล่านี้เป็นเจ้าของส่วนแบ่งที่เท่ากันของ EMVCo และมีตัวแทนในองค์กร EMVCo และกลุ่มทำงานของ EMVCo

มาตรฐาน EMV ฉบับแรกปรากฏขึ้นในปี 1995 ในชื่อ EMV 2.0 ซึ่งได้รับการอัปเกรดเป็น EMV 3.0 ในปี 1996 (บางครั้งเรียกว่า EMV '96) และมีการแก้ไขเพิ่มเติมเป็น EMV 3.1.1 ในปี 1998 ต่อมาได้มีการแก้ไขเพิ่มเติมเป็นเวอร์ชัน 4.0 ในเดือนธันวาคม 2000 (บางครั้งเรียกว่า EMV 2000) เวอร์ชัน 4.0 มีผลบังคับใช้ในเดือนมิถุนายน 2004 เวอร์ชัน 4.1 มีผลบังคับใช้ในเดือนมิถุนายน 2007 เวอร์ชัน 4.2 มีผลบังคับใช้ตั้งแต่เดือนมิถุนายน 2008 และเวอร์ชัน 4.3 มีผลบังคับใช้ตั้งแต่เดือนพฤศจิกายน 2011 ^{[ 40 ]}

การรับรองว่าอุปกรณ์เป็นไปตามมาตรฐาน EMV (เช่น การรับรองอุปกรณ์) จะออกโดย EMVCo หลังจากที่ได้ส่งผลการทดสอบที่ดำเนินการโดยหน่วยงานทดสอบที่ได้รับการรับรองแล้ว

การทดสอบการปฏิบัติตามมาตรฐาน EMV มีสองระดับ ได้แก่ EMV ระดับ 1 ซึ่งครอบคลุมอินเทอร์เฟซระดับกายภาพ ไฟฟ้า และการส่งข้อมูล และ EMV ระดับ 2 ซึ่งครอบคลุมการเลือกแอปพลิเคชันการชำระเงินและการประมวลผลธุรกรรมทางการเงินด้านเครดิต

หลังจากผ่านการทดสอบ EMVCo ทั่วไปแล้ว ซอฟต์แวร์จะต้องได้รับการรับรองจากแบรนด์การชำระเงินเพื่อให้เป็นไปตามมาตรฐาน EMV เฉพาะของแต่ละแบรนด์ เช่น Visa VSDC, American Express AEIPS, Mastercard MChip, JCB JSmart หรือมาตรฐาน EMV ที่รองรับของบริษัทที่ไม่ใช่สมาชิก EMVCo เช่น LINK ในสหราชอาณาจักร หรือ Interac ในแคนาดา

นับตั้งแต่ปี 2011 เป็นต้นมา ตั้งแต่เวอร์ชัน 4.0 เอกสารมาตรฐาน EMV อย่างเป็นทางการซึ่งกำหนดส่วนประกอบทั้งหมดในระบบการชำระเงิน EMV ได้ถูกเผยแพร่ในรูปแบบ "หนังสือ" สี่เล่ม และเอกสารเพิ่มเติมอีกจำนวนหนึ่ง:

หนังสือเล่มที่ 1: ข้อกำหนดอินเทอร์เฟซ ICC ที่ไม่ขึ้นกับแอปพลิเคชันสำหรับเทอร์มินัล^{[ 25 ]}
หนังสือเล่มที่ 2: ความปลอดภัยและการจัดการกุญแจ^{[ 41 ]}
หนังสือเล่มที่ 3: ข้อกำหนดการใช้งาน^{[ 42 ]}
หนังสือเล่มที่ 4: ข้อกำหนดอินเทอร์เฟซผู้ถือบัตร พนักงานบริการ และผู้รับชำระเงิน^{[ 43 ]}
ข้อกำหนดแอปพลิเคชันการชำระเงินทั่วไป^{[ 44 ]}
ข้อกำหนดการปรับแต่งบัตร EMV ^{[ 45 ]}

ช่องโหว่

โอกาสในการเก็บเกี่ยว PIN และโคลนแถบแม่เหล็ก

นอกจากข้อมูลแทร็กที่สองบนแถบแม่เหล็กแล้ว บัตร EMV โดยทั่วไปยังมีข้อมูลที่เหมือนกันเข้ารหัสอยู่บนชิป ซึ่งจะถูกอ่านเป็นส่วนหนึ่งของกระบวนการทำธุรกรรม EMV ปกติ หากเครื่องอ่าน EMV ถูกบุกรุกจนถึงขั้นที่การสื่อสารระหว่างบัตรและเครื่องรับชำระเงินถูกดักฟัง ผู้โจมตีอาจสามารถกู้คืนทั้งข้อมูลแทร็กที่สองและรหัส PIN ได้ ทำให้สามารถสร้างบัตรแถบแม่เหล็กขึ้นมาใหม่ได้ ซึ่งแม้ว่าจะไม่สามารถใช้งานได้ในเครื่องรับชำระเงินแบบชิปและรหัส PIN แต่ก็สามารถนำไปใช้ได้ เช่น ในอุปกรณ์รับชำระเงินที่อนุญาตให้ใช้การประมวลผลแถบแม่เหล็กสำหรับลูกค้าต่างชาติที่ไม่มีบัตรชิป และบัตรที่ชำรุด การโจมตีนี้เป็นไปได้เฉพาะในกรณีที่ (ก) อุปกรณ์ป้อนรหัส PIN แสดงรหัส PIN แบบออฟไลน์ในรูปแบบข้อความธรรมดาบนบัตร (ข) ผู้ออกบัตรอนุญาตให้ใช้การประมวลผลแถบแม่เหล็ก และ (ค) ผู้ออกบัตรอาจไม่ทำการตรวจสอบทางภูมิศาสตร์และพฤติกรรม

APACSซึ่งเป็นตัวแทนของอุตสาหกรรมการชำระเงินของสหราชอาณาจักร อ้างว่าการเปลี่ยนแปลงที่ระบุไว้ในโปรโตคอล (ซึ่งค่าการตรวจสอบบัตรแตกต่างกันระหว่างแถบแม่เหล็กและชิป – iCVV) ทำให้การโจมตีนี้ไม่มีประสิทธิภาพ และมาตรการดังกล่าวจะมีผลบังคับใช้ตั้งแต่เดือนมกราคม พ.ศ. 2551 ^{[ 46 ]}การทดสอบบัตรในเดือนกุมภาพันธ์ พ.ศ. 2551 บ่งชี้ว่าอาจมีการล่าช้า^{[ 47 ]}

การโจมตีที่ประสบความสำเร็จ

การดักฟังการสนทนาเป็นรูปแบบการโจมตีที่มีรายงานว่าเกิดขึ้นกับ เทอร์มินัล ของเชลล์ในเดือนพฤษภาคม พ.ศ. 2549 เมื่อพวกเขาถูกบังคับให้ปิดใช้งานการตรวจสอบ EMV ทั้งหมดในสถานีบริการน้ำมันของพวกเขาหลังจากลูกค้าถูกขโมยเงินไปมากกว่า 1 ล้านปอนด์^{[ 48 ]}

ในเดือนตุลาคม 2551 มีรายงานว่าเครื่องอ่านบัตร EMV หลายร้อยเครื่องที่เตรียมไว้ใช้ในสหราชอาณาจักร ไอร์แลนด์ เนเธอร์แลนด์ เดนมาร์ก และเบลเยียม ถูกดัดแปลงในประเทศจีนระหว่างหรือหลังจากกระบวนการผลิตไม่นาน เป็นเวลาเก้าเดือน ข้อมูลและรหัส PIN ของบัตรเครดิตและบัตรเดบิตถูกส่งผ่านเครือข่ายโทรศัพท์มือถือไปยังกลุ่มอาชญากรในเมืองลาฮอร์ประเทศปากีสถาน โจเอล เบรนเนอร์ ผู้บริหารหน่วยข่าวกรองต่อต้านแห่งชาติของสหรัฐฯ กล่าวว่า "ก่อนหน้านี้มีเพียงหน่วยข่าวกรองของรัฐชาติเท่านั้นที่จะสามารถดำเนินการประเภทนี้ได้ มันน่ากลัว" ข้อมูลที่ถูกขโมยมักถูกนำไปใช้หลังจากทำธุรกรรมบัตรไปแล้วประมาณสองเดือน เพื่อทำให้ยากต่อการตรวจสอบหาช่องโหว่ หลังจากที่ตรวจพบการฉ้อโกง พบว่าสามารถระบุเครื่องที่ถูกดัดแปลงได้ เนื่องจากวงจรเพิ่มเติมทำให้เครื่องมีน้ำหนักเพิ่มขึ้นประมาณ 100 กรัม เชื่อกันว่าเงินหลายสิบล้านปอนด์ถูกขโมยไป^{[ 49 ]}ช่องโหว่นี้กระตุ้นให้เกิดความพยายามในการควบคุมอุปกรณ์ POS ให้ดียิ่งขึ้นตลอดวงจรชีวิต ซึ่งเป็นแนวทางปฏิบัติที่ได้รับการรับรองจากมาตรฐานความปลอดภัยการชำระเงินอิเล็กทรอนิกส์ เช่น มาตรฐานที่กำลังพัฒนาโดย Secure POS Vendor Alliance (SPVA) ^{[ 50 ]}

การเก็บเกี่ยว PIN และการโคลนนิ่งแบบแถบ

ในรายการ BBC Newsnight เดือนกุมภาพันธ์ พ.ศ. 2551 นักวิจัยจากมหาวิทยาลัยเคมบริดจ์Steven Murdochและ Saar Drimer ได้สาธิตการโจมตีตัวอย่างหนึ่ง เพื่อแสดงให้เห็นว่าชิปและรหัส PIN ไม่ปลอดภัยเพียงพอที่จะทำให้ธนาคารต้องรับผิดชอบในการพิสูจน์การฉ้อโกงต่อลูกค้า^{[ 51 ]}^{[ 52 ]}การโจมตีของมหาวิทยาลัยเคมบริดจ์ทำให้ผู้ทดลองได้รับทั้งข้อมูลบัตรเพื่อสร้างแถบแม่เหล็กและรหัส PIN

APACSซึ่งเป็นสมาคมการชำระเงินของสหราชอาณาจักร ไม่เห็นด้วยกับรายงานส่วนใหญ่ โดยกล่าวว่า "การโจมตีอุปกรณ์ป้อน PIN ในรูปแบบต่างๆ ที่ระบุรายละเอียดไว้ในรายงานนี้ เป็นเรื่องยากที่จะดำเนินการ และในปัจจุบันยังไม่คุ้มค่าทางเศรษฐกิจสำหรับผู้ฉ้อโกงที่จะดำเนินการ" ^{[ 53 ]}พวกเขายังกล่าวอีกว่า การเปลี่ยนแปลงโปรโตคอล (การระบุค่าการตรวจสอบบัตรที่แตกต่างกันระหว่างชิปและแถบแม่เหล็ก – iCVV) จะทำให้การโจมตีนี้ไม่ได้ผลตั้งแต่เดือนมกราคม พ.ศ. 2551

ในเดือนสิงหาคม 2016 นักวิจัยด้านความปลอดภัย ของบริษัท NCR Corporationได้เปิดเผยวิธีการที่กลุ่มขโมยบัตรเครดิตสามารถเขียนรหัสใหม่บนแถบแม่เหล็กเพื่อให้ดูเหมือนบัตรที่ไม่มีชิป ซึ่งทำให้สามารถปลอมแปลงบัตรได้

ปี 2010: อุปกรณ์ฮาร์ดแวร์ที่ซ่อนอยู่จะปิดใช้งานการตรวจสอบรหัส PIN บนบัตรที่ถูกขโมย

เมื่อวันที่ 11 กุมภาพันธ์ 2010 ทีมของ Murdoch และ Drimer ที่มหาวิทยาลัยเคมบริดจ์ประกาศว่าพวกเขาพบ "ข้อบกพร่องในชิปและ PIN ที่ร้ายแรงมากจนพวกเขาคิดว่าระบบทั้งหมดจำเป็นต้องเขียนใหม่" ซึ่ง "ง่ายมากจนทำให้พวกเขาตกใจ" บัตรที่ถูกขโมยจะถูกเชื่อมต่อกับวงจรอิเล็กทรอนิกส์และบัตรปลอมซึ่งถูกเสียบเข้าไปในเครื่องรับบัตร (" การโจมตีแบบคนกลาง ") สามารถพิมพ์ตัวเลขสี่หลักใดก็ได้และได้รับการยอมรับว่าเป็น PIN ที่ถูกต้อง^{[ 54 ]}^{[ 55 ]}

ทีมงานจากรายการ Newsnightของ BBC ได้ไปเยี่ยมชมโรงอาหารของมหาวิทยาลัยเคมบริดจ์ (โดยได้รับอนุญาต) พร้อมกับระบบดังกล่าว และสามารถชำระเงินโดยใช้บัตรของตนเอง (โจรจะใช้บัตรที่ถูกขโมย) ที่เชื่อมต่อกับวงจร โดยเสียบบัตรปลอมและพิมพ์ "0000" เป็นรหัส PIN การทำธุรกรรมได้รับการบันทึกตามปกติ และระบบรักษาความปลอดภัยของธนาคารไม่ได้ตรวจจับได้ สมาชิกคนหนึ่งของทีมวิจัยกล่าวว่า "แม้แต่ระบบอาชญากรขนาดเล็กก็ยังมีอุปกรณ์ที่ดีกว่าที่เรามี ความซับซ้อนทางเทคนิคที่จำเป็นในการโจมตีครั้งนี้ค่อนข้างต่ำ" การประกาศเกี่ยวกับช่องโหว่ดังกล่าวระบุว่า "ความเชี่ยวชาญที่จำเป็นนั้นไม่สูง (อิเล็กทรอนิกส์ระดับปริญญาตรี) เราโต้แย้งข้อกล่าวอ้างของอุตสาหกรรมการธนาคารที่ว่าอาชญากรไม่ซับซ้อนเพียงพอ เพราะพวกเขาได้แสดงให้เห็นถึงทักษะที่สูงกว่าที่จำเป็นสำหรับการโจมตีครั้งนี้ในอุปกรณ์สแกนรหัส PIN ขนาดเล็กของพวกเขาแล้ว" ไม่ทราบว่าช่องโหว่นี้ถูกนำไปใช้ประโยชน์หรือไม่ แต่ก็อาจอธิบายกรณีการฉ้อโกงที่ยังไม่ได้รับการแก้ไขได้^{[ 55 ]}

EMVCo ไม่เห็นด้วยและได้เผยแพร่คำตอบโดยระบุว่า แม้ว่าการโจมตีดังกล่าวอาจเป็นไปได้ในทางทฤษฎี แต่การดำเนินการให้สำเร็จนั้นยากและมีค่าใช้จ่ายสูงมาก การควบคุมชดเชยในปัจจุบันน่าจะตรวจจับหรือจำกัดการฉ้อโกงได้ และผลประโยชน์ทางการเงินที่อาจได้รับจากการโจมตีนั้นมีน้อยมาก ในขณะที่ความเสี่ยงของการทำธุรกรรมที่ถูกปฏิเสธหรือการเปิดเผยตัวผู้ฉ้อโกงนั้นมีนัยสำคัญ^{[ 56 ]}ทีมเคมบริดจ์ไม่เห็นด้วย พวกเขาดำเนินการโดยที่ธนาคารไม่ทันสังเกต ด้วยอุปกรณ์สำเร็จรูปที่มีส่วนเพิ่มเติมที่ไม่ซับซ้อนมากนัก สามารถสร้างเวอร์ชันที่เล็กกว่านี้ได้ง่าย ผู้ผลิตอุปกรณ์ดังกล่าวสำหรับการโจมตีไม่จำเป็นต้องเสี่ยง แต่สามารถขายให้กับใครก็ได้ทางอินเทอร์เน็ต^{[ 55 ]}

เมื่อถูกขอให้แสดงความคิดเห็น ธนาคารหลายแห่ง (Co-operative Bank, Barclays และ HSBC) ต่างกล่าวว่านี่เป็นปัญหาทั่วทั้งอุตสาหกรรม และแนะนำให้ ทีม Newsnightติดต่อสมาคมการค้าธนาคารเพื่อขอความคิดเห็นเพิ่มเติม^{[ 57 ]}ตามที่ Phil Jones จากสมาคมผู้บริโภคกล่าว ระบบชิปและรหัส PIN ช่วยลดจำนวนคดีอาชญากรรมเกี่ยวกับบัตรลงได้ แต่หลายกรณีก็ยังไม่สามารถอธิบายได้ “สิ่งที่เราทราบคือ เรามีคดีที่ถูกนำเสนอโดยบุคคลต่างๆ ซึ่งดูน่าเชื่อถือมาก”

การโจมตีใช้ประโยชน์จากข้อเท็จจริงที่ว่าการเลือกวิธีการตรวจสอบสิทธิ์นั้นไม่ได้รับการตรวจสอบสิทธิ์ ซึ่งทำให้ผู้โจมตีสามารถแทรกแซงได้ เทอร์มินัลขอรหัส PIN รับรหัส และยืนยันธุรกรรมด้วยบัตร ซึ่งคิดว่ากำลังทำธุรกรรมด้วยบัตรและลายเซ็น ซึ่งอาจสำเร็จได้แม้ในโหมดออฟไลน์ นอกจากนี้ยังใช้งานได้ในโหมดออนไลน์ด้วย อาจเป็นเพราะการตรวจสอบไม่เพียงพอ^{[ 58 ]}

เดิมที ลูกค้าธนาคารต้องพิสูจน์ว่าตนเองไม่ได้ประมาทเลินเล่อในการใช้รหัส PIN ก่อนที่จะได้รับการชดเชย แต่กฎระเบียบของสหราชอาณาจักรที่บังคับใช้ตั้งแต่วันที่ 1 พฤศจิกายน 2552 ได้กำหนดให้ธนาคารเป็นฝ่ายพิสูจน์ว่าลูกค้าประมาทเลินเล่อในข้อพิพาทใดๆ โดยลูกค้ามีเวลา 13 เดือนในการยื่นคำร้อง^{[ 59 ]}เมอร์ด็อกกล่าวว่า "[ธนาคาร] ควรตรวจสอบธุรกรรมก่อนหน้านี้ที่ลูกค้ากล่าวว่าไม่ได้ใช้รหัส PIN แต่บันทึกของธนาคารแสดงว่ามีการใช้ และควรพิจารณาคืนเงินให้กับลูกค้าเหล่านี้ เนื่องจากพวกเขาอาจตกเป็นเหยื่อของการฉ้อโกงประเภทนี้" ^{[ 55 ]}

2011: การลดระดับเวอร์ชันของ CVM อนุญาตให้เก็บรวบรวมรหัส PIN ได้ตามอำเภอใจ

ในการประชุม CanSecWest ในเดือนมีนาคม พ.ศ. 2554 Andrea Barisani และ Daniele Bianco ได้นำเสนอผลงานวิจัยที่เปิดเผยช่องโหว่ใน EMV ซึ่งจะทำให้สามารถเก็บเกี่ยว PIN ได้ตามอำเภอใจ แม้ว่าจะมีการกำหนดค่าการตรวจสอบผู้ถือบัตรไว้แล้วก็ตาม แม้ว่าข้อมูล CVM ที่รองรับจะได้รับการลงนามแล้วก็ตาม^{[ 60 ]}

การเก็บเกี่ยว PIN สามารถทำได้โดยใช้ชิปสกิมเมอร์ โดยพื้นฐานแล้ว รายการ CVM ที่ได้รับการแก้ไขเพื่อลดระดับ CVM เป็น PIN ออฟไลน์ยังคงได้รับการยอมรับจากเทอร์มินัล POS แม้ว่าลายเซ็นจะไม่ถูกต้องก็ตาม^{[ 61 ]}

การข้าม PIN

ในปี 2020 นักวิจัย David Basin, Ralf Sasse และ Jorge Toro จากETH Zurichรายงาน^{[ 62 ]}^{[ 63 ]}ปัญหาด้านความปลอดภัยที่ส่งผลกระทบต่อ บัตร Visaแบบไร้สัมผัส: การขาดการป้องกันการเข้ารหัสของข้อมูลสำคัญที่ส่งโดยบัตรไปยังเครื่องรับชำระเงินระหว่างการทำธุรกรรม EMV ข้อมูลดังกล่าวเป็นตัวกำหนดวิธีการตรวจสอบผู้ถือบัตร (เช่น การตรวจสอบ PIN) ที่จะใช้สำหรับการทำธุรกรรม ทีมงานได้แสดงให้เห็นว่าสามารถแก้ไขข้อมูลนี้เพื่อหลอกเครื่องรับชำระเงินให้เชื่อว่าไม่จำเป็นต้องใช้ PIN เนื่องจากผู้ถือบัตรได้รับการตรวจสอบโดยใช้อุปกรณ์ของตน (เช่น สมาร์ทโฟน) นักวิจัยได้พัฒนา แอป Android ต้นแบบ ที่เปลี่ยนบัตร Visa จริงให้เป็นแอปชำระเงินมือถือ (เช่นApple Pay , Google Pay ) เพื่อทำการซื้อสินค้ามูลค่าสูงโดยไม่ต้องใช้ PIN การโจมตีดำเนินการโดยใช้ สมาร์ทโฟนที่เปิดใช้งาน NFC สอง เครื่อง เครื่องหนึ่งถือไว้ใกล้บัตรจริงและอีกเครื่องหนึ่งถือไว้ใกล้เครื่องรับชำระเงิน การโจมตีอาจส่งผลกระทบต่อบัตรของDiscover และ UnionPayของจีนแต่ยังไม่ได้แสดงให้เห็นในทางปฏิบัติ ซึ่งแตกต่างจากบัตร Visa

ในช่วงต้นปี 2021 ทีมงานเดียวกันนี้เปิดเผยว่า บัตร Mastercardก็มีความเสี่ยงต่อการโจมตีแบบบายพาส PIN เช่นกัน พวกเขาแสดงให้เห็นว่าอาชญากรสามารถหลอกเครื่องเทอร์มินัลให้ทำธุรกรรมด้วยบัตร Mastercard แบบไร้สัมผัสโดยเข้าใจผิดว่าเป็นบัตร Visa การสับสนแบรนด์บัตร นี้ มีผลกระทบร้ายแรง เนื่องจากสามารถใช้ร่วมกับการโจมตีแบบบายพาส PIN สำหรับ Visa เพื่อบายพาส PIN สำหรับบัตร Mastercard ได้เช่นกัน^{[ 63 ]}

การดำเนินการ

EMV ย่อมาจาก " Europay , MastercardและVisa " ซึ่งเป็นบริษัทสามแห่งที่สร้างมาตรฐานนี้ขึ้นมา ปัจจุบันมาตรฐานนี้ได้รับการจัดการโดยEMVCoซึ่งเป็นกลุ่มบริษัททางการเงิน^{[ 1 ]}ชิปอื่นๆ ที่เป็นที่รู้จักกันอย่างแพร่หลายตามมาตรฐาน EMV ได้แก่:

AEIPS: อเมริกัน เอ็กซ์เพรส
UICS: China Union Pay
เจ สมาร์ท: เจซีบี
D-PAS: ค้นพบ/ไดเนอร์สคลับอินเตอร์เนชั่นแนล
รูปีเพย์: เอ็นพีซีไอ
ความกระตือรือร้น

Visa และ Mastercard ได้พัฒนาระบบมาตรฐานสำหรับการใช้บัตร EMV ในอุปกรณ์ต่างๆ เพื่อรองรับการทำธุรกรรมโดยไม่ต้องแสดงบัตร (CNP) ผ่านทางโทรศัพท์และอินเทอร์เน็ต Mastercard มีโปรแกรมการตรวจสอบความถูกต้องของชิป (CAP) สำหรับการค้าอิเล็กทรอนิกส์ที่ปลอดภัย ซึ่งการใช้งานนั้นเรียกว่า EMV-CAP และรองรับโหมดต่างๆ มากมาย ส่วน Visa มีระบบการตรวจสอบความถูกต้องด้วยรหัสผ่านแบบไดนามิก (DPA) ซึ่งเป็นการใช้งาน CAP ของตนเองโดยใช้ค่าเริ่มต้นที่แตกต่างกัน

ในหลายประเทศทั่วโลก เครือข่ายการชำระเงินด้วยบัตรเดบิตและ/หรือบัตรเครดิตได้นำระบบการเปลี่ยนภาระความรับผิดชอบมาใช้แล้ว โดยปกติแล้ว ผู้ออกบัตรจะเป็นผู้รับผิดชอบต่อธุรกรรมที่ฉ้อโกง อย่างไรก็ตาม หลังจากที่ระบบการเปลี่ยนภาระความรับผิดชอบถูกนำมาใช้ หากตู้เอทีเอ็มหรือเครื่องรับชำระเงิน ณ จุดขายของร้านค้าไม่รองรับ EMV เจ้าของตู้เอทีเอ็มหรือร้านค้าจะเป็นผู้รับผิดชอบต่อธุรกรรมที่ฉ้อโกงนั้น

ระบบชิปและรหัส PIN อาจก่อให้เกิดปัญหาสำหรับนักเดินทางจากประเทศที่ไม่ได้ออกบัตรชิปและรหัส PIN เนื่องจากผู้ค้าปลีกบางรายอาจปฏิเสธที่จะรับบัตรที่ไม่มีชิป^{[ 64 ]}แม้ว่าเครื่องรับชำระเงินส่วนใหญ่ยังคงรับบัตรแถบแม่เหล็ก และแบรนด์บัตรเครดิตรายใหญ่กำหนดให้ผู้ขายต้องรับ บัตรดังกล่าว ^{[ 65 ]}แต่พนักงานบางคนอาจปฏิเสธที่จะรับบัตร โดยเชื่อว่าพวกเขาจะต้องรับผิดชอบต่อการฉ้อโกงใดๆ หากบัตรไม่สามารถตรวจสอบรหัส PIN ได้ บัตรที่ไม่มีชิปและรหัส PIN อาจใช้งานไม่ได้ในเครื่องขายสินค้าอัตโนมัติบางเครื่อง เช่น ที่สถานีรถไฟ หรือเครื่องคิดเงินแบบบริการตนเองที่ซูเปอร์มาร์เก็ต^{[ 66 ]}

แอฟริกา

การเปลี่ยนภาระความรับผิดของ Mastercard ระหว่างประเทศต่างๆ ภายในภูมิภาคนี้เกิดขึ้นเมื่อวันที่ 1 มกราคม 2549 ^{[ 67 ]}ภายในวันที่ 1 ตุลาคม 2553 การเปลี่ยนภาระความรับผิดได้เกิดขึ้นสำหรับธุรกรรม ณ จุดขายทั้งหมด^{[ 68 ]}
การเปลี่ยนภาระความรับผิดชอบของ Visa สำหรับจุดขายเกิดขึ้นเมื่อวันที่ 1 มกราคม 2549 สำหรับตู้เอทีเอ็ม การเปลี่ยนภาระความรับผิดชอบเกิดขึ้นเมื่อวันที่ 1 มกราคม 2551 ^{[ 69 ]}

แอฟริกาใต้

การเปลี่ยนแปลงภาระผูกพันของ Mastercard เกิดขึ้นเมื่อวันที่ 1 มกราคม พ.ศ. 2548 ^{[ 67 ]}

ประเทศในเอเชียและแปซิฟิก

การเปลี่ยนภาระความรับผิดของ Mastercard ระหว่างประเทศต่างๆ ภายในภูมิภาคนี้เกิดขึ้นเมื่อวันที่ 1 มกราคม 2549 ^{[ 67 ]}ภายในวันที่ 1 ตุลาคม 2553 การเปลี่ยนภาระความรับผิดได้เกิดขึ้นสำหรับธุรกรรม ณ จุดขายทั้งหมด ยกเว้นธุรกรรมภายในประเทศในประเทศจีนและญี่ปุ่น^{[ 68 ]}
การเปลี่ยนแปลงความรับผิดของวีซ่าสำหรับจุดขายเกิดขึ้นเมื่อวันที่ 1 ตุลาคม 2553 ^{[ 69 ]}สำหรับตู้เอทีเอ็ม วันที่เปลี่ยนแปลงความรับผิดเกิดขึ้นเมื่อวันที่ 1 ตุลาคม 2558 ยกเว้นในประเทศจีน อินเดีย ญี่ปุ่น และไทย ซึ่งการเปลี่ยนแปลงความรับผิดเกิดขึ้นเมื่อวันที่ 1 ตุลาคม 2560 ^{[ 70 ]}ปัจจุบันธุรกรรมเอทีเอ็มในประเทศจีนไม่ต้องอยู่ภายใต้กำหนดเวลาการเปลี่ยนแปลงความรับผิด

ออสเตรเลีย

Mastercard กำหนดให้เครื่องรับชำระเงิน ณ จุดขายทั้งหมดต้องรองรับ EMV ภายในเดือนเมษายน 2556 สำหรับตู้เอทีเอ็ม การเปลี่ยนภาระผูกพันเกิดขึ้นในเดือนเมษายน 2555 ตู้เอทีเอ็มต้องเป็นไปตามมาตรฐาน EMV ภายในสิ้นปี 2558 ^{[ 71 ]}
การเปลี่ยนภาระความรับผิดชอบของ Visa สำหรับตู้ ATM เกิดขึ้นเมื่อวันที่ 1 เมษายน 2556 ^{[ 69 ]}

มาเลเซีย

มาเลเซียเป็นประเทศแรกในโลกที่เปลี่ยนไปใช้สมาร์ทการ์ดที่สอดคล้องกับ EMV อย่างสมบูรณ์ภายในสองปีหลังจากเริ่มใช้งานในปี 2548 ^{[ 72 ]}^{[ 73 ]}

นิวซีแลนด์

Mastercard กำหนดให้เครื่องรับชำระเงิน ณ จุดขายทั้งหมดต้องเป็นไปตามมาตรฐาน EMV ภายในวันที่ 1 กรกฎาคม 2554 สำหรับตู้เอทีเอ็ม การเปลี่ยนภาระผูกพันเกิดขึ้นในเดือนเมษายน 2555 และตู้เอทีเอ็มจะต้องเป็นไปตามมาตรฐาน EMV ภายในสิ้นปี 2558 ^{[ 71 ]}
การเปลี่ยนภาระความรับผิดชอบของ Visa สำหรับตู้ ATM มีผลตั้งแต่วันที่ 1 เมษายน 2556 ^{[ 69 ]}

ยุโรป

การเปลี่ยนแปลงภาระผูกพันของ Mastercard เกิดขึ้นเมื่อวันที่ 1 มกราคม พ.ศ. 2548 ^{[ 67 ]}
การเปลี่ยนภาระความรับผิดชอบของ Visa สำหรับจุดขายเกิดขึ้นเมื่อวันที่ 1 มกราคม 2549 สำหรับตู้เอทีเอ็ม การเปลี่ยนภาระความรับผิดชอบเกิดขึ้นเมื่อวันที่ 1 มกราคม 2551 ^{[ 69 ]}
ฝรั่งเศสสามารถลดการฉ้อโกงบัตรเครดิตได้มากกว่า 80% นับตั้งแต่เริ่มใช้ระบบนี้ในปี 1992 (ดูCarte Bleue )

สหราชอาณาจักร

รูปสี่เหลี่ยมผืนผ้าสีเขียว ภายในมีเครื่องหมายดอกจันสีขาว 4 อันเรียงกันอยู่ในกรอบสี่เหลี่ยมสีดำ โดยมีโครงร่างของมือชี้ไปที่เครื่องหมายดอกจันอันที่สองและบดบังเครื่องหมายดอกจันอันที่สองไว้ — โลโก้ Chip and PIN ของสหราชอาณาจักร

ระบบ Chip and PIN ได้รับการทดลองใช้ในเมืองนอร์ทแธมป์ตันประเทศอังกฤษตั้งแต่เดือนพฤษภาคม พ.ศ. 2546 ^{[ 74 ]}และส่งผลให้มีการนำมาใช้ทั่วประเทศในสหราชอาณาจักรในวันที่ 14 กุมภาพันธ์ พ.ศ. 2549 ^{[ 75 ]}โดยมีการโฆษณาในสื่อสิ่งพิมพ์และโทรทัศน์แห่งชาติภายใต้สโลแกน "Safety in Numbers" ในช่วงแรกของการใช้งาน หากพบว่ามีการทำธุรกรรมรูดบัตรแม่เหล็กที่ฉ้อโกงเกิดขึ้น ผู้ค้าปลีกจะได้รับเงินคืนจากธนาคารผู้ออกบัตร เช่นเดียวกับกรณีที่เกิดขึ้นก่อนการนำระบบ Chip and PIN มาใช้ ในวันที่ 1 มกราคม พ.ศ. 2548 ความรับผิดชอบสำหรับธุรกรรมดังกล่าวได้ถูกโอนไปยังผู้ค้าปลีก ซึ่งเป็นแรงจูงใจให้ผู้ค้าปลีกอัปเกรด ระบบ จุดขาย (PoS) ของตน และร้านค้าปลีกรายใหญ่ส่วนใหญ่ได้อัปเกรดทันเวลาตามกำหนดเส้นตาย EMV ธุรกิจขนาดเล็กจำนวนมากในตอนแรกไม่เต็มใจที่จะอัปเกรดอุปกรณ์ เนื่องจากต้องใช้ระบบ PoS ใหม่ทั้งหมด ซึ่งเป็นการลงทุนจำนวนมาก

ปัจจุบันธนาคารหลักทุกแห่งได้ออกบัตรใหม่ที่มีทั้งแถบแม่เหล็กและชิปแล้ว การเปลี่ยนบัตรแบบเดิมที่ไม่มีชิปและรหัส PIN เป็นปัญหาใหญ่ เนื่องจากธนาคารระบุเพียงว่าผู้บริโภคจะได้รับบัตรใหม่ "เมื่อบัตรเก่าหมดอายุ" ทั้งๆ ที่หลายคนยังมีบัตรที่หมดอายุในปี 2007 อยู่ บริษัทผู้ออกบัตรSwitchเสียสัญญาสำคัญกับHBOSให้กับVisaเนื่องจากไม่พร้อมที่จะออกบัตรใหม่ได้เร็วเท่าที่ธนาคารต้องการ

การนำระบบชิปและรหัส PIN มาใช้ถูกวิพากษ์วิจารณ์ว่าเป็นการออกแบบมาเพื่อลดความรับผิดชอบของธนาคารในกรณีที่อ้างว่ามีการฉ้อโกงบัตร โดยกำหนดให้ลูกค้าต้องพิสูจน์ว่าตนได้กระทำการ "ด้วยความระมัดระวังอย่างสมเหตุสมผล" ในการปกป้องรหัส PIN และบัตรของตน แทนที่ธนาคารจะต้องพิสูจน์ว่าลายเซ็นตรงกัน ก่อนที่จะมีระบบชิปและรหัส PIN หากลายเซ็นของลูกค้าถูกปลอมแปลง ธนาคารจะต้องรับผิดชอบตามกฎหมายและต้องชดเชยค่าเสียหายให้แก่ลูกค้า จนถึงวันที่ 1 พฤศจิกายน 2552 ไม่มีกฎหมายใดที่คุ้มครองผู้บริโภคจากการใช้บัตรชิปและรหัส PIN อย่างฉ้อโกง มีเพียงประมวลจริยธรรมการธนาคาร ที่เป็นไปโดยสมัครใจเท่านั้น มีรายงานมากมายว่าธนาคารปฏิเสธที่จะชดเชยค่าเสียหายให้แก่เหยื่อของการใช้บัตรอย่างฉ้อโกง โดยอ้างว่าระบบของตนไม่สามารถล้มเหลวได้ในสถานการณ์ที่รายงานมา แม้ว่าจะมีหลักฐานการโจมตีขนาดใหญ่ที่ประสบความสำเร็จหลายครั้งก็ตาม

ข้อบังคับบริการชำระเงิน พ.ศ. 2552มีผลบังคับใช้เมื่อวันที่ 1 พฤศจิกายน พ.ศ. 2552 ^{[ 76 ]}และเปลี่ยนภาระการพิสูจน์ไปที่ธนาคาร แทนที่จะสันนิษฐานว่าผู้ถือบัตรเป็นฝ่ายผิด^{[ 59 ]}หน่วยงานกำกับดูแลบริการทางการเงิน (FSA) กล่าวว่า "เป็นหน้าที่ของธนาคาร สมาคมอาคาร หรือบริษัทบัตรเครดิตที่จะต้องแสดงให้เห็นว่าธุรกรรมนั้นกระทำโดยคุณ และไม่มีความผิดพลาดในขั้นตอนหรือปัญหาทางเทคนิค" ก่อนที่จะปฏิเสธความรับผิดชอบ

ลาตินอเมริกาและแคริบเบียน

การเปลี่ยนภาระผูกพันของ Mastercard ระหว่างประเทศต่างๆ ภายในภูมิภาคนี้เกิดขึ้นเมื่อวันที่ 1 มกราคม พ.ศ. 2548 ^{[ 67 ]}
การเปลี่ยนภาระความรับผิดของวีซ่าสำหรับจุดขายเกิดขึ้นเมื่อวันที่ 1 ตุลาคม 2555 สำหรับประเทศใดๆ ในภูมิภาคนี้ที่ยังไม่ได้ดำเนินการเปลี่ยนภาระความรับผิด สำหรับตู้เอทีเอ็ม การเปลี่ยนภาระความรับผิดเกิดขึ้นเมื่อวันที่ 1 ตุลาคม 2557 สำหรับประเทศใดๆ ในภูมิภาคนี้ที่ยังไม่ได้ดำเนินการเปลี่ยนภาระความรับผิด^{[ 69 ]}

บราซิล

การเปลี่ยนแปลงภาระผูกพันของ Mastercard เกิดขึ้นเมื่อวันที่ 1 มีนาคม พ.ศ. 2551 ^{[ 67 ]}
การเปลี่ยนภาระความรับผิดชอบของ Visa สำหรับจุดขายเกิดขึ้นเมื่อวันที่ 1 เมษายน 2554 สำหรับตู้เอทีเอ็ม การเปลี่ยนภาระความรับผิดชอบเกิดขึ้นเมื่อวันที่ 1 ตุลาคม 2555 ^{[ 69 ]}

โคลอมเบีย

การเปลี่ยนแปลงภาระผูกพันของ Mastercard เกิดขึ้นเมื่อวันที่ 1 ตุลาคม พ.ศ. 2551 ^{[ 67 ]}

เม็กซิโก

Discover ได้ดำเนินการเปลี่ยนภาระความรับผิดเมื่อวันที่ 1 ตุลาคม 2558 สำหรับการชำระเงินที่ปั๊มน้ำมัน การเปลี่ยนภาระความรับผิดเกิดขึ้นเมื่อวันที่ 1 ตุลาคม 2560 ^{[ 77 ]}
การเปลี่ยนภาระความรับผิดชอบของ Visa สำหรับจุดขายเกิดขึ้นเมื่อวันที่ 1 เมษายน 2554 สำหรับตู้เอทีเอ็ม การเปลี่ยนภาระความรับผิดชอบเกิดขึ้นเมื่อวันที่ 1 ตุลาคม 2555 ^{[ 69 ]}

เวเนซุเอลา

การเปลี่ยนแปลงความรับผิดของ Mastercard เกิดขึ้นเมื่อวันที่ 1 กรกฎาคม พ.ศ. 2552 ^{[ 67 ]}

ตะวันออกกลาง

การเปลี่ยนภาระความรับผิดของ Mastercard ระหว่างประเทศต่างๆ ภายในภูมิภาคนี้เกิดขึ้นเมื่อวันที่ 1 มกราคม 2549 ^{[ 67 ]}ภายในวันที่ 1 ตุลาคม 2553 การเปลี่ยนภาระความรับผิดได้เกิดขึ้นสำหรับธุรกรรม ณ จุดขายทั้งหมด^{[ 68 ]}
การเปลี่ยนภาระความรับผิดชอบของ Visa สำหรับจุดขายเกิดขึ้นเมื่อวันที่ 1 มกราคม 2549 สำหรับตู้เอทีเอ็ม การเปลี่ยนภาระความรับผิดชอบเกิดขึ้นเมื่อวันที่ 1 มกราคม 2551 ^{[ 69 ]}

อเมริกาเหนือ

แคนาดา

American Express ได้ดำเนินการเปลี่ยนภาระความรับผิดเมื่อวันที่ 31 ตุลาคม 2555 ^{[ 1 ]}^{[ 78 ]}
Discover ได้ดำเนินการเปลี่ยนภาระความรับผิดเมื่อวันที่ 1 ตุลาคม 2558 สำหรับธุรกรรมทั้งหมด ยกเว้นการชำระเงินที่ปั๊มน้ำมัน ธุรกรรมเหล่านั้นเปลี่ยนภาระความรับผิดเมื่อวันที่ 1 ตุลาคม 2560 ^{[ 77 ]}
Interac (เครือข่ายบัตรเดบิตของแคนาดา) หยุดการประมวลผลธุรกรรมที่ไม่ใช่ EMV ที่ตู้ ATM เมื่อวันที่ 31 ธันวาคม 2012 และกำหนดให้ใช้ธุรกรรม EMV ที่เครื่องรับชำระเงิน ณ จุดขายเมื่อวันที่ 30 กันยายน 2016 โดยมีการเปลี่ยนแปลงความรับผิดชอบเมื่อวันที่ 31 ธันวาคม 2015 ^{[ 79 ]}
Mastercard ได้ดำเนินการเปลี่ยนแปลงความรับผิดในการทำธุรกรรมภายในประเทศเมื่อวันที่ 31 มีนาคม 2554 และการเปลี่ยนแปลงความรับผิดระหว่างประเทศเมื่อวันที่ 15 เมษายน 2554 สำหรับการชำระเงินที่ปั๊มน้ำมัน การเปลี่ยนแปลงความรับผิดได้ดำเนินการเมื่อวันที่ 31 ธันวาคม 2555 ^{[ 78 ]}
Visa ได้ดำเนินการเปลี่ยนแปลงความรับผิดในการทำธุรกรรมภายในประเทศเมื่อวันที่ 31 มีนาคม 2554 และการเปลี่ยนแปลงความรับผิดระหว่างประเทศเมื่อวันที่ 31 ตุลาคม 2553 สำหรับการชำระเงินที่ปั๊มน้ำมัน การเปลี่ยนแปลงความรับผิดได้ดำเนินการเมื่อวันที่ 31 ธันวาคม 2555 ^{[ 78 ]}
ในช่วงระยะเวลาห้าปีหลังจากการเปลี่ยนไปใช้ EMV ธุรกรรมฉ้อโกงบัตรแบบแสดงบัตรภายในประเทศลดลงอย่างมีนัยสำคัญในแคนาดา ตามรายงานของ Helcim การฉ้อโกงบัตรเดบิตแบบแสดงบัตรภายในประเทศลดลง 89.49% และการฉ้อโกงบัตรเครดิตลดลง 68.37% ^{[ 1 ]}^{[ 80 ]}

สหรัฐอเมริกา

หลังจากเกิดการโจรกรรมข้อมูลส่วนบุคคล อย่างแพร่หลาย เนื่องจากระบบรักษาความปลอดภัยที่อ่อนแอในเครื่องรับชำระเงิน ณ จุดขายที่Target , Home Depotและร้านค้าปลีกรายใหญ่อื่นๆ Visa, Mastercard และ Discover ^{[ 81 ]}ในเดือนมีนาคม 2012 และ American Express ^{[ 82 ]}ในเดือนมิถุนายน 2012 ได้ประกาศแผนการเปลี่ยนไปใช้ EMV สำหรับสหรัฐอเมริกา^{[ 83 ] นับตั้งแต่การประกาศดังกล่าว ธนาคาร}^และผู้ออกบัตรหลายแห่งได้ประกาศบัตรที่มีเทคโนโลยีชิปและลายเซ็น EMV รวมถึง American Express, Bank of America, Citibank, Wells Fargo [ ⁸⁴^] JPMorgan Chase, US Bank และสหกรณ์เครดิตหลายแห่ง

ในปี 2010 บริษัทหลายแห่งเริ่มออกบัตรเดบิตแบบเติมเงินที่มีชิปและรหัส PIN ซึ่งอนุญาตให้ชาวอเมริกันเติมเงินสดเป็นยูโรหรือปอนด์สเตอร์ลิงได้^{[ 85 ]}^{[ 1 ]} United Nations Federal Credit Unionเป็นผู้ออกบัตรเครดิตชิปและรหัส PIN รายแรกในสหรัฐอเมริกา^{[ 86 ]}ในเดือนพฤษภาคม 2010 ข่าวประชาสัมพันธ์จากGemalto (ผู้ผลิตบัตร EMV ระดับโลก) ระบุว่าUnited Nations Federal Credit Unionในนิวยอร์กจะเป็นผู้ออกบัตร EMV รายแรกในสหรัฐอเมริกา โดยเสนอบัตรเครดิต EMV Visa ให้แก่ลูกค้า^{[ 87 ]} JPMorgan เป็นธนาคารขนาดใหญ่แห่งแรกที่เปิดตัวบัตรที่มีเทคโนโลยี EMV นั่นคือบัตร Palladiumในช่วงกลางปี 2012 ^{[ 88 ]}

ณ เดือนเมษายน 2559 ผู้บริโภคในสหรัฐอเมริกา 70% มีบัตร EMV และ ณ เดือนธันวาคม 2559 ร้านค้าประมาณ 50% ปฏิบัติตามมาตรฐาน EMV ^{[ 89 ]}^{[ 90 ]}อย่างไรก็ตาม การใช้งานเป็นไปอย่างช้าและไม่สม่ำเสมอในหมู่ผู้จำหน่าย แม้แต่ร้านค้าที่มีฮาร์ดแวร์ EMV ก็อาจไม่สามารถประมวลผลธุรกรรมชิปได้เนื่องจากข้อบกพร่องของซอฟต์แวร์หรือการปฏิบัติตามข้อกำหนด^{[ 91 ]} Bloomberg ยังได้กล่าวถึงปัญหาเกี่ยวกับการใช้งานซอฟต์แวร์ รวมถึงการเปลี่ยนแปลงข้อความเสียงสำหรับ เครื่อง Verifoneซึ่งอาจใช้เวลาหลายเดือนในการเปิดตัวและใช้งานซอฟต์แวร์ อย่างไรก็ตาม ผู้เชี่ยวชาญในอุตสาหกรรมคาดหวังว่าจะมีมาตรฐานมากขึ้นในสหรัฐอเมริกาสำหรับการใช้งานซอฟต์แวร์และมาตรฐานต่างๆVisaและMastercardต่างก็ใช้มาตรฐานเพื่อเร่งความเร็วในการทำธุรกรรมชิป โดยมีเป้าหมายที่จะลดเวลาให้ต่ำกว่าสามวินาที ระบบเหล่านี้มีชื่อว่า Visa Quick Chip และ Mastercard M/Chip Fast ^{[ 92 ]}

American Express ได้นำระบบการเปลี่ยนภาระความรับผิดสำหรับเครื่องรับชำระเงิน ณ จุดขายมาใช้เมื่อวันที่ 1 ตุลาคม 2558 ^{[ 93 ]} สำหรับการชำระเงินที่ปั๊มน้ำมัน ระบบการเปลี่ยนภาระความรับผิดมีผลบังคับใช้เมื่อวันที่ 16 เมษายน 2564 ซึ่งขยายเวลามาจากวันที่ 1 ตุลาคม 2563 เนื่องจากการระบาดของโรคโควิด-19 ^{[ 94 ]}
Discover ได้ดำเนินการเปลี่ยนความรับผิดเมื่อวันที่ 1 ตุลาคม 2558 สำหรับการชำระเงินที่ปั๊มน้ำมัน การเปลี่ยนความรับผิดเกิดขึ้นเมื่อวันที่ 1 ตุลาคม 2563 ^{[ 77 ]}
Maestro ได้ดำเนินการเปลี่ยนภาระความรับผิดเมื่อวันที่ 19 เมษายน 2556 สำหรับบัตรระหว่างประเทศที่ใช้ในสหรัฐอเมริกา^{[ 95 ]}
Mastercard ได้นำการเปลี่ยนภาระความรับผิดชอบสำหรับเครื่องรับชำระเงิน ณ จุดขายมาใช้เมื่อวันที่ 1 ตุลาคม 2558 ^{[ 93 ]}สำหรับการชำระเงินที่ปั๊มน้ำมัน การเปลี่ยนภาระความรับผิดชอบอย่างเป็นทางการเกิดขึ้นเมื่อวันที่ 1 ตุลาคม 2563 ^{[ 96 ]}สำหรับตู้เอทีเอ็ม วันที่เปลี่ยนภาระความรับผิดชอบคือวันที่ 1 ตุลาคม 2559 ^{[ 97 ]}^{[ 98 ]}
Visa ได้นำการเปลี่ยนความรับผิดมาใช้สำหรับเครื่องรับชำระเงิน ณ จุดขายเมื่อวันที่ 1 ตุลาคม 2558 สำหรับการชำระเงินที่ปั๊มน้ำมัน การเปลี่ยนความรับผิดอย่างเป็นทางการเกิดขึ้นเมื่อวันที่ 1 ตุลาคม 2563 ^{[ 96 ]}^{[ 99 ]}สำหรับตู้เอทีเอ็ม วันที่เปลี่ยนความรับผิดคือวันที่ 1 ตุลาคม 2560 ^{[ 70 ]}^{[ 1 ]}

หมายเหตุ

^ได้รับการอนุมัติจาก Mastercard NetsUnion หรือที่รู้จักกันในชื่อ Mastercard NetsUnion Information Technology (Beijing) Co., Ltd. ซึ่งเป็นบริษัทร่วมทุนระหว่าง Mastercard และเครือข่ายธนาคารของจีน
^ได้รับการอนุมัติโดยบริษัทร่วมทุนของ American Express คือ Express (Hangzhou) Technology Services Company Limited

ดูเพิ่มเติม

ลิงก์ภายนอก

เว็บไซต์อย่างเป็นทางการ
BBC: ข้างในบัตรธนาคารมีอะไรบ้างพฤศจิกายน 2022

[28] ได้รับการอนุมัติจาก Mastercard NetsUnion หรือที่รู้จักกันในชื่อ Mastercard NetsUnion Information Technology (Beijing) Co., Ltd. ซึ่งเป็นบริษัทร่วมทุนระหว่าง Mastercard และเครือข่ายธนาคารของจีน

[29] ได้รับการอนุมัติโดยบริษัทร่วมทุนของ American Express คือ Express (Hangzhou) Technology Services Company Limited

[

[ 2 ]

3

[

[

[

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]

[ 20 ]

[ 21 ]

[ 22 ]

[ 23 ]

[ 24 ]

[ 25 ]

[ 26 ]

[ 27 ]

[หมายเหตุ 1 ]

[หมายเหตุ 2 ]

[ 28 ]

[ 29 ]

[ 30 ]

[ 31 ]

[ 32 ]

[ 33 ]

[ 34 ]

[ 35 ]

[ 36 ]

[ 37 ]

[ 38 ]

[ 39 ]

[ 40 ]

[ 41 ]

[ 42 ]

[ 43 ]

[ 44 ]

[ 45 ]

[ 46 ]

[ 47 ]

[ 48 ]

[ 49 ]

[ 50 ]

[ 51 ]

[ 52 ]

[ 53 ]

[ 54 ]

[ 55 ]

[ 56 ]

[ 57 ]

[ 58 ]

[ 59 ]

[ 60 ]

[ 61 ]

[ 62 ]

[ 64 ]

[ 65 ]

[ 66 ]

[ 67 ]

[ 68 ]

[ 69 ]

[ 70 ]

[ 71 ]

[ 72 ]

[ 73 ]

[ 74 ]

[ 75 ]

[ 76 ]

[ 77 ]

[ 78 ]

[ 79 ]

[ 80 ]

[ 81 ]

[ 82 ]

[ 83 ] นับตั้งแต่การประกาศดังกล่าว ธนาคาร

และ

[ 85 ]

[ 86 ]

[ 87 ]

[ 88 ]

[ 89 ]

[ 90 ]

[ 91 ]

[ 92 ]

[ 93 ]

[ 94 ]

[ 95 ]

[ 96 ]

[ 97 ]

[ 98 ]

[ 99 ]