Migracja EMV czas na decyzje biznesowe Forum Liderów Banków Spółdzielczych 14-15 września 2009 Copyright 2009, First Data Corporation. All Rights Reserved.
Agenda EMV Geneza standardu i jego rozwój Nowe możliwości produktowe Implementacja projektu z First Data Korzyści dla banku klienta CAP/DPA Co to jest CAP/DPA? Sposoby wdrożenia Potencjalne zastosowania Korzyści dla banku klienta 3D Secure Model 3-Domenowy Bezpieczne zakupy w sieci Połączenie CAP/DPA i 3D Secure Korzyści i zalety dla banku Copyright 2009, First Data Corporation. All Rights Reserved. 2
EMV: Geneza standardu i jego rozwój Standard kart z mikroprocesorem z funkcją płatniczą Karta Terminal Aplikacja EMV 96, v3.1.1 VSDC VIS 1.3.2 M/Chip 2.1 EMV EMV 2000, v4.0 VSDC VIS 1.4.0 M/Chip 4 Europay MasterCard Visa EMV 2004, v4.1 EMV 2008, v4.2 EMV Contactless paywave qvsdc PayPass M/Chip Copyright 2009, First Data Corporation. All Rights Reserved. 3
EMV: Nowe możliwości produktowe Płatności stykowe VSDC M/Chip Płatności bezsktykowe paywave PayPass Autentykacja DPA CAP Elektroniczna portmonetka VisaCash CLIP Inne aplikacje V PAY MODS Copyright 2009, First Data Corporation. All Rights Reserved. 4
EMV: Implementacja projektu z First Data Sprawdzony partner to gwarancja sukcesu migracji Lider na rynku usług outsourcingowych Analiza potrzeb banku Kompetentny i niezawodny partner Wdrożenia EMV dla ponad 10 banków Zgodność z regulacjami Visa i MasterCard Rekomendacje First Data Założenia migracji Certyfikowane Centrum Personalizacji Systemy w pełni dostosowane do EMV Kompleksowy zakres usług wydawniczych Implementacja projektu Testy i wdrożenie produktu Copyright 2009, First Data Corporation. All Rights Reserved. 5
EMV: Korzyści dla banku klienta Korzyści dla banku Korzyści dla klienta Liability Shift Redukcja Fraud ów Poczucie większego bezpieczeństwa transakcji Kontrola nad transakcją w środowisku off-line Platforma dla rozwoju nowych produktów Wizerunek banku Ochrona przed łatwym skopiowaniem karty (ang. skimming) Nowe funkcje karty (wielo-aplikacyjność) Copyright 2009, First Data Corporation. All Rights Reserved. 6
CAP/DPA: Co to jest CAP/DPA? CAP - Chip Authentication Program / DPA - Dynamic Passcode Authentication System zabezpieczenia transakcji finansowych, przenoszący zwiększony poziom bezpieczeństwa, jaki uzyskano dzięki wprowadzeniu kart EMV i weryfikacji PIN Offline przez kartę do środowiska CNP (Card Not Present). Standard opracowany przez organizację MasterCard.. System opiera się na dwu-stopniowej autentykacji: Weryfikacji tożsamości klienta banku z wykorzystaniem nr. PIN. Potwierdzeniu posiadania przez klienta właściwej karty wydanej przez bank w momencie dokonywania transakcji (wykorzystując operacje kryptograficzne). Unikalne, jednorazowe hasło (niepowtarzalne) Hasło generowane w wyniku wyżej wymienionych operacji nie może być wykorzystane podczas kolejnej transakcji. Zwiększa poziom zabezpieczenia przed atakami takimi jak spoofing, phishing. Copyright 2009, First Data Corporation. All Rights Reserved. 7
CAP/DPA: Elementy systemu, sposoby wdrożenia Elementy systemu Sposoby implementacji Karta z aplikacją CAP DPA Weryfikacja PIN Offline Czytnik kart (off-line) Generowanie kodu Serwer autentykacyjny Weryfikacja kodu Karta jedno-aplikacyjna Tagi CAP + Aplikacja M/Chip Tagi DPA + Aplikacja VSDC Karta jedno-aplikacyjna Aplikacja CAP Aplikacja DPA Karta dwu-aplikacyjna Aplikacje: CAP + M/Chip Aplikacje: DPA + VSDC Copyright 2009, First Data Corporation. All Rights Reserved. 8
CAP/DPA: Potencjalne zastosowania Zastosowania w serwisie bankowości internetowej: Uwierzytelnienie klienta banku (np. podczas logowania do serwisu) Elektroniczne podpisywanie operacji dokonywanych przez użytkownika takich jak przelewy, płatności, itp. Bezpieczna alternatywa dla papierowych list z hasłami jednorazowymi (redukcja kosztów) Dynamiczne uwierzytelnienie posiadacza karty podczas transakcji internetowej (3D Secure) Bezpieczniejsza alternatywa od transakcji potwierdzanych statycznym hasłem. Potwierdzenie tożsamości klienta podczas transakcji CNP: W szczególności chodzi tu o transakcje typu Telephone Order, gdzie istnieje wysokie ryzyko nieautoryzowanego wykorzystania nr. karty i podszywania się osób nieuprawnionych pod jej właściciela. Copyright 2009, First Data Corporation. All Rights Reserved. 9
CAP/DPA: Korzyści dla banku Forma silniejszego zabezpieczenia transakcji CNP (Card Not Present) Sposób na przeciwdziałanie atakom mającym na celu przechwycenie hasła klienta (phishing i spoofing). Maksymalizacja korzyści z inwestycji w EMV. Redukcja kosztów związanych z obsługą zmiany zapomnianego hasła. Uproszczenie procesu enrolmentu dla klientów banku, który oferuje usługę 3D Secure (brak konieczności rejestracji statycznego hasła). Wizerunek nowoczesnego banku oferującego innowacyjne produkty. Copyright 2009, First Data Corporation. All Rights Reserved. 10
CAP/DPA: Korzyści dla klienta Prosty i poręczny czytnik kart (offline) zwiększający bezpieczeństwo zdalnych transakcji (bez fizycznej obecności karty). Wyeliminowanie ryzyka związanego z utratą hasła w wyniku ataku. Wyeliminowanie kłopotu związanego ze zmianą hasła w przypadku, gdy klient je zapomniał. Jednolity sposób uwierzytelnienia klienta (PIN) w punktach handlowousługowych i przy transakcjach zdalnych. Posiadanie innowacyjnego produktu (karta wielo-aplikacyjna). Copyright 2009, First Data Corporation. All Rights Reserved. 11
3D Secure: Model 3-Domenowy Issuer Uwierzytelnienie klienta wg standardów banku Cardholder Plug-In Server Merchant Acquirer Directory Server Gwarancja płatności za towar dla merchanta Access Control Server ACQUIRER DOMAIN Interoperabilty Bezpieczeństwo transakcji (dane kart nie są trzymane na serwerze w sklepie) ISSUER DOMAIN Front End System Authentication History Server VisaNet INTEROPERABILITY DOMAIN Front End System Copyright 2009, First Data Corporation. All Rights Reserved. 12
3D Secure: Rejestracja użytkownika (enrollment) internet 1 2 3 Posiadacz karty wchodzi na stronę www banku Posiadacz karty podaje numer karty, dane do rejestracji, wprowadza nowe hasło Bank weryfikuje tożsamość posiadacza karty serwer www banku weryfikacja danych (bank) 4 zarejestrowane karty Zebrane informacje zostają zapisane w celu późniejszego użycia podczas autentykacji transakcji Copyright 2009, First Data Corporation. All Rights Reserved. 13
3D Secure: Schemat przebiegu transakcji 1 Posiadacz karty wchodzi na stronę sklepu, wybiera towary, podaje numer karty Sklep + Acquirer 5 Okaziciel karty podaje hasło 4 Hasło OK 2 Nr karty OK.? Visa Directory 3 OK., adres banku: http://www.anybank.pl 6 Autoryzacja BASE I Bank wydawca Copyright 2009, First Data Corporation. All Rights Reserved. 14
3D Secure: SIT - Secure Internet Transaction System SIT napisany przez First Data Polska Layout stron dostosowywany do potrzeb banku SIT obsługuje produkty Visa i MasterCard Verified by Visa MasterCard SecureCode Certyfikowany przez obydwie organizacje ACS używany do weryfikacji użytkownika podczas transakcji internetowej Architektura i bezpieczeństwo zaimplementowane w oparciu o wymagania MasterCard Bank ustala parametry do weryfikacji klienta Copyright 2009, First Data Corporation. All Rights Reserved. 15
3D Secure: Połączenie CAP/DPA i 3D Secure 1 Posiadacz karty wchodzi na stronę sklepu, wybiera towary, podaje numer karty Sklep + Acquirer 5 Okaziciel karty podaje PIN i kod z czytnika 4 Hasło OK 2 Nr karty OK.? Visa Directory 3 OK., adres banku: http://www.anybank.pl 6 Autoryzacja BASE I Bank wydawca Copyright 2009, First Data Corporation. All Rights Reserved. 16
3D Secure: Korzyści dla banku klienta Korzyści dla banku Zalety rozwiązania Liability Shift Redukcja Fraud ów Zwiększone zaufanie klienta Do banku wydawcy Do transakcji internetowych Elastyczność Wygląd stron Sposób autentykacji klienta Szybkość wejścia z usługą na rynek Więcej transakcji internetowych Dodatkowy przychód Stosunkowo niski koszt wdrożenia skomplikowanego technologicznie rozwiązania Wizerunek banku Copyright 2009, First Data Corporation. All Rights Reserved. 17
Dziękuję Copyright 2009, First Data Corporation. All Rights Reserved. 18