Все, что вам нужно знать об эмуляции Host Card

  1. Бесконтактная карта?
  2. Безопасность

На этой неделе Visa и MasterCard объявили   новые спецификации для мобильных платежей NFC с использованием эмуляции хост-карты   (HCE) На этой неделе Visa и MasterCard объявили новые спецификации для мобильных платежей NFC с использованием эмуляции хост-карты (HCE). До сих пор для мобильных платежных систем требовалось специальное аппаратное обеспечение, обычно на SIM-карте, которое называется защищенным элементом. Он используется системой мобильных платежей для выполнения определенных задач аутентификации. Поскольку они были частью SIM-карты, эти системы работали только при сотрудничестве с операторами. Вот почему Google Wallet работает только с несколькими операторами в США, которые позволяют приложению Google получить доступ к защищенному элементу. Другие американские операторы, включая AT & T, T-Mobile и Verizon, имеют конкурирующую систему под названием ISIS.

Эта зависимость от элемента безопасности не является проблемой только в США. На каждом рынке, где банки хотят включить мобильные платежи NFC, необходима помощь со стороны операторов. Это не идеальное решение. Один из возможных ответов - включить необходимое оборудование в мобильные телефоны и обойти SIM-карту. Однако все, что это делает, - это переносит необходимость сотрудничества с оператора связи на производителя телефона или производителя чипсета.

Поскольку NFC является стандартом, который работает в нескольких операционных системах (например, Windows Phone поддерживает NFC) и имеет совместимые наборы микросхем от ряда производителей, лучшее решение для обхода зависимости от операторов заключается в переносе защищенного элемента в программное обеспечение. Когда Google выпустил Android 4.4 KitKat, он сделал именно это. Android 4.4 поддерживает эмуляцию хост-карты, которая позволяет любому телефону с поддержкой NFC «общаться» с терминалами бесконтактных платежей и эмулировать физическую бесконтактную карту.

Бесконтактная карта?

Хотя США, похоже, опережают остальной мир в отношении мобильных платежей, они отстают от Европы, когда речь заходит об альтернативах традиционной системе считывания и подписи, используемой для карточных платежей. Европа и другие крупные регионы мира используют интеллектуальные кредитные / дебетовые карты со встроенными чипами. Чтобы использовать их для совершения платежа, потребитель вставляет свою платежную карту в маленький аппарат и вводит свой PIN-код. Нет необходимости в подписи, и часть авторизации для оплаты предоставляется, когда карта сообщает читателю, что введенный PIN-код правильный. ПИН-код фактически хранится на карте в ее защищенном элементе. Маркировка таких систем отличается во всем мире, но технология, по сути, одинакова. В Великобритании и Ирландии он известен как Чип и ПИН, в Европе их часто называют картами EMV. EMV означает Europay, MasterCard и Visa, компании, которые стоят за этой технологией. Помимо Visa и MasterCard, Diners Club и American Express также поддерживают EMV.

Бесконтактные карты и, в конечном счете, мобильные платежи являются естественным развитием системы EMV Бесконтактные карты и, в конечном счете, мобильные платежи являются естественным развитием системы EMV. Помимо необходимости поддержки оператора, одной из причин более медленного внедрения мобильных платежей NFC в Европе является повсеместное распространение EMV и бесконтактных методов оплаты. Тем не менее, в США потребители переходят с мобильных платежей на основе NFC. Ну, почти. Платежи типа EMV также поступают в США. Согласно Wall Street Journal , начиная с 2015 года покупатели смогут использовать ПИН-коды, а не подписи, и к октябрю того же года переключение будет обязательным. MasterCard и Visa могут сделать это обязательным, перенеся ответственность за мошенничество с себя в магазин, который обрабатывает считывание и подписывает платеж, когда у клиента есть чип-карта.

«США являются последним крупным рынком, который все еще использует старомодную систему считывания и подписи, и это является важной причиной, по которой почти половина мирового мошенничества с кредитными картами происходит в Америке, несмотря на то, что в стране проживает около четверти всех операции с кредитными картами » писал Том Гара

Поскольку стремление догнать Европу исходит от Visa и Mastercard, неудивительно, что эти два гиганта по обработке платежей также продвигают мобильные платежи NFC через HCE.

Безопасность

На картах EMV любая конфиденциальная информация хранится в защищенном элементе, защищенном от несанкционированного доступа чипе, который «общается» с устройством чтения карт На картах EMV любая конфиденциальная информация хранится в защищенном элементе, защищенном от несанкционированного доступа чипе, который «общается» с устройством чтения карт. Элемент безопасности обеспечивает несколько функций, включая криптографическую проверку для проверки целостности карты и проверки владельца карты (т. Е. Проверки PIN-кода). Когда мобильный платеж осуществляется с использованием SIM-карты с защищенным элементом, считыватель NFC напрямую связывается с защищенным элементом, и в транзакции вообще не участвует приложение Android. После завершения транзакции приложение Android может напрямую запросить у защищенного элемента информацию о статусе транзакции и уведомить пользователя. Другими словами, защищенный элемент действует как смарт-чипы в картах EMV.

Если защищенный элемент отсутствует, приложение Android должно обеспечивать отсутствующую функциональность, а данные NFC отправляются непосредственно в приложение. Реализация HCE в Android гарантирует, что любые данные NFC, полученные приложением обработки, были фактически получены непосредственно от контроллера. Нет способа подделать платежное приложение с данными из другого источника.

Само приложение обработки платежей может полагаться на изолированную программную среду приложения Android, чтобы гарантировать, что его данные не будут доступны другим приложениям на устройстве, однако выполнение всех функций защищенного элемента в программном обеспечении по-прежнему создает определенные риски для безопасности Само приложение обработки платежей может полагаться на изолированную программную среду приложения Android, чтобы гарантировать, что его данные не будут доступны другим приложениям на устройстве, однако выполнение всех функций защищенного элемента в программном обеспечении по-прежнему создает определенные риски для безопасности. Чтобы снизить эти риски, Visa и MasterCard внедряют защищенные облачные элементы. Это означает, что некоторые из функций, которые обеспечивает физический элемент защиты, будут выполняться на серверах Visa или MasterCard через Интернет.

Проблема этого подхода состоит в том, что смартфон должен быть подключен к Интернету в момент авторизации транзакции. Это также означало бы, что облачный сервис должен ответить на считыватель карт NFC в торговом терминале менее чем за полсекунды. Эти два ограничения не практичны. Поэтому компании будут использовать платежные токены.

[quote qtext = »Подход MasterCard объединяет пользовательское программное обеспечение на мобильном устройстве с высокозащищенной облачной обработкой.» qperson = »Mastercard» qsource = »» qposition = »center»]

Эти токены хранятся локально на смартфоне, но они позволяют авторизовать платежное приложение только на ограниченное количество платежей в течение ограниченного периода времени, скажем, одного дня. Как только токен истекает или достигает разрешенных лимитов, необходимо получить новые токены. Управление этими токенами будет происходить в фоновом режиме и может происходить всякий раз, когда пользователь находится в сети, как часть обычного процесса синхронизации. Это означает, что если каким-то образом процесс оплаты будет полностью скомпрометирован, полученная информация будет полезна только в течение ограниченного количества времени и денег. Другими словами, хакер не может очистить ваш банковский счет.

[quote qtext = »Visa развернет несколько уровней безопасности для защиты платежных учетных записей в облаке, в том числе на уровне сети Visa, приложений и оборудования. Данные одноразового использования, анализ транзакций в режиме реального времени, токены платежей и технология снятия отпечатков устройств обеспечивают многоуровневую защиту от несанкционированного доступа к учетной записи. ”Qperson =” Visa ”qsource =” ”qposition =” center ”]

И последнее: если вы беспокоитесь о том, что кто-то будет ходить по многолюдной улице и тайно совершать мошеннические транзакции с помощью скрытого устройства чтения карт NFC, Android полностью выключает контроллер NFC и процессор приложений при выключении экрана устройства. Сканирование телефона с выключенным экраном не работает!

о чем ты думаешь? Будете ли вы использовать свой смартфон Android для мобильных платежей NFC даже без физического элемента безопасности?

Бесконтактная карта?
Бесконтактная карта?
О чем ты думаешь?
Будете ли вы использовать свой смартфон Android для мобильных платежей NFC даже без физического элемента безопасности?