Segurança do cartão de pagamento
Segurança do cartão de pagamento
Os cartões de pagamento modernos estão equipados com um conjunto de soluções tecnológicas que aumentam o nível de segurança da sua utilização. Por um lado, esses recursos de segurança devem proteger bem o cartão e, por outro, devem ser facilmente verificados pelo comerciante, comprador e emissor do cartão (o banco). Eles precisam garantir que:
- O cartão é original e não foi falsificado por criminosos;
- Seu dono é aquele que afirma já ter sido tratado.
Portanto, para reduzir a possibilidade de fraude, as organizações de cartões e os bancos usam um sistema de segurança multinível. Ele é construído de tal forma que suas áreas individuais são complementares umas às outras. Este sistema inclui:
- segurança visual aberta e encoberta;
- segurança eletrônica incorporada ao cartão;
- As medidas de segurança protegem a transmissão de dados durante o processo de autorização de pagamento.
segurança visual
A principal proteção de um cartão de pagamento contra falsificação e uso não autorizado é a personalização, ou seja, a atribuição do cartão a um cliente específico, ao banco e à organização do cartão. Este pacote de segurança inclui:
- Número do cartão de 16 dígitos (gravado na parte inferior da face);
- Data de validade do cartão, especificada no formato MM/AA – o cartão antigo deve ser reservado automaticamente ou rejeitado no caixa eletrônico ou no ponto de venda;
- nome e apelido do titular do cartão – o cartão só pode ser utilizado pela pessoa cujos dados pessoais constam no plástico;
- O código CVC2/CVV2 de três dígitos, que é um recurso de segurança em transações remotas onde um PIN não pode ser usado. É colocado apenas no verso do cartão e no sistema de informática do banco;
- A assinatura do proprietário (e no caso de cartões de visita – o nome da empresa gravado). Cartões não assinados são considerados inválidos;
- Cada cartão de pagamento também deve conter o logotipo do sistema (por exemplo, VISA, Eurocard/Mastercard, PolCard, American Express).
Um fato interessante é que outra forma de segurança é a ordem exata de todos os itens que aparecem no cartão. Cada vendedor, juntamente com o dispositivo, recebe instruções do operador, nas quais é descrita a ordem dos detalhes individuais. Por exemplo, nas Diretrizes do PaySquare para Vendedores, há informações de que, no caso de cartões com a marca Masterdcard, “os quatro dígitos abaixo do número do cartão devem corresponder aos quatro primeiros dígitos do número do cartão e começar com ‘5’, o cartão número” deve estar em ordem em blocos quadrangulares e é idêntico em tamanho e forma.
Claro, personalizar o cartão não é sua única segurança. Além disso, os emissores de cartões colocam neles marcações especiais que dificultam a falsificação de plástico. Este conjunto de recursos de segurança inclui os seguintes elementos: hologramas, gráficos, impressões finas, além de caracteres que são visíveis apenas sob luz UV.
holograma
Um holograma é uma etiqueta óptica tridimensional, gravada em uma fina película sensível à luz a laser. O conteúdo do holograma aparece na luz correta e na posição correta do cartão. O holograma não pode ser removido ou modificado porque é derretido no material do cartão usando um método conhecido como folha de estampagem a quente.
O holograma é um dos melhores recursos de segurança aberta dos cartões de pagamento. Uma grande vantagem é a possibilidade de verificação rápida pelo lojista que não requer dispositivos adicionais no local da transação, por exemplo em uma loja, restaurante ou posto de gasolina.
O uso de hologramas é bastante caro (devido ao custo muito alto da matriz), mas – paradoxalmente – é esse fator que impede os fraudadores de criarem “falsificações”. Infelizmente, há casos em que os criminosos investem em uma impressora cara e conseguem produzir cartões com um holograma aparentemente original.
Curiosidade: há alguns anos, a polícia polonesa desmantelou uma gangue que havia formado mais de 2.000 dessa maneira. Cartões de crédito e, com a ajuda deles, as mercadorias foram fraudadas por pelo menos 1,5 milhão de PLN.
Gráficos de segurança e impressões finas
Esses itens são classificados como recursos de segurança classificados porque são difíceis de ver a olho nu. São gráficos muito complexos, irregulares e pequenos que são aplicados ao cartão no processo de impressão com fita especializada.
As microimpressões tornam-se visíveis apenas com a luz certa e com alta ampliação, portanto, os revendedores de cartões não precisam verificá-las. Eles são frequentemente usados para validar o cartão em um nível de pesquisa especializado durante investigações por agências de aplicação da lei.
Recursos de segurança visíveis em raios UV
Como regra, esses são símbolos gráficos de organizações de pagamento, mas nem sempre. Às vezes, as letras também são letras únicas que o espectador coloca em um local inesperado, por exemplo, no canto de um cartão, sob o revestimento que cobre a tira magnética, etc. Uma tinta especial é usada para fazer a impressão ultravioleta, que possui propriedades químicas que impossibilitam a leitura de tal sinal a olho nu.
Curiosidade: Na luz UV, uma letra V extra aparece no cartão Visa entre as letras “I” e “S”. Nos cartões Mastercard – a abreviatura MC está no lado esquerdo do cartão.
Se o comerciante do cartão tiver reservas sobre sua autenticidade, ele poderá verificar essa garantia de forma independente (no entanto, não é uma obrigação obrigatória). No entanto, os operadores de terminais em suas instruções comerciais sempre indicam qual é o componente UV em um tipo específico de cartão, para que os comerciantes saibam onde e qual marca ele deve aparecer.
Fita de Assinatura – Proteção Especial
Um dos elementos excepcionalmente protegidos do cartão é a alça na parte de trás, na qual o titular do cartão de plástico coloca sua assinatura. Este local está equipado com vários recursos de segurança diferentes, como impressão UV e/ou gravação em relevo.
Além disso, sob a impressão em miniatura há uma camada de tinta branca, que é o fundo da assinatura. Tentativa fraudulenta de remover ou riscar o nome na barra remove automaticamente o suporte, e o campo danificado mostra ‘VOID’ (Mastercard) ou ‘Cartão inválido’.
O uso de muitos recursos de segurança é ditado pelo fato de que, no caso de transações offline, é a assinatura que permite que os vendedores verifiquem a identidade do proprietário do plástico. No entanto, como bem sabemos, os vendedores raramente olham para o nosso cartão quando pagamos com ele. Em primeiro lugar, porque uma verificação completa de cada cartão levará muito tempo e, em segundo lugar – na primeira vez que tentarem fazer isso, provavelmente perderão o cliente para sempre. Por esse motivo, os bancos confiam mais na segurança remota.
cíber segurança
No entanto, como verificar remotamente se a pessoa que usa o cartão tem o direito de fazê-lo? No caso de transações online (como saques em caixas eletrônicos), a segurança visual torna-se menos importante e a segurança eletrônica torna-se mais importante. Graças a eles, o emissor do cartão (o banco) pode certificar-se de que uma determinada operação foi ordenada pelo verdadeiro titular do cartão e não uma fraude.
A segurança primária do cartão é um PIN (Número de Identificação Pessoal). É uma espécie de “assinatura eletrônica” do dono do plástico e é tratado pelas instituições financeiras em pé de igualdade com a assinatura manuscrita. Este código de quatro dígitos permite que você faça transações em lojas e retire dinheiro de caixas eletrônicos e, ao mesmo tempo, protege nossas economias – é claro, apenas se cuidarmos adequadamente de sua segurança e não a compartilharmos imprudentemente com ladrões.
A segurança eletrônica também inclui uma tarja magnética e/ou chip. É nesses locais que o conjunto de dados codificado está localizado no suporte plástico. As informações armazenadas no chip do processador são complementares à segurança visual do cartão e são utilizadas para permitir transações remotas.
Cartão de tarja magnética vulnerável a fraudes
A fita magnética é composta por três caminhos, ou seja, campos magnéticos paralelos, que são lidos por um cabeçalho magnético localizado em um ATM ou terminal. A primeira faixa contém o nome e sobrenome do titular do cartão, bem como detalhes do país e banco que emitiu o cartão. A segunda faixa contém o número do cartão, sua data de validade e o código de serviço necessário para concluir a transação corretamente. Por outro lado, o terceiro caminho é usado para registrar informações bancárias privadas.
Infelizmente, os recursos de segurança usados neste tipo de cartão são muito fáceis de decifrar. Usando um dispositivo chamado programador, os fraudadores podem facilmente copiar o conteúdo da fita e transferir os dados confidenciais do cartão para sua cópia. Um cartão clonado funciona exatamente como o cartão original e as transações são feitas com ele em benefício de seu legítimo proprietário.
Cartões com chip mais resistentes à cópia
Os cartões inteligentes que substituíram os cartões de tarja magnética estão equipados com um sistema de segurança muito melhor. Além do microprocessador, ele também contém uma ROM permanente na qual o sistema operacional é carregado. Nos destacamos em:
- área de leitura livre – contém os dados criptografados do titular do cartão: seu nome, sobrenome, número de identificação do cartão, data de validade, bem como o nome da instituição financeira que o emitiu;
- Área secreta – pode ser acessada após inserir o número PIN. Nesta área são armazenadas informações sobre o fabricante do cartão e dados confidenciais sobre o usuário;
- Área de trabalho – onde os dados variáveis são armazenados (por exemplo, lista de transações do cartão, saldo da conta bancária, contadores de transações, etc.).
Além disso, o chip está equipado com um coprocessador para codificação, que funciona com base em algoritmos complexos. Além disso, a comunicação entre o programa e o processador também pode ser criptografada, o que é uma proteção adicional contra ataques avançados de hackers.
Resumindo, o chip embutido no cartão utiliza técnicas de criptografia em vários estágios e gera dados dinâmicos exclusivos para cada transação (a chamada assinatura de mensagem). Como resultado, é quase impossível copiar as informações do cartão inteligente.
A segurança cobre o processo de autorização
Quando pagamos com cartão em uma loja ou com sua ajuda sacamos dinheiro de um caixa eletrônico, nosso banco deve se certificar de que temos o direito de fazê-lo e não fingir ser o legítimo proprietário do plástico. Esse processo é chamado de autorização e a transação online funciona assim: um caixa eletrônico ou terminal lê os dados do chip ou da tarja magnética e os envia para o comprador que verifica a validade do cartão. Se for esse o caso, o comprador deve inserir o código PIN, que ainda está criptografado no dispositivo, e enviá-lo ao banco neste formulário (para que nem uma pessoa que trabalhe na central de autorização possa lê-lo). Se o PIN estiver correto, o computador do centro de cobrança permite a transação.
Deve-se notar que os sistemas de autorização dos bancos têm medidas de segurança adicionais incorporadas para ajudar a detectar fraudes, ou seja, transações com cartão não convencionais e suspeitas. Se um determinado pagamento for diferente do algoritmo de transação típico que um determinado cliente faz, por exemplo, às 13h ele paga com cartão em Żabka, e depois de algumas horas compra um Mercedes na Flórida, o banco pode decidir cair nas mãos erradas e interromper o processo de autorização (ou mesmo sem o conhecimento do titular do cartão para bloquear o cartão).
As transações offline são permitidas de maneira um pouco diferente, por exemplo, com um cartão sem contato. Nesse caso, o caixa eletrônico ou o terminal não entra em contato com a central de autorização do banco e verifica os dados necessários para concluir a própria transação. Como medida de segurança adicional, o aparelho verifica automaticamente se um determinado cartão não está incluído na chamada cessação de férias, ou seja, a lista de cartões roubados e restritos. Neste caso, o aparelho deixa de autorizar e exibe uma mensagem ao revendedor que deve guardar o cartão neste momento.
Discutimos o caminho do processo de licenciamento em detalhes neste artigo.
Segurança de pagamento on -line
A situação relativa à segurança das transações online é menos clara, durante a qual o vendedor não consegue avaliar visualmente a autenticidade do cartão, e a única forma de verificação da identidade do proprietário do plástico é o código CVC2 / CVV2 de três dígitos . Se um ladrão roubar nosso cartão, ele não precisa saber o PIN – tudo o que ele precisa fazer é fornecer detalhes confidenciais do cartão e os pagamentos das compras serão cobrados em nossa conta.
Uma solução para prevenir este tipo de fraude é o serviço 3D Secure oferecido pela maioria dos bancos polacos. Consiste em uma confirmação adicional da transação usando uma senha de uso único. Dependendo da ferramenta de autorização que usamos, pode ser um código de uma mensagem de texto, uma raspadinha ou um token. Após confirmar que a pessoa que fez a compra é o verdadeiro titular do cartão, o banco encaminha a transação para obter a autorização normal.
Vale ressaltar que os donos de lojas online também são obrigados a garantir a segurança das transações. Em primeiro lugar, eles devem garantir a seus clientes que a transferência de dados entre seus computadores domésticos e o servidor onde o site e o banco de dados estão hospedados na loja é resistente a hackers. A principal ferramenta que permite essa proteção é um certificado SSL (Secure Socket Layer). Possui três funções importantes:
- Permite criptografar dados, graças à total confidencialidade;
- protege a integridade dos dados em trânsito – os dados não podem ser alterados por terceiros ou essa alteração é detectada automaticamente;
- Os usuários têm a garantia de que acessaram uma página segura e não foram redirecionados para um site falso, mas muito semelhante.
As informações de que a loja online possui um certificado SSL aparecem no endereço do site: o prefixo “https” indica que o site está usando uma conexão criptografada. O ícone adicional é o ícone de cadeado ou o campo de endereço verde.
No entanto, muitas grandes lojas online usam um sistema de segurança adicional muito rigoroso, desenvolvido em conjunto pelas maiores organizações de pagamento. O chamado padrão PCI DSS (Payment Card Industry Data Security Standard) abrange 12 áreas importantes relacionadas ao armazenamento, envio e processamento de dados que identificam cartões individuais. O não cumprimento dos requisitos do PCI DSS pode levar a sérias consequências comerciais e financeiras para a Empresa, podendo também resultar na sua exclusão da participação no serviço de cartão de pagamento.
segurança futura
No entanto, talvez – em um futuro bastante distante – sejam implementadas medidas de segurança que reduzam as tentativas de fraude de cartão a quase zero e facilitem a verificação da identidade do usuário de plástico.
Hoje, as maiores organizações de pagamento já estão trabalhando em cartões biométricos que permitem que uma pessoa específica seja identificada com base em características fisiológicas únicas, como padrão de impressão digital, arranjo vascular, padrão de íris ou geometria da mão.
Uma solução alternativa pode ser cartões bancários na forma de um chip implantado sob a pele com uma unidade NFC, que agora é usado em cartões sem contato. Esses cartões não podem ser falsificados ou personificados de forma alguma, portanto, seu único ponto fraco será a transmissão de dados.
Você pode ler mais sobre cartões com PIN biométrico neste artigo.
Resumo
É verdade que a introdução da segurança óptica e dos chips impediu a clonagem de cartões de pagamento, mas os criminosos não desistiram. Hoje, a verdadeira batalha pela segurança dos cartões de pagamento está ocorrendo no ciberespaço, e os locais mais vulneráveis a ataques são os canais de transmissão usados para transmitir os dados necessários no processo de autorização. A interceptação das informações armazenadas no processador do cartão ainda permite que você se passe pelo dono do plástico e faça pagamentos na conta dele.
No entanto, às vezes os criminosos não precisam se esforçar muito, porque nós mesmos – imprudentemente – fornecemos esses dados. A fraude com cartões de pagamento representa atualmente 92% de todos os crimes contra clientes bancários. Portanto, no final das contas, vale destacar outro componente de segurança muito importante do cartão, que deve ser nosso bom senso. Também devemos cuidar da segurança dos cartões de pagamento e usá-los com sabedoria e cuidado.
ver mais