EMVカード、PINは常に発行者の安全なサーバー側にも保存されていますか?
EMVカードの発行者(または専門のサービスプロバイダー)は、個々のEMVスマートチップ内に隠されている秘密鍵のコピーを常にサーバー(ハードウェアセキュリティモジュール)に安全に保存します。ただし、関連付けられたPINも常に保存しますか、それともPINがスマートチップ自体にのみ認識される場合がありますか?たとえば、VISAとMasterCardはカードのPINをどのように処理しますか?
カード所有者の確認方法には3つのタイプがあります(少なくとも3年前にEMVで遊んでいたとき)
- PIN(オフラインとオンラインの両方)
- 署名
- 検証なし(これは状況によっては可能です)。
これらの検証方法は、物理的なトランザクションまたは「カードが存在する」シナリオでのみ使用されることに注意してください。
PINトランザクションには、オフラインPINとオンラインPINの2つのフレーバーがあります。
オンラインPINは簡単です。PINがオンライントランザクションで発行者によって確認されたときです。ここでオンラインとは、カード端末が発行者に接続しており、確認のためにトランザクションとPINを発行者に送信したことを意味します。
オンラインPINの場合、発行者は明らかにPIN--を持っています。そうでない場合、発行者はそれを確認できません。
オフラインPINの場合、PINはネットワーク経由ではなく、カード上のチップに送信され、チップはPINを直接確認して、ターミナル。
この場合、発行者はPINがチップに保存されているため、それを知らない可能性があります。ただし、発行者は、顧客が忘れた場合にPINを再発行できる必要があると思います。したがって、データセンターのどこかに、それを認識しているサーバーまたはHSMがあります:)
カードがオンラインPINまたはオフラインPIN(またはその両方)をサポートしているかどうかは、発行者と発行国によって異なります。しかし、どちらの状況でも、タイプに関係なく、発行者はPINを持っていると思います。
発行者がPINを持っているからといって、質問を詳しく読んでいるからといって、簡単に取得できるとは限りません。これは、コールセンターのエージェントがアクセスできるものではありません。おそらくしっかりと固定されており、PINメーラー(顧客への印刷された手紙)またはその他の安全性の高い方法を印刷することによってのみ取得できます。
あなたの質問の本当の目的が何であるかはわかりませんが、うまくいけば、これがそれに答えます。