Las razones que aduce el Council son bastante lógicas:
- EMV ha sido diseñado para frenar el fraude en operaciones de tarjeta-presente, pero EMV, por sí mismo, no protege la confidencialidad de los datos de autenticación sensibles ni de los datos del titular de la tarjeta (tanto el PAN, como el nombre del titular o la fecha de caducidad, por ejemplo, son transmitidos en claro. lo cual es suficiente para realizar transacciones en algunas situaciones).
- Los entornos EMV actuales procesan tanto transacciones EMV como no-EMV, por lo que es necesario seguir aplicando PCI-DSS (está situación se acrecienta si consideramos que las tarjetas EMV llevan banda magnética por razones de compatibilidad y como backup del chip).
- Existe la posibilidad de introducir transacciones manualmente, para lo que solo se necesita el PAN, la fecha de caducidad y la firma del cliente (en el caso de venta por correo o por teléfono, denominadas tarjeta-no-presente, es necesario también el código de servicio).
Lo que sí reconoce el estándar es que en la medida en la que EMV sea el único método para transacciones cara-a-cara y se adopten procesos robustos de autenticación para transacciones de tarjeta-no-presente, la necesidad de mantener secreto el PAN y el resto de datos de autenticación se verá sensiblemente reducida y, por tanto, el estándar PCI-DSS deberá adaptarse a esta nueva situación y ser modificado en consecuencia.
... ¿Todavía no me sigues en twitter.com/antonio_ramosga?
Más información sobre EMV | www.emvco.com
No hay comentarios:
Publicar un comentario