Az előbbi, alapvetően a tanúsítás (gyártási engedély) megszerzéséhez szükséges biztonsági auditok alapfilozófiájában bekövetkezett változás. Míg korábban a mágnescsíkkal rendelkező kártyák gyártásához csak a Fizikai Biztonsági tanúsítások megléte volt alapfeltétel, addig az új előírásoknak megfelelően ezen kártyák esetében is kötelezővé vált a Logikai Biztonsági tanúsítás megszerzése. Ez alapvető változás, mivel eddig a Logikai Biztonsági Követelményrendszer kizárólag az EMV chippel ellátott kártyák gyártásának logikai biztonsági követelményeire vonatkozott.
Az információtechnológiai rendszerek alaposabb ellenőrzése az ezzel kapcsolatos követelmények változásában ragadható meg. A korábbi követelményrendszer kisebb hangsúlyt helyezett olyan, mára kulcsfontosságúvá váló témakörökre, melyek alapvetően befolyásolhatják egy bankkártya biztonságát. Ennek eredményeképpen az audit szempontjai között kiemelt szerepet kapott a kiszolgáló és közreműködő informatikai rendszerek kontrollja, az adatáramlás és adatkezelés biztonságának ellenőrzése, a humán kockázatok felmérése, valamint a logisztikai és szállítási folyamatok szigorúbb és alaposabb vizsgálata.
A MasterCard és Visa követelmények is alátámasztják, hogy a kártyagyártással foglalkozó biztonsági nyomdák számára alapvető stratégiai jelentőséggel bírnak az információ- és adatbiztonságot elősegítő IT fejlesztések.
Chip nélkül már nem az igazi
A minap többek között a Napi Gazdaság is hírül adta, hogy a MasterCard Europe Budapesten mutatta be új, kijelzővel és érintőgombokkal rendelkező bankkártyáját. Bár valóban újszerű megoldásról van szó, számunkra még is legfontosabb eleme ennek a plasztiknak, hogy chippel működik, mivel a jóval kevésbé biztonságos mágnescsíkos megoldás már értelemszerűen nem képes kiszolgálni egy ilyen rendszert. A chip nyújtotta magasabb fokú biztonság ma – amikor rendre felröppennek bankkártya hamisítással, klónozással kapcsolatos hírek – egyre fontosabbá válik mind a kártyakibocsátók, mind a kártyahasználók számára. Az illetéktelenül megszerzett adatok nemcsak a bankkártya birtokosának okoznak kárt, hanem természetesen a kibocsátó pénzintézetnek is, akik a károsultak számára jóváírják a csalók által okozott kárt. A kártyahasználat növekvő népszerűségének fenntartása érdekében egyre szigorúbb biztonsági előírásokat követelnek meg a legnagyobb kibocsátó szervezetek, valamint, ahogy az a fenti hírből is kitűnik, folyamatosan fejlődik a kártyák esetében alkalmazott technológia.
Annak ellenére, hogy a mágnescsíkkal rendelkező kártyák gyártásának auditja folyamatosan szigorodik (lásd keretes írásunkat lent), az ezekben alkalmazott technológia igencsak behatárolt, és közel sem jelent akkor biztonságot, mint az újabb chippel ellátott bankkártyák esetében alkalmazott rendszer. Az ún. EMV (Europay Mastercard Visa) kártyák a beültetett chipben tárolják a fizetéshez és azonosításhoz szükséges adatokat. Az itt alkalmazott technológia, az azt körülvevő kiszolgáló rendszerek bonyolultsága és a korábbinál sokkal magasabb szintű ellenőrizhetőség biztosítja az adatok védelmét és a visszaélés lehetőségének csökkenését. A kártyabirtokosok magasabb szintű kiszolgálását és biztonságát teszi lehetővé, hogy az EMV kártyák mind az adatokhoz való hozzáférés, mind az autentikáció (valamely művelet elvégzését megkísérlő személy illetékességének és jogosultságának vizsgálata), mind az adatok védelme tekintetében egy jóval magasabb technológiai szintet képviselnek.
Az EMV technológia célkitűzéseinek létjogosultságát és folyamatos fejlődését támasztja alá, hogy a chip biztonságát és használhatóságát folyamatosan fejlesztik. A chipes kártyák megjelenésekor a technológia az adatok tárolási helyének, azok hozzáférhetőségének megváltozásában, a kiszolgáló rendszerek üzemelési, technológiai, biztonsági fejlődésében bírt kiemelt jelentőséggel. A mágnescsíkhoz képest a chip fejlesztési lehetőségei jóval szélesebb skálán mozogtak. A fejlesztések folyamatosságában a chip gyártók is érdekeltté váltak, mivel a piaci igények megkövetelték a minél biztonságosabb és minél szélesebb körben felhasználható eszközök kialakítását. A technológia kiindulási állapotát ún. „statikus adat autentikáció” jelentette, mely a mágnescsíkhoz képest nagyobb biztonságot és funkcionalitást tett lehetővé.
Mára már az EMV technológián belül is történtek nagyobb biztonságot jelentő fejlesztések, illetve tovább bővítették az alkalmazási lehetőségeket. Ennek a fejlődésnek az eredménye egy új, a korábbinál még biztonságosabb chip modul megjelenése, mely hozzájárul a magasabb biztonsági szint eléréséhez. A korábbi „statikus adat autentikációt” felváltotta az ún. „dinamikus adat autentikáció” (DDA), mely az adatkezelés terén hozott jelentős változásokat. A dinamikus autentikációt az újabb chip típusban megjelenő „kriptoprocesszor” (titkosítást végző eszköz) szolgálja ki, mely a kártya használata során végbemenő tranzakciók bizalmasságát, sérthetetlenségét, hitelességét és biztonságát emeli magasabb védelmi szintre. A processzor előnye továbbá, hogy korlátozza, illetve csak szigorú ellenőrzését követően teszi lehetővé a chip adattartalmához való hozzáférést.
A DDA-val számos platform esetén lehetőség nyílik az ún. kibocsátás utáni (post-issuance) kártya-, illetve alkalmazás kezelésre. A technológiában rejlő funkciók, mint amilyen a risk management paraméter állítás, on-line/off-line limit beállítás, PIN csere stb. minden esetben megkövetelik a chip és a távoli rendszer közti erős autentikációt, valamint a biztonságos csatorna kiépítését. A „kriptoprocesszor” lehetővé teszi, hogy a megfelelő utasítások és tranzakciók a korábbinál gyorsabban, biztonságosabban kerüljenek végrehajtásra. A dinamikus adat autentikáció esetében a chip adattartalmának érzékeny része a kommunikáció egésze során vagy nem hozzáférhető, vagy titkosított, és minden egyes tranzakció külön autentikációval, a chipben generált új kulcsok segítségével történik.
Az Állami Nyomda az elmúlt időszakban számos költséges technikai, technológiai fejlesztést hajtott végre, melyek eredményeképpen sikeresen megfelelt a megváltozott követelményrendszereknek. A Társaság ismételten megfelelt mindkét tanúsító szervezet által végzett auditon, azaz immár több éve rendelkezik MasterCard és VISA kártyagyártói engedélyekkel. A teljes körű, auditált védelmi rendszer képessé teszi az Állami Nyomdát VISA és Mastercard EMV chipes bankkártyák szállítására.
A világ két legnagyobb bankkártya kibocsátó szervezete 2007-ben közzétette új Logikai Biztonsági Követelményrendszerét a világ kártyagyártói számára. Az előírások rendszerének változása mind a MasterCard, mind a Visa esetében hasonló alapelvek mentén azonos területekre fókuszált. A módosítások két kiemelt célja a mágnescsíkos bankkártyák auditjának kibővítése, illetve az informatikai rendszerek szigorúbb vizsgálata volt.