持卡人（或消费者）是支付卡世界“四角”模式中的一角。在这里，我们简要介绍与持卡人相关的支付安全。

持卡人的定义

持卡人被定义为“用于购物的持卡人”。这通常是金融机构的客户，称为发行人。发卡行发行一张或多张支付卡（信用卡、借记卡或预付卡）并将其交给持卡人。但是，持卡人不拥有支付卡，它仍然是发行人的财产（通常，发行人是银行）。 

与卡关联的金融账户称为“持卡人账户”。这是持卡人在金融机构开立的账户，但可能是属于他人或非自然人（公司）的金融账户。

持卡人安全

持卡人的安全是支付领域几乎所有利益相关者最关心的问题。显然，必须为持卡人的安全提供保证和保险是发卡机构以及主要卡品牌（也称为卡计划）的首要关注点。 

获得使用支付卡（实体卡或虚拟支付卡）的授权后，持卡人可以访问全球许多支付终端并购买各种商品和服务。一张小型塑料支付卡可以让持卡人提取大量现金和/或购买昂贵的商品和服务。因此，该支付卡可能成为犯罪分子的理想目标。它比珠宝、汽车甚至大量现金更容易被盗，而这些现金更容易保持安全。

支付安全和持卡人：简要历史概述 

开端 

最初，支付卡的安全性相对较低，这也是为少数银行客户保留的。银行员工或店主手动执行安全检查。在 70 年代，支付卡的使用变得计算机化，并可供更多银行客户使用。

由于需要自动化处理交易，在 80 年代的塑料卡中添加了磁条。这种磁条没有提供实际的安全性，仅用于以电子方式存储有关卡的一些信息。任何人都可以使用印在他们支付卡上的信息，并通过电话或当时的原始计算机网络进行订购。 

为了防止支付卡被盗和冒充合法持卡人，银行利用 Mohamed Atalla（Atalla 公司的创始人，他是通常被称为“PIN 之父”。） 

针对信用卡欺诈的犯罪网络遍布全球，并开始克隆银行卡并拦截未受保护的 PIN。这迫使支付行业面对事实，转向更安全的支付卡系统，以更好地保护持卡人。 

EMV 和基于芯片的支付卡

由于法国发明家罗兰·莫雷诺等人的工作，90年代基于芯片的支付系统出现在法国和德国。与“传统的”基于磁条的支付卡相比，它提供了一个完全独特的系统。通过复杂而强大的加密协议，包括使用公钥加密，可以确保对持卡人的保护。

几年之内，支付方案创建了EMV联盟（Europay-MAStercard-Visa），直到今天，该联盟仍然主导着必须设计基于芯片的支付卡的方式。 

使用基于芯片的支付卡，存在持卡人的安全性，因为银行以编程方式确保其发行的卡的完整性和真实性并将其绑定到持卡人。他们通过加密协议和支付网络上非常安全的 PIN 传输来实现这一点。

此外，EMV 芯片可保护持卡人免受其卡的克隆，因为所使用的芯片非常安全，并且包含防止克隆的系统，例如安全受保护的存储器或物理不可克隆功能 (PUF)。

然而，到目前为止，PIN 仍然是持卡人保护其支付卡的唯一方式。一旦 PIN 码被泄露，所提供的安全性就会受到威胁。 

因此，银行 PIN 必须保持绝对机密，并且在 PIN 转换过程中从 PIN 键盘到发卡银行的“端到端”加密，不会中断或仅在超安全 HSM 内短暂停留。

最近，EMVco 一直在考虑引入生物识别作为持卡人身份识别的另一种手段，以保证持卡人的安全。然而，这项工作仍在进行中。在不久的将来，还可以考虑在 EMV 交易期间向手机发送一次性密码等其他技术。 

无卡 (CNP) 支付案例

传统上，在无卡支付领域几乎不可能实现真正的持卡人安全。如今，此类交易大多通过台式计算机或移动设备在线完成，在支付处理时不可能实际出示卡。支付卡进行“在线”交易所需的数据量非常少。没有真正的方法可以简单地识别持卡人，因为 PIN 识别不适用于 CNP。 

因此，犯罪分子在此类交易中冒充和引诱持卡人并不是极其困难的。不幸的是，持卡人支付卡数据经常因为在线数据库的泄露或非法修改的支付终端而泄露。

EMV 正在考虑为 CNP 领域的持卡人带来更多的安全性（令牌化或 CNP 的 EMV）。但是，它仍然是一项正在进行的工作。 

此外，许多 CNP 交易现在通过多因素身份验证（通常使用通过 SMS 发送或推送到移动设备的一次性密码）来保护。作为一般规则，移动设备现在通常用于为持卡人提供更高的安全性。

参与持卡人安保和安全的组织

涉及持卡人安全的主要组织有：

• PCI 安全标准委员会
  

• PCI-PIN 规范规定了持卡人 PIN 应如何加密、传输、存储和处理 

• PCI-DSS 规定在线系统应如何安全地存储和处理持卡人的数据

• EMVco

• VISA持卡人信息安全计划 

• 针对持卡人的特定发卡银行和卡计划的保护计划

结论

对持卡人的保护涉及多层安全性。虽然由于使用了复杂的加密协议和安全芯片，卡本身的保护非常强大，但“在线”交易 (CNP) 仍然是弱点，很难提供完全的安全性。然而，为了更好地保护持卡人，使用手机发送临时 TAN 码和生物特征认证越来越多地用于提供强大的多因素认证。 

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• PCI 合规变得简单：5 种可以提供帮助的技术

• PCI DSS 4.0 合规性已迫在眉睫

• 数据脱敏和数据加密一样吗？

• EMV个性化密码要求

• EMV 支付安全 - 收单机构