Заправочные станции спешат внедрить считыватели чип-карт на заправочных колонках
Заправочные станции по всей стране спешат модернизировать заправочные колонки, чтобы они могли принимать кредитные и дебетовые карты с чипами после того, как Visa Inc. и Mastercard Inc. отклонили запрос на отсрочку надвигающегося крайнего срока для завершения работа.
Начиная с октября операторы заправочных станций в США, которые не модернизировали свои насосы, будут нести ответственность за любое мошенничество с картами, которое происходит на их предприятиях. По словам Джошуа Смита, исполнительного директора компании Gas Pos, которая продает системы для торговых точек, отрасль «крайне не готова».
«Не хватает техников, чтобы делать рассрочку», — сказал Смит. «Недостаточно запасов. Даже если бы подрядчиков было достаточно, колонок не хватило».
Большинство ритейлеров начали модернизировать платежные системы в 2015 году. Это был первый из серии крайних сроков, установленных Visa и Mastercard, поскольку Соединенные Штаты стремились догнать страны Европы и Азии, которые уже давно внедрили более безопасные карты с чипом.
Для розничных продавцов топлива крайний срок в конечном итоге был перенесен на пять лет, поскольку отрасль столкнулась с затратами более 3,9 долларов США.миллиардов, чтобы сделать работу.
В опросе 2019 года, проведенном Conexxus, некоммерческой организацией, представляющей магазины у дома, почти 70% респондентов, владеющих магазинами у дома, заявили, что они не модернизировали внешние насосы до технологии чип-карт, известной как EMV.
Немногие компании производят необходимые насосы. Те, кто это делает, такие как Dover Corp. или Gilbarco Veeder-Root из Fortive Corp., заявили, что ожидают увеличения продаж раньше установленного срока. После установки оборудования топливные компании должны сертифицировать программное обеспечение насоса.
Согласно данным, собранным Conexxus, розничные продавцы топлива, которые не модернизируются, могут столкнуться с затратами до 201 000 долларов на магазин в течение следующих семи лет. Группа ожидает, что только в 2020 году топливная отрасль пострадает от мошенничества с картами на сумму 451 миллион долларов.
«В октябре нас ждет сюрприз, — сказала в интервью Лаура Таунсенд, старший вице-президент Merchant Advisory Group. «Люди, которые пытались перейти на EMV, не смогут этого сделать из-за обстоятельств, находящихся вне их контроля. Но они понесут значительный рост потерь либо в октябре, либо вскоре после этого, потому что мы знаем, что мошенники найдут самое слабое звено».
Более половины участников опроса Conexxus указали на отсутствие доступного программного обеспечения из-за неполного развертывания технологии микросхем, а около 15% указали на нехватку аппаратного обеспечения. Индустрия круглосуточных магазинов обвиняет Visa и Mastercard в том, что они не посоветовались с ними при установлении сроков.
«Процесс установления стандартов платежей должен быть более открытым», — сказала Анна Рэди Блом, директор по связям с государственными органами NACS, торговой ассоциации индустрии магазинов шаговой доступности. «Розничные торговцы и технологические компании должны были с самого начала участвовать в планировании и принятии решений по чиповым картам.
Если бы они были такими, а не Visa и Mastercard, принимающие все решения, не понимая их полностью, мы бы не оказались в этой неразберихе».
Visa и Mastercard не хотят давать заправочным станциям больше времени. Сети недавно отклонили просьбу о задержке со стороны Merchant Advisory Group, которая помогает ритейлерам решать проблемы с платежными системами.
«Мы считаем, что распространение технологии чипов на топливные насосы является важным шагом для защиты предприятий и потребителей, которые хотят платить безопасно и удобно», — говорится в заявлении Visa. Mastercard заявила, что наблюдает хорошее внедрение технологии EMV и сокращение мошенничества.
Visa и Mastercard начали призывать к переходу на чипы много лет назад, чтобы предотвратить мошенничество с использованием поддельных карт. Базовая технология, названная EMV в честь основателей Europay, Mastercard и Visa, генерирует новые коды для каждой транзакции, а информация на магнитных полосах постоянна и может быть скопирована и сохранена хакерами.
Более 3,7 миллиона продавцов — или 80% витрин магазинов США — в настоящее время принимают карты с чипом. По данным Visa, с 2015 года количество денег, которые продавцы потеряли из-за мошенничества с подделками, сократилось на 62%.
По мере того, как заправочные станции начинают переходить на новую технологию, они также сталкиваются с растущей угрозой со стороны хакеров, стремящихся воспользоваться преимуществами одной из последних отраслей, которая остается уязвимой для мошенничества с использованием поддельных карт.
«Пока есть считыватели магнитных карт, продавцы ТРК становятся все более привлекательной мишенью для продвинутых злоумышленников», — говорится в бюллетене Visa, опубликованном в ноябре. Этим продавцам рекомендуется внедрить прием чипов вместе с другими мерами безопасности, такими как шифрование и информирование сотрудников о фишинговых атаках.
Суран пишет для Bloomberg.
Вот почему одного EMV недостаточно для защиты транзакций топливных насосов
Шифрование, стратегия
Растон Майлз 
000-05:00″> 15 февраля 2022 г. сочетание технологии чипа EMV и двухточечного шифрования. (Фото Джастина Салливана/Getty Images)
Число кибератак на заправочные станции и магазины шаговой доступности (C-stores) за последние несколько лет резко возросло. Промышленность становится все более привлекательной целью из-за разнообразной информации о клиентах, хранящейся в системах торговли топливом, и многочисленных точек приема платежей.
Не помогает и то, что топливная промышленность медленно внедряет технологии и методы обеспечения безопасности платежей — отчасти из-за сложной платежной инфраструктуры. В 2020 году 40 % компаний, занимающихся переработкой и переработкой нефти и газа, сообщили о попытках взлома данных или об их успешной утечке, но только 7 % обновили свои письменные политики безопасности.
По состоянию на апрель 2021 года заправочные станции и магазины категории C в США должны соответствовать технологиям Europay, Mastercard и Visa (EMV). Это означает, что заведения должны использовать системы, которые принимают карты EMV со встроенным чипом для обеспечения безопасности платежей.
Но в связи с растущим числом утечек данных и компрометации транзакции в этих учреждениях не всегда так безопасны, как могут подумать люди.
Комплексная инфраструктура платежей за топливо
С тех пор, как почти 30 лет назад была введена инфраструктура платежей за нефть и ее технология, отрасль медленно развивалась вместе с законодательством. Обработка и маршрутизация транзакций стали более сложными, чем в других отраслях, по нескольким причинам:
- Больше типов карт: Топливные платежные системы принимают несколько типов карт, включая подарочные карты, частные карты, карты Fleet и карты лояльности.
- Больше точек приема платежей: У большинства продавцов топлива есть сопутствующий С-магазин, который создает различные точки оплаты — от бензоколонки, автомойки и покупок в магазине до мобильного заказа или киоска.
- Больше вовлеченных игроков: Есть несколько заинтересованных сторон, которые делают возможными транзакции на заправочных станциях (например, эмитенты карт, поставщики платформ торговых точек, поставщики топливных контроллеров и производители насосов).
Сочетание этих факторов затрудняет управление транзакциями в пути, особенно без доступа к полным данным платежной карты в открытом виде. Это (частично) причина того, что отрасль не спешит внедрять технологии безопасности платежей.
В 2012 году основные карточные ассоциации, такие как Mastercard, American Express и Visa, объявили, что заменят карты с магнитной полосой картами с чипом EMV. В связи с пандемией COVID-19 крайний срок соответствия EMV был продлен до апреля 2021 года для заправочных станций и C-магазинов. Но отрасль не спешит переходить на соответствие требованиям EMV — даже сразу после крайнего срока менее половины крупных продавцов топлива и средних магазинов полностью внедрили EMV во всех франшизах.
До принятия EMV мандата заправочные станции и C-магазины должны были соблюдать только Стандарты безопасности данных индустрии платежных карт (PCI DSS). Это означает, что они должны шифровать данные магнитной карты при передаче, но информация не сохраняется в платежной системе.
Но нарушения, происходящие на насосе (где клиент вводит платежную информацию) и в компьютерах бэк-офиса (где платежные данные хранятся или обрабатываются), говорят нам, что это шифрование не может происходить так часто, как мы думаем.
EMV: хороший шаг, но недостаточный
Хотя EMV представляет собой движение в правильном направлении, он не шифрует три важных элемента данных: основной номер счета карты; имя держателя карты; и срок действия карты. Таким образом, хотя многие организации считают, что они соответствуют требованиям, соответствие стандарту PCI-DSS неуклонно снижается, упав с 36,7% в 2019 году до 27,9% в 2020 году. Точечное шифрование (P2PE) может заполнить этот пробел в безопасности. На самом деле Visa распространила предупреждение о безопасности в 2019 году.призывая продавцов топлива использовать P2PE на заправках.
P2PE доступен уже почти 10 лет, но многие поставщики ошибочно обозначают свои решения как P2PE, когда на самом деле они представляют собой сквозное шифрование (E2EE).
Решение E2EE обеспечивает те же функции, что и P2PE, но E2EE не оценивается PCI. Использование проверенного PCI решения P2PE не только может помочь обнаружить несанкционированное вмешательство и обеспечить безопасность данных ваших клиентов, но также устраняет необходимость в дорогостоящих и трудоемких оценках PCI-DSS.
Сектор автозаправочных станций и потребительских магазинов движется в правильном направлении к более безопасным платежам, но есть возможности для улучшения.
