Molte persone sono sorprese nell'apprendere che EMV non crittografa il PAN. Ma in realtà, una volta che l'EMV è stato completamente implementato, la crittografia del PAN diventerebbe inutile e sarebbe un residuo come un debito tecnico degli attuali protocolli insicuri. EMV non ha bisogno di iniziare con quel bagaglio.
Il motivo per cui EMV non richiede la crittografia del PAN è che il PAN rappresenta solo Identità ; non rappresenta Autenticazione del chip (questo è il lavoro del messaggio ARQC), e non rappresenta la Autorizzazione del titolare della carta per utilizzare la carta (questo è il lavoro del PIN). Finché il chip è autenticato e l'utente fornisce l'autorizzazione, la transazione è protetta. L'identità non deve essere tenuta segreta.
Nell'odierno mondo non-EMV, identità, autenticazione e autorizzazione sono tutte e tre combinate sulla banda magica invariabile. La copia dei dati della striscia consente di clonare una scheda, quindi è necessaria la protezione dell'intera striscia. Usiamo le parole "furto d'identità" così le persone pensano di rubare la nostra identità, ma in realtà, stanno rubando tutti e tre gli attributi dalla carta allo stesso tempo.
Con EMV, il PAN deve ancora fornire l' identità della carta. Il resto dei dati EMV non include informazioni sufficienti per identificare altrimenti la carta, né dovrebbe. L'identità può anche essere resa pubblica, a condizione che non possa essere utilizzata da sola.
In EMV, il crittogramma ARQC funge da firma dal chip, autentica i messaggi originati dal chip associato al PAN. La crittografia e l'archiviazione sicura sui chip assicurano che un ARQC non possa essere falsificato. Poiché l'ARQC è transazionale, ogni richiesta è diversa; gli attacchi di replay non funzionano fintanto che la banca assicura che gli ARQC duplicati vengono rifiutati.
Il PIN funge da addebito per l'autorizzazione dell'utente . Il PIN dice al chip "hey, il tuo utente ha appena dimostrato che vuole che questa transazione vada a buon fine." Spetta alla tua banca se vogliono che la tua carta richieda un PIN; potrebbero essere felici solo facendoti firmare per la transazione.
[Si noti che la maggior parte delle banche degli Stati Uniti ha optato per Chip e Signature invece di Chip e PIN. L'unico vantaggio di Chip e PIN è che protegge la tua carta dall'uso non autorizzato in caso di smarrimento o furto; ma in realtà, FDIC limita già la tua responsabilità personale a $ 50 , e quasi tutte le banche rinunciano quello a $ 0 nel caso di una carta persa o rubata. E dal momento che le banche fanno soldi ogni volta che addebiti qualcosa, preferiscono accettare il rischio di frode (che sono già obbligati a prendere per legge ) piuttosto che arrecare disturbo ai loro clienti facendoli digitare un PIN. Credono che i clienti con problemi troveranno un modo più semplice per pagare, tagliando i loro profitti.]
Ma siamo molto lontani dal lancio completo di EMV. Lo spostamento di responsabilità di ottobre 2015 è stato creato come incentivo per i rivenditori statunitensi a modificare l'elaborazione delle transazioni per utilizzare l'EMV, ma pochi rivenditori statunitensi accettano effettivamente le chip card a partire da aprile 2016. Nuovi terminali, nuovi software e nuove carte in 6 milioni di rivenditori , 11.000 banche e miliardi di carte richiedono molto tempo e denaro. E nessuno ha ancora creato una soluzione universalmente accettata per proteggere le transazioni di Card Not Present (CNP), come prenotazioni alberghiere, acquisti sul Web, ecc. Quindi, finché EMV non sarà completamente implementato e il problema CNP risolto, sarà ancora a carico dei commercianti e dei terminali POS per proteggere e crittografare i PAN e i dati di autorizzazione sensibili. Per ora, questo include PAN.