KR20160077171A - 결제 데이터의 보안 프로비저닝, 전송 및 인증을 위한 방법, 디바이스 및 시스템 - Google Patents
결제 데이터의 보안 프로비저닝, 전송 및 인증을 위한 방법, 디바이스 및 시스템 Download PDFInfo
- Publication number
- KR20160077171A KR20160077171A KR1020167014095A KR20167014095A KR20160077171A KR 20160077171 A KR20160077171 A KR 20160077171A KR 1020167014095 A KR1020167014095 A KR 1020167014095A KR 20167014095 A KR20167014095 A KR 20167014095A KR 20160077171 A KR20160077171 A KR 20160077171A
- Authority
- KR
- South Korea
- Prior art keywords
- card
- server
- dcvv
- mst
- track data
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 76
- 230000005540 biological transmission Effects 0.000 title abstract description 17
- 238000012546 transfer Methods 0.000 claims abstract description 10
- 238000010295 mobile communication Methods 0.000 claims description 55
- 238000012795 verification Methods 0.000 claims description 28
- 238000013475 authorization Methods 0.000 claims description 25
- 230000004044 response Effects 0.000 claims description 9
- 238000003860 storage Methods 0.000 claims description 9
- 238000012545 processing Methods 0.000 claims description 8
- 230000000977 initiatory effect Effects 0.000 claims 2
- 230000036962 time dependent Effects 0.000 claims 2
- 238000003672 processing method Methods 0.000 claims 1
- 230000003068 static effect Effects 0.000 abstract description 24
- 230000008859 change Effects 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 13
- 238000004891 communication Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 11
- 230000008569 process Effects 0.000 description 8
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 4
- 238000010200 validation analysis Methods 0.000 description 4
- 238000013500 data storage Methods 0.000 description 3
- 238000004049 embossing Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000001360 synchronised effect Effects 0.000 description 3
- 241001417527 Pempheridae Species 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/08—Payment architectures
- G06Q20/20—Point-of-sale [POS] network systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/32—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
- G06Q20/327—Short range or proximity payments by means of M-devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/36—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/36—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
- G06Q20/363—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes with the personal data of a user
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3823—Payment protocols; Details thereof insuring higher security of transaction combining multiple encryption tools for a transaction
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/385—Payment protocols; Details thereof using an alias or single-use codes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4018—Transaction verification using the card verification value [CVV] associated with the card
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/409—Device specific authentication in transaction processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/409—Device specific authentication in transaction processing
- G06Q20/4097—Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
- G06Q20/40975—Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
Landscapes
- Business, Economics & Management (AREA)
- Engineering & Computer Science (AREA)
- Accounting & Taxation (AREA)
- Physics & Mathematics (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Finance (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Storage Device Security (AREA)
Abstract
결제 네트워크 또는 프로세서와 같이 카드 발행자에게 인프라스트럭쳐를 변경하게 하도록 요구하지 않고 카드 발급자 또는 대행(stand-in) 서비스 제공자에 의해 인증될 수 있는 동적 카드 데이터로 사용자의 기존의 정적 결제 카드 데이터를 안전하게 전환하는 디바이스, 시스템 및 방법이다. 동적 데이터는 카드 발급자로부터 직접 또는 스와이퍼 타입 디바이스를 사용하여 자기 보안 전송 디바이스(MST)로 프로비저닝될 수 있다. 또한, 디바이스, 시스템 및 방법은 카드 발급자에 의해 MST로 동적 카드를 안전하게 프로비저닝하기 위해 개시된다. 이 동적 카드는 거래 동안 더 높은 레벨의 보안을 제공하도록 동적-CVV 방법론을 사용하여 MST로부터 POS(point of sale)로 변조된 일회용 카드 트랙 데이터를 전송하는데 사용될 수도 있다.
Description
본 개시는 자기 스트라이프 데이터 스토리지(magnetic stripe data storage) 및 그것의 보안 전송과 관련된다.
자기 스트라이프 데이터(magnetic stripe data)의 전송은, 결제, 신원 확인(ID; identification), 및 액세스 컨트롤 기능을 가능하게 하도록, 주로 자기 스트라이프 카드를 자기 스트라이프 판독기(MSR; magnetic stripe reader)에 스와이핑(swiping)함으로써 이루어져 왔다. 스마트폰 및 태블릿에서의 모바일 지갑(Mobile wallet) 어플리케이션은, 기존의 판매 시점(POS: point of sale) 디바이스 또는 MSR을 갖는 다른 디바이스와 상호 작용하는데 어려움이 있었다. 비접촉식 판독기(contactless reader)를 사용 가능한 (예를 들어, 전형적으로 ISO-14443 표준을 사용한) POS 단말은 비접촉식 또는 근거리 무선 통신(NFC: near field communication) 결제를 수용할 만큼 편재되지 않았다(not ubiquitous). 자기 스트라이프 카드만을 수용하는 수백만의 가맹점 POS 디바이스(또는 도어락)을, NFC 폰 또는 바코드와 같은 다른 전송 수단과 바로 상호 작용하도록 교체하기 위해서는 비용이 들고 시간이 걸릴 수 있다.
또한, 금융 결제 카드는 Primary Account Number 또는 PAN이라 불리는 카드 번호를 포함하고, 카드 번호의 목적은 결제가 이루어지는 계정(account)을 식별하기 위한 것이다. 또한, 카드는 만료 일자를 갖고, 만료 일자는 카드가 만료되는 때를 나타낸다. 대부분의 카드는 (또한 CVV1로 알려진) 암호로 발생된 카드 확인 값(Card Validation Value)을 자기 스트라이프 데이터 내에 갖고, 카드 확인 값은 유효한 카드(valid card)가 유효한 카드의 PAN 또는 만료 일자 정보로부터 생성되는 것을 방지한다. 통상적으로, 자기 스트라이프가 마모되고 발행자가 무기한으로 카드가 액티브인 것을 원치 않으므로, 카드는 약 2년 내지 3년 후에 교체된다.
현재 PAN은 계정을 식별하는데 사용될 뿐만 아니라, (카드가 POS 단말에 물리적으로 스와이핑되는 대면(CP: Card-Present) 거래와 반대되는 것으로서) 비대면(CNP: Card-Not-Present) 거래에서 금액을 인가하는데(authorize) 사용될 수 있고, CNP 거래의 압도적인 대부분은 인터넷 거래 뿐만 아니라 전화 주문 및 메일 주문을 포함한다. 카드 상의 PAN, 만료 일자 및 이름의 간단한 지식은 계정에 대하여 CNP 구매의 금액을 청구하기에 충분하다. 이 기술분야에 알려진 것으로서, CVV-2는, 소비자가 그/그녀의 소유의 카드를 가졌다는 것을 검증하도록, 카드 또는 서명 스트립(strip) 상에 인쇄되지만, 자기 스트라이프 상에 인코딩되지 않은 3-자리 또는 4-자리 값이다. 또한, 이-커머스 사이트 중 큰 비율이 거래를 위해 CVV-2를 요구하지만, 다수는 요구하지 않는다.
PAN 및 만료 일자는 비밀을 유지하기 어렵다: PAN 및 만료 일자는 카드의 전면에 인쇄되고 카드의 자기 스트라이프 데이터 또는 칩 데이터에 포함된다. POS 거래 동안 자기 스트라이프 또는 칩은 단말에 의해 판독되고 (PAN, 만료 일자 및 CVV2를 포함하는) 자기 스트라이프 또는 칩의 데이터는 리테일러(retailer)의 시스템을 통해 매입자(acquirer)로 전송되고 그리고 카드 발행자로 전송된다. PAN은, 만료 일자보다 적게, 리테일러 시스템에 의해 다수의 기능을 위해 사용되고 가려지지 않을 수 있다.
자기 스트라이프 또는 칩 카드 데이터는 전달 중이든지 메모리 내에 있는 동안이든지 데이터 도난의 타깃이다. 정적인 상태에서, 자기 스트라이프 데이터는 인터셉션(interception), 복제 및 다수의 공격의 대상일 수 있다. PAN 및 만료 일자가 쉽게 추출될 수 있는 도난된 데이터는 사기(fraudulent) CNP 거래에 사용될 수 있다. 물리적 카드는 PAN 및 만료 일자를 포함하는 자기 스트라이프 트랙 데이터 및 카드 상의 이름을 캡쳐하도록 리테일러 POS 단말에 근접한 판독 디바이스를 둠으로써 또는 카드 상의 자기 스트라이프 데이터를 판독함으로써 복제될(skimmed) 수 있다. 또한, 스니핑 디바이스(sniffing device)는 소매점(retail establishment)에서 수상하지 않은 구매자(unsuspecting shoppers) 의 지갑(purses and wallets) 내의 비접촉식 카드(contectless cards)로부터 트랙 데이터를 훔치는데 사용될 수 있다. 또한, 리테일러 POS 시스템 내의 멀웨어(malware)는 결제 프로세서의 루트에서 카드 데이터를 캡쳐하는데 사용될 수 있다. 전술한 도난된 데이터는 자기 스트라이프 및 스마트 카드(예를 들어, 유로페이, 마스터카드 및 비자 (EMV) 카드) 거래 내의 PAN 및 만료 일자를 포함할 수도 있고, CNP 사기에 사용될 수 있다. 추가적으로, 캡쳐된 자기 스트라이프 데이터는 또한 CVV1을 포함하고, 캡쳐된 온-라인 카드 데이터는 CVV2를 포함할 수 있다. CVV1 및 CVV2 양자의 주된 약점은 CVV1 및 CVV2가 정적(static)이라는 것이다: 한번 습득된 CVV1 및 CVV2는 사기 거래에 사용될 수 있다.
본 개시는 물리적 환경 및 가상의 환경에서 가맹점의 통상적 판매 시점(POS) 단말 및 자기 스트라이프 판독기(MSRs: magnetic stripe readers) 또는 온라인 체크아웃 시스템을 갖는 다른 디바이스로 자기 스트라이프 카드 데이터를 캡처, 저장 및 전송하도록 모바일 지갑 어플리케이션 및 플랫폼과 함께 사용하기 위한 (또한 MST(magnetic secure transmission)로 언급되는) 자기 스트라이프 스토리지 및 전송 디바이스를 수반하는 디바이스, 시스템 및 방법과 관련된다.
또한, 본 개시는 기존의 가맹점 승인 인프라스트럭쳐(acceptance infrastructure)가 POS를 통한 물리적 결제를 위한 것이든지 온라인 체크아웃을 통한 원격 결제를 위한 것이든지 기존의 가맹점 승인 인프라스트럭쳐의 변화 없이, 오직 한번 사용될 수 있고, 사기범에 의해 리플레이될 수 없고, 인증(authentication)을 위해 카드 발행자로 돌아가는 암호를 포함하는 결제 정보를 전달하도록 모바일 디바이스를 레버리징(leveraging)하고 정적 카드 데이터(예를 들어, CVV1 또는 CVV2)를 동적 암호(cryptogram)로 전환하는 디바이스, 시스템 및 방법과 관련된다. 디바이스, 시스템 및 방법은 사용자가 정적 카드 데이터를 각각의 발행자에 의한 인프라스트럭쳐 변화 및 통합 없이 서비스로서 수천의 카드 발행자를 위해 결제 네트워크 또는 프로세서에 의해 인증될 수 있는 동적 일회용 카드 데이터로 자동적으로 전환하도록 한다.
일 측면에 따르면, 동적-CVV(dCVV)로 불릴 수 있는 동적 암호는 카드 결제를 안전하게 하는데 사용된다. 카드가 비대면(CNP: Card-Not-Present) 및 대면(CP: Card-Present) 거래에서 결제를 위해 사용되는 경우, dCVV는 카드 번호(PAN: primary account number), 만료 일자(EXP: expiration or expiry date), 타임스탬프 및 카운터 뿐만 아니라 키(key)와 함께 새롭게(freshly) 발생된다. 암호로 발생된 dCVV는 카드 데이터 및 비밀 키의 지식 없이 발생될 수 없다. 또한, dCVV 각각은 오직 짧은 기간(period of time) 동안 유효하다. 이것은 앞서 모니터링된 거래로부터의 dCVV의 재사용이 인가 에러(authorization error)를 초래할 것이므로 위에서 설명된 리플레잉 공격(replaying attack)을 방지한다.
다른 측면에 따르면, 사용된 확인 알고리즘이 통상적인 자기 스트라이프 CP 거래와 대조적으로 dCVV 거래에 대해 상이하므로, 카드 발행자 또는 대행(stand-in) 서비스 제공자는 dCVV 기술을 사용하는 CP 거래를 구별할 수도 있다. dCVV 거래는 발행자 또는 서비스 제공자에 의해 인식 가능한 먼 장래의(far into the future) 날짜와 동일한 숫자를 갖는 카드 데이터의 EXP를 교체함으로써 식별될 수도 있다. 이는 dCVV 모드에 있는 카드를 인식하도록 편리한 플래그를 카드 발행자에게 제공하는 동안 결제 거래 내의 EXP를 은폐할(obscure) 수 있다. 다른 플래그들은, dCVV 모드를 나타내는데 사용되는 트랙 데이터의 임의 필드(discretionary field) 내의 플래그와 같이, 카드가 dCVV 모드에 있다는 것을 나타내는데 사용될 수 있다. 또한, PAN은 dCVV 카드와 같이 발행자 또는 서비스 제공자의 데이터베이스 내에 등록될 수도 있다.
MST의 영역 내에서 dVV의 컨셉은 또한 CNP 거래에 자연히 적용된다. CNP 거래에서, 모바일 지갑 어플리케이션으로부터 검색되고(retrieved) 동적으로 발생된 3자리 코드(또는 아메리칸 익스프레스 카드의 경우 4자리 코드)는 요청 시간에 동적으로 산출되고, 체크아웃 웹 사이트 또는 어플리케이션에 입력된다. 또한, 모바일 지갑 어플리케이션으로부터 검색되고 입력될 가려진 EXP(masked EXP)는 또한 이것이 dCVV CNP 거래인 것을 나타내는 먼 장래의 날짜를 사용한다. 이 방법에서 원본 CVV-2 및 EXP 양자는 거래를 모니터링하는 공격자로부터 숨겨질(hidden) 수 있다. 또한, CVV 코드가 실시간으로 산출되고, CNP 거래들 사이에서 변화하고, CVV 코드가 짧은 시간 후에 만료되도록 타임 스탬핑되므로, 특정 CNP 거래를 인터셉트하는 것은 공격자를 다른 거래에서 정보를 사용하도록 이끌지 않는다.
카드 발행자 각각에게 그들의 프로비저닝 인프라스트럭쳐의 변경을 요구하지 않고 모바일 사용자를 위해 기존의 정적 카드 데이터를 동적 카드 데이터로 전환하기 위해, 디바이스, 시스템 및 방법은 카드 발행자에게 별개의 원격 모바일 프로비저닝 시스템의 셋업을 요구하지 않고 카드 소지자가 모바일 디바이스를 사용하여 기존의 자기 스트라이프 카드 데이터를 동적 토큰화된 동적 카드 데이터로 효과적으로 전환하도록 한다. 카드 발행자, 발행자의 프로세서 또는 발행자의 결제 네트워크는 MST 전송에서 패키징된 dCVV 또는 온라인 거래를 위한 dCVV2를 인증하도록 프로비저닝 인증 서버(PAS)를 호스팅(host)할 수도 있고, 발행자를 위해 동적 카드 데이터가 인증된 것을 확인하거나, 결제 네트워크가 카드 발행자를 대신하여 인증 서비스(또는 토큰화 서비스)를 할 수 있도록 발행자 또는 발행자의 프로세서로 (결제 네트워크의 경우) 원본 트랙 데이터 또는 원본 CVV2를 확인하고 리턴할 수도 있다. 이는 CP 및 CNP 거래에 대한 보안을 강화하도록 필드 내에 정적 카드 데이터로부터 동적 토큰화된 카드 데이터로의 전환을 극적으로 빠르게 할 수 있다.
장치, 시스템, 및 방법의 실시예들은, 첨부된 도면에 일례로서 설명되어 있으며, 이에 제한되는 것을 의미하지 않고, 첨부된 도면에서 유사한 참조번호는 유사하거나 대응되는 부분을 참조하도록 의도된다.
도 1은 본 개시의 측면들에 따른 시스템의 개요의 기능도이다.
도 2는 본 개시의 측면들에 따른 MST를 초기화하는 동작 방법의 흐름도이다.
도 3은 본 개시의 측면들에 따른 카드를 스와이핑하는 유저에 기반된 정적 카드를 프로비저닝하는 방법의 흐름도이다.
도 4는 본 개시의 측면들에 따른 카드 발행자로부터 정적 카드를 프로비저닝하는 방법의 흐름도이다.
도 5는 본 개시의 측면들에 따른 카드를 동적으로 프로비저닝하는 방법의 흐름도이다.
도 6은 본 개시의 측면들에 따른 카드를 프로비저닝하는 방법의 흐름도이다.
도 7은 본 개시의 측면들에 따른 동적 카드를 프로비저닝하는 방법의 흐름도이다.
도 8은 본 개시의 측면들에 따른 동적-CVV(dCVV)를 수행하는 방법의 흐름도이다.
도 9는 본 개시의 측면들에 따른 dCVV를 수행하는 다른 방법의 흐름도이다.
도 10은 본 개시의 측면들에 따른 카드 데이터의 만료 일자를 변조하는 동작에 대한 도면이다.
도 11은 본 개시의 측면들에 따른 이-커머스(e-commerce) 거래를 수행하는 방법의 블록 흐름도이다.
도 12는 본 개시의 측면들에 따른 MST의 기능적 블록도이다.
도 1은 본 개시의 측면들에 따른 시스템의 개요의 기능도이다.
도 2는 본 개시의 측면들에 따른 MST를 초기화하는 동작 방법의 흐름도이다.
도 3은 본 개시의 측면들에 따른 카드를 스와이핑하는 유저에 기반된 정적 카드를 프로비저닝하는 방법의 흐름도이다.
도 4는 본 개시의 측면들에 따른 카드 발행자로부터 정적 카드를 프로비저닝하는 방법의 흐름도이다.
도 5는 본 개시의 측면들에 따른 카드를 동적으로 프로비저닝하는 방법의 흐름도이다.
도 6은 본 개시의 측면들에 따른 카드를 프로비저닝하는 방법의 흐름도이다.
도 7은 본 개시의 측면들에 따른 동적 카드를 프로비저닝하는 방법의 흐름도이다.
도 8은 본 개시의 측면들에 따른 동적-CVV(dCVV)를 수행하는 방법의 흐름도이다.
도 9는 본 개시의 측면들에 따른 dCVV를 수행하는 다른 방법의 흐름도이다.
도 10은 본 개시의 측면들에 따른 카드 데이터의 만료 일자를 변조하는 동작에 대한 도면이다.
도 11은 본 개시의 측면들에 따른 이-커머스(e-commerce) 거래를 수행하는 방법의 블록 흐름도이다.
도 12는 본 개시의 측면들에 따른 MST의 기능적 블록도이다.
본 문서에서는 장치, 시스템 및 방법의 상세한 실시예들이 개시되나, 개시된 실시예들은 단지 장치, 시스템 및 방법의 예시에 해당하는 것으로 이해되어야 하며, 다양한 형태로 구현될 수 있다. 그러므로, 본 문서에 개시된 특정 기능의 상세는 제한된 것으로 이해되어서는 아니되며, 청구항들의 기초(basis) 및 해당 기술분야의 통상의 기술자에게 본 개시를 다양하게 채용하도록 시사하기 위한 대표적 기초로 이해되어야 한다.
통상적으로, 본 개시는 기존의 결제 승인 인프라스트럭쳐(payment acceptance infrastructures) 상에서 보안 암호화된(cryptographic) 일회용 결제 데이터를 전달하도록 자기 스트라이프 데이터 스토리지 및 보안 전송 디바이스를 레버리징(leveraging)하는 것과 관련된다.
예시의 실시예에 따른 보안 카드 프로비저닝 및 전송에 수반되는 시스템(100)의 개요는 도 1을 참조하여 설명된다. 전체 시스템(100)은 MST(102), 모바일 통신 디바이스(104), 지갑 서버(wallet server)(106), 프로비저닝 및 인증 서버(108), 카드 발행자 서버(110), 매입자 서버(acquirer server)(112), POS(point of sale)(120), 결제 네트워크 서버(122), 프로세서 서버(124)(예: 발행자의 서드 파티 프로세서 서버), 및 (도 12에 도시된) MST(102)의 일부이거나 모바일 통신 디바이스(104) 상에서 지갑 어플리케이션과 단독으로 작동할 수 있는 암호화된 자기 스트라이프 판독기(MSR)(126)를 포함한다. MST(102)는 모바일 통신 디바이스(104)와 접속되거나(interface) 모바일 통신 디바이스(104) 내에 임베디드될(embedded) 수도 있고, 모바일 통신 디바이스(104)는 지갑 서버(106), 프로비저닝 및 인증 서버(108), 카드 발행자 서버(110) 및 매입자 서버(112)와 네트워크(114)를 통해 통신한다. 또한, 지갑 서버(106), 프로비저닝 및 인증 서버(108), 카드 발행자 서버(110), 매입자 서버(112), 결제 네트워크 서버(122) 및 프로세서 서버(124) 각각은 네트워크(114)를 통해 다른 하나와 통신할 수도 있다.
일 측면에서, 지갑 서버(106)는 하나 이상의 데이터베이스(116) 및 사용자 계정(118)을 포함할 수도 있다. 하나 이상의 데이터베이스(116)는 MST(102) 및 사용자 계정(118)의 연관 데이터(association data)를 저장할 수도 있고, MST(102) 및/또는 지갑 서버(106)에 의해 사용되는 하나 이상의 키를 저장할 수도 있다. MST(102)는 이하에서 더 상세히 설명된 것과 같이 사용자 계정(118)에 등록될 수도 있다.
프로비저닝 및 인증 서버(108), 카드 발행자 서버(110) 및 매입자 서버(112)가 본 문서에 개시된 방법이 수행되도록 하는 소프트웨어 및/또는 하드웨어와 같은 하나 이상의 데이터베이스 및 다른 컴포넌트를 포함할 수도 있다는 것이 또한 이해되어야 한다.
설명된 바와 같이, MST(102)는 모바일 통신 디바이스(104)와 연결될 수도 있고 연결이 끊어질 수도 있는 동글(dongle)일 수도 있다. MST(102)는 오디오 포트 및/또는, 예를 들어, USB 포트, 30 핀 또는 9 핀 애플 인터페이스, 블루투스 인터페이스, 근거리 무선 통신(NFC) 및 다른 시리얼 인터페이스를 포함하는, 그러나 이에 제한되지 않는, 다른 타입의 통신 인터페이스를 통해 모바일 통신 디바이스(104)와 통신할 수도 있다. MST(102)가 동글로서 설명된 것과 달리, MST는 블루투스 또는 NFC와 같은 비접촉식 인터페이스를 통해 모바일 통신 디바이스(104)와 통신하는 다른 타입의 주변 디바이스일 수도 있고; 또는 MST(102)는 모바일 통신 디바이스(104)의 일부로서 모바일 통신 디바이스(104)의 내부에 임베디드될 수도 있다.
일 측면에서, 사용자는, 예를 들어, 모바일 통신 디바이스(104) 상에 지갑 어플리케이션을 다운르도 및/또는 설치함으로써 지갑 서버(106) 상에 사용자 계정(118)을 셋업할 수도 있다. 지갑 어플리케이션(104)은 사용자가 비대면(CNP: Card-Not-Present) 및 대면(CP: Card-Present) 거래에 사용 가능한 카드의 리스트를 보기 위한 인터페이스일 수도 있다. 일 측면에서, 사용자는 카드를 고르거나 선택할(choose or select) 수도 있고, 정적 또는 동적-CVV(dCVV) 모드에서 MST(102)를 사용하여 카드에 대응하는 카드 데이터(예를 들어, 카드 트랙 데이터)를 전송할 수도 있다. 유사하게, CNP 거래를 수행하는 경우, 사용자는 동적으로 산출된 만료 일자(EXP) 및 CVV-2를 볼 수도 있고 dCVV CNP 거래를 수행하기 위해 체크아웃 웹 형식을 채우도록 만료 일자(EXP) 및 CVV-2을 사용할 수도 있다.
또한, 사용자는 사용자 계정 웹 포탈에 접근함으로써 네트워크(114)와 연결된 컴퓨터를 사용하여 사용자 계정(118)을 셋업할 수도 있다. 사용자 계정(119)을 셋업하기 위해, 사용자는 사용자 이름, 패스워드 및 개인 PIN을 특정할 수도 있다. 패스워드는 모바일 통신 디바이스(104) 상에서 지갑 어플리케이션에 로그인하는데 사용될 수도 있다. 사용자가 로그인된 경우, 개인 PIN은 지갑 어플리케이션을 언락(unlock)하는데 뿐만 아니라 지갑 어플리케이션의 결제 카드 섹션에 진입하는데 사용될 수도 있다.
사용자는 (본 문서에서 IDMST로 또한 언급되는) MST(102)의 전역 고유 식별자(GUID: globally unique identifier)를 특정함으로써 사용자 계정(118)에 MST(102)를 선택적으로 추가할 수도 있다. (오직 사용자만 알고 있는) PIN은 MST(102) 상에 저장된 임의의 카드 데이터를 동작하도록 MST(102)로 인증하는데 사용될 수 있다. PIN의 사본은 또한 지갑 서버(106)에 저장될 수도 있고 이하에서 기술된 것과 같이 사용될 수도 있다. PIN-기반의 인증을 사용하는 MST(120)의 동작은 네트워크(114)를 통해 지갑 서버(106)로 연결된 모바일 통신 디바이스(104)로써 또는 모바일 통신 디바이스(104) 없이 행해질 수 있다. 이는, 네트워크 연결이 존재하지 않는 경우에도, MST(102)가 MST(102) 상에 저장된 카드 데이터를 활용하기 위해 동작되도록 허용할 수 있다.
MST(102)는 제조 시에 처음의 로드(load)에 의해, 사용자 계정(118)을 셋업한 후 무선 통신 네트워크를 통해 로딩함으로써, 그리고/또는 모바일 지갑 어플리케이션에 의해 유발된(prompted) 암호화된 MSR을 사용하여 그/그녀 소유의 카드 데이터를 직접적으로 MST(102)로 로딩하는 소비자에 의해 자기 스트라이프 카드 데이터를 저장할 수 있다. MST(102)는 (변조 없이 원본 데이터를 전송하는) 정적 모드 및 (데이터의 일부가 전송 중 마다 동적으로 산출되는) dCVV 모드에서 자기 스트라이프 카드 데이터를 전송할 수도 있다. 통상적으로, 사용자는, 예를 들어, (네트워크(114)를 통하는 것과 같이) 클라우드 컴퓨팅 인프라스트럭쳐를 통해 지갑 서버(106) 상에 사용자 계정을 셋업하고 그/그녀의 모바일 통신 디바이스(104) 상에 지갑 어플리케이션을 초기화하는 사람이다.
예시의 실시예에 따른 사용자 계정(118)으로, 고유의 디바이스 ID를 갖는, MST(102)를 초기화하는 방법(200)은 도 2를 참조하여 설명된다. 블록 202로 도시된 바와 같이, MST는 모바일 통신 디바이스에 MST를 연결하거나 플러그인함으로써 사용자 계정에 최초로 등록되거나 초기화된다. 모바일 통신 디바이스에 MST를 연결하면, 블록 204로 도시된 바와 같이, 지갑 어플리케이션은 MST를 인식하고 사용자의 사용자 계정에 MST를 등록한다. MST가 적절한 사용자 계정에 연결되고 등록되면, 블록 206으로 도시된 바와 같이, MST 및 사용자 계정은 핸드셰이크(handshake)를 수행할 수도 있고, 블록 208에 도시된 바와 같이, 명령을 송신하고 수신할 수도 있다.
MST가 사용자 계정에 등록된 경우, 사용자는 MST의 빌트 인(built in) MSR 상에 카드를 스와이핑 함으로써 그/그녀의 카드를 로드하도록 지갑 어플리케이션을 사용할 수 있고, MST 또는 모바일 디바이스와 연결될 수도 있는 MSR을 분리할 수 있다. 카드 데이터는 디지털화 및 암호화될 수도 있고, 추후 사용을 위해 MST 내에 저장될 수도 있다. 예를 들어, 도 1에 도시된 바와 같이, 카드는 MST에 의해 사용될 수도 있고 거래를 이루도록(effect) POS(point of sale)(120)로 송신될 수도 있다. 이 측면에서, POS(120)는 또한 지갑 서버(106), 프로비저닝 및 인증 서버(108), 카드 발행자 서버(110) 및/또는 매입자 서버(112)중 하나 이상과 네트워크(114)를 통해 통신할 수도 있다.
예시의 실시예에 따른 카드를 스와이핑하는 사용자에 기반된 정적 카드를 안전하게 프로비저닝하는 방법(300)은 도 3을 참조하여 설명된다. 본 명세서에서 사용된 것으로서, "정적(static)"은 사용되는 동안 매번 동일한 카드 데이터가 POS로 전송된다는 것을 의미한다. 이 실시예에서, 사용자는 사용자의 MST로 카드를 로드하도록 MST와 커플링되거나 MST에 통합된 스와이퍼(swiper) 디바이스를 사용할 수도 있다.
사용자는 MST 내의 스와이퍼 또는 MST와 커플링된 별개의 스와이퍼 액세서리 디바이스에 카드(예를 들어, 결제 카드 또는 자기 카드 데이터를 포함하는 다른 타입의 카드)를 스와이핑한다(302). 이는 카드 트랙 데이터를 포함하는 카드 데이터(예: 카드에 대응하는 데이터)("TRACK")를 MST로 제공한다. 그 다음에 MST는 키(Kworking)를 사용하여 TRACK을 암호화하고(304) 암호화된 TRACK 및 키 시리얼 넘버(KSN)(예를 들어, 10-바이트 KSN)를 모바일 통신 디바이스로 송신한다(306). 일 측면에서, KSN은 단조 증가 카운터(monotonically increasing counter)를 포함하고; 따라서 동일한 카드를 2번 스와이핑하는 것은 2개의 별개의 암호문(cipher-text)을 생산(yield)해야 한다. MST는 또한 이하에서 기술된 바와 같이 지갑 서버가 후에 서명 검증을 수행하는 경우 지갑 서버에 의해 사용될 수도 있는 몇몇 보조 정보(some auxiliary information)(A*)를 송신할 수도 있다. 일 예시에서, MST는 모바일 통신 디바이스로 다음(following)을 송신한다: {TRACK}Kworking, KSN, A*, 여기서 괄호는 암호화 함수를 나타낸다.
모바일 통신 디바이스는 MST의 식별자(IDMST) 및 세션 난스(session nonce)(RMST)에 대해 MST에 쿼리한다(308). 쿼리에 응답하여, MST는 모바일 통신 디바이스로 IDMST 및 RMST를 송신한다(310). 모바일 통신 디바이스는 이 정보(예를 들어, IDMST, RMST, {TRACK}kworking, KSN, A*)를 지갑 서버로 포워딩하고, 더하여 인증하기 위해 지갑 서버에 대해 사용자의 입력 크리덴셜(credential)(예를 들어, 사용자 이름 및 패스워드)을 포워딩한다(312).
지갑 서버는 사용자 이름 및 패스워드를 사용하여 사용자를 인증하고, 또한 IDMST가 사용자의 지갑 계정에 현재 연결되었는지 체크한다(314). 또한, 지갑 서버는 KSN의 유효성 및 단조성(monotonicity)을 검증할 수도 있고 Kworking을 독립적으로 산출할 수도 있다(316). 모든 것이 검증된 경우, 지갑 서버는 암호화된 트랙 데이터를 복호화하고 TRACK을 획득한다(318). 지갑 서버는 또한 수신된 데이터가 유효한 것임을 보장하도록 체크를 수행할 수도 있다(320). 예를 들어, 지갑 서버는 TRACK이 유효한 ISO-7812 스트링을 포함하는지 체크할 수도 있다. 금융 카드에 대해, 트랙 1 데이터 및 트랙 2 데이터가 존재해야 한다. 비-금융(non-financial) 카드에 대해, (예를 들어, 기프트 카드), 적어도 하나의 트랙이 존재해야 한다. 지갑 서버는 또한 데이터의 정확성을 체크하도록 세로 중복 검사(LRC: longitudinal redundancy check)를 수행할 수도 있다. 금융 카드에 대해, 트랙 1 데이터로부터의 카드 소지자 이름은 파일 상의 사용자의 지갑 계정 사용자 이름과 일치해야 하고, 카드의 만료 일자는 유효해야 한다(예: 만료되지 않은 카드).
지갑 서버가 충족된 경우, 지갑 서버는 MST에 알려진 키(KMST)를 사용하여 TRACK을 재암호화하고(322) SSL/TLS 세션으로 모바일 통신 다비이스로 애드카드(AC: AddCard) 토큰을 회신(send back)한다(324). AC 토큰은 RMST, 서버 발생된 타임-스탬프(RS), TRACK, 및 KMST를 사용하여 암호화된 A*(예를 들어, {RMST, RS, TRACK, A*}KMST})를 포함할 수도 있다.
모바일 통신 디바이스는 해석(interpretation) 없이 MST로 AC 토큰을 포워딩한다. MST는 KMST를 사용하여 AC 토큰을 복호화하고 적합성(relevancy)에 대해 RMST를 검증한다(328). 모든 것이 검증된 경우, MST는 TRACK을 저장(deposit)하고 카드 추가 동작은 완료된다(330). 점대점(point-to-point) 암호화 및 임의 난스(random nonce)의 사용은 비밀성(confidentiality), 확실성(authenticity) 및 신선성(freshness)에 대한 요구를 적절하게 방어한다.
예시의 실시예에 따른 카드 발행자로부터 정적 카드를 안전하게 프로비저닝하는 방법(400)은 도 4를 참조하여 설명된다. 이 실시예에서, 카드 발행자는 MST로 무선으로(over-the-air) 또는 네트워크를 통해 카드 데이터를 푸시(push)할 수도 있다. 이 방법은, (TRACK을 포함하는) 카드 데이터가 카드 발행자 서버로부터 발원하고(originate) 카드 발행자 서버로부터 지갑 서버로 송신되고 그리고 나서 MST로 안전하게 푸시되는 것을 제외하고, 위에서 설명된 정적 프로비저닝 방법과 유사하다. 사용자는 카드 요청을 송신할 발행자 서버를 지정함으로써 처리를 개시한다. 처음의 셋업 후에, 발급자 서버는 새로운 카드가 다운로드 가능한 경우 사용자에게 통지할 수 있다. 그리고 나서 사용자는 발행자 서버에 인증할 수 있고 실제 카드 데이터를 다운로드할 수 있다.
사용자 요청 시, 모바일 통신 디바이스는 IDMST 및 세션 난스 RMST에 대해 MST에 쿼리하고(402), MST는 모바일 통신 디바이스로 IDMST 및 RMST를 송신한다(404). 사용자로부터의 입력에 따라, 모바일 통신 디바이스는 지갑 서버로 이 정보를 포워딩하고, 더하여 사용자의 크리덴셜(예를 들어, IDMST, RMST, 사용자 이름, 패스워드)를 포워딩한다(406). 사용자는 또한 카드 발행자 서버에 사용자를 인증하기 위해 정보(B*)를 입력할 수도 있다(예를 들어, 카드 발행자의 신원 및 사용자의 온라인 뱅킹 크리덴셜). 지갑 서버는 (TRACK을 포함하는) 카드 데이터를 획득하기 위해 카드 발행자 서버(408)로 B*를 송신한다. 그리고 나서 지갑 서버는 카드 발행자 서버로부터 TRACK를 수신한다(410). 지갑 서버는 직접 또는 프로비저닝 및 인증 서버를 통해 카드 발행자 서버와 상호 작용할 수도 있다.
지갑 서버는, 위에서 설명한 바와 같이, KMST를 사용하여 TRACK을 암호화하고, AC 토큰(예를 들어, {RMST, RS, TRACK, A*}KMST})을 발생시키고, 모바일 통신 디바이스(412)로 AC 토큰을 송신한다(412). 모바일 통신 디바이스는 MST로 AC 토큰을 포워딩한다(414). 위에서 설명된 바와 같이, MST는 KMST를 사용하여 AC 토큰을 복호화하고 적합성에 대해 RMST를 검증하고, 모든 것이 검증된 경우, MST는 TRACK을 저장(deposit)하고 카드 추가 동작은 완료된다(416).
다른 측면에서, (예를 들어, dCVV를 지원하는) 동적 카드/토큰화된 카드는 MST로 프로비저닝될 수도 있고 그리고 나서 POS로 전송될 수도 있다. 이 측면에서, dCVV 키(KdCVV)는 발생될 수도 있고, 카드 발행자 서버에 의해 MST로 송신되거나 동적 프로비저닝을 가능하게 하도록 MST로부터 카드 발행자 서버로 송신될 수도 있다. 예시의 실시예에 따른 카드를 동적으로 프로비저닝하는 방법(500)은 도 5를 참조하여 설명된다. 위에서 설명된 방법들과 유사하게, 사용자는 (TRACK을 포함하는) 카드 데이터를 입력하기 위해 카드를 스와이핑할 수도 있고, 또는 TRACK은 카드 발행자 서버에 의해 MST로 푸시될 수도 있다.
일 측면에서, 사용자는 MST 내의 스와이퍼 또는 MST와 커플링된 분리된 스와이퍼 액세서리 디바이스로 카드(예를 들어, 결제 카드 또는 자기 카드 데이터를 포함하는 다른 타입의 카드)를 스와이핑한다(502). 이는 MST로 (TRACK을 포함하는)카드 데이터를 제공한다. MST 또는 분리된 MSR은 키(Kworking)를 사용하여 TRACK 데이터를 암호화하고 모바일 통신 디바이스로 암호화된 TRACK을 송신한다(506). MST는 또한 TRACK과 함께 추가적인 정보를 송신할 수도 있고, 예를 들어, MST는 암호화된 TRACK과 함꼐 IDMST, RMST, 사용자 이름, 패스워드, KSN, 및 A*(예: 카드 발행자 서버가 사용자/카드 소지자의 인증을 수행하는 것과 마찬가지로 지갑 서버가 카드 발행자 서버 서명 검증을 수행하는데 사용하는 보조 정보)를 송신할 수도 있다.
위에서 설명된 것과 유사한 방식으로, 지갑 서버는 사용자 이름 및 패스워드를 사용하여 사용자를 인증하고, 또한 IDMST가 사용자의 지갑 계정과 현재 관련되었는지를 체크한다. 지갑 서버는 KSN의 유효성 및 단조성을 검증할 수 있다. 지갑 서버는 또한 수신된 데이터가 유효한 것임을 보장하도록 체크를 수행할 수도 있다. 예를 들어, 지갑 서버는 TRACK이 유효한 ISO-7812 스트링을 포함하는 지를 체크할 수도 있다. 금융 카드에 대해, 트랙 1 데이터 및 트랙 2 데이터 양자는 존재해야 한다. 비-금융 카드에 대해, (예를 들어, 기프트 카드), 적어도 하나의 트랙이 존재해야 한다. 지갑 서버는 또한 전송된 데이터의 정확성을 체크하기 위해 세로 중복 검사(LRC)를 수행할 수도 있다. 금융 카드에 대해, 트랙 1 데이터로부터의 카드 소지자 이름은 파일 상에서 사용자의 지갑 계정 사용자 이름과 일치해야 하고, 카드의 만료 일자는 유효해야 한다(예: 만료되지 않은 카드).
몇몇 예시에서, 지갑 서버는 카드의 영구 계정 번호(PAN: Permanent Account Number)가 BIN(은행 식별 번호(Bank Identification Number), PAN의 첫 6 자리)에 기반하여 가맹 발행자(participating issuer)로부터 나온 것인지를 체크함으로써 카드가 dCVV에 적합한지를 결정할 수도 있다. 아닌 경우, 위에서 설명된 정적 프로비저닝이 일어날 수도 있다. 카드가 dCVV에 적합하다면, 지갑 서버는 프로비저닝 및 인증 서버로 프로비저닝을 위한 요청을 송신한다(508). 요청은 카드 발행자 / 카드 발행자 서버가 사용자를 인증하도록 PAN 및, CVV-2, 생년월일, 챌린지 질문(challenge question)에 대한 해답(answer), 및/또는 다른 정보와 같은, 보조 정보를 포함할 수도 있다.
위에 설명된 단계들은 카드 발행자 및 프로비저닝 및 인증 서버로의 dCVV를 조건으로 하는 사용자 및 카드를 식별하는 단지 하나의 방법으로 이해되어야 한다. 다른 방식들이 실시될 수 있다. 예를 들어, 스와이퍼 디바이스가 없는 사용자는 온라인 뱅킹 크리덴셜을 제공함으로써 카드 발행자 서버와 연결할 수도 있고 카드 발행자 서버로부터 dCVV 카드의 다운로드를 요청할 수도 있다(510). 또한, 카드 발행자 서버는 카드 발행자 서버가 준비된 것을 지갑 서버에 알릴 수 있다(512).
프로비저닝 및 인증 서버는, 단계 508로부터, 요청이 지갑 서버로부터 오고, 지갑 서버가 신뢰할 수 있는지를 식별할 수도 있다. 일 측면에서, 프로비저닝 및 인증 서버는 지갑 서버가 프로비저닝 및 인증 서버를 대신하여 MST를 검증한 것을 신뢰한다. 다른 측면에서, 프로비저닝 및 인증 서버는 A*를 사용하여 카드 발급자 서버와 추가적인 검증을 수행할 수도 있다(510). 카드 발급자 서버는, 검증 결과 옆에, PAN 에일리어스(alias), 엠보싱 아트(embossing art) 등과 같은 몇몇 보조 정보 B*를 선택적으로 리턴할 수도 있다.
프로비저닝 및 인증 서버는 카드에 대한 랜덤 키(KdCVV)를 발생시키고(514), 프로비저닝 및 인증 서버의 데이터베이스 내에 {PAN, KdCVV, Tstamp}: 3-튜플(3-tuple)을 삽입할 수 있고, 여기서 Tstamp는 협정세계시(UTC: universal time coordinated)의 또는 고정된 시간 기준과 관련된 현재 시간의 타임-스탬프이다. 타임-스탬프는 또한 MST 거래마다 증가하는 카운터 CC를 포함할 수도 있다. 타임-스탬프 및 카운터의 조합은 동적 거래에 대해 신선성 컴포넌트(freshness component)를 제공하는데 사용된다.
프로비저닝 및 인증 서버는, 선택적으로 보조 정보 B*와 함께, 지갑 서버로 KdCVV를 송신한다(516). 지갑 서버는 모바일 통신 서버로 KdCVV 및 SYNC(여기서 SYNC는 타임-스탬프 정보를 포함하고, MST와 지갑 서버 사이에서 시간을 동기화하는데 사용된다)를 송신하고(518), 그리고 나서 모바일 통신 디바이스는 KdCVV 및 SYNC를 MST로 포워딩한다(520). KdCVV 및 SYNC는 보안을 제공하도록 표시될 수도 있다. 지갑 서버는 또한 KdCVV와 함께 모바일 통신 디바이스를 통해 MST로 몇몇 추가적인 정보를 송신하고; 예를 들어, 지갑 서버는 또한 TRACK를 송신할 수도 있다.
SYNC는 MST의 시간의 내부적 기준을 조절하도록 MST에 의해 사용되는 패킷일 수도 있다. 이는 MST가 정확한 타임-스탬프를 제공하게 한다. 사용되는 경우, MST는 타임-스탬프와 KdCVV, PAN, EXP, 및 타임-스탬프를 사용하여 발생되는 암호문도 전송할 수 있다. 타임-스탬프가 동기화되므로, 인증을 수행하는 서버는 패킷 신선성(freshness)을 체크할 수 있고 암호문을 검증할 수 있다. 타임-스탬프의 사용은 암호문 발생이 타임-스탬핑되므로 리플레이 타입 공격을 예방하는 역할을 하고, 암호문을 소멸시키는 어떠한 딜레이도 암호문이 서버 상에서 인가 로직에 의해 거절되는 것을 감수한다.
(TRACK을 포함하는) 카드 데이터가 사용자에 의해 MST로 스와이핑되는 대신에 MST로 무선으로(over-the-air) 푸쉬되는 경우, 프로비저닝 및 인증 서버는 카드 발행자 서버로부터 TRACK을 수신하고 KdCVV, 및 선택적으로 B*와 함께 지갑 서버로 TRACK을 송신한다. 처리의 나머지는 위에 설명된 처리와 유사하다. 예를 들어, 지갑 서버는 KMST를 사용하여 TRACK 및 KdCVV를 암호화 하고, AC 토큰(예를 들어, {RMST, RS, TRACK, KdCVV, B*}KMST})을 발생시키고, 모바일 통신 디바이스를 통해 MST로 AC 토큰을 송신한다.
또한, 위에 설명된 정적 카드 데이터는 도 5의 단계에 따라 동적 카드 데이터(dCVV)로 전환될 수도 있다. 예를 들어, 동작 502에서 MST로 카드를 스와이핑하는 대신에, 정적 카드는 메모리 또는 스토리지로부터 획득될(pulled) 수도 있고 단계 504 내지 520와 동일한 방식으로 동적 카드로 전환될 수도 있다. 단계 510 및 512는 선택적인 것으로 이해되어야 하고, 프로비저닝 및 인증 서버는 카드 발금자 서버와의 사용자의 인증 없이 정적 카드를 동적 카드로 단순하게 전환할 수도 있다.
다른 측면에서, 예를 들어, TRACK을 포함하는 카드 데이터는, 예를 들어, 카드 발행자 또는 카드 발행자의 프로세서가 지갑 서버를 통과하지 않고 지갑 어플리케이션 또는 그들 소유의 모바일 뱅킹 어플리케이션으로 프로비저닝하는 것을 원하는 경우, 계정 소지자의 외부로 데이터의 내용을 드러내지 않고, 카드 발행자 서버(또는 카드 발행자를 대신하는 프로세서)로부터 계정 소지자의 MST로 안전하게 프로비저닝될 수 있다. 예시의 실시예에 따른 dCVV 카드를 프로비저닝하는 방법(600)은 도 6을 참조하여 설명된다.
도 6에 도시된 바와 같이, 사용자(예: 카드 발행자에 대해 계정을 갖는 사용자)는, 예를 들어, 사용자 계정 데이터(예: 사용자의 온라인 뱅킹 로그인 및 패스워드)를 수신하고 모바일 통신 디바이스로부터 카드 발행자 서버로 사용자 계정 데이터를 송신함으로써, 카드 발행자 서버에 인증한다(602). 카드 발행자 서버는 사용자 계정 데이터를 사용하여 사용자를 확인한다(604). 그리고 나서 카드 발행자 서버는, 예를 들어, PAN, 카드 소지자 이름, 사용자 및 계정을 인증하고 식별하는 "인가 스트링(authorization string)", 및 카드 발행자에 할당된 식별자("IDI")를 포함하나, 이에 제한되지 않는, 사용자의 계정 정보를 프로비저닝 및 인증 서버에 통지한다(606). 프로비저닝 및 인증 서버는 인가 스트링, IDI 및 사용자의 계정 정보를 저장한다(608). 사용자의 계정 정보는 프로비저닝 및 인증 서버에 의해 발생된 워킹 키, 및/또는 정적 카드 프로비저닝의 경우 엠보싱 파일(embossing file)을 포함할 수도 있다.
그리고 나서 프로비저닝 및 인증 서버는 카드 발행자 서버로 프로비저닝하기 위한 준비가 완료되었음을 알린다(610). 이에 응답하여, 카드 발행자 서버는, 예를 들어, 모바일 통신 디바이스로 인가 스트링 및 IDI를 송신함으로써 모바일 통신 디바이스로 준비가 완료되었음을 알린다(612). 모바일 통신 디바이스는 데이터의 요청을 송신함으로써 프로비저닝 및 인증 서버로부터 카드 데이터를 요청하기 위해 인가 스트링 및 IDI를 사용한다(614). 데이터는 오직 카드 발행자의 계정 소지자(예: 카드 발행자에 대한 계정을 갖는 사용자)에게 드러날 것이다. 요청에 응답하여, 프로비저닝 및 인증 서버는 카드 데이터 및 선택적으로 "DD"로 언급되는 데이터의 다이제스트(digest of data)를 리턴한다(616). DD는 카드 데이터의 해시, 카드 엠보싱 파일의 경우 계정 소지자의 이름, 및 이 DD의 발생의 타임-스탬프를 포함할 수도 있다. 일 측면에서, DD의 서명은 또한 데이터와 함께 리턴될 수도 있다. 서명은 카드 발행자에 의해 서명되거나 카드 프로세서의 워킹 전용 키(working private key)일 수도 있고, 대응하는 공공 증명서(public certificate)를 사용하여 공적으로 검증할 수 있어야 한다.
그리고 나서 모바일 통신 디바이스는 MST와 핸드셰이크를 수행하고(618) MST는 모바일 통신 디바이스로 IDMST 및 RMST를 송신한다(620). 모바일 통신 디바이스는 지갑 서버로 추가적 정보(예를 들어, IDMST, RMST, DD, 및 DD의 서명)와 함께 이 정보를 송신하고 허가(permission)를 요청한다(622). 실제 데이터(actual data)는 이 경우 지갑 서버로 송신되지 않는다는 것을 주목하라. 지갑 서버는, 예를 들어, DD 내의 이름이 지갑 서버 이름과 매칭하는 것을 보장하는 것과 같이, 다른 보조 체크 뿐만 아니라, 서명이 DD에 대응하고 지갑 서버를 인식한 카드 발급자로부터 비롯되고(come from) 인가된다는 것을 보장하기 위해 서명을 검증하도록 하나 이상의 확인을 수행할 수 있고(624); DD 발생에 대한 타임-스탬프는 현재이다. 모든 것을 확인하거나 체크아웃 한 경우, 지갑 서버는 IDMST에 대응하는 KMST를 검색하고(retrieve), {DD, RMST}KMST를 포함하는 허가 암호문을 발생시킨다. 지갑 서버는 모바일 통신 디바이스로 이 허가를 리턴한다(626). 모바일 통신 디바이스는 MST로 카드 데이터, IDI 및 허가를 주입한다(628). MST는 KMST를 사용하여 허가를 복호화하고, DD 및 RMST를 획득하고, DD와 함께 카드 데이터를 확인한다(630). MST는 RMST가 신선(fresh)하므로 리플레이 공격이 없다는 것을 안다. 성공적인 복호화는 또한 허가가 지갑 서버로부터 비롯된 것을 시사한다. 그리고 나서 MST는 데이터의 해시를 독립적으로 산출하고 데이터의 해시를 DD의 대응하는 부분과 비교한다. 2개가 매칭되는 경우, MST는 진행하고 데이터를 설치한다. 상술한 바와 같이, 데이터는, 예를 들어, TRACK을 포함할 수도 있다. 나아가, 이 처리에서, 지갑 서버는 프로비저닝 처리 동안 카드 데이터에 접근하지 않는다. 지갑 서버는 단지 데이터의 다이제스트로 허가를 제공한다.
도 6이 지갑 서버를 통과하지 않고 카드 프로비저닝을 수행하는 것에 관하여 설명되었으나, 카드 발행자 서버는 카드 프로비저닝을 수행하기 위해 지갑 서버와 통신할 수도 있고 인증 서버는 인증을 다룰 수도 있다. 다양한 서버가 카드 프로비저닝 및 인증을 수행하기 위해 서로 통신할 수 있는 수많은 방법이 있다는 것이 이해되어야 한다.
다른 실시예에서, 사용자는 카드 발행자에 인증할 수도 있고 카드 발행자로부터 직접 카드의 다운로드를 개시할 수도 있다. 카드가 동적 카드 스스로에 의해 또는 동적 카드의 결제 네트워크에 의해 동적 카드를 인증하는 능력을 갖는 가맹 발행자로부터 나온 경우, 지갑 서버는 프로비저닝 및 인증 서버를 통해 정적 트랙 데이터의 동적 카드로의 전환을 자동적으로 개시할 수도 있다. 예시의 실시예에 따른 동적 카드를 프로비저닝하는 방법(700)은 도 7을 참조하여 설명된다. 사용자(예: 카드 발행자에 대한 계정을 갖는 사용자)는 카드 발행자 서버에 인증한다.
이 실시예에서, 모바일 통신 디바이스는 지갑 서버로 인증 정보(예를 들어, IDMST, RMST, 사용자 이름, 패스워드, 및 A* (여기서 A*는 발행자의 인증 요구에 기반된 발행자 계정 크리덴셜과 같은 정보를 포함한다))를 송신한다(702). 지갑 서버는 검증을 위해 카드 발행자 서버로 인증 정보(예를 들어, A*)를 포워딩한다(704). 카드 발행자 서버는 확인을 수행하고, 카드에 대한 TRACK 및 프리젠테이션(presentation)으르 위해 요구되는 다른 정보(예를 들어, TRACK 및 C* (여기서 C*는 로고, 이미지 및/또는 다른 삽화(artwork)를 포함할 수도 있다)를 지갑 서버로 다시 송신한다(706).
지갑 서버는 카드 발행자가 등록되었는지 및/또는 동적 카드 인증에 참여하는지를 체크하고 결정한다(708). 카드 발행자가 그렇지 않은 경우, 그리고 나서 처리는 상술한 바와 같이 정적 카드 프로비저닝을 따라 진행된다. 카드 발행자가 동적 카드 인증에 참여하는 경우, 지갑 서버는 프로비저닝 및 인증 서버로 프로비저닝을 위한 요청을 송신한다(710). 요청은 PAN 및, CVV-2, 이름, 생년월일, 챌린지 질문에 대한 해답 및/또는 다른 정보와 같은, 보조 정보를 포함할 수도 있다.
프로비저닝 및 인증 서버는 카드에 대한 랜덤 키(KdCVV)를 발생시키고(712), (도 5를 참조하여 상술한 바와 같이) 프로비저닝 및 인증 서버의 데이터베이스 내에 {PAN, KdCVV, Tstamp}: 3-튜플(3-tuple)을 삽입한다. 프로비저닝 및 인증 서버는, 선택적으로 보조 정보 B*와 함께, 지갑 서버로 KdCVV를 송신한다(714). 지갑 서버는 IDMST로부터 MST의 KMST를 검색하고, KdCVV 및 SYNC(여기서 SYNC는 타임-스탬프 정보를 포함하고 MST와 지갑 서버 사이에서 시간을 동기화하는데 사용된다)를 모바일 통신 디바이스로 송신하고(716), 모바일 통신 디바이스는 MST로 KdCVV 및 SYNC를 포워딩한다(718). KdCVV 및 SYNC는 보안을 제공하기 위해 KMST를 사용하여 암호화되거나 표시될 수도 있다. 지갑 서버는 또한 KdCVV와 함께 모바일 통신 디바이스를 통해 MST로 몇몇 추가적 정보를 송신할 수도 있고; 예를 들어, 지갑 서버는 또한 TRACK, RMST, RS 및 B*를 송신할 수도 있고, 여기서 B*는 카드 발행자로부터의 몇몇 보조 정보이다.
카드 또는 TRACK이 MST로 로딩된 경우, MST는 거래를 달성하도록 POS에 카드 데이터를 전송하는데 사용될 수도 있다. 일 측면에서, 데이터는 전송된 데이터에 보안을 제공하도록 동적으로 발생될 수도 있다.
이 측면에서, 각각의 전송 마다, MST는, 예를 들어, 카드 데이터로부터 유도된(derived) dCVV를 포함하는 변조된 트랙 2 데이터(MT), MST로부터의 Tstamp(MST로부터의 현재 타임 스탬프) 및 KdCVV를 구성할(construct) 수 있다. dCVV는 PAN을 포함하는 KdCVV의 함수로 산출되는 3자리 코드, 카드의 만료 일자(EXP), 서비스 코드(SVC) 및 Tstamp를 포함할 수도 있다. 예를 들어, dCVV = fKdCVV (PAN, EXP, SVC, Tstamp) 이다. dCVV가 발생된 후, 현재 시간 단위 간격(예: 10분, 1시간 등)내에 MST에 저장된 카운터 값은 하나씩 증가될 수 있다.
예시의 실시예에 따른 dCVV를 수행하는 방법(800)은 도 8을 참조하여 설명된다. 카드 발행자 서버에 의한 전송 및 검증의 단계들의 시퀀스는 POS 단말로 dCVV를 갖는 변조된 카드 데이터를 전송하는 MST를 포함하고(802), POS 단말은 매입자 서버로 변조된 카드 데이터를 포워딩하고(804), 그리고 나서 매입자 서버는 카드 발행자 서버로 변조된 카드 데이터를 포워딩한다(806). 전송의 페이로드는: 스타트 센티넬(SS: start sentinel), PAN, 필드 세퍼레이터(FS: field separator), EXP, SVC, Tstamp, dCVV, MI, 엔드 센티넬(ES: end sentinel) 및 에러 체크썸 캐릭터(LRC: error checksum character)를 포함할 수도 있다. MI는 dCVV 모드 내에서 인증을 수행하고 인식하도록 카드 발행자 서버에 대한 플래그일 수도 있다. 그러나, MI는, 아래에 더 상세히 설명된 바와 같이, 장래의 EXP가 인디케이터와 같이 사용되는 경우 사용되지 않을 수도 있다.
데이터를 수신하면, 카드 발행자 서버는 전송이 MI 또는 장래의 EXP에 기반된 dCVV 거래인 것으로 이해할 수도 있다. PAN이 또한, 등록된 PAN이 dCVV의 인증을 위해 프로비저닝 및 인증 서버에 대해 체크될 수도 있도록, 거래 동안 매칭하기 위해 프로비저닝 및 인증 서버에 의해 등록될 수 있다는 것이 또한 이해되어야 한다. 카드 발행자 서버는 dCVV의 검증을 위해 프로비저닝 및 인증 서버를 요청할 수도 있다(808). 그리고 나서 프로비저닝 및 인증 서버는 인증 또는 인증 실패를 리턴한다(810). PAN이 발견되지 않은 경우, 프로비저닝 및 인증 서버는 PAN이 등록되지 않은 에러를 리턴한다. 프로비저닝 및 인증 서버는 현재 서버 상의 시간과 수신된 Tstamp를 비교한다. 비교 알고리즘은 다음과 같이 수행될 수 있다: 수신된 Tstamp가 저장된 Tstamp보다 시간상 늦는 경우, 타임 스탬프는 적절한 것이고(time stamp is ok); 수신된 Tstamp가 저장된 Tstamp보다 이른 경우, 타임 스탬프는 부정확한 것이고 인증 실패를 리턴하고; 수신된 Tstamp가 저장된 Tstamp와 매칭하는 경우, 수신된 카운터 값이 저장된 카운터 값보다 작으면 인증 실패가 리턴되고, 그렇지 않으면 타임 스탬프는 적절한 것이다.
검증 동안, 프로비저닝 및 인증 서버는 프로비저닝 및 인증 서버에 저장된 KdCVV로 dCVV를 독립적으로 산출하고 산출된 값이 수신된 dCVV와 동일한지를 체크한다. 산출된 dCVV가 수신된 dCVV와 매칭하고 Tstamp가 적절한 경우, 프로비저닝 및 인증 서버는 현재 Tstamp와 함께 저장된 Tstamp를 수신된 그것으로 업데이트한다. 그리고 나서 프로비저닝 및 인증 서버는 인증 또는 인증 실패를 리턴한다(810). 산출된 값이 수신된 dCVV와 동일하지 않은 경우, 프로비저닝 및 인증 서버는 인증 실패를 리턴한다. 카드 발행자 서버는 또한 카드 발행자 서버가 통상적으로 정규의 카드(regular card)를 인가할 때 행하는 하나 이상의 정기적 체크(routine check)를 수행할 수도 있고 매입자 서버로 최종 인가 결과를 리턴하고(814), 매입자 서버는 POS로 메세지를 포워딩한다(816). 실패가 POS로 리턴되면, 거래는 취소될 수도 있다. 최종 인가가 POS로 리턴되면, 거래는 진행될 수도 있다.
다른 실시예에서, 결제 네트워크(예를 들어, VISA) 또는 서드 파티 프로세서 서버는 dCVV를 다룰 수도 있고 거래를 인가할 수도 있다. 도 9는 예시의 실시예에 따른 dCVV를 수행하는 유사한(such) 방법(900)을 도시한다. 이 실시예에서, dCVV를 포함하는 변조된 트랙 데이터는 MST로부터 POS 단말로 송신되고(902), POS 단말은 매입자 서버로 변조된 카드 데이터를 포워딩하고(904), 그리고 나서, 적용 가능한(applicable) 경우, 매입자 서버는 VISA에 의해 동작되는 서버와 같은 결제 네트워크로 변조된 카드 데이터를 포워딩한다(906). 몇몇 경우에 매입자 서버는 ("온 어스(on us)" 거래로 알려진) 결제 네트워크를 바이패스하여(bypassing) 직접 카드 발행자 또는 프로세서 서버로 거래를 송신하고, 이 경우에 프로비저닝 인증 서버는 대신에 카드 발행자 또는 프로세서 서버에 호스팅될 것이다. 상술한 바와 같이, dCVV는 PAN을 포함하는 KdCVV의 함수로 산출되는 3자리 코드, 카드의 만료 일자(EXP), 서비스 코드(SVC) 및 Tstamp를 포함할 수도 있다. 예를 들어, dCVV = fKdCVV (PAN, EXP, SVC, Tstamp) 이다. dCVV가 발생된 후, 현재 시간 단위 간격(예: 10분, 1시간 등)내에 MST에 저장된 카운터 값은 하나씩 증가될 수 있다.
그리고 나서 결제 네트워크는, 예를 들어, MI 또는 변조된 EXP 값에 대해 체크함으로써, 데이터가 동적 카드에 대응하는지를 체크한다(908). 여기서 설명된 바와 같이, 미래의 고정된 날짜(예를 들어, 2048년 12월)로 현재 EXP를 교체하는 것은 MI로서 기능할 수 있다. 이 특정 EXP를 보면(see), 결제 네트워크는 dCVV 확인을 진행할 수 있다. EXP가 MI로서 사용된 경우, 추가적인 자리를 할당할 필요가 없고 발행된 물리적 카드 상의 원본의 진정한(true) EXP는 전송되지 않으므로 보호될 수 있다.
결제 네트워크가 동적으로 데이터를 인식하는 경우, 결제 네트워크는, 예를 들어, PAN을 사용하여, dCVV의 검증을 위해 프로비저닝 및 인증 서버에 요청한다(910). PAN이 프로비저닝 및 인증 서버 내에서 발견되지 않은 경우, 인가 실패가 POS로 리턴된다. PAN이 프로비저닝 및 인증 서버 내에 있는 경우, 프로비저닝 및 인증 서버는 카드를 검증한다(912). 이 검증을 수행하기 위해, 프로비저닝 및 인증 서버는 거래로부터 수신된 Tstamp가 자체의 서버 시간에 기반된 최근의 것인지, 즉, 이전 거래의 리플레이가 아닌지를 체크할 수도 있다. 예를 들어, 프로비저닝 및 인증 서버는 거래로부터 수신된 Tstamp를 동일한 카드 하에서 마지막으로 본 Tstamp와 비교한다. 수신된 Tstamp가 저장된 Tstamp보다 큰 경우(시간상으로 늦은 경우), 타임 스탬프는 적절한 것이고; 수신된 Tstamp가 저장된 Tstamp보다 작은 경우(시간상으로 이른 경우), 타임 스탬프는 부정확한 것이고, 인증 실패가 리턴되고; 수신된 Tstamp가 저장된 Tstamp와 동일한 경우, CCReceived가 CCStored보다 작으면 인증 실패가 리턴되고, 그렇지 않으면 타임 스탬프는 적절한 것이다. 타임 스탬프가 적절하면, 프로비저닝 및 인증 서버는 현재 저장된 Tstamp를 수신된 Tstamp로 업데이트하고, 마지막의 경우, CCStored는 하나씩 증가된다.
프로비저닝 및 인증 서버는 저장된 KdCVV를 이용하여 dCVV를 동립적으로 산출하고, 산출된 값이 수신된 것과 매칭하는지를 체크한다. 그렇지 않은 경우, 인증 실패가 리턴된다. dCVV 암호문이 유효하고 신선하게(freshly) 발생된 경우, 프로비저닝 및 인증 서버는 복원 처리를 수행한다. 이 처리는 SVC, Tstamp 및 dCVV와 같은 트랙 데이터의 동적 컴포넌트를 제거하고 트랙 내부의 대응 위치에 원본 트랙 컨텐트를 삽입한다. 이 처리는 카드 발행자에 의해 발행된 원본 트랙 데이터(TRACK)를 완벽하게 복원한다. 그리고 나서 프로비저닝 및 인증 서버는 결제 네트워크로 복원된 TRACK을 송신한다(914).
결제 네트워크는 또한 검증을 위해 카드 발행자 서버로 TRACK을 포워딩할 수도 있고, 카드 발행자 서버는 TRACK을 검증하고 검증 또는 인가 실패를 결제 네트워크로 다시 송신한다(918). 그리고 나서, 결제 네트워크는 결제의 인가 또는 인가 실패를 매입자 서버로 송신하고(920), 매입자 서버는 POS로 결제의 인가 또는 인가 실패를 포워딩한다(922).
카드 발행자가 서드 파티 프로세서를 활용하는 경우, 결제 네트워크는 TRACK을 검증하도록 서드 파티 프로세서와 통신할 수도 있다. 추가적으로, 몇몇 실시예에서, 카드 발행자 서버 또는 서드 파티 프로세서는 dCVV를 검증하도록 프로비저닝 및 인증 서버와 직접 통신할 수도 있고 거래를 진행할 수도 있다.
다른 측면에서, 사용자는, 예를 들어, 온라인 결제 서식(form)을 채우는 경우, CNP 거래에서 dCVV 및/또는 변조된 EXP 일자를 활용할 수도 있다. 이 측면에서, 모바일 통신 디바이스의 지갑 어플리케이션은 dCVV 및/또는 변조된 EXP를 계산하거나 MST가 dCVV 및/또는 변조된 EXP를 계산하도록 할 수도 있고 사용자에게 dCVV 및/또는 변조된 EXP 중 하나 이상을 디스플레이할 수도 있다. 그리고 나서 사용자는 온라인 거래 서식에 dCVV 및/또는 변조된 EXP를 입력할 수도 있고 이커머스 서버에 dCVV 및/또는 변조된 EXP를 포함하는 변저된 트랙 데이터를 송신할수 있고(924), 그리고 나서 이커머스 서버는 매입자 서버로 변조된 트랙 데이터를 포워딩할 수도 있다(926). 그리고 나서 인가는 단계 906-920에 관련하여 위에서 설명된 바와 같이 진행될 수도 있다.
dCVV 트랙 전송으로서 카드 데이터를 나타내는 다른 방식은 변조된 EXP 값을 사용할 수 있다. 예시로서, 카드의 현재 EXP를 고정된 값, 예를 들어, '4812'(2048년 12월)로 교체한다. 이 특정 EXP를 보면(see), 카드 발행자 서버는 dCVV 모드 하에서 진행할 수 있다. 이 측면에서, MI에 대한 추가적 숫자(digit)가 할당될 필요가 없고, 발행된 물리적 카드 상의 원본의 진정한 EXP는 그것이 전송되지 않으므로 보호될 수 있고, 따라서 어떤 온라인 또는 CNP 거래에 대해 EXP 및 이름과 함께 사용될 PAN을 보호할 수 있다. MI가 사용되지 않는 경우, dCVV는 6 자리를 점유한다.
일 측면에서, 본 개시는 거래 또는 카드 시스템에서 EXP를 은폐하고 재사용하는 디바이스, 시스템 및 방법과 또한 관련된다. 먼 장래의 일자와 동일한 숫자를 갖는 EXP를 교체하는 것은 카드 발행자에게 동적으로 카드를 인식하도록 편리한 플래그를 제공하는 동안 거래 내에서 EXP를 은폐한다. 예를 들어, 인가되지 않은 사람이 온라인 구매를 위해 이 EXP를 사용하려 시도한 경우, 그것이 MST에 의해 또는 토큰 서비스 제공자(TSP: Token Service Provider)(예를 들어, 프로비저닝 및 인증 서버) 또는 카드 발행자 서버로부터의 원격의 수단에 의해 또한 동적으로 발생된 CVV-2와 동반되지 않는 한, 그것은 카드 발행자 서버에 의해 거절될(declined) 것이고, 거래 요청 시에 그/그녀의 모바일 디바이스 상에서 카드 소지자에게 디스플레이될 것이고, 짧은 시간 후에 만료된다. 그리고 나서 이 동적 CVV-2는 카드 발행자 서버 또는 TSP에 의해 작동되는 프로비저닝 인증 서버 내에서 인증될 수 있다. 따라서, EXP를 대신하는 숫자가 동적 보안 또는 dCVV 카드에 대해 특별한 인디케이터로서 사용될 수 있으므로, 동적 또는 dCVV 카드에 대한 도난된 카드 데이터를 만드는(making) 것은 대면(card present) 거래 뿐만 아니라 CNP 거래에 대해서도 실질적으로 무용하다.
이는 그것이 카드 발행자 / 카드 발행자 서버가 기존의 POS 인프라스트럭쳐를 이용하는 물리적 카드 결제에 대해서 뿐만 아니라 가맹점의 온라인 체크아웃 시스템의 변화 없이 기존의 CNP 결제 인프라스트럭쳐를 또한 이용하는 온라인 또는 CNP 카드 결제에 대해서도 더 안전한 거래 방법을 제공하도록 할 수 있으므로 중요하다. 그것은 대규모의 가맹점 변화를 기다리지 않고 온라인 결제 보안을 향상시키는 빠른 해결책이다.
카드 데이터가 새로운 거래 각각에 대해 발생될 수도 있고 플라스틱 카드를 대신해 모바일 통신 디바이스를 통해 전달될 수도 있다는 것을 고려하면, 이 종류의 거래에 대해 EXP가 더이상 필요하지 않을 수도 있고, 카드 발행자 / 카드 발행자 서버는 필드 내에서 이 모바일 일회용 카드를 교체하지 않아도 된다. 발행자가 우편으로 송신하는 물리적 플라스틱 카드의 앞면 또는 전자 지갑 내에서 보여지는 정적 카드에 인쇄된 EXP는 전통적인 방식으로 소비자의 플라스틱 카드로 온라인 쇼핑의 용도로 남길 수 있다. 카드 발행자 / 카드 발행자 서버 및 네트워크는 일반적인 정적 카드로서 이를 구별할 수 있을 것이고 따라서 그것을 처리할 수 있을 것이다.
POS 거래에서, 리테일 시스템은 EXP를 판독하고 자기 스트라이프 상의 또는 EMV 메세지 내의 EXP(MMYY) 데이터가 현재 날짜보다 이른 경우 카드를 거절할 것이다. 그러나, 먼 장래의 EXP는 유효한 것으로서 POS 및 매입자 시스템에 의해 승인된다.
자기 스트라이프 상의, 자기 스트라이프 전송(MST) 또는 (EMV 카드와 같은) 스마트 카드 메시지 내의 EXP는 먼 장래의 날짜를 나타내는 특정 숫자에 의해 교체될 수도 있다. YYMM 포맷 내에서, 숫자는 그것을 읽는 POS에 의해 장래의 날짜로 해석되나, 카드 발행자/ 카드 발행자 서버에게 그것은 실제로 카드 데이터가 dCVV와 같은 다양한 인증 엘리먼트를 포함하는 인디케이터이다. 예를 들어 EXP는 숫자 4912로 교체될 수도 있다. 카드 발행자 / 카드 발행자 서버가 dCVV 카드에 대한 인디케이터로서 4912를 인식하고 따라서 그것을 전환하거나 처리하는 반면에, 리테일 시스템은 이 숫자를 장래의 날짜(2049년 12월)로서 해석할 것이다.
도 10은 본 개시의 일 측면에 따른 트랙 2 데이터가 변조되는 방법을 도시한다. 이는 단지 dCVV 트랙 포맷의 개념을 도시한다. 트랙 1 dCVV 포맷은 유사하나, 카드 소지자 이름 및 그것의 필드 세퍼레이터와 같은 추가된 필드를 갖는다.
도 10에 도시된 바와 같이, 동적 모드 인디케이터(DMI 또는 그대로의(just) MI)(1000)는 카드 EXP(1002)로 교체되는데 사용될 수도 있다. DMI(1000)는 카드 EXP(1002)를 교체하고 먼 장래로 설정된 4자라 길이의 번호이다. POS 시스템 및 매입자는 DMI(1000)를 만료 일자로 판독하나, 카드 발행자 / 카드 발행자 서버는 동적 또는 토큰 모드의 인디케이터로서 숫자를 인식한다. 추가적으로, 핀 확인 키 인디케이터(PVKI: Pin Verification Key Indicator) / 임의 데이터(discretionary data)(1004)는 변조되거나 동적 데이터 또는 토큰(1006)으로 교체될 수도 있다.
동적 데이터(1006)는 2개의 파트: 타임-스탬프 (또는 카운터-기반 변형 내의 7자리 단조 증가 숫자(7 digit monotonically increasing number)) 및 SS, PAN, DMI 및 SVC에 대한 일-방향-키-해시 함수(one-way-keyed-hash function)를 사용하여 산출된 3자리 내지 6자리의 수치적 스트링을 통상적으로 포함한다. MST는 그것의 시간의 내부 기준(internal reference of time)을, 예를 들어, 1/1/2014 15:00로 조정하도록 구성될 수도 있다. 이는 MST가 정확한 타임-스탬프를 제공하도록 한다. MST는 타임-스탬프 및 KdCVV, PAN, EXP 및 타임-스탬프를 사용하여 발생된 암호문(타임-스탬프 + 암호문은 (1006)이다)을 전송한다. 타임-스탬가 위에 설명된 바와 같이 동기화 되었으므로, 인가를 수행하는 서버는 패킷 신선도를 체크할 수 있고 암호문을 검증할 수 있다. 타임-스탬프의 사용은 암호문의 발생이 타임-스탬핑되므로 리플레이 타입 공격을 예방하는 역할을 하고, 암호문을 소멸시키는 어떤 지연도 그것이 서버 상에서 인가 로직에 의해 거절되는 것을 감내한다.
따라서, PAN 및 변조된 변조된 EXP(DMI)를 포함하는 도난된 자기 스트라이프 또는 스마트 카드 데이터는 도단된 카드 데이터로부터 획득된 EXP가 계정에 대한 파일 상의 EXP와 매칭하지 않을 것이므로 비대면(card not present) 사기에 유용하지 않을 것이고, 따라서 카드 발행자 / 카드 발행자 서버에 의해 거절될 것이다.
도 11은 온라인 이-커머스 거래에 대한 dCVV의 방법(1100)의 블록 흐름도를 도시한다. 도 11에 도시된 바와 같이, 블록 1102로 도시되고, 위에 설명된 것과 같이, 사용자는 카드 발행자 서버에 인증하고 카드는 동적 CVV를 지원하는 MST로 프로비저닝된다. 블록 1104로 도시된 것과 같이, 카드 발행자 서버 및/또는 결제 네트워크는, 프로비저닝 및 인증 서버 내에서, 프로비저닝된 카드가 오직 온라인 이-커머스 거래에 대해 또는 이-커머스 및 POS 거래에서 물리적 스와이프 양자에 대해 dCVV 모드를 지원하는 것을 기록한다. 위에 설명된 바와 같이, PAN(또는 PAN의 해시)은 프로비저닝 및 인증 서버 내에서 식별자로서 사용될 수도 있고, 또한 KdCVV는 발행될 수도 있고 MST로 안전하게 전달될 수도 있다.
그리고 나서 사용자는 온라인 이-커머스 웹사이트에서 체크아웃 시 카드를 사용할 수도 있다. 예를 들어, 블록 1106으로 도시된 바와 같이, 사용자는 모바일 통신 디바이스가 지갑 어플리케이션을 통해 프로비저닝된 카드에 대한 16자리의 PAN 및 EXP를 디스플레이하게 할 수도 있다. 그리고 나서, 블록 1108로 도시된 바와 같이, 사용자는 체크아웃 시 온라인 이-커머스 웹사이트로 PAN 및 EXP를 입력할 수도 있다. 블록 1110으로 도시된 바와 같이, MST와 함께 작동하는 지갑 어플리케이션은 온라인 이-커머스 웹사이트로 입력하도록 사용자에 대해 동적으로 발생된 CVV-2를 계산하고 디스플레이한다.
EXP는 카드의 실제의(real) EXP 또는 모드 인디케이터로서 사용하기 위한 변조된 장래의 EXP일 수 있다. EXP가 변조되지 않은 경우, 프로비저닝 및 인증 서버는 PAN에 기반하여 카드가 이-커머스 거래에 대해 dCVV 하에서 등록된 것을 알기 때문에 dCVV에 기반된 거래를 인가한다. EXP가 변조된 경우, 이는 진정한 EXP를 숨기는 블러링 효과; 및 카드가 dCVV 하에서 인가되어야 하는 추가적 보호 수단을 제공한다.
CVV-2는 PAN, 실제의 EXP, SVC 및 현재 타임-스탬프에 기반된 MST 및 지갑 어플리케이션에 의해 계산될 수도 있다. 위에 설명된 바와 같이, 타임-스탬프가 절대적이고 보편적으로(implicitly and universally) 동기화되므로, 인가 서버(예를 들어, 카드 발행자 서버 또는 프로비저닝 및 인증 서버)는 CVV-2가 기반된 타임-스탬프가 알려질 필요가 없다. 여기서, CVV-2는 위에 설명된 암호문의 결정성(deterministic) 함수일 수도 있고 실질적으로 유사한 방식으로 발생될 수도 있다. 또한, 암호문은 디지털화 함수를 사용하여 디지털화될 수도 있다. 예를 들어, 암호문으로부터 최초의 3개의 문자(character)를 취하고, 예를 들어, 10으로써, 3-자리 CVV-2를 획득하도록, 모든 문자에 모듈로 연산(modulo operation)을 수행한다.
블록 1112로 도시된 바와 같이, 사용자는 온라인 이-커머스 웹사이트로 동적으로 발생된 CVV-2를 입력한다. 블록 1114로 도시된 바와 같이, 인가 서버(예를 들어, 카드 발행자 서버, 결제 네트워크 또는 프로비저닝 및 인증 서버)는 PAN, EXP, 이름 및 CVV-2를 수신하고 그것의 현재 타임-스탬프를 체크하고 동일한 알고리즘을 이용하여 CVV-2를 독립적으로 산출한다. 블록 1118로 도시된 바와 같이, 그들이 매칭한 경우 거래를 인가하도록, 또는 블록 1120으로 도시된 바와 같이, 그들이 매칭하지 않은 경우 거래를 거절하도록, 블록 1116로 도시된 바와 같이, 산출된 CVV-2는 사용자에 의해 입력된 CVV-2와 비교된다. 또한, 인가 서버(예를 들어, 카드 발행자 서버, 결제 네트워크 또는 프로비저닝 및 인증 서버)는 +/- X 타임-스탬프를 용인할 수도 있고, 여기서 X는 설정 가능하다.
이벤트 내에서, 온라인 이-커머스 웹사이트 또는 가맹점은 EXP를 저장하고 반복 거래에 대한 CVV2를 저장하지 않고, 카드 발행자는 거래가 CVV 없이 통과되도록 허용할 수도 있다. 예를 들어, CVV2는 EXP가 동적인 경우, EXP가 정상적인(normal) 거래 동안 재사용되면, 거래는 실패할 수도 있다. 어떤 이벤트 내에서, 반복적으로 발생하는(recurring) 결제를 사용하면, 카드 발행자는 이전에 유효한 거래가 성공적으로 완료되었으므로 거래가 계속되도록 허용하는 것을 택할 수도 있고, 그렇지 않으면 카드 발행자는 거래를 거절할 수도 있다. 환불에 대해 유사하게, 카드 발행자는 그들 소유 시스템 내에서 특정 거래에 관련하는 환불을 발행하기 위해 PAN에 의지할 수도 있다.
통상적으로, MST(102)는, 위에서 설명된 바와 같이, 카드 데이터를 자기 필드 전송기로부터 가맹점 POS의 자기 스트라이프 판독기(MSR)로 전송함으로써 가맹점 POS(point of sale)과 상호 작용하는데 사용될 수 있고 이-커머스 거래에서 사용될 수 있다. 도 12에 도시된 바와 같이, MST(102)는, 마이크로프로세서(1202), 발광 다이오드(LED: light-emitting diode) 인디케이터(1204), 전원(power source)(1206), 선택적으로 자기 스트라이프 판독기(MSR)(1208), 메모리 스토리지 컴포넌트 또는 보안 엘리먼트(1210), 입/출력(input/output) 인터페이스(1212)(예: 3.5mm 또는 다른 표준 오디오 포트, USB 포트/잭 인터페이스, 또는 이에 제한되지 않으나, 30핀 또는 9핀 Apple 인터페이스, 블루투스 인터페이스 및 다른 시리얼(serial) 인터페이스를 포함하는 다른 통신 인터페이스), 및 POS(120)과 같이 MSR을 구비한 어떤 POS 디바이스에 의해 수신될 자기 펄스를 전송하기 위한, 드라이버 및 인덕터를 포함하는 자기장 전송기(magnetic field transmitter)(1214)를 포함한다.
마이크로프로세서(1202)는 보안을 관리하고(handle), 모바일 통신 디바이스(104)와 통신한다. 또한, 상기 마이크로프로세서(1202)는 암호화된 카드 데이터를 보안 엘리먼트(1210)로 전송하고 보안 엘리먼트(1210)로부터 수신할 수 있다. 자기장 전송기(1214)는 자기 임펄스(magnetic impulse)를 POS 디바이스(120)의 MSR로 전송함으로써, 카드 소지자의 자기 스트라이프 데이터를 POS 디바이스(120)로 전송한다. 또한, MST(102)는 부가적인 MSR(1208)을 이용함으로써 다른 자기 스트라이프 카드를 판독하는데 사용될 수도 있다. MSR(1208)은, 결제 카드 데이터를 보안 엘리먼트(510) 상에 로드하기 위해, 그리고 카드 트랙 데이터를 캡처하기 위해 사용될 수도 있다.
모바일 통신 디바이스(104)는, 지갑 어플리케이션을 포함하고, 키 패드(key pad)를 구비한 디스플레이 또는 터치 디스플레이, 및 중앙 처리 장치(CPU: central processing unit)를 포함할 수도 있다. 지갑 어플리케이션은 MST(102)를 초기화 및 언락하고, MST(102)와 상호 작용하며, MST(102)로부터 카드 결제 데이터를 수용(accept)한다. 또한, 모바일 통신 디바이스(104)는 dCVV를 사용하여 온라인 이-커머스 거래에 입력하도록 사용자에 대해 CVV-2를 디스플레이 하기 위해 MST(102)와 상호 작용할 수도 있다.
카드 데이터는 암호화될 수도 있고, 암호화된 데이터는 모바일 통신 디바이스(104)로 전송될 수도 있다. 지갑 어플리케이션은 서버로 데이터를 전송할 수도 있다. 데이터는 서버에서 복호화될 수도 있고, PAN(primary account number) 데이터, 카드 번호, 만기 및 카드 소지자의 이름은 트랙 데이터로부터 추출된다(stripped from). 또한, 지갑 어플리케이션 또는 서버는, 자기(magnetic) 카드가 결제 카드 인지 또는 비결제 카드인지 판단을 내릴 수도 있다. 자기 카드가 비결제 카드이면, MST(102)는 비결제 전송을 위해 트랙 데이터를 메모리에 자동적으로 저장할 수 있다. 자기 카드가, 예컨대, 시스템에 인식 가능한 특정 포맷을 가진 결제 카드이면, 카드는 결제 카드로서 검출될 수도 있고, 시스템은 결제 카드 상의 이름이 사용자 계정의 이름과 매칭하는지 판단한다. 이름이 매칭되지 않으면, 에러 메시지가 발생할 수도 있다. 결제 카드 상의 이름이 사용자 계정의 이름과 매칭되면, 시스템은, 새로운 계정을 생성하거나 기존의 카드를 잔류시키기 위해, PAN 번호가 서버 상에 이미 저장된 기존의 카드와 매칭하는지 판단할 수도 있다. 새로운 카드가 생성되면, 시스템은, 암호화된 MST의 보안 메모리의 결제 섹션(payment section)에 트랙 데이터를 저장할 수도 있다.
위에서 설명된 바와 같이, MST(102)는, 결제 카드에 한하지 않고, 어떠한 유형의 자기 스트라이프 카드도 메모리 수단으로 로드할 수 있는 능력을 가진다. 비결제 카드는, 편의성을 위해, 보안성을 낮추어 별도로 저장될 수도 있다. 예를 들어, 몇몇 비결제 어플리케이션은 도어를 열기 위한 카드, 로열티(loyalty) 카드 등을 포함할 수 있다. 결제 데이터 vs. 비결제 데이터의 로딩(loading)은, 2개의 별개 필드 또는 저장 영역에 분리될 수도 있다. 예를 들어, 결제 카드는 비결제 스토리지로 로드되지 않을 수도 있다. 예를 들면, 결제 데이터는, 검출될 수 있는 특정한 포맷을 가질 수도 있고, 비결제 스토리지 영역으로 로드되도록 허용되지 않을 수도 있다. 또한, 결제 카드는, 전송되기 전에, 어플리케이션을 통한 인증을 요구할 수도 있다. 반면, 디폴트(default) 비결제 데이터는 인증 없이 전송될 수도 있다.
본 문서에 개시된 디바이스, 시스템 및 방법은, 변경(modification) 없이 사용자에 의해 캡처되어 직접적으로 MST의 보안 메모리 수단에 저장되고, 추후 POS 또는 다른 MSR 디바이스와 사용될 카드 데이터를 제공한다. 사용자 계정에 대한 MST의 유니크(unique)한 연결 및 등록은, 상기 MST가 카드 데이터 저장 및 전송 사용에 상기 계정과만 사용될 수 있도록 보안성을 제공한다.
MST는 오디오 잭 및 USB 연결을 넘어서 (블루투스 및 다른 무선 통신 인터페이스와 같은) 상이한 인터페이스를 통해 모바일 통신 디바이스와 연결될 수 있다. 디바이스, 시스템, 및 방법은, 암호화된 카드 데이터를 MST의 메모리 수단으로 로딩하는 것을 허용할 수 있고, 암호화된 카드 데이터는 추후 복호화될 수 있고, POS로 전송되거나, 또는 암호화되어 모바일 통신 디바이스로 전송되고 그리고 나서 복호화 및 서버 상에서 사용자 계정을 로딩하는 처리 또는 POS 거래의 처리를 위해 결제 서버로 라우팅(routing)될 수 있다. 디바이스, 시스템 및 방법은, 가상 체크아웃 환경에서, 가맹점에 대한 더 안전하고 더 낮은 비용의 거래를 위하여, 저장된 카드 데이터 또는 스와이핑된 카드 데이터를 사용하는 기능을 제공한다. 디바이스, 시스템 및 방법은, 카드 발행자로부터 지갑 서버 제공자로, 모바일 통신 디바이스 상의 지갑 어플리케이션으로, 그리고 추후 사용을 위한 MST의 SE(security element) 또는 메모리 수단으로의, 카드 데이터의 원격 로딩 및 전송을 제공한다. 또한, 디바이스, 시스템 및 방법은, 결제 카드 데이터와 함께 로열티 계정 정보를, 거래 중 또는 그 이후에 발행자에 의해 판독될 카드 데이터의 하나 이상의 임의(discretionary) 필드에 로드하는 기능을 제공하고, 이는 결제 거래와 결합된 할인(offers) 및 로열티 프로그램으로 이어질 수 있다.
통상적으로, 본 문서에 개시된 디바이스, 시스템 및 방법은, 예를 들어, 범용 컴퓨팅 시스템, POS 시스템, 서버-클라이언트 컴퓨팅 시스템, 메인프레임 컴퓨팅 시스템, 클라우드 컴퓨팅 인프라스트럭쳐, 전화 컴퓨팅 시스템, 랩탑 컴퓨터, 데스크탑 컴퓨터, 스마트 폰, 셀룰러 폰, PDA(personal digital assistant), 태블릿 컴퓨터 및 다른 모바일 디바이스를 포함하는 다수의 상이한 디바이스 및 컴퓨터 시스템을 포함할 수 있고 상기 다수의 상이한 디바이스 및 컴퓨터 시스템으로 실시될 수 있다. 디바이스 및 컴퓨팅 시스템은 하나 이상의 데이터베이스 및 다른 저장 장치, 서버, 및 추가적 컴포넌트, 예를 들어, 프로세서, 모뎀, 터미널 및 디스플레이, 입/출력 디바이스, 컴퓨터-판독가능한 미디어, 알고리즘, 모듈 및 다른 컴퓨터-관련 컴포넌트를 가질 수도 있다. 디바이스 및 컴퓨터 시스템 및/또는 컴퓨팅 인프라스트럭쳐는 본 문서에 개시된 바와 같이 시스템 및 방법의 기능 및 처리를 수행하도록 구성되고, 프로그래밍되고, 개조된다.
본 문서에 개시된 디바이스, 시스템 및 방법에서 컴포넌트 사이의 통신은 유선 또는 무선의 구성(configuration) 또는 네트워크를 통한 단방향 또는 양방향 전자 통신일 수도 있다. 예를 들면, 하나의 컴포넌트는 서드 파티 중개(third party intermediary)를 통해, 인터넷을 거쳐, 또는 그렇지 않으면 컴포넌트 사이의 통신을 가능하게 하는 다른 구성요소 또는 디바이스를 통해, 직접적으로 또는 간접적으로 유선 연결되거나 무선으로 네트워크 연결될 수도 있다. 무선 통신의 예시들은, 이에 제한되지는 않으나, RF(radio frequency), 적외선(infrared), 블루투스(Bluetooth), (WiFi와 같은) WLAN(wireless local area network) 또는, LTE(Long Term Evolution) 네트워크, WiMAX 네트워크, 3G 네트워크, 4G 네트워크, 및 다른 타입의 통신 네트워크와 같은 무선 통신 네트워크와 통신할 수 있는 라디오와 같은 무선 네트워크 라디오를 포함한다.
본 문서에 개시된 방법은 소프트웨어, 펌웨어 및/또는 하드웨어의 상이한 형태로 수행될 수도 있다. 본 문서에 개시된 방법은 단일의 디바이스 상에서 수행될 수도 있고 다수의 디바이스 상에서 수행될 수도 있다. 예를 들어, 하나 이상의 컴포넌트를 포함하는 프로그램 모듈은 상이한 디바이스 내에 위치될 수도 있고 본 개시의 하나 이상의 측면을 각각 수행할 수도 있다.
디바이스들, 시스템들, 및 방법들이 특정 실시 예들과 연관되어 묘사되고 설명되었으나, 수 많은 변형 및 수정은 해당 기술분야의 통상의 기술자에게 명백할 것이며, 본 개시의 사상 및 범위에서 벗어남 없이 이루어질 수도 있다. 따라서, 본 개시는 상기 변형 및 수정이 본 개시의 범위 내에 포함되도록 의도되었기 때문에, 전술한 방법론 또는 설명의 엄밀한 상세 내용에 제한되지 않는다.
Claims (21)
- 동적 카드 데이터 생성 방법에 있어서,
디바이스에 의해, 카드 트랙 데이터(card track data)를 수신하는 단계;
상기 디바이스에 의해, 제1 키를 사용하여 상기 카드 트랙 데이터를 암호화하는 단계;
상기 디바이스에 의해, 상기 암호화된 카드 트랙 데이터를 서버로 송신하는 단계;
상기 디바이스에 의해, 워킹 키(working key)를 수신하는 단계;
상기 디바이스에 의해, 상기 워킹 키를 사용하여 시간-의존 CVV를 포함하는 변조된 카드 트랙 데이터를 발생시키는 단계; 및
상기 디바이스에 의해, 이-커머스(e-commerce) 거래에서의 사용을 위해 상기 변조된 카드 트랙 데이터가 사용자에게 디스플레이되도록 하거나 판매 시점 단말(point of sale terminal)로 상기 변조된 카드 트랙 데이터를 송신하는 단계를 포함하는 방법. - 제 1 항에 있어서,
만료 일자, 등록된 카드 번호(primary account number), 또는 상기 변조된 카드 트랙 데이터의 임의 필드(discretionary field) 중 일부는 카드 발행자 또는 서드 파티(third party) 서비스 제공자에게 상기 변조된 카드 트랙 데이터가 동적-CVV(dCVV) 카드 트랙 데이터이고 인가(authorization)가 dCVV 모드에서 수행되는 것을 나타내는 방법. - 제 1 항에 있어서,
상기 판매 시점 단말로 상기 변조된 카드 트랙 데이터를 송신하는 단계는 상기 시간-의존 CVV 및 동적 모드 인디케이터(indicator)를 송신하는 단계를 포함하는 방법. - 제 3 항에 있어서,
상기 동적 모드 인디케이터는 카드 번호(primary account number), 만료 일자, 또는 상기 변조된 트랙 데이터의 분리된(separate) 동적 모드 인디케이터인 방법. - 제 4 항에 있어서,
상기 동적 모드 인디케이터는 카드 발행자 또는 서드 파티 서비스 제공자에게 상기 변조된 카드 트랙 데이터가 동적-CVV(dCVV) 카드 트랙 데이터이고 인가가 dCVV 모드에서 수행되는 것을 나타내는 방법. - 제 1 항에 있어서,
상기 디바이스는 자기 스트라이프 스토리지 및 전송 디바이스, 또는 모바일 통신 디바이스인 방법. - 발행자에 의한 동적 금융 카드 데이터의 프로비저닝 방법에 있어서,
서버에 의해, 카드 트랙 데이터를 프로비저닝(provisioning)하기 위한 요청을 수신하는 단계;
상기 서버에 의해, 상기 카드 트랙 데이터의 카드 발행자에 대응하는 카드 발행자 서버로부터 상기 카드 트랙 데이터에 대응하는 사용자의 인증(authentication)을 요청하는 단계;
상기 서버에 의해, 상기 카드 발행자 서버로부터 인증 결과를 수신하는 단계;
상기 서버에 의해, 동적 카드 트랙 데이터의 발생을 위해 워킹 키를 발생시키는 단계를 포함하는 방법. - 제 7 항에 있어서,
상기 카드 발행자 서버로부터 상기 사용자의 인증을 요청하는 단계는 인증을 위해 상기 카드 발행자 서버로 CVV-2, 이름, 생년월일, 사용자 이름 및 패스워드 중 적어도 하나, 카드 번호(primary account number), 및 챌린지 질문(challenge question)에 대한 해답(answer)을 송신하는 단계를 포함하는 방법. - 제 7 항에 있어서,
지갑 서버(wallet server)로 상기 워킹 키를 안전하게(securely) 송신하는 단계를 더 포함하는 방법. - 제 7 항에 있어서,
결제 거래(payment transaction)의 개시에 응답하여 동적 CVV(dCVV)의 검증을 위한 요청을 수신하는 단계를 더 포함하고, 상기 dCVV는 상기 워킹 키에 기반하는 방법. - 제 10 항에 있어서,
상기 dCVV의 검증을 위한 상기 요청을 수신하는 단계는 카드 번호(primary account number), 만료 일자, 서비스 코드, 타임-스탬프 및 모드 인디케이터를 수신하는 단계를 포함하는 방법. - 제 11 항에 있어서,
거래를 검증하기 위해 상기 서버 상에 저장된 타임-스탬프 또는 현재 시간과 상기 수신된 타임-스탬프를 비교하는 단계를 더 포함하는 방법. - 제 12 항에 있어서,
상기 수신된 타임-스탬프보다 더 큰 시간에 대응하는 상기 저장된 타임 스탬프 또는 현재 시간에 응답하여 인가 실패를 송신하는 단계를 더 포함하는 방법. - 동적-CVV(dCVV)의 수행 방법에 있어서,
서버에 의해, 카드 트랙 데이터에 대한 워킹 키를 발생시키는 단계;
자기 스트라이프 스토리지 및 전송 디바이스(MST)에 의해, 상기 워킹 키를 수신하는 단계;
상기 MST에 의해, 원본 카드 트랙 데이터, 타임-스탬프 및 카운터에 기반된 dCVV 컴포넌트 및 상기 워킹 키를 포함하는 변조된 카드 트랙 데이터를 발생시키는 단계;
결제 처리를 위해 판매 시점 단말 또는 이-커머스 웹사이트(e-commerce website)로 상기 변조된 카드 트랙 데이터를 송신하는 단계;
상기 서버에 의해, 결제 처리의 개시에 응답하여 카드 발행자 서버 또는 서드 파티 서비스 제공자로부터 dCVV의 검증을 위한 요청을 수신하는 단계 -상기 요청은 상기 변조된 카드 트랙 데이터를 포함함-;
상기 서버에 의해, 상기 dCVV 컴포넌트의 검증을 수행하는 단계; 및
상기 서버에 의해, 상기 dCVV 컴포넌트의 상기 검증에 기반된 검증 실패 또는 최종 검증을 송신하는 단계를 포함하는 방법. - 제 14 항에 있어서,
상기 변조된 카드 트랙 데이터는 상기 dCVV 컴포넌트, 카드 번호(primary account number), 만료 일자, 서비스 코드, 타임-스탬프 또는 카운터, 및 상기 만료 일자 또는 상기 카드 번호가 인가가 dCVV 모드에서 수행될 것을 나타내는데 사용되지 않는 경우 선택적으로 분리된 모드 인디케이터를 포함하는 방법. - 제 15 항에 있어서,
상기 모드 인디케이터는 상기 변조된 카드 트랙 데이터가 dCVV 카드 트랙 데이터이고 인가가 dCVV 모드에서 수행될 것을 상기 카드 발행자 서버에 나타내는 방법. - 제 15 항에 있어서,
상기 검증을 수행하는 단계는 상기 서버의 저장된 타임-스탬프 또는 현재 시간, 또는 저장된 카운터와 수신된 타임-스탬프 또는 수신된 카운터를 비교하는 단계를 포함하는 방법. - 제 17 항에 있어서,
상기 검증 실패 또는 상기 최종 검증을 송신하는 단계는 상기 수신된 타임-스탬프보다 큰 시간에 대응하는 상기 서버의 상기 저장된 타임-스탬프 또는 현재 시간에 응답하여 상기 검증 실패를 송신하는 단계를 포함하는 방법. - 제 15 항에 있어서,
상기 검증을 수행하는 단계는:
상기 서버에 의해, 상기 워킹 키를 사용하여 dCVV 값을 독립적으로 산출하는 단계; 및
상기 dCVV 컴포넌트와 상기 산출된 dCVV 값을 비교하는 단계를 포함하는 방법. - 제 19 항에 있어서,
상기 검증 실패 또는 상기 최종 검증을 송신하는 단계는 상기 수신된 dCVV 컴포넌트와 매칭하는 상기 산출된 dCVV 값에 응답하여 상기 최종 검증을 송신하는 단계를 포함하는 방법. - 제 14 항에 있어서,
상기 서버에 의해, 거래를 완료하도록 상기 카드 발행자 서버의 정상(normal) 처리 방법을 통해 처리를 위해 상기 카드 발행자 서버로 상기 원본 카드 트랙 데이터를 송신하는 단계를 더 포함하고,
상기 원본 카드 트랙 데이터는 상기 카드 발행자 서버에 대응하는 카드 발행자의 데이터에 대응하는 방법.
Applications Claiming Priority (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201461942681P | 2014-02-21 | 2014-02-21 | |
| US61/942,681 | 2014-02-21 | ||
| US201461974696P | 2014-04-03 | 2014-04-03 | |
| US61/974,696 | 2014-04-03 | ||
| US14/511,994 | 2014-10-10 | ||
| US14/511,994 US20150371234A1 (en) | 2014-02-21 | 2014-10-10 | Methods, devices, and systems for secure provisioning, transmission, and authentication of payment data |
| PCT/US2015/015855 WO2015126753A1 (en) | 2014-02-21 | 2015-02-13 | Methods, devices, and systems for secure provisioning, transmission, and authentication of payment data |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020177009092A Division KR101815430B1 (ko) | 2014-02-21 | 2015-02-13 | 결제 데이터의 보안 프로비저닝, 전송 및 인증을 위한 방법, 디바이스 및 시스템 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20160077171A true KR20160077171A (ko) | 2016-07-01 |
| KR101784125B1 KR101784125B1 (ko) | 2017-10-10 |
Family
ID=53878845
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020177009092A KR101815430B1 (ko) | 2014-02-21 | 2015-02-13 | 결제 데이터의 보안 프로비저닝, 전송 및 인증을 위한 방법, 디바이스 및 시스템 |
| KR1020167014095A KR101784125B1 (ko) | 2014-02-21 | 2015-02-13 | 결제 데이터의 보안 프로비저닝, 전송 및 인증을 위한 방법, 디바이스 및 시스템 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020177009092A KR101815430B1 (ko) | 2014-02-21 | 2015-02-13 | 결제 데이터의 보안 프로비저닝, 전송 및 인증을 위한 방법, 디바이스 및 시스템 |
Country Status (11)
| Country | Link |
|---|---|
| US (2) | US20150371234A1 (ko) |
| EP (2) | EP3113095A1 (ko) |
| JP (2) | JP6263624B2 (ko) |
| KR (2) | KR101815430B1 (ko) |
| CN (2) | CN105701661B (ko) |
| AU (2) | AU2015219276B2 (ko) |
| CA (1) | CA2927113C (ko) |
| HK (2) | HK1223179A1 (ko) |
| RU (1) | RU2648944C2 (ko) |
| SG (2) | SG10201702208RA (ko) |
| WO (1) | WO2015126753A1 (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10796297B2 (en) | 2017-01-03 | 2020-10-06 | Samsung Electronics Co., Ltd. | Method and electronic device for secure magnetic pulse transmission |
Families Citing this family (201)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106803175B (zh) * | 2011-02-16 | 2021-07-30 | 维萨国际服务协会 | 快拍移动支付装置,方法和系统 |
| US10121129B2 (en) | 2011-07-05 | 2018-11-06 | Visa International Service Association | Electronic wallet checkout platform apparatuses, methods and systems |
| US10242358B2 (en) | 2011-08-18 | 2019-03-26 | Visa International Service Association | Remote decoupled application persistent state apparatuses, methods and systems |
| US10825001B2 (en) | 2011-08-18 | 2020-11-03 | Visa International Service Association | Multi-directional wallet connector apparatuses, methods and systems |
| US10223730B2 (en) | 2011-09-23 | 2019-03-05 | Visa International Service Association | E-wallet store injection search apparatuses, methods and systems |
| US11514435B2 (en) * | 2011-10-12 | 2022-11-29 | Boost Payment Solutions, Inc. | Electronic payment processing using adjusted interchange rate |
| US9022286B2 (en) | 2013-03-15 | 2015-05-05 | Virtual Electric, Inc. | Multi-functional credit card type portable electronic device |
| US9218468B1 (en) | 2013-12-16 | 2015-12-22 | Matthew B. Rappaport | Systems and methods for verifying attributes of users of online systems |
| US10078840B2 (en) * | 2014-04-28 | 2018-09-18 | Mastercard International Incorporated | Method for generating and updating alternate security codes for payment cards |
| US11288660B1 (en) | 2014-04-30 | 2022-03-29 | Wells Fargo Bank, N.A. | Mobile wallet account balance systems and methods |
| US10997592B1 (en) | 2014-04-30 | 2021-05-04 | Wells Fargo Bank, N.A. | Mobile wallet account balance systems and methods |
| US11615401B1 (en) | 2014-04-30 | 2023-03-28 | Wells Fargo Bank, N.A. | Mobile wallet authentication systems and methods |
| US11610197B1 (en) | 2014-04-30 | 2023-03-21 | Wells Fargo Bank, N.A. | Mobile wallet rewards redemption systems and methods |
| US11748736B1 (en) | 2014-04-30 | 2023-09-05 | Wells Fargo Bank, N.A. | Mobile wallet integration within mobile banking |
| US9652770B1 (en) | 2014-04-30 | 2017-05-16 | Wells Fargo Bank, N.A. | Mobile wallet using tokenized card systems and methods |
| US11574300B1 (en) | 2014-04-30 | 2023-02-07 | Wells Fargo Bank, N.A. | Mobile wallet systems and methods using trace identifier using card networks |
| US11461766B1 (en) | 2014-04-30 | 2022-10-04 | Wells Fargo Bank, N.A. | Mobile wallet using tokenized card systems and methods |
| US20150348044A1 (en) * | 2014-05-30 | 2015-12-03 | Verizon Patent And Licensing Inc. | Secure credit card transactions based on a mobile device |
| US10185960B2 (en) | 2014-07-11 | 2019-01-22 | Google Llc | Hands-free transactions verified by location |
| US20160012426A1 (en) | 2014-07-11 | 2016-01-14 | Google Inc. | Hands-free transactions with a challenge and response |
| US10445739B1 (en) | 2014-08-14 | 2019-10-15 | Wells Fargo Bank, N.A. | Use limitations for secondary users of financial accounts |
| KR20160056749A (ko) * | 2014-11-12 | 2016-05-20 | 삼성전자주식회사 | 결제를 위한 방법 및 장치 |
| US11620654B2 (en) * | 2014-12-04 | 2023-04-04 | Mastercard International Incorporated | Methods and apparatus for conducting secure magnetic stripe card transactions with a proximity payment device |
| WO2016129863A1 (en) * | 2015-02-12 | 2016-08-18 | Samsung Electronics Co., Ltd. | Payment processing method and electronic device supporting the same |
| KR102460459B1 (ko) | 2015-02-27 | 2022-10-28 | 삼성전자주식회사 | 전자 장치를 이용한 카드 서비스 방법 및 장치 |
| WO2016137277A1 (en) | 2015-02-27 | 2016-09-01 | Samsung Electronics Co., Ltd. | Electronic device providing electronic payment function and operating method thereof |
| US11853919B1 (en) | 2015-03-04 | 2023-12-26 | Wells Fargo Bank, N.A. | Systems and methods for peer-to-peer funds requests |
| US11037139B1 (en) | 2015-03-19 | 2021-06-15 | Wells Fargo Bank, N.A. | Systems and methods for smart card mobile device authentication |
| US11188919B1 (en) | 2015-03-27 | 2021-11-30 | Wells Fargo Bank, N.A. | Systems and methods for contactless smart card authentication |
| DE102016100809A1 (de) * | 2015-04-14 | 2016-10-20 | Samsung Electronics Co. Ltd. | Nahfeldkommunikationsbaugruppe und tragbare Vorrichtung, welche dieselbe enthält |
| US10878407B1 (en) * | 2015-04-17 | 2020-12-29 | Jpmorgan Chase Bank, N.A. | Systems and methods for facilitating payment application provisioning and transacting |
| US9965411B2 (en) * | 2015-05-07 | 2018-05-08 | Avago Technologies General Ip (Singapore) Pte. Ltd. | Near field communication (NFC) enabled peripheral device |
| KR20160136806A (ko) * | 2015-05-21 | 2016-11-30 | 삼성전자주식회사 | 전자 장치 및 그의 무선 통신 수행 방법 |
| US10410205B2 (en) * | 2015-08-21 | 2019-09-10 | Samsung Electronics Co., Ltd. | Apparatus and method for performing payment transaction using dynamic MST configuration |
| US10699274B2 (en) | 2015-08-24 | 2020-06-30 | Samsung Electronics Co., Ltd. | Apparatus and method for secure electronic payment |
| US10846696B2 (en) | 2015-08-24 | 2020-11-24 | Samsung Electronics Co., Ltd. | Apparatus and method for trusted execution environment based secure payment transactions |
| CA2930705C (en) * | 2015-08-27 | 2019-06-11 | Samsung Pay, Inc. | Mobile checkout systems and methods |
| KR102530888B1 (ko) * | 2015-09-01 | 2023-05-11 | 삼성전자주식회사 | 결제 거래를 수행하는 방법 및 장치 |
| US10420259B2 (en) * | 2015-10-05 | 2019-09-17 | Amosense Co., Ltd. | Multifunctional hybrid module and portable device comprising same |
| GB2557542A (en) | 2015-10-12 | 2018-06-20 | Walmart Apollo Llc | Re-using e-commerce payment instruments for in-store use systems and methods |
| KR101779506B1 (ko) * | 2015-10-20 | 2017-09-18 | 엘지전자 주식회사 | 이동단말기 및 그 제어방법 |
| FR3045877B1 (fr) * | 2015-12-22 | 2018-07-27 | Idemia France | Procede d'authentification |
| WO2017111271A1 (en) * | 2015-12-23 | 2017-06-29 | Lg Electronics Inc. | Mobile device and operating method hereof |
| KR101780566B1 (ko) * | 2015-12-23 | 2017-09-21 | 엘지전자 주식회사 | 이동 단말기 및 그의 동작 방법 |
| WO2017142135A1 (ko) * | 2016-02-15 | 2017-08-24 | 엘지전자 주식회사 | 이동 단말기 |
| EP3424004A4 (en) * | 2016-03-01 | 2019-08-28 | Google LLC | DIRECT FACILITATION OF HAND-FREE TRANSACTIONS |
| US10482463B2 (en) | 2016-03-01 | 2019-11-19 | Google Llc | Facial profile modification for hands free transactions |
| EP3217343A1 (en) * | 2016-03-08 | 2017-09-13 | Gemalto Sa | A method to compensate by a server a clock deviation of a card |
| KR102671398B1 (ko) | 2016-04-08 | 2024-06-03 | 삼성전자주식회사 | 휴대 장치 및 휴대 장치의 전자 결제방법 |
| KR20170118431A (ko) * | 2016-04-15 | 2017-10-25 | 삼성전자주식회사 | 전자 장치 및 이를 이용한 결제 방법 |
| US11113688B1 (en) * | 2016-04-22 | 2021-09-07 | Wells Fargo Bank, N.A. | Systems and methods for mobile wallet provisioning |
| US10149160B2 (en) | 2016-05-11 | 2018-12-04 | Bank Of America Corporation | Recognizing and authenticating mobile devices based on unique cross-channel bindings |
| US10417630B2 (en) | 2016-07-28 | 2019-09-17 | Samsung Electronics Co., Ltd. | Transmission-pulse sequence including proxy for secondary magnetic stripe |
| US10474879B2 (en) | 2016-07-31 | 2019-11-12 | Google Llc | Automatic hands free service requests |
| SG11201900316VA (en) | 2016-08-19 | 2019-02-27 | Visa Int Service Ass | Automated access data change detection |
| US10360485B2 (en) * | 2016-08-29 | 2019-07-23 | Integrated Device Technology, Inc. | Circuits and systems for low power magnetic secure transmission |
| SE540668C2 (en) * | 2016-08-30 | 2018-10-09 | No Common Payment Ab | Generation and verification of a temporary card security code for use in card based transactions |
| CN106372895A (zh) * | 2016-09-12 | 2017-02-01 | 北海和思科技有限公司 | 一种社区智能支付系统及方法 |
| EP3883216A1 (en) | 2016-09-23 | 2021-09-22 | Apple Inc. | Managing credentials of multiple users on an electronic device |
| US11468414B1 (en) | 2016-10-03 | 2022-10-11 | Wells Fargo Bank, N.A. | Systems and methods for establishing a pull payment relationship |
| KR102583254B1 (ko) | 2016-10-27 | 2023-09-27 | 삼성전자주식회사 | 반도체 집적 회로, 그것의 동작 방법, 그리고 그것을 포함하는 전자 장치 |
| SG10201609753RA (en) | 2016-11-21 | 2018-06-28 | Mastercard International Inc | System And Method For Stand-In Processing |
| US20180158052A1 (en) * | 2016-12-01 | 2018-06-07 | The Toronto-Dominion Bank | Asynchronous cryptogram-based authentication processes |
| EP3333791A1 (en) * | 2016-12-12 | 2018-06-13 | Gemalto Sa | Method for generating a cryptogram in a user device and verifying this cryptogram in a payment server, corresponding user device and payment server |
| US20180232725A1 (en) * | 2017-02-14 | 2018-08-16 | Its, Inc. | Payment tokenization using separate token vault |
| CN108881126B (zh) * | 2017-05-15 | 2021-08-31 | 阿里巴巴集团控股有限公司 | 验证验证码的方法、装置、系统、存储介质和计算机终端 |
| US20200226608A1 (en) * | 2017-05-25 | 2020-07-16 | Mir Limited | Dynamic verification method and system for card transactions |
| WO2019031717A1 (ko) * | 2017-08-09 | 2019-02-14 | 주식회사 센스톤 | 매장 내부통신망 기반의 결제시스템, 매장 내부통신망 기반의 결제기능을 포함하는 이동단말기, 매장 내부통신망 기반의 결제서비스 제공방법, 및 이를 수행하는 프로그램 |
| US10956905B2 (en) * | 2017-10-05 | 2021-03-23 | The Toronto-Dominion Bank | System and method of session key generation and exchange |
| CN108134667B (zh) * | 2017-11-15 | 2021-05-11 | 中国银联股份有限公司 | 生成动态信用卡安全码的方法和设备、银行卡 |
| WO2019125611A1 (en) | 2017-12-22 | 2019-06-27 | Walmart Apollo, Llc | Digital wallet management system |
| US11295297B1 (en) | 2018-02-26 | 2022-04-05 | Wells Fargo Bank, N.A. | Systems and methods for pushing usable objects and third-party provisioning to a mobile wallet |
| CN110223129A (zh) * | 2018-03-01 | 2019-09-10 | 辰伟电子商务有限公司 | 建材网购物系统 |
| US10783234B2 (en) * | 2018-04-06 | 2020-09-22 | The Toronto-Dominion Bank | Systems for enabling tokenized wearable devices |
| JP6466011B1 (ja) * | 2018-04-13 | 2019-02-06 | クールビックス リミテッド | 電子ウォレットの生成及び復元方法 |
| US11074577B1 (en) | 2018-05-10 | 2021-07-27 | Wells Fargo Bank, N.A. | Systems and methods for making person-to-person payments via mobile client application |
| US11775955B1 (en) | 2018-05-10 | 2023-10-03 | Wells Fargo Bank, N.A. | Systems and methods for making person-to-person payments via mobile client application |
| US10546444B2 (en) | 2018-06-21 | 2020-01-28 | Capital One Services, Llc | Systems and methods for secure read-only authentication |
| CN109167666A (zh) * | 2018-08-31 | 2019-01-08 | 深圳众赢维融科技有限公司 | 验证码生成、解密、移动支付方法和装置 |
| US10565587B1 (en) | 2018-10-02 | 2020-02-18 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10949520B2 (en) | 2018-10-02 | 2021-03-16 | Capital One Services, Llc | Systems and methods for cross coupling risk analytics and one-time-passcodes |
| US10607214B1 (en) | 2018-10-02 | 2020-03-31 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10733645B2 (en) | 2018-10-02 | 2020-08-04 | Capital One Services, Llc | Systems and methods for establishing identity for order pick up |
| US10581611B1 (en) | 2018-10-02 | 2020-03-03 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10771254B2 (en) | 2018-10-02 | 2020-09-08 | Capital One Services, Llc | Systems and methods for email-based card activation |
| CA3115142A1 (en) | 2018-10-02 | 2020-04-09 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US11210664B2 (en) | 2018-10-02 | 2021-12-28 | Capital One Services, Llc | Systems and methods for amplifying the strength of cryptographic algorithms |
| US10554411B1 (en) | 2018-10-02 | 2020-02-04 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10592710B1 (en) | 2018-10-02 | 2020-03-17 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| CA3112585A1 (en) | 2018-10-02 | 2020-04-09 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| WO2020072552A1 (en) | 2018-10-02 | 2020-04-09 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| AU2019355436A1 (en) | 2018-10-02 | 2021-04-15 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10505738B1 (en) | 2018-10-02 | 2019-12-10 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10771253B2 (en) | 2018-10-02 | 2020-09-08 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10579998B1 (en) | 2018-10-02 | 2020-03-03 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| WO2020072440A1 (en) | 2018-10-02 | 2020-04-09 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| MX2021003138A (es) | 2018-10-02 | 2021-05-14 | Capital One Services Llc | Sistemas y metodos para autentificacion criptografica de tarjetas sin contacto. |
| AU2019354421A1 (en) | 2018-10-02 | 2021-04-29 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10783519B2 (en) | 2018-10-02 | 2020-09-22 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10489781B1 (en) | 2018-10-02 | 2019-11-26 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| SG11202101221WA (en) | 2018-10-02 | 2021-03-30 | Capital One Services Llc | Systems and methods for cryptographic authentication of contactless cards |
| WO2020072529A1 (en) | 2018-10-02 | 2020-04-09 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| SG11202101874SA (en) | 2018-10-02 | 2021-03-30 | Capital One Services Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10511443B1 (en) | 2018-10-02 | 2019-12-17 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10542036B1 (en) | 2018-10-02 | 2020-01-21 | Capital One Services, Llc | Systems and methods for signaling an attack on contactless cards |
| US10909527B2 (en) | 2018-10-02 | 2021-02-02 | Capital One Services, Llc | Systems and methods for performing a reissue of a contactless card |
| CA3115107A1 (en) | 2018-10-02 | 2020-04-09 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10582386B1 (en) | 2018-10-02 | 2020-03-03 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10748138B2 (en) | 2018-10-02 | 2020-08-18 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| CA3062211A1 (en) * | 2018-11-26 | 2020-05-26 | Mir Limited | Dynamic verification method and system for card transactions |
| US11450160B2 (en) | 2018-12-13 | 2022-09-20 | Carrier Corporation | Wireless access control using an electromagnet |
| US11361302B2 (en) | 2019-01-11 | 2022-06-14 | Capital One Services, Llc | Systems and methods for touch screen interface interaction using a card overlay |
| US11037136B2 (en) | 2019-01-24 | 2021-06-15 | Capital One Services, Llc | Tap to autofill card data |
| US10467622B1 (en) | 2019-02-01 | 2019-11-05 | Capital One Services, Llc | Using on-demand applications to generate virtual numbers for a contactless card to securely autofill forms |
| US10510074B1 (en) | 2019-02-01 | 2019-12-17 | Capital One Services, Llc | One-tap payment using a contactless card |
| US11120453B2 (en) | 2019-02-01 | 2021-09-14 | Capital One Services, Llc | Tap card to securely generate card data to copy to clipboard |
| US10425129B1 (en) | 2019-02-27 | 2019-09-24 | Capital One Services, Llc | Techniques to reduce power consumption in near field communication systems |
| US10523708B1 (en) | 2019-03-18 | 2019-12-31 | Capital One Services, Llc | System and method for second factor authentication of customer support calls |
| US10643420B1 (en) | 2019-03-20 | 2020-05-05 | Capital One Services, Llc | Contextual tapping engine |
| US10438437B1 (en) * | 2019-03-20 | 2019-10-08 | Capital One Services, Llc | Tap to copy data to clipboard via NFC |
| US10984416B2 (en) | 2019-03-20 | 2021-04-20 | Capital One Services, Llc | NFC mobile currency transfer |
| US10535062B1 (en) | 2019-03-20 | 2020-01-14 | Capital One Services, Llc | Using a contactless card to securely share personal data stored in a blockchain |
| US10970712B2 (en) | 2019-03-21 | 2021-04-06 | Capital One Services, Llc | Delegated administration of permissions using a contactless card |
| US10467445B1 (en) | 2019-03-28 | 2019-11-05 | Capital One Services, Llc | Devices and methods for contactless card alignment with a foldable mobile device |
| US11521262B2 (en) | 2019-05-28 | 2022-12-06 | Capital One Services, Llc | NFC enhanced augmented reality information overlays |
| US11551190B1 (en) | 2019-06-03 | 2023-01-10 | Wells Fargo Bank, N.A. | Instant network cash transfer at point of sale |
| US10516447B1 (en) | 2019-06-17 | 2019-12-24 | Capital One Services, Llc | Dynamic power levels in NFC card communications |
| US10871958B1 (en) | 2019-07-03 | 2020-12-22 | Capital One Services, Llc | Techniques to perform applet programming |
| US11694187B2 (en) | 2019-07-03 | 2023-07-04 | Capital One Services, Llc | Constraining transactional capabilities for contactless cards |
| US11392933B2 (en) | 2019-07-03 | 2022-07-19 | Capital One Services, Llc | Systems and methods for providing online and hybridcard interactions |
| US10713649B1 (en) | 2019-07-09 | 2020-07-14 | Capital One Services, Llc | System and method enabling mobile near-field communication to update display on a payment card |
| US10498401B1 (en) | 2019-07-15 | 2019-12-03 | Capital One Services, Llc | System and method for guiding card positioning using phone sensors |
| US10885514B1 (en) | 2019-07-15 | 2021-01-05 | Capital One Services, Llc | System and method for using image data to trigger contactless card transactions |
| US10733601B1 (en) | 2019-07-17 | 2020-08-04 | Capital One Services, Llc | Body area network facilitated authentication or payment authorization |
| US11182771B2 (en) | 2019-07-17 | 2021-11-23 | Capital One Services, Llc | System for value loading onto in-vehicle device |
| US10832271B1 (en) | 2019-07-17 | 2020-11-10 | Capital One Services, Llc | Verified reviews using a contactless card |
| US11521213B2 (en) | 2019-07-18 | 2022-12-06 | Capital One Services, Llc | Continuous authentication for digital services based on contactless card positioning |
| US10506426B1 (en) | 2019-07-19 | 2019-12-10 | Capital One Services, Llc | Techniques for call authentication |
| US10541995B1 (en) | 2019-07-23 | 2020-01-21 | Capital One Services, Llc | First factor contactless card authentication system and method |
| CN110704823A (zh) * | 2019-09-10 | 2020-01-17 | 平安科技(深圳)有限公司 | 数据请求方法、装置、存储介质及电子设备 |
| US11551200B1 (en) | 2019-09-18 | 2023-01-10 | Wells Fargo Bank, N.A. | Systems and methods for activating a transaction card |
| SE545872C2 (en) | 2019-09-27 | 2024-02-27 | No Common Payment Ab | Generation and verification of a temporary authentication value for use in a secure transmission |
| CN114746913A (zh) | 2019-10-02 | 2022-07-12 | 第一资本服务有限责任公司 | 使用非接触式传统磁条数据的客户端设备认证 |
| EP3809352A1 (en) | 2019-10-18 | 2021-04-21 | Mastercard International Incorporated | Authentication for secure transactions in a multi-server environment |
| EP3809350A1 (en) * | 2019-10-18 | 2021-04-21 | Mastercard International Incorporated | Enchanced security in sensitive data transfer over a network |
| US10733283B1 (en) | 2019-12-23 | 2020-08-04 | Capital One Services, Llc | Secure password generation and management using NFC and contactless smart cards |
| US11615395B2 (en) | 2019-12-23 | 2023-03-28 | Capital One Services, Llc | Authentication for third party digital wallet provisioning |
| US11651361B2 (en) | 2019-12-23 | 2023-05-16 | Capital One Services, Llc | Secure authentication based on passport data stored in a contactless card |
| US10862540B1 (en) | 2019-12-23 | 2020-12-08 | Capital One Services, Llc | Method for mapping NFC field strength and location on mobile devices |
| US11113685B2 (en) | 2019-12-23 | 2021-09-07 | Capital One Services, Llc | Card issuing with restricted virtual numbers |
| US10657754B1 (en) | 2019-12-23 | 2020-05-19 | Capital One Services, Llc | Contactless card and personal identification system |
| US10885410B1 (en) | 2019-12-23 | 2021-01-05 | Capital One Services, Llc | Generating barcodes utilizing cryptographic techniques |
| US10853795B1 (en) | 2019-12-24 | 2020-12-01 | Capital One Services, Llc | Secure authentication based on identity data stored in a contactless card |
| US10664941B1 (en) | 2019-12-24 | 2020-05-26 | Capital One Services, Llc | Steganographic image encoding of biometric template information on a card |
| US11200563B2 (en) | 2019-12-24 | 2021-12-14 | Capital One Services, Llc | Account registration using a contactless card |
| US10909544B1 (en) | 2019-12-26 | 2021-02-02 | Capital One Services, Llc | Accessing and utilizing multiple loyalty point accounts |
| US10757574B1 (en) | 2019-12-26 | 2020-08-25 | Capital One Services, Llc | Multi-factor authentication providing a credential via a contactless card for secure messaging |
| US11038688B1 (en) | 2019-12-30 | 2021-06-15 | Capital One Services, Llc | Techniques to control applets for contactless cards |
| US10860914B1 (en) | 2019-12-31 | 2020-12-08 | Capital One Services, Llc | Contactless card and method of assembly |
| US11455620B2 (en) | 2019-12-31 | 2022-09-27 | Capital One Services, Llc | Tapping a contactless card to a computing device to provision a virtual number |
| US10951610B2 (en) * | 2020-01-14 | 2021-03-16 | Joseph Carlo Pastrana | Operation of mathematical constant PI to authenticate website and computer network users |
| US10949855B2 (en) * | 2020-01-14 | 2021-03-16 | Joseph Carlo Pastrana | Mathematical constant pi dynamic-hybrid CVV authentication method for credit cards |
| RU2766134C2 (ru) * | 2020-02-26 | 2022-02-08 | Акционерное общество "Лаборатория Касперского" | Способ анонимной отправки данных с устройства пользователя |
| US11210656B2 (en) | 2020-04-13 | 2021-12-28 | Capital One Services, Llc | Determining specific terms for contactless card activation |
| US11222342B2 (en) | 2020-04-30 | 2022-01-11 | Capital One Services, Llc | Accurate images in graphical user interfaces to enable data transfer |
| US10915888B1 (en) | 2020-04-30 | 2021-02-09 | Capital One Services, Llc | Contactless card with multiple rotating security keys |
| US11030339B1 (en) | 2020-04-30 | 2021-06-08 | Capital One Services, Llc | Systems and methods for data access control of personal user data using a short-range transceiver |
| US11823175B2 (en) | 2020-04-30 | 2023-11-21 | Capital One Services, Llc | Intelligent card unlock |
| US10861006B1 (en) | 2020-04-30 | 2020-12-08 | Capital One Services, Llc | Systems and methods for data access control using a short-range transceiver |
| US10963865B1 (en) | 2020-05-12 | 2021-03-30 | Capital One Services, Llc | Augmented reality card activation experience |
| US11100511B1 (en) | 2020-05-18 | 2021-08-24 | Capital One Services, Llc | Application-based point of sale system in mobile operating systems |
| US11063979B1 (en) | 2020-05-18 | 2021-07-13 | Capital One Services, Llc | Enabling communications between applications in a mobile operating system |
| EP3933731A1 (en) * | 2020-06-30 | 2022-01-05 | Mastercard International Incorporated | Authorization data processing for multiple issuers |
| US20220020002A1 (en) * | 2020-07-17 | 2022-01-20 | Home Depot Product Authority, Llc | Post payment processing tokenization in merchant payment processing |
| US11062098B1 (en) | 2020-08-11 | 2021-07-13 | Capital One Services, Llc | Augmented reality information display and interaction via NFC based authentication |
| GB2598311A (en) * | 2020-08-24 | 2022-03-02 | Mastercard International Inc | A multiple payee digital transaction authentication method |
| CN112232825B (zh) * | 2020-09-02 | 2022-09-20 | 厦门鲜品链科技有限公司 | 强身份认证付款pos系统 |
| US11482312B2 (en) | 2020-10-30 | 2022-10-25 | Capital One Services, Llc | Secure verification of medical status using a contactless card |
| US11165586B1 (en) | 2020-10-30 | 2021-11-02 | Capital One Services, Llc | Call center web-based authentication using a contactless card |
| US11373169B2 (en) | 2020-11-03 | 2022-06-28 | Capital One Services, Llc | Web-based activation of contactless cards |
| US11423392B1 (en) | 2020-12-01 | 2022-08-23 | Wells Fargo Bank, N.A. | Systems and methods for information verification using a contactless card |
| US11216799B1 (en) | 2021-01-04 | 2022-01-04 | Capital One Services, Llc | Secure generation of one-time passcodes using a contactless card |
| US11682012B2 (en) | 2021-01-27 | 2023-06-20 | Capital One Services, Llc | Contactless delivery systems and methods |
| US11792001B2 (en) | 2021-01-28 | 2023-10-17 | Capital One Services, Llc | Systems and methods for secure reprovisioning |
| US11562358B2 (en) | 2021-01-28 | 2023-01-24 | Capital One Services, Llc | Systems and methods for near field contactless card communication and cryptographic authentication |
| US11687930B2 (en) | 2021-01-28 | 2023-06-27 | Capital One Services, Llc | Systems and methods for authentication of access tokens |
| US11438329B2 (en) | 2021-01-29 | 2022-09-06 | Capital One Services, Llc | Systems and methods for authenticated peer-to-peer data transfer using resource locators |
| US11777933B2 (en) | 2021-02-03 | 2023-10-03 | Capital One Services, Llc | URL-based authentication for payment cards |
| US11637826B2 (en) | 2021-02-24 | 2023-04-25 | Capital One Services, Llc | Establishing authentication persistence |
| US11790120B2 (en) | 2021-03-26 | 2023-10-17 | Bank Of America Corporation | System and method for encrypting storage mediums with an encryption chip |
| US11245438B1 (en) | 2021-03-26 | 2022-02-08 | Capital One Services, Llc | Network-enabled smart apparatus and systems and methods for activating and provisioning same |
| US11961089B2 (en) | 2021-04-20 | 2024-04-16 | Capital One Services, Llc | On-demand applications to extend web services |
| US11935035B2 (en) | 2021-04-20 | 2024-03-19 | Capital One Services, Llc | Techniques to utilize resource locators by a contactless card to perform a sequence of operations |
| US11902442B2 (en) | 2021-04-22 | 2024-02-13 | Capital One Services, Llc | Secure management of accounts on display devices using a contactless card |
| US11354555B1 (en) | 2021-05-04 | 2022-06-07 | Capital One Services, Llc | Methods, mediums, and systems for applying a display to a transaction card |
| CN117355855A (zh) * | 2021-05-20 | 2024-01-05 | 艾迪克斯生物识别普通股份公司 | 使用生物特征身份验证的交易授权 |
| US11995621B1 (en) | 2021-10-22 | 2024-05-28 | Wells Fargo Bank, N.A. | Systems and methods for native, non-native, and hybrid registration and use of tags for real-time services |
| US11810123B1 (en) * | 2022-05-10 | 2023-11-07 | Capital One Services, Llc | System and method for card present account provisioning |
| US11606360B1 (en) | 2022-05-10 | 2023-03-14 | Capital One Services, Llc | System and method for multi-account provisioning |
| WO2024015537A1 (en) * | 2022-07-13 | 2024-01-18 | Capital One Services, Llc | Techniques to process contactless card functions in a multiple banking system environment |
| KR102572349B1 (ko) * | 2022-08-25 | 2023-08-29 | 한국피엠오 주식회사 | 가상계좌 관리서버 및 그 관리방법 |
Family Cites Families (51)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US3854036A (en) * | 1974-02-27 | 1974-12-10 | Singer Co | Tag reader to digital processor interface circuit |
| AUPM616994A0 (en) * | 1994-06-09 | 1994-07-07 | Reilly, Chris | Security system for eft using magnetic strip cards |
| US5892900A (en) * | 1996-08-30 | 1999-04-06 | Intertrust Technologies Corp. | Systems and methods for secure transaction management and electronic rights protection |
| US5834756A (en) | 1996-06-03 | 1998-11-10 | Motorola, Inc. | Magnetically communicative card |
| US6129277A (en) * | 1998-08-03 | 2000-10-10 | Privicon, Inc. | Card reader for transmission of data by sound |
| US6327578B1 (en) * | 1998-12-29 | 2001-12-04 | International Business Machines Corporation | Four-party credit/debit payment protocol |
| US8015592B2 (en) * | 2002-03-28 | 2011-09-06 | Innovation Connection Corporation | System, method and apparatus for enabling transactions using a biometrically enabled programmable magnetic stripe |
| US20030140257A1 (en) * | 2002-01-22 | 2003-07-24 | Petr Peterka | Encryption, authentication, and key management for multimedia content pre-encryption |
| US9916581B2 (en) * | 2002-02-05 | 2018-03-13 | Square, Inc. | Back end of payment system associated with financial transactions using card readers coupled to mobile devices |
| US7761374B2 (en) * | 2003-08-18 | 2010-07-20 | Visa International Service Association | Method and system for generating a dynamic verification value |
| US7584153B2 (en) * | 2004-03-15 | 2009-09-01 | Qsecure, Inc. | Financial transactions with dynamic card verification values |
| US7506812B2 (en) * | 2004-09-07 | 2009-03-24 | Semtek Innovative Solutions Corporation | Transparently securing data for transmission on financial networks |
| US7357319B1 (en) | 2005-01-24 | 2008-04-15 | Vivotech, Inc. | External adapter for magnetic stripe card reader |
| US7347361B2 (en) * | 2005-06-13 | 2008-03-25 | Robert Lovett | System, method and program product for account transaction validation |
| US7818264B2 (en) * | 2006-06-19 | 2010-10-19 | Visa U.S.A. Inc. | Track data encryption |
| CN101098225B (zh) * | 2006-06-29 | 2012-07-25 | 中国银联股份有限公司 | 安全数据传输方法及支付方法、支付终端和支付服务器 |
| RU2413991C2 (ru) * | 2006-09-11 | 2011-03-10 | Фьючер Текнолоджи Инститьют Корпорейшн | Система распознавания фальшивых карт, устройство записи информации определения подлинности и устройство распознавания фальшивых карт |
| CN101162535B (zh) * | 2006-10-13 | 2011-01-12 | 中国银联股份有限公司 | 利用ic卡实现磁条卡交易的方法及系统 |
| US9123042B2 (en) * | 2006-10-17 | 2015-09-01 | Verifone, Inc. | Pin block replacement |
| US8447991B2 (en) * | 2006-11-06 | 2013-05-21 | Magtek, Inc. | Card authentication system |
| US8504451B2 (en) * | 2006-11-16 | 2013-08-06 | Visa U.S.A. Inc. | Method and system using candidate dynamic data elements |
| WO2008094470A1 (en) * | 2007-01-26 | 2008-08-07 | Magtek, Inc. | Card reader for use with web based transactions |
| CN101647220A (zh) * | 2007-02-02 | 2010-02-10 | 塞姆泰克创新解决方案公司 | Pin块替换 |
| US8355982B2 (en) * | 2007-08-16 | 2013-01-15 | Verifone, Inc. | Metrics systems and methods for token transactions |
| US8973824B2 (en) * | 2007-12-24 | 2015-03-10 | Dynamics Inc. | Cards and devices with magnetic emulators with zoning control and advanced interiors |
| US7922082B2 (en) * | 2008-01-04 | 2011-04-12 | M2 International Ltd. | Dynamic card validation value |
| US20090218402A1 (en) * | 2008-02-29 | 2009-09-03 | Andrew Graham Hodges | Apparatus and method for encrypting data in a magnetic stripe reader |
| US8638941B2 (en) * | 2008-05-15 | 2014-01-28 | Red Hat, Inc. | Distributing keypairs between network appliances, servers, and other network assets |
| US8031207B2 (en) * | 2008-06-04 | 2011-10-04 | Mastercard International, Inc. | Card image description format to economize on data storage |
| US20090317051A1 (en) * | 2008-06-18 | 2009-12-24 | Millington Daniel K | Mobile Timestamp Systems and Methods of Use |
| US8511548B1 (en) * | 2008-07-02 | 2013-08-20 | Intuit Inc. | Method and system for performing card-based transactions using a portable device |
| US8814052B2 (en) * | 2008-08-20 | 2014-08-26 | X-Card Holdings, Llc | Secure smart card system |
| US8369521B2 (en) * | 2008-10-17 | 2013-02-05 | Oracle International Corporation | Smart card based encryption key and password generation and management |
| US8893967B2 (en) * | 2009-05-15 | 2014-11-25 | Visa International Service Association | Secure Communication of payment information to merchants using a verification token |
| US8584956B2 (en) * | 2009-10-13 | 2013-11-19 | Square, Inc. | Systems and methods for passive identification circuitry |
| JP5421679B2 (ja) * | 2009-07-09 | 2014-02-19 | 日本電産サンキョー株式会社 | 不正行為を検知する検知方法 |
| US9010646B2 (en) * | 2010-04-01 | 2015-04-21 | Coin, Inc. | Optical contact loaded magnetic card |
| US9218557B2 (en) * | 2010-03-02 | 2015-12-22 | Gonow Technologies, Llc | Portable e-wallet and universal card |
| JP2012138729A (ja) * | 2010-12-27 | 2012-07-19 | Kddi Corp | データ処理装置、プログラム、およびデータ処理システム |
| US9373114B2 (en) * | 2011-02-25 | 2016-06-21 | Diebold Self-Service Systems Division Of Diebold, Incorporated | Automated teller machine with an encrypting card reader and an encrypting pin pad |
| US8925826B2 (en) * | 2011-05-03 | 2015-01-06 | Microsoft Corporation | Magnetic stripe-based transactions using mobile communication devices |
| US8376239B1 (en) * | 2011-07-08 | 2013-02-19 | Thomas David Humphrey | Method of use of a simulated magnetic stripe card system for use with magnetic stripe card reading terminals |
| US8977569B2 (en) * | 2011-09-29 | 2015-03-10 | Raj Rao | System and method for providing smart electronic wallet and reconfigurable transaction card thereof |
| KR101409860B1 (ko) | 2011-12-13 | 2014-07-03 | 주식회사 신한은행 | 스마트 통신단말기 및 금융카드 판독단말기를 이용한 전자금융결제 서비스 제공 방법 및 전자금융서비스 제공 시스템 |
| US9165293B2 (en) | 2012-03-30 | 2015-10-20 | Mastercard International Incorporated | Systems and methods for waveform transmission of transaction card data |
| US10515359B2 (en) * | 2012-04-02 | 2019-12-24 | Mastercard International Incorporated | Systems and methods for processing mobile payments by provisioning credentials to mobile devices without secure elements |
| EP2674889B1 (en) * | 2012-06-11 | 2018-05-30 | Samsung Electronics Co., Ltd | Mobile device and control method thereof |
| US8690059B1 (en) * | 2013-01-20 | 2014-04-08 | George Wallner | System and method for a baseband nearfield magnetic stripe data transmitter |
| US9022285B2 (en) * | 2013-03-01 | 2015-05-05 | Looppay, Inc. | System and method for securely loading, storing and transmitting magnetic stripe date in a device working with a mobile wallet system |
| GB2512944A (en) * | 2013-04-12 | 2014-10-15 | Mastercard International Inc | Systems and methods for outputting information on a display of a mobile device |
| JP6386567B2 (ja) * | 2013-10-11 | 2018-09-05 | ビザ インターナショナル サービス アソシエーション | ネットワーク・トークン・システム |
-
2014
- 2014-10-10 US US14/511,994 patent/US20150371234A1/en not_active Abandoned
-
2015
- 2015-02-13 RU RU2016118742A patent/RU2648944C2/ru active
- 2015-02-13 CN CN201610115717.XA patent/CN105701661B/zh not_active Expired - Fee Related
- 2015-02-13 CA CA2927113A patent/CA2927113C/en not_active Expired - Fee Related
- 2015-02-13 CN CN201580000178.9A patent/CN105027153A/zh active Pending
- 2015-02-13 AU AU2015219276A patent/AU2015219276B2/en not_active Ceased
- 2015-02-13 EP EP16174401.6A patent/EP3113095A1/en not_active Ceased
- 2015-02-13 KR KR1020177009092A patent/KR101815430B1/ko active IP Right Grant
- 2015-02-13 SG SG10201702208RA patent/SG10201702208RA/en unknown
- 2015-02-13 EP EP15751639.4A patent/EP3061056B1/en active Active
- 2015-02-13 KR KR1020167014095A patent/KR101784125B1/ko active IP Right Grant
- 2015-02-13 WO PCT/US2015/015855 patent/WO2015126753A1/en active Application Filing
- 2015-02-13 JP JP2016537567A patent/JP6263624B2/ja not_active Expired - Fee Related
- 2015-02-13 SG SG11201602941WA patent/SG11201602941WA/en unknown
- 2015-12-16 HK HK16111280.8A patent/HK1223179A1/zh unknown
- 2015-12-16 HK HK15112404.8A patent/HK1211724A1/xx unknown
- 2015-12-28 US US14/980,718 patent/US9864994B2/en active Active
-
2016
- 2016-04-20 AU AU2016202504A patent/AU2016202504B2/en not_active Ceased
- 2016-06-09 JP JP2016115371A patent/JP6214724B2/ja not_active Expired - Fee Related
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10796297B2 (en) | 2017-01-03 | 2020-10-06 | Samsung Electronics Co., Ltd. | Method and electronic device for secure magnetic pulse transmission |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105701661A (zh) | 2016-06-22 |
| JP6214724B2 (ja) | 2017-10-18 |
| AU2015219276A1 (en) | 2016-05-05 |
| JP6263624B2 (ja) | 2018-01-17 |
| RU2648944C2 (ru) | 2018-03-28 |
| CA2927113A1 (en) | 2015-08-27 |
| CA2927113C (en) | 2019-09-10 |
| AU2016202504B2 (en) | 2017-09-21 |
| SG11201602941WA (en) | 2016-05-30 |
| JP2017502582A (ja) | 2017-01-19 |
| KR101784125B1 (ko) | 2017-10-10 |
| AU2016202504A1 (en) | 2016-05-12 |
| SG10201702208RA (en) | 2017-04-27 |
| KR101815430B1 (ko) | 2018-01-04 |
| RU2016118742A (ru) | 2017-11-20 |
| CN105027153A (zh) | 2015-11-04 |
| HK1211724A1 (en) | 2016-05-27 |
| JP2017055385A (ja) | 2017-03-16 |
| EP3061056A1 (en) | 2016-08-31 |
| US9864994B2 (en) | 2018-01-09 |
| EP3061056B1 (en) | 2021-12-15 |
| CN105701661B (zh) | 2020-03-24 |
| HK1223179A1 (zh) | 2017-07-21 |
| EP3061056A4 (en) | 2017-04-05 |
| WO2015126753A1 (en) | 2015-08-27 |
| AU2015219276B2 (en) | 2017-06-22 |
| US20160125417A1 (en) | 2016-05-05 |
| US20150371234A1 (en) | 2015-12-24 |
| KR20170040382A (ko) | 2017-04-12 |
| WO2015126753A9 (en) | 2015-10-15 |
| EP3113095A1 (en) | 2017-01-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101784125B1 (ko) | 결제 데이터의 보안 프로비저닝, 전송 및 인증을 위한 방법, 디바이스 및 시스템 | |
| US10826702B2 (en) | Secure authentication of user and mobile device | |
| CN108027926B (zh) | 基于服务的支付的认证系统和方法 | |
| KR102552606B1 (ko) | 보안 요소를 이용한 보안 원격 지불 거래 처리 | |
| CN105745678B (zh) | 包括消费者认证的安全远程支付交易处理 | |
| US10135614B2 (en) | Integrated contactless MPOS implementation | |
| WO2015161699A1 (zh) | 数据安全交互方法和系统 | |
| JP2019507431A (ja) | 位置照合を使用する認証システムおよび方法 | |
| US20140143155A1 (en) | Electronic payment method, system and device for securely exchanging payment information | |
| WO2015161690A1 (zh) | 数据安全交互方法和系统 | |
| US11386427B2 (en) | System for secure authentication of a user's identity in an electronic system for banking transactions | |
| WO2015161691A1 (zh) | 数据安全交互方法和系统 | |
| Akram et al. | Enhancing EMV Tokenisation with Dynamic Transaction Tokens |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| A107 | Divisional application of patent | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |