Cartão inteligente - Smart card

Um cartão inteligente , cartão com chip ou cartão de circuito integrado ( cartão ICC ou IC ) é um dispositivo de autorização eletrônico físico, usado para controlar o acesso a um recurso. Normalmente é um cartão de plástico do tamanho de um cartão de crédito com um chip de circuito integrado (IC) embutido. Muitos cartões inteligentes incluem um padrão de contatos de metal para conectar eletricamente ao chip interno. Outros não têm contato e alguns são os dois. Os cartões inteligentes podem fornecer identificação pessoal , autenticação , armazenamento de dados e processamento de aplicativos. Os aplicativos incluem identificação, finanças, telefones celulares (SIM), transporte público, segurança de computadores, escolas e saúde. Os cartões inteligentes podem fornecer autenticação de segurança forte para logon único (SSO) dentro das organizações. Diversas nações implantaram cartões inteligentes em todas as suas populações.

O cartão de circuito integrado universal , ou cartão SIM , também é um tipo de cartão inteligente. Em 2015, 10,5  bilhões de chips IC de cartão inteligente são fabricados anualmente, incluindo 5,44  bilhões de chips IC de cartão SIM.

História

A base do cartão inteligente é o chip de circuito integrado de silício (IC). Foi inventado por Robert Noyce em Fairchild Semiconductor em 1959, e foi tornado possível por Mohamed M. Atalla de silício passivao da superfie processo (1957) e Jean Hoerni do processo planar (1959). A invenção do circuito integrado de silício levou à ideia de incorporá-lo a um cartão de plástico no final dos anos 1960. Desde então, os cartões inteligentes têm usado chips de circuito integrado MOS , junto com tecnologias de memória MOS , como memória flash e EEPROM ( memória somente leitura programável apagável eletricamente ).

Invenção

Um dos primeiros protótipos de smart card, criado por seu inventor Roland Moreno por volta de 1975. O chip ainda não foi miniaturizado. Neste protótipo, pode-se ver como cada pino do microchip (centro) é conectado ao mundo exterior por um conector de cobre.
Primeiro smart card fabricado pela Giesecke & Devrient em 1979, já com a dimensão finalmente padronizada (ID-1) e uma área de contato com oito pads (inicialmente no canto superior esquerdo)

A ideia de incorporar um chip de circuito integrado a um cartão plástico foi introduzida pela primeira vez por dois engenheiros alemães no final dos anos 1960, Helmut Gröttrup e Jürgen Dethloff . Em fevereiro de 1967, Gröttrup registrou a patente DE1574074 na Alemanha Ocidental para uma chave de identificação à prova de violação baseada em um dispositivo semicondutor . Seu uso principal foi destinado a fornecer chaves individuais protegidas contra cópia para liberar o processo de escutas em postos de gasolina não tripulados. Em setembro de 1968, Helmut Gröttrup, junto com Dethloff como um investidor, entrou com mais pedidos de patentes para essa chave de identificação, primeiro na Áustria e em 1969 como pedidos subsequentes nos Estados Unidos , Grã-Bretanha , Alemanha Ocidental e outros países.

De forma independente, Kunitaka Arimura do Arimura Technology Institute no Japão desenvolveu uma ideia semelhante de incorporar um circuito integrado em um cartão de plástico e registrou uma patente de cartão inteligente em março de 1970. No ano seguinte, Paul Castrucci da IBM registrou uma patente americana intitulada "Informação Card "em maio de 1971.

Em 1974, Roland Moreno patenteou um cartão de memória protegido mais tarde apelidado de "cartão inteligente". Em 1976, Jürgen Dethloff introduziu o elemento conhecido (chamado "o segredo") para identificar o usuário do portão a partir da USP 4105156.

Em 1977, Michel Ugon da Honeywell Bull inventou o primeiro cartão inteligente de microprocessador com dois chips : um microprocessador e uma memória e, em 1978, patenteou o microcomputador autoprogramável de um chip (SPOM) que define a arquitetura necessária para programar o chip . Três anos depois, a Motorola usou essa patente em seu "CP8". Naquela época, a Bull tinha 1.200 patentes relacionadas a cartões inteligentes. Em 2001, a Bull vendeu sua divisão CP8 junto com suas patentes para a Schlumberger , que posteriormente combinou seu próprio departamento interno de cartões inteligentes e o CP8 para criar a Axalto . Em 2006, a Axalto e a Gemplus, na época as duas maiores fabricantes de cartões inteligentes do mundo, se fundiram e se tornaram Gemalto . Em 2008, a Dexa Systems se separou da Schlumberger e adquiriu o negócio de Enterprise Security Services, que incluía a divisão de soluções de cartões inteligentes responsável por implantar os primeiros sistemas de gerenciamento de cartões inteligentes em grande escala baseados em infraestrutura de chave pública (PKI).

O primeiro uso em massa dos cartões foi como cartão telefônico para pagamento em telefones públicos franceses , a partir de 1983.

Carte bleue

Depois do Télécarte, os microchips foram integrados em todos os cartões de débito French Carte Bleue em 1992. Os clientes inseriam o cartão no terminal do ponto de venda (POS) do comerciante e digitavam o número de identificação pessoal (PIN), antes que a transação fosse aceita. Apenas transações muito limitadas (como pagamento de pedágios em rodovias ) são processadas sem um PIN.

Os sistemas de " bolsa eletrônica " baseados em cartão inteligente armazenam fundos no cartão, para que os leitores não precisem de conectividade de rede. Eles entraram no serviço europeu em meados da década de 1990. Eles são comuns na Alemanha ( Geldkarte ), Áustria ( Quick Wertkarte ), Bélgica ( Proton ), França ( Moneo ), Holanda ( Chipknip Chipper (desativado em 2015)), Suíça ("Cash"), Noruega (" Mondex " ), Espanha ("Monedero 4B"), Suécia ("Cash", desativado em 2004), Finlândia ("Avant"), Reino Unido ("Mondex"), Dinamarca ("Danmønt") e Portugal ("Porta-moedas Multibanco" ) Sistemas de porta-moedas eletrônicos privados também foram implantados, como o Corpo de Fuzileiros Navais (USMC) na Ilha de Parris, permitindo pagamentos de pequenas quantias no refeitório.

Desde a década de 1990, os cartões inteligentes têm sido os módulos de identidade do assinante (SIMs) usados ​​em equipamentos de telefonia móvel GSM . Os telefones celulares são amplamente usados ​​em todo o mundo, então os cartões inteligentes se tornaram muito comuns.

EMV

Cartões e equipamentos compatíveis com Europay MasterCard Visa (EMV) estão amplamente difundidos com a implantação liderada por países europeus. Os Estados Unidos começaram mais tarde a implantar a tecnologia EMV em 2014, com a implantação ainda em andamento em 2019. Normalmente, uma associação de pagamento nacional de um país, em coordenação com a MasterCard International, Visa International, American Express e Japan Credit Bureau (JCB), planeja em conjunto e implementar sistemas EMV.

Historicamente, em 1993, várias empresas de pagamento internacionais concordaram em desenvolver especificações de cartão inteligente para cartões de débito e crédito . As marcas originais eram MasterCard, Visa e Europay . A primeira versão do sistema EMV foi lançada em 1994. Em 1998, as especificações tornaram-se estáveis.

A EMVCo mantém essas especificações. O objetivo da EMVco é assegurar às várias instituições financeiras e varejistas que as especificações mantêm compatibilidade retroativa com a versão de 1998. A EMVco atualizou as especificações em 2000 e 2004.

Os cartões compatíveis com EMV foram aceitos pela primeira vez na Malásia em 2005 e depois nos Estados Unidos em 2014. A MasterCard foi a primeira empresa a ter permissão para usar a tecnologia nos Estados Unidos. Os Estados Unidos se sentiram pressionados a usar a tecnologia devido ao aumento do roubo de identidade . As informações de cartão de crédito roubadas da Target no final de 2013 foram um dos maiores indicadores de que as informações de cartão de crédito americanas não são seguras. A Target tomou a decisão em 30 de abril de 2014 de que tentaria implementar a tecnologia de chip inteligente para se proteger de futuros roubos de identidade de cartão de crédito.

Antes de 2014, o consenso na América era que havia medidas de segurança suficientes para evitar roubo de cartão de crédito e que o chip inteligente não era necessário. O custo da tecnologia de chip inteligente era significativo, motivo pelo qual a maioria das empresas não queria pagar por ela nos Estados Unidos. O debate finalmente terminou quando a Target enviou um aviso afirmando que o acesso não autorizado a fitas magnéticas que custava à Target mais de 300 milhões de dólares, juntamente com o custo crescente do roubo de crédito online, era o suficiente para os Estados Unidos investirem na tecnologia. A adaptação dos EMV's aumentou significativamente em 2015, altura em que ocorreram as mudanças de passivos em outubro pelas empresas de cartão de crédito.

Desenvolvimento de sistemas sem contato

Os cartões inteligentes sem contato não requerem contato físico entre o cartão e a leitora. Eles estão se tornando mais populares para pagamento e emissão de bilhetes. Os usos típicos incluem transporte de massa e pedágios de rodovias. Visa e MasterCard implementaram uma versão implantada em 2004–2006 nos Estados Unidos, com a oferta atual da Visa chamada Visa Contactless . A maioria dos sistemas de cobrança de tarifas sem contato são incompatíveis, embora o cartão MIFARE Standard da NXP Semiconductors tenha uma participação de mercado considerável nos EUA e na Europa.

O uso de cartões inteligentes "sem contato" no transporte também cresceu por meio do uso de chips de baixo custo NXP Mifare Ultralight e papel / cartão / PET em vez de PVC. Isso reduziu o custo de mídia para que possa ser usado para bilhetes de baixo custo e passes de transporte de curto prazo (até 1 ano normalmente). O custo é normalmente 10% maior que o de um cartão inteligente de PVC com memória maior. Eles são distribuídos por meio de máquinas de venda automática, bilheteria e agentes. O uso de papel / PET é menos prejudicial ao meio ambiente do que os tradicionais cartões de PVC. Consulte também aplicativos de transporte / trânsito / ID.

Os cartões inteligentes também estão sendo introduzidos para identificação e autorização por organizações regionais, nacionais e internacionais. Esses usos incluem cartões de cidadão, carteiras de motorista e cartões de paciente. Na Malásia , o ID nacional obrigatório MyKad permite oito aplicativos e tem 18 milhões de usuários. Os cartões inteligentes sem contato fazem parte dos passaportes biométricos da ICAO para aumentar a segurança em viagens internacionais.

Cartões inteligentes complexos

Cartões complexos são cartões inteligentes que estão em conformidade com o padrão ISO / IEC 7810 e incluem componentes além daqueles encontrados em cartões inteligentes de chip único tradicionais. Os cartões complexos foram inventados por Cyril Lalo e Philippe Guillaud em 1999, quando eles projetaram um cartão inteligente com chip com componentes adicionais, com base no conceito inicial que consistia em usar frequências de áudio para transmitir dados patenteados por Alain Bernard. O primeiro protótipo de cartão complexo foi desenvolvido em colaboração por Cyril Lalo e Philippe Guillaud, que trabalhavam na AudioSmartCard na época, e Henri Boccia e Philippe Patrice, que trabalhavam na Gemplus . Era compatível com ISO 7810 e incluía uma bateria, uma campainha piezoelétrica, um botão e funções de áudio fornecidas, tudo em um cartão de espessura de 0,84 mm.

O piloto do Complex Card, desenvolvido pela AudioSmartCard, foi lançado em 2002 pelo Crédit Lyonnais , uma instituição financeira francesa. Este piloto apresentou tons acústicos como meio de autenticação. Embora os cartões complexos tenham sido desenvolvidos desde o início da indústria de cartões inteligentes, eles só alcançaram a maturidade após 2010.

Cartões complexos podem acomodar vários periféricos, incluindo:

  • Um ou mais botões,
  • Um teclado digital,
  • Um teclado alfabético,
  • Um teclado de toque,
  • Um pequeno display, para um código de segurança do cartão (CSC) dinâmico, por exemplo,
  • Um display digital maior, para OTP ou balança, código QR
  • Um display alfanumérico,
  • Um sensor de impressão digital ,
  • Um LED,
  • Uma campainha ou alto-falante.

Enquanto as placas complexas de primeira geração eram alimentadas por bateria, a segunda geração não tinha bateria e recebe energia por meio do conector de placa usual e / ou indução.

O som, gerado por uma campainha, foi o meio de comunicação preferido para os primeiros projetos envolvendo Cartões Complexos. Posteriormente, com o avanço das exibições, a comunicação visual passou a estar presente em quase todas as Cartas Complexas.

Funcionalidades

Cartões complexos suportam todos os protocolos de comunicação presentes em cartões inteligentes regulares: contato, graças a um teclado de contato conforme definido no padrão ISO / IEC 7816 , sem contato seguindo o padrão ISO / IEC 14443 e tarja magnética.

Os desenvolvedores de cartões complexos visam várias necessidades ao desenvolvê-los:

  • Senha de uso único,
  • Forneça informações da conta,
  • Fornece recursos de computação,
  • Fornece um meio de segurança para a transação,
  • Fornece um meio de autenticação do usuário.
Senha de uso único

Um cartão complexo pode ser usado para calcular um valor criptográfico, como uma senha de uso único . A senha descartável é gerada por um criptoprocessador encapsulado no cartão. Para implementar esta função, o criptoprocessador deve ser inicializado com um valor semente, que permite a identificação das OTPs respectivas de cada placa. O hash do valor da semente deve ser armazenado com segurança no cartão para evitar a previsão não autorizada das OTPs geradas.

A geração de senhas de uso único é baseada em valores incrementais (com base em eventos) ou em um relógio de tempo real (com base em tempo). Usar a geração de senha de uso único baseada em relógio exige que o cartão complexo seja equipado com um relógio em tempo real e um quartzo .

Cartões complexos usados ​​para gerar uma senha de uso único foram desenvolvidos para:

  • Standard Chartered, Cingapura,
  • Bank of America, EUA,
  • Erste Bank, Croácia,
  • Verisign, EUA,
  • Segurança RSA.
Informação da conta

Um cartão complexo com botões pode exibir o saldo de uma ou várias contas vinculadas ao cartão. Normalmente, um dos botões é usado para exibir o saldo no caso de um único cartão de conta ou, no caso de um cartão vinculado a várias contas, uma combinação de botões é usada para selecionar o saldo de uma conta específica.

Para segurança adicional, recursos como exigir que o usuário insira uma identificação ou um valor de segurança como um PIN podem ser adicionados a um cartão complexo.

Cartões complexos usados ​​para fornecer informações de conta foram desenvolvidos para:

  • Getin Bank, Polônia,
  • TEB, Turquia.

A última geração de Cartões Complexos sem bateria e sem botões pode exibir um saldo ou outro tipo de informação sem exigir nenhuma entrada do titular do cartão. A informação é atualizada durante a utilização do cartão. Por exemplo, em um cartão de transporte público, informações importantes como o saldo do valor monetário, o número de viagens restantes ou a data de validade de um passe de transporte público podem ser exibidas.

Segurança de transação

Um cartão complexo implantado como um cartão de pagamento pode ser equipado com a capacidade de fornecer segurança à transação. Normalmente, os pagamentos online são feitos de forma segura graças ao Código de Segurança do Cartão (CSC) , também conhecido como código de verificação do cartão (CVC2) ou valor de verificação do cartão (CVV2). O código de segurança do cartão (CSC) é um número de 3 ou 4 dígitos impresso em um cartão de crédito ou débito, usado como um recurso de segurança para transações de cartão de pagamento com cartão ausente (CNP) para reduzir a incidência de fraude.

O código de segurança do cartão (CSC) deve ser fornecido ao comerciante pelo titular do cartão para concluir uma transação com o cartão não presente. O CSC é transmitido junto com outros dados da transação e verificado pelo emissor do cartão. O padrão de segurança de dados da indústria de cartões de pagamento (PCI DSS) proíbe o armazenamento do CSC pelo comerciante ou qualquer parte interessada na cadeia de pagamento. Embora projetado para ser um recurso de segurança, o CSC estático é suscetível a fraude, pois pode ser facilmente memorizado por um atendente de loja, que poderia usá-lo para transações online fraudulentas ou venda na dark web.

Essa vulnerabilidade levou a indústria a desenvolver um Código de Segurança de Cartão Dinâmico (DCSC) que pode ser alterado em determinados intervalos de tempo ou após cada contato ou transação EMV sem contato. Este CSC dinâmico oferece segurança significativamente melhor do que um CSC estático.

A primeira geração de cartões Dynamic CSC, desenvolvidos pela NagraID Security, exigia uma bateria, um quartzo e Real Time Clock (RTC) embutidos no cartão para alimentar o cálculo de um novo Dynamic CSC, após o término do período programado.

A segunda geração de cartões Dynamic CSC, desenvolvidos pela Ellipse World, Inc., não requer nenhuma bateria, quartzo ou RTC para calcular e exibir o novo código dinâmico. Em vez disso, o cartão obtém sua energia através do conector de cartão usual ou por indução durante cada transação EMV do terminal do Ponto de Venda (POS) ou Caixa Eletrônico (ATM) para calcular um novo DCSC.

O Dynamic CSC, também chamado de criptograma dinâmico, é comercializado por várias empresas, sob diferentes marcas:

  • MotionCode, desenvolvido pela NagraID Security, uma empresa posteriormente adquirida pela Idemia ,
  • DCV, a solução oferecida pela Thales ,
  • EVC (Ellipse Verification Code) da Ellipse, uma empresa com sede em Los Angeles, EUA.

A vantagem do Dynamic Card Security Code (DCSC) é que novas informações são transmitidas com as transações de pagamento, tornando-as inúteis para um potencial fraudador memorizá-las ou armazená-las. Uma transação com um Código de Segurança de Cartão Dinâmico é realizada exatamente da mesma maneira, com os mesmos processos e uso de parâmetros como uma transação com um código estático em uma transação com cartão não presente. A atualização para um DCSC permite que os titulares de cartões e comerciantes continuem seus hábitos e processos de pagamento sem perturbações.

Autenticação de usuário

Os cartões complexos podem ser equipados com sensores biométricos, permitindo uma autenticação mais forte do usuário. No caso de uso típico, os sensores de impressão digital são integrados a um cartão de pagamento para trazer um nível mais alto de autenticação do usuário do que um PIN.

Para implementar a autenticação do usuário usando um cartão inteligente habilitado para impressão digital, o usuário deve se autenticar no cartão por meio da impressão digital antes de iniciar uma transação de pagamento.

Várias empresas oferecem cartões com sensores de impressão digital:

Componentes

Cartões complexos podem incorporar uma ampla variedade de componentes. A escolha dos componentes direciona a funcionalidade, influencia os custos, as necessidades de fonte de alimentação e a complexidade de fabricação.

Botões

Dependendo dos tipos de cartão complexo, foram adicionados botões para permitir uma interação fácil entre o usuário e o cartão. Normalmente, esses botões são usados ​​para:

  • Selecione uma ação, como a conta para obter o saldo, ou a unidade ( por exemplo, moeda ou número de viagens) em que as informações são exibidas,
  • Insira dados numéricos por meio da adição de um teclado digital,
  • Insira dados de texto por meio da adição de um teclado alfanumérico.

Embora teclas separadas tenham sido usadas em protótipos no início, os teclados capacitivos são a solução mais popular agora, graças aos desenvolvimentos de tecnologia da AudioSmartCard International SA.

A interação com um teclado capacitivo requer energia constante, portanto, uma bateria e um botão mecânico são necessários para ativar o cartão.

Campainha

As primeiras Cartas Complexas foram equipadas com uma campainha que possibilitou a transmissão do som. Esse recurso era geralmente usado por telefone para enviar dados de identificação, como um identificador e senhas de uso único (OTPs). As tecnologias usadas para transmissão de som incluem DTMF ( sinalização multifrequência de tom duplo ) ou FSK (chaveamento de freqüência ).

As empresas que ofereceram cartões com campainhas incluem:

  • AudioSmartCard,
  • nCryptone,
  • Prosodie,
  • Société d'exploitation du jeton sécurisé - SEJS.
Exibição

Exibir dados é uma parte essencial das funcionalidades do Cartão Complexo. Dependendo das informações que precisam ser mostradas, os visores podem ser digitais ou alfanuméricos e de comprimentos variados. Os monitores podem estar localizados na frente ou no verso do cartão. Um visor frontal é a solução mais comum para exibir informações como uma senha de uso único ou uma balança de bolsa eletrônica. Um display traseiro é mais frequentemente usado para mostrar um Código de Segurança de Cartão Dinâmico (DCSC).

As exibições podem ser feitas usando duas tecnologias:

  • Display de cristal líquido (LCD): LCDs estão facilmente disponíveis em uma ampla variedade de fornecedores e podem exibir dígitos ou dados alfabéticos. No entanto, para serem encaixados em um cartão inteligente complexo, os LCDs precisam ter um certo grau de flexibilidade. Além disso, os LCDs precisam ser alimentados para manter as informações exibidas.
  • Os visores biestáveis , também conhecidos como visores de cristal líquido ferroelétricos , são cada vez mais usados, pois requerem apenas energia para atualizar as informações exibidas. Os dados exibidos permanecem visíveis, sem a necessidade de qualquer fonte de alimentação. Os visores biestáveis ​​também estão disponíveis em uma variedade de especificações, exibindo dígitos ou pixels. Monitores biestáveis ​​estão disponíveis na E Ink Corporation, entre outros.
Criptoprocessador

Se um cartão inteligente complexo é dedicado a fazer cálculos criptográficos, como gerar uma senha de uso único, pode ser necessário um criptoprocessador seguro .

Fonte de energia

Como os cartões complexos contêm mais componentes do que os cartões inteligentes tradicionais, seu consumo de energia deve ser monitorado cuidadosamente.

Placas complexas de primeira geração requerem uma fonte de alimentação mesmo no modo de espera. Como tal, os designers de produto geralmente incluíram uma bateria em seu design. Incorporar uma bateria cria uma carga adicional em termos de complexidade, custo, espaço e flexibilidade em um design já denso. Incluir uma bateria em um cartão complexo aumenta a complexidade do processo de fabricação, pois uma bateria não pode ser laminada a quente.

Os cartões complexos de segunda geração apresentam um design sem bateria. Esses cartões coletam a energia necessária de fontes externas; por exemplo, quando o cartão interage por contato ou sem contato com um sistema de pagamento ou um smartphone habilitado para NFC. O uso de um display biestável no design do cartão garante que a tela permaneça legível mesmo quando o Cartão Complexo estiver desconectado da fonte de alimentação.

Manufatura

Os métodos de fabricação de cartões complexos são herdados da indústria de cartões inteligentes e da indústria de montagem de eletrônicos. Como os Cartões Complexos incorporam vários componentes, embora devam permanecer dentro de 0,8 mm de espessura e ser flexíveis, e estar em conformidade com os padrões ISO / IEC 7810 , ISO / IEC 7811 e ISO / IEC 7816 , torna sua fabricação mais complexa do que os cartões inteligentes padrão.

Um dos processos de fabricação mais populares na indústria de cartões inteligentes é a laminação. Este processo envolve a laminação de um embutimento entre duas faces do cartão. O inlay contém os componentes eletrônicos necessários com uma antena impressa em um suporte inerte.

Normalmente, os Complex Cards alimentados por bateria requerem um processo de fabricação de laminação a frio. Este processo impacta o lead time de fabricação e todo o custo de tal Cartão Complexo.

Cartões complexos sem bateria de segunda geração podem ser fabricados pelo processo de laminação a quente existente. Esse processo automatizado, herdado da fabricação tradicional de smart cards, permite a produção de Cartões Complexos em grandes quantidades, mantendo os custos sob controle, uma necessidade para a evolução de um nicho para um mercado de massa.

Ciclo de vida do cartão

Tal como acontece com os cartões inteligentes padrão, os cartões complexos passam por um ciclo de vida que compreende as seguintes etapas:

  • Fabricação,
  • Personalização,
  • Registro do usuário, se necessário para o aplicativo,
  • Provisionamento,
  • Vida ativa,
  • Cancelamento,
  • Reciclagem / destruição.

Como os Complex Cards trazem mais funcionalidades do que os smart cards padrão e, devido à sua complexidade, sua personalização pode demorar mais ou exigir mais entradas. Ter cartões complexos que podem ser personalizados pelas mesmas máquinas e os mesmos processos que os cartões inteligentes regulares permite que eles sejam integrados mais facilmente nas cadeias de produção e aplicativos existentes.

Os cartões complexos operados por bateria de primeira geração exigem processos de reciclagem específicos , exigidos por diferentes órgãos reguladores. Além disso, manter cartões complexos operados por bateria em estoque por longos períodos de tempo pode reduzir seu desempenho devido ao envelhecimento da bateria .

A tecnologia sem bateria de segunda geração garante a operação durante toda a vida útil do cartão e elimina a autodescarga, proporcionando vida útil estendida e é mais ecológica.

História e jogadores importantes

Desde o início dos cartões inteligentes, os inovadores vêm tentando adicionar recursos extras. Conforme as tecnologias amadureceram e se industrializaram, vários participantes da indústria de cartões inteligentes estiveram envolvidos em Cartões Complexos.

O conceito de cartão complexo começou em 1999, quando Cyril Lalo e Philippe Guillaud, seus inventores, projetaram um cartão inteligente com componentes adicionais. O primeiro protótipo foi desenvolvido colaborativamente por Cyril Lalo, que era o CEO da AudioSmartCard na época, e Henri Boccia e Philippe Patrice, da Gemplus. O protótipo incluía um botão e funções de áudio em uma placa compatível com ISO 7810 de 0,84 mm de espessura.

Desde então, os Complex Cards foram implantados em massa principalmente pela NagraID Security.

AudioSmartCard

AudioSmartCard International SA foi fundamental no desenvolvimento do primeiro cartão complexo que incluía uma bateria, um buzzer piezoelétrico, um botão e funções de áudio, tudo em um cartão compatível com ISO 7810 de 0,84 mm de espessura.

AudioSmartCard foi fundado em 1993 e se especializou no desenvolvimento e comercialização de tokens acústicos que incorporam recursos de segurança. Esses tokens acústicos trocavam dados na forma de sons transmitidos por uma linha telefônica. Em 1999, AudioSmartCard fez a transição para uma nova liderança sob Cyril Lalo e Philippe Guillaud, que também se tornaram acionistas majoritários. Eles fizeram o AudioSmartCard evoluir em direção ao mundo dos cartões inteligentes. Em 2003, a Prosodie, uma subsidiária da Capgemini , juntou-se aos acionistas da AudioSmartCard.

AudioSmartCard foi renomeado para nCryptone em 2004.

Inovação CardLab

A CardLab Innovation, incorporada em 2006 em Herlev, Dinamarca, é especializada em cartões complexos que incluem um switch, um leitor biométrico, um jammer RFID e uma ou mais tarjas magnéticas. A empresa trabalha com parceiros de fabricação na China e na Tailândia e possui uma fábrica de laminação de cartões na Tailândia.

Moeda

Coin foi uma startup com sede nos Estados Unidos fundada em 2012 por Kanishk Parashar. Desenvolveu um Cartão Complexo capaz de armazenar os dados de diversos cartões de crédito e débito. O protótipo do cartão estava equipado com um display e um botão que permitia ao usuário alternar entre os diferentes cartões. Em 2015, o conceito de cartão Coin original evoluiu para Coin 2.0, adicionando comunicação sem contato à sua emulação de tarja magnética original.

A Coin foi adquirida pela Fitbit em maio de 2016 e todas as atividades da Coin foram descontinuadas em fevereiro de 2017.

Ellipse World, Inc.

A Ellipse World, Inc. foi fundada em 2017 por Cyril Lalo e Sébastien Pochic, ambos especialistas reconhecidos em tecnologia de cartões complexos. A Ellipse World, Inc. é especializada em tecnologia de cartão complexo sem bateria.

As tecnologias patenteadas da Ellipse permitem que os fabricantes de cartões inteligentes usem seu processo de fabricação de cartão de pagamento de interface dupla existente e a cadeia de suprimentos para construir Cartões Complexos de segunda geração sem bateria com recursos de exibição. Graças a essa facilidade de integração, os fornecedores de cartões inteligentes podem atender aos mercados de cartões bancários, de trânsito e pré-pagos.

EMue Technologies

A EMue Technologies, sediada em Melbourne, Austrália, projetou e desenvolveu soluções de autenticação para a indústria de serviços financeiros de 2009 a 2015. O principal produto da empresa, desenvolvido em colaboração com Cyril Lalo e Philippe Guillaud, foi o eMue Card, um cartão de crédito Visa CodeSure com um teclado integrado, um display e um microprocessador.

Feitian Technologies

Feitian Technologies , uma empresa com sede na China criada em 1998, fornece produtos e soluções de segurança cibernética. A empresa oferece soluções de segurança baseadas em cartões inteligentes e também em outros dispositivos de autenticação. Isso inclui cartões complexos, que incorporam um display, um teclado ou um sensor de impressão digital.

Cartões de impressão digital

A Fingerprint Cards AB (ou Fingerprints) é uma empresa sueca especializada em soluções biométricas. A empresa vende sensores biométricos e lançou recentemente cartões de pagamento que incorporam um sensor de impressão digital, como o cartão Zwipe, um cartão de pagamento biométrico de interface dupla que usa um sensor integrado da Fingerprints.

Giesecke + Devrient

A Giesecke & Devrient , também conhecida como G + D, é uma empresa alemã com sede em Munique que fornece cédulas, impressão de segurança, cartões inteligentes e sistemas de manuseio de dinheiro. Seu portfólio de cartões inteligentes inclui cartões de exibição, cartões OTP, bem como cartões exibindo um CSC dinâmico .

Gemalto

A Gemalto , uma divisão do Thales Group , é um importante player na indústria de transações seguras. O portfólio de cartões complexos da empresa inclui cartões com visor ou sensor de impressão digital. Esses cartões podem exibir um OTP ou um CSC dinâmico.

Idemia

Idemia é o produto da fusão de 2017 da Oberthur Technologies e da Morpho. A empresa combinada se posicionou como fornecedora global de cartões financeiros, cartões SIM, dispositivos biométricos, bem como soluções de identidade pública e privada. Devido à aquisição da NagraID Security pela Oberthur em 2014, as ofertas do Cartão Complex da Idemia incluem o cartão de pagamento biométrico F.CODE que inclui um sensor de impressão digital e seu cartão Motion Code alimentado por bateria que exibe um CSC Dinâmico.

Idex

A Idex Biometrics ASA, incorporada na Noruega, é especializada em tecnologias de identificação de impressão digital para autenticação pessoal. A empresa oferece sensores e módulos de impressão digital que estão prontos para serem incorporados aos cartões.

Tecnologias inovadoras de cartões

Fundada em 2002, por Alan Finkelstein, a Innovative Card Technologies desenvolveu e comercializou melhorias para o mercado de cartões inteligentes. A empresa adquiriu os ativos de cartão de exibição da nCryptone em 2006. A Innovative Card Technologies encerrou suas atividades.

NagraID

Nagra ID, agora conhecido como NID, foi uma subsidiária integral do Grupo Kudelski até 2014. NID pode traçar sua história com Complex Cards desde 2003, quando colaborou no desenvolvimento com nCryptone. A Nagra ID foi fundamental no desenvolvimento do processo de laminação a frio para a fabricação de Cartões Complexos.

Nagra ID fabrica cartões complexos que podem incluir uma bateria, botões, visores ou outros componentes eletrônicos.

Segurança NagraID

A Nagra ID Security começou em 2008 como um desmembramento da Nagra ID para se concentrar no desenvolvimento e fabricação de cartões complexos. A empresa era detida pelo Grupo Kudelski (50%), Cyril Lalo (25%) e Philippe Guillaud (25%).

A NagraID Security rapidamente se tornou um jogador líder na adoção de Cartões Complexos devido, em grande parte, ao desenvolvimento de cartões MotionCode que apresentavam um pequeno display para habilitar um Código de Segurança de Cartão (CVV2) .

NagraID Security foi o primeiro fabricante de Complex Cards a desenvolver um mercado de massa para cartões de exibição de pagamento. Seus clientes incluíam:

  • ABSA, África do Sul,
  • Banco Bicentenário, Venezuela,
  • Banco MontePaschi, Bélgica,
  • Erste Bank, Croácia,
  • Getin Bank, Polônia,
  • Standard Chartered Bank, Cingapura.

A NagraID Security também entregou cartões de senha única para empresas, incluindo:

  • Banco da América,
  • Segurança HID,
  • Paypal,
  • RSA Security,
  • Verisign.

Em 2014, a NagraID Security foi vendida para a Oberthur Technologies (agora Idemia ).

nCryptone

nCryptone surgiu em 2004 a partir da renomeação de AudioSmartCard. A nCryptone foi liderada por Cyril Lalo e Philippe Guillaud e desenvolveu tecnologias em torno de servidores e dispositivos de autenticação.

Os ativos do cartão de exibição nCryptone foram adquiridos pela Innovative Card Technologies em 2006.

Oberthur Technologies, agora Idemia

Oberthur Technologies , agora Idemia , é um dos principais participantes da indústria de transações seguras. Ela adquiriu os negócios da NagraID Security em 2014. A Oberthur então se fundiu com a Morpho e a entidade combinada foi renomeada para Idemia em 2017.

As principais referências no negócio de Cartões Complexos incluem:

  • Grupo BPCE, França,
  • Orange Bank, França,
  • Société Générale, França.

Plastc

Criada em 2009, a Plastc anunciou um único cartão que poderia armazenar digitalmente os dados de até 20 cartões de crédito ou débito. A empresa conseguiu levantar US $ 9 milhões por meio de encomendas, mas não conseguiu entregar nenhum produto. A Plastc foi então adquirida em 2017 pela Edge Mobile Payments, uma empresa Fintech com sede em Santa Cruz. O projeto Plastc continua como o cartão Edge, um cartão de pagamento dinâmico que consolida vários cartões de pagamento em um único dispositivo. O cartão é equipado com bateria e tela ePaper e pode armazenar dados de até 50 cartões de crédito, débito, fidelidade e vale-presente.

Stratos

A Stratos foi criada em 2012 em Ann Arbor, Michigan, EUA. Em 2015, a Stratos desenvolveu o Stratos Bluetooth Connected Card, que foi projetado para integrar até três cartões de crédito e débito em um único formato de cartão e contou com um aplicativo para smartphone usado para gerenciar o cartão. Devido à sua bateria de filme fino de íon de lítio, a placa Stratos era equipada com LEDs e se comunicava no modo sem contato e em Bluetooth de baixa energia.

Em 2017, a Stratos foi adquirida pela CardLab Innovation, empresa com sede em Herlev, Dinamarca.

Swyp

SWYP era a marca de um cartão desenvolvido pela Qvivr, empresa constituída em 2014 em Fremont, Califórnia. SWYP foi lançado em 2015 e apelidado de a primeira carteira inteligente do mundo. SWYP era um cartão de metal com a capacidade de combinar mais de 25 cartões de crédito, débito, presente e fidelidade. O cartão funcionou em conjunto com um aplicativo de smartphone usado para gerenciar os cartões. O cartão Swyp incluía uma bateria, um botão e um display de matriz que mostrava qual cartão estava em uso. A empresa registrou usuários em seu programa de teste beta, mas o produto nunca foi enviado em escala comercial.

A Qvivr arrecadou US $ 5 milhões em janeiro de 2017 e encerrou as atividades em novembro de 2017.

Negócios

Os Cartões Complexos foram adotados por várias instituições financeiras em todo o mundo. Eles podem incluir diferentes funcionalidades, como cartões de pagamento (crédito, débito, pré-pago), senha de uso único , trânsito em massa e código de segurança do cartão dinâmico (CVV2) .

A tecnologia de cartão complexo é usada por várias instituições financeiras, incluindo:

  • ABSA, África do Sul,
  • Banca MontePaschi Belgio,
  • Bank of America, EUA,
  • Grupo BPCE, França,
  • Banco Carpatica, Romênia,
  • Credit Europe Bank, Romênia,
  • Erste & Steiermärkische Ban, Croácia
  • Getin Bank, Polônia,
  • Newcastle Banking Society, Reino Unido,
  • Orange Bank, França,
  • Paypal, EUA,
  • Sinopac, Taiwan,
  • Société Générale, França,
  • Standard Chartered Bank, Singapura,
  • Symantec,
  • TEB, Turquia.

Projeto

Um cartão inteligente pode ter as seguintes características genéricas:

Desde abril de 2009, uma empresa japonesa fabrica cartões inteligentes financeiros reutilizáveis ​​feitos de papel.

Estrutura interna

Estruturas de dados

Conforme mencionado acima, os dados em um cartão inteligente podem ser armazenados em um sistema de arquivos (FS). Em sistemas de arquivos de cartão inteligente, o diretório raiz é chamado de "arquivo mestre" ("MF"), os subdiretórios são chamados de "arquivos dedicados" ("DF") e os arquivos comuns são chamados de "arquivos elementares" ("EF").

Layout lógico

O sistema de arquivos mencionado acima é armazenado em um EEPROM (armazenamento ou memória) dentro do smartcard. Além da EEPROM, outros componentes podem estar presentes, dependendo do tipo de smartcard. A maioria dos cartões inteligentes tem um de três layouts lógicos:

  • EEPROM apenas.
  • EEPROM, ROM, RAM e microprocessador.
  • EEPROM, ROM, RAM, microprocessador e cripto-módulo.

Em cartões com microprocessadores, o microprocessador fica alinhado entre o leitor e os outros componentes. O sistema operacional executado no microprocessador medeia o acesso do leitor a esses componentes para impedir o acesso não autorizado.

Interfaces físicas

Cartões inteligentes de contato

Ilustração da estrutura e embalagem do cartão inteligente
Chip de silício de 4 por 4 mm em um cartão SIM, que foi aberto. Observe os finos fios de ligação de ouro e as áreas regulares e retangulares da memória digital.
Leitor de cartão inteligente em um laptop
Uma pinagem de cartão inteligente . VCC : Fonte de alimentação . RST : Sinal de reinicialização, usado para reinicializar as comunicações da placa. CLK : Fornece ao cartão um sinal de relógio , do qual o tempo de comunicação de dados é derivado. GND : Terra (tensão de referência). VPP : ISO / IEC 7816-3: 1997 designou isso como uma tensão de programação: uma entrada para uma tensão mais alta para programar a memória persistente (por exemplo, EEPROM ). ISO / IEC 7816-3: 2006 o designa SPU, para uso padrão ou proprietário, como entrada e / ou saída. I / O : entrada e saída serial ( half-duplex ). C4, C8 : Os dois contatos restantes são AUX1 e AUX2 respectivamente e são usados ​​para interfaces USB e outros usos. No entanto, o uso definido na ISO / IEC 7816-2: 1999 / Amd 1: 2004 pode ter sido substituído pela ISO / IEC 7816-2: 2007.
Os cartões inteligentes do tipo contato podem ter muitos layouts de pad de contato diferentes, como esses SIMs .

Os cartões inteligentes de contato têm uma área de contato de aproximadamente 1 centímetro quadrado (0,16 pol²), compreendendo vários blocos de contato banhados a ouro . Essas almofadas fornecem conectividade elétrica quando inseridas em um leitor , que é usado como meio de comunicação entre o cartão inteligente e um host (por exemplo, um computador, um terminal de ponto de venda) ou um telefone móvel. Os cartões não contêm baterias ; a energia é fornecida pelo leitor de cartão.

As séries de padrões ISO / IEC 7810 e ISO / IEC 7816 definem:

  • forma física e características,
  • posições e formas do conector elétrico,
  • características elétricas,
  • protocolos de comunicação , incluindo comandos enviados e respostas do cartão,
  • funcionalidade básica.

Como os chips dos cartões financeiros são iguais aos usados ​​nos módulos de identidade do assinante (SIMs) dos telefones celulares, programados de maneira diferente e incorporados em uma peça diferente de PVC , os fabricantes de chips estão adotando os padrões GSM / 3G mais exigentes. Portanto, por exemplo, embora o padrão EMV permita que um cartão com chip retire 50 mA de seu terminal, os cartões normalmente estão bem abaixo do limite de 6 mA da indústria de telefonia. Isso permite terminais de cartões financeiros menores e mais baratos.

Os protocolos de comunicação para cartões inteligentes de contato incluem T = 0 (protocolo de transmissão em nível de caractere, definido em ISO / IEC 7816-3) e T = 1 (protocolo de transmissão em nível de bloco, definido em ISO / IEC 7816-3).

Cartões inteligentes sem contato

Os cartões inteligentes sem contato comunicam-se com os leitores de acordo com os protocolos definidos no padrão ISO / IEC 14443 . Eles suportam taxas de dados de 106–848 kbit / s. Esses cartões requerem apenas proximidade a uma antena para se comunicar. Como os cartões inteligentes com contatos, os cartões sem contato não possuem uma fonte de alimentação interna. Em vez disso, eles usam uma bobina de antena de loop para capturar parte do sinal de interrogação de radiofrequência incidente, retificá- lo e usá-lo para alimentar os componentes eletrônicos da placa. A mídia inteligente sem contato pode ser feita com acabamento em PVC, papel / cartão e PET para atender a diferentes requisitos de desempenho, custo e durabilidade.

A transmissão de APDU por uma interface sem contato é definida na ISO / IEC 14443 -4.

Híbridos

Um cartão inteligente híbrido, que mostra claramente a antena conectada ao chip principal

Os cartões híbridos implementam interfaces sem contato e de contato em um único cartão com chips não conectados, incluindo módulos / armazenamento e processamento dedicados.

Interface dupla

Os cartões de interface dupla implementam interfaces sem contato e de contato em um único chip com algum armazenamento e processamento compartilhados. Um exemplo é o cartão de transporte multi-aplicações do Porto , denominado Andante , que utiliza um chip com interface contact e contactless (ISO / IEC 14443 Tipo B). Numerosos cartões de pagamento em todo o mundo são baseados na tecnologia de cartão híbrido, permitindo que eles se comuniquem sem contato, parede ou modo de contato.

USB

O CCID (Chip Card Interface Device) é um protocolo USB que permite a interface de um smart card a um computador usando um leitor de cartão que possui uma interface USB padrão. Isso permite que o cartão inteligente seja usado como um token de segurança para autenticação e criptografia de dados, como Bitlocker . Um CCID típico é um dongle USB e pode conter um SIM.

Interfaces lógicas

Lado leitor

Diferentes cartões inteligentes implementam um ou mais protocolos do lado do leitor. Os protocolos comuns aqui incluem CT-API e PC / SC .

Lado do aplicativo

Os sistemas operacionais de cartão inteligente podem fornecer interfaces de programação de aplicativos (APIs) para que os desenvolvedores possam escrever programas ("aplicativos") para serem executados no cartão inteligente. Algumas APIs, como o Java Card , permitem que programas sejam carregados no cartão sem substituir todo o sistema operacional do cartão.

Formulários

Financeiro

Os cartões inteligentes servem como cartões de crédito ou ATM , cartões de combustível , SIMs de telefones celulares , cartões de autorização para televisão por assinatura, cartões de pré-pagamento de utilidades domésticas, identificação de alta segurança e crachás de acesso e cartões de pagamento para transporte público e telefone público.

Os cartões inteligentes também podem ser usados ​​como carteiras eletrônicas . O chip do cartão inteligente pode ser "carregado" com fundos para pagar parquímetros, máquinas de venda automática ou comerciantes. Os protocolos criptográficos protegem a troca de dinheiro entre o cartão inteligente e a máquina. Nenhuma conexão com um banco é necessária. O titular do cartão pode utilizá-lo mesmo que não seja o titular. Os exemplos são Proton , Geldkarte , Chipknip e Moneo . O Geldkarte alemão também é usado para validar a idade do cliente nas máquinas de venda automática de cigarros.

Estes são os cartões de pagamento mais conhecidos (cartão de plástico clássico):

  • Visa: Visa Contactless, Quick VSDC, "qVSDC", Visa Wave, MSD, payWave
  • Mastercard: PayPass Magstripe, PayPass MChip
  • American Express: ExpressPay
  • Descubra: Zip
  • Unionpay: QuickPass

As implementações começaram em 2005 nos EUA, Ásia e Europa em 2006. As transações sem contato (não PIN) cobrem uma faixa de pagamento de ~ $ 5–50. Existe uma implementação do PayPass ISO / IEC 14443 . Algumas, mas não todas, as implementações do PayPass estão em conformidade com o EMV.

Os cartões não EMV funcionam como cartões de tarja magnética . Isso é comum nos EUA (PayPass Magstripe e Visa MSD). Os cartões não detêm ou mantêm o saldo da conta. Todos os pagamentos passam sem um PIN, geralmente no modo off-line. A segurança de tal transação não é maior do que com uma transação com cartão de tarja magnética.

Os cartões EMV podem ter interfaces de contato ou sem contato. Eles funcionam como se fossem uma placa EMV normal com uma interface de contato. Por meio da interface sem contato, eles funcionam de maneira um pouco diferente, pois os comandos do cartão possibilitaram recursos aprimorados, como menor consumo de energia e tempos de transação mais curtos. Os padrões EMV incluem disposições para comunicações por contato e sem contato. Normalmente, os cartões de pagamento modernos são baseados na tecnologia de cartão híbrido e suportam os modos de comunicação de contato e sem contato.

SIM

Os módulos de identidade do assinante usados ​​em sistemas de telefonia móvel são cartões inteligentes de tamanho reduzido, usando tecnologias idênticas.

Identificação

Os cartões inteligentes podem autenticar a identidade. Às vezes, eles empregam uma infraestrutura de chave pública (PKI). O cartão armazena um certificado digital criptografado emitido pelo provedor de PKI junto com outras informações relevantes. Os exemplos incluem o Cartão de Acesso Comum (CAC) do Departamento de Defesa dos EUA (DoD) e outros cartões usados ​​por outros governos para seus cidadãos. Se eles incluírem dados de identificação biométrica, os cartões podem fornecer autenticação superior de dois ou três fatores.

Os cartões inteligentes nem sempre aumentam a privacidade, porque o assunto pode conter informações incriminatórias no cartão. Os cartões inteligentes sem contato que podem ser lidos em uma carteira ou mesmo em uma roupa simplificam a autenticação; no entanto, os criminosos podem acessar os dados desses cartões.

Os cartões inteligentes criptográficos costumam ser usados ​​para logon único . A maioria dos cartões inteligentes avançados inclui hardware criptográfico especializado que usa algoritmos como RSA e Algoritmo de Assinatura Digital (DSA). Os cartões inteligentes criptográficos atuais geram pares de chaves a bordo, para evitar o risco de ter mais de uma cópia da chave (já que, por design, geralmente não há uma maneira de extrair chaves privadas de um cartão inteligente). Esses cartões inteligentes são usados ​​principalmente para assinaturas digitais e identificação segura.

A maneira mais comum de acessar as funções criptográficas do cartão inteligente em um computador é usar uma biblioteca PKCS # 11 fornecida pelo fornecedor . No Microsoft Windows, a API do provedor de serviços criptográficos (CSP) também é compatível.

Os algoritmos criptográficos mais amplamente usados ​​em cartões inteligentes (excluindo o chamado "algoritmo de criptografia" GSM) são Triple DES e RSA . O conjunto de chaves geralmente é carregado (DES) ou gerado (RSA) no cartão no estágio de personalização.

Alguns desses cartões inteligentes também são feitos para oferecer suporte ao padrão do Instituto Nacional de Padrões e Tecnologia (NIST) para Verificação de Identidade Pessoal , FIPS 201 .

A Turquia implementou o primeiro sistema de carteira de habilitação com cartão inteligente em 1987. A Turquia teve um alto nível de acidentes rodoviários e decidiu desenvolver e usar dispositivos de tacógrafo digital em veículos pesados, em vez dos mecânicos existentes, para reduzir as violações de velocidade. Desde 1987, as carteiras de motorista profissionais na Turquia são emitidas como cartões inteligentes. Um motorista profissional deve inserir sua carteira de motorista em um tacógrafo digital antes de começar a dirigir. A unidade do tacógrafo regista as violações de velocidade para cada condutor e fornece um relatório impresso. Os horários de condução de cada motorista também estão sendo monitorados e informados. Em 1990, a União Europeia conduziu um estudo de viabilidade através da BEVAC Consulting Engineers, intitulado "Estudo de viabilidade com relação a uma carteira de motorista eletrônica europeia (com base em um cartão inteligente) em nome da Direção Geral VII". Neste estudo, o capítulo sete descreve a experiência da Turquia.

A província de Mendoza, na Argentina, começou a usar carteiras de habilitação com cartão inteligente em 1995. Mendoza também teve um alto nível de acidentes rodoviários, infrações de trânsito e um histórico ruim de recuperação de multas. As licenças inteligentes mantêm registros atualizados de crimes de trânsito e multas não pagas. Eles também armazenam informações pessoais, tipo e número de licença e uma fotografia. Informações médicas de emergência, como tipo sanguíneo, alergias e biometria (impressões digitais), podem ser armazenadas no chip se o titular do cartão desejar. O governo argentino prevê que esse sistema ajudará a arrecadar mais de US $ 10 milhões por ano em multas.

Em 1999, Gujarat foi o primeiro estado indiano a introduzir um sistema de licença de cartão inteligente. Em 2005, emitiu 5 milhões de carteiras de habilitação com cartão inteligente para seu pessoal.

Em 2002, o governo da Estônia começou a emitir cartões inteligentes com o nome de ID Kaart como identificação primária para os cidadãos para substituir o passaporte normal para uso doméstico e na UE. Em 2010, cerca de 1 milhão de cartões inteligentes foram emitidos (a população total é de cerca de 1,3 milhão) e são amplamente usados ​​em serviços bancários pela Internet, compra de passagens de transporte público, autorização em vários sites, etc.

No início de 2009, toda a população da Bélgica recebeu cartões de identidade eletrônicos que são usados ​​para identificação. Esses cartões contêm dois certificados: um para autenticação e outro para assinatura. Esta assinatura é legalmente aplicável. Cada vez mais serviços na Bélgica usam a identidade eletrônica para autorização .

A Espanha começou a emitir cartões de identidade nacionais (DNI) na forma de cartões inteligentes em 2006 e gradualmente substituiu todos os antigos por cartões inteligentes. A ideia era que muitos ou a maioria dos atos burocráticos poderiam ser feitos online, mas foi um fracasso porque o governo não se adaptou e ainda exige principalmente documentos em papel e presença pessoal.

Em 14 de agosto de 2012, os cartões de identidade no Paquistão foram substituídos. O Smart Card é um documento de identidade baseado em chip de terceira geração, produzido de acordo com os padrões e requisitos internacionais. O cartão possui mais de 36 recursos de segurança física e os códigos de criptografia mais recentes. Esse cartão inteligente substituiu o NICOP (o cartão de identificação do Paquistão no exterior ).

Os cartões inteligentes podem identificar as equipes de emergência e suas habilidades. Cartões como esses permitem que os primeiros respondentes contornem a papelada organizacional e se concentrem mais na resolução de emergências. Em 2004, a The Smart Card Alliance expressou as necessidades: "para aprimorar a segurança, aumentar a eficiência do governo, reduzir a fraude de identidade e proteger a privacidade pessoal estabelecendo um padrão governamental obrigatório para formas seguras e confiáveis ​​de identificação". o pessoal de resposta a emergências pode carregar esses cartões para serem identificados positivamente em situações de emergência. A WidePoint Corporation , fornecedora de cartão inteligente para a FEMA , produz cartões que contêm informações pessoais adicionais, como registros médicos e conjuntos de habilidades.

Em 2007, a Open Mobile Alliance (OMA) propôs um novo padrão definindo V1.0 do Smart Card Web Server (SCWS), um servidor HTTP embutido em um cartão SIM destinado a um usuário de smartphone . A associação comercial sem fins lucrativos SIMalliance tem promovido o desenvolvimento e a adoção do SCWS. SIMalliance afirma que o SCWS oferece aos usuários finais uma interface baseada em navegador familiar, independente do sistema operacional , para proteger os dados pessoais do SIM. Em meados de 2010, a SIMalliance não havia relatado ampla aceitação do setor de SCWS. A OMA tem mantido o padrão, aprovando V1.1 do padrão em maio de 2009, e V1.2 era esperado para ser aprovado em outubro de 2012.

Os cartões inteligentes também são usados ​​para identificar contas de usuário em máquinas de fliperama.

Trânsito público

Cartão inteligente SmartRider (Transperth)

Os cartões inteligentes, usados ​​como passes de trânsito , e bilhetes integrados são usados ​​por muitas operadoras de transporte público. Os usuários de cartão também podem fazer pequenas compras usando os cartões. Algumas operadoras oferecem pontos para uso, trocados em varejistas ou outros benefícios. Os exemplos incluem CEPAS de Cingapura , Touch n Go da Malásia , cartão Presto de Ontário, cartão Octopus de Hong Kong, cartão Oyster de Londres, cartão Leap da Irlanda , MoBIB de Bruxelas , cartão OPUS de Québec, cartão Clipper de São Francisco , AT Hop de Auckland , cartão go de Brisbane , SmartRider de Perth , O cartão Opal de Sydney e o myki de Victoria . No entanto, eles apresentam um risco de privacidade porque permitem que o operador de transporte de massa (e o governo) rastreie o movimento de um indivíduo. Na Finlândia, por exemplo, o Provedor de Justiça de Proteção de Dados proibiu a operadora de transportes Helsinki Metropolitan Area Council (YTV) de coletar tais informações, apesar do argumento da YTV de que o titular do cartão tem direito a uma lista de viagens pagas com o cartão. Anteriormente, essas informações foram usadas na investigação do bombardeio de Myyrmanni .

O Departamento de Transporte do Reino Unido determinou que os cartões inteligentes administrassem os direitos de viagem para residentes idosos e com deficiência. Esses esquemas permitem que os residentes usem os cartões para mais do que apenas passes de ônibus. Eles também podem ser usados ​​para táxi e outros transportes concessionados. Um exemplo é o esquema "Smartcare go" fornecido pela Ecebs. Os sistemas do Reino Unido usam a especificação ITSO Ltd. Outros esquemas no Reino Unido incluem passes de viagens periódicas, cadernetas de bilhetes ou passes diários e valores armazenados que podem ser usados ​​para pagar as viagens. Outras concessões para alunos, estudantes e candidatos a emprego também são apoiadas. Estes baseiam-se principalmente nas especificações ITSO Ltd.

Muitos esquemas de transporte inteligente incluem o uso de bilhetes inteligentes de baixo custo para viagens simples, passes diários e passes de visitantes. Os exemplos incluem o metrô SPT de Glasgow . Esses tíquetes inteligentes são feitos de papel ou PET, que é mais fino do que um cartão inteligente de PVC, por exemplo, mídia inteligente Confidex. Os bilhetes inteligentes podem ser fornecidos pré-impressos e sobre-impressos ou impressos sob demanda.

Na Suécia, a partir de 2018-2019, os cartões inteligentes começaram a ser eliminados e substituídos por aplicativos para smartphones . Os aplicativos de telefone têm custo menor, pelo menos para as operadoras de trânsito que não precisam de nenhum equipamento eletrônico (os pilotos fornecem). Os passageiros podem comprar passagens em qualquer lugar e não precisam carregar dinheiro em cartões inteligentes. Os cartões inteligentes ainda estão em uso em um futuro previsível (a partir de 2019).

Jogos de vídeo

Nos fliperamas japoneses , os cartões inteligentes sem contato (geralmente chamados de "cartões IC") são usados ​​pelos fabricantes de jogos como um método para os jogadores acessarem os recursos do jogo (tanto online como Konami E-Amusement e Sega ALL.Net e offline) e como um suporte de memória para salvar o progresso do jogo. Dependendo do cenário caso a caso, as máquinas podem utilizar uma placa específica do jogo ou uma "universal" utilizável em várias máquinas do mesmo fabricante / editor. Entre os mais usados ​​estão Banapassport da Bandai Namco , E-Amusement da Konami , Aime da Sega e Nesica da Taito .

Em 2018, em um esforço para tornar os cartões IC de jogos de arcade mais fáceis de usar, a Konami, a Bandai Namco e a Sega concordaram em um sistema unificado de cartões chamado Amusement IC . Graças a este acordo, as três empresas passaram a utilizar um leitor de cartões unificado nos seus armários de arcada, para que os jogadores possam utilizar o seu cartão, quer seja um Banapassport, um e-Amusement Pass ou um Aime, com hardware e serviços de ID de todos os três fabricantes. Foi criado um logotipo comum para cartões de diversões IC , que agora é exibido em cartões compatíveis de todas as três empresas. Em janeiro de 2019, Taito anunciou que seu cartão Nesica também faria parte do contrato da Amusement IC com as outras três empresas.

Segurança informática

Os cartões inteligentes podem ser usados ​​como token de segurança .

Do Mozilla Firefox navegador web pode usar cartões inteligentes para armazenar certificados para uso em navegação na web seguro.

Alguns sistemas de criptografia de disco , como VeraCrypt e o BitLocker da Microsoft , podem usar cartões inteligentes para manter chaves de criptografia com segurança e também para adicionar outra camada de criptografia a partes críticas do disco protegido.

GnuPG , o conjunto de criptografia bem conhecido, também suporta o armazenamento de chaves em um cartão inteligente.

Os cartões inteligentes também são usados ​​para logon único para fazer logon em computadores.

Escolas

Os cartões inteligentes estão sendo fornecidos a alunos em algumas escolas e faculdades. Os usos incluem:

  • Rastreando a frequência dos alunos
  • Como porta-moedas eletrônico , para pagar itens em cantinas, máquinas de venda automática, lavanderia, etc.
  • Acompanhar e monitorar as escolhas alimentares na cantina, para ajudar o aluno a manter uma dieta saudável
  • Rastreamento de empréstimos na biblioteca da escola
  • Controle de acesso para admissão em edifícios restritos, dormitórios e outras instalações. Este requisito pode ser aplicado em todos os momentos (como para um laboratório contendo equipamentos valiosos), ou apenas durante os períodos após o expediente (como para um prédio acadêmico que está aberto durante o horário de aula, mas restrito a pessoal autorizado à noite), dependendo nas necessidades de segurança.
  • Acesso a serviços de transporte

Cuidados de saúde

Os cartões de saúde inteligentes podem melhorar a segurança e a privacidade das informações do paciente, fornecer uma operadora segura para registros médicos portáteis , reduzir a fraude no atendimento à saúde , apoiar novos processos para registros médicos portáteis, fornecer acesso seguro a informações médicas de emergência, permitir a conformidade com iniciativas governamentais (por exemplo , doação de órgãos ) e mandatos e fornecer a plataforma para implementar outros aplicativos conforme necessário pela organização de saúde .

Outros usos

Os cartões inteligentes são amplamente usados ​​para criptografar fluxos de televisão digital. VideoGuard é um exemplo específico de como funcionava a segurança do smart card.

Sistemas de uso múltiplo

O governo da Malásia promove o MyKad como um sistema único para todos os aplicativos de cartão inteligente. O MyKad começou como carteiras de identidade carregadas por todos os cidadãos e não cidadãos residentes. Os aplicativos disponíveis agora incluem identidade, documentos de viagem, carteira de habilitação, informações de saúde, carteira eletrônica, cartão de banco ATM, pedágios públicos e pagamentos de trânsito e infraestrutura de criptografia de chave pública. As informações pessoais dentro do cartão MYKAD podem ser lidas usando comandos APDU especiais.

Segurança

Os cartões inteligentes foram anunciados como adequados para tarefas de identificação pessoal, porque são projetados para serem resistentes a adulterações . O chip geralmente implementa algum algoritmo criptográfico . Existem, no entanto, vários métodos para recuperar alguns dos estados internos do algoritmo.

A análise de potência diferencial envolve a medição do tempo preciso e da corrente elétrica necessária para certas operações de criptografia ou descriptografia. Isso pode deduzir a chave privada no chip usada por algoritmos de chave pública, como RSA . Algumas implementações de cifras simétricas podem ser vulneráveis ​​a ataques de temporização ou de energia também.

Os cartões inteligentes podem ser fisicamente desmontados usando ácido, abrasivos, solventes ou alguma outra técnica para obter acesso irrestrito ao microprocessador integrado. Embora tais técnicas possam envolver um risco de dano permanente ao chip, elas permitem que informações muito mais detalhadas (por exemplo, fotomicrografias de hardware de criptografia) sejam extraídas.

Benefícios

Os benefícios dos cartões inteligentes estão diretamente relacionados ao volume de informações e aplicativos que são programados para uso em um cartão. Um único cartão inteligente com / sem contato pode ser programado com várias credenciais bancárias, direito médico, carteira de motorista / direito a transporte público, programas de fidelidade e associações a clubes, para citar apenas alguns. A autenticação multifator e de proximidade pode e foi incorporada aos cartões inteligentes para aumentar a segurança de todos os serviços do cartão. Por exemplo, um cartão inteligente pode ser programado para permitir apenas uma transação sem contato se também estiver dentro do alcance de outro dispositivo, como um telefone móvel emparelhado com exclusividade. Isso pode aumentar significativamente a segurança do cartão inteligente.

Governos e autoridades regionais economizam dinheiro devido à segurança aprimorada, melhores dados e custos de processamento reduzidos. Essas economias ajudam a reduzir orçamentos públicos ou melhorar os serviços públicos. Existem muitos exemplos no Reino Unido, muitos usando uma especificação LASSeO aberta comum .

Os indivíduos têm melhor segurança e mais comodidade com o uso de cartões inteligentes que realizam vários serviços. Por exemplo, eles só precisam substituir um cartão se sua carteira for perdida ou roubada. O armazenamento de dados em um cartão pode reduzir a duplicação e até mesmo fornecer informações médicas de emergência.

Vantagens

A primeira vantagem principal dos cartões inteligentes é sua flexibilidade. Os cartões inteligentes têm várias funções que podem ser simultaneamente um ID, um cartão de crédito, um cartão de débito com valor armazenado e um repositório de informações pessoais, como números de telefone ou histórico médico. O cartão pode ser facilmente substituído em caso de perda e a exigência de um PIN (ou outra forma de segurança) fornece segurança adicional contra acesso não autorizado a informações por terceiros. Na primeira tentativa de uso ilegal, o cartão seria desativado pelo próprio leitor de cartões.

A segunda vantagem principal é a segurança. Os cartões inteligentes podem ser porta-chaves eletrônicos, dando ao portador a capacidade de acessar informações e locais físicos sem a necessidade de conexões online. Eles são dispositivos de criptografia, para que o usuário possa criptografar e descriptografar informações sem depender de aparelhos desconhecidos e, portanto, potencialmente não confiáveis, como caixas eletrônicos. Os cartões inteligentes são muito flexíveis no fornecimento de autenticação em diferentes níveis do portador e da contraparte. Por fim, com as informações sobre o usuário que os cartões inteligentes podem fornecer às outras partes, eles são dispositivos úteis para personalizar produtos e serviços.

Outros benefícios gerais dos cartões inteligentes são:

  • Portabilidade
  • Aumentar a capacidade de armazenamento de dados
  • Confiabilidade virtualmente não afetada por campos elétricos e magnéticos.

Cartões inteligentes e comércio eletrônico

Os cartões inteligentes podem ser usados ​​no comércio eletrônico , pela Internet, embora o modelo de negócios usado nas atuais aplicações de comércio eletrônico ainda não consiga usar todo o domínio do meio eletrônico. Uma vantagem dos cartões inteligentes para o comércio eletrônico é o uso de serviços personalizados. Por exemplo, para que o fornecedor de serviço entregue o serviço customizado, o usuário pode precisar fornecer a cada fornecedor seu perfil, uma atividade tediosa e demorada. Um cartão inteligente pode conter um perfil não criptografado do portador, de forma que o usuário possa obter serviços customizados mesmo sem contato prévio com o fornecedor.

Desvantagens

Um falso smart card, com dois microcontroladores CMOS de 8 bits , usado na década de 1990 para decodificar os sinais da Sky Television.

O cartão de plástico ou papel no qual o chip está embutido é bastante flexível. Quanto maior o chip, maior a probabilidade de que o uso normal possa danificá-lo. Os cartões costumam ser carregados em carteiras ou bolsos, um ambiente hostil para chips e antenas em cartões sem contato. Os cartões de PVC podem rachar ou quebrar se dobrados / flexionados excessivamente. No entanto, para grandes sistemas bancários, os custos de gerenciamento de falhas podem ser mais do que compensados ​​pela redução de fraudes.

A produção, o uso e o descarte de plástico PVC são conhecidos por serem mais prejudiciais ao meio ambiente do que outros plásticos. Materiais alternativos, incluindo plásticos e papel sem cloro, estão disponíveis para algumas aplicações inteligentes.

Se o computador do titular da conta hospeda malware , o modelo de segurança do cartão inteligente pode ser quebrado. O malware pode anular a comunicação (tanto entrada via teclado quanto saída via tela do aplicativo) entre o usuário e o aplicativo. O malware man-in-the-browser (por exemplo, o Trojan Silentbanker ) pode modificar uma transação, despercebido pelo usuário. Bancos como Fortis e Belfius na Bélgica e Rabobank (" leitor aleatório ") na Holanda combinam um cartão inteligente com um leitor de cartão desconectado para evitar esse problema. O cliente insere no leitor um desafio recebido do site do banco, um PIN e o valor da transação. O leitor retorna uma assinatura de 8 dígitos. Essa assinatura é inserida manualmente no computador pessoal e verificada pelo banco, evitando que o malware do ponto de venda altere o valor da transação.

Os cartões inteligentes também foram alvos de ataques à segurança. Esses ataques variam de invasão física dos componentes eletrônicos do cartão a ataques não invasivos que exploram as deficiências do software ou hardware do cartão. O objetivo usual é expor as chaves de criptografia privadas e, em seguida, ler e manipular dados seguros, como fundos. Depois que um invasor desenvolve um ataque não invasivo para um modelo de cartão inteligente específico, ele normalmente é capaz de executar o ataque a outros cartões desse modelo em segundos, geralmente usando equipamentos que podem ser disfarçados como um leitor de cartão inteligente normal. Embora os fabricantes possam desenvolver novos modelos de cartão com segurança de informações adicional , pode ser caro ou inconveniente para os usuários atualizar sistemas vulneráveis. Recursos invioláveis e de auditoria em um sistema de cartão inteligente ajudam a gerenciar os riscos de cartões comprometidos.

Outro problema é a falta de padrões de funcionalidade e segurança. Para resolver este problema, o Grupo de Berlim lançou o Projeto ERIDANE para propor "uma nova estrutura funcional e de segurança para equipamentos de Ponto de Interação (POI) baseados em cartões inteligentes".

Veja também

Referências

Leitura adicional

links externos