EMV卡，PIN是否总是存储在发行人安全的服务器端？

Question

EMV卡(或其专业服务提供商)的发行者总是在其服务器(硬件安全模块)上安全地存储隐藏在每个EMV智能芯片中的秘密密钥的副本。然而，它们是否也总是存储相关的PIN，或者是否存在只为智能芯片本身所知的PIN的实例？例如，VISA和MasterCard如何处理他们的卡PIN？

Answer 1

有三种类型的持卡人验证方法(至少在3年前我玩EMV的时候)

1. 针(线下和线上)
2. 签名
3. 不进行核查(在某些情况下这是可能的)。

注意，这些验证方法仅用于物理事务或“卡片呈现”场景。

对于PIN事务，有两种类型，离线PIN和在线PIN。

Online PIN很简单，它是由在线交易中的发行人验证PIN的时候。在线意味着卡终端与发行人有连接，并已将交易和PIN发送到发行人以进行验证。

对于在线PIN，显然发行人有PIN --否则它将无法验证它。

对于脱机PIN，PIN不是通过线路发送，而是发送到卡上的芯片，然后芯片直接验证PIN，向终端提供响应。

在这种情况下，发行人可能不会知道PIN，因为它存储在芯片上。但是，如果客户忘记了，我猜发行人必须能够重新向客户发出PIN，因此在他们的数据中心深处有一台服务器或HSM知道它:)

您的卡是否支持联机PIN或脱机PIN (或两者都支持)取决于发行人和发行国。但我想，在这两种情况下，发行人将拥有PIN，无论类型。

现在，阅读更多的问题，仅仅因为发行人有PIN并不意味着它将是很容易检索。这不是呼叫中心代理能够访问的东西。它可能被严格锁定，并且只能通过打印PIN邮件(打印给客户的信函)或其他一些高度安全的方法来检索。

我不知道你问题的真正目的是什么，但希望这能回答它。