Artikel
EMV-Zertifizierungsprozess in 3 einfachen Schritten
Sie haben möglicherweise bereits von der EMV (Europay, Mastercard und Visa)-Zertifizierung gehört, die Unternehmen benötigen, um EMV-konform zu werden und mit der entsprechenden Ausstattung Betrug zu minimieren. Doch was genau verbirgt sich hinter der EMV-Zertifizierung, und wie läuft der Prozess ab? Da die EMV-Chip-Technologie zunehmend zum Standard wird, stellt sich die Frage: Was sollten Sie über die EMV-Zertifizierung wissen?
In diesem Beitrag beantworten wir genau diese Fragen. Wir erläutern die 3 Zertifizierungsebenen und erklären den EMV-Zertifizierungsprozess anhand von 3 übersichtlichen Schritten. Darüber hinaus zeigen wir, wie unser EMV-zertifizierter Common Kernel den Prozess erheblich vereinfacht.
Die Ebenen der EMV-Zertifizierung
Bevor wir auf die einzelnen Schritte des EMV-Zertifizierungsprozesses eingehen, werfen wir zunächst einen Blick auf die 3 Ebenen. Der EMV-Zertifizierungsprozess lässt sich in drei Ebenen unterteilen: Level 1 umfasst die Hardware, Level 2 den Software-Kernel und Level 3 die Gesamtlösung. Diese Struktur erschließt sich intuitiv, wenn man bedenkt, wie ein Gerät wie ein EMV-Kartenleser funktioniert. Es geht nicht nur um Hardware. Es geht um die Hardware, ergänzt durch eingebettete Software und die Unterstützung einer Reihe von Zahlungsnetzwerken.
EMVCo setzt sich aus mehreren Mitgliedsorganisationen zusammen, darunter Visa, Mastercard, Discover, Amex, JCB und UnionPay. Die Organisation EMVCo verwaltet und legt die Anforderungen für alle drei Zertifizierungsstufen fest. Sie benennt und autorisiert außerdem Testlabore, die die Prüfung von Zahlungsterminals anhand der EMV-Spezifikationen für Level 1 und Level 2 durchführen. Die EMV-Zertifizierung erreicht Level 3 erst dann, wenn die ausgegebenen Geräte die Tests bei jedem der oben genannten Kartenanbieter bestanden haben.
EMV-Zertifizierung Level 1: Hardware
Diese Stufe ist klar definiert. Auf EMV Level 1 steht das physische Terminal im Mittelpunkt, an dem die Zahlungsvorgänge getestet werden. Diese Tests stellen sicher, dass das Gerät die physischen Anforderungen sowie die grundlegenden elektromagnetischen und kommunikationstechnischen Protokolle erfüllt – einschließlich der Tests zur Betriebsdistanz. EMV Level 1-Tests und -Zertifizierungen gelten sowohl für kontaktbehaftetes als auch für kontaktloses EMV.
Der Hardware-Lieferant ist für die EMV Level 1-Zertifizierung verantwortlich.
EMV-Zertifizierung Level 2: Kernel/Bibliothek
Nachdem wir die EMV-zertifizierte Hardware verstanden haben, können wir uns der nächsten Stufe zuwenden, bei der es um die Validierung der Zahlungsfunktionen geht, die auf der L1-zertifizierten Hardware ausgeführt werden – konkret bekannt als Software-Kernel oder Bibliothek. Der EMV-Kernel stellt sicher, dass die L1-Hardware ordnungsgemäß mit der EMV-Chipkarte kommunizieren kann.
Für kontaktbehaftetes EMV gibt es eine einheitliche Spezifikation von EMVCo für das EMV Level 2-Testing. Bei kontaktlosem EMV hingegen verfügt jeder Kartenanbieter über eine eigene, spezifische Spezifikation für das kontaktlose EMV Level 2. In der Regel stellt der Hardware-Lieferant auch einen EMV Level 2-Kernel sowie die zugehörige L2-Zertifizierung bereit, da der Software-Kernel traditionell intern im Zahlungsterminal ausgeführt wird.
EMV-Zertifizierung Level 3: Markenzertifizierung
Die vollständige EMV-End-to-End-Zertifizierung, in der Branche auch als EMV Level 3 bekannt, umfasst Hardware, die die EMV L1-Zertifizierung bestanden hat, einen zugelassenen EMV L2-Kernel (bzw. mehrere Kernel für kontaktlose Transaktionen), die Zahlungsapplikation, einen ausgewählten Gateway/Prozessor sowie die Genehmigung der Kartenanbieter. Auf dieser Stufe wurden alle Komponenten, die eine EMV-Transaktion ausmachen, von den Kartenanbietern geprüft und genehmigt.
3 einfache Schritte zur EMV-Zertifizierung
Nachdem wir die drei Stufen der EMV-Zertifizierung kennengelernt haben, wollen wir nun den Prozess zur Erlangung dieser Zertifizierung näher beleuchten.
1.) Anwendungsentwicklung und Vorabzertifizierungstests
Sobald die Hardware ausgewählt wurde, kann der Lösungsanbieter mit der Entwicklung der Zahlungsanwendung beginnen, um den Zahlungsvorgang zu initiieren. In der Regel stellen Hardwarelieferanten zugehörige SDKs sowie Dokumentationen bereit, damit der Anwendungsentwickler seine Applikation auf die jeweilige Hardware abstimmen kann. In diesem Schritt können erste Vorabtests durchgeführt werden, um sicherzustellen, dass die Anwendung wie erwartet funktioniert.
2.) Registrierung und Vorbereitung
Sobald die Anwendung fertiggestellt und der Zahlungsabwickler ausgewählt ist, kann der Lösungsanbieter den Registrierungsprozess einleiten. Dazu gehört das Ausfüllen der vom Zahlungsabwickler geforderten Unterlagen, einschließlich der EMVCo-Zertifizierung des Zielgeräts mit dem EMV-Kartenlesegerät. Diese Unterlagen werden häufig als „Intake Forms" bezeichnet und beschreiben zudem die Zahlungsumgebung sowie die Einschränkungen der Lösung (z. B. würde ein unbeaufsichtigter Kiosk mit integriertem Einschublesegerät, aber ohne unterstütztes PIN-Pad dazu führen, dass keine PIN-Testfälle zugewiesen werden). Anschließend muss der Zahlungsabwickler den Registrierungsprozess abschließen, damit jede der Kartenorganisationen mit ihren Testsystemen prüfen und validieren kann. Nach Abschluss der Registrierung folgt die Vorbereitungsphase.
In der Vorbereitungsphase stellt der Zahlungsabwickler Testzugangsdaten sowie Host-Zugangsinformationen bereit, mit denen eine einfache Transaktion durchgeführt wird, um die korrekte Einrichtung des Kontos zu bestätigen. Dadurch lassen sich IT-Probleme wie das Blockieren des Zugriffs durch eine Firewall sowie andere Zugriffsbeschränkungen im Vorfeld beheben. Die Überprüfung aller Testskripte stellt sicher, dass sämtliche gewünschten Anwendungsfunktionen im Rahmen der Zertifizierung abgedeckt werden.
3. EMVCo-Zertifizierung und Validierung
Für die EMV-Zertifizierung empfiehlt sich der Einsatz eines UL Brand Test Tools (BTT), mit dem Testfälle der Kartenorganisationen geladen und gegen das Gerät sowie die Anwendung ausgeführt werden können. Die Anschaffungskosten belaufen sich auf etwa 12.000 USD – dieses Tool ist unverzichtbar. In dieser Testphase müssen hunderte von Tests manuell durchgeführt werden, was das Einlegen einer Karte, das Betätigen von Tasten und die Dokumentation der Ergebnisse in der für das UL Brand Test Tool vorgesehenen „tpp"-Datei umfasst.
Nach Abschluss dieser Testphase gilt die Anwendung als fertiggestellt, da alle festgestellten Probleme als behoben oder durch einen Waiver abgedeckt gelten. Es folgt die Vorab-Validierungsphase, in der sämtliche Tests mit den Testsystemen der Kartenorganisationen durchgeführt werden müssen. Jede Organisation führt nach dieser Phase eine individuelle Prüfung durch, um sicherzustellen, dass Host und Karte das System korrekt durchlaufen haben. Dieser Prozess kann mehrere Tage in Anspruch nehmen.
Die Validierung stellt die eigentliche und abschließende Zertifizierung dar – sozusagen die Zielgerade des gesamten Prozesses. Sie umfasst eine letzte Testrunde, die nun gegen die offiziellen Zertifizierungshosts der Kartenorganisationen durchgeführt wird, um etwaige Unstimmigkeiten oder unerwartete Probleme zu beheben, die in den vorangegangenen Tests möglicherweise übersehen wurden. Den krönenden Abschluss bildet schließlich die Zusendung der Zertifikate per E-Mail – das Zeichen, dass die Arbeit erfolgreich abgeschlossen ist.
Wie ID TECH den EMV-Zertifizierungsprozess vereinfacht
Wenn Ihnen der gesamte Prozess zu komplex erscheint, kann ID TECH ihn für Sie erheblich vereinfachen. ID TECH's Common Kernel vereinfacht den Zertifizierungsprozess erheblich. Sobald Sie über eine kontaktbasierte EMV-Zahlungslösung verfügen, die ein beliebiges ID TECH Common Kernel-Produkt enthält und Level 3-zertifiziert ist, ist für die Integration neuer Produkte auf Basis des ID TECH Common Kernel keine erneute Level 3-Zertifizierung erforderlich.
Dies bietet maximale Flexibilität und Agilität, wenn EMV-Zahlungslösungen in einem System aufgerüstet oder ergänzt werden müssen. Der aufwändige und kostspielige Level 3-Zertifizierungsprozess muss nicht von vorne begonnen werden. Wenn man bedenkt, wie zeitintensiv der EMV-Zertifizierungsprozess sein kann, ist dies ein echter Wendepunkt. Der Wegfall einer erneuten Zertifizierung kann zu erheblichen Produktivitätssteigerungen führen und die Markteinführungszeit deutlich verkürzen.
Möchten Sie mehr über die EMV-Zertifizierung erfahren? Kontaktieren Sie unsere Experten!
Bei ID TECH gestalten wir den EMV-Zertifizierungsprozess nicht nur einfacher und budgetschonender, sondern ermöglichen Ihnen auch, alle Zahlungsarten anzunehmen, die Ihre Kunden bevorzugen. Von Kiosken über Geldautomaten bis hin zu mobilen Zahlungen – wir bieten Ihnen die neueste PCI-zertifizierte kontaktbasierte und kontaktlose EMV-Zahlungstechnologie.
Wenn Sie mehr über ID TECH und den EMV-Zertifizierungsprozess erfahren möchten – einschließlich eines tieferen Einblicks in den gesamten Ablauf, die Möglichkeiten zur Gewinnmaximierung und die Reduzierung von Betrugsverlusten –, kontaktieren Sie uns unter IDTECH.