Módulo 07: Introdução ao MSD e EMV NFC

Sumário

Aula 1: MSD (Dados de Tarja)
Aula 2: EMV Contactless
Aula 3: Processo de Transação
Aula 4: Segurança e Limites

Aula 1: MSD (Dados de Tarja)

No modelo MSD (Magnetic Stripe Data), o cartão contactless transmite, via NFC, os mesmos dados contidos na tarja magnética de um cartão convencional. Esse modo era popular em transações rápidas nos EUA. A transação MSD não exige PIN (até certo limite) e ocorre geralmente offline, como uma simples leitura de tarja. Em outras palavras, o chip gera um código único para cada transação, mas o terminal até pode se confundir achando que leu a tarja magnética .

Isso melhora a segurança em relação a uma tarja comum (haverá um criptograma dinâmico por transação), mas ainda tem as fraquezas do modo magnético. Por isso, com o tempo bancos e bandeiras têm desincentivado o MSD, preferindo o padrão EMV Contactless por ser mais seguro.

Aula 2: EMV Contactless

O modo EMV Contactless é usado em cartões de crédito/débito modernos (Visa payWave, MasterCard payPass, etc.). Nesses cartões, há um chip EMV completo que suporta tanto interface de contato quanto NFC (ISO 14443-4). Na aproximação NFC, o cartão envia dados estruturados semelhantes a uma transação EMV por contato . Por exemplo, transmite o número do cartão, código de serviço, criptograma de transação (ARQC) e identificador do terminal. Ou seja, o terminal de pagamento “vê” que é um cartão chip normal, com APDUs EMV padrão.

Normalmente, pela NFC são usados comandos EMV como GET PROCESSING OPTIONS e GENERATE AC (criptograma), porém com menor conjunto de dados (por exemplo, sem saldo armazenado). Em suma, EMV NFC é equivalente a mover dados do EMV tradicional para o canal NFC, obedecendo especificações do EMVCo. A grande diferença visível é que, diferentemente do MSD, neste modo geralmente exige-se PIN (CVM) se o valor ultrapassar o limite offline.

Aula 3: Processo de Transação

De forma simplificada, uma transação NFC EMV segue estes passos: o terminal apresenta o valor ao cartão, o cartão responde selecionando o aplicativo apropriado (AID), o terminal pergunta pelo # de transação, e o cartão fornece um criptograma único (ARQC) usando chaves secretas. O terminal envia esses dados ao banco, que valida o criptograma e aprova ou não. Tudo isso acontece em frações de segundo, e há limites de tempo (timeout) por NFC. O ponto-chave é: o terminal confia no chip do cartão para gerar um código confiável de cada transação.

Já no MSD, o terminal recebe os dados “como se fosse uma tarja” e processa como débito rápido. O usuário, na prática, só vê uma mensagem simples de “aprovação” na tela do leitor sem precisar digitar nada, em valores até R$50/R$100 (limites mudam conforme o estabelecimento). Em ambos os modos, cada transação gera um código criptográfico único para dificultar fraudes.

Aula 4: Segurança e Limites

Apesar do marketing do cartão “sem-tocar” ser atraente, existem limites e medidas de segurança: há limite de valor sem PIN (por exemplo, R$50), verificação de CVM (como exigir senha após um certo número de operaçãoes), e checks de tempo (o padrão NFC estima ~500ms para concluir tudo). Mesmo assim, ataques existem (como relay). Em termos de integridade, o MSD sem autenticação forte é vulnerável (daí a busca por migração para EMV). Em resumo, o NFC em pagamentos é seguro a ponto de substituir a tarja, mas não é imune: todo fluxo depende do protocolo EMV por trás e das configurações do emissor.

Como boa notícia, sistemas de pagamento usam vários controles: além da criptografia do cartão, há proteções back-end e limitação em hardware. Portanto, o usuário precisa entender que “apenas encostar” é cômodo, mas conta com todo um sistema robusto por trás (EMVCo) para não sair pagando tudo sem perceber.