CDCVM – o que é?

CDCVM é um conjunto de métodos que usam informações do dispositivo para compor dados do CVM na transação, aumentando a segurança na autenticação forte do cliente.

É usado para avaliar se a pessoa que utiliza o instrumento de pagamento é o legítimo proprietário  do dispositivo, garantindo um método de autenticação forte para determinar a responsabilidade pela realização da transação.

O crescente uso de dispositivos móveis para transações de pagamento permite que a autenticação do consumidor seja realizada no próprio dispositivo, por meio de senhas, senhas e padrões, bem como por meio de biometria – impressão digital, íris, voz e reconhecimento facial.

Diversas aplicações instaladas em um dispositivo podem compartilhar os métodos definidos para a execução do CDCVM, proporcionando conveniência ao usuário e segurança à transações realizadas.

Benefícios do CDCVM na Autenticação Forte do Cliente.

Em cada transação EMV, o terminal de pagamento e os aplicativos de rede de pagamento de suporte no dispositivo devem decidir mutuamente qual método de verificação do cliente usar. Para decidir, o terminal e o dispositivo irão comparar os métodos de verificação que cada um suporta e usarão o primeiro que ambos suportem.

O uso do CDCVM pode remover o limite máximo do valor da transação (Floor Limit). 

Os comerciantes que suportam CDCVM em seus terminais se beneficiam da mudança de responsabilidade, não sendo responsabilizados por fraudes quando o CDCVM for obtido para transações da Wallet certificada para essa finalidade.

Transação Contactless com CDCVM

Em 01 de outubro de 2020, o EMVCo, publicou o artigo “CDCVM: Promoting security, reliability and convenience”.

Jianhua Ni, que assina o artigo explica que o uso crescente de dispositivos móveis para pagamentos permitiu que a autenticação do consumidor fosse realizada no próprio dispositivo do consumidor , utilizando senhas e outros métodos, como biometria, impressão digital, íris, voz e reconhecimento facial.

“Este tipo de autenticação em um dispositivo do consumidor é conhecido como Método de Verificação do Portador de Cartão de Dispositivo de Consumidor (CDCVM). As tecnologias que habilitam o CDCVM são chamadas de soluções CDCVM.”

Complementando a infraestrutura de autenticação forte e para dar visibilidade do processo de autenticação aos emissores, o EMVCo, está definindo um padrão para uma Base de Dados de Identificação da solução CDCVM. Cada solução CDCVM registrada recebe um identificador curto e exclusivo conhecido como ID de solução EMV CDCVM, junto com um conjunto de metadados relacionados das soluções CDCVM inseridos e mantidos no banco de dados.

Assim, um único valor é comunicado aos emissores, permitindo que eles (ou um provedor de serviços operando em seu nome) acessem os metadados relacionados à solução CDCVM.

Em seu Relatório Anual de 2020, o EMVCo planeja a realização de um piloto das especificações ainda em 2021. O trabalho de desenvolvimento das especificações do CDCVM e do ID Database está sendo realizado em conjunto com o grupo de trabalho do Global Platform e com o FIDO Alliance.

CDCVM e requisitos de segurança

As soluções de CDCVM devem atender a um conjunto de requisitos de segurança estabelecidos pelo EMVCo, descritos no documento “Mobile Payment – CDCVM Security Requirements

Elas podem ser implementadas em níveis possíveis:

  • No nível do dispositivo – Neste caso, o fabricante do dispositivo é fornecedor habilitado”deve assegurar que os recursos utilizados no dispositivo para a execução do CVM estejam em conformidade com os requisitos de segurança, desde a captura dos dados de autenticação até a entrega do resultado da autenticação a um aplicativo confiável, que expõe a funcionalidade a outros aplicativos confiáveis ou aplicativos específicos.
  • No nível do Sistema Operacional

Como as bandeiras suportam o CDCVM

A American Express suporta CDCVM para transações móveis sem contato com Wallet em seu Terminal ExpressPay Spec 3.0 e posterior.

A ELO/Discover oferece suporte ao CDCVM em sua Especificação de Aplicativo de Terminal D-PAS sem contato versão 1.0 e posterior ou qualquer versão do EMV Contactless Kernel 6.

A Mastercard oferece suporte a CDCVM em sua especificação Contactless Reader Specification 3.0 e posterior para transações de crédito, débito e EMV pré-pagas (somente os terminais atualizados para esta versão estão aptos a usar o CDCVM).

A Mastercard usa a terminologia On-Device CVM (ODCVM).

A Visa oferece suporte a CDCVM em sua Especificação de Personalização de Cartão Visa versão 2.1 e posterior ou qualquer versão do EMV Contactless Kernel 3.

O suporte a CDCVM para transações EMV é previsto para transações de crédito. A liberação para as transações de débito ainda não tem previsão

Com a pandemia do COVID-19, as transações sem contato evoluíram vertiginosamente. Em sua grande maioria, ainda são transações realizadas cpm cartões contactless.

Mas uma parcela crescente de usuários experimentou o uso dos seus celulares para realizar os pagamentos e gostou da experiência pela comodidade. Nos estabelecimentos comerciais que já atualizaram as versões de Kernel EMV, as transações realizadas no crédito utilizam o CDCVM no lugar da senha. Desta forma, a transação é autorizada imediatamente.

Nas transações realizadas na modalidade de débito, o limite par o uso sem senha está em R$ 200,00 para qualquer modalidade de contactless.

Ao lado, os resultados da pesquisa da ABECS com informações até setembro de 2022