<div dir="ltr"><div dir="auto">This is a confusing and off-topic discussion with respect to network engineering.<div dir="auto"><br></div><div>But for completeness:</div><div><br></div><div>Payments systems are architected by fraud rates, not by isolated security requirements or engineering mandates, as i think most network engineers can understand.</div><div><br></div><div>The fraud rates in the US for credit card transactions were historically very, very low and being a large jurisdiction with a single national law enforcement branch (the FBI) enforcement was effective.</div><div><br></div><div>Compare this to Europe in the 1980s when credit cards were accepted very few places.  This was for two reasons:</div><div><br></div><div>1) the fraud rates were much, much higher, which created chargebacks for merchants that they preferred not to eat;</div><div>2) trans-national enforcement was virtually nonexistent. interpol had ~zero time to deal with credit card fraud.</div><div><br></div><div>so the best european fraud rings always operated from a different country than where they perpetrated the fraud.</div><div><br></div><div>when chip-and-pin was introduced, the point was actually twofold:</div><div>A) security</div><div>B) shifting liability to the consumer</div><div><br></div><div>somewhat famously, even after chip-and-pin was proven compromised, UK banks continued to make consumers liable for all fraudulent transactions that were 'pin used'.  this was very, very good for the adoption of credit cards in europe but it was very, very bad for a few people.  banks, as usual, didn't are and made some decent money.</div><div><br></div><div>So why did the US get pin-and-signature?  Target.</div><div><br></div><div>International fraud rings finally got wise to the ripe opportunity that was the soft underbelly of the US economy and figured out ways to perpetrate massive, trans-national fraud in the US.  and as soon as that happened, the US got chips.  the signature-vs-pin part is mostly about the fact that there are *still* low rates of fraud here as tracked by chargeback rates and as a result there's no real need to pay the cost of support to set everyone up with a pin.</div><div><br></div><div>and that's what security is always all about:  cost tradeoffs.  people in countries where everyone has a pin have eaten that cost already and had to because the fraud rates were high enough to justify it.  people in the US do not have PINs that they know and setting those up costs money and maintaining people's access to them costs money.  so if that's not worth it, it doesn't get done. nor should it.</div><div><br></div><div>i generally find it amusing when people from other countries mock the US for not having PINs.  this is just another way of saying "my country has high fraud rates and yours appears not to."  :-) . you can see this in the comment below "If we were swipe-based here, we'd all be</div>broke :-).".  the payments systems are architected to minimize cost and maximize adoption and they are usually at (or moving towards) some locally optimal point.  the US is no exception in that.<div><br></div><div>now, the checking/chequing system is a whole other, embarrassing beast and mocking that one is just the correct thing to do. :-)</div><div><br></div><div>anyway, let's talk about networks, no?</div><div><br></div><div>cheers,</div><div><br></div><div>t</div></div><br><div class="gmail_quote"><div dir="ltr">On Thu, Nov 8, 2018, 19:07 Frank Bulk <<a href="mailto:frnkblk@iname.com" rel="noreferrer" target="_blank">frnkblk@iname.com</a> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I have a low-cost/high interest rate account at one of the Canadian bank and each "assisted" transaction is $5.<br>
<br>
Frank <br>
<br>
-----Original Message-----<br>
From: NANOG <<a href="mailto:nanog-bounces@nanog.org" rel="noreferrer noreferrer" target="_blank">nanog-bounces@nanog.org</a>> On Behalf Of Mark Tinka<br>
Sent: Thursday, November 08, 2018 3:35 AM<br>
To: George Michaelson <<a href="mailto:ggm@algebras.org" rel="noreferrer noreferrer" target="_blank">ggm@algebras.org</a>><br>
Cc: North American Network Operators' Group <<a href="mailto:nanog@nanog.org" rel="noreferrer noreferrer" target="_blank">nanog@nanog.org</a>><br>
Subject: Re: CVV (was: Re: bloomberg on supermicro: sky is falling)<br>
<br>
<snip.<br>
<br>
Speaking of "cost" as a motivator, in South Africa, most of the banks<br>
are now using extra fees as a way to force users to do their banking<br>
online (phone, laptop, app, e.t.c.). If you want to walk into a bank to<br>
deposit money, withdraw money, make a transfer, e.t.c., you pay for that<br>
service over and above, while the process costs you zero (0) when done<br>
online. This has led to banks now renovating banking halls into where<br>
there was once 23 tellers, you now have 1 service usher, 1 teller, 2<br>
support agents and 20 self-service computers.<br>
<br>
I hope the U.S. does catch-up. If we were swipe-based here, we'd all be<br>
broke :-). I know a number of major merchants in the U.S. now use PIN's,<br>
and I always stick to those when I travel there.<br>
<br>
Mark.<br>
<br>
<br>
<br>
</blockquote></div></div>