Rating: 5.0. From 2 votes.
Please wait...

EMV de İşlem Güvenliği – Akıllı Kart ve Akıllı Kart Sistemleri

EMV de İşlem Güvenliği – Kart Doğrulama

EMV de İşlem Güvenliği, Kartın doğrulanması

  • Kart doğrulama işlemi kartın gerçek kart mı, sahte kart mı olduğunu anlamak amacı ile gerçekleştirilir.
  • Manyetik Stripe işlemlerinde kart doğrulama işlemi CVV ile yapılıyor.
  • EMV kartları kendi üzerlerinde işlem yapabildikleri için kartların offline olarak doğrulanması mümkündür.
  • Kart doğrulama amacı ile kartın ve terminalin üzerinde özel algoritmalar kullanılır.
  • Offline kart doğrulamada RSA şifreleme algoritması, online kart doğrulamada ise DES şifreleme algoritması kullanılır.

EMV de İşlem Güvenliği -Offline Kart Doğrulama

  • Bankanın Sertifikası
    • Bankanın Sertifika Otoritesi (VISA veya MasterCard) tarafından onaylanan bir banka olduğuna dair almış olduğu bir onay kodu. Bu sertifika terminalin kartı doğrulanmasında kullanılır.EMV de İşlem Güvenliği
  • Kartın Dijital İmzası
    • Bankanın basmış olduğu karta verdiği imza. Bu imza sadece o karta özeldir. Terminal kartı doğrularken bu imzayı kontrol eder.

EMV de İşlem Güvenliği

  • Offline olarak kartın doğrulanmasıEMV de İşlem Güvenliği
  1. Terminal bankanın sertifikasını kontrol ederek bankaya ait birtakım bilgileri alır
  2. Terminal, sertifikanın içinden aldığı banka bilgilerini kullanarak kartın dijital imzasını kontrol eder ve o kartın sahte kart olup olmadığını anlar
  • Offline olarak kartı doğrulama yöntemleri
  1. Statik Doğrulama (Static Data Authentication) : Kartın dijital imzası hiç değişmez. Bu imza kart ilk üretilirken karta yüklenir
  2. Dinamik Doğrulama (Dynamic Data Authentication) : Kartın dijital imzası her işlemde değişir. Kartın üzerinde her işlemde yeni bir imza üretecek bir RSA key’i vardır
  • Statik ve Dinamik Doğrulamanın Kıyası
    1. Dinamik doğrulama statik doğrulamaya göre daha güvenlidir
    2. Dinamik doğrulama daha çok zaman alır
    3. Dinamik doğrulama için kartın üzerinde özel işlemcilerin olması gerekir (kripto prosesörler)
    4. Dinamik doğrulama yapan kartların basımı daha uzun sürer
    5. Dinamik doğrulama yapan kartlar daha pahalıdır
    6. Banka hangi doğrulama yöntemini kullanacağına karar vermelidir
    7. Türkiye’de belirli bir dönem statik kartların kullanılmasına karar verilmiştir

EMV de İşlem Güvenliği – Online Kart Doğrulama

EMV de İşlem Güvenliği

  • Bankanın online olarak kartı doğrulaması
  1. Kart o işleme ait ve kendisini ifade eden bir imza (kriptogram) üretir
  2. Terminal bu imzayı bankaya aktarır
  3. Banka bu imzanın doğru olup olmadığını kontrol eder
  4. Banka kendisine imzası(kriptogramı) gelen kartın sahte kart olup olmadığını anlamak amacı ile birtakım hesaplamalar yapar
  5. Eğer sahte kartsa o kartla yapılan ilk işlemde kartı geçici olarak kullanıma kapatır
  6. Kart üzerinde daha detaylı kontroller yapılır
  7. Kartın sahte kart olmadığı anlaşılırsa kart tekrar kullanıma açılır

EMV de İşlem Güvenliği – Kart Kriptogramları

  • Kart tarafından üretilen kriptogramlar(imzalar)
    • Kriptogram: O anda yapılan işlem için üretilen, karta ait özel imza. Bu imza, o kartın gerçek kart olup olmadığının anlaşılmasında kullanılır
    • TC (Transaction Certificate) : Kart tarafından onaylanan işlemler için üretilen sertifika kriptogramı
    • ARQC (Authorization Request Cryptogram) : Kart tarafından online sisteme yönlendirilen işlemler için üretilen kriptogram
    • AAC (Authorization Authentication Cryptogram) : Akıllı Kart tarafından reddedilen işlemler için üretilen kriptogram

İşlem Güvenliği- Bankanın Kriptogramı

  • Issuer banka tarafından üretilen kriptogram
    • ARPC (Authorization Response Crytogram) : Bankanın karta kendisinin doğruluğunu ispatlamak amacı ile üretmiş olduğu kriptogram

İşlem Güvenliği- Online Banka DoğrulamaEMV de İşlem Güvenliği

  • Kartın issuer bankayı doğrulaması
    • Issuer banka, karta döndüğü otorizasyon yanıtının içine kendisine ait bir imza koyar (ARPC). Kart bu imzayı, kendisine gelen mesajın doğru yerden gelip gelmediğini anlamada kullanır

İşlem Güvenliği- Online Doğrulama Yöntemleri

  • Online doğrulama yöntemleriEMV de İşlem GüvenliğiSon Üretilen TC veya AAC kriptogramının doğrulanması günsonunda yapılır.
    • Online doğrulama opsiyoneldir. Issuer banka bu doğrulama şeklini kullanmak isteyip istemediğine karar vermelidir
    • Online’a çıkan işlemler için üretilen imza (ARQC) o işlem esnasında doğrulanır
    • Offline olarak yapılan işlemlerin doğrulaması günsonunda veya o gün içinde gönderilen Advice mesajı sonrasında gerçekleştirilir
    • Online olarak yapılan işlemlerin en son üretmiş oldukları imzanın doğrulaması da günsonunda veya o gün içinde gönderilen Advice mesajı sonrasında gerçekleştirilir
      Son üretilen TC veya AAC kriptogramının doğrulanması gün sonunda yapı

EMV de İşlem Güvenliği – Kriptogramların Aktarılması

Günsonunda ve ya günsonu öncesinde imza bilgilerinin bankaya aktarılmasıEMV de İşlem Güvenliği

1. İşlemin TC kriptogramını doğrula
2.İşlemin TC kriptogramını doğrula
3.İşlemin AAC kriptogramını doğrula
100.İşlemin TC kriptogramını doğrula

  • Terminal, üzerinde biriktirdiği işlem bilgilerini periyodik olarak issuer bankaya aktarmak zorundadır
  • Terminale sahip olan banka bu aktarma işleminin sıklığına karar vermelidir
  • Terminale sahip olan banka isterse aktarma işlemini gün sonundan önce yapabilir

İşlem Güvenliği- Kart Sahibinin Doğrulanması

  • Kart sahibinin doğrulanması EMV’de güvenliğin önemli bir parçasıdır
  • Manyetik Stripe işlemlerinde kart sahibi doğrulama işlemi, ATM’lerden debit kartlarla yapılan işlemlerde Online PIN doğrulama şeklindedir
  • Manyetik Stripe işlemlerinde kart sahibi doğrulama işlemi, kredi kartları ile yapılan işlemlerde imza ve kimlik kontrolü şeklindedir
  • EMV’de kart sahibinin doğrulama yöntemleri daha fazla ve daha güvenlidir
  • Bu yöntemler
    • Offline olarak kartın doğrulanması (PIN karta açık gider)
    • Offline olarak kartın doğrulanması (PIN karta şifreli gider)
    • Online olarak kartın doğrulanması
    • İmza kontrolü
    • Offline olarak kartın doğrulanması ve imza kontrolü
    • Online olarak kartın doğrulanması ve imza kontrolü
  • Bu yöntemler belirli koşullara bağlı olarak gerçekleştirilebilir. Bu koşullar:
    • İşlem tutarı belirli bir limitin üstünde ise
    • İşlem tutarı belirli bir limitin altında ise
    • İşlem tipi cash ise
    • İşlem tipi mal alım satımı ise
    • İşlem tipi servis hizmeti ise
  • EMV’de kart üzerinde birden fazla kart sahibini doğrulama yöntemi tanımlanabilir

İşlem Güvenliği- Offline PIN Doğrulama

  • Offline PIN Doğrulama
    • Manyetik Stripe işlemlerinde PIN doğrulama banka tarafından yapılıyor
    • PIN’in bankaya kadar taşınması güvenliği zayıflatıyor
    • EMV’de kart sahibinin girmiş olduğu PIN kart tarafından doğrulanır
    • Kart, akıllı kart olmasından dolayı kendi üzerinde PIN doğrulayabilme yeteneğine sahiptir
    • Manyetik stripe teknolojisinde sadece debit kart işlemlerinde PIN doğrulama yapılıyor
    • EMV’de kredi kartı işlemlerinde de PIN doğrulama yapılması öngörülmektedir
  • Offline olarak PIN doğrulama yöntemi (PIN açık)EMV de İşlem Güvenliği

PIN, kart ve terminal arasındaki bölge dışına çıkmaz. Bu nedenle bu yöntemin güvenliği manyetik stripe’da kullanılan yönteme göre daha fazladır

  • Offline olarak PIN doğrulama yöntemi (PIN şifreli)EMV de İşlem Güvenliği

PIN kart ve terminal arasındaki bölge dışına çıkmaz. Bu bölgede bile açık bir şekilde taşınmaz. Bu nedenle güvenlik maksimum seviyededir

  • PIN Deneme Limiti
    • PIN’in ardarda kaç kere yanlış girilebileceğini gösteren bir sayı
    • Kart personalize edilirken bu sayının kaç olacağına karar verilir
    • PIN Deneme Limiti kez yanlış PIN girişi sonunda kartın PIN’i bloke edilir
    • Banka, böyle bir durum oluştuğunda ne yapacağına karar vermelidir
      • İşlemi Online’a yönlendirmek, reddetmek
      • Kart üzerindeki uygulamayı bloke etmek
    • PIN’i bloke olmuş bir kartın PIN’i, bankacılık sisteminden karta gönderilen bir komutla tekrar kullanıma açılabilir

EMV de İşlem Güvenliği- Türkiye’de PIN Kullanma Stratejisi

  • Türkiye’de PIN kullanma stratejisini BKM belirliyor
  • Kredi kart işlemlerinde PIN kullanımı için özel PIN Pad cihazlarının olması gerekiyor
  • Şu anda piyasada var olan terminallerin büyük bir kısmında bu cihazlar mevcut değil
  • İnsanlarda kredi kartını PIN’li kullanma alışkanlığı yok
  • PIN kullanımı EMV’nin en önemli güvenlik metotlarından birisi

Belirlenen karar: EMV geçişinin ilk yıllarında PIN kullanılmayacak. Bir süre sonra PIN kullanımına başlanacak

  • EMV kartını alan bir kişi kartını PIN’siz olarak kullanacak
  • PIN kullanımına geçişe yakın bir zamanda EMV kartı olan insanlar bilgilendirilecek
  • Belirlenecek bir tarihten itibaren PIN kullanımı başlayacak
  • Kartlar ilk basılırken üzerlerinde PIN olacak
  • Ancak, özel bir yöntemle PIN’ler bloke edilecek
  • Bu şekilde terminal kart sahibinden PIN sormayacak
  • PIN kullanımına geçileceği zaman bankacılık sisteminden karta gönderilen bir mesajla PIN’ler açılacak
  • Kart sahibine PIN’inin açıldığına dair bilgi verilecek
  • Bundan sonra işlemler PIN’li yapılacak

İşlem Güvenliği- Diğer Kart Sahibi Doğrulama Yöntemleri

  • Online PIN Doğrulama
    • Şu anda debit işlemlerinde kullanılan yöntemin aynısı. Kart sahibinin girdiği PIN değeri özel bir anahtarla şifrelenerek bankaya iletilir. PIN doğrulama işlemi bankada gerçekleştirilir
  • İmza
    • Şu anda manyetik stripe işlemlerinde kullanılan yöntem
Örnek Bir Kart Sahibi Doğrulama Şekli
  • Kart Sahibi Doğrulama Kuralı 1
    • Tip: Karta PIN açık bir şekilde ve offline olarak gönderilecek
    • Koşul: İşlem Tutarı 100 milyonun üstünde ise
    • CVM başarısız olduğu zaman bir sonraki işleme geç
  • Kart Sahibi Doğrulama Kuralı 2
    • Tip: Müşterinin imzası alınacak
    • Koşul: İşlem Tutarı 100 milyonun altında ise
    • CVM başarısız olduğu zaman bir sonraki işleme geç.
  • Kart Sahibi Doğrulama Kuralı 3
    • Tip: Online PIN kullanılacak
    • Koşul: Her zaman.
    • CVM başarısız olduğu zaman CVM kontrollerini bitir.
Rating: 5.0. From 2 votes.
Please wait...

4 Yorum Yapıldı:

Yorum Yapın:

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir