Rating: 5.0. From 5 votes.
Please wait...

EMV İşlem Akışı Nasıl Olur?

EMV İşlem Akışı Aplikasyon Seçimi

  • Amaç
  • Terminaldeki ve karttaki ortak uygulamaları bulmak
  • Ortak uygulamalardan bir liste oluşturarak kullanıcıya sunmak
  • Kullanıcının istediği uygulamanın seçimini sağlamak
  • Kullanılan Veri Elemanları
  • Application Label (Uygulamanın Etiketi ) : Kart üzerinde yer alan uygulamanın slipte ve ekranda görülen ismi
  • Application Preffered Name (Uygulamanın İsmi): Kart üzerinde yer alan uygulamanın yerel dildeki ismi
  • PDOL: Kartın işleme başlamadan önce terminalden istediği parametre listesi
  • AID (Uygulamanın ID’si): Uygulamayı simgeleyen rakamsal ifade
  • VSDC (VISA) : A0000000031010
  • Mchip-Lite (MasterCard) : A0000000041010

Aplikasyon Seçimi-Seçim Metodları

  • Implicit Seçim
  • Opsiyonel bir seçim yöntemi
  • Terminal destekliyorsa ilk olarak uygulanır
  • Kartın desteklediği uygulamaların listesi direkt olarak bir dosyadan okunur
  • Explicit Seçim
  • Terminal desteklemek zorunda
  • Terminal kendi üzerindeki uygulama listesindeki uygulamaların kart tarafından desteklenip desteklenmediğini teker teker karta sorar. Kart olumlu yanıt dönerse Aday Liste’ye bu uygulamayı ekler

Aplikasyon Seçimi-Implicit Seçim

Aplikasyon Seçimi-Aday Liste

  • Aday Liste
    • Terminal ve kart üzerindeki ortak uygulamaların ortaya çıkması için terminal tarafından oluşturulan listedir
    • Uygulamaların öncelik sırasını içerir
    • Terminal destekliyorsa, müşteriye istediği uygulamayı seçme şansı verilir
    • Desteklemiyorsa uygulamalardan en yüksek öncelikli olan seçilir

Aplikasyon Seçimi-En Son Seçim

  • Aday listedeki aplikasyonlar arasından kullanıcının tercih ettiği aplikasyon son kez seçilir

İşlemin Başlatılması

  • Amaç
    • Aday listeden seçilen uygulamanın başlatılması
  • Kullanılan Veri Elemanları
    • AIP(Application Interchange Profile): Kartta işlem esnasında uygulanması gereken özel işlem listesini içerir
      • Offline kart doğrulama destekleniyor
      • Kartsahibi doğrulama destekleniyor
      • Terminal risk management gerçekleştirilecek
      • Online doğrulama destekleniyor
    • AFL(Application File Locator): Terminalin kart üzerinden okuyacağı verilerin yerlerini gösterir
    • PDOL(Payment Data Object List): İşlem başlamadan kartın terminalden istediği bilgiler listesidir
  • Terminal karta PDOL verisini gönderir
  • Kart PDOL’un içinde bulunan parametreleri(Ülke kodu, vs.) kontrol ederek bu işlemi yapıp yapmayacağına karar verir
  • Eğer işlemi yapacağına karar verdi ise kendi içindeki işlem sayacını (Application Transaction Counter) 1 arttırarak işlemi başlatır
  • Kart terminale AFL ve AIP verilerini döner
  • Terminal AIP’den hangi fonksiyonları gerçekleştireceğini öğrenir
  • AFL: kartın üzerindeki verilerin yerlerini tutar
    • Dosya 1 Kayıt1, Dosya 3 Kayıt 1, vs.
  • Terminal Parametreleri
    • Terminal Log’u (TVR) resetlenir
    • İşlem Log’u (TSI) resetlenir

Karttaki Verilerin Okunması

  • Amaç
    • AFL nin gösterdiği dosya ve kayıtlardaki uygulama verilerinin okunarak daha ileriki adımlarda kullanılmak üzere terminal üzerinde saklanması
  • Kullanılan Veri Elemanları
    • AFL(Application File Locator) : Kartın verilerinin bulundukları dosyalar ve record’lar
  • Terminal AFL’nin gösterdigi dosya ve kayıtlardaki verileri okur
  • Bunları kendi hafızasında saklar
  • Eğer eksik bir veri varsa bunu TVR’a loglar
  • Bu adımda terminal karttan işlem sırasında kullanacağı tüm veriyi okumak zorundadır
  • Eğer kritik bir veri yoksa terminal bu işlemi iptal eder

Offline Kart Doğrulama

  • Amaç
    • Terminalin karttaki veriyi RSA şifreleme algoritmasını kullanarak doğrulaması, bankanın bastığı kartın gerçek bir kart olup olmadığının anlaşılması
  • Tanımlar
    • Sertifika: RSA şifreleme algoritması kullanılarak şifrelenmiş veri
    • Sertifika Otoritesi(Visa,Mastercard): Acquier terminallerin issuer bankaların üretmiş olduğu sertifikalardaki bilgilere erişmesine olanak sağlar
    • Dijital İmza: Karta ait imza

Offline Kart Doğrulama-SDA

  • SDA(Static Data Authentication)
    • Terminal kartın üzerindeki sertifikadan kartın sahibi olan bankaya ait bilgileri elde eder. Bu bilgileri kullanarak kartın imzasını kontrol eder. İmza eğer doğru ise kart gerçek bir karttır

Offline Kart Doğrulama-DDA

  • Bu yöntem SDA yöntemine benzer. Ancak burada SDA’dekinin aksine kartın imzası her işlemde değişir. Bu da güvenliği artırır. Çünkü her işlemde değişen imzanın bir sonraki işlemde alacağı değeri bulmak imkânsızdır.
  • Kartın kendisine ait RSA key’leri vardır. Kart, her işlemde RSA key’ini kullanarak yeni bir imza üretir
  • Dinamik kart doğrulama, statik kart doğrulamaya göre daha güvenlidir
  • Dinamik kart doğrulama işlemi için kartın üzerinde özel işlemcinin olması gerekir

İşlem Kısıtları

  • Amaç
    • Terminal ve karttaki bazı bilgilerin kontrol edilerek birbirleri ile uyumlu olup olmadıklarının anlaşılması
  • Kullanılan Veri Elemanları
    • AUC (Application Usage Control) : Kartın işlem izinlerini içeren veri elemanı
    • Kart Aplikasyon Versiyon Numarası
    • Terminal Aplikasyon Versiyon Numarası
    • Terminalin ülke kodu
    • Kartın ülke kodu
    • Aplikasyonun efektif tarihi
    • Aplikasyonun son kullanma tarihi

İşlem Kısıtları

  • Seçilen uygulama yurt içi mi(domestic), yoksa yurt dışı mı ? (Issuer bankanın ülke kodu ile terminalin ülke kodu karşılaştırılarak anlaşılır)
  • Yurt içi yada yurtdışı olarak terminal yada kart, Cash, Cashback,Services,Goods hizmetlerine açık mı ?
  • Seçilen uygulamanın hizmet verme süresi geçmiş mi? (Expire Date)
  • Seçilen uygulamanın hizmet verme süresi başlamış mı? (Effective Date)
  • Terminal ve kart uygulamalarının versiyon numaraları tutuyor mu?

Kart Sahibi Doğrulama

  • Amaç
  • Kartın ve ya bankanın kart sahibini doğrulaması
  • Kullanılan Veri Elemanları
  • Pin Try Limit: Kart personalize edilirken banka tarafından kaç defa

PIN denemesi yapılabileceğini içeren bilgidir

  • CVM List(Kart Sahibini Doğrulama Listesi) : Kartın istediği kart sahibi doğrulama metodlarını içeren liste
  • Offline Plaintext Pin
  • Offline Enchipered Pin
  • Online Pin
  • Signature
  • Birden fazla CVM metodu birarada olabilir

Kart Sahibi Doğrulama-Metodlar

  • Offline Açık PIN
  • Kullanıcıdan alınan PIN karta açık olarak gönderilir
  • Offline Şifreli PIN
  • Kullanıcıdan alınan PIN karta şifrelenerek gönderilir
  • Online Şifreli PIN
  • Kullanıcıdan alınan PIN bankaya şifrelenerek gönderilir
  • İmza
  • Kullanıcıdan imza alınır

Kart Sahibi DoğrulamaCVM Listesinin Yapısı

  • CVM Listesinin içinde 1 ve ya daha fazla Kart Sahibi Doğrulama Kuralı vardır
  • Kart Sahibini Doğrulama Kuralı Yapısı
  • Tip: offline/online PIN, signature, no CVM
  • Koşul: her zaman, terminal destekliyorsa, X/Y tutarının altında ve ya üstünde ise
  • Devam Etme Koşulu: CVM başarısız olduğu zaman
  • Bir sonraki işleme geç veya
  • CVM kontrollerini bitir

Kart Sahibi Doğrulama

  • Terminal CVM Listesinin içindeki kuralları başarılı bir kural bulana kadar teker teker uygular
  • Hiçbir kural başarılı olmamışsa Kart Sahibini Doğrulama işlemi başarısız bir şekilde sonuçlanmış demektir

Kart Sahibi Doğrulama-Örnek Bir CVM Listesi

  • Kart sahibi doğrulama kuralı 1
  • Tip: Karta PIN açık bir şekilde ve offline olarak gönderilecek
  • Koşul: her zaman
  • CVM başarısız olduğu zaman bir sonraki işleme geç
  • Kart sahibi doğrulama kuralı 2
  • Tip: Karta PIN şifreli bir şekilde ve offline olarak gönderilecek
  • Koşul: İşlemin yapıldığı para birimi karttaki ile aynı ise ve işlem tutarı 100 milyonun üstünde ise
  • CVM başarısız olduğu zaman bir sonraki işleme geç
  • Kart sahibi doğrulama kuralı 3
  • Tip: CVM Yorumlama işlemini başarısız bir şekilde sonlandır
  • Koşul: Her zaman
  • CVM başarısız olduğu zaman CVM kontrollerini bitir

Terminal Risk Yönetimi

  • Amaç
  • Acquirer ve Issuer bankaları sahtekârlığa karşı korumak amacı ile işlemlerin birtakım parametrelere bağlı olarak periyodik olarak Online’a yönlendirilmesi
  • Kullanılan Veri Elemanları
  • Application Transaction Counter (ATC) : Her işlemde bir artan bir işlem sayacı
  • Last Online ATC: En son olarak online’a çıkmış işlemin ATC değeri
  • Lower Consecutive Offline Limit: Kartla ardarda yapılabilecek offline işlem adedinin alt limiti
  • Upper Consecutive Offline Limit: Kartla ardarda yapılabilecek offline işlem adedinin üst limiti
  • Kart Numarası

Terminal Risk Yönetimi-Kontroller

  • Terminal exception dosyasının kontrolü
  • Floor Limit kontrolleri
  • İşlemlerin birtakım terminal parametrelerine göre belirli peryotlarla Online’a yönlendirilmeleri
  • Terminal Velocity Checking
  • Lower Consecutive Offline Limit
  • Upper Consecutive Offline Limit
  • Terminal Velocity Checking
  • Kartın ilk olarak kullanılıp kullanılmadığının kontrolü

Terminal Aksiyon Analizi

  • Amaç
  • Terminalin, acquier ve kartta bulunan risk kriterlerini yapılan offline işlemin sonuçları ile karşılaştırarak; işlemin reddedilmesine, online’a çıkmasına yada onayına karar vermesi
  • Kullanılan Veri Elemanları
  • IAC(Issuer Aksiyon Kodları): Kartın risk kriterleri. TVR’da loglanan durumların Issuer banka açısından işlem üzerindeki etkisini belirler
  • IAC Denial (Red)
  • IAC Online
  • IAC Default
  • TAC(Terminal Aksiyon Kodları): Acquirer bankanın risk kriterleri. TVR’da loglanan durumların Acquirer banka açısından işlem üzerindeki etkisini belirler
  • TAC Denial (Red)
  • TAC Online
  • TAC Default

Terminal Aksiyon Analizi- TVR Yorumu

  • TVR’daki her olay için
  • Terminal ve Issuer Aksiyon Kodları (Red) kontrol edilerek işlemin reddedilip reddedilmeyeceğine karar verilir

 

  • Eğer işlem reddedilmedi ise Terminal ve Issuer Aksiyon Kodları (Online) kontrl edilerek işlemin online’a yönlendirilip yönlendirilmeyeceğine karar verilir
  • İşlemin online’a yönlendirilmesine karar verilmesine rağmen terminal online’a çıkamadı ise (hat yok, vs.) Terminal ve Issuer Aksiyon Kodları (Default) kontrol edilerek işlemin reddedilip reddedilmeyeceğine karar verilir

Terminal Aksiyon Analizi

Terminal Aksiyon Analizi- Terminal Kararı

  • Terminal karttan aşağıdaki durumlardan birini talep eder
    • İşlemin onaylanması
    • İşlemin online sisteme yönlendirilerek Issuer sistemin işlemle ilgilikarar vermesi
    • İşlemin reddedilmesi
  • Eğer terminal karttan işlemin onaylanmasını talep ederse karttan istediği kriptogram:
  • TC: Transaction Certificate (Onay Kriptogramı)
  • Eğer terminal karttan işlemin online’a yönlendirilmesini talep ederse karttan istediği kriptogram:
  • ARQC: Authorization Request Cryptogram (Otorizasyon Kriptogramı)
  • Eğer terminal karttan işlemin reddedilmesini talep ederse karttan istediği kriptogram:
  • AAC: Application Authentication Cryptogram (Red Kriptogramı)

Kartın İlk Aksiyon Analizi

  • Amaç
  • Terminalin Aksiyon Analizi kısmında terminalin verdiği kararı karta bildirmesi ve kartın kendi risk değerlendirmeleri yapmasıyla kartın kararının öğrenilmesi
  • Kullanılan Veri Elemanları
  • Cryptogram Information Data: Kartın döndüğü kriptogram türünü ifade eder.
  • Application Cryptogram: Kart tarafından üretilen kriptogram.
  • Issuer Application Data: Online mesajda issuer bankaya iletilecek özel veri elemanı.
  • CDOL1(Card Data Object List) : Kartın terminalden istediği, risk kontrollerinde ve kriptogram üretiminde kullanacağı parametreler
  • Terminal işlemin onayına kararı verdiyse (TC)
  • Kart işlemi onaylayabilir.(TC döner)
  • Kart işlemi online’a yönlendirerek offline riskini azaltmak isteyebilir (ARQC)
  • Kart kendi risk kriterlerine göre işlemi redded(AAC)
  • Terminal işlemin online’a çıkmasına karar verdiyse: (ARQC)
  • Kart işlemi reddedebilir(AAC)
  • Kart işlemi online’a yönlendirebilir(ARQC)
  • Terminal işlemi reddetme kararı verdi ise: (AAC)
  • Kart işlemi reddetmek zorundadır(AAC)
  • Kartın Yaptığı Risk Analizleri
  • Offline Limit kontrolleri
  • Tutar kontrolü
  • Son yapılan işlemle ilgili kontroller
  • Terminal tarafından gönderilen parametrelerin kontrolü
  • Risk kriterlerinin kontrolü

Kartın İlk Aksiyon Analizi Sonucu

  • Kart yapmış olduğu risk analizi sonucunda TC Dönerse
  • Kart işlemi onaylamış ve TC isimli kriptogramı üretmiştir.
  • Kart yapmış olduğu risk analizi sonucunda ARQC Dönerse
  • Kart işlemi online sisteme yönlendirmiş ve ARQC isimli kriptogramı üretmiştir.
  • Kart yapmış olduğu risk analizi sonucunda AAC Dönerse
  • Kart işlemi reddetmiş ve AAC isimli kriptogramı üretmiştir.
  • Kartın yapmış olduğu risk analizi sonucunda üretmiş olduğu ktiptogramlar (TC, ARQC, AAC), hesaplanmalarında kullanılan veri elemanları ile birlikte Issuer bankacılık sistemine gönderilirler.
  • Issuer Bankacılık Sistemi bu kriptogramları doğrular

Online İşlem

  • Amaç
  • Kart ilk kararında offline işlem riskini üzerine almak istemeyip issuer bankayı işlem hakkında haberdar etmek isteyebilir; bu yüzden ARQC kriptogramı üreterek issuer bankaya otorizasyon mesajını gönderir
  • Kullanılan Veri Elemanları
  • ARQC (Authorization Request Cryptogram) : Kart tarafından üretilen kriptogram
  • ARPC (Authorization Response Cryptogram): Issuer banka tarafından üretilen kriptogram
  • Otorizasyon Yanıt Kodu
  • Issuer Script Komutları: Issuer bankanın kartın üzerindeki birtakım parametreleri değiştirmek amacı ile karta gönderdiği EMV komut seti dizisidir. (Put Data, Application Block vb)
  • Online Mesaj Formatı
  • Online mesaj formatında kartın ve terminalin parametreleri vardır. Bu parametreler Issuer bankaya işlem ve kartla ilgili bilgiler verirler
  • Issuer Banka İşlemleri
  • Manyetik kartla eş kontroller yapılır
  • Kartın gönderdiği ARQC doğrulanır
  • Online mesajda gelen verileri değerlendirilir
  • ARPC hesaplanır(Issuer Authentication)
  • Gerekiyorsa Issuer Script komutları gönderilir
  • Issuer bankadan karta giden veri elemanları
  • Cevap Kodu(Zorunlu)
  • ARPC
  • Issuer Scripts (Opsiyonel)
  • Terminal kritik Issuer Script komutlarını işlem tamamlanmadan önce karta gönderir
  • Terminal kritik olmayan Issuer Script komutlarını işlem tamamlandıktan sonra karta gönderir
  • Issuer işlemi onaylamışsa karttan işlemin onayını ister(TC)
  • Issuer işlemi onaylamamışsa karttan işlemin reddini ister (AAC)

Issuer Script Komutları

  • Terminal, Issuer bankadan gelen Issuer Script komutlarını teker teker karta yollar
  • Her Issuer Script komutunun sonucunu daha sonra Issuer Sisteme göndermek üzere kendi üzerinde loglar

İşlemin Tamamlanması

  • Amaç
  • Online sonrası yada online’a çıkılamayan durumlarda terminalin son kararı için karta istediği kriptogram türünü (TC, ARQC, AAC) ve CDOL2 datasını göndererek kartın en son kararını öğrenmesi
  • Başarılı online sonrası kart kontrolleri
  • Kart issuer’un ARPC cevabını kontrol eder. Bu şekilde cevabı gönderenin doğru issuer olduğunu kontrol eder

İşlemin Tamamlanması-Online’a Çıkılamazsa

  • Terminal son aksiyon analizini yapar. Karttan isteyeceği kriptogramın türüne karar verir (TC, AAC)
  • Terminal karta istediği kriptogramın türünü (TC, AAC) ve kartın istediği parametreleri (CDOL2) gönderir
  • Kart risk kontrolleriniSon kararını verir(TC, AAC)

Terminalin İkinci Aksiyon Analizi

İşlemin Tamamlanması

  • Kart issuer bankanın gönderdiği cevap kodunu değerlendirir
  • Onay ise son risk değerlendirmesini yaparak (issuer’un doğrulanmasının başarılı bir şekilde yapılıp yapılmadığı) işlem ile ilgili son kararını verir
  • Red ise işlemi reddeder.Terminale AAC gönderir
Rating: 5.0. From 5 votes.
Please wait...

Yorum Yapın:

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir