Issuer Risk Yönetimi Parametreleri

Issuer Risk Yönetimi Parametreleri aşağıda açıklanmaktadır.

Issuer Risk Yönetimi

• Bir işlemin sonucuna karar verirken göz önünde bulundurulması gereken kriterler
• Risk Yönetimi kriterleri işlemin sonucu üzerinde etkiye sahiptirler
• Issuer banka risk yönetiminin ne kadarlık kısmını offline, ne kadarlık kısmını online yapacağına karar vermelidir
• Kart üzerinde bulunan Risk Yönetim kriterleri
  • Issuer Aksiyon Kodları
  • Offline İşlem Limitleri

Issuer Risk Yönetimi-TVR

Terminal İşlem Logu (TVR)

• EMV kartı ile yapılan bir işlemde gerçekleştirilen işlemlerin sonuçlarını tutar
• EMV işlemi ile ilgili tüm detaylara erişmemizi sağlar
• EMV işleminin sonucuna karar verilirken kontrol edilen parametrelerden en önemlisidir

Terminal Verification Results (TVR)

• Terminalin gerçekleştirdiği işlemlerle ilgili işlem log’u. Kartın ve Issuer bankanın işlem ile ilgili kararında çok etkilidir.
  • Offline Kart Doğrulama işlemi gerçekleştirilmedi
  • Offline statik kart doğrulama başarısız sonuçlandı
  • Kartın veri elemanları eksik
  • Kart terminalin exception dosyasında bulunuyor
  • Offline dinamik kart doğrulama başarısız sonuçlandı
  • Kart ve terminal farklı versiyon numaralarına sahipler
  • Karttaki aplikasyonun son kullanma tarihi geçmiş
  • Karttaki aplikasyon henüz kullanıma açılmamış
  • Talep edilen servis izin verilen bir servis değil
  • Kart ilk olarak kullanılıyor
  • Kartsahibini doğrulama işlemi başarısız oldu
  • CVM yorumlanamadı
  • PIN Deneme sayısı aşıldı
  • PIN girişi gerekmekte, ancak PIN Pad yok veya çalışmıyor
  • PIN girişi gerekmekte, PIN Pad var, ancak PIN girilmedi
  • Online PIN girildi
  • İşlem tutarı floor limitin üzerinde
  • Lower Consecutive Offline Limit (Ardarda yapılabilecek offline işlemlerin alt sınırı) aşıldı
  • Upper Consecutive Offline Limit (Ardarda yapılabilecek offline işlemlerin üst sınırı) aşıldı
  • İşlem online’a yönlendirilmek üzere random olarak seçildi
  • Üye işyeri işlemi online’a yönlendirdi

Risk Yönetimi-Issuer Aksiyon Kodları

1.Issuer Aksiyon Kodları

• Issuer banka, terminal logunda bulunan bütün elemanlar için işlemle ilgili kararını belirlemek zorundadır
• Issuer Aksiyon Kodu – Red: İşlemin reddedilmesi için issuer banka tarafından belirlenen koşullar
• Issuer Aksiyon Kodu – Online: İşlemin online’a yönlendirilmesi için issuer banka tarafından belirlenen koşullar
• Issuer Aksiyon Kodu – Default: İşlem online’a yönlendirildikten sonra herhangi bir nedenle online sisteme bağlanamaması durumunda issuer banka tarafından belirlenen koşullar

2. Risk Yönetimi-Terminal Aksiyon Kodları

Terminal Aksiyon Kodları

• Acquirer banka, terminal logunda bulunan bütün elemanlar için işlemle ilgili kararını belirlemek zorundadır
• Terminal Aksiyon Kodu – Red: İşlemin reddedilmesi için acquirer banka tarafından belirlenen koşullar
• Terminal Aksiyon Kodu – Online: İşlemin online’a yönlendirilmesi için acquirer banka tarafından belirlenen koşullar
• Terminal Aksiyon Kodu – Default: İşlem online’a yönlendirildikten sonra herhangi bir nedenle online sisteme bağlanamaması durumunda acquirer banka tarafından belirlenen koşullar

3.Risk Yönetimi-Terminalin Kararı

• Terminal işlemle ilgili bütün kontrollerini tamamladıktan sonra işlemle ilgili şu 3 karardan birini verir
  • İşlemi reddet
  • İşlemi onayla
  • İşlemi online’a yönlendir
• Terminal işlemle ilgili kararını vermezden önce Issuer’un ve terminalin aksiyon kodlarını değerlendirir

Yukarıdaki kontroller sonucunda eşleşen bir koşula rastlamazsa işlemi offline olarak kabul etme kararı alır

Risk Yönetimi-Örnek

Terminal Log’u (TVR)

• Offline statik kart doğrulama başarısız sonuçlandı
• Kart terminalin exception dosyasında bulunuyor
• Talep edilen servis izin verilen bir servis değil
• İşlem tutarı floor limitin üzerinde
• PIN Deneme sayısı aşıldı

Issuer Aksiyon Kodu – Red

• Karttaki aplikasyonun son kullanma tarihi geçmiş
• Karttaki aplikasyon henüz kullanıma açılmamış

Issuer Aksiyon Kodu – Online

• Offline statik kart doğrulama başarısız sonuçlandı
• Kartın veri elemanları eksik
• Offline dinamik kart doğrulama başarısız sonuçlandı
• Kart ve terminal farklı versiyon numaralarına sahipler
• Kart ilk olarak kullanılıyor
• Kartsahibini doğrulama işlemi başarısız oldu
• CVM yorumlanamadı

Issuer Aksiyon Kodu – Default

• Offline statik kart doğrulama başarısız sonuçlandı
• Kartın veri elemanları eksik
• Offline dinamik kart doğrulama başarısız sonuçlandı
• Kart ve terminal farklı versiyon numaralarına sahipler
• Kart ilk olarak kullanılıyor
• Kartsahibini doğrulama işlemi başarısız oldu
• CVM yorumlanamadı

4.Risk Yönetimi-Offline İşlem Limitleri

• EMV Kartı ile artarda yapılabilecek offline işlem adedi limitleri
  • Üst sınır
  • Alt sınır
• EMV Kartı bir günde yapılabilecek maksimum alışveriş tutarı (Offline + Online)

EMV Geçişinin Acquirer ve Issuer Sisteme Getirdiği Maliyetler

Acquirer Sistem-Terminaller

• Tüm POS, ATM ve CAT terminallerinin EMV kartlarını okuyabilecek donanımsal yapıda olması gerekmektedir
  • Smart kart okuyucu
  • EMV Level 1 sertifikasyonu
  • PIN Pad
• Tüm POS, ATM ve CAT terminallerinin EMV kartlarını yorumlayabilecek yazılımsal özellikte olması gerekmektedir
  • EMV Level 2 sertifikasyonu
  • Kriptografik işlemleri hızlı bir şekilde gerçekleştirecek işlemciler

Acquirer Sistem-Mesaj Yapısı

• POS, ATM ve CAT terminalleri EMV verilerini de diğer verilerle beraber Acquiring sisteme aktarmak zorundadırlar
• Acquiring Sistem, terminalden aldığı EMV verilerini yorumlayabilmeli, loglamalı ve BKM’nin, VISA’nın ve MasterCard’ın istemiş olduğu mesaj yapısını oluşturabilmelidir

Acquirer Sistem-Sertifikasyonlar

• Acquiring Sistem VISA ve MasterCard sertifikasyonlarını başarı ile tamamlamalıdır
  • MasterCard sertifikasyonu için ETEC test paketi kullanılıyor
  • VISA sertifikasyonu için VISA’nın temin edilen örnek kartlar kullanılıyor
  • Bu sertifikasyonlar, Acquiring sistemin EMV’ye uygunluğunu test ediyor
  • Sertifikasyonlarda MasterCard ve VISA’dan temin edilen özel Acquiring ve Issuing Sistem Simülatörleri kullanılıyor

Issuer Sistem-Kart Basım ve Personalizasyon Sistemi

• Var olan kart basım makinelerinin EMV’ye upgrade’i
• Personalizasyon Sistemi (P3) : EMV Verilerinin ve Key’lerinin hazırlandığı ve güvenli bir şekilde kart personalizasyonunun yapıldığı sistem
• EMV Test tool’ları: EMV kartlarının test edilmesi amacı ile kullanılırlar
• Kalite Kontrol tool’ları: Basılan EMV kartlarının doğruluğunun kontrolü amacı ile kullanılırlar

Issuer Sistem-Kartlar

• Manyetik kartların EMV kartları ile değiştirilmesi
• Müşteriye yeni basılan kartların ulaştırılması

Issuer Sistem-Back Office

• Kart ve Müşteri Yönetim Sistemlerinin değiştirilmesi
• Günsonu mekanizmalarının değiştirilmesi
• Otorizasyon Sisteminin EMV alanlarını karşılayabilmesi
• HSM cihazlarının EMV fonksiyonlarını desteklemesi
• Post-Issuance Sisteminin geliştirilmesi

Fallback İşlemler

• Fallback İşlemler-1
• EMV kartının çipindeki bir arızadan dolayı manyetik stripe kısmı kullanılarak yapılan işlemlere “Fallback İşlemler” denir
• Çipi kullanmanın her zaman önceliği vardır. Ancak çip kullanılamıyorsa fallback işlemlere izin verilir.
• Issuer Sistemde fallback işlemler ile ilgili özel otorizasyon kriterleri olmalıdır. (Mesela ardarda yapılabilecek maksimum fallback işlem adedi)
• Fallback işlemler 0 floor limitli işlemlerdir. Bu nedenle her zaman online’a çıkarlar.
• Online mesaj formatında o işlemin fallback işlem olduğunu gösteren bazı alanlar vardır.

Fallback İşlemler-2

Fallback İşlemler-3