Issuer Risk Yönetimi Parametreleri
Issuer Risk Yönetimi Parametreleri aşağıda açıklanmaktadır.
Issuer Risk Yönetimi
- Bir işlemin sonucuna karar verirken göz önünde bulundurulması gereken kriterler
- Risk Yönetimi kriterleri işlemin sonucu üzerinde etkiye sahiptirler
- Issuer banka risk yönetiminin ne kadarlık kısmını offline, ne kadarlık kısmını online yapacağına karar vermelidir
- Kart üzerinde bulunan Risk Yönetim kriterleri
- Issuer Aksiyon Kodları
- Offline İşlem Limitleri
Issuer Risk Yönetimi-TVR
Terminal İşlem Logu (TVR)
- EMV kartı ile yapılan bir işlemde gerçekleştirilen işlemlerin sonuçlarını tutar
- EMV işlemi ile ilgili tüm detaylara erişmemizi sağlar
- EMV işleminin sonucuna karar verilirken kontrol edilen parametrelerden en önemlisidir
Terminal Verification Results (TVR)
- Terminalin gerçekleştirdiği işlemlerle ilgili işlem log’u. Kartın ve Issuer bankanın işlem ile ilgili kararında çok etkilidir.
- Offline Kart Doğrulama işlemi gerçekleştirilmedi
- Offline statik kart doğrulama başarısız sonuçlandı
- Kartın veri elemanları eksik
- Kart terminalin exception dosyasında bulunuyor
- Offline dinamik kart doğrulama başarısız sonuçlandı
- Kart ve terminal farklı versiyon numaralarına sahipler
- Karttaki aplikasyonun son kullanma tarihi geçmiş
- Karttaki aplikasyon henüz kullanıma açılmamış
- Talep edilen servis izin verilen bir servis değil
- Kart ilk olarak kullanılıyor
- Kartsahibini doğrulama işlemi başarısız oldu
- CVM yorumlanamadı
- PIN Deneme sayısı aşıldı
- PIN girişi gerekmekte, ancak PIN Pad yok veya çalışmıyor
- PIN girişi gerekmekte, PIN Pad var, ancak PIN girilmedi
- Online PIN girildi
- İşlem tutarı floor limitin üzerinde
- Lower Consecutive Offline Limit (Ardarda yapılabilecek offline işlemlerin alt sınırı) aşıldı
- Upper Consecutive Offline Limit (Ardarda yapılabilecek offline işlemlerin üst sınırı) aşıldı
- İşlem online’a yönlendirilmek üzere random olarak seçildi
- Üye işyeri işlemi online’a yönlendirdi
Risk Yönetimi-Issuer Aksiyon Kodları
1.Issuer Aksiyon Kodları
- Issuer banka, terminal logunda bulunan bütün elemanlar için işlemle ilgili kararını belirlemek zorundadır
- Issuer Aksiyon Kodu – Red: İşlemin reddedilmesi için issuer banka tarafından belirlenen koşullar
- Issuer Aksiyon Kodu – Online: İşlemin online’a yönlendirilmesi için issuer banka tarafından belirlenen koşullar
- Issuer Aksiyon Kodu – Default: İşlem online’a yönlendirildikten sonra herhangi bir nedenle online sisteme bağlanamaması durumunda issuer banka tarafından belirlenen koşullar
2. Risk Yönetimi-Terminal Aksiyon Kodları
Terminal Aksiyon Kodları
- Acquirer banka, terminal logunda bulunan bütün elemanlar için işlemle ilgili kararını belirlemek zorundadır
- Terminal Aksiyon Kodu – Red: İşlemin reddedilmesi için acquirer banka tarafından belirlenen koşullar
- Terminal Aksiyon Kodu – Online: İşlemin online’a yönlendirilmesi için acquirer banka tarafından belirlenen koşullar
- Terminal Aksiyon Kodu – Default: İşlem online’a yönlendirildikten sonra herhangi bir nedenle online sisteme bağlanamaması durumunda acquirer banka tarafından belirlenen koşullar
3.Risk Yönetimi-Terminalin Kararı
- Terminal işlemle ilgili bütün kontrollerini tamamladıktan sonra işlemle ilgili şu 3 karardan birini verir
- İşlemi reddet
- İşlemi onayla
- İşlemi online’a yönlendir
- Terminal işlemle ilgili kararını vermezden önce Issuer’un ve terminalin aksiyon kodlarını değerlendirir
Yukarıdaki kontroller sonucunda eşleşen bir koşula rastlamazsa işlemi offline olarak kabul etme kararı alır
İşlemle İlgili Karar | Üretilen Kriptogram |
Onay | TC |
Red | AAC |
Online | ARQC |
Risk Yönetimi-Örnek
Terminal Log’u (TVR)
- Offline statik kart doğrulama başarısız sonuçlandı
- Kart terminalin exception dosyasında bulunuyor
- Talep edilen servis izin verilen bir servis değil
- İşlem tutarı floor limitin üzerinde
- PIN Deneme sayısı aşıldı
Issuer Aksiyon Kodu – Red
- Karttaki aplikasyonun son kullanma tarihi geçmiş
- Karttaki aplikasyon henüz kullanıma açılmamış
Issuer Aksiyon Kodu – Online
- Offline statik kart doğrulama başarısız sonuçlandı
- Kartın veri elemanları eksik
- Offline dinamik kart doğrulama başarısız sonuçlandı
- Kart ve terminal farklı versiyon numaralarına sahipler
- Kart ilk olarak kullanılıyor
- Kartsahibini doğrulama işlemi başarısız oldu
- CVM yorumlanamadı
Issuer Aksiyon Kodu – Default
- Offline statik kart doğrulama başarısız sonuçlandı
- Kartın veri elemanları eksik
- Offline dinamik kart doğrulama başarısız sonuçlandı
- Kart ve terminal farklı versiyon numaralarına sahipler
- Kart ilk olarak kullanılıyor
- Kartsahibini doğrulama işlemi başarısız oldu
- CVM yorumlanamadı
4.Risk Yönetimi-Offline İşlem Limitleri
- EMV Kartı ile artarda yapılabilecek offline işlem adedi limitleri
- Üst sınır
- Alt sınır
- EMV Kartı bir günde yapılabilecek maksimum alışveriş tutarı (Offline + Online)
EMV Geçişinin Acquirer ve Issuer Sisteme Getirdiği Maliyetler
Acquirer Sistem-Terminaller
- Tüm POS, ATM ve CAT terminallerinin EMV kartlarını okuyabilecek donanımsal yapıda olması gerekmektedir
- Smart kart okuyucu
- EMV Level 1 sertifikasyonu
- PIN Pad
- Tüm POS, ATM ve CAT terminallerinin EMV kartlarını yorumlayabilecek yazılımsal özellikte olması gerekmektedir
- EMV Level 2 sertifikasyonu
- Kriptografik işlemleri hızlı bir şekilde gerçekleştirecek işlemciler
Acquirer Sistem-Mesaj Yapısı
- POS, ATM ve CAT terminalleri EMV verilerini de diğer verilerle beraber Acquiring sisteme aktarmak zorundadırlar
- Acquiring Sistem, terminalden aldığı EMV verilerini yorumlayabilmeli, loglamalı ve BKM’nin, VISA’nın ve MasterCard’ın istemiş olduğu mesaj yapısını oluşturabilmelidir
Acquirer Sistem-Sertifikasyonlar
- Acquiring Sistem VISA ve MasterCard sertifikasyonlarını başarı ile tamamlamalıdır
- MasterCard sertifikasyonu için ETEC test paketi kullanılıyor
- VISA sertifikasyonu için VISA’nın temin edilen örnek kartlar kullanılıyor
- Bu sertifikasyonlar, Acquiring sistemin EMV’ye uygunluğunu test ediyor
- Sertifikasyonlarda MasterCard ve VISA’dan temin edilen özel Acquiring ve Issuing Sistem Simülatörleri kullanılıyor
Issuer Sistem-Kart Basım ve Personalizasyon Sistemi
- Var olan kart basım makinelerinin EMV’ye upgrade’i
- Personalizasyon Sistemi (P3) : EMV Verilerinin ve Key’lerinin hazırlandığı ve güvenli bir şekilde kart personalizasyonunun yapıldığı sistem
- EMV Test tool’ları: EMV kartlarının test edilmesi amacı ile kullanılırlar
- Kalite Kontrol tool’ları: Basılan EMV kartlarının doğruluğunun kontrolü amacı ile kullanılırlar
Issuer Sistem-Kartlar
- Manyetik kartların EMV kartları ile değiştirilmesi
- Müşteriye yeni basılan kartların ulaştırılması
Issuer Sistem-Back Office
- Kart ve Müşteri Yönetim Sistemlerinin değiştirilmesi
- Günsonu mekanizmalarının değiştirilmesi
- Otorizasyon Sisteminin EMV alanlarını karşılayabilmesi
- HSM cihazlarının EMV fonksiyonlarını desteklemesi
- Post-Issuance Sisteminin geliştirilmesi
Fallback İşlemler
- Fallback İşlemler-1
- EMV kartının çipindeki bir arızadan dolayı manyetik stripe kısmı kullanılarak yapılan işlemlere “Fallback İşlemler” denir
- Çipi kullanmanın her zaman önceliği vardır. Ancak çip kullanılamıyorsa fallback işlemlere izin verilir.
- Issuer Sistemde fallback işlemler ile ilgili özel otorizasyon kriterleri olmalıdır. (Mesela ardarda yapılabilecek maksimum fallback işlem adedi)
- Fallback işlemler 0 floor limitli işlemlerdir. Bu nedenle her zaman online’a çıkarlar.
- Online mesaj formatında o işlemin fallback işlem olduğunu gösteren bazı alanlar vardır.
Fallback İşlemler-2
Fallback İşlemler-3