Bankanızın internet/mobil şubesi yada Telefon bankacılığı vasıtasıyla bir PIN değiştirme işlemi yaptığınızda, genelde “Yeni şifreniz, katınızla yapacağınız ilk online işlemden yada ilk işlemden sonra kartınıza yüklenecektir” şeklinde bir mesaj verilir.
Burada online işlem ile;
Çipli kartın, çip okuma kapasiteli bir pos ya da atm ile yapacağı ilk temaslı işlem kastedilmektedir.
Bu işlemden sonra kartın sahibi-issuer kartın çipine bir emv-script göndererek yeni pin bilgisini karta iletmektedir.
Bir kartta bu kadar puan olur mu? Ya da kartta puan olur mu? Puan kullanımında ilgili bakiye nereden düşer? vs sorular sorulabilir…
Sahada yeni basılmış bir kartta bizzat gördüğüm bir sıkıntı. Kart üzerinde gerçekten 13 milyon tl bonus var diyordu.
Meselenin doğrusu şudur;
Bazı kartlar ( örnek olarak bonus) kendi üzerlerinde puan bilgisi tutarlar.
Bunun sebebi; Kartı takar takmaz “Puan Bakiyeniz XXX TL” mesajını vermek ve bu puanı OFFLINE olarak kullandırtmak için.
Fakat şu an puanı OFFLINE olarak kullandırtan banka ya yok ya da kullandırtanlar da bundan vazgeçmek üzere.
Kartın üzerinde ne kadar puan olduğu bilgisi önemli değil, önemli olan kart sahibinin banka nezdinde kaç puanı olduğu.
Bu örnekte, %100 ( dikkat %99 değil 🙂 ), kartın bankasındaki puanı bu seviyede değildir, çünki slip te “Kullanılabilir Puanınız 0.07 TL” yazıyordu.
EMV öncesinde kartlarda manyetik şerit kullanılarak işlemler yapılmaktadır.
Manyetik şerit ile
-Terminalin kartı doğrulaması gibi bir durum yoktur.
-Kart sahibi yalnızca Online PIN ile doğrulanabilmektedir. Ki EMV öncesi özellikle kredi kartlarında Online PIN li perso işlemleri genelde yapılmamakta idi. ( Kart üzerindeki ServiceCode bilgisinin doğru perso edilmemesi nedeniyle )
-Bankanın ( issuer’in) kartın gerçekliğini doğrulama imkanı yoktur.
EMV ile beraber
-İşlem öncesinde terminal kartı doğrular. Doğrulama yöntemi SDA, DDA yada CDA olabilir.
-Gene terminal kart sahibini OFFLINE PIN ile doğrulayabilir.
-İşlem otorizasyon için ONLINE’a çıkarsa, Issuer banka kartın gerçekliğini doğrulayabilir ( ARQC )
-ONLINE’dan gelen cevaba göre kart bankasını doğrulabilir ( ARPC )
Aşağıdaki linte bukonuda yazılmış dolu bir makale var.
link
Meraklısına…
Makaleden alıntılar;
“The purpose is for the card to authenticate itself at the POS with the equivalent of a signature,” says Dirk Jan van den Heuvel, MD of Collis, the Dutch test tools and consulting company: “With SDA, the signature is the same every time you authenticate. With DDA, the signature is only valid for one authentication.”
Türkçesi;
Amaç pos ta kartın kendisini imzaya eşdeğer bir yöntemle doğrulayabilmesidir. SDA kartlarda her işlemde kullanılan imza aynıdır. DDA kartlarda ise her işleme özel bir imza kullanılmaktadır.
Bu yazı biraz teknik.
COTA: Cumulative Offline Transaction Amount
UCOTA: Upper Cumulative Offline Transaction Amount ( ‘CB’ tagı)
Offline işlem yapabilen kartlarda kullanılabilen 2 alan.
Örnekle analtmak daha kolay olacak;
MasterCard Chip’li Debit bir kartınız olsun. Kartınıza 100 tl yüklediniz. Burada kart üzerindeki ( script ile güncellenebilen ) UCOTA alanının değeri 100 e eşitlenir, yani UCOTA = 100
Bu kart ile 8 tl harcama yaptığınızda COTA = 8 olur. bir 12 tl daha harcandığında COTA = 20 olur.
Burada kartın kalan bakiyesi UCOTA – COTA dır. Bu karta yeni bir yükleme yapıldığında UCOTA yeni değere eşitlenir, COTA sıfırlanır.
Yada bir world card ile offline harcama yapıyorsunuz. Dikkat ederseniz kartın üzerinde kalan bakiye bilgisi pos ekranında yazar. Bu bakiye yukarıdaki alanlardan elde edilir. Ve bu kredi kartı her ONLINE’a çıktığında COTA alanı sıfırlanır. Yani offline bakiye terkrar açılır.
Son bir bilgi. COTA alanını sıfırlamak için ARQC doğrularken, ARPC Response Code’ u ayarlamak yeterli olur.
Emv standartlarını aşağıdaki isimler altında karşılarındaki şirketler özelleştirmişlerdir.
VSDC – VISA
M/Chip – MasterCard
AEIPS – American Express
J Smart – JCB
D-PAS – Discover/Diners Club International
Kartlı satış işlemlerinin bir kaç türü vardır.
Manyetik, Chip’li (emv),moto,offline, fallback,vs…
EMV Satış: Chip li bir kart ile pos cihazının chip okuyucusundan yapılan satış işlemidir.
Manyetik Satış: Kartlarin arka yüzündeki manyetik şerit kullanılarak yapılan satış işlemine de denmektedir.
Fallback Satış: Chip’li bri kartın chip’inden satış yapılamadığı zaman, satışın manyetikten gerçekleşmesi durumuna denmektedir.
Offline EMV Satış: Pos ve kartın beraber onay vermesi durumunda gerçekleşen işlem tipidir. Onay için issuer bankaya çıkılmaz.
EMV Nedir?
Europay-MasterCard ve VISA tarafından geliştirilmiş ve chip kart teknolojileri aracılığıyla, küresel ödemeler yapısında işlerliğinin sağlanmasına yönelik kuralları içeren uluslararası bir sertifikasyon programıdır.EMV Sertifikasyonu, chip kartlar ile, chip kart kabul eden terminallerde işlem yapılabilmesini olanaklı kılan sistemin çerçevesini oluşturmaktadır. Kaynak/Alıntı:BKM
EMV Standartlarının Amacı
Kaynak/Alıntı: http://www.girisim.com.tr/bankatek/sayi14/emv.htm
1. Dolandırıcılığı Enaza İndirme: Kolayca kopyalanabilmeye başladığı günden bu yana manyetik şeritli debit/credit kartlar, sahiplerine yeteri kadar güvenlik sağlayamamaktalar. Son yıllarda bu konuda dolandırıcılık olayları çok önemli boyutlara ulaştı. Akıllı kartlar özellikle bu tür tehlikelere karşı düşünüldü. Akıllı kartlar üzeindeki çipler, 3-DES ya da RSA gibi sağlam şifreleme mantığıyla hareket eden yüksek emniyetli küçük birer bilgisayar gibi çalışıyorlar.
Debit/Credit uygulama alanları için akıllı kartların sunduğu son derece verimli çözümler, dolandırıcılığa meydan vermiyorlar. Bu yüzden Fransa’da akıllı kart teknolojisi sayesinde dolandırıcılık olayları son 10 yılda 10 kat azaldı.
2. Artan Ödeme İşlemlerinin Yönetimi : Son yıllarda debit/credit kartlı ödeme sistemlerinde çok hızlı bir artış görülmektedir. Manyetik şeritli kartlarda, terminalin bankadan işlem için onay alabilmesi on-line iletişim gerektirmektedir. Bu işlem, 2 tür dezavantajı içermektedir : Hem bağlantı esnasında zaman kaybı olmakta hem de bu durum işlem maliyetini arttırmaktadır.
Debit/credit uygulamaları için akıllı kartlar kullanıldığı takdirde, işlemlerin büyük bir kısmı off-line olarak gerçekleştirilebilecek, böylece zamandan ve iletişim maliyetlerinden tasarruf edilmiş olacaktır.
3. Debit/Credit Kart Uygulamalarında Uluslararası İşleyşin Garanti Altına Alınması: EMV standartları Europay, MasterCard ve Visa işlemlerine ait debit/credit uygulamalarının tüm adımlarını belirleyerek tanımlamakta ve böylece uluslararası kullanımı garanti altına almaktadır.
4. Çoklu Uygulamalar: Mikroişlemciler sayesinde, EMV kartları, debit/credit fonksiyonlarının yanısıra, birden fazla uygulamaya uyumlu olması nedeni ile gerçek anlamda loyalty kart, kimlik kartı, elektronik cüzdan, elektronik ticaret, ulaşım gibi diğer birçok önem taşıyan alanlarla bütünleşerek, farklı uygulamaları bünyesinde barındırabilen kart halini alacaktır.
Aşağıdaki adreste tüm EMV tag larını aranması kolay bir yapı sunmaktadır.
http://www.ugosweb.com/emv/index.aspx
Tag ları bir bütün halinde aşağıdaki linkten görebilirsiniz.
http://www.emvlab.org/emvtags/all/
Ve en baba kaynak; http://www.emvco.com/ adresindenki EMV Book’lardan da tag’lar hakkında detaylı bilgi elde edilebilir.
Mesela;
9f50: Mastercard preauthorized debit kart için yani bir tür Chip’li debit için kartın offline bakiyenin tutulduğu yer.
9f02: başlayan işlemin işlem tutarı.
9f25: Application Effective Date, Kart üzerindeki Application’ın aktif olacağı tarihi belirtir. Kart bu tarihten önce kullanılamayabilir. Bu tarihin kontrolü zorunlu değildir. Offline işlemlerde genelde kontrol edilir.
TLV: Tag – Length – Value anlamındadır.
EMV de veri elemanlarının -Data Tags- ifade ediliş şekli.
Tag : Veri elemanının id si. Bu id unique tir.
Length : Veri elemanının uzunluğu
Value : Veri elemanının değeri
EMV da veri, kart, pos ve host arasında TLV yapısında taşınır.
Aşağıdaki WEB adresi, bir TLV datsını decode etmeye yarayan bir örnek uygulama sunmaktadır.
http://iso8583.info/tools/TLVdecoder/
Mesela;
5A084546710000000000 bu TLV de;
5A: Kart Numarası; PAN; Personel Account Number
08:Uzunluk;Hex değerlidir. Decimal olarak 8 byte lık veri var anlamındadır.
546710000000000: Kart Nuamrası
Emre ERDEM 