среда, 14 ноября 2018 г.

Cтандартная EMV-транзакция в 12 этапов


1.       Выбор приложения
Сверка AID в памяти карты и в памяти терминала.
AID=RID +PIX
·         Идентификационный код приложения (Application IdentifierAID)
·         Зарегистрированный идентификационный код приложения (Registered application identifier – RID)
·         Кода продукта (Product Identifier Extension – PIX)
Приложение с наибольшим приоритетом (Application Priority IndicatorAPI)

2.       Инициализация обработки приложения
a)       If  Terminal Country = Card Country Code
b)      Карта отсылает терминалу Профиль взаимообмена приложения (Application Interchange profile – AIP).

3.       Считывание данных
На этом этапе карта передает терминалу данные, необходимые для проведения транзакции (используя данные AIP), и информацию, применяемую на этапе офлайновой аутентификации.

4.       Офлайновая аутентификация
На основании AIP терминал определяет типы офлайновой аутентификации, которые поддерживает карта.
a)       (Static Data Authentication – SDA)
b)      (Dynamic Data Authentication – DDA)
c)       (Combined Data Authentication – CDA)
По результатам проведения аутентификации терминал записывает ее результат (Terminal Verification ResultTVR) в специальный отчет.
5.       Обработка ограничений
На этом этапе терминал проводит ряд проверок карты, удостоверяющих ее пригодность для совершения операции.
a)       Срок действия приложения (Application Expiration Date)
b)      Дополнительный параметр жизненного срока приложения – Application Effective Date
c)       Терминал проводит проверку версии приложения. В памяти карты и каждого терминала записаны версии поддерживаемых ими приложений. Терминал сверяет данные о приложении, записанном в память карты, со своими данными.
Результаты операций, проводимых на данном этапе, также записываются в отчет TVR.
6.       Проверка держателя карты  
Удостоверения личности держателя карты (Cardholder verification methodCVM)
·         PIN Offline Enciphered
·         PIN Online Enciphered

7.       Риск-менеджмент на стороне терминала
·         Терминал может выбрать транзакцию для ее проведения в онлайновом режиме
·         Проверка hot-list (списка украденных или потерянных карт
·         Проверка на превышения лимита операции

8.       Анализ действий терминала
На этом этапе терминал анализирует результаты предыдущих шагов транзакции, записанных в TVR, а также параметры проведения операции, установленные эмитентом в специальных полях памяти чипа, и эквайером – в настройках терминала. По результатам анализа терминал принимает решение о том, следует ли провести операцию в режиме on-line, разрешить ее проведение в офлайновом режиме (off-line) или отклонить (отменить) операцию (decline).
·         проводит анализ результатов офлайновой обработки транзакции, которые были произведены до настоящего момента. В памяти терминала и карты существует специальный список, в котором прописаны возможные действия по проведению операции, исходя из результатов, записанных в TVR. Эти списки носят название Terminal Action Codes (TAC) и Issuer Action Codes (IAC) – для терминала и для карты, соответственно. Анализируя TVR и принимая во внимание TAC и IAC, терминал принимает решение о дальнейшей судьбе транзакции;
·         далее терминал направляет свое решение карте, запрашивая у нее специальную криптограмму. Другими словами, терминал как бы спрашивает карту: “Я проанализировал параметры операции и думаю, что нам надо провести ее в режиме online. Каково твое мнение?” В ответ на этот запрос карта должна представить терминалу “свое видение” дальнейшего проведения операции.
·          
9.       Риск-менеджмент на стороне карты
В результате карта эмитента формирует ответную криптограмму терминалу
·         Проверка вновь выпущенной карты (New Card Check).
·         Проверка истории транзакций (Previous Transaction Check).
·         Проверка счетчиков (counters).

10.   Анализ действий карты
Карта формирует ответную криптограмму терминалу
·         Transaction Certificat (TC) – проведение операции в режиме off-line
·         Application Authentication Cryptogram (AAC) – отмена операции в офлайновом режиме
·         Authorisation request cryptogram (ARQC) – запрос на проведение операции в онлайновом режиме. 

11.   Процессинг в режиме on-line
Карта формирует криптограмму ARQC, а терминал пересылает ее в авторизационном сообщении вместе с данными операции.
После получения криптограммы хост банка обрабатывает ее, используя специальный набор ключей (MDK). Далее банк может провести несколько операций:
·         подтвердить корректность криптограммы;
·         проверить результаты офлайнового проведения операции (офлайновой аутентификации, проверки ПИН-кода и т. п.);
·         сформировать ответную криптограмму хоста Authorisation response cryptogram (ARPC);
·         сформировать скрипт на обновление офлайновых счетчиков или на выполнение картой другой команды

12.   Завершение операции
·         Если операция была проведена в офлайновом режиме, то карта формирует криптограмму TC и направляет ее терминалу. Терминал, в свою очередь, направляет стандартное сообщение на хост банка-эквайера. Операция считается успешно выполненной.
·         Если транзакция была отменена в офлайновом режиме, то данные о ней в виде AAC направляются эмитенту.
·         Если операция была направлена в онлайновую обработку, то при получении ответа от хоста банка эмитента терминал передает необходимые данные (ARPC или скрипт) карте. После этого карта подтверждает корректность ARPC при помощи своих криптографических ключей (UDK), обрабатывает скрипт-команду и формирует соответствующую криптограмму – TC в случае получения положительного ответа от хоста, и AAC – в случае отрицательного. Соответственно, транзакция считается успешно завершенной или отмененной.


https://www.plusworld.ru/journal/section_909/section_139905/art140234/

Комментариев нет:

Отправить комментарий