Jollier
Professional
- Messages
- 1,139
- Reaction score
- 1,185
- Points
- 113
Эта статья была написана, чтобы предоставить краткое введение в проверку держателя карты с помощью EMV и проблемы, связанные с различными методами проверки. Одна из целей EMV - снизить уровень мошенничества; для этого нам нужно доказать три вещи:
Для подтверждения личности держателя карты одним из элементов данных, извлекаемых с карты, является список методов проверки держателя карты (CVM). Этот упорядоченный список содержит один или несколько способов, с помощью которых мы должны попытаться доказать, что владелец карты является тем, кем он себя называет. Обратите внимание, что не все карты поддерживают проверку держателя карты, как указано в профиле обмена приложениями (AIP).
СПИСОК МЕТОДОВ ПРОВЕРКИ ДЕРЖАТЕЛЯ КАРТЫ (CVM)
Список CVM возвращается с карты в ответ на запрос чтения данных для тега 0x8E следующим образом:
Затем для обработки списка применяется следующая логика:
ОБРАБОТКА ПРАВИЛА ПРОВЕРКИ ДЕРЖАТЕЛЯ КАРТЫ
Самая важная часть процесса - это обработка правил проверки держателя карты; Правило проверки держателя карты состоит из двух байтов, где байт 1 - это код CVM, а байт 2 - это условия, при которых затем можно применить код CVM в байте 1 (где он поддерживается):
ОБРАБОТКА КОДА CVM
Как только взаимно поддерживаемый код CVM был установлен и действителен в соответствии с правилами, связанными с кодом CVM, этот код применяется. В настоящее время можно выполнять комбинацию из следующих действий:
Автономный ПИН-код - это, пожалуй, самый сложный сценарий, при котором для успешного ввода ПИН-код также должен быть проверен с помощью чипа, только тогда проверка держателя карты считается успешной.
Для онлайн-ПИН-кода, как только ПИН-код был успешно захвачен для отправки онлайн (с ARQC в первом поколении криптограммы приложения), проверка держателя карты считается успешной.
Для подписи это, пожалуй, проще всего; если терминал способен обрабатывать подпись, то это считается успешным.
РЕЗЮМЕ
Как правило, наиболее сложным сценарием для устройства, обрабатывающего EMV, является требование для автономного ПИН-кода и подписи, поскольку для успешной проверки должны быть выполнены как требования для проверки автономного ПИН-кода, так и поддержки подписи.
Мы надеемся, что эта статья пролила небольшой свет на то, как проверить, является ли владелец карты тем, кем он является, и какие процессы в нем задействованы; для получения дополнительной информации об этом процессе см. книгу 3 EMV 4.3 на веб-сайте EMVCo http://www.emvco.com/specifications.aspx?id=223 и, конечно же, приветствуются любые комментарии!
- Банк - это то, что мы думаем о нем.
- Держатель карты - это лицо, которому карта была выдана.
- Терминал (или устройство для чтения карт) такой, каким он должен быть.
Для подтверждения личности держателя карты одним из элементов данных, извлекаемых с карты, является список методов проверки держателя карты (CVM). Этот упорядоченный список содержит один или несколько способов, с помощью которых мы должны попытаться доказать, что владелец карты является тем, кем он себя называет. Обратите внимание, что не все карты поддерживают проверку держателя карты, как указано в профиле обмена приложениями (AIP).
СПИСОК МЕТОДОВ ПРОВЕРКИ ДЕРЖАТЕЛЯ КАРТЫ (CVM)
Список CVM возвращается с карты в ответ на запрос чтения данных для тега 0x8E следующим образом:
| Имя поля | Описание поля | Длина поля | Кодирование |
| X | Сумма в валюте приложения, используемая в правилах проверки держателя карты. | 4 байта | Двоичный |
| Y | Сумма в валюте приложения, используемая в правилах проверки держателя карты. | 4 байта | Двоичный |
| CVRule1 . . CVRuleZ | Переменное количество правил проверки держателя карты длиной каждые 2 байта. | 2 * Z байта | Двоичный |
ОБРАБОТКА ПРАВИЛА ПРОВЕРКИ ДЕРЖАТЕЛЯ КАРТЫ
Самая важная часть процесса - это обработка правил проверки держателя карты; Правило проверки держателя карты состоит из двух байтов, где байт 1 - это код CVM, а байт 2 - это условия, при которых затем можно применить код CVM в байте 1 (где он поддерживается):
| Байт | Биты | Значение | Имея в виду |
| 1 (CVM Код) | 1-6 | 0 | Ошибка обработки CVM. |
| 1 | ПИН-код в открытом виде в автономном режиме. | ||
| 2 | Интернет-PIN (всегда в зашифрованном виде). | ||
| 3 | Автономный текстовый PIN-код и подпись на бумаге. | ||
| 4 | Оффлайн зашифрованный PIN-код. | ||
| 5 | Оффлайн зашифрованный PIN-код и подпись на бумаге. | ||
| 30 | Только бумажная подпись. | ||
| 31 | Одобрить обработку CVM. | ||
| * | Зарезервированный. | ||
| 7 | 0 | Не пройти проверку держателя карты, если проверка не удалась. | |
| 7 | 1 | Если проверка не удалась, перейдите к следующему правилу. | |
| 8 | 3 | Зарезервировано для использования в будущем. | |
| 2 (Код состояния CVM) | * | 0x00 | Всегда старайтесь применять это правило. |
| 0x01 | Попробуйте применить это правило только в том случае, если это автоматическая денежная транзакция. | ||
| 0x02 | Если не наличные деньги без присмотра, а не наличные вручную и не покупка с кэшбэком | ||
| 0x03 | Всегда старайтесь применять это правило там, где поддерживается код CVM. | ||
| 0x04 | Если это ручная денежная транзакция, примените это правило. | ||
| 0x05 | Если это покупка с кэшбэком, примените это правило. | ||
| 0x06 | Если транзакция осуществляется в валюте приложения и ниже значения X (см. Описание списка CVM для определения X), примените это правило. | ||
| 0x07 | Если транзакция осуществляется в валюте приложения и превышает значение X (см. Описание списка CVM для определения X), примените это правило. | ||
| 0x08 | Если транзакция осуществляется в валюте приложения и меньше значения Y (см. Описание списка CVM для определения Y), тогда примените это правило. | ||
| 0x09 | Если транзакция осуществляется в валюте приложения и превышает значение Y (см. Описание списка CVM для определения Y), примените это правило. | ||
| * | Зарезервированный. |
ОБРАБОТКА КОДА CVM
Как только взаимно поддерживаемый код CVM был установлен и действителен в соответствии с правилами, связанными с кодом CVM, этот код применяется. В настоящее время можно выполнять комбинацию из следующих действий:
- Неудача.
- Добиться успеха.
- Онлайн-проверка PIN-кода.
- Автономная проверка PIN-кода.
- Проверка подписи.
Автономный ПИН-код - это, пожалуй, самый сложный сценарий, при котором для успешного ввода ПИН-код также должен быть проверен с помощью чипа, только тогда проверка держателя карты считается успешной.
Для онлайн-ПИН-кода, как только ПИН-код был успешно захвачен для отправки онлайн (с ARQC в первом поколении криптограммы приложения), проверка держателя карты считается успешной.
Для подписи это, пожалуй, проще всего; если терминал способен обрабатывать подпись, то это считается успешным.
РЕЗЮМЕ
Как правило, наиболее сложным сценарием для устройства, обрабатывающего EMV, является требование для автономного ПИН-кода и подписи, поскольку для успешной проверки должны быть выполнены как требования для проверки автономного ПИН-кода, так и поддержки подписи.
Мы надеемся, что эта статья пролила небольшой свет на то, как проверить, является ли владелец карты тем, кем он является, и какие процессы в нем задействованы; для получения дополнительной информации об этом процессе см. книгу 3 EMV 4.3 на веб-сайте EMVCo http://www.emvco.com/specifications.aspx?id=223 и, конечно же, приветствуются любые комментарии!
Last edited by a moderator:
