ARPC - ARQC Hakkında...

17 Kasım 2024 Pazar

Chipli işlemlerde terminal, kredi kartını veya kart sahibini işlem anında doğrulamak zorunda ve EMV mantığına göre de 2 şekilde doğrulanabiliyor;

1. Offline (DDA, CDA): Kart ile terminal arasında gerçekleşir.

2. Online (ARQC, ARPC): Kart ile banka arasında gerçekleşir.

Benim anlatacağım kısım 2. Madde, 1. Maddeyi başka bir gün anlatırım.

ARQC-ARPC Nedir / Nasıl Hesaplanır?

Online tarafta, aşağıda anlattığım adımlar yani “kart-host banka” doğrulaması başarısız olursa maalesef bu hatayı alıyoruz.

İşlem, otorizasyon için Online’a çıkarsa, işte burada ARQC ve ARPC’nin önemi ortaya çıkıyor. Bu döngü 2 adımda gerçekleşiyor;

1.Adım - (ARQC- Application Request Cryptogram): Bu adımda; Issuer banka, kartın gerçekliğini yani doğru değerlerle basılıp basılmadığını, sahte olup olmadığı vb. adımları doğruluyor. Kart tarafından bazı değerler (Kart Numarası, İşlem Datası, Master Key) işlem anında hesaplanıp gönderiliyor. Her işlemde bu değer farklılaşıyor.

ARQC hesaplamasında genelde aşağıdaki EMV tag’ler kullanılıyor. “ICC” yazanlar karttan giden değerler olarak düşünebilirsiniz. Örneğin her işlemde ATC, Unpredictable vb. tag değerleri artırılıp, değiştirilip gönderiliyor. Ayrıca yine kontrol için “9F10 (Issuer Application Data) ve 9F26 (Application Cryptogram)” taglerini de problem durumlarında teşhis için kullanıyoruz. Piyasada, internette bir çok ARQC calculatorlar da mevcut. Siz bu değerleri girdiğinizde, otomatik hesaplıyor.

2. Adım - (ARPC- Application Response Cryptogram): Bu adımda, Online’dan gelen cevaba göre kartın, bankayı doğrulaması adımı yapılıyor. Bankanın kartı doğruladığı gibi kart da bankayı doğrulayabilir. Banka, ARQC değerini doğruladıktan sonra, ARQC değerini de kullanarak ARPC değerini oluşturur ve karta gönderiyor. ARPC değeri yanlış gelirse veya gelmezse işlem “079-ARQC Hatası” ile reddedilir. İki değerinde uyumlu olması durumunda “online kriptogram” doğrulaması başarılı olur, provizyondan “00-Başarılı” koduyla onay alınır, müşterinin POS ve ATM’den slipi basılıp, işlem sonlandırılıyor.

Örnek bir Visa ARQC-ARPC işlem akışı:

Olayın anlaşılması için aşağıdaki şekli paylaştım. Şekle dikkat ederseniz Online tarafa geçtiği anda ARQC-ARPC akışı, Issuer Banka ve Kart arasında başlıyor.


Share/Bookmark

Labels:
Posted by Ercüment Yenikaya at 15:06 0 comments

HSM Hakkında...

HSM (Hardware Security Module), hassas ve önemli kriptografik key’leri fiziksel ortamda saklamak ve güvenli şekilde işlem gerçekleştirmek için üretilmiş özel güvenlik cihazları. Genelde piyasada “Thales ve Safenet” HSM’leri mevcut.

Thales /Safenet dışında kullanılan HSM markaları da var:

-Atos Trustway ürünü var.

-IBM’in HSM’leri var. Genel de PCI kart tipi ürünler üretiyor.

-MTG’nin Ultimaco ürünü var.

-Procenne yerli firma, ProCrypt ürünü var.

- Tübitak’ın ortak ürettiği Dirak HSM’leri var.

HSM kullanılan sektörler:

-Bankalar/Ödeme Sistemleri (Kredi ve banka kartı işlemleri, POS, ATM, IVR, Mobil, İnternet Bankacılık vb. her türlü otorizasyon işleminde kullanılıyor.)

-Kripto Anahtar Yönetimi Desteği Veren Firmalar  (Firmalara simetrik ve asimetrik key oluşturma vb. danışmanlık veriliyor. Örneğin ZMK, KEK key paylaşımı vb.)

-Blok Zincir veya Kripto Para (Kripto para cüzdanlarının oluşturulması ve korunması HSM ile yapılıyor.)

-Elektronik İmza (Türk Trust gibi dijital sertifika firmaları; E-Fatura, Mali Mühür vb. uygulamalarda da kullanılıyor.)

HSM kullanımında ana kurallar:

Bu kurallar genel de yazılı olan, çok dikkat edilmesi gereken kurallar. Literatürde böyle maddeler var. Genel de 2. Ve 3. kurala hiç uymazlar :)

-İkili ya da Üçlü Kontrol Kuralı: Key parçalarının oluşturulması, saklanması ve yüklenmesi işlemleri en az 2 ya 3 da görevlinin birlikte çalışması gerekiyor. Bunu uygulamak için HSM’in bulunduğu kabinin de ikili kontrol sistemi ile açılıyor olması gerekiyor. Yani HSM’in bulunduğu kabinin ön anahtarı bir kişi de arka kapak anahtarı da başka bir kişi de olması gerekiyor. Bir de HSM ekranları, güvenlik kameraları tarafından görüntülenemeyecek şekilde olmak zorunda.

HSM kabin içine varsa rack kitleri veya raf üzerine “sarsıntıya” duyarlı şekilde monte edilmeleri gerekiyor. HSM donanımın yönetimi için kullanılan laptop veya bilgisayar sadece bu iş için kullanılacak ve HSM kabinlerinin içinde olması gerekiyor. Üzerinde herhangi bir ek yazılım olmaması tavsiye ediliyor.

-Key Yönetim Kuralı: HSM, hizmet verdiği tüm key’leri şifrelemek için kendi üzerlerinde kök veya master key tutar. Bu key’leri şifrelemek için kullandığı en hassas ve en gizli key, LMK (Local Master Key) ana şifreleme key’i olarak kullanılıyor.

En kritik olan, HSM ile üreticiden gelen smart kartlara istenilen adette parçalara bölünür. Genelde 3 adet key parçasından ana key’in elde edilmesi yeterli oluyor. Oluşturulan key parçaları kurumlarda AGG  (Anahtar Güvenlik Görevlisi) teslim edilmeli ve fiziksel güvenliklerinin sağlanması gerekiyor.

-Bilginin Bölüştürülmesi Kuralı: Hiç kimsenin AGG (Key Giriş Görevlisi veya Key Officer)’nin key parçalarının üçünü birden bilmemesi ya da key parçalarının saklandığı kasaların her üçüne birden erişim yetkisinin olmaması gerekiyor.

AGG’lere teslim edilen key’ler, açık formları ve smart kartlar güvenli kasalara, bir defa açıldığında tekrar kullanılamayan seri numaralı özel zarflara konulması gerekiyor. Kasaların anahtarları 2 farklı kişide olması gerekiyor. Yani AGG’ler kasalara direkt erişimi istenmiyor. Kasalardaki her türlü key bilgisini tutan smart card, form vb. işlemleri (Kasadan alınması, Kasaya konulması) form ile kayıt altına alınması gerekiyor.


Share/Bookmark

Labels:
Posted by Ercüment Yenikaya at 14:50 0 comments

Taksit Turlarında Kuruşluk Fazlalıklar...

5 Ekim 2024 Cumartesi

Taksit turlarında neden 0.1 TL lik fazla tutarlar oluşur?

Örneğin; 1000 TL lik, 5 taksitli bir işlem için, taksit tutarı 200 TL hesaplanıyor.

Diğer bir örnek; 1000TL lik 3 taksitli bir işlem için, taksit tutarları nedir;  333.34 — 333.33 — 333.33 tür.

1000 TL 3’ e eşit bölünemediği için;

    -Eşit taksit tutarı önce hesaplanır.  Bu 333.3333333333333 TL dir. Virgülden sonraki 2 hane alınır. Bu da 333.33 TL dir.
    -Eşit taksit tutarı ile, taksit adedi çarpılır. 333.33 * 3 = 999.99 TL yapıyor. Burada 0.01 TL’lik bir miktar artmaktadır. Bu da genelde ilk takside eklenir.
    -Bu durumda ilk taksit 333.33 TL + 0.01 TL = 333.34 TL yapar.


Share/Bookmark

Labels:
Posted by Ercüment Yenikaya at 22:12 0 comments

POS Bankası Kart Bankası Farklı Olursa...

Takasta “geri ödeme değerleri (reimbersment) ” denen bir kavram vardır.

A bankasının POS’undan B bankasının Kredi Kartıyla bir işlem gerçekleştiğinde, bu işlem bu iki banka arasında bir para alışverişine sebebiyet vermektedir.

Örneğin;

    A bankasının POS’undan 1000 TL’lik B bankasının bir kartı ile işlem geçirilsin.

    Takaslaşma anında ( genelde bir sonraki gün) B bankası ( Kart sahibi banka) , A bankasına ( POS sahibi bankasına )  kabaca 1000 TL lik işlemi 960 TL olarak gönderir. ( Türkiye için arada BKM’nin, yurt dışı işlemlerde VISA ya da MC’nin komisyonu da vardır). Buradaki kesintiye takas komisyonu denmektedir.

    Kart sahibi banka ( B bankası) , kendi kartının başka banka POS’larından kullanılmasından kazançlı çıkar.

Burada A bankasının kar/zarar dengesi kendi işyeri ile arasındaki anlaşmaya göre farklı şekiller kazanabilir.

    A bankası, başka banka kartları ile yapılan işlem bedellerini bir sonraki gün kendi hesabına ( tam olarak olmasa da ) alır ve işyeri ile anlaşmasına göre bu parayı 30-40 gün blokeli kullanabilir ya da 920 TL gibi bir rakam ile işyerine öder ve 40 TL kazanır.


Share/Bookmark

Labels:
Posted by Ercüment Yenikaya at 22:08 0 comments

ISO 8583


Standard for Financial Transaction Card Originated Messages – Interchange message specifications  (Orjinal mesaj oluşturan mali işlem kartı – karşılıklı mesaj alış-veriş şartları)

Bana göre; POS banka ile, Banka BKM ile, Banka VISA/MASTERCARD ile konuşurken kullandığı dil.

İngilize dökümanlardan biri;

http://en.wikipedia.org/wiki/ISO_8583

Burada toplamda 128 data elemanı var.

    -F02 (Primary account number (PAN)) – Kart Numarası
    -F04 (Amount Transaction) – İşlem Tutarı F-
    11 (STAN) – Bir işlemi benzersiz bir şekilde tanımlamaya yardımcı olmak için üçüncü taraf sistem tarafından (ATM ya da POS) atanan numaradır. 000001 ile 999999 aralığında üretilir. -
    F12 (Local transaction time ) – İşlem Tarihi
    -F14 (Expire Date) – Kart Vade Tarihi
    -F22 (Point of service entry mode) - POSS/ATM üzerinden işlemin nasıl yapıldığını ve POS cihazının Pin giriş kapasitesinin tutulduğu alandır. İlk 2 hanede işlemin nasıl yapıldığı, son hanede (x ile gösterilen kısım) örneğin işlem. Örneğin bu değer 051 ise işlem chipli ve PIN’li yapılmış demektir.
    -F35 (Track2) -Kart No, Servis ve vade bilgileri yer alır
    -F37 (RRN- Retrieval Reference Number) İşlemi başlatan banka tarafından üretilen, işlemin tekil olarak izlenmesini sağlayan koddur.
    -F38 – Provizyon Numarası
    -F39 – İşlem Cevap Sonucu. Örneğin 00 işlem başarılı demektir. Burada genelde bankalar, BKM’nin cevap kodlarına uyarlar.
    -F45 – Track1 Data
    -F49 (Currency Code) – İşlem yapılan tutar kodu. Örneğin TL için 0949’dur.
    -F52 (PIN Data) – PIN bilgisi
    -F55 (ICC Data) – Chip datası. Burası bizim için önemli Tag 95 – TVR, Tag 910 (Issuer Data), 9F33 Terminal Capability, 9F5B (Issuer Script Result), 9F34 (Terminal Verification Result) vb. bir çok önemli alan var. </LI>


Share/Bookmark

Labels:
Posted by Ercüment Yenikaya at 21:44 0 comments

MasterCard CPV Hakkında

21 Ağustos 2024 Çarşamba


FIME, aşağıdaki marka standartlara göre tool desteği vermektedir. Bu standartların farklı spec destekleri bulunmaktadır. Bu standartlar aşağıdaki gibidir.


https://www.fime.com/shop/product/card-and-mobile-personalization-validation-61#feature

 

Desteklenen marka ve standartlar:

  • American Express - Issuer Personalization Certification (IPC)
  • ATH - Card L3 certification
  • BancNet - Chip Card Personalization Validation (CCPV) & Change Notification (CN)
  • Credibanco - Personalization validation
  • CUP - Card personalization validation
  • Debit Network Alliance (DNA) - Personalization validation
  • Discover / Diners Club International - DPAS card personalization validation
  • JCB - Personalization Verification Test (PVT)
  • Mastercard - CPV formal approval (including biometrics) & CNS (Change Notification Statement) 
  • Rupay - ChipV and qSPARC ChipV personalization validation
  • Thai Bankers’ Association (TBA) - Card personalization validation
  • Troy - Card personalization validation
  • UPI - Personalization Validation Testing (PVT)
  • Visa - Card profile analysis


Share/Bookmark

Labels:
Posted by Ercüment Yenikaya at 15:40 0 comments

SDA, DDA ve CDA Arasındaki Farklar

ResimLink - Resim Yükle


SDA (Statik Veri Kimlik Doğrulaması), DDA (Dinamik Veri Kimlik Doğrulaması) ve CDA (Birleşik Dinamik Veri Kimlik Doğrulaması) bağımsız veri doğrulama yöntemleridir. 

 

SDA (Statik Veri Doğrulama) Atm'lerde ve POS terminallerinde kullanıldığında, kredi kartının kendisini doğrulayan RSA imzaları ilk ve en temel şifreleme katmanıdır. SDA için akıllı kart, issuer RSA anahtar çiftinin özel anahtarıyla imzalanmış uygulama verilerini içerir. SDA uygulaması olan kart terminale takıldığında, kart bu imzalı statik uygulama verilerini, sertifika yetkilisi dizinini ve veren sertifikayı terminale (POS/ATM) gönderir. Terminal, issued sertifikasını ve dijital imzasını, karttaki gerçek başvuru verileriyle karşılaştırarak doğrular. Kısacası, RSA imzası, verilerin orijinal olmasını ve yetkili bir ihraççı tarafından oluşturulmasını sağlar. 

 

DDA (Dinamik Veri Kimlik Doğrulama) Her işlemde aynı statik verilerin kullanılması nedeniyle tekrarlanan saldırıları engelleyemez. Bu, belirli bir işlemle ilgili değişken verilere sahip bir DDA kartı ve bunları terminale gönderen kendi benzersiz RSA anahtarı kullanılarak geliştirilebilir. DDA uygulamasında kart terminale takıldığında, kart imzalı dinamik uygulama verilerini, CA endeksini, issuer sertifikasını ve kart sertifikasını terminale (POS / ATM) iletir. Terminal daha sonra issued sertifikasını, akıllı kart sertifikasını ve uygulamanın imzalı dinamik verilerini kontrol eder. 

 

CDA (Birleşik Dinamik Veri Kimlik Doğrulama) DDA kullanılarak doğrulama sırasında terminal, kartın gerçekliğini doğrulayabilir, ancak bir sonraki işlemin bu kart kullanılarak gerçekleştirildiğini doğrulayamaz. CDA, bu boşluğu DDA ile kapatır. CDA yardımıyla kart, kartı ve işlemi onaylamak için tüm önemli işlem verilerini dijital imza ile imzalar.


Share/Bookmark

Labels:
Posted by Ercüment Yenikaya at 13:48 0 comments

Kaydol: Kayıtlar ( Atom )