EMV de İşlem Güvenliği
Kart Doğrulama
EMV de İşlem Güvenliği, Kartın doğrulanması
- Kart doğrulama işlemi kartın gerçek kart mı, sahte kart mı olduğunu anlamak amacı ile gerçekleştirilir.
- Manyetik Stripe işlemlerinde kart doğrulama işlemi CVV ile yapılıyor.
- EMV kartları kendi üzerlerinde işlem yapabildikleri için kartların offline olarak doğrulanması mümkündür.
- Kart doğrulama amacı ile kartın ve terminalin üzerinde özel algoritmalar kullanılır.
- Offline kart doğrulamada RSA şifreleme algoritması, online kart doğrulamada ise DES şifreleme algoritması kullanılır.
EMV de İşlem Güvenliği -Offline Kart Doğrulama
- Bankanın Sertifikası
- Bankanın Sertifika Otoritesi (VISA veya MasterCard) tarafından onaylanan bir banka olduğuna dair almış olduğu bir onay kodu. Bu sertifika terminalin kartı doğrulanmasında kullanılır.
- Kartın Dijital İmzası
- Bankanın basmış olduğu karta verdiği imza. Bu imza sadece o karta özeldir. Terminal kartı doğrularken bu imzayı kontrol eder.
- Offline olarak kartın doğrulanması
- Terminal bankanın sertifikasını kontrol ederek bankaya ait birtakım bilgileri alır
- Terminal, sertifikanın içinden aldığı banka bilgilerini kullanarak kartın dijital imzasını kontrol eder ve o kartın sahte kart olup olmadığını anlar
- Offline olarak kartı doğrulama yöntemleri
- Statik Doğrulama (Static Data Authentication) : Kartın dijital imzası hiç değişmez. Bu imza kart ilk üretilirken karta yüklenir
- Dinamik Doğrulama (Dynamic Data Authentication) : Kartın dijital imzası her işlemde değişir. Kartın üzerinde her işlemde yeni bir imza üretecek bir RSA key’i vardır
- Statik ve Dinamik Doğrulamanın Kıyası
- Dinamik doğrulama statik doğrulamaya göre daha güvenlidir
- Dinamik doğrulama daha çok zaman alır
- Dinamik doğrulama için kartın üzerinde özel işlemcilerin olması gerekir (kripto prosesörler)
- Dinamik doğrulama yapan kartların basımı daha uzun sürer
- Dinamik doğrulama yapan kartlar daha pahalıdır
- Banka hangi doğrulama yöntemini kullanacağına karar vermelidir
- Türkiye’de belirli bir dönem statik kartların kullanılmasına karar verilmiştir
EMV de İşlem Güvenliği – Online Kart Doğrulama
- Bankanın online olarak kartı doğrulaması
- Kart o işleme ait ve kendisini ifade eden bir imza (kriptogram) üretir
- Terminal bu imzayı bankaya aktarır
- Banka bu imzanın doğru olup olmadığını kontrol eder
- Banka kendisine imzası(kriptogramı) gelen kartın sahte kart olup olmadığını anlamak amacı ile birtakım hesaplamalar yapar
- Eğer sahte kartsa o kartla yapılan ilk işlemde kartı geçici olarak kullanıma kapatır
- Kart üzerinde daha detaylı kontroller yapılır
- Kartın sahte kart olmadığı anlaşılırsa kart tekrar kullanıma açılır
EMV de İşlem Güvenliği – Kart Kriptogramları
- Kart tarafından üretilen kriptogramlar(imzalar)
- Kriptogram: O anda yapılan işlem için üretilen, karta ait özel imza. Bu imza, o kartın gerçek kart olup olmadığının anlaşılmasında kullanılır
- TC (Transaction Certificate) : Kart tarafından onaylanan işlemler için üretilen sertifika kriptogramı
- ARQC (Authorization Request Cryptogram) : Kart tarafından online sisteme yönlendirilen işlemler için üretilen kriptogram
- AAC (Authorization Authentication Cryptogram) : Akıllı Kart tarafından reddedilen işlemler için üretilen kriptogram
İşlem Güvenliği- Bankanın Kriptogramı
- Issuer banka tarafından üretilen kriptogram
- ARPC (Authorization Response Crytogram) : Bankanın karta kendisinin doğruluğunu ispatlamak amacı ile üretmiş olduğu kriptogram
İşlem Güvenliği- Online Banka Doğrulama
- Kartın issuer bankayı doğrulaması
- Issuer banka, karta döndüğü otorizasyon yanıtının içine kendisine ait bir imza koyar (ARPC). Kart bu imzayı, kendisine gelen mesajın doğru yerden gelip gelmediğini anlamada kullanır
İşlem Güvenliği- Online Doğrulama Yöntemleri
- Online doğrulama yöntemleri
Son Üretilen TC veya AAC kriptogramının doğrulanması günsonunda yapılır.
- Online doğrulama opsiyoneldir. Issuer banka bu doğrulama şeklini kullanmak isteyip istemediğine karar vermelidir
- Online’a çıkan işlemler için üretilen imza (ARQC) o işlem esnasında doğrulanır
- Offline olarak yapılan işlemlerin doğrulaması günsonunda veya o gün içinde gönderilen Advice mesajı sonrasında gerçekleştirilir
- Online olarak yapılan işlemlerin en son üretmiş oldukları imzanın doğrulaması da günsonunda veya o gün içinde gönderilen Advice mesajı sonrasında gerçekleştirilir
Son üretilen TC veya AAC kriptogramının doğrulanması gün sonunda yapı
EMV de İşlem Güvenliği – Kriptogramların Aktarılması
1. İşlemin TC kriptogramını doğrula
2.İşlemin TC kriptogramını doğrula
3.İşlemin AAC kriptogramını doğrula
100.İşlemin TC kriptogramını doğrula
- Terminal, üzerinde biriktirdiği işlem bilgilerini periyodik olarak issuer bankaya aktarmak zorundadır
- Terminale sahip olan banka bu aktarma işleminin sıklığına karar vermelidir
- Terminale sahip olan banka isterse aktarma işlemini gün sonundan önce yapabilir
İşlem Güvenliği- Kart Sahibinin Doğrulanması
- Kart sahibinin doğrulanması EMV’de güvenliğin önemli bir parçasıdır
- Manyetik Stripe işlemlerinde kart sahibi doğrulama işlemi, ATM’lerden debit kartlarla yapılan işlemlerde Online PIN doğrulama şeklindedir
- Manyetik Stripe işlemlerinde kart sahibi doğrulama işlemi, kredi kartları ile yapılan işlemlerde imza ve kimlik kontrolü şeklindedir
- EMV’de kart sahibinin doğrulama yöntemleri daha fazla ve daha güvenlidir
- Bu yöntemler
- Offline olarak kartın doğrulanması (PIN karta açık gider)
- Offline olarak kartın doğrulanması (PIN karta şifreli gider)
- Online olarak kartın doğrulanması
- İmza kontrolü
- Offline olarak kartın doğrulanması ve imza kontrolü
- Online olarak kartın doğrulanması ve imza kontrolü
- Bu yöntemler belirli koşullara bağlı olarak gerçekleştirilebilir. Bu koşullar:
- İşlem tutarı belirli bir limitin üstünde ise
- İşlem tutarı belirli bir limitin altında ise
- İşlem tipi cash ise
- İşlem tipi mal alım satımı ise
- İşlem tipi servis hizmeti ise
- EMV’de kart üzerinde birden fazla kart sahibini doğrulama yöntemi tanımlanabilir
İşlem Güvenliği- Offline PIN Doğrulama
- Offline PIN Doğrulama
- Manyetik Stripe işlemlerinde PIN doğrulama banka tarafından yapılıyor
- PIN’in bankaya kadar taşınması güvenliği zayıflatıyor
- EMV’de kart sahibinin girmiş olduğu PIN kart tarafından doğrulanır
- Kart, akıllı kart olmasından dolayı kendi üzerinde PIN doğrulayabilme yeteneğine sahiptir
- Manyetik stripe teknolojisinde sadece debit kart işlemlerinde PIN doğrulama yapılıyor
- EMV’de kredi kartı işlemlerinde de PIN doğrulama yapılması öngörülmektedir
- Offline olarak PIN doğrulama yöntemi (PIN açık)
PIN, kart ve terminal arasındaki bölge dışına çıkmaz. Bu nedenle bu yöntemin güvenliği manyetik stripe’da kullanılan yönteme göre daha fazladır
- Offline olarak PIN doğrulama yöntemi (PIN şifreli)
PIN kart ve terminal arasındaki bölge dışına çıkmaz. Bu bölgede bile açık bir şekilde taşınmaz. Bu nedenle güvenlik maksimum seviyededir
- PIN Deneme Limiti
- PIN’in ardarda kaç kere yanlış girilebileceğini gösteren bir sayı
- Kart personalize edilirken bu sayının kaç olacağına karar verilir
- PIN Deneme Limiti kez yanlış PIN girişi sonunda kartın PIN’i bloke edilir
- Banka, böyle bir durum oluştuğunda ne yapacağına karar vermelidir
- İşlemi Online’a yönlendirmek, reddetmek
- Kart üzerindeki uygulamayı bloke etmek
- PIN’i bloke olmuş bir kartın PIN’i, bankacılık sisteminden karta gönderilen bir komutla tekrar kullanıma açılabilir
EMV de İşlem Güvenliği- Türkiye’de PIN Kullanma Stratejisi
- Türkiye’de PIN kullanma stratejisini BKM belirliyor
- Kredi kart işlemlerinde PIN kullanımı için özel PIN Pad cihazlarının olması gerekiyor
- Şu anda piyasada var olan terminallerin büyük bir kısmında bu cihazlar mevcut değil
- İnsanlarda kredi kartını PIN’li kullanma alışkanlığı yok
- PIN kullanımı EMV’nin en önemli güvenlik metotlarından birisi
Belirlenen karar: EMV geçişinin ilk yıllarında PIN kullanılmayacak. Bir süre sonra PIN kullanımına başlanacak
- EMV kartını alan bir kişi kartını PIN’siz olarak kullanacak
- PIN kullanımına geçişe yakın bir zamanda EMV kartı olan insanlar bilgilendirilecek
- Belirlenecek bir tarihten itibaren PIN kullanımı başlayacak
- Kartlar ilk basılırken üzerlerinde PIN olacak
- Ancak, özel bir yöntemle PIN’ler bloke edilecek
- Bu şekilde terminal kart sahibinden PIN sormayacak
- PIN kullanımına geçileceği zaman bankacılık sisteminden karta gönderilen bir mesajla PIN’ler açılacak
- Kart sahibine PIN’inin açıldığına dair bilgi verilecek
- Bundan sonra işlemler PIN’li yapılacak
İşlem Güvenliği- Diğer Kart Sahibi Doğrulama Yöntemleri
- Online PIN Doğrulama
- Şu anda debit işlemlerinde kullanılan yöntemin aynısı. Kart sahibinin girdiği PIN değeri özel bir anahtarla şifrelenerek bankaya iletilir. PIN doğrulama işlemi bankada gerçekleştirilir
- İmza
- Şu anda manyetik stripe işlemlerinde kullanılan yöntem
Örnek Bir Kart Sahibi Doğrulama Şekli
- Kart Sahibi Doğrulama Kuralı 1
- Tip: Karta PIN açık bir şekilde ve offline olarak gönderilecek
- Koşul: İşlem Tutarı 100 milyonun üstünde ise
- CVM başarısız olduğu zaman bir sonraki işleme geç
- Kart Sahibi Doğrulama Kuralı 2
- Tip: Müşterinin imzası alınacak
- Koşul: İşlem Tutarı 100 milyonun altında ise
- CVM başarısız olduğu zaman bir sonraki işleme geç.
- Kart Sahibi Doğrulama Kuralı 3
- Tip: Online PIN kullanılacak
- Koşul: Her zaman.
- CVM başarısız olduğu zaman CVM kontrollerini bitir.