Техническое объяснение почему нужно вводить PIN-код
В данной небольшой разбирается тема ввода PIN–кода на POS терминалах и дается ответ, наконец, на вопрос: почему же в одних случаях требуется ввод PIN, а в других — нет?
Для начала предисловие.
Так уж вышло, что автор статьи работает одном из банков нашей страны. Занимается, собственно, настройкой POS терминалов «с нуля» и до, собственно, ввода в эксплуатацию.
В первую очередь необходимо будет упомянуть о TMS (Terminal Management Server\Station). Вкратце — это компьютер, на котором работает некоторая программа — центр конфигурирования всех POS терминалов. Именно там создаются так называемые «файлы конфигураций приложения», то есть то, что заливается в POS и характеризует его работу.
В TMS задаются все параметры работы POS, как очень значительные (к примеру, список платежных систем, с которыми работает POS, настройки этих систем, CVM листы, action-коды терминала), так и незначительные (таких, как порядок расположения пунктов меню на экране терминала, или же дизайн чеков).
На выходе в итоге появляется специально упакованный файл, который «понимает» терминал. Этот файл и заливается в терминал.
Теперь о сути: спрашивать или не спрашивать PIN (в случае EMV карты):
На EMV-микросхему карты на этапе загрузки приложения заливается так называемый CVM-лист (CVM – Cardholder Verification Method). Также его можно менять в во время транзакции специальным эмитентским скриптом, направляемым с процессингового центра, но эти тонкости в данной ситуации можно опустить.
Каждый банк-эмитент выбирает CVM-лист исходя из своих требований. Вот пример классического CVM-листа:
4403410342031E031F02
Расшифровка выглядит так:
И читается слева направо:
На самом терминале тоже есть свой, терминальный CVM-лист. Он задается в TMS на этапе составления конфигурационных файлов, которые заливаются в POS. Его настраивает банк – эквайрер, опять же, согласно своим запросам.
Работает же всё весьма просто: во время транзакции два CVM-листа (карты и терминала) сравниваются. Срабатывают только те методы проверки, которые совпадают в обоих листах (по сути выполняется проверка пересечения CVM-листов). Остальные методы отбрасываются!
То есть в данном примере алгоритм таков:
Спросить криптованный PIN (предварительно проверив, есть ли в CVM-листе терминала такой метод), если юзер отказывается (это то самое нажатие красной кнопки на PIN-клавиатуре) – запросить оффлайновый открытый PIN (а отказаться он имеет право – см. картинку), если снова отказывается – запросить онлайн-PIN (проверяется не картой, а хостом), если снова отказался — запросить подпись (от нее уже отказаться нельзя — снова см. картинку). Если же в CVM-листе терминала нет проверки по подписи – метод пропускается (это НЕ приравнивается к отказу!) и используется метод «No CVM» с условием «If not unattended cash and not manual cash and not purchase» (но обычно он мало где используется). Если же и этого метода в CVM-листе терминала нет – то проверка не проходит и транзакция отклоняется.
Естественно, число различных вариаций CVM-листов карт и терминалов — и уж тем более их сочетаний — весьма велико. Так что теперь всем заинтересованным стало более ясно, почему карта в устройстве запрашивает PIN, а в другом та же самая карта просит подпись. И почему другая карта исправно работает с запросом PIN в том же устройстве, а карта, что работает в третьем – тут вообще отказывается работать. Так же остается надеяться, что после прочтения данной статьи тема запроса PIN-кодов при оплате с карты стала более понятна и прозрачна и удивляться в магазинах по этому поводу больше не придется.
habrahabr.ru
Более прозаическое объяснение нужно ли вводить пин-код на кассе можно прочитать тут.
Опубликовано 9 лет назад