Chương 4 : XỬ LÝ GIAO DỊCH THẺ EMV
4.7 QUẢN LÝ RỦI RO TRONG THIẾT BI ĐẦU CUỐI
4.7.1 Hạn mức sàn của thiết bị đọc
Một kỹ thuật bảo mật hiệu quả chống lại việc cố tiêu vượt hạn mức là kiểm tra số tiền giao dịch của một giao dịch sao cho nó không vượt quá hạn mức sàn được NHTT thiết lập.
Mặc dù vậy, nếu chủ thẻ thông đồng với người bán hàng, thì một số tiền vượt quá hạn mức sàn cần thiết để mua một mặt hàng đắt tiền nào đó có thể được chia thành hai khoản riêng khác nhau, hai khoản này được xác thực trong hai giao dịch khác nhau với cùng số thẻ tại cùng thiết bị đọc. Loại đe dọa này được gọi là việc chia hóa đơn.
Nếu NHTT bằng lòng cung cấp an ninh bảo vệ chống lại việc chia hóa đơn, thiết bị đọc phải có đủ bộ nhớ lưu trữ để điều chỉnh một log giao dịch như đã được thể hiện trong Bảng 4.4.
Bảng 4.4 Log giao dịch là một biện pháp bảo đảm an toàn chống lại việc chia hóa đơn
Số thẻ của ứng dụng Số tiền, Số cấp phép Dãy số PAN của ứng dụng Ngày giao dịch
Giao dịch 1 PAN 1 Amount 1 PAN Seq 1 05/10/2006 Giao dịch 2 PAN 1 AMount 1 PAN Seq 1 05/10/2006
... ... ... ... ...
Giao dịch 1000 PAN 1 Amount 2 PAN Seq 1 05/10/2006
... ... ... ...
Xử lý được thiết bị đọc thực hiện cho mỗi giao dịch EMV mới được mô tả theo những hoạt động sau:
1) Sử dụng số PAN của ứng dụng và dãy số PAN của ứng dụng tùy chọn của thẻ giao dịch hiện tại để tìm kiếm một bản ghi đang có trong log giao dịch.
2) Nếu có hơn một bản ghi, thì bổ sung giá trị của trường Số tiền, Số cấp phép trong giao dịch hiện tại (Số tiền thứ 2) với trường Số tiền, Số giao dịch trong giao dịch gần nhất (Số tiền thứ 1) cùng với dãy số PAN/số PAN của ứng dụng. Tổng giá trị của hai giao dịch thể hiện tổng số tiền giao dịch của thẻ.
Nếu giá trị tổng này lớn hơn hoặc bằng trường giá trị của đối tượng dữ liệu Hạn mức sàn của thiết bị đọc (có nhãn 9F1B) trong thiết bị đọc, thì đặt bit 8, ―Giao dịch vượt quá hạn mức sàn,‖ trong byte 4 của TVR.
Ghi giao dịch mới (ví dụ: tại chỉ số 1000) vào trong log giao dịch và kết thúc việc xử lý.
3) Trong trường hợp không có một bản ghi nào trong log giao dịch, hoặc thiết bị đọc không giữ log giao dịch, thiết bị đọc kiểm tra xem giá trị của Số tiền, Số giao dịch trong giao dịch hiện tại là lớn hơn hoặc bằng trường giá trị của hạn mức sàn của thiết bị đọc.
Nếu điều này là đúng, thì thiết bị đọc sẽ đặt bit 8, ―Giao dịch vượt quá hạn mức sàn,‖ trong byte 4 của TVR.