Chương 4 : XỬ LÝ GIAO DỊCH THẺ EMV
4.1 TỔNG QUAN VỀ GIAO DỊCH VỚI THẺ EMV
4.1.1 Sơ đồ giao dịch với thẻ EMV
Sơ đồ dưới đây chỉ ra luồng giao dịch từ khi thẻ được đưa vào thiết bị đọc tại điểm chấp nhận thẻ cho đến khi nó được đưa ra khỏi thiết bị.
Cho thẻ vào Lựa chon ứng dụng Xử lý ứng dụng ban đầu Đọc dữ liệu của ứng dụng Xác thực dữ liệu ngoại tuyến Những hạn chế xử lý Kiểm tra chủ thẻ Quản lý rủi ro của terminal Phân tích hoạt động thiết bị đọc lần thứ nhất Phân tích hoạt động của thẻ lần thứ nhất Giao dịch trực tuyến Phân tích hoạt động của terminal lần thứ hai Không thể xác thực trực tuyến Xử lý trực tuyến Y Xác thực của ngân hàng phát hành Phân tích hoạt động của thẻ lần thứ hai Xử lý các script của ngân hàng phát hành Hoàn thành giao dịch Cho thẻ ra Hình 4-1: Sơ đồ giao dịch
Khi thẻ được đưa vào thiết bị đọc, thiết bị xác định danh sách những ứng dụng được thẻ và thiết bị hỗ trợ. Nếu không có ứng dụng nào được thẻ và thiết bị đọc hỗ trợ thì giao dịch của thẻ bị hủy bỏ.
Thiết bị đọc thực hiện chức năng xử lý ứng dụng ban đầu. Thiết bị đọc thông báo cho thẻ EMV biết về môi trường giao dịch tại điểm chấp nhận dịch vụ, điều sẽ giúp cho thẻ phù hợp với điều kiện giao dịch hiện tại. Thẻ cung cấp một bản đồ trên những AEF công khai trong AFL và một hồ sơ trao đổi giao dịch trong AIP.
Dựa trên thông tin được lưu trong AFL, thiết bị đọc có thể thực hiện chức năng đọc dữ liệu ứng dụng. Với những chức năng này thiết bị đọc sẽ đọc tất cả những thông tin công khai được lưu trong AEF đã gắn kèm trong ứng dụng thẻ EMV. Sau khi đọc nội dung của thẻ, thiết bị đọc quyết định xem nó có cần tất cả những đối tượng dữ liệu cần thiết để tiếp tục giao dịch hay không.
Sau đó tùy thuộc vào thông tin đã lưu trong AIP, thiết bị đọc quyết định xem có phải thực hiện xác thực dữ liệu ngoại tuyến hay không để tăng cường dịch vụ bảo mật xác thực của thẻ. Nếu câu trả lời là có thì thiết bị đọc xác định xem DDA ngoại tuyến hay DDA ngoại tuyến là kỹ thuật mã hóa được sử dụng để thực hiện dịch vụ bảo mật.
Tiếp theo, thiết bị đọc thực hiện chức năng hạn chế xử lý, chức năng này đánh giá xem thẻ có được quyền yêu cầu cho một dịch vụ tài chính nào đó tại điểm chấp nhận dịch vụ hay không. Nếu thẻ thích là hợp cho loại dịch vụ đã yêu cầu thì trao đổi giao dịch được tiếp tục còn không giao dịch sẽ bị hủy bỏ.
Thiết bị đọc thực hiện việc xác nhận chủ thẻ nếu thẻ EMV đưa ra chức năng này trong AIP. Nếu chức năng này được ứng dụng thẻ hỗ trợ, thì thiết bị đọc xác định một kỹ thuật kiểm tra chủ thẻ mà có hỗ trợ qua lại giữa thẻ EMV và thiết bị đọc. Sau đó, sử dụng kỹ thuật này, thiết bị đọc và thẻ thiết lập liên kết giữa người sử dụng thẻ và chủ thẻ hợp pháp.
Thiết bị đọc cũng thực hiện chức năng quản lý rủi ro thiết bị đọc. Chức năng này cho phép thiết bị đọc thiết lập số tiền giao dịch trong khoảng hạn mức cho phép. Thiết bị đọc cũng có thể quyết định xem giao dịch đó có nên được truyền trực tuyến theo số lớn những giao dịch đã được xác thực ngoại tuyến hay không.
Sau khi thực hiện chức năng quản lý rủi ro thiết bị đọc có một bộ những kết quả thu được từ việc hoàn thành những giao dịch trước đó. Những kết quả này được gom lại trong một thanh ghi 5 byte. Thiết bị đọc so sánh kết quả trong thanh ghi này với lại những mã hoạt động của NHPH và mã hoạt động của thiết bị đọc, những mã này xác định hành động được thiết bị đọc thực hiện trong trường hợp việc trao đổi giao dịch không hoàn thành như mong muốn. Tiếp theo đó là giai đoạn phân tích hoạt động của thiết bị đọc, thiết bị đọc cũng có thể từ chối hoặc chấp nhận giao dịch. Sau đó, thiết bị đọc có lựa chọn việc hoàn thành giao dịch tại chỗ (ngoại tuyến) khi không có rủi ro nghiêm trọng nào được phát hiện ra, hoặc nó có thể yêu cầu sự trợ giúp trực tiếp từ NHPH. Ứng dụng thẻ được yêu cầu để đưa ra một mã hóa ứng dụng, hoặc thậm chí là một chữ ký số, mã hóa này sẽ phục vụ cả hai mục đích là xác thực thẻ trực tuyến với NHPH hoặc có hoạt động như một bằng chứng không thể chối bỏ của việc tham gia thanh toán trong một giao dịch nào đó.
Thẻ EMV thực hiện thủ tục quản lý rủi ro của nó, theo chính sách bảo mật của NHPH, trong phạm vi của chức năng này, chức năng này được gọi là chức năng phân tích hoạt động của thẻ. Theo chức năng quản lý rủi ro của thẻ, thẻ EMV có thể chấp nhận loại giao dịch được thiết bị đọc đưa ra hoặc nó có thể yêu cầu loại giao dịch cuối cùng khác. Ví dụ, thay cho việc chấp nhận hoàn thành giao dịch ngoại tuyến, thẻ có thể yêu cầu thiết bị đọc thực hiện yêu cầu xác thực trực tuyến với NHPH. Sau khi thực hiện chức năng phân tích hoạt động thẻ, việc quyết định hoàn tất giao dịch ngoại tuyến hay trực tuyến của thẻ EMV mới được đưa ra.
Trong trường hợp thiết bị đọc phải kết nối trực tuyến với NHPH, thì mạng thanh toán phải thực hiện phần xử lý của nó, như được minh họa trong Hình 4-2.
4.1.2 Giao dịch thanh toán với thẻ EMV
Mạng thanh toán
Thiết bị đọc
Ngân hàng thanh toán
Trung tâm điều hành hệ
thống thanh toán Ngân hàng phát hành
Gói tin thanh toán
Tạo một yêu cầu xác thực từ gói tin thanh toán, có bao gồm mã hóa ứng dụng
Yêu cầu xác thực
Gửi yêu cầu xác thực trực tiếp đến ngân hàng phát hành thích hợp
Yêu cầu xác thực
Kiểm tra xem chủ thẻ có đủ tiền trong tài khoản hay không
Kiểm tra xem thẻ có phải là thẻ thật hay không
Chấp nhận hay từ chối giao dịch, tạo phản hồi xác thực, bao gồm dữ liệu xác thực của ngân hàng phát hành
Bổ sung những kịch bản của ngân hàng phát hành nếu thấy cần thiết
Phản hồi xác thực + Dữ liệu xác thực + Những script của Issuer Phản xồi xác thực +
Dữ liệu xác thực + Những script của Issuer
Tương tự như xử lý thực hiện với thẻ từ, quan sát gói tin thanh toán được gửi cho NHTT chứa những thông tin bổ sung được thiết bị đọc tập hợp từ xử lý giao dịch thẻ. Sau khi nhận thông tin này NHPH có thể đánh giá tốt hơn việc thẻ có phải là thẻ thật hay thẻ giả, khi mã hóa ứng dụng được thẻ đưa ra là "mới‖ cho những giao dịch mới. Phản hồi xác thực được IH gửi lại cho phép thiết bị đọc và thẻ từ chối hoặc chấp nhận giao dịch, theo chỉ dẫn được NHPH truyền tới. Từ đây, NHPH phải tự xác thực thẻ, do đó sự tin cậy của thẻ là quyết định cuối cùng cho giao dịch thẻ EMV hiện tại xuất phát từ IH thật.
Điều quan trọng là phản hồi xác thực có thể cũng chứa một dãy những lệnh được thiết bị đọc truyền đến thẻ, tập lệnh này do NHPH yêu cầu. Đây là chức năng xử lý kịch bản của NHPH, qua đó NHPH có thể cập nhật những tham số của ứng dụng thẻ trong ICC khi nó vẫn còn hoạt động, sau khi đã cá thể hóa. Để thực hiện việc xử lý những kịch bản của NHPH, việc xác thực của NHPH phải thành công, do đó thẻ có thể được tin tưởng rằng NHPH chính thống gửi dãy những lệnh này qua thiết bị đọc tại điểm chấp nhận dịch vụ.