Chương 2 HỆ ĐIỀU HÀNH THẺ THÔNG MINH
2.6 ĐẶC TẢ ỨNG DỤNG DEBIT VÀ CREDIT
Hệ thống thanh toán hoặc nhà phát thành sẽ ánh xạ các đối tượng dữ liệu (Mapping Data Objects) thích ứng tới các file cần thiết[4, 10].
§ Tất cả các file mà sử dụng được lệnh READ RECORD như đã định nghĩa chứa các đối tượng dữ liệu trong đặc tả này sẽ dùng các SFI trong khoảng từ 1 đến 10. Các file này là:
- File thường là kiểu file tuyến tính có thể đọc được sử dụng lệnh READ RECORD như đã mô tả.
- File có thể chứa nhiều bản ghi. Mỗi bản ghi giới hạn 254 byte bao gồm vị trí (tag) và độ dài
- Mỗi bản ghi sẽ được tọa mã theo cấu trúc của đổi tượng dữ liệu.
Vị trí của cấu trúc này thường là ‘70’ mã hex biểu thị một mẫu riêng và độ dài là tổng độ dài của đối tượng được đóng gói.
- File không những chứa các đối tượng dữ liệu đã định nghĩa mà còn được viết mã theo chuẩn BER-TLV
- File có thể có điều kiện truy cập tương ứng để cho phép cập nhật nội dung nhưng chắc chắn là nó phải được phép đọc.
§ Các file mà SFI nằm trong khoảng từ 11 đến 20 thường để dự trữ cho dữ liệu riêng được chỉ định hở hệ thống thanh toán riêng.
§ Các file mà SFI nằm trong khoảng từ 21 đến 30 thường để dự trữ cho dữ liệu riêng được chỉ định bởi nhà phát hành.
§ Trong AFL sẽ xác đính định rõ các file và các bản ghi được dùng cho xử lý giao dịch.
2.6.1.2 Các đối tượng dữ liệu bắt buộc
Bảng 1 sau liệt kê các đối tượng dữ liệu phải được thiết đặt trong thẻ nằm trong các file đọc được bằng cách dùng lệnh READ RECORD.
Tag Value Presence
‘5F24’ Application Expiration Date M
‘5A’ Application Primary Account Number (PAN) M
‘8C’ Card Risk Management Data Object List 1 M
‘8D’ Card Risk Management Data Object List 2 M Bảng 1: Các đối tượng dữ liệu bắt buộc.
Tất cả những đối tượng dữ liệu được định nghĩa ở đây thường trú trong các file bên trong thẻ[25].
Bảng 2 tiếp theo liệt kê các đối tượng dữ liệu phải có sẵn trong thẻ nếu thẻ đó hỗ trợ xác thực dữ liệu tĩnh (SDA) ngoại tuyến[25].
Tag Value
‘8F’ Certification Authority Public Key Index
‘90’ Issuer Public Key Certificate 93 Signed Static Application Data 92 Issuer Public Key Remainder 9F32 Issuer Public Key Exponent
Bảng 2: Dữ liệu yêu cầu cho SDA.
Bảng 21 kế tiếp cũng liệt kê các đối tượng dữ liệu phải có sẵn trong thẻ nếu nó hỗ trợ xác thực dữ liệu động (DDA/CDA) ngoại tuyến[25].
Tag Value
‘8F’ Certification Authority Public Key Index
‘90’ Issuer Public Key Certificate
‘93’ Signed Static Application Data
‘92’ Issuer Public Key Remainder
‘9F32’ Issuer Public Key Exponent
‘9F46’ ICC Public Key Certificate
‘9F47’ ICC Public Key Exponent
‘9F48’ ICC Public Key Remainder
‘9F49’ Dynamic Data Authentication Data Object List (DDOL) Bảng 3: Dữ liệu yêu cầu cho DDA/CDA.
2.6.2 Lồng giao dịch
AIP (Application Interchange Profile) sẽ định rõ các chức năng ứng dụng mà nó được hỗ trợ bởi thẻ. Thiết bị đầu cuối sẽ cố gắng thực thi chỉ những chức năng mà ICC hỗ trợ. Các chức năng này sẽ thực hiện tuân theo điều kiện thực thi. Hình 27 mô tả một luồng giao dịch có thể thực hiện được[4].
Hình 24: Sơ đồ luồng giao dịch.
2.6.3 Các hàm được sử dụng trong xử lý giao dịch
Như sơ đồ luồng giao dịch ở hình 27. Ta thấy có rất nhiều chức năng được thẻ gọi tới để thực hiện một quá trình giao dịch[4].
2.6.3.1 Khởi tạo xử lý ứng dụng
Mục đích: Đây là chức năng xử lý khởi tạo ứng dụng
§ Báo cho thẻ biết rằng một xử lý một giao dịch mới sẽ bắt đầu
§ Cung cấp cho thẻ và thiết bị đầu cuối về thông tin giao dịch
§ Lấy AIP (Application Interchange Profile) từ thẻ và liệt kê danh sách file chứa trong thẻ để sau này sử dụng xử lý giao dịch
§ Quyết định giao dịch có được phép hay không
Điều kiện thực thi: Thiết bị đầu cuối luôn luôn thực thi chức năng này
Luồng thực thi: Đây là chức năng trước tiên được thực hiện sau khi lựa chọn ứng dụng
2.6.3.2 Đọc dữ liệu ứng dụng
Mục đích: Dữ liệu chứa trong file trên thẻ cần phải được thiết bị đầu cuối thực thi các chức năng khác nhau dùng trong xử lý giao dịch. Thiết bị đầu cuối phải đọc dữ liệu này từ thẻ
Điều kiện thực thi: Thiết bị đầu cuối sẽ luôn thực thi chức năng này
Luồng thực thi: Chức năng đọc dữ liệu ứng dụng được thực thi tức thời theo luồng khởi tạo ứng dụng
2.6.3.3 Xác thực dữ liệu ngoại tuyến (Offline Data Authentication)
Mục dích: Quá trình này chỉ ra làm thế nào để quyết định xác thực dữ liệu ngoại tuyến có được thực thi hay không, loại nào của quá trình xác thực sẽ được thực hiện và làm thế nào để thành công hay thất bại của quá trình xác thực ảnh hưởng đến luồng giao dịch và dữ liệu được ghi lại trong TVR và TSI.
Điều kiện thực thi: Trong thẻ phải có dữ liệu để hỗ trợ xác thực dữ liệu ngoại tuyến như là tùy chọn. Sự có mặt của nó sẽ được biểu thị trong AIP. Nếu cả thiết bị đầu cuối và thẻ đều hỗ trợ xác thực dữ liệu ngoại tuyến, thiết bị đầu cuối sẽ thực hiện những chức năng này. Dựa trên các khả năng của thẻ và thiết bị đầu cuối, SDA hoặc DDA hoặc CDA sẽ được thực hiện.
Nếu cả hai ý sau đều đúng thì thiết bị đầu cuối sẽ thực hiện CDA như đã được chỉ định:
§ AIP biểu thị thẻ có hỗ trợ CDA
§ Thiết bị đầu cuối hỗ trợ CDA
Nếu tất cả ý sau đều đúng, thì thiết bị đầu cuối sẽ thực hiện DDA như đã được chỉ định:
§ AIP biểu thị thẻ hỗ trợ DDA
§ Thiết bị đầu cuối hỗ trợ DDA
§ Hoặc là thẻ hoặc là thiết bị đầu cuối hoặc cả hai không hỗ trợ CDA
Nếu tất cả ý sau đều đúng, thì thiết bị đầu cuối sẽ thực hiện SDA như đã được chỉ định:
§ AIP biểu thị thẻ hỗ trợ SDA
§ Thiết bị đầu cuối hỗ trợ SDA
§ Hoặc là thẻ hoặc là thiết bị đầu cuối hoặc cả hai không hỗ trợ DDA
§ Hoặc là thẻ hoặc là thiết bị đầu cuối hoặc cả hai không hỗ trợ CDA
Nếu SDA hoặc DDA hoặc CDA không được thực hiện, thì thiết bị đầu cuối sẽ đặt bít “Offline Data Authentication was not performed’” trong TVR lên ‘1’
Luồng thực thi: Thiết bị đầu cuối sẽ thực hiện xác thực dữ liệu ngoại tuyến trong bất kỳ chỗ nào sau khi đọc dữ liệu ứng dụng như phải thực hiện trước khi thiết bị đầu cuối hoạt động phân tích hoàn thành.
2.6.3.4 Xác minh chủ thẻ (Cardholder Verification)
Mục đích: xác minh chủ thẻ được thực hiện để chắc chắn rằng người đó có ở hiện tại không và người đó đúng với ứng dụng trên thẻ đã được phát hành.
Điều kiện thực thi: Khả năng thẻ hỗ trợ ít nhất một phương thức xác minh chủ thẻ được biểu thị trong AIP. Nếu bít này được đặt bằng ’1’, thiết bị đầu cuối sẽ dùng dữ liệu liên quan tới xác minh dữ liệu trong thẻ để quyết định phương thức xác minh chủ thẻ (CVM) do nhà phát hành chỉ định có nên thực thi hay không.
Luồng thực thi: Chức năng này có thể được thực hiện bất cức ở đâu sau khi đọc dữ liệu ứng dụng và trước khi thiết bị đầu cuối hoạt động phân thích hoàn thành.
2.6.3.5 Quản lý rủi ro thiết bị đầu cuối
Mục đích: Quản lý rủi ro thiết bị đầu cuối (Terminal Risk Management) là một phần của quản lý rủi ro được thực hiện bởi thiết bị đầu cuối để bảo vệ Acquirer, nhà phát hành và hệ thống từ các hành động gian lận. Nó cung cấp tích cự các quyền hạn của nhà phát hành cho các giao dịch có giá trị cao và đảm bảo rằng giao dịch được khởi tạo từ thẻ và vẫn ở trạng thái trực tuyến để bảo vệ chống lại mối đe dọa mà có thể được phát hiện trong môi trường ngoại tuyến. Để có được quản lý rủi ro thiết bị đầu cuối là đặt các bit tương thích trong TVR.
Điều kiện thực thi: Quản lý rủi ro thiết bị đầu cuối sẽ được thực hiện nếu bít
“Terminal risk management is to be performed” trong AIP được đặt lên ‘1’. Lựa chọn một giao dịch ngẫu nhiên không được thực hiện bởi thiết bị đầu cuối mà không cần khả năng trực tuyến.
Luồng thực thi: Quản lý rủi ro thiết bị đâu cuối có thể được thực thi bất cứ khi nào nào khi đọc dữ liệu ứng dụng nhưng phải thực thi trước khi dùng lệnh GENERATE AC đầu tiên.
2.6.43.6 Xử lý trực tuyến
Mục đích: Xử lý trực tuyến (Online Processing) được thực thi để chắc chắn rằng nhà phát hành thẻ có thẻ xem lại và cho phép hoặc loại bỏ giao dịch đó, có thể là ngoài giới hạn chấp nhận rủi do được định nghĩa trước bởi nhà phát hành, hệ thống thanh toán hoặc Acquirer (hệ thống phối hợp giao dịch các thết bị đầu cuối).
Điều kiện thưc thi: Xử lý trực tuyến sẽ được thực hiện nếu thẻ trả về một ARQC trong trường dữ liệu phản hồi của lệnh GENERATE AC trong giao dịch
Luồng thực thi: Chức năng xử lý giao dịch được thực thi khi thiết bị đầu cuối nhận được một phản hồi ARQC trong lệnh GENERATE AC đầu tiên của cả quá trình.