EMVde Kart Sahibi Doğrulama (CVM)

EMV ile kart sahibi doğrulaması, chipli kartlara özgü bir durumdur. EMV’nin bir amacı kart  dolandırıcılıklarını minimize etmektir.

Bunu yapmak için üç durumun doğrulanması gerekmektedir:

1. Banka
2. Kart sahibi
3. Terminal

Kart sahibinin kimliğini kanıtlamak için karttan alınan verilerin biri kart sahibi doğrulama yöntemi (CVM) listesidir. Bu sıralı liste, kart sahibini doğrulamak için bir ya da birden fazla yöntemi içermektedir.

Kart Sahibi Doğrulama Yöntemi (CVM) Listesi

CVM listesi,  read data istek talebi cevabında karttan 0x8E tagında gelmektedir:

Alan adı	Alan Açıklaması	Alan uzunluğu	Tip
X	Kart sahibinin doğrulama kurallarında kullanılan uygulamanın para birimindeki tutarı	4 byte	Binary
Y	Kart sahibinin doğrulama kurallarında kullanılan uygulamanın para birimindeki tutarı	4 byte	Binary
CVRule1..CVRuleZ	Her bir 2 byte uzunluğundaki değişken bir kart sahibi doğrulama kuralları.	2 * Z byte	Binary

Listeyi işlemek için aşağıdaki mantık uygulanır:

Kart Sahibi Doğrulama Kuralı işleme

Sürecin en önemli kısmı aslında kart sahibi doğrulama kurallarının işlenmesidir.

Bir kart sahibi doğrulama kuralı, iki byte’tan oluşur. 
byte 1= CVM kodu; byte 2= CVM kodunu byte 1’de uygulayabileceği koşulları ifade etmektedir.

Byte	Bits	Value	Meaning
1(CVM Code)	1-6	0	Fail CVM processing.
1(CVM Code)	1-6	1	Offline plaintext PIN.
1(CVM Code)	1-6	2	Online PIN (always enciphered).
1(CVM Code)	1-6	3	Offline plaintext PIN and paper based Signature.
1(CVM Code)	1-6	4	Offline enciphered PIN.
1(CVM Code)	1-6	5	Offline enciphered PIN and paper based Signature.
1(CVM Code)	1-6	30	Paper based Signature only.
1(CVM Code)	1-6	31	Approve CVM processing.
1(CVM Code)	1-6	*	Reserved.
1(CVM Code)	7	0	Fail cardholder verification if verification is unsuccessful.
1(CVM Code)	7	1	Move to next rule if verification is unsuccessful.
1(CVM Code)	8	3	Reserved for future use.
2 (CVM Condition Code)	*	0x00	Always try to apply this rule.
2 (CVM Condition Code)	*	0x01	Only try to apply this rule where this is an unattended cash transaction.
2 (CVM Condition Code)	*	0x02	If not unattended cash and not manual cash and not purchase with cashback
2 (CVM Condition Code)	*	0x03	Always try to apply this rule where the CVM code is supported.
2 (CVM Condition Code)	*	0x04	If this is a manual cash transaction apply this rule.
2 (CVM Condition Code)	*	0x05	If this is a purchase with cashback apply this rule.
2 (CVM Condition Code)	*	0x06	If transaction is in the application currency and is under X value (see the description of the CVM List for definition of X) then apply this rule.
2 (CVM Condition Code)	*	0x07	If transaction is in the application currency and is over X value (see the description of the CVM List for definition of X) then apply this rule.
2 (CVM Condition Code)	*	0x08	If transaction is in the application currency and is under Y value (see the description of the CVM List for definition of Y) then apply this rule.
2 (CVM Condition Code)	*	0x09	If transaction is in the application currency and is over Y value (see the description of the CVM List for definition of Y) then apply this rule.
2 (CVM Condition Code)	*	*	Reserved.

Bir CVM Kodunun İşlenmesi

Karşılıklı olarak desteklenen bir CVM kodu oluşturulduktan ve CVM kodunun ilgili kuralları altında geçerli olduğunda uygulanır. Aşağıdaki maddelerin bir kombinasyonu uygulanabilir.

• Başarısız.
• Başarılı.
• Online PIN Doğrulama.
• Offline PIN Doğrulama.
• İmza doğrulama.

Offline PIN, girilmiş olan PIN’in chip ile doğrulanması gerektiğinden en karmaşık doğrulama şeklidir.

Online PIN, PIN’in başarılı olarak alındığı anda online olarak gönderilerek doğrulanmasıdır. (Application kriptogramın ilk nesnesinde ARQC ile)

İmza ile doğrulama; online ve offline doğrulamaya göre daha kolaydır. Terminal imza işleme kapasitesine sahipse, işlem başarılı sayılır.

Daha detay bilgiyi aşağıdaki linkte yer alan EMV 4.3 Book 3 dokümanında bulabilirsiniz.

http://www.emvco.com/specifications.aspx?id=223