Tài liệu Một số giải pháp hạn chế rủi ro trong thanh toán thẻ

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ PHẠM HUY NAM MỘT SỐ GIẢI PHÁP HẠN CHẾ RỦI RO TRONG THANH TOÁN THẺ LUẬN VĂN THẠC SĨ Hà nội – 12/2007 MỤC LỤC MỤC LỤC ........................................................................................................................... 1 LỜI CẢM ƠN ..................................................................................................................... 3 CÁC TỪ VIẾT TẮT ........................................................................................................... 4 MỞ ĐẦU ............................................................................................................................. 6 Chương 1: TỔNG QUAN VỀ CÔNG NGHỆ THẺ TỪ .................................................... 7 1.1 THẺ TỪ VÀ GIAO DỊCH VỚI THẺ TỪ .................................................................... 7 1.1.1 Thẻ từ ................................................................................................................... 7 1.1.2 Thẻ thanh toán ...................................................................................................... 9 1.2.3 Mạng thanh toán và gói tin trao đổi..................................................................... 18 1.2 CÁC LOẠI RỦI RO TRONG SỬ DỤNG THẺ THANH TOÁN ............................... 28 1.2.1 Rủi ro trong phát hành ........................................................................................ 28 1.2.2 Rủi ro trong hoạt động thanh toán ....................................................................... 30 1.2.3 Rủi ro kỹ thuật .................................................................................................... 31 1.2.4 Giải pháp khắc phục rủi ro khi dùng thẻ .............................................................. 32 Chương 2: CÔNG NGHỆ THẺ EMV .............................................................................. 33 2.1 TỔNG QUAN VỀ THẺ THÔNG MINH ................................................................... 33 2.1.1 Khái niệm thẻ thông minh ................................................................................... 33 2.1.2 Phân loại thẻ thông minh .................................................................................... 33 2.1.3 Phần cứng của thẻ thông minh ............................................................................ 34 2.1.4 Hệ điều hành của thẻ thông minh ........................................................................ 35 2.1.5 Truyền dữ liệu trong thẻ thông minh ................................................................... 35 2.1.6 Các chuẩn trong thẻ thông minh.......................................................................... 39 2.1.7 Ứng dụng trong thẻ thông minh .......................................................................... 39 2.2 VẤN ĐỀ BẢO MẬT TRONG THẺ THÔNG MINH ................................................ 40 2.2.1 Các phương pháp cơ bản..................................................................................... 41 2.2.2 Những biện pháp bảo vệ ..................................................................................... 46 2.3 TỔNG QUAN VỀ THẺ EMV ................................................................................... 49 2.3.1 Giới thiệu thẻ EMV ............................................................................................ 49 2.3.2 Thành phần dữ liệu của thẻ EMV........................................................................ 50 Chương 3: CHỨNG CHỈ SỬ DỤNG VỚI THẺ EMV .................................................... 58 3.1 GIỚI THIỆU CHỨNG CHỈ DÙNG VỚI THẺ EMV ................................................. 58 3.1.1 Các loại chứng chỉ dùng với thẻ EMV ................................................................ 58 3.1.2 Kỹ thuật ký số và mã hóa dùng với chứng chỉ ..................................................... 58 3.1.3 Chứng chỉ cho các thực thể liên quan .................................................................. 59 3.1.4 Chứng thực sử dụng với thẻ EMV ...................................................................... 62 3.2 CHỨNG CHỈ KHÓA CÔNG KHAI CỦA THẺ EMV ............................................... 64 3.2.1 Tạo lập chứng chỉ khóa công khai của thẻ EMV ................................................. 64 3.2.2 Kiểm tra chứng chỉ của thẻ EMV ........................................................................ 68 3.3 XÁC THỰC DỮ LIỆU ỨNG DỤNG TĨNH .............................................................. 73 3.3.1 Tạo lập dữ liệu ứng dụng tĩnh ............................................................................. 73 3.3.2 Xác thực dữ liệu của ứng dụng tĩnh đã được ký .................................................. 77 Chương 4: XỬ LÝ GIAO DỊCH THẺ EMV ................................................................... 78 1 4.1 TỔNG QUAN VỀ GIAO DỊCH VỚI THẺ EMV ...................................................... 78 4.1.1 Sơ đồ giao dịch với thẻ EMV .............................................................................. 78 4.1.2 Giao dịch thanh toán với thẻ EMV ...................................................................... 80 4.2 XỬ LÝ ỨNG DỤNG ................................................................................................ 82 4.2.1 Khái niệm ........................................................................................................... 83 4.2.2 Xử lý ứng dụng ................................................................................................... 85 4.3 ĐỌC DỮ LIỆU CỦA ỨNG DỤNG .......................................................................... 86 4.3.1 Khái niệm ........................................................................................................... 86 4.3.2 Xử lý dữ liệu AFL .............................................................................................. 87 4.3.3 Quy tắc đồng nhất cho dữ liệu ............................................................................ 88 4.4 XÁC THỰC DỮ LIỆU NGOẠI TUYẾN .................................................................. 90 4.4.1 Khái niệm ........................................................................................................... 90 4.4.2 Lựa chọn kỹ thuật xác thực ngoại tuyến .............................................................. 91 4.4.3 SDA ngoại tuyến ................................................................................................ 93 4.4.4 Xác thực dữ liệu động ngoại tuyến – offline DDA .............................................. 97 4.5 NHỮNG HẠN CHẾ TRONG XỬ LÝ ..................................................................... 107 4.5.2 Kiểm soát sử dụng ứng dụng............................................................................. 108 4.5.3 Kiểm tra ngày hết hạn/ngày hiệu lực của ứng dụng ........................................... 111 4.6 KIỂM TRA CHỦ THẺ ............................................................................................ 111 4.6.1 Những kỹ thuật kiểm tra chủ thẻ trong EMV .................................................... 111 4.6.2 Những đối tượng dữ liệu có liên quan trong kỹ thuật kiểm tra chủ thẻ ............... 113 4.6.3 Xử lý phổ biến được thực hiện bởi thiết bị đọc.................................................. 116 4.6.4 Xử lý PIN ngoại tuyến ...................................................................................... 119 4.6.5 Phong bì số RSA chứa PIN ............................................................................... 124 4.6.6 Xử lý PIN trực tiếp ........................................................................................... 128 4.7 QUẢN LÝ RỦI RO TRONG THIẾT BI ĐẦU CUỐI .............................................. 129 4.7.1 Hạn mức sàn của thiết bị đọc ............................................................................ 130 4.7.2 Lựa chọn giao dịch ngẫu nhiên ......................................................................... 131 4.7.3 Kiểm tra nhanh (Velocity checking) ................................................................. 134 4.8 PHÂN TÍCH HOẠT ĐỘNG CỦA THIẾT BỊ ĐẦU CUỐI ...................................... 136 4.8.1 Mã hoạt động và chính sách bảo mật ................................................................ 136 4.8.2 Đề xuất của thiết bị đọc và quyết định của thẻ .................................................. 139 4.8.3 Từ chối giao dịch ngoại tuyến ........................................................................... 141 4.8.4 Truyền giao dịch trực tuyến .............................................................................. 142 4.8.5 Hoạt động mặc định trong một giao dịch .......................................................... 144 4.8.6 Tính toán mã hóa ứng dụng với lệnh GENERATE AC ..................................... 145 4.9 XÁC THỰC CỦA NHPH VÀ XỬ LÝ TRỰC TUYẾN ........................................... 155 4.9.1 Yêu cầu và phản hồi xác thực với dữ liệu của chip ............................................ 156 4.9.2 Xác thực của NHPH ......................................................................................... 159 4.10 NHỮNG KỊCH BẢN (SCRIPTS) CỦA NHPH ..................................................... 160 4.10.1 Việc xử lý những mẫu kịch bản của NHPH ..................................................... 160 4.10.2 Những lệnh sau phát hành ............................................................................... 162 KẾT LUẬN ..................................................................................................................... 163 TÀI LIỆU THAM KHẢO .............................................................................................. 165 2 CÁC TỪ VIẾT TẮT Từ viết tắt ATR Acquirer ADF AEF AES AFL AID AIP Amex APDU ATM CA C-APDU CCD CLA DES DF DOL E EDC EEPROM EF EMV I ICC IIN INS ISO ISSUER MAC Tiếng Anh Answer To Reset NHTT Application Definition Files Application Elementary Files Advanced Encryption Standard Application File Locator Application Identifier Application Interchange Profile American Express Application Protocol Data Units Automatic Teller Machine Certification Authorities Command - Application Protocol Data Units Crypto check digits Class Data Encryption Standard Dedicated File Data Object List Entity Electrolic Data Capture Electrically Erasable Programmable Read Only Memory Elementary File Europay Mastercard Visacard Issuer Intergrated Circuit Card Identification Number Instruction International Standards Organization NHPH Message Authentication Codes Tiếng Việt Trả lời để khẳng định lại Ngân hàng thanh toán Những file định nghĩa ứng dụng Những file cơ bản của ứng dụng Chuẩn mã hoá tiên tiến Ranh giới file ứng dụng Định danh của ứng dụng Hồ sơ trao đổi ứng dụng Thẻ Amex Đơn vị dữ liệu giao thức ứng dụng Máy rút tiền tự động Chứng thực APDU lệnh Mã hóa kiểm tra số ―Lớp‖ chỉ thị Chuẩn mã hoá dữ liệu Thư mục chuyên dụng Danh sách đối tượng dữ liệu Thực thể Máy thanh toán thẻ tự động Bộ nhớ có thể ghi bằng tín hiệu điện file cơ bản Công nghệ thẻ ƯMV Ngân hàng phát hành Thẻ mạch tích hợp Số định danh ―Mã‖ chỉ thị Hiệp hội tiêu chuẩn quốc tế Ngân hàng phát hành Mã xác thực thông điệp 4 Merchant MF MMU PDOL PE PIN POS RA RAM R-APDU RE RID ROM SA SE SM SP TPDU TSI TVR ĐVCNT Master file Memory Management Unit Processing Options Data Object List PIN encipherment Personal Identification Number Point Of Service Receiver Application Random Access Memory Response - Application Protocol Data Units Receiver Entity Registered Application Provider Identifier Read Only Memory Send Application Send Entity Secure Message Secure Packet Transportation Protocol Data Units Transaction Status Information Terminal Verification Results Đơn vị chấp nhận thẻ Thư mục gốc Đơn vị quản lý bộ nhớ Danh sách đối tượng dữ liệu tùy chọn xử lý Mã hóa PIN Số bảo mật cá nhân Điểm bán hàng Ứng dụng nhận Bộ nhớ truy cập ngẫu nhiên APDU phản hồi Thực thể nhận Định danh của nhà cung cấp ứng dụng đã đăng ký. Bộ nhớ chỉ cho phép đọc Ứng dụng gửi Thực thể gửi Thông điệp bảo mật Gói tin bảo mật Đơn vị dữ liệu giao thức truyền thông Thanh ghi trạng thái giao dịch Thanh ghi lưu kết quả kiểm tra của thiết bị đọc. 5 MỞ ĐẦU Thẻ ngân hàng là một trong những phương tiện thanh toán không dùng tiền mặt, ra đời từ phương thức mua bán chịu hàng hoá bán lẻ và phát triển gắn liền với sự ứng dụng công nghệ thông tin trong lĩnh vực ngân hàng. Trong khi thẻ ngân hàng đã được sử dụng phổ biến trên thế giới thì tại thị trường Việt Nam nó mới thu hút được sự quan tâm, đầu tư của các ngân hàng thương mại trong nước vài năm trở lại đây. Cùng với nhịp phát triển sôi động trên thị trường, hàng ngày qua các phương tiện thông tin, người dân được tiếp cận với nhiều thông tin về thẻ, đặc biệt là những thông tin liên quan đến rủi ro phát sinh trong quá trình sử dụng thẻ. Theo thống kê của tổ chức thẻ quốc tế Visa, năm 2004, giá trị giả mạo thẻ Visa của các ngân hàng thương mại Việt Nam trong lĩnh vực phát hành lên tới hơn 100.000 USD, tăng 34 % so với năm 2003, trong lĩnh vực thanh toán thẻ là 381.000 USD. Tỷ lệ giả mạo trong phát hành và thanh toán thẻ của các ngân hàng thương mại Việt Nam thường xuyên cao hơn tỷ lệ trung bình của thế giới. Theo khuyến cáo của các tổ chức thẻ quốc tế, sau khi chính phủ các nước trong khu vực như Thái Lan, Malayxia, Singapore... áp dụng các biện pháp quản lý chặt chẽ đối với hoạt động kinh doanh thẻ thì các tổ chức tội phạm thẻ bắt đầu chuyển hướng sang các thị trường mới trong khu vực trong đó có Việt Nam. Ở Việt nam hiện nay hầu hết NHPH thẻ đều sử dụng công nghệ thẻ từ, lưu trữ dữ liệu trên dải băng từ trên thẻ. Công nghệ này đã lạc hậu trên thế giới bởi nhược điểm là dễ bị ăn cắp thông tin, dễ bị làm giả, dễ bị nhiễu hoặc mất thông tin khi tiếp xúc với môi trường từ tính... Công nghệ thẻ từ đã được cải tiến mạnh trong nhiều năm qua để tăng cường khả năng chống lại các hoạt động tội phạm thẻ. Mặc dù vậy, công nghệ này đã phát triển đến đỉnh điểm rất khó có một phương pháp mới chống gian lận hữu hiệu có thể được áp dụng cho chúng nữa. Đứng trước tình hình đó, các tổ chức phát hành thẻ trên thế giới đã buộc phải tìm kiếm giải pháp mới, đó là sử dụng loại thẻ EMV (hay còn gọi là thẻ thông minh) thay cho loại thẻ từ thông dụng. Thẻ EMV có khả năng lưu trữ và xử lý dữ liệu nhiều hơn, an toàn hơn và rất khó làm giả. Tính năng an toàn của thẻ EMV sẽ giảm rủi ro giả mạo cho đơn vị chấp nhận thẻ, cũng như cho NHPH. 6 Chương 1: TỔNG QUAN VỀ CÔNG NGHỆ THẺ TỪ Tại Việt nam hiện nay có khoảng 30 ngân hàng đang phát hành và thanh toán thẻ ghi nợ nội địa, một số ngân hàng phát hành thẻ thanh toán ghi nợ quốc tế cũng như thẻ thanh toán tín dụng quốc tế. Hầu hết các ngân hàng này đều đang sử dụng công nghệ thẻ từ để phát hành thẻ, công nghệ đã lạc hậu và có nhiều hạn chế như tính bảo mật kém, khả năng lưu trữ dữ liệu thấp, không có khả năng xử lý dữ liệu linh hoạt và đã có rất nhiều rủi ro từ công nghệ này. Vậy thẻ từ là gì và những rủi ro nào hay gặp với thẻ từ? 1.1 THẺ TỪ VÀ GIAO DỊCH VỚI THẺ TỪ 1.1.1 Thẻ từ 1.1.1.1 Khái niệm thẻ từ Thẻ từ là một thẻ nhựa có gắn một dải băng từ ở mặt sau của thẻ. Dải băng từ này có từ tính và các thiết bị đọc ghi thẻ có thể thay đổi nội dung dữ liệu trên thẻ. Dải băng từ này dùng để lưu trữ thông tin của chủ thẻ. Thẻ từ hiện nay chiếm phần lớn trong tổng số lượng thẻ đang sử dụng trên thị trường hiện nay. 1.1.1.2 Cấu trúc của thẻ từ Dải băng từ [15] ở mặt sau của thẻ có kích thước là 8.5 x 1.2 cm. Dữ liệu được mã hóa và ghi lại trên rãnh (track) của băng từ ở mặt sau của thẻ. Dữ liệu này được tuân thủ theo chuẩn ISO 7811-2. Dải băng từ có ba rãnh (track) chứa thông tin. Mỗi rãnh có độ rộng 1/10 inch. 1) Rãnh 1 (track 1) Được phát triển bởi Hiệp hội hàng không quốc tế (IATA). Rãnh 1 có mật độ dữ liệu 210 bit/inch và có thể lưu trữ tối đa 79 ký tự. Rãnh 1 bao gồm những thông tin như là số thẻ, tên chủ thẻ, ngày hiệu lực, và những thông tin bổ sung. SS FC PAN FS Name FS 7 Additional Data ES LRC Ký hiệu SS FC PAN FS Name ES LRC Tiếng Anh Diễn giải Byte Start Sentinel Format Code Primary Account Field Separator Card Holder Name Additional Data End Sentinel Longitudinal Redunancy Check Ký tự bắt đầu Mã định dạng Số thẻ Ký tự ngăn cách Tên chủ thẻ Dữ liệu bổ sung Ký tự kết thúc Kiểm tra độ dư thừa theo chiều dọc 01 01 19 01 26 29 01 01 2) Rãnh 2 (Track 2) Được Hiệp hội ngân hàng của Mỹ phát triển. Rãnh 2 có mật độ 75 bpi, có thể lưu trữ tối đa 40 ký tự. SS PAN FS Additional Data ES LRC 3) Rãnh 3 (Track 3) Được Tổ chức tiết kiệm (Thift Industry) phát triển. Rãnh 3 có mật độ 210 bpi có thể lưu trữ tối đa 107 ký tự. SS FC Data FS Data ES LRC 1.1.1.2 Các chuẩn dữ liệu ghi trên rãnh từ Hai chuẩn dữ liệu được sử dụng để lưu trữ dữ liệu trên băng từ như sau: a) Chuẩn ANSI/ISO ALPHA (Dùng cho rãnh 1) Các bit dữ liệu b1 b2 b3 b4 b5 b6 b7 0 0 0 0 0 0 1 1 0 1 0 0 0 1 0 0 0 0 1 0 0 1 0 0 0 1 0 1 0 1 0 0 1 0 1 1 1 0 0 1 0 1 0 0 1 0 1 0 1 1 0 1 0 1 0 0 0 1 1 0 1 0 0 1 1 1 0 1 0 1 0 0 0 1 1 0 1 1 0 0 1 1 0 0 . . . . . . . 8 Ký tự Giá trị (Hex) Ký tự trống (space) % 0 1 2 3 4 5 6 7 8 9 . 00 05 10 11 12 13 14 15 16 17 18 19 . b) Chuẩn ANSI/ISO BCD (Dùng cho rãnh 2, 3) Các bit dữ liệu b1 b2 b3 b4 b5 0 0 0 0 1 1 0 0 0 0 0 1 0 0 0 1 1 0 0 1 0 0 1 0 0 1 0 1 0 1 0 1 1 0 1 1 1 1 0 0 0 0 0 1 0 1 0 0 1 1 0 1 0 1 1 1 1 0 1 0 0 0 1 1 1 1 0 1 1 0 0 1 1 1 0 1 1 1 1 1 Ký tự Giá trị (Hex) 0 1 2 3 4 5 6 7 8 9 : ; < = > ? 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F 1.1.2 Thẻ thanh toán 1.1.2.1 Khái niệm thẻ thanh toán Thẻ thanh toán là phương tiện không dùng tiền mặt, ra đời từ phương thức mua bán chịu hàng hóa bản lẻ và phát triển gắn liền với sự ứng dụng của công nghệ thông tin trong lĩnh vực ngân hàng. Thẻ thanh toán do các ngân hàng phát hành là công cụ thanh toán hàng hóa dịch vụ hoặc rút tiền mặt trong phạm vi số dư tiền gửi của mình hoặc hạn mức tín dụng được cấp. 1.1.2.2 Thẻ tín dụng và thẻ ghi nợ - Thẻ ghi nợ (debit card) là thẻ cho phép chủ thẻ sử dụng trên cơ sở số dư tài khoản tiền gửi của chủ thẻ tại ngân hàng. - Thẻ tín dụng (credit card) là thẻ cho phép chủ thẻ sử dụng thẻ trong hạn mức tín dụng tuần hoàn được cấp và chủ thẻ phải thanh toán toàn bộ hoặc một phần tối thiểu các khoản dư nợ phát sinh theo qui định. 9 1.1.2.3 Dữ liệu của thẻ thanh toán Tùy theo thiết kế của các tổ chức phát hành thẻ mà dữ liệu của thẻ được thể hiện trên thẻ một các khác nhau. Thông thường dữ liệu trên thẻ bao gồm: Dữ liệu trên bề mặt thẻ và dữ liệu được ghi trên băng từ của thẻ. - Dữ liệu trên bề mặt của thẻ có thể quan sát bằng mắt thường có thể là số thẻ, ngày hiệu lực của thẻ, tên chủ thẻ…Dữ liệu này có thể được dập nổi hoặc in chìm trên bề mặt của thẻ. - Dữ liệu ghi trên băng từ của thẻ được tuân thủ theo chuẩn ISO 7811-2. Ví dụ: Cấu trúc dữ liệu của thẻ Amex -Rãnh 1: %B370000000000000^CARDMEMBER NAME ^1212101080112345? Vị trí 1 2 3 – 17 18 19 – 44 45 46 – 49 50 – 52 53 – 56 57 – 61 62 Trường 1 2 3 4 5 6 7 8 9 10 11 Tên trường Ký tự bắt đầu Mã định dạng Số thẻ Ký tự ngăn cách Tên chủ thẻ Ký tự ngăn cách Thời hạn hiệu lực của thẻ Mã dịch vụ Ngày bắt đầu có hiệu lực Mã bảo mật của thẻ Ký tự kết thúc Giá trị % B 370000000000000 ^ CARDMEMBER NAME ^ 1212 (YYMM) 101 0801 (YYMM) 12345 ? + Trường mã dịch vụ (Service Code) chỉ ra thẻ được sử dụng như thế nào (101: dùng cho các giao dịch quốc tế, 102: mua bán hàng hóa dịch vụ quốc tế nhưng không dùng được ở máy ATM, 103: chỉ sử dụng cho máy ATM quốc tế và có yêu cầu số PIN…) + Trường Mã bảo mật của thẻ: là giá trị có thể được NHPH sử dụng để xác thực tính hợp lệ của thẻ. Mã bảo mật này được tạo ra bởi thuật toán DES - Rãnh 2: ; B370000000000000=1212101080112345? Cấu trúc của rãnh 2 cũng giống như của rãnh 1 nhưng không có tên của chủ thẻ. 10 1.1.2.4 Các thành phần giao dịch với thẻ thanh toán Các chủ thể tham gia trong quá trình xử lý giao dịch thanh toán bằng thẻ như: đơn vị phát hành thẻ, chủ thẻ, đơn vị chấp nhận thẻ, đơn vị thanh toán thẻ, hiệp hội thẻ, và ngân hàng thực hiện. - Đơn vị phát hành thẻ là một tổ chức tài chính hợp pháp, hoặc đại lý của tổ chức tài chính đó phát hành thẻ thanh toán cho chủ thẻ và chịu trách nhiệm cung cấp phản hồi theo yêu cầu hợp pháp. Tổ chức tài chính đó có thể là một ngân hàng, vì thế có thể được xem NHPH thẻ, là thành viên của hiệp hội thẻ và thông qua sản phẩm thẻ thanh toán do hiệp hội đưa ra. Đơn vị phát hành thẻ giữ tài khoản của chủ thẻ để họ thực hiện thanh toán hóa đơn hoặc ghi nợ trực tiếp vào tài khoản của chủ thẻ. Đơn vị phát hành thẻ đảm bảo việc thanh toán cho những giao dịch hợp lệ, xử lý thanh toán thẻ theo quy định của sản phẩm thẻ thanh toán và luật pháp của địa phương. Đơn vị phát hành hỗ trợ thanh toán và thực hiện chức năng thanh toán giữa chủ thẻ và NHTT. Máy chủ của đơn vị phát hành là hệ thống máy tính dùng để truy cập cơ sở dữ liệu tài khoản của chủ thẻ và đại diện cho đơn vị phát hành trong xác thực, chuyển khoản và thanh toán. Hiệp hội thẻ/Trung tâm điều hành hệ thống thanh toán Ngân hàng phát hành NHTT NH chấp nhận TT Đơn vị chấp nhận thẻ Chủ thẻ Hình 1-1: Thành phần giao dịch với thẻ thanh toán 11 - Chủ thẻ là khách hàng của đơn vị phát hành thẻ mà có sử dụng thẻ thanh toán trong giao dịch thanh toán thẻ của khách hàng. - Đơn vị chấp nhận thẻ là các tổ chức hay cá nhân cung ứng hàng hóa, dịch vụ chấp nhận thẻ làm công cụ thanh toán. - Đơn vị thanh toán thẻ là một tổ chức tài chính hợp pháp (có thể là một ngân hàng – NHTT) hoặc là một đại lý của tổ chức tài chính đó thực hiện thanh toán theo tin thanh toán liên quan đến một giao dịch từ một đơn vị chấp nhận thẻ và sau đó chuyển dữ liệu vào trong hệ thống trao đổi. NHTT là thành viên của hiệp hội thẻ và chấp nhận sản phẩm thẻ thanh toán do hiệp hội thẻ đưa ra. NHTT với tư cách trung gian giữa đơn vị chấp nhận thẻ và hiệp hội thẻ, cung cấp cho các đơn vị chấp nhận thẻ cơ sở hạ tầng cần thiết và hỗ trợ xử lý xác thực, chuyển khoản, thanh toán thông qua hệ thống trao đổi. - Hiệp hội thẻ là tổ chức sở hữu sản phẩm thẻ thanh toán. Thành viên của hiệp hội thẻ là những NHPH và thanh toán, cung cấp các dịch vụ tài chính bán lẻ trực tiếp cho chủ thẻ và đơn vị chấp nhận thẻ. Hiệp hội thẻ chịu trách nhiệm thực hiện hệ thống trao đổi dữ liệu, dữ liệu giao dịch trao đổi giữa NHTT và NHPH trong việc xác thực, chuyển khoản và thanh toán. Hệ thống trao đổi được thực hiện như là một mạng thanh toán với các nút xử lý được kết nối tới máy chủ của NHPH và máy chủ của NHTT. - Tổ chức thanh toán là một tổ chức tài chính nắm giữ tài khoản của NHTT và NHPH, tổ chức này có thể là thành viên của hiệp hội thẻ. Tổ chức thanh toán có thể là một ngân hàng được ký hợp đồng phụ với hiệp hội thẻ. NHTT này hoạt động bằng cách chuyển các khoản tiền thích hợp giữa các tài khoản của đơn vị phát hành, đơn vị thanh toán và hiệp hội thẻ dựa trên các thông tin giao dịch do họ cung cấp. 12 1.2.2.5 Các giao dịch với thẻ thanh toán a) Xử lý giao dịch với thẻ thanh toán Khi đưa thẻ qua thiết bị đọc băng từ của máy ATM, dữ liệu tài chính được đọc bởi thiết bị và lưu chúng trong bộ nhớ truy cập ngẫu nhiên (RAM). Chủ thẻ nhập số PIN của mình vào, việc này thiết lập một liên kết giữa người sử dụng tại điểm dịch vụ và chủ thẻ hợp pháp. Chủ thẻ cũng nhập dữ kiện số lượng tiền cần rút. Sau khi nắm bắt thông tin này từ chủ thẻ, thiết bị đọc tạo gói tin giao dịch. Gói tin này bao gồm số tiền cần rút kết hợp với những thông tin khác về điều kiện giao dịch tại điểm dịch vụ đó (Số thiết bị đọc ID, ngày/giờ). Gói tin này cũng bao gồm cả số PIN đã được mã hóa của chủ thẻ, việc mã hóa số PIN này được thực hiện bởi thuật toán mã hóa số PIN. Ở điểm này việc xử lý được thực hiện bởi thiết bị đọc ATM, và gói tin này được đưa vào hệ thống mạng. Mạng thanh toán Thiết bị đọc TT điều hành thanh toán NHTT Gói tin thanh toán NHPH Tạo một yêu cầu xác thực từ gói tin thanh toán Yêu cầu xác thực Yêu cầu xác thực trực tiếp đến NHPH thích hợp Yêu cầu xác thực Kiểm tra xem chủ thẻ có đủ tiền trong tài khoản hay không Kiểm tra PIN của chủ thẻ Chấp nhận hay từ chối giao dịch Tạo phản hồi xác thực Tạo phản hồi xác thực Hình 1-4: Mạng và xử lý đằng sau của giao dịch thanh toán thẻ 13 Máy ATM chuyển gói tin thanh toán tới NHTT, ngân hàng này giúp xuất trình gói tin nhận được từ một hệ thống xử lý giao dịch phức tạp. Có nhiều thành phần tham gia hoàn thiện quá trình xử lý này. Gói tin thanh toán được trao đổi trong thời gian thực hoặc biên dịch trong lô file theo giao thức thiết lập một cách rõ ràng. Mỗi một gói tin thanh toán truyền một vài thành phần dữ liệu và phụ thuộc vào phạm vi xử lý. Trong khi dữ liệu được gửi từ một thành phần này đến một thành phần khác, mỗi thành phần thực hiện một tập định trước các biến đổi thành phần dữ liệu chứa trong gói tin theo quy tắc hoạt động trong hệ thống thanh toán. Các bước sau mô tả quá trình xử lý. NHTT tạo yêu cầu xác thực. Từ thiết bị đọc, NHTT thêm vào gói tin thanh toán nhận được từ thiết bị đọc một vài thành phần dữ liệu được lưu trong cơ sở dữ liệu của thiết bị đọc. Thành phần dữ liệu bao gồm vùng liên quan đến thiết bị đọc, loại thiết bị, đặc điểm, và thông tin định danh nút của NHTT đã tạo ra gói tin yêu cầu xác thực. NHTT PIN đã mã hóa nhận được ban đầu từ thiết bị đọc vào mã hóa thứ hai mà có thể giải mã được bởi một modun bảo mật của trung tâm điều hành hệ thống thanh toán. NHTT đính kèm mã hóa giao dịch để yêu cầu xác thực gói tin. NHTT truyền gói tin xác thực đến trung tâm điều hành hệ thống thanh toán trong mạng thanh toán để máy chủ của NHTT đã kết nối. Nếu việc rút tiền từ máy ATM ở nước ngoài, thì sau khi xác thực gói tin, trung tâm điều hành hệ thống thanh toán đưa vào thêm tỷ giá chuyển đổi ngoại tệ của số tiền đã rút. Sau đó, gói tin xác thực được truyền trực tiếp đến nút đích trong mạng của trung tâm điều hành hệ thống thanh toán, nó được kết nối tới máy chủ của NHPH. Sau khi khấu trừ số tiền giao dịch, nếu số dư tài khoản của chủ thẻ vẫn cao hơn một hạn mức trần, thì NHPH sẽ chấp nhận cho phép thực hiện giao dịch rút tiền. Qua phản hồi xác thực, máy chủ của NHPH cho NHTT biết là có chấp nhận hay từ chối giao dịch hay không. NHTT chỉ thị cho máy ATM biết là có chấp nhận thanh toán thẻ hay không. 14 b) Xử lý giao dịch tại điểm chấp nhận thẻ Đầu tiên là bước nắm bắt dữ liệu dập nổi trên thẻ thanh toán, và nắm bắt dữ liệu được lưu trữ trên băng từ bằng một thiết bị đọc điện tử. "Nắm bắt" ở đây có nghĩa là cả hai phải đọc dữ liệu tài chính của thẻ thanh toán và định dạng gói tin sẽ được chuyển tới NHTT. Những bước kiểm tra sau sẽ được thực hiện tùy thuộc vào loại dữ liệu thu được tại điểm chấp nhận thanh toán thẻ: - Nhân viên tại điềm chấp nhận thẻ kiểm tra nhãn hiệu của thẻ và loại sản phẩm thẻ được chấp nhận. Nhân viên tại điểm chấp nhận thẻ quan sát và kiểm tra tính xác thực của thẻ căn cứ vào hologram đính trên thẻ và kiểm tra thời hạn của thẻ căn cứ vào thời gian ghi trên thẻ. - Tại điểm chấp nhận thẻ có lắp đặt thiết bị đọc thẻ, việc kiểm tra số thẻ trên rãnh từ sẽ được thực hiện. Nếu những kiểm tra này không thành công, thì tính xác thực của thẻ không được chấp nhận hoặc sự đồng nhất của dữ liệu lưu trên băng từ không hợp lệ khi đó giao dịch thanh toán bị từ chối. Mặt khác, gói tin thanh toán sẽ được định dạng. Gói tin này bao gồm dữ liệu đọc được từ thẻ và các chi tiết mô tả quá trình giao dịch tại điểm chấp nhận thanh toán thẻ. Các yếu tố dữ liệu nổi bật bao gồm: 1) Yếu tố dữ liệu về môi trường giao dịch: Nhóm này bao gồm tên và vị trí của điểm chấp nhận thanh toán thẻ, loại ĐVCNT, số ĐVCNT, số của thiết bị đọc, thời gian giao dịch. 2) Yếu tố dữ liệu giao dịch: Nhóm này bao gồm số lượng giao dịch, số tiền giao dịch và mã tiền tệ. Nó cũng thể hiện loại thực hiện giao dịch trong trường hợp có nhiều loại giao dịch. Có một số ví dụ về các loại giao dịch như mua hàng, thanh toán hàng hóa và rút tiền, rút tiền từ thẻ tín dụng. Yếu tố dữ liệu loại giao dịch được tham khảo trong mã xử lý. 3) Yếu tố dữ liệu xác thực gói tin: Đây là một loại số thứ tự cho phép việc định danh duy nhất một gói tin thanh toán trong hệ thống. Yếu tố dữ liệu này được tham khảo trong hệ thống theo số kiểm toán. 15 Thiết bị đọc tại điểm chấp nhận thẻ có thể quyết định kết thúc giao dịch hoặc giao dịch cần phải có xác thực trực tuyến với NHPH. Xử lý tương ứng được gọi là quản lý rủi ro tại điểm chấp nhận thẻ. Quyết định kết thúc giao dịch ngoại tuyến hay trực tuyến sẽ có tác động đối với xử lý tiếp theo gói tin thanh toán của NHTT và điều này cũng sẽ tác động tới quy trình thanh toán hoặc quy trình xác thực. Quy trình quản lý rủi ro tại điểm chấp thẻ sẽ tính đến loại thẻ thanh toán, môi trường giao dịch tại điểm chấp thẻ, và số tiền giao dịch so với hạn mức tín dụng đã có. Khi điểm chấp nhận thẻ được cung cấp thiết bị đọc điện tử có kết nối với hệ thống mạng của NHTT thì yếu tố dữ liệu mã dịch vụ được ghi trên băng từ sẽ cho biết NHPH xác thực trực tuyến là có tính bắt buộc thì gói tin thanh toán sẽ được chuyển tới NHPH để xác thực. Trong trường hợp NHPH xác thực thẻ thì việc xác thực này sẽ đánh giá độ chính xác của biến xác thực tĩnh được ghi trên băng từ. Nếu rãnh 3 được sử dụng, thì lúc đó người ta sẽ thực hiện sự kiểm soát bổ sung chống lại thẻ giả mạo, để xem xét sự đồng nhất của số bảo mật của thẻ lưu trên rãnh và số ngẫu nhiên tương ứng lưu trong cơ sở dữ liệu tài khoản của chủ thẻ được kết nối với thẻ. Nếu thẻ có yêu cầu kiểm tra số PIN, thì phải nhập số PIN. Thiết bị đọc gửi số PIN được mã hóa tới NHPH để kiểm tra. Khi nhận được kết quả của việc xác thực, thiết bị đọc tại điểm chấp nhận thẻ sẽ được NHPH thông báo về việc chấp nhận hay từ chối giao dịch. Dựa vào kết quả xác thực của NHPH, thì nhân viên của điểm chấp nhận thẻ sẽ yêu cầu chủ thẻ ký tên trên hoá đơn bán hàng để so sánh với chữ ký in trên măt sau của thẻ. Bước này kết thúc quá trình giao dịch trực tuyến tại điểm chấp nhận thẻ. Nếu thẻ không yêu cầu NHPH xác thực trực tuyến, thì xác thực giao dịch có thể thực hiện ngay tại điểm chấp nhận thẻ. Trường hợp này xảy khi đơn vị chấp nhận thẻ không được trang bị thiết bị đọc điện tử, hoặc có nhưng không kết nối trực tiếp với hệ thống mạng của NHTT. Xác thực tại chỗ phần lớn dựa vào sự so sánh số tiền giao dịch với hạn mức sàn được NHTT qui định. Nếu số tiền giao dịch thấp hơn hạn mức sàn thì giao dịch bị từ chối vì chi phí của qúa trình thanh toán giao dịch điện tử sẽ cao hơn so với số tiền giao dịch. Nếu như số tiền giao dịch cao hơn mức trên của hạn mức sàn, thì giao dịch bị từ chối vì các rủi ro ở điểm chấp nhận thẻ sẽ không được các NHTT chấp nhận. 16 Việc xác nhận số PIN có thể được thực hiện tại chỗ như phương pháp xác nhận chủ thẻ tại điểm chấp nhận dịch vụ khi thỏa mãn hai điều kiện sau: - Điều kiện thứ nhất: số PIN được ghi trên băng từ của thẻ. - Điều kiện thứ hai: thiết bị đọc có một bàn phím nhập PIN bảo mật, và khóa mã đối xứng cho tính toán giá trị điều khiển của số PIN giả thiết, sử dụng thuật toán tạo/kiểm tra MAC. Cũng tương tự như thế, việc xác thực tĩnh và CCD (nếu có rãnh 3) có thể được kiểm tra tại chỗ để đánh giá việc xác thực thẻ nếu thiết bị đọc tại điểm chấp nhận dịch vụ có thiết bị mã hóa cần thiết để thực hiện việc kiểm tra thuật toán MAC. Nếu như thẻ mã hóa số tiền còn lại trong trường chu kỳ thực hiện giao dịch trên rãnh 3, thì quản lý rủi ro tại điểm chấp nhận dịch vụ được cải thiện với một thành phần quản lý rủi ro thẻ sơ đẳng dự kiến sẽ bảo vệ của NHPH chống lại việc chủ thẻ tiêu vượt hạn mức. Giao dịch được xác thực ngoại tuyến nếu như số tiền giao dịch nhỏ hơn hạn mức sàn và số tiền còn lại trong tham số chu kỳ này, tham số này chỉ ra hạn mức chi tiêu được áp đặt bởi NHTT. Gói tin thanh toán mô tả giao dịch xác thực ngoại tuyến được tập hợp trong bộ nhớ cố định của thiết bị đọc tại điểm chấp nhận thẻ. Gói tin thanh toán được biên soạn trong một nhóm file dữ liệu theo định kỳ, hoặc khi dung lượng của bộ nhớ cố định bị hết, sau đó gói tinh thanh toán sẽ được chuyển đến NHTT. Định kỳ, NHTT truyền nhóm file này vào hệ thống trao đổi để thực hiện việc thanh toán thẻ. 17 1.2.3 Mạng thanh toán và gói tin trao đổi Thiết bị đọc lắp đặt tại các điểm chấp nhận dịch vụ kết nối tới máy chủ của NHTT qua hệ thống mạng của NHTT. Định dạng i) Gói tin thanh toán do thiết bị đọc tạo ra tại điểm chấp nhận dịch vụ và được chuyển tới máy chủ của NHTT và ii) Gói tin xác nhận từ máy chủ của NHTT chuyển tới thiết bị đọc trong hệ thống mạng của NHTT. Tình huống đơn giản nhất, NHTT quản lý thiết bị đọc tại điểm chấp nhận dịch vụ và NHPH thẻ tham gia giao dịch thanh toán là nhà thuê bao sử dụng dịch vụ cùng một hệ thống mạng thanh toán. Mạng này thuộc quyền sở hữu của một hiệp hội thẻ hoặc một trung tâm điều hành hệ thống thanh toán có nhiệm vụ quản lý mạng và giải quyết các quỹ giữa NHPH và NHTT theo một giao dịch thanh toán. Mỗi một máy chủ của NHTT (AH – Acquirer host) và máy chủ của NHPH (IH – Issuer hót) được kết nối các nút riêng rẽ của mạng thanh toán, được xem là nút của NHTT (AN – Acquirer Node) và nút NHPH (IN – Issuer node). Để gia tăng tính sẵn sàng các dịch vụ của NHPH, NHPH có thể nhân đôi các chức năng của một IH thông qua hoạt động của một chiếc máy tính thứ hai như là một chiếc hoạt động dự phòng. Trung tâm điều hành hệ thống thanh toán có thể cung cấp qui trình dự phòng thuận lợi cho NHPH, qua đó trung tâm điều hành hệ thống thanh toán có thể trả lời yêu cầu xác thực với tư cách đại diện cho NHPH trong trường hợp không có máy chủ nào của NHPH sẵn sàng xử lý việc xác thực. Tình huống phức tạp hơn, NHTT quản lý thiết bị đọc tại điểm chấp nhận thẻ và NHPH của thẻ tham gia giao dịch thanh toán là các thuê bao cung cấp dịch vụ do những hệ thống mạng thanh toán khác nhau, hệ thống mạng được thiết lập hỗ trợ những thỏa thuận cho cả hai bên. Để đảm bảo sự tương thích giữa hai mạng khác nhau, hai nút cổng giao tiếp, GN1 (Gateway node 1) và GN2 (Gateway node 2), bắt buộc cung cấp gói tin giải thích giữa hai môi trường không đồng nhất. Những quy định khác nhau liên quan đến định nghĩa của những gói tin giao dịch và lưu lượng của chúng có thể chi phối hai mạng thanh toán quan hệ nối liền với nhau. 18 Một cấu trúc có thể của một mạng thanh toán được trình bày như trong Hình 2.4 Thẻ Máy chủ của Acquirer (AH) Thiết bị đọc thẻ Nút của Acquirer Hệ thống mạng thanh toán Nút của Issuer (IH) Nút cổng (GN1) Máy chủ của Issuer (IH) Nút cổng (GN2) Hợp tác hệ thống mạng thanh toán Hình 1-3: Hệ thống mạng thanh toán Trong cấu trúc này một trung tâm điều hành hệ thống mạng thanh toán quốc gia giao dịch với một loại tiền tệ có thể quản lý hệ thống mạng thanh toán, trong khi một hiệp hội thẻ quốc tế giao dịch với nhiều loại tiền tệ có thể quản lý cùng lúc nhiều hệ thống mạng thanh toán. 19 1.2.3.1 Cấu trúc gói tin NHTT và NHPH cần phải trao đổi gói tin với mục đích hoàn thiện việc xác thực, thanh toán, qui trình thanh toán. Cả NHTT và NHPH có thể thực hiện vai trò của người gửi hoặc của người nhận gói tin. Để tăng cường mối quan hệ giữa hệ thống mạng thanh toán, chuẩn ISO/IEC 8583:1993 [14] đưa ra định dạng của những gói tin theo cấu trúc sau: - Định danh loại gói tin; - Sự miêu tả ảnh bitmap, bao gồm một hoặc hai ảnh bitmap 64 bits cho mỗi ảnh, đưa ra chỉ số của thành phần dữ liệu mà có quan hệ trong gói tin; - Một dãy những thành phần dữ liệu, theo trật tự chỉ rõ miêu tả ảnh bitmap, thể hiện nội dung của gói tin. Chuẩn định nghĩa từ điển của những thành phần dữ liệu có thể được sử dụng để trao đổi. Khi một bit là một tập trong cấu trúc của gói tin, thành phần dữ liệu tương ứng bao gồm cả nội dung của gói tin. Một số thành phần dữ liệu có độ dài cố định. Một vài thành phần khác có độ dài thay đổi. Mặc dù vậy chuẩn này không ngăn ngừa việc sử dụng thành phần dữ liệu thêm vào mà không được xác định rõ trong từ điển dữ liệu, đáp ứng những yêu cầu đặc biệt của trung tâm điều hành hệ thống thanh toán cho việc sử dụng riêng. Loại định danh gói tin là một trường số bao gồm bốn con số. 1) Số thứ nhất xác định số phiên bản của gói tin như sau: 0: gói tin định nghĩa trong chuẩn phát hành trước theo chuẩn ISO 8583:1987; 1: gói tin định nghĩa trong chuẩn phát hành hiện tại theo ISO 8583:1993[14]; 2-7: dự trữ cho những chuẩn ISO được sử dụng về sau; 8: dự trữ cho quốc gia sử dụng; 9: dự trữ cho việc dùng riêng; 20