Online işlemlerde yurtiçindeki akış değişikliğini anlatmadan önce ilk olarak CVM kavramını anlatmakta fayda var.
Kart sahibinin kimliğini kanıtlamak için karttan alınan verilerin biri kart sahibi doğrulama yöntemi (CVM) listesidir. Bu sıralı liste, kart sahibini doğrulamak için bir ya da birden fazla yöntemi içermektedir.
EMV olarak gerçekleştirilen bir kart işleminde kart sahibinin terminal tarafından doğrulanması Cardholder Verification olarak adlandırılır. Kart sahibinin doğrulanma yöntemi de Cardholder Verification Method (CVM) olarak adlandırılır. İşlem sırasındaki EMV okuma aşamasında 8E Tag’inden alınan CVM listesine ve CVM limitine göre terminal müşteriyi uygun bir yöntemle doğrular (Pinli, İmza iste vb.).
Kart Sahibi Doğrulama Yöntemi (CVM) Listesi
CVM listesi, read data istek talebi cevabında karttan 0x8E tagında gelmektedir:
| Alan adı | Alan Açıklaması | Alan uzunluğu | Tip |
| X | Kart sahibinin doğrulama kurallarında kullanılan uygulamanın para birimindeki tutarı | 4 byte | Binary |
| Y | Kart sahibinin doğrulama kurallarında kullanılan uygulamanın para birimindeki tutarı | 4 byte | Binary |
| CVRule1..CVRuleZ | Her bir 2 byte uzunluğundaki değişken bir kart sahibi doğrulama kuralları. | 2 * Z byte | Binary |
Offline CVM altı temassız işlemler, herhangi bir kart sahibi doğrulamasına ihtiyaç duyulmaksızın doğrudan otorizasyona gönderilmektedir. Issuer banka (kartı çıkaran banka), kendisine iletilen bu işlemleri kendi risk ve otorizasyon kontrollerine göre onaylar veya reddeder.
Mevcut sistemde, kart sahibinin doğrulanamaması nedeniyle reddedilen işlemlerin önemli bir bölümü aslında gerekli ek adımlar uygulandığında onaylanabilir niteliktedir. Bu durumun önüne geçebilmek için online temassız işlemlerde işlem akışı güncellenmiştir.
Önceden Issuer bankaların yalnızca iki seçeneği bulunurken, yeni akışla birlikte bu sayı dörde çıkarılmıştır:
- Onayla (Mevcut)
- Reddet (Mevcut)
- Kart sahibinden PIN girmesini iste (Yeni)
- Kartın POS cihazına takılmasını iste (Yeni)
Kayıp/çalıntı gibi spesifik sistem kontrollerinde seçenek sayısı artmasına rağmen işlem sonucu genellikle değişmeyecektir. Ancak diğer durumlarda yeni yapı, işlem akışına esneklik kazandırarak sonuçların farklılaşmasını sağlayacaktır.
Örneğin, arka arkaya PIN’siz çok sayıda temassız işlem gerçekleştiren bir kartla yapılan CVM altı temassız işlem, önceki sistemde otomatik olarak reddedilirken; yeni yapıda Issuer banka, işlemi reddetmek yerine kart sahibinden PIN talep ederek onay sürecine devam edebilecektir.
Kart Sahibinden PIN İstenmesi
Acquirer banka, otorizasyon mesajını gönderirken DE48 PDS22 SE2 = 1 alanını set ederek Issuer bankaya “Yeni akışa uyumlu olarak, kart sahibinden PIN doğrulaması istenmesine olanak sağlıyorum.” bilgisini iletir.
Issuer banka, işlemi aldıktan sonra gerekli kontrolleri yapar. Eğer net bir karar verebiliyorsa, işlemi onaylar veya reddeder. Ancak ek bir güvenlik katmanına ihtiyaç duyarsa, işlemi doğrudan reddetmek yerine kart sahibinden PIN girmesini talep eder. Bu durumda Issuer banka, Acquirer’a DE48 PDS22 SE4 = 1 ve DE39 = 65 kodlarını içeren bir yanıt gönderir.
Bu yanıtı alan Acquirer banka, terminal aracılığıyla kart sahibinden PIN girmesini ister. Alınan PIN bilgisi ve DE48 PDS22 SE3 = 1 alanı eklenerek otorizasyon mesajı yeniden Issuer bankaya gönderilir.
Issuer banka, bu ikinci aşamada PIN doğrulamasını da içeren kontrolleri tamamladıktan sonra işlemi nihai olarak onaylar veya reddeder ve sonucu Acquirer bankaya iletir.
Kartın POS Cihazına Takılmasının İstenmesi
Bu senaryoda da Acquirer banka, CVM limit altı işlemlerde Issuer talebiyle PIN sormayı destekliyorsa, otorizasyon mesajında DE48 PDS22 SE2 = 1 gönderir.
Issuer banka, işlemin temaslı şekilde (yani kartın POS cihazına takılarak) devam etmesini isterse, Acquirer’a DE39 = 65yanıtını gönderir. Bu durumda bir önceki senaryodan farklı olarak DE48 PDS22 SE4 alanı gönderilmez.
Acquirer banka, aldığı yanıta göre POS cihazında kart sahibine “Kartı takınız” mesajını göstererek işlemi sonlandırır. Kart sahibinin karta uygun şekilde takma işlemini gerçekleştirmesiyle işlem yeniden başlatılır. Bu kez otorizasyon mesajında DE48 PDS22 SE3 = 1 ve DE22 = 05X alanları yer alır.
Issuer banka, bu aşamada tüm gerekli kontrolleri yaptıktan sonra işlemi nihai olarak onaylar veya reddeder.