Ödeme sistemlerinde, özellikle EMV tabanlı debit kart işlemlerinde, PIN doğrulama süreci hem güvenlik hem de sorumluluk zinciri açısından belirleyici bir adımdır.
Peki ya kart offline PIN’e kapalı, sadece online PIN’li çalışıyor ve buna rağmen POS cihazı işlemi PIN’siz olarak issuer’a gönderiyorsa?
Ve daha da önemlisi: issuer bu işlemi onaylıyorsa, sorumluluk kimdedir?
Durumun Tanımı
Senaryo şu şekilde gelişiyor:
- Kart online PIN destekli debit kart.
- Offline PIN counter = 0 (yani kart üzerinde offline PIN deneme hakkı yok).
- POS cihazı bu bilgiyi karttan okuyor.
- Kernel yanlış yorumlayarak “PIN deneme hakkı bitti” varsayımıyla PIN’siz (no-PIN) bir işlem akışı başlatıyor.
- İşlem online olarak issuer’a PIN verisi olmadan (DE52 boş) gidiyor.
- Issuer ise bu işlemi onaylıyor (Response Code 00).
Sonuç: Online PIN zorunlu kart, PIN’siz onaylı işlem.
EMV Perspektifinden Akış
CVM (Cardholder Verification Method) seçimi EMV Book 3’teki “CVM Decision Tree” üzerinden yürür.
Kartın CVM listesi genellikle şu öncelikte olur:
- Online PIN
- Offline PIN (varsa)
- No CVM
Kart, POS’a “online PIN kullan” der; ancak terminal, offline PIN counter = 0 değerini görünce CVM adımını atlar ve “no CVM” akışı seçer.
Bu durumda POS, aşağıdaki alanlarla issuer’a mesaj gönderir:
| EMV Tag | Alan | Değer | Açıklama |
|---|---|---|---|
| 9F34 | CVM Results | 0x1E | No CVM performed |
| 9F33 | Terminal Capabilities | Online PIN destekli | |
| 9F35 | Terminal Type | Online-Only Terminal |
Yani terminal “PIN destekliyim” diyor, fakat “PIN yapmadım” sonucunu iletiyor.
İşte tam bu noktada liability belirleniyor.
ISO 8583 Mesaj Akışı
| Alan (DE) | Açıklama | Gönderilen Değer | Not |
|---|---|---|---|
| DE 3 | Processing Code | 000000 | Satış |
| DE 22 | POS Entry Mode | 051 | Chip + Online |
| DE 52 | PIN Data | Yok | Kritik eksik |
| DE 55 | EMV Data | CVM=No CVM | 9F34: 0x1E |
| DE 39 | Response Code | 00 | Issuer onayladı |
Normalde issuer, DE52 (PIN Data) alanı olmadığında RSP=55 (Incorrect PIN) veya 57 (Not permitted) dönmelidir. Ancak issuer sistemi PIN’siz işlemi onaylarsa, bu durum CVM bypass onayı anlamına gelir.
Sorumluluk Analizi
| Taraf | Durum | Sorumluluk |
|---|---|---|
| Acquirer / POS | Terminal CVM listesini yanlış değerlendiriyor. Offline PIN counter = 0 olduğunda PIN’siz gönderiyor. | Terminal konfigürasyon hatası var, ancak issuer’ın işlem onayı sorumluluğu taşır. |
| Issuer (Kart Bankası) | Online PIN zorunlu karta ait işlem, PIN’siz geliyor. Buna rağmen onaylanıyor. | İşlemi onayladığı anda liability issuer’a geçer. Fraud veya chargeback durumunda issuer sorumludur. |
| Network (Visa / Mastercard) | CVM result mismatch tespit ederse, liability issuer’a kalır. | Scheme dispute süreçlerinde issuer aleyhine karar çıkar. |
Kural özetle şudur:
“Who approves, owns the risk.”
Yani PIN’siz işlemi kim onaylıyorsa, sonrasında doğacak zararın sorumluluğu ondadır.
Görsel Akış: EMV & Authorization Süreci
Kart (Online PIN Required)
│
▼
POS → Offline PIN Counter = 0
│
▼
CVM Decision → No CVM seçildi (hatalı)
│
▼
0100 → Issuer (DE52 boş, DE55 CVM=No CVM)
│
▼
Issuer → Onayladı (RSP=00)
│
▼
PIN’siz Onaylı İşlem → Liability = Issuer
Çözüm Önerileri
- POS kernel güncellemesi: Offline PIN counter = 0 olsa bile, “Online PIN required” flag’i varsa PIN ekranı gösterilmelidir.
- Issuer validation: DE52 (PIN Data) boş gelen işlemler mutlaka reddedilmeli veya risk bazlı analizden geçmelidir.
- Network monitoring: CVM mismatch olayları scheme raporlarında düzenli kontrol edilmelidir.
- Transaction log analizi: DE55 içindeki 9F34, 9F33, 9F35 alanları ile terminal davranışı izlenmelidir.
Sonuç
Offline PIN counter değeri sıfır olduğunda terminalin davranışı kritik önem taşır.
Ancak işlem online yetkilendirme sürecine ulaştığında nihai sorumluluk onay veren tarafta, yani issuer’da olur.
POS hatalı davranmış olabilir, ama issuer işlemi PIN’siz onayladıysa, bu kararla birlikte fraud, chargeback veya finansal kaybın riski issuer’a geçmiştir.
