Chipli kartların hayatımıza girmesi ile beraber, işlem öncesinde terminalin kredi kartını doğrulaması gerekmektedir.
Peki bu doğrulamayı nasıl yapıyor?
Kart tarafından hesaplanılarak gönderilen değere ARQC (Application Request Cryptogram) adı verilir.
Her EMV işlem talebinin, işlem verisinden elde edilen bir kriptogram olan ARQC içermesi beklenir. EMV gerçekleşen finansal işlemde bu kriptogramı dijital imza olarak düşünülebiliriz.
Hesaplamada kullanılan bilgilerin bir kısmı işlem bazında değişken olduğu için her işlemde farklı bir ARQC değeri hesaplanır.
Kart bankası otorizasyon sistemi; derivation datayı, gelen işlem datasını ve master Key’i kullanarak ARQC değerini yeniden oluşturur ve otorizasyonda gelen değerle kendi oluşturduğu değeri karşılaştırır. İki değerin tutarlı olması durumunda Online kriptogram doğrulaması başarılı olur.
Doğrulanmış online kriptogram 2 şeyi ifade eder:
- finansal mesaj, kaynak olduğunu iddia ettiği kaynaktan oluşturuldu
- mesajın içeriği değiştirilmedi
Online Kriptogram kontrolü iki yönlüdür.
- Issuer Host’un kartı doğrulaması
- Kartın issuer hostu doğrulaması
Issuer host, ARQC (Request Cryptogram) değerini doğruladıktan sonra, ARQC değerini kullanarak ARPC (Response Cryptogram) değerini oluşturur ve karta gönderir. ARPC değerinin doğru ya da yanlış gelmesine göre işlemin kart tarafından reddedilmesi kart üzerindeki parametrelere bağlıdır.