Online işlemlerde yurtiçindeki akış değişikliğini anlatmadan önce ilk olarak CVM kavramını anlatmakta fayda var.
Kart sahibinin kimliğini kanıtlamak için karttan alınan verilerin biri kart sahibi doğrulama yöntemi (CVM) listesidir. Bu sıralı liste, kart sahibini doğrulamak için bir ya da birden fazla yöntemi içermektedir.
Daha detaylı bilgi için aşağıdaki yazıma bakabilirsiniz:
EMV olarak gerçekleştirilen bir kart işleminde kart sahibinin terminal tarafından doğrulanması Cardholder Verification olarak adlandırılır. Kart sahibinin doğrulanma yöntemi de Cardholder Verification Method (CVM) olarak adlandırılır. İşlem sırasındaki EMV okuma aşamasında 8E Tag’inden alınan CVM listesine ve CVM limitine göre terminal müşteriyi uygun bir yöntemle doğrular (Pinli, İmza iste vb.).
Kart Sahibi Doğrulama Yöntemi (CVM) Listesi
CVM listesi, read data istek talebi cevabında karttan 0x8E tagında gelmektedir:
| Alan adı | Alan Açıklaması | Alan uzunluğu | Tip |
| X | Kart sahibinin doğrulama kurallarında kullanılan uygulamanın para birimindeki tutarı | 4 byte | Binary |
| Y | Kart sahibinin doğrulama kurallarında kullanılan uygulamanın para birimindeki tutarı | 4 byte | Binary |
| CVRule1..CVRuleZ | Her bir 2 byte uzunluğundaki değişken bir kart sahibi doğrulama kuralları. | 2 * Z byte | Binary |
Offline harici CVM altı temassız işlemler, herhangi bir kart sahibi doğrulamasına ihtiyaç duyulmaksızın otorizasyona gönderilir. Issuer banka (kart sahibi banka) kendisine gelen işlemi kendi otorizasyon kontrollerine göre onaylar ya da reddeder. Kart sahibinin doğrulanamaması nedeniyle reddedilen işlemlerin önemli bir kısmının onaylanabilmesi için online temassız işlemlerde akışın değiştirilmesi kararlaştırılmıştır. Mevcut yapıda Issuer bankanın 2 seçeneği varken yeni akışla birlikte dört seçeneği olacaktır:
- Onayla (Mevcut)
- Reddet (Mevcut)
- Kart sahibinden Pin girmesini iste (Yeni)
- Kartın Pos cihazına takılmasını iste (Yeni)
Kartın çok spesifik sistem kontrollerinde (Kayıp/Çalıntı vb.) seçenek sayısı 4e çıksa da verilen cevap neredeyse aynı olacaktır. Diğer senaryolarda sonuç farklı olabilir. Örneğin, Pinli işlem yapmadan art arda çok sayıda temassız işlem yapmış bir kartla gerçekleştirilen temassız CVM altı işlem otomatik olarak reddedilmek yerine müşteriden şifre girmesi istenerek onaylanması yönünde adım atılabilir.
Kart Sahibinden Pin İstenmesi
- Acquirer banka otorizasyon mesajını gönderirken DE48 PDS22 SE2 = 1 gönderir. Bu, Issuer bankaya “Yeni akışa uyumluyum, istenirse kart sahibine Pin sorabilirim” mesajını vermektedir.
- Issuer banka işleme istinaden tüm kontrollerini yapar ve net bir karar verebilirse işlemi bu adımda onaylar ya da reddeder. İşlemi direkt olarak reddetmek yerine müşteriden Pin girmesini isteyerek ek bir güvenlik katmanına ihtiyaç duyarsa DE48 PDS22 SE4 = 1 ve DE39 = 65 göndermelidir.
- Bir önceki adımda DE48 PDS22 SE4 = 1 ve DE39 = 65 yanıtını almış olan Acquirer banka işlemin yapıldığı terminal aracılığıyla kart sahibinden Pin girmesini ister. Aldığı Pin bilgisini ve DE48 PDS22 SE3 = 1 alanını da ekleyerek otorizasyon mesajını yeniden Issuer bankaya gönderir.
- İkinci adımda tüm kontrollerini yapmış olan Issuer banka bu adımda gelen Pin datasını kontrol ettikten sonra nihai olarak onay ya da ret kararını verir ve yanıt mesajını Acquirer bankaya iletir.
Kartın Pos Cihazına Takılmasının İstenmesi
- Bir önceki senaryoda da bahsedildiği gibi Acquirer banka CVM limit altı işlemlerde Issuer talebi ile Pin sormayı destekliyorsa otorizasyon mesajında DE48 PDS22 SE2 = 1 gönderir.
- Issuer banka işlemin temaslı şekilde, yani kartın pos cihazına takılarak yapılmasını istiyorsa Acquirer’a DE39 = 65 yanıtını dönmesi yeterlidir. (bir önceki senaryoda yer alan DE48 PDS22 SE4 gönderilmez.)
- Acquirer banka aldığı yanıta istinaden Pos cihazında kart sahibine “Kartı takınız” mesajını göstererek işlemi sonlandırır. Bu adımda kart sahibinin, gösterilen mesaja uygun şekilde hareket ederek kartı Pos cihazına taktığını varsayarsak işlem Pin’li olarak, DE48 PDS22 SE3 = 1 ve DE22 = 05X şeklinde yeniden Issuer bankaya gönderilir.
- Issuer banka bu adımda tüm gerekli kontrolleri yaptıktan sonra işlemi onaylar ya da reddeder.
