Маска pan карты что это
Маскирование ИЛИ усечение номера PAN: в чем разница?
Я, конечно, не получаю пачками вопросы по безопасности платежных карт, однако, время от времени кто-нибудь да и задаст мне такой вопрос, который заслуживает отдельной публикации в блоге. Буквально на днях одна читательница, Мишель, задала мне такой вопрос, который, в целом отражает часто встречающееся непонимание в сфере безопасности платежных карт:
Вчера я перечитывала PCI DSS 2.0, требование 3.4, и была немало удивлена тем, что для защиты хранимых номеров PAN не предлагается такая мера как «маскирование». Правильно ли я понимаю, что эти номера подлежат шифрованию перед помещением их на хранение, а при извлечении, они подлежат расшифрованию и маскированию? И потом, если мы получаем номер PAN уже в маскированном виде, а затем храним его, то попадает ли такое хранение под действие стандарта PCI DSS? С технической точки зрения, как я думаю, не попадает, т.к. PAN уже маскирован при получении, а значит нет возможности найти номер PAN в незашифрованном виде.
Вот в этом как раз и кроется основная суть непонимания сути маскирования. Многие люди либо вообще не знают о существовании усечения и полагают, что если они не могут видеть полный номер карты, то это маскирование, либо считают, что усечение и маскирование — это одно и то же. Несомненно это разные вещи, поэтому я позволю себе процитировать определения маскирования и усечения прямо из Глоссария PCI SSC:
Маскирование (Masking)
Метод сокрытия сегмента данных при отображении или печати. Маскирование используется, когда нет служебной необходимости в просмотре всего номера PAN.
Усечение (truncation)
Метод приведения номера PAN к нечитаемому виду посредством удаления сегмента данных PAN.
Представьте себе данные о держателе карты (далее – ДДК) в виде цифр на листке бумаги. При маскировании мы словно берем коррекционную ленту и наносим ее на большую часть цифр таким образом, чтобы человеку, которому передается этот листок, было видно только последние 4 цифры. Очевидно, что при этой операции данные по прежнему существуют под коррекционной лентой, хотя она их и скрывает. Разумеется, с этого листка бумаги, приложив некоторые усилия, можно счистить коррекционную ленту, а значит этот лист бумаги по прежнему нуждается в защите, при которой никакие злоумышленники не могли бы восстановить и использовать данные о держателе карты.
В свою очередь, если бы мы хотели выполнить усечение на этом листке бумаги, то мы бы либо вообще изначально не писали эти цифры, либо стерли их настолько надежно, что их никогда нельзя было бы воссоздать. Такие данные никогда не были бы написаны на листе бумаги, а значит никак не могли бы быть использованы для мошенничества с платежными картами. В таком сценарии, этот лист бумаги не имеет никакой ценности для злоумышленника, а значит нет необходимости его защищать, по крайней мере в той же степени, в которой следует защищать маскированные данные. Конечно, к этим усеченным данным могут быть привязаны какие-то дополнительные данные или значения, но сами по себе усеченные данные ценности не имеют.
Если на экране отображаются данные, из которых видна только малая часть, то нельзя знать наверняка, какие именно представлены данные — усеченные или маскированные. Для того, чтобы это узнать, необходимо глубже понимать процессы их обработки. Только понимая процессы, можно сказать, можно ли каким-либо воссоздать эти данные или же в базе данных хранятся те же данные, которые видны на экране. Находясь в обычном магазине, можно увидеть на чеках последние 4 цифры номера карты. Если платежное приложение написано корректно, то должность персонала – будь то руководитель торгового зала или продавец — не должна иметь значения: в любом случае никто не должен видеть ничего кроме последних 4 цифр номера. Дело в том, что в таком приложении данные не сохраняются, а значит ни у кого из сотрудников магазина нет возможности извлечь данные из системы — данные усечены и их в системе больше нет.
Совсем иная ситуация в бэк-офисе, в бухгалтерии и в службе, отвечающей за предотвращение ущерба. По умолчанию, сотрудники этих отделов и служб должны видеть только 4 последних цифры номера платежной карты. Однако при возникновении претензионных платежей или подозрений на вероятное мошенничество, сотрудники компании в рамках расследования должны иметь возможность отменить маскирование полного номера карты. Эти номера по-прежнему существуют на сервере, однако, они там в основном хранятся в маскированном (скрытом) виде, и отображаются только должным образом уполномоченному персоналу. Поскольку имеется возможность извлечения этих данных на серверах, они полностью входят в область оценки на соответствие стандарту PCI DSS и подлежат соответствующей защите.
Таким образом, отвечая на вопрос читательницы, я скажу, что хранимые данные не могут быть «маскированы». Они маскируются только при извлечении и считаются маскированными, если отображены частично. Именно поэтому, в требовании 3.4 отсутствует маскирование. Если же ТСП получает ДДК, в которых имеется только сегмент номера PAN (например, сегмент из первых 6 или последних 4 цифр), то такие данные являются усеченными. В таком случае полный номер PAN отсутствует, воссоздание его невозможно, а значит нет необходимости его защищать так же, как и ДДК. Я не говорю, конечно, о том, что данные, привязанные к этому номеру не имеют ценности и не подлежат защите, просто усеченные данные не входят в область применения требований стандарта.
Если же ТСП получает полный номер PAN, но сотрудникам он отображается в маскированном виде, то, даже если никто в ТСП не имеет доступа к ДДК, оно все равно отвечает за их защиту согласно требованиям стандарта. Если в этих данных нет необходимости, есть смысл просить о предоставлении усеченных данных, тем самым, сэкономив кучу сил и нервов на общении с аудиторами, выполнении требований стандарта, да и вообще на процессе приведения среды в соответствие со стандартом PCI DSS. Например, я приятный в общении человек, но даже самые большие мои поклонники среди клиентов подтвердят, что я становлюсь противным и невыносимым, как минимум, раз в год, когда прихожу к ним для проведения аудита.
Что такое Pan код карты?
Банковские пластиковые карты уже несколько десятилетий как вошли в жизнь человечества. На нашем рынке банки начали массово внедрять их около 15 лет назад и сейчас пластиковые банковские карты получили довольно широкое распространение.
Содержание
ЗАЯВКИ И ЗВОНКИ ПРИНИМАЮТСЯ КРУГЛОСУТОЧНО и БЕЗ ВЫХОДНЫХ ДНЕЙ.
Это быстро и БЕСПЛАТНО!
+7 (812) 467-32-77 (Санкт-Петербург)
ЗАЯВКИ И ЗВОНКИ ПРИНИМАЮТСЯ КРУГЛОСУТОЧНО и БЕЗ ВЫХОДНЫХ ДНЕЙ.
Это быстро и БЕСПЛАТНО!
Банковская карта, еще недавно бывшая лишь модным аксессуаром бизнесмена, на сегодняшний день может находиться в кармане студента, пенсионера, служащего, рабочего – словом любого социального и имущественного слоя современного общества.
Удобство использования, компактность, высокая безопасность транзакций, а также прием платежей в любом супермаркете и широкое распространение банкоматов и платежных терминалов, обусловило большую популярность этого вида системы расчетов, лишила необходимости повсюду носить с собой денежные знаки, и в то же время иметь постоянный доступ ко всем своим средствам на счету и осуществлять покупки по мере необходимости в любом магазине и на любую сумму.
Также, немаловажным фактором является возможность мгновенного кредитования, в некоторых случаях беспроцентного, в случае, если сумма на вашем карточном счету недостаточна для нужной вам покупки.
Что такое Pan? ↑
При столь высоком распространении банковских пластиковых карт, ставших уже традиционным спутником каждого человека, мало кто может внятно объяснить, как они устроены и как работают.
Остановимся на этом немного поподробнее. Каждая банковская карта представляет собой небольшой кусок гибкого пластика, снабженного с одной стороны магнитной лентой.
Эта лента является неким паролем, который считывается устройством платежного терминала. Информация, которую считывают устройства с банковской карты, называется Pan – своеобразный идентификатор.
А если вам интересно, как оформить страхование жизни при ипотеке в Сбербанке 2020, то вам просто необходимо перейти по ссылке и прочесть статью.
Для чего он нужен? ↑
Для обеспечения безопасности транзакций оплаты или перевода средств с вашего карточного счета с помощью банковской карты вводится особый уникальный код, состоящий из последовательности цифр. Это и есть, так называемый pan-код.
Код написан на лицевой стороне карты и либо напечатан с помощью краски, либо является выпуклым, для обеспечения большей долговечности – ведь краска может быть стерта от времени и ношения в карманах одежды.
Он бывает 13-ти или 16-тизначный. Также, код продублирован на магнитной ленте, расположенной на задней части карты и записанный в виде компьютерного кода. Что же обозначают эти цифры?
Особенности пластиковых карт ↑
Дело в том, что основной проблемой, которой уделяется особое внимание, является безопасность использования карты, чтобы злоумышленник не мог совершить мошенничество и похитить или воспользоваться вашими деньгами.
Второе, что нужно обеспечить – это безотказная и четкая работа банковской карты, отсутствие ошибок при эксплуатации.
Изготовление и устройство пластиковых карт регламентируется международным стандартом ISO/Mac 7812-1, который разрабатывает и выдает организациям, международная система SWIFT.
В нашей стране создан подобный стандарт ГОСТ Р-50809-95.
Если вас интересует вопрос — почему сбербанк отказывает в кредите, то вам необходимо ознакомиться со статьей, расположенной по ссылке.
А подробная информация о страховании кредита в Сбербанке, расположена здесь.
Как его применяют? ↑
Для правильной и штатной работы пластиковой карты предусмотрено следующее распределение имеющихся в пан-коде цифр:
Как правило, в нашей стране используется последовательность из 16 цифр из которых первые 6 – это бин карты.
Нужно отметить, что на магнитной ленте содержится большее количество информации, различные дополнительные проверочные символы, разделители, указывается срок действия карты и прочие сервисные коды, служащие надежности и безопасности работы.
В сознании пользователей зачастую происходит путаница — люди путают pan и pin-коды своей карты.
Пан-код — это, как мы сказали выше, прежде всего идентификатор, а пин-код — ваш персональный секретный пароль, который должен быть известен только пользователю и владельцу счета.
Не передавайте и не сообщайте никому свой пин-код и тем более не записывайте его на самой карте – всегда держите его в памяти, иначе вы рискуете столкнуться с огорчительными недоразумениями и потерей своих денег.
По своему назначению существует довольно много видов пластиковых банковский карт, выпущенных в разное время, предназначенных для работы в разных платежных системах, но пан-код у всех одинаков по назначению и независимо от количества цифр в нем сможет быть прочитан любым банкоматом или терминалом.
При аккуратном и осторожном обращении с картой и соблюдении необходимых мер безопасности вы вряд ли столкнетесь с проблемами в пользовании этой, на сегодняшний день, пожалуй, самой удобной системой расчетов – пластиковой банковской картой.
Поэтому для вас круглосуточно работают БЕСПЛАТНЫЕ эксперты-консультанты!
ЗАЯВКИ И ЗВОНКИ ПРИНИМАЮТСЯ КРУГЛОСУТОЧНО и БЕЗ ВЫХОДНЫХ ДНЕЙ.
Понравилась статья? Подписывайтесь на обновления сайта по по RSS, или следите за обновлениями ВКонтакте, Одноклассниках, Facebook, Google Plus, Twitter.
Расскажите друзьям! Расскажите об этой статье своим друзьям в любимой социальной сети с помощью кнопок в панели слева. Спасибо!
Маска pan карты что это
В своё время первая часть этого ликбеза получила широкий отклик и была процитирована аж 6 (шесть. ) раз. Надеюсь, вторая часть вам понравится хоть немного больше.
Сегодня я хочу рассказать про то, как устроена карта, которая лежит у вас в кошельке.
Кстати, как вы думаете, почему я написал «карта, которая лежит у вас в кошельке», а не просто «ваша карта»?
Раньше народ был тёмный, и про карты ходило очень много слухов.
Но теперь есть wiki-педия и любой желающий может посидеть с полчаса и узнать, как сделана карта. Поэтому я расскажу то, что вы не прочтёте в Интернете.
Но сначала скажу, что как правило пластиковая карта имеет определённый размер. Почему «как правило»? Просто есть стандартные карты и карты стандарта «Mini». Кроме того, банк может сделать фигурную карту. Со всякими фигурными вырезами и т.д. Такие карты нельзя использовать в банкоматах, конечно. Кроме того, в них нельзя использовать и прозрачные карты. Да, и такие карты тоже есть. Почему ваш банк не выпускает их? Может в вашем банке про такие карты (решил собрать все такие карты в отдельном сообщении) просто не знают?
Ну, вот. Когда мы разобрались с размерами и формой карты, надо написать пару слов о дизайне. У каждой платёжной системы (Visa, MasterCard, AmEx) есть свои требования к дизайну карт. Хорошо их знают те, кто разрабатывает дизайн карт и те, кто его утверждает. Широкой публике они будут просто не интересны. Только замечу, что дизайн любой карты Visa (например) утверждается в самой «Визе».
Но есть основополагающие вещи, которые есть на любой карте.
1. Магнитная полоса (может отсутствовать).
На магнитной полосе находятся 1, 2 или 3 дорожки с данными.
На первой полосе (специалисты называют её «track 1») записан PAN карты и имя её держателя (если карта именная). Сразу объясню. Имя держателя (если оно есть) написано также на лицевой стороне карты.
Примечание. Вместо имени держателя может быть название организации для корпоративных карт.
PAN (Primary Account Number) – номер карты. «Стандартная» его длина – 16 цифр. Но в реальности он может быть от 7 до 19 цифр. Последняя цифра в номере карты – проверочная. Вы можете посчитать её сами, используя алгоритм сложения по модулю 10 (если интересно, могу его описать).
Карта может быть и не именная (например, Visa Instant Issuer).
На второй полосе карты находится главная информация («track 2»). Она состоит из PAN (номера карты), Expiration Date (дата, по которую включительно карта действительна), Service Code (сервисный код для работы программы терминала или банкомата с картой), Pin Verification Key Indicator, PVV (Pin Verification Value) и CVV1/CVC1.
Расскажу про эти данные.
Expiration Date – срок действия карты. Он также написан на её лицевой части после слов «VALID THRU» или «GOOD THRU». Состоит из двух частей: месяца и года. Обратите внимание, что срок дан «включительно». То есть, написан последний месяц, когда карта должна будет работать. Кроме того, она может иногда и кое-где работать и после его окончания. Бывают бессрочные карты (с «неограниченным» сроком действия).
PVV и Pin Verification Key Indicator – специфичные параметры, используемые для проверки вашего pin-кода.
Всё, что написано после PVV на track 2, называют CVV1 (Card Verification Value) (Visa) или CVC1 (Card Verification Code) (MasterCard).
Иногда на картах может быть и 3-я полоса («track3»). Наверное, зачем-то она и нужна…
Для обслуживания карты в POS-терминале или банкомате обязательно нужен track 2. Данные track 1 часто являются не обязательными (не говоря уж про track 3).
POS (Point Of Sale)-терминал – общее название устройств для приёма банковских карт. Наиболее в мире распространены терминалы фирм Hypercom, Verifone и Ingenico (причём последнюю фирму даже проверка орфографии в Word-е не знает).
Теперь, когда мы разобрались, что записано на полосе, опишу, что обязательно должно быть на лицевой стороне карты.
2. Лицевая сторона карты.
На лицевой стороне карты обязательно должен быть написан номер. Раньше часто его писали не полностью (для Visa Electron, например). Но первые и последние 4-ре цифры должны были присутствовать обязательно.
Первые 4-ре цифры – это BIN (Bank Identification Number) банка. Он пишется на лицевой стороне дважды (не для всех платёжных систем):
BIN выдаётся банку платёжной системой и является уникальным для данного банка. Все карточки, выпущенные банком для этой платёжной системы имеют одинаковый BIN. По первой цифре BIN можно определить платёжную систему (с некоторой степенью достоверности):
3 – AmeEx
4 – Visa
5 – MasterCard
6 – Maestro
На самом деле, это – не совсем так. Банков, выпускающих карты Visa уже давно больше 1000. Поэтому для банка и типа карты важны первые 6-ть цифр. А почему дублируются только первые 4? По стандарту. Описывая BIN нашёл у себя в кошельке 2 карты разных банков, имеющих одинаковые первые 4-ре цифры.
Если интересно, можете проверить первые 6-ть цифр вашего (или – не вашего) PAN-a по этой ссылке:
http://www.binbase.com/csv.php?module=search
(необходимо вводить первые 6-ть цифр номера карты без пробелов и чёрные цифры или буквы )
К сожалению, не больше 3-х раз в день.
Последние 4-ре цифры иногда используются для подтверждения подлинности магнитной полосы: кассир их вводит в терминал и таким образом терминал проводит проверку, что PAN на track 2 карты не был переписан.
Кроме номера, на лицевой стороне карты должна присутствовать Expiration Date.
Кроме того, там должен находиться логотип платёжной системы.
Дальше всё зависит от типа карты. Для Visa Classic, например, обязательно должна быть голограмма с голубем. Этого же голубя можно увидеть, посмотрел на лицевую сторону карты в ультрафиолете.
Всё остальное, что есть на карте – по желанию банка. Например, на одной карте у меня была написана дата выпуска карты, на другой – приставка «MR» перед именем «ROSTISLAV», на третьей есть название фирмы, где я работал, а на четвёртой не было имени, на пятой – логотипа и/или названия банка. Но номер, Expiration Date и логотип платёжной системы есть на всех картах.
Цифры и буквы на лицевой стороне карты могут быть «выдавлены». Или – эмбоссированы. Машина, которая это делает, так и называется «эмбоссер». С помощью таких машин в банках и персонализируют («выпускают») карты из заготовок.
Если карта эмбоссирована, её могут принять к оплате в магазине не только с помощью pos-терминала, но и с помощью импринтера. Москвичи, оформлявшие привязку карты к номеру счёта в МТС, могли видеть эту чудо машину. После «прокатки» карты в импринтере данные с её лицевой стороны копируются на специальный чек. Один чек отдаётся вам, второй – продавцу, третий посылается в банк обычной почтой или другим образом.
Пришло время перевернуть карту и посмотреть на её обратную сторону.
3. Обратная сторона карты.
Там, как правило, есть место, где должен находиться образец вашей подписи.
И кроме подписи там есть какие-то циферки. Они называются CID (Card ID). Его ввод требуется при оплате через Интернет и некоторых других случаях.
Если код из 3-х цифр, то он называется «CVV2» (Visa) или «CVC2» (MasterCard).
Замечу, что для карт AmEx тоже есть такой код. Называется он «Unique Card Code», состоит из 4-х цифр и находится под номером карты на её лицевой стороне:
Как правило перед CVV2/CVC2 находятся последние 4-ре цифры номера карты (как и на лицевой стороне).
Кроме этого, на обратной стороне карты может быть куча разных надписей, логотипов и т.д.
А кто сделал карту, которую вы держите? В России большинство карт производства ROSAN.
А в следующий раз, если соберусь, расскажу, чем так хороши чиповые карты, зачем нужны и как работают.
Что такое «код PAN» на банковской карте?
Если вы являетесь владельцем банковской карты, то должны знать, как она устроена. На ней можно увидеть много символов, кодов и цифр, и если вы думаете, что все они написаны просто так, то вы ошибаетесь. Каждый номер имеет свое значение, которое вы можете и не воспринимать. Вы должны обязательно понимать условия карты, чтобы не попасть впросак. Само понятие «кредитная карта» подразумевает карту, на которой хранятся деньги банка, которыми вы можете пользоваться на строго обозначенных условиях.
Давайте рассмотрим, какие еще основные понятия нужно знать, чтобы уверенно пользоваться кредитной картой.
Основные понятия.
Лимит кредита – это максимальная сумма денежных средств, которая находится в вашем распоряжении. Лимит по карте устанавливает банк, исходя из платежеспособности клиента и некоторых других факторов.
Процентная ставка (годовая) – это тот процент, который вы будете платить банку за пользование его деньгами. Если вас предупреждали, что ставка переменная, то это значит, что ее величина может поменяться.
Коды PIN и PAN на банковской карте – это специальные комбинации цифр. PIN-код – содержит индивидуальный четырехзначный номер, который нужен для осуществления операций с картой через банкомат. Код PAN на банковской карте представлен длинным номером, который находится на ее лицевой стороне. Этот код нужен в основном для того, чтобы осуществлять покупки через интернет. Также стоит обозначить и код верификации, который расположен на оборотной стороне карты. Обычно он состоит из трех цифр. Его также могут запросить для оплаты товаров и услуг через Интернет.
Кредитная карта Банка «Платинум»
Условия и особенности карты
Кредитная карта Платинум Банка выдается клиентам абсолютно бесплатно. Кроме того, у нее нет платы за годовое обслуживание, что очень важно. Эта карта может быть застрахована по желанию ее владельца. Также владелец карты может застраховать свою жизнь и работу, опять-таки, по желанию. Нужно отметить, что по карте можно получить большой кредитный лимит при небольшом пакете документов. Беспроцентный период составляет 51 день, в течение этого времени вы можете пользоваться деньгами бесплатно. Если вы хотите получить большой кредитный лимит по этой карте, то представьте банку справку о своих доходах. Позвоните в контактный центр банка по телефону 8 (800) 30-83-08 и задайте специалистам все интересующие вас вопросы.
Читайте так же: Оформление микрокредита на Киви Кошелёк.
Проверка PIN кода банковских карт
В связи с появлением статьи «Путешествия банковской транзакции», в рамках которой стали появляться вопросы по механизму проверке PIN, хотелось бы несколько уточнить данный вопрос. В данной статье будет рассмотрен только вопрос проверки т.н. online PIN, т.е. PIN, который вводится на терминале и передается для дальнейшей проверки в систему, которая выполняет авторизацию транзакции.
Прежде чем приступать непосредственно к вопросу прокерки PIN’а карты, остановимся на некоторых теоретических вопросах.
Прикладная криптография
Алгоритм DES
В настоящий момент, основным алгоритмом шифрования для всех действия с банковскими картами является алгоритм DES (а не 3DES, который используется только для операций шифрования, преимущественно, транспортного уровня). Не вдаваясь в терминологию и классификацию алгоритмов шифрования, просто скажу, что это блочный алгоритм шифрования с размером блока 8 байт и ключом в 56 бит (7 байт). На практике, ключ DES принято представлять в виде блока из 8 байт, где в каждом байте старшие 7 бит ялвются значащими, а последний бит — незначащим. Он может использоваться для контроля целостности ключа (об этом — далее).
Т.к., в настоящее время, ключ длинной 56 бит является недостаточным, с точки зрения безопасности, то вместо алгоритма DES для шифрования принять использовать алгоритм 3DES в режиме EDE (здесь и далее под обозначением 3DES я буду подразумевать именно использование схемы EDE). Обычно, в банковской среде применяется алгоритм 3DES с ключом двойной длинны (112 бит, 16 байт), при которой на первом и третьем шаге (см. описание алгоритма) применяется один и тот же ключ.
Алгоритмы проверки PIN
На данный момент, в основном, используются следующие 2 алгоритма проверки PIN: Visa PVV и IBM 3624 PIN offset.
Visa PVV
Данный алгоритм первоначально был разработан платежной системой Visa, но, в настоящее время является рекомендованным алгоритмом проверки PIN как для карт Visa, так и для MasterCard. В основе данного алгоритма лежит значение PVV (PIN verification value), которое является криптограммой, получаемой на основе следующих величин:
IBM 3624 PIN offset
Данный алгоритм первоначально был разработан компанией IBM для использования в банкоматах IBM 3624. Как именно планировалось его использовать, история умалчивает, а автори статьи не знает, но, в данном случае, это не принципиально. В настоящее время данный алгоритм считается устаревшим, но достаточно успешно используется по нескольким причинам:
В основе данного алгоритма лежит значение PIN offset (PIN verification value), которое является криптограммой, получаемой на основе следующих величин:
HSM — hardware security module, программно аппаратный комплекс, предназначенный для выполнения криптографических операций в защищенной среде. Сам HSM должен иметь защиту, позволяющую предотвратить несанкционированный доступ к хранящимся в нем данным. В его функции входит выполнение различных криптографических проверок, включая проверку карты, PIN, криптографичесокой подписи сообщений (MAC) и различных операций шифрования таким образом, чтобы предотвратить доступ к значимой информации (ключи, значения PIN кодов). Здесь стоит пояснить, что при использовании HSM само значение ключа, в общем случае, в открытом виде (т.е. в виде, приодном для выполнения операций в соответствии с алгоритмом DES/3DES) присутствует только внутри HSM в момент выполнения этой операции. Каким образом это достигается, зависит от конкретного HSM. Для наиболее распростаненных в карточных системах HSM (HSM производства SafeNet и Thales) используются 2 механизма:
Проверка PIN
Терминология
Требования платежных систем
Проверка PIN
Далее необходимо определиться с проверочным значением PIN и дополнительными данными.
Первый вариант — это хранение проверочного значения на магнитной полосе карты после поля Service Code. Модифицированную версию ISO 7813 с указанием того, где хранится PVV, можно посмотреть здесь. По приведенному описанию формата треков стоит добавить, что под 5-и символьным значением PVV подразумевается следующая последовательность 1 символ PVKI и 4 символа самого PVV, а для PIN offset — значение PIN offset для PIN из 5 цифр. Если PIN имеет отличную от 5 цифр длину, то размер PIN offset, соответственно, изменится. Какие плюсы у этого метода. Безусловно — возможность проверять PIN для любого, кто будет иметь необходимые для проверки ключи. Здесь стоит заметить, что при запуске нового карточного подукта в платежную сеть, обычно, передаются ключи, на которых выпущена карта. Таким образом, при использовании данного метода возможность проверки PIN появляется как у самого эмитента карты, так и у платежной сети. К недостаткам такого метода можно отнести то, что данный вариант делает PIN карты статическим до тех пор, пока карта не будет перевыпущена.
Второй вариант — это хранение проверочного значения в некотором хранилище, обычно, БД системы, отвечающей за выполнение проверок при авторизации карты. В этом случае при проверке PIN необхоидмо извлечь проверочное значение из этого хранилища, а уже потом, выполнять проверку, используя это значение. Как следствие, при использовании данного метода, невозможно вполнять проверку PIN во внешней системе (в той же платежной системе) и она м.б. выполнена только в той системе, которая имеет доступ к хранилищу проверочных значений. Однако, такая система позволяет изменять PIN код карты без каких либо затрат на смену пластика (для чего это нужно, что при этом необходимо сделать и какие после этого м.б. проблемы, описывать не буду, т.к. это находится за рамками данной статьи).
Независимо от того, каким образом и кем (эмитент карты или платежная сеть) была получена вся необходимая информация, сама проверка PIN выполняется на HSM, который для выполнения проверки получает ключ PPK в защищенном виде, ключ проверки PIN в защищенном виде, зашифрованный PIN блок, проверочное значение PIN и дополнительные данные проверки, в ответ на что возвращается только результат проверки: верный PIN, неверный PIN, прочая ошибка. Т.е. в процессе проверки система, отвечающая за авторизацию, с самим открытым значением PIN кода никак не соприкасается.
Используемые материалы:
[1] Visa Payment Technology Standards Manual, лет 5 назад, на просторах интернета можно было найти версию данного документа за 2007 год, сейчас, при беглом происке, доступна только версия от 2004 года