Tải bản đầy đủ (.pdf) (167 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

Một số giải pháp hạn chế rủi ro trong thanh toán thẻ

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.62 MB, 167 trang )



ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ



PHẠM HUY NAM



MỘT SỐ GIẢI PHÁP HẠN CHẾ RỦI RO
TRONG THANH TOÁN THẺ




LUẬN VĂN THẠC SĨ







Hà nội – 12/2007

1
MỤC LỤC
MỤC LỤC 1
LỜI CẢM ƠN 3


CÁC TỪ VIẾT TẮT 4
MỞ ĐẦU 6
Chương 1: TỔNG QUAN VỀ CÔNG NGHỆ THẺ TỪ 7
1.1 THẺ TỪ VÀ GIAO DỊCH VỚI THẺ TỪ 7
1.1.1 Thẻ từ 7
1.1.2 Thẻ thanh toán 9
1.2.3 Mạng thanh toán và gói tin trao đổi 18
1.2 CÁC LOẠI RỦI RO TRONG SỬ DỤNG THẺ THANH TOÁN 28
1.2.1 Rủi ro trong phát hành 28
1.2.2 Rủi ro trong hoạt động thanh toán 30
1.2.3 Rủi ro kỹ thuật 31
1.2.4 Giải pháp khắc phục rủi ro khi dùng thẻ 32
Chương 2: CÔNG NGHỆ THẺ EMV 33
2.1 TỔNG QUAN VỀ THẺ THÔNG MINH 33
2.1.1 Khái niệm thẻ thông minh 33
2.1.2 Phân loại thẻ thông minh 33
2.1.3 Phần cứng của thẻ thông minh 34
2.1.4 Hệ điều hành của thẻ thông minh 35
2.1.5 Truyền dữ liệu trong thẻ thông minh 35
2.1.6 Các chuẩn trong thẻ thông minh 39
2.1.7 Ứng dụng trong thẻ thông minh 39
2.2 VẤN ĐỀ BẢO MẬT TRONG THẺ THÔNG MINH 40
2.2.1 Các phương pháp cơ bản 41
2.2.2 Những biện pháp bảo vệ 46
2.3 TỔNG QUAN VỀ THẺ EMV 49
2.3.1 Giới thiệu thẻ EMV 49
2.3.2 Thành phần dữ liệu của thẻ EMV 50
Chương 3: CHỨNG CHỈ SỬ DỤNG VỚI THẺ EMV 58
3.1 GIỚI THIỆU CHỨNG CHỈ DÙNG VỚI THẺ EMV 58
3.1.1 Các loại chứng chỉ dùng với thẻ EMV 58

3.1.2 Kỹ thuật ký số và mã hóa dùng với chứng chỉ 58
3.1.3 Chứng chỉ cho các thực thể liên quan 59
3.1.4 Chứng thực sử dụng với thẻ EMV 62
3.2 CHỨNG CHỈ KHÓA CÔNG KHAI CỦA THẺ EMV 64
3.2.1 Tạo lập chứng chỉ khóa công khai của thẻ EMV 64
3.2.2 Kiểm tra chứng chỉ của thẻ EMV 68
3.3 XÁC THỰC DỮ LIỆU ỨNG DỤNG TĨNH 73
3.3.1 Tạo lập dữ liệu ứng dụng tĩnh 73
3.3.2 Xác thực dữ liệu của ứng dụng tĩnh đã được ký 77
Chương 4: XỬ LÝ GIAO DỊCH THẺ EMV 78

2
4.1 TỔNG QUAN VỀ GIAO DỊCH VỚI THẺ EMV 78
4.1.1 Sơ đồ giao dịch với thẻ EMV 78
4.1.2 Giao dịch thanh toán với thẻ EMV 80
4.2 XỬ LÝ ỨNG DỤNG 82
4.2.1 Khái niệm 83
4.2.2 Xử lý ứng dụng 85
4.3 ĐỌC DỮ LIỆU CỦA ỨNG DỤNG 86
4.3.1 Khái niệm 86
4.3.2 Xử lý dữ liệu AFL 87
4.3.3 Quy tắc đồng nhất cho dữ liệu 88
4.4 XÁC THỰC DỮ LIỆU NGOẠI TUYẾN 90
4.4.1 Khái niệm 90
4.4.2 Lựa chọn kỹ thuật xác thực ngoại tuyến 91
4.4.3 SDA ngoại tuyến 93
4.4.4 Xác thực dữ liệu động ngoại tuyến – offline DDA 97
4.5 NHỮNG HẠN CHẾ TRONG XỬ LÝ 107
4.5.2 Kiểm soát sử dụng ứng dụng 108
4.5.3 Kiểm tra ngày hết hạn/ngày hiệu lực của ứng dụng 111

4.6 KIỂM TRA CHỦ THẺ 111
4.6.1 Những kỹ thuật kiểm tra chủ thẻ trong EMV 111
4.6.2 Những đối tượng dữ liệu có liên quan trong kỹ thuật kiểm tra chủ thẻ 113
4.6.3 Xử lý phổ biến được thực hiện bởi thiết bị đọc 116
4.6.4 Xử lý PIN ngoại tuyến 119
4.6.5 Phong bì số RSA chứa PIN 124
4.6.6 Xử lý PIN trực tiếp 128
4.7 QUẢN LÝ RỦI RO TRONG THIẾT BI ĐẦU CUỐI 129
4.7.1 Hạn mức sàn của thiết bị đọc 130
4.7.2 Lựa chọn giao dịch ngẫu nhiên 131
4.7.3 Kiểm tra nhanh (Velocity checking) 134
4.8 PHÂN TÍCH HOẠT ĐỘNG CỦA THIẾT BỊ ĐẦU CUỐI 136
4.8.1 Mã hoạt động và chính sách bảo mật 136
4.8.2 Đề xuất của thiết bị đọc và quyết định của thẻ 139
4.8.3 Từ chối giao dịch ngoại tuyến 141
4.8.4 Truyền giao dịch trực tuyến 142
4.8.5 Hoạt động mặc định trong một giao dịch 144
4.8.6 Tính toán mã hóa ứng dụng với lệnh GENERATE AC 145
4.9 XÁC THỰC CỦA NHPH VÀ XỬ LÝ TRỰC TUYẾN 155
4.9.1 Yêu cầu và phản hồi xác thực với dữ liệu của chip 156
4.9.2 Xác thực của NHPH 159
4.10 NHỮNG KỊCH BẢN (SCRIPTS) CỦA NHPH 160
4.10.1 Việc xử lý những mẫu kịch bản của NHPH 160
4.10.2 Những lệnh sau phát hành 162
KẾT LUẬN 163
TÀI LIỆU THAM KHẢO 165

4
CÁC TỪ VIẾT TẮT
Từ viết tắt

Tiếng Anh
Tiếng Việt
ATR
Answer To Reset
Trả lời để khẳng định lại
Acquirer
NHTT
Ngân hàng thanh toán
ADF
Application Definition Files
Những file định nghĩa ứng dụng
AEF
Application Elementary
Files
Những file cơ bản của ứng dụng
AES
Advanced Encryption
Standard
Chuẩn mã hoá tiên tiến
AFL
Application File Locator
Ranh giới file ứng dụng
AID
Application Identifier
Định danh của ứng dụng
AIP
Application Interchange
Profile
Hồ sơ trao đổi ứng dụng
Amex

American Express
Thẻ Amex
APDU
Application Protocol Data
Units
Đơn vị dữ liệu giao thức ứng dụng
ATM
Automatic Teller Machine
Máy rút tiền tự động
CA
Certification Authorities
Chứng thực
C-APDU
Command - Application
Protocol Data Units
APDU lệnh
CCD
Crypto check digits
Mã hóa kiểm tra số
CLA
Class
―Lớp‖ chỉ thị
DES
Data Encryption Standard
Chuẩn mã hoá dữ liệu
DF
Dedicated File
Thư mục chuyên dụng
DOL
Data Object List

Danh sách đối tượng dữ liệu
E
Entity
Thực thể
EDC
Electrolic Data Capture
Máy thanh toán thẻ tự động
EEPROM
Electrically Erasable
Programmable Read Only
Memory
Bộ nhớ có thể ghi bằng tín hiệu điện
EF
Elementary File
file cơ bản
EMV
Europay Mastercard
Visacard
Công nghệ thẻ ƯMV
I
Issuer
Ngân hàng phát hành
ICC
Intergrated Circuit Card
Thẻ mạch tích hợp
IIN
Identification Number
Số định danh
INS
Instruction

―Mã‖ chỉ thị
ISO
International Standards
Organization
Hiệp hội tiêu chuẩn quốc tế
ISSUER
NHPH
Ngân hàng phát hành
MAC
Message Authentication
Codes
Mã xác thực thông điệp

5
Merchant
ĐVCNT
Đơn vị chấp nhận thẻ
MF
Master file
Thư mục gốc
MMU
Memory Management Unit
Đơn vị quản lý bộ nhớ
PDOL
Processing Options Data
Object List
Danh sách đối tượng dữ liệu tùy chọn
xử lý
PE
PIN encipherment

Mã hóa PIN
PIN
Personal Identification
Number
Số bảo mật cá nhân
POS
Point Of Service
Điểm bán hàng
RA
Receiver Application
Ứng dụng nhận
RAM
Random Access Memory
Bộ nhớ truy cập ngẫu nhiên
R-APDU
Response - Application
Protocol Data Units
APDU phản hồi
RE
Receiver Entity
Thực thể nhận
RID
Registered Application
Provider Identifier
Định danh của nhà cung cấp ứng
dụng đã đăng ký.
ROM
Read Only Memory
Bộ nhớ chỉ cho phép đọc
SA

Send Application
Ứng dụng gửi
SE
Send Entity
Thực thể gửi
SM
Secure Message
Thông điệp bảo mật
SP
Secure Packet
Gói tin bảo mật
TPDU
Transportation Protocol
Data Units
Đơn vị dữ liệu giao thức truyền thông
TSI
Transaction Status
Information
Thanh ghi trạng thái giao dịch
TVR
Terminal Verification
Results
Thanh ghi lưu kết quả kiểm tra của
thiết bị đọc.

6
MỞ ĐẦU
Thẻ ngân hàng là một trong những phương tiện thanh toán không dùng
tiền mặt, ra đời từ phương thức mua bán chịu hàng hoá bán lẻ và phát triển gắn
liền với sự ứng dụng công nghệ thông tin trong lĩnh vực ngân hàng. Trong khi

thẻ ngân hàng đã được sử dụng phổ biến trên thế giới thì tại thị trường Việt Nam
nó mới thu hút được sự quan tâm, đầu tư của các ngân hàng thương mại trong
nước vài năm trở lại đây. Cùng với nhịp phát triển sôi động trên thị trường, hàng
ngày qua các phương tiện thông tin, người dân được tiếp cận với nhiều thông tin
về thẻ, đặc biệt là những thông tin liên quan đến rủi ro phát sinh trong quá trình
sử dụng thẻ. Theo thống kê của tổ chức thẻ quốc tế Visa, năm 2004, giá trị giả
mạo thẻ Visa của các ngân hàng thương mại Việt Nam trong lĩnh vực phát hành
lên tới hơn 100.000 USD, tăng 34 % so với năm 2003, trong lĩnh vực thanh toán
thẻ là 381.000 USD. Tỷ lệ giả mạo trong phát hành và thanh toán thẻ của các
ngân hàng thương mại Việt Nam thường xuyên cao hơn tỷ lệ trung bình của thế
giới. Theo khuyến cáo của các tổ chức thẻ quốc tế, sau khi chính phủ các nước
trong khu vực như Thái Lan, Malayxia, Singapore áp dụng các biện pháp quản
lý chặt chẽ đối với hoạt động kinh doanh thẻ thì các tổ chức tội phạm thẻ bắt đầu
chuyển hướng sang các thị trường mới trong khu vực trong đó có Việt Nam.
Ở Việt nam hiện nay hầu hết NHPH thẻ đều sử dụng công nghệ thẻ từ, lưu
trữ dữ liệu trên dải băng từ trên thẻ. Công nghệ này đã lạc hậu trên thế giới bởi
nhược điểm là dễ bị ăn cắp thông tin, dễ bị làm giả, dễ bị nhiễu hoặc mất thông
tin khi tiếp xúc với môi trường từ tính Công nghệ thẻ từ đã được cải tiến mạnh
trong nhiều năm qua để tăng cường khả năng chống lại các hoạt động tội phạm
thẻ. Mặc dù vậy, công nghệ này đã phát triển đến đỉnh điểm rất khó có một
phương pháp mới chống gian lận hữu hiệu có thể được áp dụng cho chúng nữa.
Đứng trước tình hình đó, các tổ chức phát hành thẻ trên thế giới đã buộc phải
tìm kiếm giải pháp mới, đó là sử dụng loại thẻ EMV (hay còn gọi là thẻ thông
minh) thay cho loại thẻ từ thông dụng. Thẻ EMV có khả năng lưu trữ và xử lý
dữ liệu nhiều hơn, an toàn hơn và rất khó làm giả. Tính năng an toàn của thẻ
EMV sẽ giảm rủi ro giả mạo cho đơn vị chấp nhận thẻ, cũng như cho NHPH.

7
Chương 1: TỔNG QUAN VỀ CÔNG NGHỆ THẺ TỪ
Tại Việt nam hiện nay có khoảng 30 ngân hàng đang phát hành và thanh

toán thẻ ghi nợ nội địa, một số ngân hàng phát hành thẻ thanh toán ghi nợ quốc
tế cũng như thẻ thanh toán tín dụng quốc tế. Hầu hết các ngân hàng này đều
đang sử dụng công nghệ thẻ từ để phát hành thẻ, công nghệ đã lạc hậu và có
nhiều hạn chế như tính bảo mật kém, khả năng lưu trữ dữ liệu thấp, không có
khả năng xử lý dữ liệu linh hoạt và đã có rất nhiều rủi ro từ công nghệ này. Vậy
thẻ từ là gì và những rủi ro nào hay gặp với thẻ từ?
1.1 THẺ TỪ VÀ GIAO DỊCH VỚI THẺ TỪ
1.1.1 Thẻ từ
1.1.1.1 Khái niệm thẻ từ
Thẻ từ là một thẻ nhựa có gắn một dải băng từ ở mặt sau của thẻ. Dải
băng từ này có từ tính và các thiết bị đọc ghi thẻ có thể thay đổi nội dung dữ liệu
trên thẻ. Dải băng từ này dùng để lưu trữ thông tin của chủ thẻ. Thẻ từ hiện nay
chiếm phần lớn trong tổng số lượng thẻ đang sử dụng trên thị trường hiện nay.
1.1.1.2 Cấu trúc của thẻ từ
Dải băng từ [15] ở mặt sau của thẻ có kích thước là 8.5 x 1.2 cm. Dữ liệu
được mã hóa và ghi lại trên rãnh (track) của băng từ ở mặt sau của thẻ. Dữ liệu
này được tuân thủ theo chuẩn ISO 7811-2. Dải băng từ có ba rãnh (track) chứa
thông tin. Mỗi rãnh có độ rộng 1/10 inch.
1) Rãnh 1 (track 1)
Được phát triển bởi Hiệp hội hàng không quốc tế (IATA). Rãnh 1 có mật
độ dữ liệu 210 bit/inch và có thể lưu trữ tối đa 79 ký tự. Rãnh 1 bao gồm những
thông tin như là số thẻ, tên chủ thẻ, ngày hiệu lực, và những thông tin bổ sung.
SS
FC
PAN
FS
Name
FS
Additional Data
ES

LRC

8

Ký hiệu
Tiếng Anh
Diễn giải
Byte
SS
Start Sentinel
Ký tự bắt đầu
01
FC
Format Code
Mã định dạng
01
PAN
Primary Account
Số thẻ
19
FS
Field Separator
Ký tự ngăn cách
01
Name
Card Holder Name
Tên chủ thẻ
26

Additional Data

Dữ liệu bổ sung
29
ES
End Sentinel
Ký tự kết thúc
01
LRC
Longitudinal Redunancy Check
Kiểm tra độ dư thừa theo chiều dọc
01
2) Rãnh 2 (Track 2)
Được Hiệp hội ngân hàng của Mỹ phát triển. Rãnh 2 có mật độ 75 bpi, có
thể lưu trữ tối đa 40 ký tự.
SS
PAN
FS
Additional Data
ES
LRC
3) Rãnh 3 (Track 3)
Được Tổ chức tiết kiệm (Thift Industry) phát triển. Rãnh 3 có mật độ 210
bpi có thể lưu trữ tối đa 107 ký tự.
SS
FC
Data
FS
Data
ES
LRC
1.1.1.2 Các chuẩn dữ liệu ghi trên rãnh từ

Hai chuẩn dữ liệu được sử dụng để lưu trữ dữ liệu trên băng từ như sau:
a) Chuẩn ANSI/ISO ALPHA (Dùng cho rãnh 1)
Các bit dữ liệu
Ký tự
Giá trị
(Hex)
b1
b2
b3
b4
b5
b6
b7
0
0
0
0
0
0
1
Ký tự trống (space)
00
1
0
1
0
0
0
1
%

05
0
0
0
0
1
0
0
0
10
1
0
0
0
1
0
1
1
11
0
1
0
0
1
0
1
2
12
1
1

0
0
1
0
1
3
13
0
0
1
0
1
0
1
4
14
1
0
1
0
1
0
0
5
15
0
1
1
0
1

0
0
6
16
1
1
1
0
1
0
1
7
17
0
0
0
1
1
0
1
8
18
1
0
0
1
1
0
0
9

19
.
.
.
.
.
.
.
.
.


9
b) Chuẩn ANSI/ISO BCD (Dùng cho rãnh 2, 3)
Các bit dữ liệu
Ký tự
Giá trị
(Hex)
b1
b2
b3
b4
b5
0
0
0
0
1
0
00

1
0
0
0
0
1
01
0
1
0
0
0
2
02
1
1
0
0
1
3
03
0
0
1
0
0
4
04
1
0

1
0
1
5
05
0
1
1
0
1
6
06
1
1
1
0
0
7
07
0
0
0
1
0
8
08
1
0
0
1

1
9
09
0
1
0
1
1
:
0A
1
1
0
1
0
;
0B
0
0
1
1
1
<
0C
1
0
1
1
0
=

0D
0
1
1
1
0
>
0E
1
1
1
1
1
?
0F
1.1.2 Thẻ thanh toán
1.1.2.1 Khái niệm thẻ thanh toán
Thẻ thanh toán là phương tiện không dùng tiền mặt, ra đời từ phương thức
mua bán chịu hàng hóa bản lẻ và phát triển gắn liền với sự ứng dụng của công
nghệ thông tin trong lĩnh vực ngân hàng. Thẻ thanh toán do các ngân hàng phát
hành là công cụ thanh toán hàng hóa dịch vụ hoặc rút tiền mặt trong phạm vi số
dư tiền gửi của mình hoặc hạn mức tín dụng được cấp.
1.1.2.2 Thẻ tín dụng và thẻ ghi nợ
- Thẻ ghi nợ (debit card) là thẻ cho phép chủ thẻ sử dụng trên cơ sở số dư
tài khoản tiền gửi của chủ thẻ tại ngân hàng.
- Thẻ tín dụng (credit card) là thẻ cho phép chủ thẻ sử dụng thẻ trong hạn
mức tín dụng tuần hoàn được cấp và chủ thẻ phải thanh toán toàn bộ hoặc một
phần tối thiểu các khoản dư nợ phát sinh theo qui định.

10

1.1.2.3 Dữ liệu của thẻ thanh toán
Tùy theo thiết kế của các tổ chức phát hành thẻ mà dữ liệu của thẻ được thể hiện
trên thẻ một các khác nhau. Thông thường dữ liệu trên thẻ bao gồm: Dữ liệu trên
bề mặt thẻ và dữ liệu được ghi trên băng từ của thẻ.
- Dữ liệu trên bề mặt của thẻ có thể quan sát bằng mắt thường có thể là số thẻ,
ngày hiệu lực của thẻ, tên chủ thẻ…Dữ liệu này có thể được dập nổi hoặc in
chìm trên bề mặt của thẻ.
- Dữ liệu ghi trên băng từ của thẻ được tuân thủ theo chuẩn ISO 7811-2.
Ví dụ: Cấu trúc dữ liệu của thẻ Amex
-Rãnh 1:
%B370000000000000^CARDMEMBER NAME ^1212101080112345?
Vị trí
Trường
Tên trường
Giá trị
1
1
Ký tự bắt đầu
%
2
2
Mã định dạng
B
3 – 17
3
Số thẻ
370000000000000
18
4
Ký tự ngăn cách

^
19 – 44
5
Tên chủ thẻ
CARDMEMBER NAME
45
6
Ký tự ngăn cách
^
46 – 49
7
Thời hạn hiệu lực của thẻ
1212 (YYMM)
50 – 52
8
Mã dịch vụ
101
53 – 56
9
Ngày bắt đầu có hiệu lực
0801 (YYMM)
57 – 61
10
Mã bảo mật của thẻ
12345
62
11
Ký tự kết thúc
?
+ Trường mã dịch vụ (Service Code) chỉ ra thẻ được sử dụng như thế nào

(101: dùng cho các giao dịch quốc tế, 102: mua bán hàng hóa dịch vụ quốc tế
nhưng không dùng được ở máy ATM, 103: chỉ sử dụng cho máy ATM quốc
tế và có yêu cầu số PIN…)
+ Trường Mã bảo mật của thẻ: là giá trị có thể được NHPH sử dụng để xác
thực tính hợp lệ của thẻ. Mã bảo mật này được tạo ra bởi thuật toán DES
- Rãnh 2: ; B370000000000000=1212101080112345?
Cấu trúc của rãnh 2 cũng giống như của rãnh 1 nhưng không có tên của chủ thẻ.

11
1.1.2.4 Các thành phần giao dịch với thẻ thanh toán
Các chủ thể tham gia trong quá trình xử lý giao dịch thanh toán bằng thẻ
như: đơn vị phát hành thẻ, chủ thẻ, đơn vị chấp nhận thẻ, đơn vị thanh toán thẻ,
hiệp hội thẻ, và ngân hàng thực hiện.
- Đơn vị phát hành thẻ là một tổ chức tài chính hợp pháp, hoặc đại lý của
tổ chức tài chính đó phát hành thẻ thanh toán cho chủ thẻ và chịu trách nhiệm
cung cấp phản hồi theo yêu cầu hợp pháp. Tổ chức tài chính đó có thể là một
ngân hàng, vì thế có thể được xem NHPH thẻ, là thành viên của hiệp hội thẻ và
thông qua sản phẩm thẻ thanh toán do hiệp hội đưa ra. Đơn vị phát hành thẻ giữ
tài khoản của chủ thẻ để họ thực hiện thanh toán hóa đơn hoặc ghi nợ trực tiếp
vào tài khoản của chủ thẻ. Đơn vị phát hành thẻ đảm bảo việc thanh toán cho
những giao dịch hợp lệ, xử lý thanh toán thẻ theo quy định của sản phẩm thẻ
thanh toán và luật pháp của địa phương. Đơn vị phát hành hỗ trợ thanh toán và
thực hiện chức năng thanh toán giữa chủ thẻ và NHTT. Máy chủ của đơn vị phát
hành là hệ thống máy tính dùng để truy cập cơ sở dữ liệu tài khoản của chủ thẻ
và đại diện cho đơn vị phát hành trong xác thực, chuyển khoản và thanh toán.













Hình 1-1: Thành phần giao dịch với thẻ thanh toán

Hiệp hội thẻ/Trung
tâm điều hành hệ
thống thanh toán
Ngân hàng
phát hành
NHTT
NH chấp
nhận TT
Chủ thẻ
Đơn vị
chấp nhận thẻ

12
- Chủ thẻ là khách hàng của đơn vị phát hành thẻ mà có sử dụng thẻ thanh
toán trong giao dịch thanh toán thẻ của khách hàng.
- Đơn vị chấp nhận thẻ là các tổ chức hay cá nhân cung ứng hàng hóa,
dịch vụ chấp nhận thẻ làm công cụ thanh toán.
- Đơn vị thanh toán thẻ là một tổ chức tài chính hợp pháp (có thể là một
ngân hàng – NHTT) hoặc là một đại lý của tổ chức tài chính đó thực hiện thanh
toán theo tin thanh toán liên quan đến một giao dịch từ một đơn vị chấp nhận thẻ
và sau đó chuyển dữ liệu vào trong hệ thống trao đổi. NHTT là thành viên của

hiệp hội thẻ và chấp nhận sản phẩm thẻ thanh toán do hiệp hội thẻ đưa ra. NHTT
với tư cách trung gian giữa đơn vị chấp nhận thẻ và hiệp hội thẻ, cung cấp cho
các đơn vị chấp nhận thẻ cơ sở hạ tầng cần thiết và hỗ trợ xử lý xác thực, chuyển
khoản, thanh toán thông qua hệ thống trao đổi.
- Hiệp hội thẻ là tổ chức sở hữu sản phẩm thẻ thanh toán. Thành viên của
hiệp hội thẻ là những NHPH và thanh toán, cung cấp các dịch vụ tài chính bán lẻ
trực tiếp cho chủ thẻ và đơn vị chấp nhận thẻ. Hiệp hội thẻ chịu trách nhiệm
thực hiện hệ thống trao đổi dữ liệu, dữ liệu giao dịch trao đổi giữa NHTT và
NHPH trong việc xác thực, chuyển khoản và thanh toán. Hệ thống trao đổi được
thực hiện như là một mạng thanh toán với các nút xử lý được kết nối tới máy
chủ của NHPH và máy chủ của NHTT.
- Tổ chức thanh toán là một tổ chức tài chính nắm giữ tài khoản của
NHTT và NHPH, tổ chức này có thể là thành viên của hiệp hội thẻ. Tổ chức
thanh toán có thể là một ngân hàng được ký hợp đồng phụ với hiệp hội thẻ.
NHTT này hoạt động bằng cách chuyển các khoản tiền thích hợp giữa các tài
khoản của đơn vị phát hành, đơn vị thanh toán và hiệp hội thẻ dựa trên các thông
tin giao dịch do họ cung cấp.

13
1.2.2.5 Các giao dịch với thẻ thanh toán
a) Xử lý giao dịch với thẻ thanh toán
Khi đưa thẻ qua thiết bị đọc băng từ của máy ATM, dữ liệu tài chính được
đọc bởi thiết bị và lưu chúng trong bộ nhớ truy cập ngẫu nhiên (RAM). Chủ thẻ
nhập số PIN của mình vào, việc này thiết lập một liên kết giữa người sử dụng tại
điểm dịch vụ và chủ thẻ hợp pháp. Chủ thẻ cũng nhập dữ kiện số lượng tiền cần
rút. Sau khi nắm bắt thông tin này từ chủ thẻ, thiết bị đọc tạo gói tin giao dịch.
Gói tin này bao gồm số tiền cần rút kết hợp với những thông tin khác về điều
kiện giao dịch tại điểm dịch vụ đó (Số thiết bị đọc ID, ngày/giờ). Gói tin này
cũng bao gồm cả số PIN đã được mã hóa của chủ thẻ, việc mã hóa số PIN này
được thực hiện bởi thuật toán mã hóa số PIN.

Ở điểm này việc xử lý được thực hiện bởi thiết bị đọc ATM, và gói tin
này được đưa vào hệ thống mạng.
Thiết bị đọc
Mạng thanh toán
NHTT
TT điều hành
thanh toán
NHPH
Gói tin
thanh toán
Tạo một yêu cầu xác
thực từ gói tin thanh toán
Yêu cầu xác thực
Yêu cầu xác thực trực tiếp
đến NHPH thích hợp
Yêu cầu xác thực
Kiểm tra xem chủ thẻ có đủ
tiền trong tài khoản hay không
Kiểm tra PIN của chủ thẻ
Chấp nhận hay từ chối giao dịch
Tạo phản hồi xác thực
Tạo phản hồi xác thực
Hình 1-4: Mạng và xử lý đằng sau của giao dịch thanh toán thẻ


14
Máy ATM chuyển gói tin thanh toán tới NHTT, ngân hàng này giúp xuất
trình gói tin nhận được từ một hệ thống xử lý giao dịch phức tạp. Có nhiều thành
phần tham gia hoàn thiện quá trình xử lý này. Gói tin thanh toán được trao đổi
trong thời gian thực hoặc biên dịch trong lô file theo giao thức thiết lập một cách

rõ ràng. Mỗi một gói tin thanh toán truyền một vài thành phần dữ liệu và phụ
thuộc vào phạm vi xử lý. Trong khi dữ liệu được gửi từ một thành phần này đến
một thành phần khác, mỗi thành phần thực hiện một tập định trước các biến đổi
thành phần dữ liệu chứa trong gói tin theo quy tắc hoạt động trong hệ thống
thanh toán. Các bước sau mô tả quá trình xử lý.
NHTT tạo yêu cầu xác thực. Từ thiết bị đọc, NHTT thêm vào gói tin
thanh toán nhận được từ thiết bị đọc một vài thành phần dữ liệu được lưu trong
cơ sở dữ liệu của thiết bị đọc. Thành phần dữ liệu bao gồm vùng liên quan đến
thiết bị đọc, loại thiết bị, đặc điểm, và thông tin định danh nút của NHTT đã tạo
ra gói tin yêu cầu xác thực. NHTT PIN đã mã hóa nhận được ban đầu từ thiết bị
đọc vào mã hóa thứ hai mà có thể giải mã được bởi một modun bảo mật của
trung tâm điều hành hệ thống thanh toán. NHTT đính kèm mã hóa giao dịch để
yêu cầu xác thực gói tin.
NHTT truyền gói tin xác thực đến trung tâm điều hành hệ thống thanh
toán trong mạng thanh toán để máy chủ của NHTT đã kết nối. Nếu việc rút tiền
từ máy ATM ở nước ngoài, thì sau khi xác thực gói tin, trung tâm điều hành hệ
thống thanh toán đưa vào thêm tỷ giá chuyển đổi ngoại tệ của số tiền đã rút. Sau
đó, gói tin xác thực được truyền trực tiếp đến nút đích trong mạng của trung tâm
điều hành hệ thống thanh toán, nó được kết nối tới máy chủ của NHPH. Sau khi
khấu trừ số tiền giao dịch, nếu số dư tài khoản của chủ thẻ vẫn cao hơn một hạn
mức trần, thì NHPH sẽ chấp nhận cho phép thực hiện giao dịch rút tiền. Qua
phản hồi xác thực, máy chủ của NHPH cho NHTT biết là có chấp nhận hay từ
chối giao dịch hay không. NHTT chỉ thị cho máy ATM biết là có chấp nhận
thanh toán thẻ hay không.

15
b) Xử lý giao dịch tại điểm chấp nhận thẻ
Đầu tiên là bước nắm bắt dữ liệu dập nổi trên thẻ thanh toán, và nắm bắt
dữ liệu được lưu trữ trên băng từ bằng một thiết bị đọc điện tử. "Nắm bắt" ở đây
có nghĩa là cả hai phải đọc dữ liệu tài chính của thẻ thanh toán và định dạng gói

tin sẽ được chuyển tới NHTT. Những bước kiểm tra sau sẽ được thực hiện tùy
thuộc vào loại dữ liệu thu được tại điểm chấp nhận thanh toán thẻ:
- Nhân viên tại điềm chấp nhận thẻ kiểm tra nhãn hiệu của thẻ và loại sản
phẩm thẻ được chấp nhận. Nhân viên tại điểm chấp nhận thẻ quan sát và kiểm
tra tính xác thực của thẻ căn cứ vào hologram đính trên thẻ và kiểm tra thời hạn
của thẻ căn cứ vào thời gian ghi trên thẻ.
- Tại điểm chấp nhận thẻ có lắp đặt thiết bị đọc thẻ, việc kiểm tra số thẻ
trên rãnh từ sẽ được thực hiện.
Nếu những kiểm tra này không thành công, thì tính xác thực của thẻ
không được chấp nhận hoặc sự đồng nhất của dữ liệu lưu trên băng từ không
hợp lệ khi đó giao dịch thanh toán bị từ chối. Mặt khác, gói tin thanh toán sẽ
được định dạng. Gói tin này bao gồm dữ liệu đọc được từ thẻ và các chi tiết mô
tả quá trình giao dịch tại điểm chấp nhận thanh toán thẻ. Các yếu tố dữ liệu nổi
bật bao gồm:
1) Yếu tố dữ liệu về môi trường giao dịch: Nhóm này bao gồm tên và vị trí của
điểm chấp nhận thanh toán thẻ, loại ĐVCNT, số ĐVCNT, số của thiết bị đọc,
thời gian giao dịch.
2) Yếu tố dữ liệu giao dịch: Nhóm này bao gồm số lượng giao dịch, số tiền giao
dịch và mã tiền tệ. Nó cũng thể hiện loại thực hiện giao dịch trong trường hợp
có nhiều loại giao dịch. Có một số ví dụ về các loại giao dịch như mua hàng,
thanh toán hàng hóa và rút tiền, rút tiền từ thẻ tín dụng. Yếu tố dữ liệu loại giao
dịch được tham khảo trong mã xử lý.
3) Yếu tố dữ liệu xác thực gói tin: Đây là một loại số thứ tự cho phép việc định
danh duy nhất một gói tin thanh toán trong hệ thống. Yếu tố dữ liệu này được
tham khảo trong hệ thống theo số kiểm toán.


16
Thiết bị đọc tại điểm chấp nhận thẻ có thể quyết định kết thúc giao dịch
hoặc giao dịch cần phải có xác thực trực tuyến với NHPH. Xử lý tương ứng

được gọi là quản lý rủi ro tại điểm chấp nhận thẻ. Quyết định kết thúc giao dịch
ngoại tuyến hay trực tuyến sẽ có tác động đối với xử lý tiếp theo gói tin thanh
toán của NHTT và điều này cũng sẽ tác động tới quy trình thanh toán hoặc quy
trình xác thực. Quy trình quản lý rủi ro tại điểm chấp thẻ sẽ tính đến loại thẻ
thanh toán, môi trường giao dịch tại điểm chấp thẻ, và số tiền giao dịch so với
hạn mức tín dụng đã có.
Khi điểm chấp nhận thẻ được cung cấp thiết bị đọc điện tử có kết nối với
hệ thống mạng của NHTT thì yếu tố dữ liệu mã dịch vụ được ghi trên băng từ sẽ
cho biết NHPH xác thực trực tuyến là có tính bắt buộc thì gói tin thanh toán sẽ
được chuyển tới NHPH để xác thực. Trong trường hợp NHPH xác thực thẻ thì
việc xác thực này sẽ đánh giá độ chính xác của biến xác thực tĩnh được ghi trên
băng từ. Nếu rãnh 3 được sử dụng, thì lúc đó người ta sẽ thực hiện sự kiểm soát
bổ sung chống lại thẻ giả mạo, để xem xét sự đồng nhất của số bảo mật của thẻ
lưu trên rãnh và số ngẫu nhiên tương ứng lưu trong cơ sở dữ liệu tài khoản của
chủ thẻ được kết nối với thẻ. Nếu thẻ có yêu cầu kiểm tra số PIN, thì phải nhập
số PIN. Thiết bị đọc gửi số PIN được mã hóa tới NHPH để kiểm tra. Khi nhận
được kết quả của việc xác thực, thiết bị đọc tại điểm chấp nhận thẻ sẽ được
NHPH thông báo về việc chấp nhận hay từ chối giao dịch. Dựa vào kết quả xác
thực của NHPH, thì nhân viên của điểm chấp nhận thẻ sẽ yêu cầu chủ thẻ ký tên
trên hoá đơn bán hàng để so sánh với chữ ký in trên măt sau của thẻ. Bước này
kết thúc quá trình giao dịch trực tuyến tại điểm chấp nhận thẻ.
Nếu thẻ không yêu cầu NHPH xác thực trực tuyến, thì xác thực giao dịch
có thể thực hiện ngay tại điểm chấp nhận thẻ. Trường hợp này xảy khi đơn vị
chấp nhận thẻ không được trang bị thiết bị đọc điện tử, hoặc có nhưng không kết
nối trực tiếp với hệ thống mạng của NHTT. Xác thực tại chỗ phần lớn dựa vào
sự so sánh số tiền giao dịch với hạn mức sàn được NHTT qui định. Nếu số tiền
giao dịch thấp hơn hạn mức sàn thì giao dịch bị từ chối vì chi phí của qúa trình
thanh toán giao dịch điện tử sẽ cao hơn so với số tiền giao dịch. Nếu như số tiền
giao dịch cao hơn mức trên của hạn mức sàn, thì giao dịch bị từ chối vì các rủi
ro ở điểm chấp nhận thẻ sẽ không được các NHTT chấp nhận.


17
Việc xác nhận số PIN có thể được thực hiện tại chỗ như phương pháp xác
nhận chủ thẻ tại điểm chấp nhận dịch vụ khi thỏa mãn hai điều kiện sau:
- Điều kiện thứ nhất: số PIN được ghi trên băng từ của thẻ.
- Điều kiện thứ hai: thiết bị đọc có một bàn phím nhập PIN bảo mật, và khóa mã
đối xứng cho tính toán giá trị điều khiển của số PIN giả thiết, sử dụng thuật toán
tạo/kiểm tra MAC. Cũng tương tự như thế, việc xác thực tĩnh và CCD (nếu có
rãnh 3) có thể được kiểm tra tại chỗ để đánh giá việc xác thực thẻ nếu thiết bị
đọc tại điểm chấp nhận dịch vụ có thiết bị mã hóa cần thiết để thực hiện việc
kiểm tra thuật toán MAC.
Nếu như thẻ mã hóa số tiền còn lại trong trường chu kỳ thực hiện giao
dịch trên rãnh 3, thì quản lý rủi ro tại điểm chấp nhận dịch vụ được cải thiện với
một thành phần quản lý rủi ro thẻ sơ đẳng dự kiến sẽ bảo vệ của NHPH chống
lại việc chủ thẻ tiêu vượt hạn mức. Giao dịch được xác thực ngoại tuyến nếu như
số tiền giao dịch nhỏ hơn hạn mức sàn và số tiền còn lại trong tham số chu kỳ
này, tham số này chỉ ra hạn mức chi tiêu được áp đặt bởi NHTT.
Gói tin thanh toán mô tả giao dịch xác thực ngoại tuyến được tập hợp
trong bộ nhớ cố định của thiết bị đọc tại điểm chấp nhận thẻ. Gói tin thanh toán
được biên soạn trong một nhóm file dữ liệu theo định kỳ, hoặc khi dung lượng
của bộ nhớ cố định bị hết, sau đó gói tinh thanh toán sẽ được chuyển đến NHTT.
Định kỳ, NHTT truyền nhóm file này vào hệ thống trao đổi để thực hiện việc
thanh toán thẻ.

18
1.2.3 Mạng thanh toán và gói tin trao đổi
Thiết bị đọc lắp đặt tại các điểm chấp nhận dịch vụ kết nối tới máy chủ
của NHTT qua hệ thống mạng của NHTT. Định dạng i) Gói tin thanh toán do
thiết bị đọc tạo ra tại điểm chấp nhận dịch vụ và được chuyển tới máy chủ của
NHTT và ii) Gói tin xác nhận từ máy chủ của NHTT chuyển tới thiết bị đọc

trong hệ thống mạng của NHTT.
Tình huống đơn giản nhất, NHTT quản lý thiết bị đọc tại điểm chấp nhận
dịch vụ và NHPH thẻ tham gia giao dịch thanh toán là nhà thuê bao sử dụng
dịch vụ cùng một hệ thống mạng thanh toán. Mạng này thuộc quyền sở hữu của
một hiệp hội thẻ hoặc một trung tâm điều hành hệ thống thanh toán có nhiệm vụ
quản lý mạng và giải quyết các quỹ giữa NHPH và NHTT theo một giao dịch
thanh toán. Mỗi một máy chủ của NHTT (AH – Acquirer host) và máy chủ của
NHPH (IH – Issuer hót) được kết nối các nút riêng rẽ của mạng thanh toán, được
xem là nút của NHTT (AN – Acquirer Node) và nút NHPH (IN – Issuer node).
Để gia tăng tính sẵn sàng các dịch vụ của NHPH, NHPH có thể nhân đôi các
chức năng của một IH thông qua hoạt động của một chiếc máy tính thứ hai như
là một chiếc hoạt động dự phòng. Trung tâm điều hành hệ thống thanh toán có
thể cung cấp qui trình dự phòng thuận lợi cho NHPH, qua đó trung tâm điều
hành hệ thống thanh toán có thể trả lời yêu cầu xác thực với tư cách đại diện cho
NHPH trong trường hợp không có máy chủ nào của NHPH sẵn sàng xử lý việc
xác thực.
Tình huống phức tạp hơn, NHTT quản lý thiết bị đọc tại điểm chấp nhận
thẻ và NHPH của thẻ tham gia giao dịch thanh toán là các thuê bao cung cấp
dịch vụ do những hệ thống mạng thanh toán khác nhau, hệ thống mạng được
thiết lập hỗ trợ những thỏa thuận cho cả hai bên. Để đảm bảo sự tương thích
giữa hai mạng khác nhau, hai nút cổng giao tiếp, GN1 (Gateway node 1) và
GN2 (Gateway node 2), bắt buộc cung cấp gói tin giải thích giữa hai môi trường
không đồng nhất. Những quy định khác nhau liên quan đến định nghĩa của
những gói tin giao dịch và lưu lượng của chúng có thể chi phối hai mạng thanh
toán quan hệ nối liền với nhau.

19
Một cấu trúc có thể của một mạng thanh toán được trình bày như trong Hình 2.4
Thẻ Thiết bị đọc thẻ
Hệ thống mạng thanh toán

Máy chủ của
Acquirer (AH)
Nút của
Acquirer
Nút cổng
(GN1)
Nút của
Issuer (IH)
Máy chủ của
Issuer (IH)
Hợp tác hệ thống mạng thanh toán
Nút cổng
(GN2)

Hình 1-3: Hệ thống mạng thanh toán
Trong cấu trúc này một trung tâm điều hành hệ thống mạng thanh toán quốc gia
giao dịch với một loại tiền tệ có thể quản lý hệ thống mạng thanh toán, trong khi
một hiệp hội thẻ quốc tế giao dịch với nhiều loại tiền tệ có thể quản lý cùng lúc
nhiều hệ thống mạng thanh toán.

20
1.2.3.1 Cấu trúc gói tin
NHTT và NHPH cần phải trao đổi gói tin với mục đích hoàn thiện việc
xác thực, thanh toán, qui trình thanh toán. Cả NHTT và NHPH có thể thực hiện
vai trò của người gửi hoặc của người nhận gói tin. Để tăng cường mối quan hệ
giữa hệ thống mạng thanh toán, chuẩn ISO/IEC 8583:1993 [14] đưa ra định
dạng của những gói tin theo cấu trúc sau:
- Định danh loại gói tin;
- Sự miêu tả ảnh bitmap, bao gồm một hoặc hai ảnh bitmap 64 bits cho mỗi
ảnh, đưa ra chỉ số của thành phần dữ liệu mà có quan hệ trong gói tin;

- Một dãy những thành phần dữ liệu, theo trật tự chỉ rõ miêu tả ảnh bitmap,
thể hiện nội dung của gói tin.
Chuẩn định nghĩa từ điển của những thành phần dữ liệu có thể được sử
dụng để trao đổi. Khi một bit là một tập trong cấu trúc của gói tin, thành phần dữ
liệu tương ứng bao gồm cả nội dung của gói tin. Một số thành phần dữ liệu có
độ dài cố định. Một vài thành phần khác có độ dài thay đổi. Mặc dù vậy chuẩn
này không ngăn ngừa việc sử dụng thành phần dữ liệu thêm vào mà không được
xác định rõ trong từ điển dữ liệu, đáp ứng những yêu cầu đặc biệt của trung tâm
điều hành hệ thống thanh toán cho việc sử dụng riêng.
Loại định danh gói tin là một trường số bao gồm bốn con số.
1) Số thứ nhất xác định số phiên bản của gói tin như sau:
0: gói tin định nghĩa trong chuẩn phát hành trước theo chuẩn ISO
8583:1987;
1: gói tin định nghĩa trong chuẩn phát hành hiện tại theo ISO
8583:1993[14];
2-7: dự trữ cho những chuẩn ISO được sử dụng về sau;
8: dự trữ cho quốc gia sử dụng;
9: dự trữ cho việc dùng riêng;


21
2) Số thứ hai ghi lớp gói tin như sau:
0 - dự trữ cho ISO: gói tin trong lớp này được dự trữ cho sử dụng chuẩn ISO.
1 - xác thực: gói tin trong lớp này được sử dụng cho việc xác thực giao dịch,
việc xác thực là một sự chấp nhận hay sự đảm bảo của quĩ NHPH thẻ cho NHTT
đưa ra. Việc xác thực như sau: số tiền giao dịch được NHPH chấp nhận không
lập tức khấu trừ vào tài khoản của khách hàng. Việc này được trì hoãn cho đến
tận khi một gói tin giao dịch được NHTT gửi cho NHPH, xác nhận giao dịch
thành công tại điểm chấp nhận dịch vụ.
2 - tài chính: gói tin trong lớp này thực hiện một giao dịch tài chính mà khấu trừ

trực tiếp số tiền giao dịch tới tài khoản của chủ thẻ.
3 - file gói tin hoạt động: gói tin trong lớp này cho phép khởi tạo một giao dịch
điều khiển từ xa trên hệ thống file đặt trong một thiết bị, giống như việc thêm
vào, thay đổi, xóa, thay thế bản ghi trong file hoặc thêm hay xóa file trong hệ
thống. Những gói tin này được sử dụng để thực hiện việc quản lý danh mục của
thẻ, danh mục này gồm những thẻ mà dễ bị lợi dụng (thẻ mất cắp, lạm dụng tiêu
vượt hạn mức )
4 - giao dịch hủy bỏ/tra soát: giao dịch hoàn trả được sử dụng để hủy bỏ hiệu lực
của việc xác thực trước đó. NHTT thực hiện một giao dịch hoàn trả khi kết quả
của một xác thực hoặc giao dịch tài chính là không nhận được từ NHPH trong
thời gian cho phép hoặc chủ thẻ tự ý hủy bỏ xác thực. Giao dịch tra soát cũng
hủy bỏ hiệu lực của một xác thực trước đó, nhưng mà là NHPH chủ động hủy
bỏ. Lý do mà NHPH có thể viện dẫn cho việc thực hiện một giao dịch tra soát
bao gồm tranh chấp của khách hàng, sự vi phạm của những qui tắc liên quan đến
việc của một loại đảm bảo của sản phẩm thẻ trên một thiết bị đọc xác định, sử
dụng thẻ hết hạn, hoặc giao dịch không hợp lệ.
Những gói tin trong lớp 5 - sự hòa hợp, 6 - quản trị, 7 - phí thu giữ, 8 - quản lý
mạng (chi tiết trong chuẩn ISO 8583:1993 [14]).

22
3) Số thứ ba trong gói tin định danh này chỉ rõ tình huống sử dụng gói tin.
- Người gửi đề địa chỉ một gói tin yêu cầu (số thứ 3 = 0) để cho người
nhận biết rằng một giao dịch đang trong quá trình xử lý và đợi trả lời yêu cầu
hoàn thành giao dịch. Người nhận đánh giá yêu cầu và chấp nhận hay từ chối
giao dịch, truyền lại cho người gửi sự quyết định trong một gói tin trả lời yêu
cầu (số thứ 3 = 1).
- Người gửi thông báo cho người nhận bằng một gói tin (số thứ 3 = 2) cho
thấy giao dịch chắc chắn đã được hoàn thành tại điểm chấp nhận dịch vụ. Người
nhận không cần thiết phải chấp nhận hay từ chối thông báo, nhưng phải chi tiết
gói tin trả lời thông báo (số thứ = 3), và sẽ gửi lại cho người gửi.

- Người gửi thông báo cho người nhận bằng một gói tin (số thứ tư = 4) về
một hoạt động chắc chắn được thực hiện. Gói tin thông báo không yêu cầu phản
hồi lại từ người nhận đến người gửi.
4) Số thứ tư xác định nguồn gốc giao dịch và xem giao dịch hiện tại có lặp lại
giao dịch trước.
0: NHTT là người khởi tạo giao dịch.
1: NHTT là người khởi tạo giao dịch lặp lại.
2: NHPH là người khởi tạo giao dịch.
3: NHPH là người khởi tạo giao dịch lặp lại.
4: vai trò khác là người khởi tạo giao dịch
5: vai trò khác là người khởi tạo giao dịch lặp lại
Điều này là quan trọng đề cập rằng có sự độc lập giữa ba số cuối cùng của
loại gói tin định danh; ví dụ: một giao dịch hoàn trả sẽ chỉ sử dụng gói tin thông
báo (1420/1431 và 1430/1431) hoặc gói tin khai báo (1440/1441).

23
1.2.3.2 Sơ đồ gói tin
Khi một thiết bị đọc kết nối trực tiếp tới NHTT và số tiền thực hiện trong
giao dịch là lớn hơn một ngưỡng giới hạn rủi ro, thì thiết bị đọc sẽ khởi tạo một
giao dịch xác thực. Sau khi nhận dữ liệu giao dịch riêng từ thiết bị đọc, NHTT
thực hiện giai đoạn xác thực. Nếu việc xác thực không tác động đến tài khoản
của chủ thẻ, trật tự thanh toán theo thứ tự sau.
Trong một mạng gói tin song song, giai đoạn xác thực được thực hiện với
một gói tin yêu cầu xác thực (1100). Theo đánh giá của IH đối với yêu cầu này,
NHPH sẽ chấp nhận hay từ chối việc bảo lãnh vốn theo tình trạng tài chính của
chủ thẻ. NHTT sẽ được thông báo có hành động thích hợp bằng một gói tin trả
lời yêu cầu xác thực (1110). Sau khi xác thực thì số tiền giao dịch được NHPH
chấp nhận sẽ không bị khấu trừ ngay vào tài khoản của chủ thẻ. Việc này chỉ
được thực hiện khi có một gói tin tài chính riêng biệt được NHTT gửi đến
NHPH, xác nhận sự hoàn thành của giao dịch tại điểm chấp nhận giao dịch ngay

sau khi xác thực. Gói tin tài chính này thực hiện giai đoạn thanh toán. Có hai
hình thức thanh toán:
1) Thanh toán trực tuyến:
Sau khi nhận gói tin trả lời yêu cầu xác thực (1110), NHTT sẽ đưa ra gói
tin thông báo tài chính (1220) trừ số tiền giao dịch vào tài khoản của chủ thẻ.
NHPH thông báo NHTT về kết quả thực hiện bằng gói tin thông báo tài chính
(1230).
Một cái nhìn tổng quát về thanh toán trực tiếp trong mạng gói tin song
song được thể hiện trong Hình 2.5


24
2) Thanh toán ngoại tuyến:
Sau khi nhận được gói tin trả lời yêu cầu xác thực (1110), NHPH tạo ra
một gói tin khai báo tài chính được lưu trong lô file thanh toán. Định kỳ, file này
được chuyển đến NHPH và khấu trừ tới tài khoản thích hợp của chủ thẻ.
Một cái nhìn tổng quan của thanh toán ngoại tuyến trong mạng gói tin
song song chấp nhận giao dịch trực tuyến được minh họa trong Hình 1-5.


25
Trong một mạng gói tin đơn, giai đoạn xác thực và giai đoạn thanh toán
được thực hiện cùng một lúc với một gói tin yêu cầu tài chính (1200). Theo đánh
giá của IH đối với yêu cầu này NHPH sẽ chấp nhận hay từ chối việc bảo đảm
quỹ theo tình hình tài chính của chủ thẻ. NHTT cho biết về hoạt động thích hợp
qua gói tin trả lời tài chính (1210). Ngay sau khi xác thực tài chính, số tiền giao
dịch mà được NHPH chấp nhận lập tức khấu trừ vào tài khoản của chủ thẻ.
Tổng quan về quá trình xác thực tài chính được đưa ra theo Hình 1-6

Khi một thiết bị đọc không kết nối trực tuyến hoặc số tiền tham gia giao

dịch là thấp hơn một ngưỡng rủi ro giới hạn được chấp nhận bởi cả NHPH và
thanh toán – giai đoạn xác thực có thể được hoàn thành tại chỗ giữa máy đọc và
thẻ. Trong trường hợp thiết bị đọc thông báo giao dịch không được xác thực,
theo đó NHTT sẽ không đưa ra một gói tin yêu cầu xác thực cũng như tin yêu
cầu tài chính. (1100) mà cũng không có một gói tin yêu cầu tài chính (1200) cho
NHPH. Sau khi thiết bị đọc báo cáo tất cả giao dịch nó thực hiện ngoại tuyến
trong một khoảng thời gian nào đó, NHTT sẽ thông báo cho NHPH biết việc
hoàn thành tại chỗ của những giao dịch tại điểm chấp nhận thẻ trong phạm vi
thanh toán.

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×