ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

PHẠM HUY NAM

MỘT SỐ GIẢI PHÁP HẠN CHẾ RỦI RO

TRONG THANH TOÁN THẺ

LUẬN VĂN THẠC SĨ

Hà nội – 12/2007


MỤC LỤC

MỤC LỤC ...........................................................................................................................
LỜI CẢM ƠN .....................................................................................................................
CÁC TỪ VIẾT TẮT ...........................................................................................................
MỞ ĐẦU.................................................
Chương 1: TỔNG QUAN VỀ CÔNG NGHỆ THẺ TỪ ....................................................
1.1 THẺ TỪ VÀ GIAO DỊCH VỚI THẺ TỪ ....................................................................

1.1.1Thẻ từ ......................................
1.1.2Thẻ thanh toán ........................
1.2.3Mạng thanh toán và gói tin trao
1.2 CÁC LOẠI RỦI RO TRONG SỬ DỤNG THẺ THANH TOÁN ...............................

1.2.1Rủi ro trong phát hành ............
1.2.2Rủi ro trong hoạt động thanh to
1.2.3Rủi ro kỹ thuật ........................

1.2.4Giải pháp khắc phục rủi ro khi
Chương 2: CÔNG NGHỆ THẺ EMV ..............................................................................
2.1 TỔNG QUAN VỀ THẺ THÔNG MINH...................................................................

2.1.1Khái niệm thẻ thông minh ......
2.1.2Phân loại thẻ thông minh ........
2.1.3Phần cứng của thẻ thông minh
2.1.4Hệ điều hành của thẻ thông mi
2.1.5Truyền dữ liệu trong thẻ thông
2.1.6Các chuẩn trong thẻ thông min
2.1.7Ứng dụng trong thẻ thông min
2.2 VẤN ĐỀ BẢO MẬT TRONG THẺ THÔNG MINH ................................................

2.2.1Các phương pháp cơ bản.........
2.2.2Những biện pháp bảo vệ .........
2.3 TỔNG QUAN VỀ THẺ EMV...................................................................................

2.3.1Giới thiệu thẻ EMV ................
2.3.2 Thành phần dữ liệu của thẻ EMV........................................................................
Chương 3: CHỨNG CHỈ SỬ DỤNG VỚI THẺ EMV ....................................................
3.1 GIỚI THIỆU CHỨNG CHỈ DÙNG VỚI THẺ EMV .................................................

3.1.1Các loại chứng chỉ dùng với th
3.1.2Kỹ thuật ký số và mã hóa dùng
3.1.3Chứng chỉ cho các thực thể liê
3.1.4 Chứng thực sử dụng với thẻ EMV ......................................................................
3.2 CHỨNG CHỈ KHÓA CÔNG KHAI CỦA THẺ EMV...............................................

3.2.1Tạo lập chứng chỉ khóa công k
3.2.2Kiểm tra chứng chỉ của thẻ EM

3.3 XÁC THỰC DỮ LIỆU ỨNG DỤNG TĨNH..............................................................

3.3.1Tạo lập dữ liệu ứng dụng tĩnh .
3.3.2Xác thực dữ liệu của ứng dụng
Chương 4: XỬ LÝ GIAO DỊCH THẺ EMV ...................................................................
1


4.1 TỔNG QUAN VỀ GIAO DỊCH VỚI THẺ EMV.................................................................. 78
4.1.1 Sơ đồ giao dịch với thẻ EMV.............................................................................................. 78
4.1.2 Giao dịch thanh toán với thẻ EMV.................................................................................... 80
4.2 XỬ LÝ ỨNG DỤNG.................................................................................................................... 82
4.2.1 Khái niệm................................................................................................................................. 83
4.2.2 Xử lý ứng dụng....................................................................................................................... 85
4.3 ĐỌC DỮ LIỆU CỦA ỨNG DỤNG.......................................................................................... 86
4.3.1 Khái niệm................................................................................................................................. 86
4.3.2 Xử lý dữ liệu AFL.................................................................................................................. 87
4.3.3 Quy tắc đồng nhất cho dữ liệu............................................................................................ 88
4.4 XÁC THỰC DỮ LIỆU NGOẠI TUYẾN................................................................................ 90
4.4.1 Khái niệm................................................................................................................................. 90
4.4.2 Lựa chọn kỹ thuật xác thực ngoại tuyến........................................................................... 91
4.4.3 SDA ngoại tuyến.................................................................................................................... 93
4.4.4 Xác thực dữ liệu động ngoại tuyến – offline DDA........................................................ 97
4.5 NHỮNG HẠN CHẾ TRONG XỬ LÝ................................................................................... 107
4.5.2 Kiểm soát sử dụng ứng dụng............................................................................................ 108
4.5.3 Kiểm tra ngày hết hạn/ngày hiệu lực của ứng dụng.................................................... 111
4.6 KIỂM TRA CHỦ THẺ............................................................................................................... 111
4.6.1 Những kỹ thuật kiểm tra chủ thẻ trong EMV............................................................... 111
4.6.2 Những đối tượng dữ liệu có liên quan trong kỹ thuật kiểm tra chủ thẻ..................113
4.6.3 Xử lý phổ biến được thực hiện bởi thiết bị đọc............................................................ 116

4.6.4 Xử lý PIN ngoại tuyến........................................................................................................ 119
4.6.5 Phong bì số RSA chứa PIN............................................................................................... 124
4.6.6 Xử lý PIN trực tiếp.............................................................................................................. 128
4.7 QUẢN LÝ RỦI RO TRONG THIẾT BI ĐẦU CUỐI........................................................ 129
4.7.1 Hạn mức sàn của thiết bị đọc............................................................................................ 130
4.7.2 Lựa chọn giao dịch ngẫu nhiên........................................................................................ 131
4.7.3 Kiểm tra nhanh (Velocity checking)................................................................................ 134
4.8 PHÂN TÍCH HOẠT ĐỘNG CỦA THIẾT BỊ ĐẦU CUỐI............................................... 136
4.8.1 Mã hoạt động và chính sách bảo mật.............................................................................. 136
4.8.2 Đề xuất của thiết bị đọc và quyết định của thẻ............................................................. 139
4.8.3 Từ chối giao dịch ngoại tuyến.......................................................................................... 141
4.8.4 Truyền giao dịch trực tuyến.............................................................................................. 142
4.8.5 Hoạt động mặc định trong một giao dịch....................................................................... 144
4.8.6 Tính toán mã hóa ứng dụng với lệnh GENERATE AC.............................................. 145
4.9 XÁC THỰC CỦA NHPH VÀ XỬ LÝ TRỰC TUYẾN.................................................... 155
4.9.1 Yêu cầu và phản hồi xác thực với dữ liệu của chip..................................................... 156
4.9.2 Xác thực của NHPH............................................................................................................ 159
4.10 NHỮNG KỊCH BẢN (SCRIPTS) CỦA NHPH................................................................ 160
4.10.1 Việc xử lý những mẫu kịch bản của NHPH................................................................ 160
4.10.2 Những lệnh sau phát hành............................................................................................... 162
KẾT LUẬN............................................................................................................................................. 163
TÀI LIỆU THAM KHẢO.................................................................................................................. 165
2


CÁC TỪ VIẾT TẮT
Từ viết tắt
ATR
Acquirer
ADF

AEF
AES
AFL
AID
AIP
Amex
APDU
ATM
CA
C-APDU
CCD
CLA
DES
DF
DOL
E
EDC
EEPROM
EF
EMV
I
ICC
IIN
INS
ISO
ISSUER
MAC
4

Merchant



MF
MMU
PDOL
PE
PIN
POS
RA
RAM
R-APDU
RE
RID
ROM
SA
SE
SM
SP
TPDU
TSI
TVR

5


MỞ ĐẦU
Thẻ ngân hàng là một trong những phương tiện thanh toán không dùng
tiền mặt, ra đời từ phương thức mua bán chịu hàng hoá bán lẻ và phát triển gắn
liền với sự ứng dụng công nghệ thông tin trong lĩnh vực ngân hàng. Trong khi
thẻ ngân hàng đã được sử dụng phổ biến trên thế giới thì tại thị trường Việt Nam

nó mới thu hút được sự quan tâm, đầu tư của các ngân hàng thương mại trong
nước vài năm trở lại đây. Cùng với nhịp phát triển sôi động trên thị trường, hàng
ngày qua các phương tiện thông tin, người dân được tiếp cận với nhiều thông tin
về thẻ, đặc biệt là những thông tin liên quan đến rủi ro phát sinh trong quá trình
sử dụng thẻ. Theo thống kê của tổ chức thẻ quốc tế Visa, năm 2004, giá trị giả
mạo thẻ Visa của các ngân hàng thương mại Việt Nam trong lĩnh vực phát hành
lên tới hơn 100.000 USD, tăng 34 % so với năm 2003, trong lĩnh vực thanh toán
thẻ là 381.000 USD. Tỷ lệ giả mạo trong phát hành và thanh toán thẻ của các
ngân hàng thương mại Việt Nam thường xuyên cao hơn tỷ lệ trung bình của thế
giới. Theo khuyến cáo của các tổ chức thẻ quốc tế, sau khi chính phủ các nước
trong khu vực như Thái Lan, Malayxia, Singapore... áp dụng các biện pháp quản
lý chặt chẽ đối với hoạt động kinh doanh thẻ thì các tổ chức tội phạm thẻ bắt đầu
chuyển hướng sang các thị trường mới trong khu vực trong đó có Việt Nam.
Ở

Việt nam hiện nay hầu hết NHPH thẻ đều sử dụng công nghệ thẻ từ, lưu

trữ dữ liệu trên dải băng từ trên thẻ. Công nghệ này đã lạc hậu trên thế giới bởi
nhược điểm là dễ bị ăn cắp thông tin, dễ bị làm giả, dễ bị nhiễu hoặc mất thông
tin khi tiếp xúc với môi trường từ tính... Công nghệ thẻ từ đã được cải tiến mạnh
trong nhiều năm qua để tăng cường khả năng chống lại các hoạt động tội phạm
thẻ. Mặc dù vậy, công nghệ này đã phát triển đến đỉnh điểm rất khó có một
phương pháp mới chống gian lận hữu hiệu có thể được áp dụng cho chúng nữa.
Đứng trước tình hình đó, các tổ chức phát hành thẻ trên thế giới đã buộc phải
tìm kiếm giải pháp mới, đó là sử dụng loại thẻ EMV (hay còn gọi là thẻ thông
minh) thay cho loại thẻ từ thông dụng. Thẻ EMV có khả năng lưu trữ và xử lý
dữ liệu nhiều hơn, an toàn hơn và rất khó làm giả. Tính năng an toàn của thẻ
EMV sẽ giảm rủi ro giả mạo cho đơn vị chấp nhận thẻ, cũng như cho NHPH.

6



Chương 1: TỔNG QUAN VỀ CÔNG NGHỆ THẺ TỪ
Tại Việt nam hiện nay có khoảng 30 ngân hàng đang phát hành và thanh
toán thẻ ghi nợ nội địa, một số ngân hàng phát hành thẻ thanh toán ghi nợ quốc
tế cũng như thẻ thanh toán tín dụng quốc tế. Hầu hết các ngân hàng này đều
đang sử dụng công nghệ thẻ từ để phát hành thẻ, công nghệ đã lạc hậu và có
nhiều hạn chế như tính bảo mật kém, khả năng lưu trữ dữ liệu thấp, không có
khả năng xử lý dữ liệu linh hoạt và đã có rất nhiều rủi ro từ công nghệ này. Vậy
thẻ từ là gì và những rủi ro nào hay gặp với thẻ từ?
1.1 THẺ TỪ VÀ GIAO DỊCH VỚI THẺ TỪ
1.1.1 Thẻ từ
1.1.1.1 Khái niệm thẻ từ
Thẻ từ là một thẻ nhựa có gắn một dải băng từ ở mặt sau của thẻ. Dải
băng từ này có từ tính và các thiết bị đọc ghi thẻ có thể thay đổi nội dung dữ liệu
trên thẻ. Dải băng từ này dùng để lưu trữ thông tin của chủ thẻ. Thẻ từ hiện nay
chiếm phần lớn trong tổng số lượng thẻ đang sử dụng trên thị trường hiện nay.
1.1.1.2 Cấu trúc của thẻ từ
Dải băng từ [15] ở mặt sau của thẻ có kích thước là 8.5 x 1.2 cm. Dữ liệu
được mã hóa và ghi lại trên rãnh (track) của băng từ ở mặt sau của thẻ. Dữ liệu
này được tuân thủ theo chuẩn ISO 7811-2. Dải băng từ có ba rãnh (track) chứa
thông tin. Mỗi rãnh có độ rộng 1/10 inch.
1) Rãnh 1 (track 1)
Được phát triển bởi Hiệp hội hàng không quốc tế (IATA). Rãnh 1 có mật
độ dữ liệu 210 bit/inch và có thể lưu trữ tối đa 79 ký tự. Rãnh 1 bao gồm những
thông tin như là số thẻ, tên chủ thẻ, ngày hiệu lực, và những thông tin bổ sung.
SS

FC


7


Ký hiệu

Tiến

SS
FC
PAN
FS
Name

Start Sentinel
Format Code
Primary Accou
Field Separator
Card Holder Na
Additional Dat
End Sentinel
Longitudinal R

ES
LRC

2) Rãnh 2 (Track 2)
Được Hiệp hội ngân hàng của Mỹ phát triển. Rãnh 2 có mật độ 75 bpi, có
thể lưu trữ tối đa 40 ký tự.
SS PAN FS Additional Data ES LRC 3) Rãnh 3
(Track 3)

Được Tổ chức tiết kiệm (Thift Industry) phát triển. Rãnh 3 có mật độ
210 bpi có thể lưu trữ tối đa 107 ký tự.
SS FC

Data

FS

Data

ES

LRC

1.1.1.2 Các chuẩn dữ liệu ghi trên rãnh từ
Hai chuẩn dữ liệu được sử dụng để lưu trữ dữ liệu trên băng từ như sau:
a)

Chuẩn ANSI/ISO ALPHA (Dùng cho rãnh 1)
Các bit dữ liệu
b1
0
1
0
1
0
1
0
1
0

1
0
1
.

b2
0
0
0
0
1
1
0
0
1
1
0
0
.

8


b) Chuẩn ANSI/ISO BCD (Dùng cho rãnh 2, 3)
Các bit dữ liệu
b1
0
1
0
1

0
1
0
1
0
1
0
1
0
1
0
1

b2
0
0
1
1
0
0
1
1
0
0
1
1
0
0
1
1


1.1.2 Thẻ thanh toán
1.1.2.1 Khái niệm thẻ thanh toán
Thẻ thanh toán là phương tiện không dùng tiền mặt, ra đời từ phương thức
mua bán chịu hàng hóa bản lẻ và phát triển gắn liền với sự ứng dụng của công
nghệ thông tin trong lĩnh vực ngân hàng. Thẻ thanh toán do các ngân hàng phát
hành là công cụ thanh toán hàng hóa dịch vụ hoặc rút tiền mặt trong phạm vi số
dư tiền gửi của mình hoặc hạn mức tín dụng được cấp.
1.1.2.2 Thẻ tín dụng và thẻ ghi nợ
Thẻ ghi nợ (debit card) là thẻ cho phép chủ thẻ sử dụng trên cơ sở số dư
tài khoản tiền gửi của chủ thẻ tại ngân hàng.
-

Thẻ tín dụng (credit card) là thẻ cho phép chủ thẻ sử dụng thẻ trong hạn
mức tín dụng tuần hoàn được cấp và chủ thẻ phải thanh toán toàn bộ hoặc một
phần tối thiểu các khoản dư nợ phát sinh theo qui định.
-

9


1.1.2.3 Dữ liệu của thẻ thanh toán
Tùy theo thiết kế của các tổ chức phát hành thẻ mà dữ liệu của thẻ được thể hiện
trên thẻ một các khác nhau. Thông thường dữ liệu trên thẻ bao gồm: Dữ liệu trên
bề mặt thẻ và dữ liệu được ghi trên băng từ của thẻ.
Dữ liệu trên bề mặt của thẻ có thể quan sát bằng mắt thường có thể là số thẻ,
ngày hiệu lực của thẻ, tên chủ thẻ…Dữ liệu này có thể được dập nổi hoặc in
chìm trên bề mặt của thẻ.
-


-

Dữ liệu ghi trên băng từ của thẻ được tuân thủ theo chuẩn ISO 7811-2.

Ví dụ: Cấu trúc dữ liệu của thẻ Amex
-Rãnh 1:
%B370000000000000^CARDMEMBER NAME ^1212101080112345?
Vị trí

Trường
1
2
3–17
18
19 – 44
45
46 – 49
50 – 52
53 – 56
57 – 61
62

Trường mã dịch vụ (Service Code) chỉ ra thẻ được sử dụng như thế nào
(101: dùng cho các giao dịch quốc tế, 102: mua bán hàng hóa dịch vụ quốc tế
nhưng không dùng được ở máy ATM, 103: chỉ sử dụng cho máy ATM quốc
tế và có yêu cầu số PIN…)

+

Trường Mã bảo mật của thẻ: là giá trị có thể được NHPH sử dụng để xác

thực tính hợp lệ của thẻ. Mã bảo mật này được tạo ra bởi thuật toán DES

+

-

Rãnh 2: ; B370000000000000=1212101080112345?

Cấu trúc của rãnh 2 cũng giống như của rãnh 1 nhưng không có tên của chủ thẻ.

10


1.1.2.4 Các thành phần giao dịch với thẻ thanh toán
Các chủ thể tham gia trong quá trình xử lý giao dịch thanh toán bằng thẻ
như: đơn vị phát hành thẻ, chủ thẻ, đơn vị chấp nhận thẻ, đơn vị thanh toán thẻ,
hiệp hội thẻ, và ngân hàng thực hiện.
-

Đơn vị phát hành thẻ là một tổ chức tài chính hợp pháp, hoặc đại lý của

tổ chức tài chính đó phát hành thẻ thanh toán cho chủ thẻ và chịu trách nhiệm
cung cấp phản hồi theo yêu cầu hợp pháp. Tổ chức tài chính đó có thể là một
ngân hàng, vì thế có thể được xem NHPH thẻ, là thành viên của hiệp hội thẻ và
thông qua sản phẩm thẻ thanh toán do hiệp hội đưa ra. Đơn vị phát hành thẻ giữ
tài khoản của chủ thẻ để họ thực hiện thanh toán hóa đơn hoặc ghi nợ trực tiếp
vào tài khoản của chủ thẻ. Đơn vị phát hành thẻ đảm bảo việc thanh toán cho
những giao dịch hợp lệ, xử lý thanh toán thẻ theo quy định của sản phẩm thẻ
thanh toán và luật pháp của địa phương. Đơn vị phát hành hỗ trợ thanh toán và
thực hiện chức năng thanh toán giữa chủ thẻ và NHTT. Máy chủ của đơn vị phát

hành là hệ thống máy tính dùng để truy cập cơ sở dữ liệu tài khoản của chủ thẻ
và đại diện cho đơn vị phát hành trong xác thực, chuyển khoản và thanh toán.
Hiệp hội thẻ/Trung
tâm điều hành hệ
thống thanh toán

Ngân hàng
phát hành

Chủ thẻ

Hình 1-1: Thành phần giao dịch với thẻ thanh toán

11


Chủ thẻ là khách hàng của đơn vị phát hành thẻ mà có sử dụng thẻ thanh
toán trong giao dịch thanh toán thẻ của khách hàng.
-

Đơn vị chấp nhận thẻ là các tổ chức hay cá nhân cung ứng hàng hóa,
dịch vụ chấp nhận thẻ làm công cụ thanh toán.
-

Đơn vị thanh toán thẻ là một tổ chức tài chính hợp pháp (có thể là một
ngân hàng – NHTT) hoặc là một đại lý của tổ chức tài chính đó thực hiện thanh
-

toán theo tin thanh toán liên quan đến một giao dịch từ một đơn vị chấp nhận thẻ
và sau đó chuyển dữ liệu vào trong hệ thống trao đổi. NHTT là thành viên của

hiệp hội thẻ và chấp nhận sản phẩm thẻ thanh toán do hiệp hội thẻ đưa ra. NHTT
với tư cách trung gian giữa đơn vị chấp nhận thẻ và hiệp hội thẻ, cung cấp cho
các đơn vị chấp nhận thẻ cơ sở hạ tầng cần thiết và hỗ trợ xử lý xác thực, chuyển
khoản, thanh toán thông qua hệ thống trao đổi.
Hiệp hội thẻ là tổ chức sở hữu sản phẩm thẻ thanh toán. Thành viên của
hiệp hội thẻ là những NHPH và thanh toán, cung cấp các dịch vụ tài chính bán
-

lẻ trực tiếp cho chủ thẻ và đơn vị chấp nhận thẻ. Hiệp hội thẻ chịu trách nhiệm
thực hiện hệ thống trao đổi dữ liệu, dữ liệu giao dịch trao đổi giữa NHTT và
NHPH trong việc xác thực, chuyển khoản và thanh toán. Hệ thống trao đổi được
thực hiện như là một mạng thanh toán với các nút xử lý được kết nối tới máy
chủ của NHPH và máy chủ của NHTT.
-

Tổ chức thanh toán là một tổ chức tài chính nắm giữ tài khoản của

NHTT và NHPH, tổ chức này có thể là thành viên của hiệp hội thẻ. Tổ chức
thanh toán có thể là một ngân hàng được ký hợp đồng phụ với hiệp hội thẻ.
NHTT này hoạt động bằng cách chuyển các khoản tiền thích hợp giữa các tài
khoản của đơn vị phát hành, đơn vị thanh toán và hiệp hội thẻ dựa trên các
thông tin giao dịch do họ cung cấp.

12


1.2.2.5 Các giao dịch với thẻ thanh toán
a) Xử lý giao dịch với thẻ thanh toán
Khi đưa thẻ qua thiết bị đọc băng từ của máy ATM, dữ liệu tài chính được
đọc bởi thiết bị và lưu chúng trong bộ nhớ truy cập ngẫu nhiên (RAM). Chủ thẻ

nhập số PIN của mình vào, việc này thiết lập một liên kết giữa người sử dụng tại
điểm dịch vụ và chủ thẻ hợp pháp. Chủ thẻ cũng nhập dữ kiện số lượng tiền cần
rút. Sau khi nắm bắt thông tin này từ chủ thẻ, thiết bị đọc tạo gói tin giao dịch.
Gói tin này bao gồm số tiền cần rút kết hợp với những thông tin khác về điều
kiện giao dịch tại điểm dịch vụ đó (Số thiết bị đọc ID, ngày/giờ). Gói tin này
cũng bao gồm cả số PIN đã được mã hóa của chủ thẻ, việc mã hóa số PIN này
được thực hiện bởi thuật toán mã hóa số PIN.
Ở điểm này việc xử lý được thực hiện bởi thiết bị đọc ATM, và gói tin
này được đưa vào hệ thống mạng.
Thiết bị đọc
Gói tin
thanh toán

Tạo phản hồi xác thực

Hình 1-4: Mạng và xử lý đằng sau của giao dịch thanh toán thẻ

13


Máy ATM chuyển gói tin thanh toán tới NHTT, ngân hàng này giúp xuất
trình gói tin nhận được từ một hệ thống xử lý giao dịch phức tạp. Có nhiều thành
phần tham gia hoàn thiện quá trình xử lý này. Gói tin thanh toán được trao đổi
trong thời gian thực hoặc biên dịch trong lô file theo giao thức thiết lập một cách
rõ ràng. Mỗi một gói tin thanh toán truyền một vài thành phần dữ liệu và phụ
thuộc vào phạm vi xử lý. Trong khi dữ liệu được gửi từ một thành phần này đến
một thành phần khác, mỗi thành phần thực hiện một tập định trước các biến đổi
thành phần dữ liệu chứa trong gói tin theo quy tắc hoạt động trong hệ thống
thanh toán. Các bước sau mô tả quá trình xử lý.
NHTT tạo yêu cầu xác thực. Từ thiết bị đọc, NHTT thêm vào gói tin

thanh toán nhận được từ thiết bị đọc một vài thành phần dữ liệu được lưu trong
cơ sở dữ liệu của thiết bị đọc. Thành phần dữ liệu bao gồm vùng liên quan đến
thiết bị đọc, loại thiết bị, đặc điểm, và thông tin định danh nút của NHTT đã tạo
ra gói tin yêu cầu xác thực. NHTT PIN đã mã hóa nhận được ban đầu từ thiết bị
đọc vào mã hóa thứ hai mà có thể giải mã được bởi một modun bảo mật của
trung tâm điều hành hệ thống thanh toán. NHTT đính kèm mã hóa giao dịch để
yêu cầu xác thực gói tin.
NHTT truyền gói tin xác thực đến trung tâm điều hành hệ thống thanh
toán trong mạng thanh toán để máy chủ của NHTT đã kết nối. Nếu việc rút tiền
từ máy ATM ở nước ngoài, thì sau khi xác thực gói tin, trung tâm điều hành hệ
thống thanh toán đưa vào thêm tỷ giá chuyển đổi ngoại tệ của số tiền đã rút. Sau
đó, gói tin xác thực được truyền trực tiếp đến nút đích trong mạng của trung tâm
điều hành hệ thống thanh toán, nó được kết nối tới máy chủ của NHPH. Sau khi
khấu trừ số tiền giao dịch, nếu số dư tài khoản của chủ thẻ vẫn cao hơn một hạn
mức trần, thì NHPH sẽ chấp nhận cho phép thực hiện giao dịch rút tiền. Qua
phản hồi xác thực, máy chủ của NHPH cho NHTT biết là có chấp nhận hay từ
chối giao dịch hay không. NHTT chỉ thị cho máy ATM biết là có chấp nhận
thanh toán thẻ hay không.

14


b)

Xử lý giao dịch tại điểm chấp nhận thẻ
Đầu tiên là bước nắm bắt dữ liệu dập nổi trên thẻ thanh toán, và nắm bắt

dữ liệu được lưu trữ trên băng từ bằng một thiết bị đọc điện tử. "Nắm bắt" ở đây
có nghĩa là cả hai phải đọc dữ liệu tài chính của thẻ thanh toán và định dạng gói
tin sẽ được chuyển tới NHTT. Những bước kiểm tra sau sẽ được thực hiện tùy

thuộc vào loại dữ liệu thu được tại điểm chấp nhận thanh toán thẻ:
Nhân viên tại điềm chấp nhận thẻ kiểm tra nhãn hiệu của thẻ và loại sản
phẩm thẻ được chấp nhận. Nhân viên tại điểm chấp nhận thẻ quan sát và kiểm
tra tính xác thực của thẻ căn cứ vào hologram đính trên thẻ và kiểm tra thời hạn
của thẻ căn cứ vào thời gian ghi trên thẻ.
-

Tại điểm chấp nhận thẻ có lắp đặt thiết bị đọc thẻ, việc kiểm tra số thẻ
trên rãnh từ sẽ được thực hiện.
-

Nếu những kiểm tra này không thành công, thì tính xác thực của thẻ
không được chấp nhận hoặc sự đồng nhất của dữ liệu lưu trên băng từ không
hợp lệ khi đó giao dịch thanh toán bị từ chối. Mặt khác, gói tin thanh toán sẽ
được định dạng. Gói tin này bao gồm dữ liệu đọc được từ thẻ và các chi tiết mô
tả quá trình giao dịch tại điểm chấp nhận thanh toán thẻ. Các yếu tố dữ liệu nổi
bật bao gồm:
Yếu tố dữ liệu về môi trường giao dịch: Nhóm này bao gồm tên và vị trí của
điểm chấp nhận thanh toán thẻ, loại ĐVCNT, số ĐVCNT, số của thiết bị đọc,
thời gian giao dịch.
1)

2)

Yếu tố dữ liệu giao dịch: Nhóm này bao gồm số lượng giao dịch, số tiền giao

dịch và mã tiền tệ. Nó cũng thể hiện loại thực hiện giao dịch trong trường hợp
có nhiều loại giao dịch. Có một số ví dụ về các loại giao dịch như mua hàng,
thanh toán hàng hóa và rút tiền, rút tiền từ thẻ tín dụng. Yếu tố dữ liệu loại giao
dịch được tham khảo trong mã xử lý.

Yếu tố dữ liệu xác thực gói tin: Đây là một loại số thứ tự cho phép việc định
danh duy nhất một gói tin thanh toán trong hệ thống. Yếu tố dữ liệu này được
tham khảo trong hệ thống theo số kiểm toán.
3)

15


Thiết bị đọc tại điểm chấp nhận thẻ có thể quyết định kết thúc giao dịch
hoặc giao dịch cần phải có xác thực trực tuyến với NHPH. Xử lý tương ứng
được gọi là quản lý rủi ro tại điểm chấp nhận thẻ. Quyết định kết thúc giao dịch
ngoại tuyến hay trực tuyến sẽ có tác động đối với xử lý tiếp theo gói tin thanh
toán của NHTT và điều này cũng sẽ tác động tới quy trình thanh toán hoặc quy
trình xác thực. Quy trình quản lý rủi ro tại điểm chấp thẻ sẽ tính đến loại thẻ
thanh toán, môi trường giao dịch tại điểm chấp thẻ, và số tiền giao dịch so với
hạn mức tín dụng đã có.
Khi điểm chấp nhận thẻ được cung cấp thiết bị đọc điện tử có kết nối với
hệ thống mạng của NHTT thì yếu tố dữ liệu mã dịch vụ được ghi trên băng từ sẽ
cho biết NHPH xác thực trực tuyến là có tính bắt buộc thì gói tin thanh toán sẽ
được chuyển tới NHPH để xác thực. Trong trường hợp NHPH xác thực thẻ thì
việc xác thực này sẽ đánh giá độ chính xác của biến xác thực tĩnh được ghi trên
băng từ. Nếu rãnh 3 được sử dụng, thì lúc đó người ta sẽ thực hiện sự kiểm soát
bổ sung chống lại thẻ giả mạo, để xem xét sự đồng nhất của số bảo mật của thẻ
lưu trên rãnh và số ngẫu nhiên tương ứng lưu trong cơ sở dữ liệu tài khoản của
chủ thẻ được kết nối với thẻ. Nếu thẻ có yêu cầu kiểm tra số PIN, thì phải nhập
số PIN. Thiết bị đọc gửi số PIN được mã hóa tới NHPH để kiểm tra. Khi nhận
được kết quả của việc xác thực, thiết bị đọc tại điểm chấp nhận thẻ sẽ được
NHPH thông báo về việc chấp nhận hay từ chối giao dịch. Dựa vào kết quả xác
thực của NHPH, thì nhân viên của điểm chấp nhận thẻ sẽ yêu cầu chủ thẻ ký tên
trên hoá đơn bán hàng để so sánh với chữ ký in trên măt sau của thẻ. Bước này

kết thúc quá trình giao dịch trực tuyến tại điểm chấp nhận thẻ.
Nếu thẻ không yêu cầu NHPH xác thực trực tuyến, thì xác thực giao dịch
có thể thực hiện ngay tại điểm chấp nhận thẻ. Trường hợp này xảy khi đơn vị
chấp nhận thẻ không được trang bị thiết bị đọc điện tử, hoặc có nhưng không kết
nối trực tiếp với hệ thống mạng của NHTT. Xác thực tại chỗ phần lớn dựa vào
sự so sánh số tiền giao dịch với hạn mức sàn được NHTT qui định. Nếu số tiền
giao dịch thấp hơn hạn mức sàn thì giao dịch bị từ chối vì chi phí của qúa trình
thanh toán giao dịch điện tử sẽ cao hơn so với số tiền giao dịch. Nếu như số tiền
giao dịch cao hơn mức trên của hạn mức sàn, thì giao dịch bị từ chối vì các rủi
ro ở điểm chấp nhận thẻ sẽ không được các NHTT chấp nhận.

16


Việc xác nhận số PIN có thể được thực hiện tại chỗ như phương pháp xác
nhận chủ thẻ tại điểm chấp nhận dịch vụ khi thỏa mãn hai điều kiện sau:
-

Điều kiện thứ nhất: số PIN được ghi trên băng từ của thẻ.

-

Điều kiện thứ hai: thiết bị đọc có một bàn phím nhập PIN bảo mật, và khóa mã

đối xứng cho tính toán giá trị điều khiển của số PIN giả thiết, sử dụng thuật toán
tạo/kiểm tra MAC. Cũng tương tự như thế, việc xác thực tĩnh và CCD (nếu có
rãnh 3) có thể được kiểm tra tại chỗ để đánh giá việc xác thực thẻ nếu thiết bị
đọc tại điểm chấp nhận dịch vụ có thiết bị mã hóa cần thiết để thực hiện việc
kiểm tra thuật toán MAC.
Nếu như thẻ mã hóa số tiền còn lại trong trường chu kỳ thực hiện giao

dịch trên rãnh 3, thì quản lý rủi ro tại điểm chấp nhận dịch vụ được cải thiện với
một thành phần quản lý rủi ro thẻ sơ đẳng dự kiến sẽ bảo vệ của NHPH chống
lại việc chủ thẻ tiêu vượt hạn mức. Giao dịch được xác thực ngoại tuyến nếu như
số tiền giao dịch nhỏ hơn hạn mức sàn và số tiền còn lại trong tham số chu kỳ
này, tham số này chỉ ra hạn mức chi tiêu được áp đặt bởi NHTT.
Gói tin thanh toán mô tả giao dịch xác thực ngoại tuyến được tập hợp
trong bộ nhớ cố định của thiết bị đọc tại điểm chấp nhận thẻ. Gói tin thanh toán
được biên soạn trong một nhóm file dữ liệu theo định kỳ, hoặc khi dung lượng
của bộ nhớ cố định bị hết, sau đó gói tinh thanh toán sẽ được chuyển đến NHTT.
Định kỳ, NHTT truyền nhóm file này vào hệ thống trao đổi để thực hiện việc
thanh toán thẻ.

17


1.2.3 Mạng thanh toán và gói tin trao đổi
Thiết bị đọc lắp đặt tại các điểm chấp nhận dịch vụ kết nối tới máy chủ
của NHTT qua hệ thống mạng của NHTT. Định dạng i) Gói tin thanh toán do
thiết bị đọc tạo ra tại điểm chấp nhận dịch vụ và được chuyển tới máy chủ của
NHTT và ii) Gói tin xác nhận từ máy chủ của NHTT chuyển tới thiết bị đọc
trong hệ thống mạng của NHTT.
Tình huống đơn giản nhất, NHTT quản lý thiết bị đọc tại điểm chấp nhận
dịch vụ và NHPH thẻ tham gia giao dịch thanh toán là nhà thuê bao sử dụng
dịch vụ cùng một hệ thống mạng thanh toán. Mạng này thuộc quyền sở hữu của
một hiệp hội thẻ hoặc một trung tâm điều hành hệ thống thanh toán có nhiệm vụ
quản lý mạng và giải quyết các quỹ giữa NHPH và NHTT theo một giao dịch
thanh toán. Mỗi một máy chủ của NHTT (AH – Acquirer host) và máy chủ của
NHPH (IH – Issuer hót) được kết nối các nút riêng rẽ của mạng thanh toán, được
xem là nút của NHTT (AN – Acquirer Node) và nút NHPH (IN – Issuer node).
Để gia tăng tính sẵn sàng các dịch vụ của NHPH, NHPH có thể nhân đôi các

chức năng của một IH thông qua hoạt động của một chiếc máy tính thứ hai như
là một chiếc hoạt động dự phòng. Trung tâm điều hành hệ thống thanh toán có
thể cung cấp qui trình dự phòng thuận lợi cho NHPH, qua đó trung tâm điều
hành hệ thống thanh toán có thể trả lời yêu cầu xác thực với tư cách đại diện cho
NHPH trong trường hợp không có máy chủ nào của NHPH sẵn sàng xử lý việc
xác thực.
Tình huống phức tạp hơn, NHTT quản lý thiết bị đọc tại điểm chấp nhận
thẻ và NHPH của thẻ tham gia giao dịch thanh toán là các thuê bao cung cấp
dịch vụ do những hệ thống mạng thanh toán khác nhau, hệ thống mạng được
thiết lập hỗ trợ những thỏa thuận cho cả hai bên. Để đảm bảo sự tương thích
giữa hai mạng khác nhau, hai nút cổng giao tiếp, GN1 (Gateway node 1) và
GN2 (Gateway node 2), bắt buộc cung cấp gói tin giải thích giữa hai môi trường
không đồng nhất. Những quy định khác nhau liên quan đến định nghĩa của
những gói tin giao dịch và lưu lượng của chúng có thể chi phối hai mạng thanh
toán quan hệ nối liền với nhau.

18


Một cấu trúc có thể của một mạng thanh toán được trình bày như trong Hình 2.4
Thẻ

Nút của
Acquirer

Hệ thống mạng thanh toán

Nút cổng
(GN1)
Máy chủ của

Issuer (IH)
Nút cổng
(GN2)

Hợp tác hệ thống mạng thanh toán

Hình 1-3: Hệ thống mạng thanh toán
Trong cấu trúc này một trung tâm điều hành hệ thống mạng thanh toán quốc gia
giao dịch với một loại tiền tệ có thể quản lý hệ thống mạng thanh toán, trong khi
một hiệp hội thẻ quốc tế giao dịch với nhiều loại tiền tệ có thể quản lý cùng lúc
nhiều hệ thống mạng thanh toán.


19


1.2.3.1 Cấu trúc gói tin
NHTT và NHPH cần phải trao đổi gói tin với mục đích hoàn thiện việc
xác thực, thanh toán, qui trình thanh toán. Cả NHTT và NHPH có thể thực hiện
vai trò của người gửi hoặc của người nhận gói tin. Để tăng cường mối quan hệ
giữa hệ thống mạng thanh toán, chuẩn ISO/IEC 8583:1993 [14] đưa ra định
dạng của những gói tin theo cấu trúc sau:
-

Định danh loại gói tin;

Sự miêu tả ảnh bitmap, bao gồm một hoặc hai ảnh bitmap 64 bits cho mỗi
ảnh, đưa ra chỉ số của thành phần dữ liệu mà có quan hệ trong gói tin;
-


Một dãy những thành phần dữ liệu, theo trật tự chỉ rõ miêu tả ảnh bitmap,
thể hiện nội dung của gói tin.
-

Chuẩn định nghĩa từ điển của những thành phần dữ liệu có thể được sử
dụng để trao đổi. Khi một bit là một tập trong cấu trúc của gói tin, thành phần
dữ liệu tương ứng bao gồm cả nội dung của gói tin. Một số thành phần dữ liệu
có độ dài cố định. Một vài thành phần khác có độ dài thay đổi. Mặc dù vậy
chuẩn này không ngăn ngừa việc sử dụng thành phần dữ liệu thêm vào mà
không được xác định rõ trong từ điển dữ liệu, đáp ứng những yêu cầu đặc biệt
của trung tâm điều hành hệ thống thanh toán cho việc sử dụng riêng.
Loại định danh gói tin là một trường số bao gồm bốn con số.
1)

Số thứ nhất xác định số phiên bản của gói tin như sau:
1:

gói tin định nghĩa trong chuẩn phát hành trước theo chuẩn ISO

8583:1987;
2:

gói tin định nghĩa trong chuẩn phát hành hiện tại theo ISO

8583:1993[14];
2-7: dự trữ cho những chuẩn ISO được sử dụng về sau;
8:
9:

dự trữ cho quốc gia sử dụng;

dự trữ cho việc dùng riêng;

20


2)

Số thứ hai ghi lớp gói tin như sau:

0 - dự trữ cho ISO: gói tin trong lớp này được dự trữ cho sử dụng chuẩn ISO.
1 - xác thực: gói tin trong lớp này được sử dụng cho việc xác thực giao dịch,
việc xác thực là một sự chấp nhận hay sự đảm bảo của quĩ NHPH thẻ cho NHTT
đưa ra. Việc xác thực như sau: số tiền giao dịch được NHPH chấp nhận không
lập tức khấu trừ vào tài khoản của khách hàng. Việc này được trì hoãn cho đến
tận khi một gói tin giao dịch được NHTT gửi cho NHPH, xác nhận giao dịch
thành công tại điểm chấp nhận dịch vụ.
2 - tài chính: gói tin trong lớp này thực hiện một giao dịch tài chính mà khấu trừ
trực tiếp số tiền giao dịch tới tài khoản của chủ thẻ.
3 - file gói tin hoạt động: gói tin trong lớp này cho phép khởi tạo một giao dịch
điều khiển từ xa trên hệ thống file đặt trong một thiết bị, giống như việc thêm
vào, thay đổi, xóa, thay thế bản ghi trong file hoặc thêm hay xóa file trong hệ
thống. Những gói tin này được sử dụng để thực hiện việc quản lý danh mục của
thẻ, danh mục này gồm những thẻ mà dễ bị lợi dụng (thẻ mất cắp, lạm dụng tiêu
vượt hạn mức...)
4 - giao dịch hủy bỏ/tra soát: giao dịch hoàn trả được sử dụng để hủy bỏ hiệu lực
của việc xác thực trước đó. NHTT thực hiện một giao dịch hoàn trả khi kết quả
của một xác thực hoặc giao dịch tài chính là không nhận được từ NHPH trong
thời gian cho phép hoặc chủ thẻ tự ý hủy bỏ xác thực. Giao dịch tra soát cũng
hủy bỏ hiệu lực của một xác thực trước đó, nhưng mà là NHPH chủ động hủy
bỏ. Lý do mà NHPH có thể viện dẫn cho việc thực hiện một giao dịch tra soát

bao gồm tranh chấp của khách hàng, sự vi phạm của những qui tắc liên quan đến
việc của một loại đảm bảo của sản phẩm thẻ trên một thiết bị đọc xác định, sử
dụng thẻ hết hạn, hoặc giao dịch không hợp lệ.
Những gói tin trong lớp 5 - sự hòa hợp, 6 - quản trị, 7 - phí thu giữ, 8 - quản lý
mạng (chi tiết trong chuẩn ISO 8583:1993 [14]).

21


3)

Số thứ ba trong gói tin định danh này chỉ rõ tình huống sử dụng gói tin.
-

Người gửi đề địa chỉ một gói tin yêu cầu (số thứ 3 = 0) để cho người

nhận biết rằng một giao dịch đang trong quá trình xử lý và đợi trả lời yêu cầu
hoàn thành giao dịch. Người nhận đánh giá yêu cầu và chấp nhận hay từ chối
giao dịch, truyền lại cho người gửi sự quyết định trong một gói tin trả lời yêu
cầu (số thứ 3 = 1).
Người gửi thông báo cho người nhận bằng một gói tin (số thứ 3 = 2) cho
thấy giao dịch chắc chắn đã được hoàn thành tại điểm chấp nhận dịch vụ. Người
nhận không cần thiết phải chấp nhận hay từ chối thông báo, nhưng phải chi tiết
gói tin trả lời thông báo (số thứ = 3), và sẽ gửi lại cho người gửi.
-

Người gửi thông báo cho người nhận bằng một gói tin (số thứ tư = 4) về
một hoạt động chắc chắn được thực hiện. Gói tin thông báo không yêu cầu phản
hồi lại từ người nhận đến người gửi.
-


Số thứ tư xác định nguồn gốc giao dịch và xem giao dịch hiện tại có lặp lại
giao dịch trước.
4)

1:

NHTT là người khởi tạo giao dịch.

2:

NHTT là người khởi tạo giao dịch lặp lại.

3:

NHPH là người khởi tạo giao dịch.

4:

NHPH là người khởi tạo giao dịch lặp lại.

5:

vai trò khác là người khởi tạo giao dịch

6:

vai trò khác là người khởi tạo giao dịch lặp lại

Điều này là quan trọng đề cập rằng có sự độc lập giữa ba số cuối cùng của

loại gói tin định danh; ví dụ: một giao dịch hoàn trả sẽ chỉ sử dụng gói tin thông
báo (1420/1431 và 1430/1431) hoặc gói tin khai báo (1440/1441).

22


1.2.3.2 Sơ đồ gói tin
Khi một thiết bị đọc kết nối trực tiếp tới NHTT và số tiền thực hiện trong
giao dịch là lớn hơn một ngưỡng giới hạn rủi ro, thì thiết bị đọc sẽ khởi tạo một
giao dịch xác thực. Sau khi nhận dữ liệu giao dịch riêng từ thiết bị đọc, NHTT
thực hiện giai đoạn xác thực. Nếu việc xác thực không tác động đến tài khoản
của chủ thẻ, trật tự thanh toán theo thứ tự sau.
Trong một mạng gói tin song song, giai đoạn xác thực được thực hiện với
một gói tin yêu cầu xác thực (1100). Theo đánh giá của IH đối với yêu cầu này,
NHPH sẽ chấp nhận hay từ chối việc bảo lãnh vốn theo tình trạng tài chính của
chủ thẻ. NHTT sẽ được thông báo có hành động thích hợp bằng một gói tin trả
lời yêu cầu xác thực (1110). Sau khi xác thực thì số tiền giao dịch được NHPH
chấp nhận sẽ không bị khấu trừ ngay vào tài khoản của chủ thẻ. Việc này chỉ
được thực hiện khi có một gói tin tài chính riêng biệt được NHTT gửi đến
NHPH, xác nhận sự hoàn thành của giao dịch tại điểm chấp nhận giao dịch ngay
sau khi xác thực. Gói tin tài chính này thực hiện giai đoạn thanh toán. Có hai
hình thức thanh toán:
1)

Thanh toán trực tuyến:

Sau khi nhận gói tin trả lời yêu cầu xác thực (1110), NHTT sẽ đưa ra gói
tin thông báo tài chính (1220) trừ số tiền giao dịch vào tài khoản của chủ thẻ.
NHPH thông báo NHTT về kết quả thực hiện bằng gói tin thông báo tài chính
(1230).

Một cái nhìn tổng quát về thanh toán trực tiếp trong mạng gói tin song
song được thể hiện trong Hình 2.5

23


2) Thanh toán ngoại tuyến:
Sau khi nhận được gói tin trả lời yêu cầu xác thực (1110), NHPH tạo ra
một gói tin khai báo tài chính được lưu trong lô file thanh toán. Định kỳ, file này
được chuyển đến NHPH và khấu trừ tới tài khoản thích hợp của chủ thẻ.
Một cái nhìn tổng quan của thanh toán ngoại tuyến trong mạng gói tin
song song chấp nhận giao dịch trực tuyến được minh họa trong Hình 1-5.

24