Koray Kırdinli

Yazılım ve İş Yaşamı Hakkında Paylaşımlar

ATM’ler de uzaktan key yükleme (RKL)

RKL Nedir 

ATM’lerde müşteri tuş takımından (Encrypted PIN Pad – EPP) şifresini girdiğinde   RKL en basit anlamıyla, her bir terminale merkezi bir noktadan TMK(Terminal Master Key) dağıtımı sürecidir. Bu TMK’lar ATM’ler üzerinde bulunan tuş takımına yüklenirler ve bu sayede hem operasyonel verimlilik sağlanır hem de güvenlik seviyesi artırılmış olur. Manuel key yükleme hem operasyonel maliyetin yanı sıra fraud riskini artırmaktadır.

2 tip RKL vardır. Bunlar ; Signature-based ve Certificate-based’dir.

RKL nasıl yapılır?
Öncelikle vendorlar ve banka arasında key paylaşımı yapılır. Daha sonra HSM’den yeni TMK ve TPK üretilerek pinpad’a yüklenir.

RKL sürecinde kullanılan Key’ler :

LMK (Local Master Key) : HSM den herhangi bir key talep edildiginde bu key LMK altinda verilir. Bu key yanlizca HSM tarafindan bilinir ve kullanillir. Bu key clear halini kimse bilmez. Aslında DES veya TripleDES key seti içerir. HSM’e LMK ürettirildiğinde bu key ler fiziksel kartlarda saklanırlar.

TMK (Terminal Master Key) : Key şifrelemek için kullanılır. Terminale manuel veya otomatik olarak yüklenir ve terminal üzerinde LMK altında şifrelenerek saklanır.

TPK (Terminal Pin Key) : ATM de pinpad’den girilen şifre TPK altında şifrelenerek doğrulamaya gönderilir. TPK ise TMK altında şifrelenmiş bir terminal ile acquirer banka arasında PIN taşıma key’idir.

ZMK (Zone Maseter Key) : Bir key’i ortamlar arsında taşımak için kullanılan başka bir key. Mesela bir ZPK değişimi yapılacak. Clear ZPK, bulutta açık bir şekilde taşınmaz. Bu key ZMK gibi bir key altında taşınır ve key güvenliği için ekstra bir süreç işletilir. ZMK’da yine LMK altında şifrelenerek saklanır.

ZPK (Zone Pin Key) : Zone lar arasinda bir PIN bilgisi transfer edilmek istendiginde bu key önce ZPK altinda gönderilir. Acquirer ile issuer banka arasında pin doğrulama yaparken PIN bu key ile şifrelenerek gönderilir. Örneğin A bankasının kartı ile B bankasının ATM’sinden şifre doğrulandığı durumu örnek olarak verebiliriz. ZPK, ZMK altında şifrelenmiştir.

[1] http://www.cryptera.com/wp-content/uploads/2014/07/Cryptera_WP_Understanding-RKL_To-Launch.pdf
[2] HSM 8000 Host Programmer‟s Manual

Ocak 13, 2017 Posted by | Ödeme Sistemleri | , , , , , , | Yorum bırakın

Ödeme Sistemleri Serüveni

Uzun yıllar farklı alanlar ve departmanlarda çeşitli projelerde yer aldıktan sonra, son 2 yıldır da ödeme sistemlerinde yazılım geliştirmeye devam ediyorum. Ödeme sistemlerine geçtiğimde yazılım geliştirmek için sadece programlama bilmenin yeterli olmadığı gerçeğiyle yüzleştim. Ödeme sistemleri aslına baktığımızda çok fazla know-how gerektiriyor ve uçsuz bucaksız bir deniz gib. Bu konuda Türkiye’de çok fazla yetişmiş iş gücü kısıtlı. Bu alanda da yine yabancı yazılım ve standartları kullanmak zorundayız. Konuyla ilgili Türkçe kaynak bulmak neredeyse imkansız çünkü oldukça niş bir alan. Ben de bu konuda öğrendiğim konuları hem öğrendiklerimi pekiştirmek hem de bu alana yönlenmek isteyenlere faydalı olabilmek adına bir yazı dizisi şeklinde zaman içerisinde paylaşmayı hedefliyorum.
images

Ödeme sistemleri denince ilk akla gelen tabi ki kredi kartları ancak ödeme sistemleri çatısı altında bilgi sahibi olunması gereken o kadar çok kavram var ki , bunlar yazılım geliştirmenin çok ötesinde uzmanlık gerektiren konular.  Standartlar, sertifikasyonlar, kurallar, şifreler, chipler, doğrulamalar algoritmalar ve daha bir sürü konu. En basit tabiriyle ödeme sistemleri dediğimizde aklımıza ödeme yapabildiğimiz kanalları aklımıza getirmemiz gerekiyor. Bir ürün aldığınızda kredi kartınızı POS’a takıp şifrenizi girmenizle başlayan süreç, paranın satıcının hesabına geçirilene kadar geçen süreç veya ATM den işlem yapmak istediğinizde kartınızı cihaza takıp şifrenin doğrulanması veya internetten kredi kartınızla online alışveriş yaparken

POS_

Eğer bu sektöre girdiyseniz veya girmek istiyorsanız ister istemez aşağıda listelemiş olduğum bazı kısaltma ve terimlere aşına olmanız gerekiyor diye düşünüyorum. Yeri geldiğinde bunlarla ilgili konulara daha detaylı değineceğiz ancak bu ilk yazımızda genel bir vizyon sahibi olmak adına bir girizgah yapacağız.

ATM (Automated Teller Machine) :
HSM
(Hardware Security Module) :
XFS (Extensions for Financial Services ) :
EMV (Europay-MasterCard-VISA) :
RKL (Remote Key Loading) :
ISO (International Organization for Standardization) :
PCI (Payment Card Industry) :
PCI DSS (Payment Card Industry Data Security Standart) :
BKM (Bankalararası Kart Merkezi) :
3D Secure :
Debit/Credit Card :
NFC (Near Field Communication) : 
POS (Point Of Sale): Fiziksel kartla ödeme noktası.
VPOS (Virtual Point Of Sale) : Sanal Pos
Acquirer Bank : Ödemenin alınacağı POS’un bağlı olduğu bankadır ve anlaşmaları doğrultusunda satıcıya aktarır.
Issuer Bank :  Kartı düzenleyen bankadır.
Merchant : Üye İşyeri
Payment Switch :
BIN (Bank Identification Number)
IIN (Issuer Identification Number):
Clearing (Takas) :
Authorization : Provizyon;
PIN : Şifre
Fraud : Sahte işlemler
Chargeback : Kart hamilinin işlemin kendisine ait olmadığını bildirdiği tutar.
End of Day : Günsonu işlemi
OTP : One Time Password
CHIP : Para kartlarının ve
CVC2 : Kredi kartının arkasındaki 3 haneli güvenlik kodudur.

Aşağıdaki şekilde de bir ödeme işleminin müşteriden satıcıya kadar geçen adımları numaralandırarak çok güzel bir şekilde açıklıyor.

transflow

Referanslar 
http://howbankswork.com/what-is-a-merchant-acquirer/
http://www.fidelitypayment.com/resources/what_are_merchant_services
http://livecashless.com/costi-del-pos-arrivano-primi-risultati-dal-tavolo-tecnico/
http://www.odemesistemleri.org/
http://en.wikipedia.org/wiki/Payment_system

 

Ocak 18, 2015 Posted by | Ödeme Sistemleri | , , , , , , , , , , , , , , | Yorum bırakın

   

%d blogcu bunu beğendi: