EMV (Chip 및 PIN) 작동 원리 - Transaction Flow Chart

'EMV®'는 칩 카드 기술을 기반으로 한 신용 카드 및 직불 카드의 글로벌 표준으로 Europay, MasterCard 및 Visa라는 카드 체계에서 비롯되었으며, 마이크로프로세서 칩이 들어있는 카드를 위한 표준입니다.

EMV Transaction에 필요한 주요 처리 단계에 대한 자세한 내용은 아래와 같습니다.

1. 카드 감지 및 리셋 (Card Detection and Reset)

카드 감지 및 리셋은 사용중인 하드웨어 장치에 특정한 카드 인터페이스 기능에 의해 수행되어야 합니다. 카드가 리셋되면 단말기가 카드와 인터페이스해야 하는 방법을 지정하는ATR (Answer To Reset)으로 응답합니다.

2. 후보 목록 작성 (Candidate List Creation)

단말기에는 지원하도록 구성된 모든 EMV 응용프로그램의 AID (Application Identifier)가 포함된 목록이 있으며 단말기는 단말기와 카드에서 모두 지원되는 응용프로그램의 후보 목록을 생성해야 합니다. 터미널은 카드의 PSE에서 모든 카드 응용프로그램의 디렉토리 목록을 얻으려고 시도할 수 있습니다. 이것이 지원되지 않거나 일치하는 것을 찾지 못하면 단말기는 각 AID를 지원하는지 여부를 카드에 묻는 목록을 반복해야 합니다.

완성된 후보 목록에 여러 개의 응용프로그램이 있다면 카드 소지자는 응용프로그램을 선택하도록 요청됩니다. 그렇지 않으면 자동으로 선택될 수 있습니다.

3. 응용프로그램 선택 (Application Selection)

사용할 응용프로그램이 선택되면 터미널은 카드에서 응용프로그램을 선택하여 카드가 트랜잭션에 대한 올바른 데이터 레코드를 제공할 수 있도록 해야 합니다.

4. 응용프로그램 데이터 읽기 (Read Application Data)

응용프로그램이 선택되면 터미널은 PDOL에서 요청하는 모든 데이터를 카드에 제공하고 처리 옵션을 가져옵니다. 카드는 터미널에서 응용프로그램 데이터 레코드를 읽는데 사용하는 AFL (Application File Locator)을 제공합니다. 이러한 기록에는 카드 PAN 및 만료일외에 카드 소지자 확인 및 카드 인증과 같은 트랜잭션 처리에 사용되는 많은 정보 태그가 포함됩니다.

5. 데이터 인증 (Data Authentication)

수행할 수 있는 오프라인 데이터 인증에는 3가지 유형이 있지만 사용되는 방법은 카드 및 터미널의 기능에 따라 다릅니다. 온라인 전용 터미널은 데이터 인증을 지원할 필요가 없지만 다른 모든 터미널은 SDA 및 DDA를 모두 지원해야 하며 CDA도 지원할 수 있습니다.

▶ SDA - 정적 데이터 수정되지 않았음을 확인하기 위해 카드 데이터 (예 : 계좌 번호 및 만료 날짜)를 인증.

▶ DDA - 동적 데이터 카드 및 터미널 데이터를 인증하여 카드 응용프로그램 및 데이터가 정품인지 확인.

▶ CDA - 결합된 DDA 및 응용프로그램 암호 생성.

6. 카드 소지자 확인 (Cardholder Verification)

카드 소지자 확인 (Cardholder Verification)은 카드를 사용하는 사람이 카드 소지자인지 확인합니다. 카드에는 지원하는 확인 방법 목록과 해당 조건을 적용해야 합니다. 터미널은이 목록을 탐색하고 조건이 충족되는 첫번째 방법을 시도해야 합니다. 메소드가 실패하면, 단말기는 추가 메소드가 허용되는지를 검사해야 합니다. 예를 들어 온라인 PIN (무인 현금인 경우), 오프라인 PIN (지원되는 경우), 서명 (항상) 등이 목록에 포함될 수 있습니다.

7. 처리 제한 사항 (Processing Restrictions)

처리 제한으로 인해 단말기는 카드 및 단말기의 응용프로그램 호환성을 결정할 수 있습니다. 여기에는 응용프로그램 버전 번호가 일치하는지, 카드 응용프로그램이 만료되었거나 유효한지, 응용프로그램 사용 제어 (AUC)가 현재 트랜잭션을 수행할 수 있는지 여부가 포함됩니다.

8. 터미널 리스크 관리 (Terminal Risk Management)

사기성 사용을 막기 위해 터미널은 특정 지역에서 승인된 특정 거래가 온라인 승인을 받도록 요구함으로써 위험 수준을 관리합니다. 여기에는 트랜잭션 금액을 바닥 한도와 비교하고 카드의 연속적인 오프라인 트랜잭션수가 정의된 한도에 도달했을 때를 감지하는 작업이 포함됩니다. 또한 오프라인 가능 단말기는 임의의 온라인 트랜잭션을 선택합니다.

9. 터미널 액션 분석 (Terminal Action Analysis)

단말기는 이전의 확인, 인증 및 위험 단계의 결과를 분석할 것이며 이는 단말기가 거래의 온라인 승인을 요청하거나 거래를 현지에서 승인하거나 거절함으로써 오프라인으로 완료할 것을 카드에 알리는 결과를 가져올 것입니다.

10. 카드 액션 분석 (Card Action Analysis)

첫번째 카드 액션 분석 단계에서 카드는 모든 이전 단계의 결과를 분석하여 카드가 터미널에 거래의 온라인 승인을 요청하거나 또는 로컬에서 거래를 수락하거나 거절하여 오프라인으로 완료하도록 합니다. . 이 요청은 단말기 액션 분석에 따라 제안된 액션과 다를 수 있지만 특정 논리 규칙 (예 : 단말기가 온라인 승인을 제안한 경우 카드가 거래의 오프라인 승인을 요청하는 것이 허용되지 않음)의 적용을 받습니다.

11. 온라인 오프라인 의사 결정 (Online Offline Decision)

터미널은 카드 액션 분석중에 카드가 요청한 액션을 수행해야 합니다.

12. 온라인 처리 (Online Processing)

온라인 처리를 통해 카드 발급자는 거래 내역을 분석하고 거래 승인 또는 거부 여부를 결정할 수 있습니다. 이를 통해 발급자는 계정 상태를 확인하고 카드 발급사, 지불 방식 및 취득자가 정의한 위험의 허용 한도를 기준으로 기준을 적용할 수 있습니다. 호스트로부터 유효한 응답이 수신되지 않은 경우 (예 : 통신 실패로 인해), 터미널은 위험 수준이 증가하면 이를 관리하기 위해 추가 터미널 액션 분석을 수행해야 하며, 이로 인해 터미널에서 카드에 이를 알리거나 트랜잭션을 로컬에서 승인 또는 거부해야 합니다.

13. 2번째 카드 액션 분석 (Second Card Action Analysis)

두번째 카드 액션 분석 (Second Card Action Analysis) 단계에서 온라인 처리가 수행된후 카드는 온라인 처리 결과를 분석하고 카드 발급자로부터 받은 데이터를 인증합니다. 이것은 카드가 거래를 수령하거나 거절함으로써 거래를 완료하도록 요구할 것이다. 이 요청은 온라인 처리의 결과와 다를 수 있지만 특정 논리 규칙의 적용을 받습니다 (예 : 호스트가 결제를 거부한 경우 카드가 거래 수락을 요청할 수 없음).

14. 거래 완료 (Transaction Completed)

카드 처리가 완료되면 카드를 터미널에서 제거할 수 있습니다. 거래가 승인된 경우 결제가 완료될 수 있습니다.