Berdasarkan regulasi Bank Indonesia akhir tahun 2015 adalah batas akhir bagi Bank-bank di Indonesia untuk mengimplentasikan penggunaan chip pada kartu debet, yang kedepannya nanti akan sepenuhnya menggantikan penggunaan kartu magnetic stripe, namun untuk tahap awal implementasi di Indonesia masih menyertakan magnetic stripe, artinya Kartu chip tetap bisa gunakan untuk gesek/swipe magnetic stripenya pada EDC, untuk kartu chip sendiri penggunaannya tidak di swipe/gesek akan tetapi dengan di dip/dimasukkan ke EDC, jadi selama masa transisi nanti kartu debet disertai dengan chip dan magnetic stripe:
Nah terus apa yang dimaksud dalam judul postingan ini "Naon eta NSICCS", NSICCS yaitu Standarisasi format keamanan sistem atau "National Standard Indonesian Chip Card Spesification", nah setiap Bank yang akan mengimplementasikan Penggunaan Chip pada kartu debet, wajib memenuhi standard tersebut yaitu NSICCS, NSICCS sendiri di buat berdasarkan standard EMV ( Europay Master and Visa) versi V.4.1
Dalam implementasi chip card, berikut yang harus dipersiapkan bank:
sebagai Acquirer (Penerima transaksi): hardware dan software terminal (ATM, EDC, dll) agar mendukung penggunaan chip card. Namun perlu diingat bahwa saat implementasi NSICCS, bank harus tetap mensupport penggunaan magnetig strip, karena implementasi NSICCS ini tidak dilakukan serentak di setiap bank, namun di lakukan secara bertahap.
sebagai Issuer (penerbit kartu): pencetakan kartu chip itu sendiri, dan harus melakukan validasi untuk setiap transaksi yang masuk.
sebagai Switch (perantara transaksi): memapping dan memvalidasi transaksi yang kemudian akan di kirimkan ke issuer.
Pada tulisan ini saya akan lebih menjelaskan pemrosesan chip card di sisi Issuer, namun tidak termasuk bagaimana membuat chip card, hanya sebatas pemrosesan dan validasi transaksi menggunakan chip card dan card management system untuk chip card (yang akan di bahas di bagian selanjutnya).
Berikut pemrosesan transaksi chip card:
1. Transaksi EMV di mulai dengan pertukaran data antara terminal dan kartu (chip):
Pada tulisan ini saya akan lebih menjelaskan pemrosesan chip card di sisi Issuer, namun tidak termasuk bagaimana membuat chip card, hanya sebatas pemrosesan dan validasi transaksi menggunakan chip card dan card management system untuk chip card (yang akan di bahas di bagian selanjutnya).
Berikut pemrosesan transaksi chip card:
1. Transaksi EMV di mulai dengan pertukaran data antara terminal dan kartu (chip):
Ketika nasabah menggunakan chip card di terminal, terminal berkomunikasi dengan kartu untuk mendapatkan semua informasi yang dibutuhkan untuk memutuskan transaksi akan di proses secara offline atau online. Untuk saat ini pemrosesan chip card yang akan di implementasikan di indonesia, harus dilakukan secara online, tapi tidak menutup kemungkinan kedepannya terminal harus mensupport untuk pemrosesan offline.
Ketika terminal memutuskan untuk memproses transaksi secara online, terminal akan mengirimkan Read Record Command ke kartu agar mendapatkan Card Data Object List (CDOL1). CDOL berisi daftar EMV tag dan panjang data EMV.
Terminal menggunakan informasi dari CDOL untuk mendapatkan data EMV, yang kemudian data tersebut akan di gunakan untuk generate AC Command ke kartu untuk mendapatkan ARQC.
Kartu akan memvalidasi informasi yang dikirimkan terminal, jika data tersebut benar, maka kartu akan mengirimkan ARQC, Application Transaction Counter dan Issuer Application Data
2. Terminal menggunakan informasi dari kartu dan mengirimkan request transaksi ke Acquirer
Terminal berupa ATM atau EDC.
3. Acquirer akan memaping transaksi dari terminal ke dalam format yang telah di tentukan oleh Issuer/Switch
acquirer adalah pemilik terminal(EDC/ATM)
4. Switch harus memforward transaksi tersebut tanpa mengubah data-data di dalamnya ke Issuer.
Switching di indonesia untuk kartu debet yaitu Artajasa dan Prima.
Jika terjadi perubahan data saat pengiriman transaksi, maka validasi ARQC akan gagal di sisi issuer, dan akibatnya transaksi tidak dapat dilakukan.
dari Switching, data akan dikirim ke issuer Bank(Bank pemilik Kartu).
5. Setelah mendapatkan data-data EMV, Issuer akan mengenerate ARQC menggunakan data-data tersebut, dan memvalidasi ARQC dari kartu, jika validasi berhasil maka issuer akan mengenerate ARPC, dan mengirimkan ARPC sebagai response. Selain ARPC issuer juga menggenerate issuer script command yang adalah Application Protocol Data Unit (APDU ) command.
tag 9F10 yang dikirimkan melalui request transaksi digunakan untuk mengidentifikasi key file index mana yang harus digunakan dan juga berisicryptogram version number (CVN). Issuer menggunakan CVN untuk menentukan jenis algoritma yang akan digunakan ketika mengenerate session key dancryptogram’s block of data
6. Dan kemudian, informasi dari issuer dikirimkan kembali ke terminal dan kartu melalui Switch dan Acquirer, tanpa merubah data original. JIka terjadi perubahan data saat pengiriman response transaksi, maka validasi ARPC akan gagal, dan transaksi akan di tolak.
7. Ketika terminal mendapatkan response, terminal akan mengirimkan ARPC ke kartu melalui external Authentication Command dan juga mengirimkan Issuer Script Command.
8. Kartu akan mengenerate ARPC berdasarkan data-data yang di terima dari terminal, dan memvalidasi ARPC dari issuer. Serta memvalidasi issuer Script Command. jika validasi berhasil maka transaksi akan dinyatakan berhasil.
Persiapan NSICCS
Untuk mengimplementasikan NSICCS di bank, perlu beberapa hal yang di perhatikan:
1. Kartu
Untuk mengimplementasikan NSICCS tentu saja bank harus mengganti kartu magnetic stripe yang dimiliki sekarang dengan kartu chip. Untuk pembuatan kartu chip ini dibutuhakan perso sistem yang terdiri dari 2 bagian, pertama untuk mengenerate script perso (script perso ini berisi data-data NSICCS), bagian kedua akan digunakan untuk menulis data ke chip card berdasarkan script persoyang digenerate sebelumnya. Jika bank ingin mengenerate kartu nya sendiri, tentu saja dibutuhkan cost yang tidak sedikit untuk membeli sistem perso sendiri. Untuk bank yang memiliki kartu dibawah 500.000 di sarankan untuk mengoutsourcekan pembuatan kartunya, hal ini bisa menekan cost. Namun saat ini, jika bank menargetkan mengimplementasikan NSICCS secepatnya, maka pembuatan kartu di sarankan di lakukan secara outsource terlebih dahulu. Pastikan perusahaan yang anda outsource sudah mendapatkan certificate dari CBI.
2. Terminal
Terminal di sini termasuk ATM, EDC, dan mesin lainnya yang menggunakan kartu debit bank untuk bertransaksi. Tanyakan pada vendor terminal, apakah sudah mendapatkan certificate dari CBI.
3. Host Security Module (HSM)
HSM yang digunakan untuk mengenerate kartu di sarankan terpisah dengan HSM yang digunakan untuk memverifikasi transaksi. HSM yang saya gunakan saat ini, menggunakan Thales (maaf menyebutkan merk). Sebenarnya Thales Payshield 8000 sudah support untuk veridikasi transaksi di sisi isuuser, namun kebijakan thales menyebutkan bahwa support untuk Payshiled 8000 akan berakhir pada akhir tahun 2014. Sehingga di sarankan agar bank beralih menggunakan Payshield 9000. Check HSM yang anda gunakan saat ini, apakah HSM tersebut sudah support untuk memverifikasi transaksi dan mengenerate cryptogram key yang di gunakan untuk pembuatan chip card.
5. ISO8583
Spesifikasi message transaksi yang digunakan akan berubah, akan di tambahkan field-field untuk menampung data NSICCS. Biaasanya field yang di gunakan untuk menampung data EMV adalah field 55, namun hal ini tergantung pada spesifikasi masing-masing provider.
6. Card Management Sistem (CMS)
Jika bank memilih menggunakan outsource, maka perubahan pada sistem CMS hanya sedikit. Saya belum tahu impact apa saja jika bank memilih untuk membuat kartu chip card secara in house.
Source:
www.optima.co.id
Bagaimana generate ARQC dari CDOL1 ya mas? rumusnya seperti apa ya? nice post mas
BalasHapus