A mágnescsík és a chipek után ugorjunk fejest abba a témába, ami miatt ezt a sorozatot valójában elindítottam és nézzük meg, hogyan is néz ki egy bankkártyás tranzakció! A bankkártyánkat naponta használjuk, akár többször is, de nincsenek túl sokan, akik tudnák, hogy mi is történik ilyenkor pontosan. Ez azért nem szerencsés, mert az egyszerű kártyabirtokosok így érezhetnek némi aggodalmat, hogy vajon tényleg biztonságban tudhatják-e a pénzüket, amikor kártyával fizetnek.

A tranzakciókat többféle szempontból csoportosíthatjuk. Talán a legfontosabb, hogy vannak olyan pénzügyi műveletek, amikor a kártyabirtokos valójában nem is használja a kártyáját, csak az azon látható adatokkal indítja el a fizetést. Ezeket az elfogadók is csak „nem kártyás” („card not present”) tranzakcióknak hívják és ezek tipikusan olyan internetes vásárlások, amikor egy webes felületen csak be kell írnunk a kártyaszámot és a lejáratot, valamint azt a bizonyos három karakteres biztonsági kódot, ami a kártya hátoldalán található. Ezeket az adatokat nyugodtan meg is jegyezhetem és úgy is megadhatom, hogy a kártyát esetleg otthon hagytam a fiókomban. Ami pedig még rosszabb, hogy ezeknek az adatoknak a birtokában akár más is kezdeményezhet fizetést a nevemben.

Az IT biztonsági szakemberek sűrűn emlegetik, hogy akkor tekintik egy személy azonosítását biztonságosnak, ha az legalább két független tényezőn alapul és az illető bizonyítja a rendszer számára, hogy birtokol valamit és tud is valamit. A bankkártyák esetén magát a kártyát kell birtokolni és a PIN kódot kell tudni. Ha elveszteném a kártyámat, akkor persze aggódnék, de azért nagy dráma valószínűleg nem történne, mert a PIN-emet az illető a kártyámmal együtt még nem szerezte meg, ami jelentősen csökkenti annak kockázatát, hogy nagyobb összeget leemeljenek a számlámról. (Őőőő… tényleg! Miért is mondják a bankok, hogy nehogy már ráírjuk alkoholos filccel a PIN-ünket a kártya hátuljára? Hát igen, sajnos én is ismerek olyat, aki ezt nem hajlandó figyelembe venni és ezzel bizony komoly rizikót vállal.)

A fenti esetben, vagyis a card not present tranzakcióknál, elvész a kétfaktoros azonosítás lehetősége, hiszen elég ismerni az ahhoz szükséges adatokat és nincs szükség a kártya jelenlétére. Az ebből fakadó kockázatokat az elfogadóknak kell üzletileg kezelniük és ezt ők meg is teszik. Mivel viszont sorozatunk főszereplőjének, a bankkártyának nincs igazán köze ezekhez a fizetési módokhoz, kanyarodjunk is vissza inkább a card present tranzakciókhoz.

Mint említettem, sokféle besorolása lehet a tranzakcióknak és most egyet önkényesen kiválasztanék ezek közül. Manapság a legtöbb kártya alkalmas kontaktusos és érintéses fizetésre. Ezek közül most az elsőről írnék, mert ez a klasszikus, régóta használatos megoldás, aztán később majd még lesz szó a másikról is.

Technikai oldalról nézve, a bankkártyás műveletekben, két vagy három aktív szereplő vesz részt, mégpedig

  • a kártya,
  • a terminál (ATM, vagy POS)
  • és egy távoli, a kártyabirtokos számára láthatatlan elfogadó rendszer (angolul a host).

A tranzakció akkor offline, ha a kártya és a terminál magukban elintézik a műveletet és akkor online, ha a host is bekapcsolódik. A chipes bankkártyákban az a csodálatos, hogy annyira biztonságosnak tekintették őket a kitalálóik, hogy az offline és az online működésre egyformán felkészítették azokat a chipen futó programokat, amelyek a tranzakciókat a kártya oldaláról felügyelik. Az ósdi, mágnescsíkos világban még majd minden művelet esetén indokolt volt az online működés, leszámítva talán néhány nagyon spéci esetet, például amikor kis összegű fizetések történtek fizetős autópálya kapuknál. Ez azért volt így, mert a korábban leírt okok miatt a kártya még nagyon buta eszköz volt és alig tudott valamit hozzátenni ahhoz, hogy a terminál biztosan meggyőződhessen a kártya eredetiségéről.

A legbiztonságosabb fizetésnek ma is az online műveletek tekinthetők, mert ilyenkor a tranzakciós adatok eljutnak a kártyakibocsátó bank, vagy az általa ezzel megbízott processzor szerverére, a hostra, ahol a tranzakció elfogadását napra kész adatok alapján, egyedileg el lehet bírálni. A telekommunikációs hálózatok fejlődése miatt ráadásul a host elég megbízhatóan elérhető és ezért a bankok is úgy állítják be a kártyákon működő alkalmazást, hogy az inkább az online működést erőltesse. Na de mi van akkor, ha egy üzletembernek New Yorkból hazatérve, épp akkor ugrik csak be a másnapi házassági évforduló, ezért bankkártyával szeretne kifizetni egy parfümöt a feleségének, valahol az óceán fölött, egy repülőgép fedélzetén? Ilyenkor online kapcsolat híján vagy azt mondja a bankkártya, hogy nem hajlandó a tranzakcióra, ami több mint kellemetlen, vagy meggyőzi a terminált arról, hogy márpedig ő nem egy lopott kártya és feledékeny kártyabirtokosunk hazatérve mégis csak meg tudja valahogy lepni az asszonykát. Itt a meggyőzés képessége technológiai kérdéssé válik.

A fenti esetet nézve ott tartunk, hogy a vásárló kiválasztotta az árut, jelezte a vásárlási szándékát az eladónak, aki beütött az összeget a POS terminálba és azt odadugta a kedves utas orra elé, hogy legyen szíves a kártyáját behelyezni az eszközbe. Amikor ez megtörténik, elindul egy klasszikus „card present” tranzakció.

Miután a chip bekerül az olvasóba, akkor a kontaktusain keresztül tápfeszültséget kap, illetve rögtön ez után egy úgynevezett „reset”-et, amivel a kis miniszámítógép bekapcsolás utáni alapállapotba kerül. Erre még válaszol is a terminálnak és elmond magáról pár dolgot, hogy milyen típus, milyen módon szeret kommunikálni és néhány információt az eddigi életútjáról (ez a választ úgy hívják, hogy ATR és az Answer To Reset szavak kezdőbetűjéből alakult ki a neve). Az ATR-el a POS túl sokat nem foglalkozik, de rend a lelke mindennek és az a fontos, hogy a kapcsolat felépüljön a két eszköz között.

A következő lépésben a terminálnak meg kell tudnia, hogy milyen fizető alkalmazással kell együttműködnie. A különböző kártyatársaságoknak különböző alkalmazásai vannak és jó esetben ezek közül olyan van a kártyán, amit az adott terminál ismer és hajlandó is kezelni. Ennek érdekében a terminál megpróbál egy olyan programot elindítani a kártyán, ami az általános ipari szabvány, az EMV szerint minden bankkártyán egyformán működik. Ez nem csinál mást, mint visszaad egy listát, ami a kártyán lévő fizető alkalmazásokat tartalmazza.

Na de álljunk csak meg! Mi az, hogy „megpróbál egy olyan programot elindítani a kártyán”? A terminál nagyon egyszerűen beszélget a kártyával, körülbelül úgy, ahogy Potrien őrmester Csülökkel, amikor egy kocsmai verekedés közben elveszett derékszíj gazdáját szeretné megtalálni (ld. Rejtő Jenő, A három testőr Afrikában). A terminál kiad egy utasítást, amire a kártya válaszol, a választ mérlegelve jön egy újabb utasítás, újabb válasszal, amíg a tranzakció le nem zárul. Az reset utáni első művelet egy szabványos, „alkalmazás kiválasztása” utasítás kiadása. A chipen lévő alkalmazások neve nem olyan sokatmondó, mint amiket egy PC-n használunk, hanem egy „bináris ákom-bákom”, de a chipnek és a terminálnak ez éppen megfelel. Az első utasítás emberi nyelvre lefordítva mindössze annyi, hogy „légy szíves válaszd ki a fizető alkalmazások listáját tartalmazó alkalmazást!”.

Ha van ilyen kis program a kártyán, akkor a terminál ettől a programtól visszakap a válaszban egy listát, aminek legtöbbször csak egy eleme van és tartalmazza a tranzakcióhoz használni szükséges program(ok) nevét. Ha nincs, akkor sincs nagy baj, de akkor a terminálnak végig kell kérdeznie az általa ismert összes programot, hogy hátha talál egy olyat, amivel együtt tud dolgozni. Ha szerencsénk van és tényleg a bankkártyánkat dugtuk be a terminálba, akkor a POS megtalálja a fizető alkalmazást és annak megfelelően elkezdi lefuttatni azt a műveletsorozatot, aminek a végén a tranzakció lezárul, és fizetést megtörténtnek tekintik a felek.

Arról, hogy ez a bizonyos műveletsor mit is takar, és mit csinál közben a kártya és a terminál, arról fogok legközelebb írni részletesebben.