kamarad.michal píše:Nevíte někdo, kdo systém vyžádání PIN ( do částky 500 Kč) nastavuje zda banky nebo katerní asociace?
Technicky je to věc vydavatele karty (který na kartu nahraje „CVM list“, seřazený seznam způsobů, jak uživatele a transakci ověřovat, a další data), banky propojené s terminálem (která terminálu nastaví způsoby chování, které terminál podporuje nebo vyžaduje), a možná i obchodníka (jak si s bankou domluví, že se terminál nastaví—např. spousta fast foodů v americe má terminály nastavené tak, že platby pod 25 dolarů nikdy nechtějí ani podpis ani PIN, i když karty jsou s magnetickým proužkem, ani ne čipové).
Nastavení na kartě a v terminálu se kombinují několika různými ne úplně jednoduchými mechanismy, které si všechny z hlavy nepamatuji (pro zájemce, specifikace jsou věřejně na
http://emvco.com ).
Aspoň zhruba je to myslím takto:
- Metody ověření uživatele (PIN on-line/PIN off-line/podpis/nic) a jejich pořadí diktuje karta, přičemž terminál může říct „tohle neumím“ (třeba samoobslužný terminál ověření podpisem); pak karta rozhodne, jestli to nevadí a zkusí se něco jiného, nebo jestli bude transakce zamítnuta.
- Jak karta, tak terminál, se mohou samy od sebe rozhodnout, že transakce se musí ověřit on-line. Snad (nejsem si z hlavy jistý) to nemá vliv na to, jak se ověřoval uživatel (tedy nutnost použití PINu).
- Navíc je tam nějaký mechanismus pravděpodobnostního ověřování podle výše částky (malé částky vždy nějak, velké částky vždy nějak jinak, částky mezi tím náhodně jedno nebo druhé), ale teď už si fakt nepamatuji, co ovlivňuje—jestli jen on/offline, ověření uživatele, obojí, nebo i něco dalšího. Tenhle mechanismus je pravděpodobnostní, ne pravidelný, takže oznámení o tom, že pod 500 „může“ být vyžadován PIN, jsem chápal jako nasazení tohoto: „malé“ částky jsou vypnuté, 0–500 jsou „mezi tím” (náhodně PIN) a >500 jsou „velké“ (vždy PIN). Nejde s tím udělat „každou 6. transakci se musí zadat PIN“, to musí implementovat buď čip v kartě nebo banka při on-line ověření (a pak musí karta vyžadovat ověření on-line, aby to fungovalo).
Technicky celý tenhle systém rozhodně umožňuje vytvořit kartu a terminály takové, že malé (nebo i všechny) transakce jsou vždy off-line a PINem se nikdy neověřují.
Karetní asociace do toho technicky nevstupují (u off-line platby ani nemají jak), ale prakticky asi nastavují standardy toho, jak ten technický systém má být udělaný (že hranice je 500, že se musí používat PIN a ne podpis, apod.) Tyto dokumenty ale, pokud vím, veřejně dostupné nejsou, takže můžeme jen zkoušet chování odpozorovat, jak se v tomto vláknu děje.