CVM Liste: Unterschied zwischen den Versionen

Aus EMV-Kartentest
Zur Navigation springen Zur Suche springen
K (Link zur Cardpeek-Anleitung eingefügt)
K (PIN im Chip bedeutet nicht, dass die Karte auch offline funktioniert. Bsp.: Curve)
 
Zeile 44: Zeile 44:
  
 
=== Generische Kartenbezeichnungen ===
 
=== Generische Kartenbezeichnungen ===
* Offline-fähig: die Karte hat irgendwo in ihrer CVM-Liste "PIN verification performed by ICC" - kann also offline die PIN prüfen
+
* Offline-PIN: die Karte hat irgendwo in ihrer CVM-Liste "PIN verification performed by ICC" - kann also offline die PIN prüfen
 
* Sign-first/PIN-first: hier ist relevant, ob die erste generische Regel ("If terminal supports the CVM") Signature (Sign-first) oder PIN (PIN-first) ist
 
* Sign-first/PIN-first: hier ist relevant, ob die erste generische Regel ("If terminal supports the CVM") Signature (Sign-first) oder PIN (PIN-first) ist
  

Aktuelle Version vom 20. Januar 2020, 08:07 Uhr

Begriffserklärung

CVM: Cardholder Verification Method ("Kartenbesitzerüberprüfungsmethode")

CVM Liste: Eine Liste mit Regeln zur Überprüfung des Kartenbesitzers, die nacheinander abgearbeitet werden. Die Abarbeitung endet mit dem ersten "Treffer". Wurden alle Regeln erfolglos abgearbeitet, wird die Zahlung abgelehnt.

Aufbau und Beispiel einer CVM-Liste

Eine CVM Liste ist eine Liste aus Einträgen mit je drei Elementen. Jeder Eintrag enthält:

  1. Was ist der nächste Schritt, wenn die aktuelle Regel nicht angewendet werden kann?
  2. Welche Art der Autorisierung soll angewendet werden
  3. Unter welchen Bedingungen soll diese Regel angewendet werden

Als Beispiel dient hier ein Auszug aus der CVM-Liste der Advanzia:

  1. Apply succeeding CV rule if this rule is unsuccessful: Enciphered PIN verified online - If unattended cash
  2. Apply succeeding CV rule if this rule is unsuccessful: Signature (paper) - If terminal supports the CVM
  3. Apply succeeding CV rule if this rule is unsuccessful: Enciphered PIN verified online - If terminal supports the CVM
  4. Apply succeeding CV rule if this rule is unsuccessful: Enciphered PIN verification performed by ICC - If terminal supports the

Die Prüfung beginnt immer mit Eintrag 1. Zum Verstehen ist es hilfreich, die Elemente rückwärts zu lesen - also erst die Bedingung, dann was zu tun ist und zuletzt wie es weitergeht.

Regel 1 der Advanzia:

  • Unter welcher Bedingung ist diese Regel gültig: "If unattended cash" => Geldautomat
  • was ist zu tun, wenn die Karte in einem Geldautomaten steckt: "Enciphered PIN verified online" => Verschlüsselte Online-PIN
  • wie geht es weiter, wenn die Karte nicht in einem Geldautomaten steckt? "Apply succeeding CV rule" => Weiter mit Regel 2

Regel 2 der Advanzia:

  • Unter welcher Bedingung ist diese Regel gültig: "If terminal supports the CVM" => Generische Bedingung - wenn das Terminal die Regel unterstützt, wird sie angewendet
  • was ist zu tun, wenn das Terminal die Regel kann: "Signature (paper)" => Unterschrift auf Bon
  • wie geht es weiter, wenn Unterschrift nicht unterstützt wird (z.B. Kassenautomat im Schwimmbad)? "Apply succeeding CV rule" => Weiter mit Regel 3

Regel 3 der Advanzia:

  • Unter welcher Bedingung ist diese Regel gültig: "If terminal supports the CVM" => Generische Bedingung - wenn das Terminal die Regel unterstützt, wird sie angewendet
  • was ist zu tun, wenn das Terminal die Regel kann: "Enciphered PIN verified online" => Verschlüsselte PIN Überprüfung Online (d.h. mit Datenverbindung zur Bank)
  • wie geht es weiter, wenn Online-PIN nicht unterstützt wird (z.B. Bezahlautomat ohne Online-Anbindung)? "Apply succeeding CV rule" => Weiter mit Regel 4

Regel 4 der Advanzia:

  • Unter welcher Bedingung ist diese Regel gültig: "If terminal supports the CVM" => Generische Bedingung - wenn das Terminal die Regel unterstützt, wird sie angewendet
  • was ist zu tun, wenn das Terminal die Regel kann: "Enciphered PIN verification performed by ICC" => Verschlüsselte PIN Überprüfung Offline
  • wie geht es weiter, wenn Offline-PIN nicht unterstützt wird (z.B. Mauthäuschen an italienischer Autobahn )? "Apply succeeding CV rule" => Weiter mit Regel 5

Usw...

Die letzte CVM hat als Folgeaktion immer "Fail cardholder verification", d.h. wenn die CVM Liste durch ist, und nichts gepasst hat, wird die Zahlung abgelehnt.

Generische Kartenbezeichnungen

  • Offline-PIN: die Karte hat irgendwo in ihrer CVM-Liste "PIN verification performed by ICC" - kann also offline die PIN prüfen
  • Sign-first/PIN-first: hier ist relevant, ob die erste generische Regel ("If terminal supports the CVM") Signature (Sign-first) oder PIN (PIN-first) ist

Auslesen der CVM-Liste einer Karte

Die CVM-Liste einer Karte kann mit Programm Cardpeek ausgelesen werden. Dazu benötigt man einen Chipkartenleser wie z.B. den REINER SCT cyberJack. Es gibt in den bekannten Onlineshops auch erheblich günstigere Leser für ca. 10€ (Suchbegriff: SmartCard Reader). Eine bebilderte Anleitung zum Auslesen per Cardpeek gibt es im im Forum.