我是EMV开发的新手。我的问题是发卡人在Tag 91 (Issuer Authetication Data)发送的EMV response。在我的情况下,当响应包中缺少标签91时,即使发行者已经批准在线交易,芯片卡也决定拒绝交易。所以我想知道Tag 91是否是强制性标签,每当它在线批准交易时需要由发行人发送,以及行业对它的理解是什么。请让我知道它的想法。
另外,在我的情况下,Application Interchange Profile Byte 1, Bit 3 = 1表示需要进行外部身份验证。
答案 0 :(得分:2)
您是否在申请卡申请或终端申请?
除非您正在执行部分芯片实施,否则始终必须执行颁发者身份验证。我相信您知道这是一个额外的安全级别,可确保响应来自正确的颁发者。 当AIP B1B3打开时,表示卡将需要标签91。
在某些情况下甚至是默认值。例如。 D-PAS(Diners / Discover)AIP B1B3关闭,因为它不支持外部认证。它在第二代AC期间得到验证。在这种情况下,如果发行人希望卡在ARPC不存在时不拒绝交易,则在ACO(应用配置选项)中,明确提到了部分芯片实现。
在实施前仔细检查每个支付方案卡和终端规格手册,因为实施中的任何环路漏洞都可能帮助欺诈者跳过您希望提供的安全性。如果您从发卡机构获得ARPC,则始终将其发送到卡。让卡决定。
答案 1 :(得分:1)
从卡应用程序方面我可以添加“应用程序交换配置文件字节1,位3 = 1表示支持外部身份验证,但不是必需的。这是什么意思?卡可能支持颁发者身份验证,但可能不需要它在线交易(发卡行身份验证在卡内部参数中可以是强制性的或可选的。)即可选择执行身份验证很棒,但如果没有 - 没问题,可以在线进行。如果发行人没有发送标签91卡可能会进行交易。< / p>