#9 決済端末とICカード間のリスク管理〜EMVにおける端末リスク管理とアクション分析の話〜
はじめに
今回は#6のEMV仕様のフローの以下手続について順に説明していきます。
Terminal Risk Management(端末リスク管理)
Terminal Action Analysis(端末アクション分析)
Card Action Analysis(カードアクション分析)
まさに「決済端末(ACQの想い)」と「ICカード(ISSの想い)」が会話して「その取引をどうするか」を決定するプロセスです。
端末リスク管理
端末リスク管理では、これまでの処理結果と端末に設定されているフロアリミット等から、今回の取引におけるTVR(Terminal Verification Result)を作成します。TVRはいわば取引ごとの成績表と言えます。
これまでの処理について、オフラインデータ認証は#7で説明しました。
また、本人確認の手続きは前回#8で説明しました。
また、フロアリミットは"端末"に設定される「この金額までならオンラインオーソリ取らなくてもいいよ」というリミットです。ACQが許容する金額を設定しますが、現在は国際ブランドが全件オンラインオーソリを取得しましょう、という方向に動いておりゼロ設定されていることが多いです。
端末アクション分析
端末アクション分析は、先述した端末リスク管理で作成したTVRを基に、アクワイアラが決済端末に設定した
「TAC(Terminal Risk Code)=ACQの想い」
と、イシュアがICカードに設定した
「IAC(Issuer Action Code)=ISSの想い」
を突き合わせて、今回の取引をどのようにするか決定します。
「TAC」と「IAC」は先述の端末リスク管理で作成される「TVR」と同項目の問診が、それぞれ以下の別に設定されています。
Denial:該当したらその時点で取引を拒否
Online:該当したら取引をオンライン処理を要求
Default:オンライン処理を要求するもオンライン不可だった場合取引を拒否
上図を例にすると、TVR上は「フロアリミット超過」が該当していて、ACQが事前に端末に設定したTVRと、ISSがICカードに設定したIACそれぞれの同項目を突き合わせ、最終的に取引をどうするか以下の3パターンから決定します。
TC(Transaction Cirtificate):オフラインで取引を承認
ARQC(Authorization ReQuest Cryptogram):オンラインを要求
AAC(Application Authentication Cryptgram):オフラインで取引を拒否
この判定結果はICカードに送られ、カードアクション分析が行われます。
カードアクション分析
ベロシティチェックを実施し、最終的にはICカード(ISS)が取引をどうするか(TC、ARQC、AAC)を決定します。
ICチップの中にはオフラインで取引を承認した累積金額や連続回数のカウンターがあり、ISSが決定したオフラインリミットを超過している場合は、端末がTC(オフライン許可)を選択していてもARQC(オンライン要求)に倒すことができます。このチェックをベロシティチェックと言います。
なお、ICチップのオフラインカウンターはオンラインオーソリが承認されるとゼロ
クリアされます。
まとめ
今回は決済端末とICカード間で取引をどうするか決定するプロセスを説明しました。
①「端末リスク管理」でTVR(成績表)を作成
↓
②「端末アクション分析」でTVRをもとにIAC、TACとぶつけて決済端末(ACQ)で取引をどうするか決定
↓
③「カードアクション分析」ではこれらの決定をもとに最終的にICカード(ISS)がその取引をどうするか決定
取引をどうするか = TC(許可) or ARQC(オンライン要求) or AAC(拒否)
次回はいよいよARQCが選択した場合(イシュアへオンラインで承認を求める)の処理に入ります。
この記事が気に入ったらサポートをしてみませんか?