IIN (Issuer Identification Number) veya daha genel kullanım ile BIN (Bank Identification Number) kartlı ödeme sektöründe ve benzer şekilde kullanıldığı diğer sektörlerde kartı ihraç eden kurumu tanımlayan numara bloğudur.
Global olarak yönetimi ISO tarafından yapılan BIN’in arzı, sabit uzunlukta olması ve kullanımın çeşitli sebepler ile artması nedeniyle tükenme tehlikesi ile karşı karşıyaydı. Konuyla ilgili linkte yer alan yazıyı yayınlamıştım.
ISO tarafından yapılan değişiklik BIN uzunluğunun 6 hane yerine 8 hane olacak şekilde düzenlenmesi şeklinde oldu ve bu sayede elde olan tahsis edilmemiş BIN adedi teorik olarak 100 katına çıkarıldı.
Sektör Etkileri
Kartlı ödeme kabul eden pek çok sistem BIN’in 6 hane olacağı varsayımına göre tasarlanmış olduğundan uzunluğun 8 haneye çıkıyor olması küçük gibi görünse de çok kapsamlı bir etkiye sahip olacağa benziyor.
Muhtemel Etkileri :
- Fiziki POS etkileri
- Yazarkasa POS Entegrasyon etkiler
- POS üzerinde indirilen BIN sayısındaki potansiyel artışın etkileri
- Ortak POS uyguama etkileri
- Sanal POS etkileri
- IVR etkiler
- ATM kanalı etkileri
- Fraud sistemleri etkileri
- Kart basım sistemleri etkileri
- Kart numarası üretme etkileri
- Internet bankacılığı etkileri
- Görsel medya etkileri (kart görselleri vb)
- BIN tanımı yapılan bütün arayüzler
gibi başlıklar akla ilk gelenler. Kart numarasının dokunduğu bütün sistemlerin bu gözle analiz edilmesi gerekiyor. Bu değişiklik kart hamillerinin cüzdanında bulunan kartların yenilenmesini gerektirecek bir etki yaratmıyor.
Kartlı ödeme kuruluşlarının her birinin kendine özel kural setleri olsa da acquirerlar, ödeme kuruluşları ve işyerleri açısından kart çoğunlukla markasından bağımsız değerlendirilir. Dolayısıyla yapılacak tasarım ve kurgulanacak sistem bütün markaların kurallarını kapsayan ve destekleyen türden olmalıdır. Aksi taktirde hatalar ve işlem kayıplarının yaşanması mümkündür.
6 ve 8 Haneli BIN’erin Birarada Yönetimi
Birçok kartlı ödeme kuruluşu 8 haneli BIN’e geçiş yapıyor olsa da 6 hane olarak devam eden şemalar da mevcut. Dolayısıyla piyasada hem 6 haneli hem de 8 haneli BIN’ler var olacak diyebiliriz. 8 Haneli BIN yapısına geçen kartlı ödeme kuruluşları açısından 6 haneli BIN’ler 100 adet 8 haneli BIN’e karşılık gelecek.
Her BIN’in bir parametre olması ve işlem yönlendirmede üye işyerleri, ödeme kuruluşları ve acqurierlar açısından çok kritik olması sebebiyle yönetimsel bir zorluk yaşanmaması adına etki analizlerinin zamanında ve doğru şekilde yapılıp düzenlemelerin devreye alınması gerekiyor.
Kart numarası üretme
Issuerlar sadece kendilerine tahsis edilen 8 haneli BIN ile kart ihraç etmeliler. Aksi durumda başka bir kuruma tahsis edilen BIN ile kart numarası üretilmiş olur.
Bir örnekle açıklamak gerekirse
112233 — X Bankası’na ait bir BIN olsun. Yapılan değerlendirme sonucunda X Bankası bu BIN’in sadece ilk 10 sekiz haneli range’ini kullandığını ve kalanı ilgili şemaya iade ettiğini kabul edelim.
Dolayısıyla X Bankasına ait 10 farklı 8 haneli BIN bu aralıkta (11223300 -11223309) olacaktır.
Bu aralık (11223310–11223399) ise farklı finansal kurumlara tahsis edilebilecektir.
X Bankası gerekli sistemsel düzenlemeleri yapmaz ve kart numarası üretme mantığı bir şekilde 6 haneli BIN üzerinden yani 112233 ile devam eder ise yukarıda bahsettiğim farklı bir finansal kuruma tahsis edilmiş BIN ile kart basması gibi bir durum ortaya çıkacaktır.
Look up tabloları
2 tip BIN’in varlığı BIN tablolarının her iki türü de karşılayacak şekilde tasarlanması ihtiyacını ortaya çıkarıyor. Her BIN’i potansiyel 8 haneli BIN gibi kabul edip sorguya 8 hane ile başlamak, 6 haneli BIN’leri ise 6 haneli olduklarına dair belirteçleri ile birlikte veya 100 ayrı kayıt olarak tutmak gerekebilir.
E-ticaret altyapıları
Elektronik ticaret (CNP) dahil olan aktör sayısının çeşitliliği ve kimi zaman fiziksel işleme (CP) kıyasla silsilenin uzun olması sebebiyle potansiyel olarak işlemde kesintiye neden olabilecek daha fazla faktörü barındırır.
E-ticaret mağazasında ödeme akışı ile ilk etkileşimin olduğu yer kart bilgilerinin veya ödeme metodunun seçildiği “ödeme sayfaları”dır. Bu sayfaların sahipliği bakımından farklı alternatifler söz konusudur :
1.İşyeri sayfa yazılım ve kodlamasını inhouse yapıyor olabilir.
2.Hazır paket kullanıyor olabilir.
3.Açık kaynak kullanıyor olabilir.
4.Banka’nın Ortak Ödeme Sayfası’nı kullanıyor olabilir
5.Payment Facilitator’un Ödeme formunu kullanıyor olabilir
İşyerinin kullandığı yönteme göre basit bir düzenleme için aksiyon alması gereken taraf sayısı artabiliyor. Dahası, altyapının başkaları tarafından yönetildiği “as a service” türü modellerde, altyapı sağlayıcı zorunluluğun direkt muhatabı olmadığı için isteğin işyeri tarafından zamanında ve eksiksiz olarak iletilmesi ve yapılmasını temin etmesi gerekiyor.
PCI DSS Değerlendirmesi
BIN uzunluğunun değişmesi şimdiye kadar yapılan duyurular baz alındığında PCI DSS uyumluluğu bakımından 2 noktada etki ediyor :
3.3 Maskeleme Kuralı : Bu kurala göre geçerli bir işsel gereklilik olmadığı taktirde kart numarasının gösterildiği veya basıldığı durumlarda belirtilen kısmının maskelenmesi gerekiyor. Örneğin belirli bir işin yapılması için sadece son 4 hanenin görüntülenmesi yeterli ise, kullanıcının sadece son 4 haneyi görmesi gerekir. Her halükarda gösterilebilecek numaralar ilk 6 ve son 4 ile sınırlıdır.
3.4 Saklama kuralı : Kart numarasının saklandığı durumda uyulması gereken güvenlik önlemlerini içerir.
PCI uyumluluğu bakımından 8 hane BIN geçişinin etkileri için ilgili kartlı ödeme kuruluşlarının duyurularını takip etmek gerekiyor zira her bir şema kuralı farklı biçimde uygulama hakkına sahip.
Frequently Asked Questions
Truncation is a method of rendering a full PAN unreadable by permanently removing a segment of PAN data, and applies to…
pcissc.secure.force.com
EMVco Duyurusu
8 hane BIN geçişi ile ilgili EMVco tarafından yapılan duyuru aşağıda yer alıyor.
Yazar: Mustafa Aktaş
Kaynaklar:
https://globalrisk.mastercard.com/online_resource/8-digit-bin-expansion-mandate-and-pci-dss-impact/
