2022年9月13日8:00
日本人の成人1人あたり、平均2.8枚のクレジットカードを保有していると言われている。国内ではクレジットカード会社からクレジットカード等が発行されているが、市場に出回る前の認証試験がある。今回のFIME JAPANの技術解説では、カード発行会社向け認証試験について紹介してもらった。
記事のポイント!
①PVTやCPVと言われるパーソナライゼーション試験が砦に
②カードに実装する機能の基本的な知識を得る
③磁気ストライプ
④接触通信/非接触通信
⑤CVMリスト
⑥オンライン/オフライン制御
⑦カード認証方法
⑧PIN設定
昨今のコロナの影響も受けつつも徐々に市場を拡大しているクレジットカード業界。毎年多くの新しいクレジットカードが発行されているが、発行数が多くなると正常に決済できないカードが市場に出回る可能性がある。また、EMVCo等のブランドが制定する仕様に基づかないカードが発行された場合は、外部からの攻撃に弱い為、不正利用されることもあるだろう。だが実際にはそのようなブランドの仕様に基づかないカードが市場に出回る可能性は低い。カード発行会社が新たにクレジッドカードを発行する場合、市場に出回る前にEMVCoやJCB等各ブランドが制定する要求事項と手順に応じた認証試験に合格する必要があるためである。試験で最後の砦となるのがPVTやCPVと言われるパーソナライゼーション試験である。
認証試験を受ける場合、カード発行会社の担当者にとって、カードに実装する機能の基本的な知識を得ることがスムーズに認証試験に合格するポイントになる。
本稿では認証試験を受ける際に留意するべき基本的なカードの機能といくつかの注意点について紹介する。
-
磁気ストライプ
まず、磁気ストライプのトラックの値がフォーマットに適合しているかどうかの確認がある。日本のクレジットカードの殆どが磁気ストライプを搭載しているため、規定のフォーマットに沿っていないカードで磁気ストライプによる決済を試みた場合、正常に決済が行えないなどの問題が起こる可能性がある。
フォーマットは各ブランドの仕様によって異なるが、カードホルダーネームに関するフォーマットの相違が多くあるため、注意が必要である。
-
接触通信/非接触通信
カード発行会社向け認証試験ではデジタルプロトコルレベルでの知識が必須となるわけではないが、アプリケーションレベルでの知識やタグデータの知識が必要になる。多様なタグデータがあり、ブランドによって必要なデータ数が異なる。
その他にもISO/IEC 7816 において定義されてるATR(Answer To Reset)の値が基準に沿っているか等、カードのレスポンス内容について把握することが重要である。
また、非接触通信に対応している場合、接触通信と同様にアプリケーションレベルでの知識やタグデータの知識が必要となる。
