Sharing Penerapan NSICCS
Rapat Operational RINTIS, 24 Maret 2015
Daniel S. Subianto
Head, IT Solution & Architect Management
Unit Name
Disclaimer
Isi dari presentasi ini merupakan sharing pengalaman atas implementasi project
NSICCS yang saat ini sedang dijalankan di BII dan bukan ditujukan sebagai
pegangan satu-satunya untuk implementasi pada bank lain. Bank yang
melakukan implementasi project ini perlu melakukan assessment yang
menyeluruh berdasarkan kondisi dan scope yang ada pada masing-masing
bank yang mungkin berbeda dengan implementasi yang dilakukan pada BII.
Unit Name
Agenda
1. Latar Belakang dan Tujuan Penerapan NSICCS di Indonesia
2. Perbedaan Kartu Magnetic Stripe dengan Kartu Chip
3. Impacted Area Untuk Implementasi NSICCS Pada Bank
4. Implikasi Operational dan Teknis Bagi Issuer
5. Implikasi Operational dan Teknis Bagi Acquirer
6. Q & A
Unit Name
Agenda
1. Latar Belakang dan Tujuan Penerapan NSICCS di Indonesia
2. Perbedaan Kartu Magnetic Stripe dengan Kartu Chip
3. Impacted Area Untuk Implementasi NSICCS Pada Bank
4. Implikasi Operational dan Teknis Bagi Issuer
5. Implikasi Operational dan Teknis Bagi Acquirer
6. Q & A
Unit Name
Latar Belakang Penerapan NSICCS di Indonesia
Surat Edaran Bank Indonesia No. 13/ 22/DASP tertanggal 18 Oktober
2011 terkait dengan:
Implementasi Teknologi Chip dan Penggunaan PIN pada kartu ATM
dan/atau Kartu Debet yang diterbitkan di Indonesia.
Unit Name
Tujuan Penerapan NSICCS di Indonesia
1. Meningkatkan keamanan transaksi nasabah yang menggunakan kartu
ATM/Debet sesuai dengan arahan dari Bank Indonesia.
2. Sebagai langkah mitigasi terhadap kasus fraud karena card skimming.
3. Menggunakan standard kartu chip yang berbasiskan EMV yang juga
dipakai oleh Visa dan MasterCard.
Unit Name
Agenda
1. Latar Belakang dan Tujuan Penerapan NSICCS di Indonesia
2. Perbedaan Kartu Magnetic Stripe dengan Kartu Chip
3. Impacted Area Untuk Implementasi NSICCS Pada Bank
4. Implikasi Operational dan Teknis Bagi Issuer
5. Implikasi Operational dan Teknis Bagi Acquirer
6. Q & A
Unit Name
Perbedaan Kartu Magnetic Stripe Dengan Kartu Chip
Magnetic Stripe Card Chip Card
Data nomor kartu, expiry date, nama nasabah, dan lainnya disimpan pada pita magnetic.
Data yang disimpan dapat lebih banyak pada chip yang memiliki CPU, memory, operating system, aplikasi dan fungsi cryptography.
Mudah digandakan Data yang tersimpan pada chip tidak dapat digandakan
Terminal dan bank host tidak dapat memastikan keaslian kartu yang digunakan pada saat transaksi
Keaslian kartu dapat dipastikan dengan metode Offline CAM dan Online CAM
1 kartu hanya untuk 1 nomor/1 aplikasi 1 kartu bisa berisi lebih dari 1 aplikasi (loyalty, id card, dll.)
Harga kartu lebih murah Harga kartu lebih mahal
Unit Name
Perbedaan Kartu Magnetic Stripe Dengan Kartu Chip
Track-2
Offline CAM
Otentikasi keaslian
kartu
SDA / DDA
Online CAM
Otentikasi keaslian kartu
dan issuer host
ARQC / ARPC
Online CAM
Otentikasi keaslian kartu
dan issuer host
ARQC / ARPC
(CAM = Card Authentication Method)
Unit Name
Agenda
1. Latar Belakang dan Tujuan Penerapan NSICCS di Indonesia
2. Perbedaan Kartu Magnetic Stripe dengan Kartu Chip
3. Impacted Area Untuk Implementasi NSICCS Pada Bank
4. Implikasi Operational dan Teknis Bagi Issuer
5. Implikasi Operational dan Teknis Bagi Acquirer
6. Q & A
Unit Name
Impacted Area Untuk Implementasi NSICCS Pada Bank
Debit Card
Management System
Perso System Embossing Machine Chip Card
ATM & EDC Terminal ATM Switching Host
HSM
Unit Name
Agenda
1. Latar Belakang dan Tujuan Penerapan NSICCS di Indonesia
2. Perbedaan Kartu Magnetic Stripe dengan Kartu Chip
3. Impacted Area Untuk Implementasi NSICCS Pada Bank
4. Implikasi Operational dan Teknis Bagi Issuer
5. Implikasi Operational dan Teknis Bagi Acquirer
6. Metode Implementasi
7. Q & A
Unit Name
Implikasi Operational dan Teknis Bagi Issuer
Pengecekan kartu pada saat transaksi: magstripe atau chip?
Menggunakan BIN yang berbeda antara kartu magstripe dan chip
Menggunakan BIN yang sama, tetapi beda card range
Service code di track-2
Pos Entry Mode (DE 22)
Chip data yang diterima oleh issuer apabila menggunakan kartu chip dan
terminal chip
?
Unit Name
Implikasi Operational dan Teknis Bagi Issuer
Pengecekan terminal yang digunakan untuk transaksi: magstripe atau
chip?
Pos Entry Mode (DE 22)
Chip data yang diterima oleh issuer apabila menggunakan kartu chip dan
terminal chip.
Unit Name
Implikasi Operational dan Teknis Bagi Issuer
Pengecekan OFFLINE CAM status yang dikirimkan oleh terminal/acquirer:
Hanya dilakukan untuk transaksi dari EDC. (tidak ada OFFLINE CAM pada
transaksi di ATM)
Apabila OFFLINE CAM status = failed: continue to process atau decline?
OFFLINE CAM bisa failed karena:
a) RSA key yang diperso pada kartu sudah tidak berlaku (expired)
sehingga tidak dapat disupport oleh terminal.
b) Kartu yang dipakai bukan kartu yang asli.
(CAM = Card Authentication Method)
Unit Name
Implikasi Operational dan Teknis Bagi Issuer
Pengecekan ARQC & memberikan ARPC (ONLINE CAM):
Issuer melakukan pengecekan terhadap ARQC (Authorization REQUEST
Cryptogram).
Issuer men-generate ARPC (Authorization RESPONSE Cryptogram) dan
mengirimkannya kepada acquirer terminal kartu.
ARPC akan dicek oleh kartu untuk memastikan kalau response yang
diterima adalah dari issuer host yang genuine.
Send ARQC
3
Send ARQC 1. Validate ARQC
2. Generate ARPC
3. Send ARPC Send ARPC Send ARPC
ISSUER
Unit Name
Implikasi Operational dan Teknis Bagi Issuer
Indikasi transaksi fraud:
ARQC yang dikirimkan tidak benar (failed).
Terjadi fallback: kartu dan terminal sudah chip, tetapi transaksi dilakukan
tidak menggunakan chip alias menggunakan magstripe.
OFFLINE CAM status = failed, dengan kondisi RSA key yang diperso ke
kartu dipastikan masih valid.
Unit Name
Implikasi Operational dan Teknis Bagi Issuer
Strategi implementasi:
Pada saat issuer menerbitkan kartu chip, maka issuer harus memastikan
supaya switching host-nya sudah tersertifikasi dengan jaringan ATM (misal:
Prima) dan Visa/MC (jika member Visa/MC) hal ini untuk memastikan
apabila kartu chip tersebut bertransaksi di ATM chip bank lain, maka
transaksinya dapat diproses oleh issuer.
Unit Name
Implikasi Operational dan Teknis Bagi Issuer
Perubahan pada report settlement dari jaringan ATM:
Indikator yang menandakan apakah kartu dan terminal yang digunakan
adalah chip atau magnetic-stripe. (value dari DE 22)
Informasi EMV tag data yang mungkin diperlukan (misal: OFFLINE CAM
status, dll.).
Unit Name
Agenda
1. Latar Belakang dan Tujuan Penerapan NSICCS di Indonesia
2. Perbedaan Kartu Magnetic Stripe dengan Kartu Chip
3. Impacted Area Untuk Implementasi NSICCS Pada Bank
4. Implikasi Operational dan Teknis Bagi Issuer
5. Implikasi Operational dan Teknis Bagi Acquirer
6. Q & A
Unit Name
Implikasi Operational dan Teknis Bagi Acquirer
ATM Baca Magnetic Stripe atau Chip?
Selama periode interim (belum seluruh kartu dimigrasi ke chip), maka ATM
tetap bisa membaca mag-stripe apabila kartu yang dipakai untuk transaksi
belum chip.
Setelah periode interim berakhir, maka ATM sudah harus selalu membaca
applet NSICCS untuk kartu yang transaksinya diteruskan ke jaringan ATM
lokal.
Untuk kartu chip yang transaksinya diteruskan ke Visa/MC, maka ATM harus
membaca applet VISA (VSDC) atau MasterCard (M/Chip).
Unit Name
Implikasi Operational dan Teknis Bagi Acquirer
Fallback support?
Acquirer punya pilihan untuk melakukan fallback ketika terjadi kegagalan
pada saat membaca kartu chip dengan tetap menggunakan mag-stripe pada
periode interim.
Acquirer tidak boleh melakukan fallback setelah periode interim berakhir
untuk kartu chip yang diterbitkan di Indonesia.
Unit Name
Implikasi Operational dan Teknis Bagi Acquirer
Bagaimana apabila ARPC (response cryptogram) tidak valid?
Ketika ARPC yang dikirimkan oleh issuer tidak valid, maka transaksi menjadi
reject di sisi ATM dan ATM akan mengirimkan notifikasi ke acquirer host dan
acquirer host harus melakukan reversal request ke issuer untuk transaksi
yang di-reject ini.
ARPC Validation
FAILED ARPC = FAILED Send Reversal
Request
1
2
3 4
ACQUIRER
Unit Name
Implikasi Operational dan Teknis Bagi Acquirer
OFFLINE CAM pada EDC
Untuk transaksi Debit pada EDC, maka terjadi process OFFLINE CAM
antara kartu dan terminal untuk process otentikasi apakah kartu yang
digunakan adalah kartu yang genuine diterbitkan oleh issuer.
Setelah process OFFLINE CAM selesai, maka apapun hasilnya, EDC tetap
mengirimkan transaksi tersebut secara online ke issuer host.
Acquirer harus memastikan supaya public key yang dipasang pada setiap
mesin EDC adalah yang terbaru dan yang masih berlaku supaya process
OFFLINE CAM dapat berjalan dengan normal.
Unit Name
Implikasi Operational dan Teknis Bagi Acquirer
Strategi implementasi:
Setelah ATM Switching host pada acquirer sudah diupgrade untuk dapat
support chip, maka deployment upgrade pada terminal ATM dan EDC dapat
dilakukan secara bertahap.
Unit Name
Agenda
1. Latar Belakang dan Tujuan Penerapan NSICCS di Indonesia
2. Perbedaan Kartu Magnetic Stripe dengan Kartu Chip
3. Impacted Area Untuk Implementasi NSICCS Pada Bank
4. Implikasi Operational dan Teknis Bagi Issuer
5. Implikasi Operational dan Teknis Bagi Acquirer
6. Q & A
Unit Name
Q & A
Thank You