sharing penerapan nsiccs

28
 Sharing Penerapan NSICCS Rapat Operational RINTIS, 24 Maret 2015 Daniel S. Subianto Head, IT Solution & Architect Management

Upload: afrizon-indra

Post on 05-Nov-2015

169 views

Category:

Documents


5 download

DESCRIPTION

Sharing Penerapan NSICCS

TRANSCRIPT

  • Sharing Penerapan NSICCS

    Rapat Operational RINTIS, 24 Maret 2015

    Daniel S. Subianto

    Head, IT Solution & Architect Management

  • Unit Name

    Disclaimer

    Isi dari presentasi ini merupakan sharing pengalaman atas implementasi project

    NSICCS yang saat ini sedang dijalankan di BII dan bukan ditujukan sebagai

    pegangan satu-satunya untuk implementasi pada bank lain. Bank yang

    melakukan implementasi project ini perlu melakukan assessment yang

    menyeluruh berdasarkan kondisi dan scope yang ada pada masing-masing

    bank yang mungkin berbeda dengan implementasi yang dilakukan pada BII.

  • Unit Name

    Agenda

    1. Latar Belakang dan Tujuan Penerapan NSICCS di Indonesia

    2. Perbedaan Kartu Magnetic Stripe dengan Kartu Chip

    3. Impacted Area Untuk Implementasi NSICCS Pada Bank

    4. Implikasi Operational dan Teknis Bagi Issuer

    5. Implikasi Operational dan Teknis Bagi Acquirer

    6. Q & A

  • Unit Name

    Agenda

    1. Latar Belakang dan Tujuan Penerapan NSICCS di Indonesia

    2. Perbedaan Kartu Magnetic Stripe dengan Kartu Chip

    3. Impacted Area Untuk Implementasi NSICCS Pada Bank

    4. Implikasi Operational dan Teknis Bagi Issuer

    5. Implikasi Operational dan Teknis Bagi Acquirer

    6. Q & A

  • Unit Name

    Latar Belakang Penerapan NSICCS di Indonesia

    Surat Edaran Bank Indonesia No. 13/ 22/DASP tertanggal 18 Oktober

    2011 terkait dengan:

    Implementasi Teknologi Chip dan Penggunaan PIN pada kartu ATM

    dan/atau Kartu Debet yang diterbitkan di Indonesia.

  • Unit Name

    Tujuan Penerapan NSICCS di Indonesia

    1. Meningkatkan keamanan transaksi nasabah yang menggunakan kartu

    ATM/Debet sesuai dengan arahan dari Bank Indonesia.

    2. Sebagai langkah mitigasi terhadap kasus fraud karena card skimming.

    3. Menggunakan standard kartu chip yang berbasiskan EMV yang juga

    dipakai oleh Visa dan MasterCard.

  • Unit Name

    Agenda

    1. Latar Belakang dan Tujuan Penerapan NSICCS di Indonesia

    2. Perbedaan Kartu Magnetic Stripe dengan Kartu Chip

    3. Impacted Area Untuk Implementasi NSICCS Pada Bank

    4. Implikasi Operational dan Teknis Bagi Issuer

    5. Implikasi Operational dan Teknis Bagi Acquirer

    6. Q & A

  • Unit Name

    Perbedaan Kartu Magnetic Stripe Dengan Kartu Chip

    Magnetic Stripe Card Chip Card

    Data nomor kartu, expiry date, nama nasabah, dan lainnya disimpan pada pita magnetic.

    Data yang disimpan dapat lebih banyak pada chip yang memiliki CPU, memory, operating system, aplikasi dan fungsi cryptography.

    Mudah digandakan Data yang tersimpan pada chip tidak dapat digandakan

    Terminal dan bank host tidak dapat memastikan keaslian kartu yang digunakan pada saat transaksi

    Keaslian kartu dapat dipastikan dengan metode Offline CAM dan Online CAM

    1 kartu hanya untuk 1 nomor/1 aplikasi 1 kartu bisa berisi lebih dari 1 aplikasi (loyalty, id card, dll.)

    Harga kartu lebih murah Harga kartu lebih mahal

  • Unit Name

    Perbedaan Kartu Magnetic Stripe Dengan Kartu Chip

    Track-2

    Offline CAM

    Otentikasi keaslian

    kartu

    SDA / DDA

    Online CAM

    Otentikasi keaslian kartu

    dan issuer host

    ARQC / ARPC

    Online CAM

    Otentikasi keaslian kartu

    dan issuer host

    ARQC / ARPC

    (CAM = Card Authentication Method)

  • Unit Name

    Agenda

    1. Latar Belakang dan Tujuan Penerapan NSICCS di Indonesia

    2. Perbedaan Kartu Magnetic Stripe dengan Kartu Chip

    3. Impacted Area Untuk Implementasi NSICCS Pada Bank

    4. Implikasi Operational dan Teknis Bagi Issuer

    5. Implikasi Operational dan Teknis Bagi Acquirer

    6. Q & A

  • Unit Name

    Impacted Area Untuk Implementasi NSICCS Pada Bank

    Debit Card

    Management System

    Perso System Embossing Machine Chip Card

    ATM & EDC Terminal ATM Switching Host

    HSM

  • Unit Name

    Agenda

    1. Latar Belakang dan Tujuan Penerapan NSICCS di Indonesia

    2. Perbedaan Kartu Magnetic Stripe dengan Kartu Chip

    3. Impacted Area Untuk Implementasi NSICCS Pada Bank

    4. Implikasi Operational dan Teknis Bagi Issuer

    5. Implikasi Operational dan Teknis Bagi Acquirer

    6. Metode Implementasi

    7. Q & A

  • Unit Name

    Implikasi Operational dan Teknis Bagi Issuer

    Pengecekan kartu pada saat transaksi: magstripe atau chip?

    Menggunakan BIN yang berbeda antara kartu magstripe dan chip

    Menggunakan BIN yang sama, tetapi beda card range

    Service code di track-2

    Pos Entry Mode (DE 22)

    Chip data yang diterima oleh issuer apabila menggunakan kartu chip dan

    terminal chip

    ?

  • Unit Name

    Implikasi Operational dan Teknis Bagi Issuer

    Pengecekan terminal yang digunakan untuk transaksi: magstripe atau

    chip?

    Pos Entry Mode (DE 22)

    Chip data yang diterima oleh issuer apabila menggunakan kartu chip dan

    terminal chip.

  • Unit Name

    Implikasi Operational dan Teknis Bagi Issuer

    Pengecekan OFFLINE CAM status yang dikirimkan oleh terminal/acquirer:

    Hanya dilakukan untuk transaksi dari EDC. (tidak ada OFFLINE CAM pada

    transaksi di ATM)

    Apabila OFFLINE CAM status = failed: continue to process atau decline?

    OFFLINE CAM bisa failed karena:

    a) RSA key yang diperso pada kartu sudah tidak berlaku (expired)

    sehingga tidak dapat disupport oleh terminal.

    b) Kartu yang dipakai bukan kartu yang asli.

    (CAM = Card Authentication Method)

  • Unit Name

    Implikasi Operational dan Teknis Bagi Issuer

    Pengecekan ARQC & memberikan ARPC (ONLINE CAM):

    Issuer melakukan pengecekan terhadap ARQC (Authorization REQUEST

    Cryptogram).

    Issuer men-generate ARPC (Authorization RESPONSE Cryptogram) dan

    mengirimkannya kepada acquirer terminal kartu.

    ARPC akan dicek oleh kartu untuk memastikan kalau response yang

    diterima adalah dari issuer host yang genuine.

    Send ARQC

    3

    Send ARQC 1. Validate ARQC

    2. Generate ARPC

    3. Send ARPC Send ARPC Send ARPC

    ISSUER

  • Unit Name

    Implikasi Operational dan Teknis Bagi Issuer

    Indikasi transaksi fraud:

    ARQC yang dikirimkan tidak benar (failed).

    Terjadi fallback: kartu dan terminal sudah chip, tetapi transaksi dilakukan

    tidak menggunakan chip alias menggunakan magstripe.

    OFFLINE CAM status = failed, dengan kondisi RSA key yang diperso ke

    kartu dipastikan masih valid.

  • Unit Name

    Implikasi Operational dan Teknis Bagi Issuer

    Strategi implementasi:

    Pada saat issuer menerbitkan kartu chip, maka issuer harus memastikan

    supaya switching host-nya sudah tersertifikasi dengan jaringan ATM (misal:

    Prima) dan Visa/MC (jika member Visa/MC) hal ini untuk memastikan

    apabila kartu chip tersebut bertransaksi di ATM chip bank lain, maka

    transaksinya dapat diproses oleh issuer.

  • Unit Name

    Implikasi Operational dan Teknis Bagi Issuer

    Perubahan pada report settlement dari jaringan ATM:

    Indikator yang menandakan apakah kartu dan terminal yang digunakan

    adalah chip atau magnetic-stripe. (value dari DE 22)

    Informasi EMV tag data yang mungkin diperlukan (misal: OFFLINE CAM

    status, dll.).

  • Unit Name

    Agenda

    1. Latar Belakang dan Tujuan Penerapan NSICCS di Indonesia

    2. Perbedaan Kartu Magnetic Stripe dengan Kartu Chip

    3. Impacted Area Untuk Implementasi NSICCS Pada Bank

    4. Implikasi Operational dan Teknis Bagi Issuer

    5. Implikasi Operational dan Teknis Bagi Acquirer

    6. Q & A

  • Unit Name

    Implikasi Operational dan Teknis Bagi Acquirer

    ATM Baca Magnetic Stripe atau Chip?

    Selama periode interim (belum seluruh kartu dimigrasi ke chip), maka ATM

    tetap bisa membaca mag-stripe apabila kartu yang dipakai untuk transaksi

    belum chip.

    Setelah periode interim berakhir, maka ATM sudah harus selalu membaca

    applet NSICCS untuk kartu yang transaksinya diteruskan ke jaringan ATM

    lokal.

    Untuk kartu chip yang transaksinya diteruskan ke Visa/MC, maka ATM harus

    membaca applet VISA (VSDC) atau MasterCard (M/Chip).

  • Unit Name

    Implikasi Operational dan Teknis Bagi Acquirer

    Fallback support?

    Acquirer punya pilihan untuk melakukan fallback ketika terjadi kegagalan

    pada saat membaca kartu chip dengan tetap menggunakan mag-stripe pada

    periode interim.

    Acquirer tidak boleh melakukan fallback setelah periode interim berakhir

    untuk kartu chip yang diterbitkan di Indonesia.

  • Unit Name

    Implikasi Operational dan Teknis Bagi Acquirer

    Bagaimana apabila ARPC (response cryptogram) tidak valid?

    Ketika ARPC yang dikirimkan oleh issuer tidak valid, maka transaksi menjadi

    reject di sisi ATM dan ATM akan mengirimkan notifikasi ke acquirer host dan

    acquirer host harus melakukan reversal request ke issuer untuk transaksi

    yang di-reject ini.

    ARPC Validation

    FAILED ARPC = FAILED Send Reversal

    Request

    1

    2

    3 4

    ACQUIRER

  • Unit Name

    Implikasi Operational dan Teknis Bagi Acquirer

    OFFLINE CAM pada EDC

    Untuk transaksi Debit pada EDC, maka terjadi process OFFLINE CAM

    antara kartu dan terminal untuk process otentikasi apakah kartu yang

    digunakan adalah kartu yang genuine diterbitkan oleh issuer.

    Setelah process OFFLINE CAM selesai, maka apapun hasilnya, EDC tetap

    mengirimkan transaksi tersebut secara online ke issuer host.

    Acquirer harus memastikan supaya public key yang dipasang pada setiap

    mesin EDC adalah yang terbaru dan yang masih berlaku supaya process

    OFFLINE CAM dapat berjalan dengan normal.

  • Unit Name

    Implikasi Operational dan Teknis Bagi Acquirer

    Strategi implementasi:

    Setelah ATM Switching host pada acquirer sudah diupgrade untuk dapat

    support chip, maka deployment upgrade pada terminal ATM dan EDC dapat

    dilakukan secara bertahap.

  • Unit Name

    Agenda

    1. Latar Belakang dan Tujuan Penerapan NSICCS di Indonesia

    2. Perbedaan Kartu Magnetic Stripe dengan Kartu Chip

    3. Impacted Area Untuk Implementasi NSICCS Pada Bank

    4. Implikasi Operational dan Teknis Bagi Issuer

    5. Implikasi Operational dan Teknis Bagi Acquirer

    6. Q & A

  • Unit Name

    Q & A

  • Thank You