Z karty płatniczej korzystamy na co dzień. Kupujemy w sklepie stacjonarnym lub w Internecie i zawsze na wyciągnięcie ręki, w naszym portfelu znajduje się kawałek plastiku za pomocą którego możemy wygodnie zapłacić za nasze zakupy. Zastanawiasz się czy wszystkie karty płatnicze mają jednakowy rozmiar lub jakie dane są przechowywane w naszej karcie. W końcu najważniejsze, jakie informacje kryją się pod ciągiem cyfr, które razem tworzą unikalny numer? Bez względu na rodzaj posiadanej karty, większość elementów jest stała i ściśle określona przez przez normy ISO, które standaryzują budowę i pozwalają uniknąć zbędnej fragmentaryzacji na rynku kart płatniczych będących w obiegu.
Norma ISO/IEC 7810 wydana w 1985 r. przez Międzynarodową Organizację Normalizacyjną (ISO) z późniejszymi poprawkami, wprowadza podział na trzy rodzaje kart identyfikujących (ID 1-3), jednocześnie precyzuje informacje o przeznaczeniu danego typu karty oraz jej wymiarach. Karty płatnicze znajdują się w pierwszej grupie ID-1. Jest to grupa kart identyfikujących, która jest w powszechnym użyciu i zaliczyć do niej możemy także nasz dowód osobisty lub np. kartę pracowniczą. Innym określeniem często spotykanym dla tej grupy kart to CR80. Wymiary kart będących w tej grupie, czyli karty płatniczej, posiadają 85.60 mm szerokości i 53.98 mm wysokości. Z kolei grubość karty powinna wynosić dokładnie 0.76 mm. Norma precyzuje także zaokrąglenia rogów, których promień powinien mieścić się w zakresie 2.88–3.48 mm. Karta jest wykonana z kilku warstw nakładających się na siebie i spojonych w jedną całość z użyciem wysokiej temperatury oraz ciśnienia. Materiał użyty do produkcji karty płatniczej, to zazwyczaj tworzywo sztuczne (np. PVCA) lub w przypadku kart typu premium materiałem może być metal. Ponadto norma dookreśla pozostałe cechy fizyczne, w tym ograniczenia dotyczące w szczególności takich cech jak giętkość, toksyczność, łatwopalność, a także odporność na czynniki zewnętrzne (światło i temperatura) mające wpływ na stan fizyczny karty.
Poniżej postaram się przedstawić poszczególne elementy karty płatniczej, które możemy odnaleźć na każdej ze stron wraz z uzupełnieniem o dodatkowe informacje. Poniższe grafiki przedstawiają najczęściej spotykane rozmieszczenie elementów. W zależności od organizacji kart płatniczych oraz banku wydającego, mogą pojawić się niewielkie różnice w ich umiejscowieniu. Niemniej jednak, uwzględniłem najczęściej spotykane rozmieszczenie z pominięciem elementów, które jeszcze nie występują w powszechnym użyciu, takie jak czytnik linii papilarnych, wyświetlacz z jednorazowymi kodami bezpieczeństwa czy innymi elementami stosowanymi w kartach płatniczych typu smart nowej generacji. Wkrótce poświęcę oddzielny wpis uwzględniający ten temat.
Awers
1. Logotyp wydawcy
Graficzne przedstawienie banku, który wydał kartę płatniczą (ang. bank issuer).
2. Mikroprocesor
Układ scalony widoczny na awersie w kształcie niewielkiego kwadratu lub prostokąta, umieszczony nad numerem karty po lewej stronie, określany jako EMV®. Mikroprocesor przechowuje informacje o karcie płatniczej i jest jedną z metod autoryzacji transakcji bezgotówkowej. Pozwala na bezpieczną weryfikację dostępu do rachunku bankowego posiadacza karty płatniczej. Jest to standard opracowany przez firmę EMVCo i opublikowany po raz pierwszy w 1995 r. Podstawą do opracowania standardu była norma ISO/IEC 7816 (1994 r.), która wprowadziła do obiegu pojęcie smart cards. EMVCo zajmuje się dalszym ulepszaniem standardu oraz certyfikacją terminali płatniczych, które umożliwiają autoryzację płatności z użyciem mikroprocesora. Aktualnie obowiązująca wersja EMV to 4.3 i została opublikowana w 2011 r. Mikroprocesor zapewnia większe bezpieczeństwo transakcji i jednocześnie redukuje liczbę nadużyć, które miały miejsce w przypadku użycia paska magnetycznego. Wymiana informacji zawartych w mikroprocesorze z terminalem płatniczym jest zabezpieczona indywidualnym kluczem przypisanym dla pojedynczej transakcji. Oznacza to, że w przeciwieństwie do paska magnetycznego, dane użyte do procesowania transakcji są zmienne. Nadużycia, takie jak przechwycenie i skopiowanie danych w trakcie autoryzacji przez technologię EMV® jest wręcz niemożliwe. Przeprowadzenie transakcji z użyciem mikroprocesora może się odbyć z użyciem dwóch rodzajów zabezpieczenia, przez wprowadzenie numeru PIN (ang. chip-and-PIN) od określonej kwoty lub złożenie podpisu przez właściciela karty płatniczej, a następnie weryfikację tego podpisu z wzorem podpisu na rewersie (ang. chip-and-signature). Ponadto możemy wyróżnić transakcje z użyciem mikroprocesora ze względu na rodzaj połączenia, wówczas będzie to transakcja online lub offline. Wszystkie dostępne podziały łączy jeden mianownik, którym jest mikroprocesor jako środek zabezpieczenia. Każdy mikroprocesor zawiera zapisaną listę metod weryfikacji, które mogą zostać użyte do autoryzowania transakcji. Taką listę określa się jako CVM (ang. cardholder verification method). Podobną listę zawiera terminal płatniczy, jednak lista nie zawsze będzie zbieżna. Może się bowiem okazać, że terminal płatniczy nie umożliwia autoryzacji płatności offline. Natomiast, jeżeli dana metoda weryfikacji znajdzie się zarówno na liście w mikroprocesorze jak i na liście metod weryfikacji obsługiwanych przez terminal, wówczas autoryzacja zostanie przekazana do procesowania.
3. Posiadacz karty
Miejsce na informację o posiadaczu karty płatniczej. Zazwyczaj w tym miejscu znajduje się imię i nazwisko osoby, dla której bank wydał kartę. W przypadku kart komercyjnych, oprócz powyższych danych, umieszczona jest także nazwa firmy.
4. Pre-printed BIN
Cztery pierwsze cyfry numeru karty znajdującego się powyżej.
5. Data ważności
Informacja zawierająca datę ważności karty płatniczej. Data nie odnosi się do ważności rachunku bankowego, do którego karta została przypisana. Zazwyczaj okres ważności wynosi 3 lata od wydania karty płatniczej. W zależności od banku, w którym posiadamy otwarty rachunek, okres ten może się różnić w zakresie 2 do 5 lat. Karta jest ważna do ostatniego dnia miesiąca podanego na awersie. Okres 3 lat, to średni przedział czasu, w którym nasza karta płatnicza powinna działać bez zastrzeżeń, o ile nie nastąpią zdarzenia losowe, takie jak kradzież lub zniszczenie mechaniczne. W wyniku zużycia lub zniszczenia mogą pojawić się problemy z odczytem karty w terminalu płatniczym, dlatego niezbędna jest wymiana karty na nową. W przypadku kart kredytowych wymiana może wiązać się z nowymi warunkami umowy zawartej pomiędzy posiadaczem karty, a bankiem który wydał kartę. Ponadto wraz z upływem czasu może zmienić się logo banku, z którego usług korzystamy, a także sama nazwa banku. W takiej sytuacji wymiana karty będzie również uwzględniać rebranding banku. Zazwyczaj jednak czas ważności karty płatniczej, to wspomniane 3 lata. Zgodnie z normą ISO/IEC 7813 (pierwsza publikacja w 1987 r.), data ważności powinna zostać podana w następującym formacie: MM/RR lub MM-RR. Bank powinien wysłać nową kartę płatniczą w przedziale 30-60 dni przez upływem podanego terminu. Dokładny czas dostarczenia określa regulamin banku. Po otrzymaniu nowej karty płatniczej, warto sprawdzić czy numer karty się zmienił czy pozostał bez zmian. W przypadku zmiany i włączonej płatności cyklicznej, należy pamiętać o zaktualizowaniu danych z nowej karty (np. w serwisie VOD), w celu zapewnienia ciągłości usługi. Stara karta przestaje być użyteczna, aczkolwiek w zależności od polityki banku, poprzednia karta może nadal działać przez określony czas po upływie terminu ważności. W związku z tym należy zniszczyć starą kartę dla bezpieczeństwa lub upewnić się, że dalsze płatności zostały zablokowane kontaktując się z bankiem lub weryfikując tę informację w panelu klienta po zalogowaniu do banku.
6. Numer karty
Numer identyfikujący kartę płatniczą. W skrócie numer ten określa się jako PAN (ang. Primary Account Number). Reguły dotyczące sposobu przydzielania numeru karty określa norma ISO/IEC 7812 wydana w 1985 r. z późniejszymi zmianami. Numer karty płatniczej jest zapisany w pasku magnetycznym oraz mikroprocesorze. Numer PAN ma długość od 10 do 19 znaków. Pierwsza cyfra w numerze karty to tzn. główny identyfikator branży (MII, ang. major industry identifier) i zgodnie z nazwą odnosi się do branży, dla której wydano kartę. Na przykład numer karty rozpoczynający się od cyfry 4, odnosi się do usług finansowych i jest przypisany do kart płatniczych obsługiwanych przez organizację VISA. Jednocześnie jest to najlepszy przykład dla zobrazowania podziału, ponieważ w przypadku pozostałych numerów MII, rozpoznanie organizacji płatniczej nie jest tak proste. Na początek, w celu lepszego zrozumienia, przedstawiam tabelę z podziałem MII na poszczególne kategorie:
| MII | Organizacja płatnicza |
|---|---|
| 0 | Komitet techniczny ISO/TC 68 lub inne nieokreślone poniżej branże |
| 1 | Linie lotnicze |
| 2 | Linie lotnicze i usługi finansowe |
| 3 | Podróże i rozrywka |
| 4 | Usługi finansowe |
| 5 | Usługi finansowe |
| 6 | Merchandising i usługi finansowe |
| 7 | Branża paliwowa |
| 8 | Opieka zdrowotna i telekomunikacja |
| 9 | Krajowe organy normalizujące |
Biorąc pod uwagę powyższą tabelę, wiemy że karty rozpoczynające się od cyfry 4 zostały wydane dla usług finansowych, dla których adresowane są karty VISA. Podział ten jest umowny i ma za zadanie sklasyfikować numery kart płatniczych według branży. Kolejne cyfry z numery karty płatniczej to tzw. numer IIN (ang. individual account identification number) lub określenie stosowane zamiennie – BIN (ang. bank identification number). Jest to numer, składający się od 2 do 8 pierwszych cyfr numeru karty płatniczej wraz z cyfrą MII. IIN/BIN pozwala określić jaki bank jest emitentem karty. W roku 2017, wraz z aktualizacją normy ISO/IEC 7812, maksymalna długość numeru IIN/BIN została zwiększona z 6 do 8 cyfr. Norma nie określa daty wejścia w życie zwiększonej długości numeru. Aktualnie trwają prace nad wdrożeniem nowej numeracji przez wszystkie strony działające w branży płatności bezgotówkowych. Szczegółowe plany działania określają poszczególne organizacje płatnicze. Dla przykładu, VISA planuje wdrożenie 8-cyfrowego numeru INN/BIN w 2022 roku.
Cyfry następujące po numerze IIN/BIC do przedostatniej cyfry numeru karty płatniczej, to numer indywidualny i jednocześnie najbardziej poufna część z całości PAN. Numer indywidualny może zawierać do maksymalnie 12 cyfr i jest nadawany przez bank, w którym posiadamy rachunek. W przypadku wymiany informacji o numerze karty, np. zakup w sklepie internetowym, dane karty będą w całości lub częściowo zamaskowane. W Europie obowiązującymi przepisami w tym zakresie są standardy PCI DSS, na podstawie których widoczny może pozostać wyłącznie IIN/BIN czyli 6 (wkrótce 8) pierwszych cyfr oraz 4 ostatnie cyfry numeru karty. Innym spotykanym schematem maskowania jest pozostawianie wyłącznie 5 ostatnich cyfr numeru karty płatniczej, pozostałe pozostają niewidoczne. Taki model ma zastosowanie dla rynku amerykańskiego i podstawowym aktem, który reguluje tę kwestię jest FACTA (ang. The Federal Fair and Accurate Credit Transaction Act).
Ostatnią cyfrą numeru karty płatniczej jest zawsze tzw. cyfra kontrolna obliczona na podstawie poprzedzającego numeru. Cyfra kontrolna jest obliczana na podstawie algorytmu Luhna, niemieckiego naukowca, który opatentował metodę weryfikacji poprawności ciągu liczbowego. Jeżeli dokonując zakupu w sklepie internetowym wprowadzimy błędny numer naszej karty płatniczej, algorytm dokona odpowiednich obliczeń i poinformuje nas o konieczności sprawdzenia poprawności wprowadzonego numeru.
7. Logotyp organizacji płatniczej
Znak graficzny określający organizację kartową, do której należy karta płatnicza. Poszczególne organizacje płatnicze określają ściśle warunki, które powinien spełniać logotyp przed nadrukowaniem go na awersie karty.
8. Typ karty płatniczej
Każda karta płatnicza powinna posiadać nadrukowaną informację o typie rozliczenia środków zgromadzonych na karcie lub rachunku bankowym. Obowiązek umieszczenia takiej informacji pojawił się wraz z wejściem w życie rozporządzenia Parlamentu Europejskiego i Rady UE 2015/751 z dnia 29 kwietnia 2015 r. w sprawie opłat interchange w odniesieniu do transakcji płatniczych realizowanych w oparciu o kartę ze zmianami (art. 10 pkt 5). Typ wydanej karty płatniczej powinien być łatwy do zidentyfikowania poprzez umieszczenie czytelnej informacji na awersie lub rewersie karty. Rozporządzenie nie precyzuje wymogów technicznych związanych z identyfikacją typu karty. Wydawca karty określa te kwestię we własnym zakresie, tak aby bezproblemowo zidentyfikować kartę kredytową, debetową, przepłaconą lub biznesową.
9. Funkcja zbliżeniowa
Karty płatnicze umożliwiają płatność bezgotówkową poprzez zbliżenie karty do terminala płatniczego, jednocześnie wykorzystując poziom zabezpieczeń oferowany przez mikroprocesor. O możliwości przeprowadzenia płatności bezstykowej informuje nas symbol, który może przywoływać skojarzenia z oznaczeniem sieci bezprzewodowej. W tym przypadku jest on skierowany w prawą stronę. Symbol ten został wprowadzony przez firmę EMVCo LLC. Za funkcją zbliżeniową w naszych kartach kryje się technologia oparta o fale radiowe, w skrócie RFID (ang. Radio-frequency identification). Karty płatnicze wyposażone w tę technologię, posiadają wbudowany układ elektroniczny, które przekazuje dane niezbędne do przeprowadzenia transakcji bezgotówkowej. Układ ten nie posiada schematu zasilającego, dlatego niezbędne jest zewnętrzne źródło zasilania. Źródłem energii w tym przypadku jest terminal płatniczy, który emituje fale radiowe wystarczające do wzbudzenia impulsu zasilającego układ elektroniczny. Terminal płatniczy wysyła fale radiowe, zatem pełni funkcję czytnika, który za pośrednictwem wbudowanej anteny wysyła, odbiera oraz dekoduje zgromadzone dane. Z kolej karta płatnicza z funkcją zbliżeniową komunikuje się z terminalem jednostronnie, wysyłając dane poprzez wbudowaną antenę. Technologia RFID znajduje zastosowanie w wielu branżach, nie tylko finansowej i posiada opracowane standardy charakteryzujące się odmiennymi właściwościami. RFID działa w trzech częstotliwościach, tj. niskiej (LF), wysokiej (HF) i ultra wysokiej (UHF). Płatności zbliżeniowe mogą być przyjmowane wyłącznie z wykorzystaniem częstotliwości wysokiej, a dokładniej 13,56 MHz, która pozwala na wymianę danych pomiędzy kartą, a terminalem płatniczym w odległości nieprzekraczającej zazwyczaj ok. 4 cm. Dla częstotliwości wysokiej opracowano dedykowany protokół komunikacyjny, NFC (ang. Near-field communication), na którym oparte są m.in. płatności bezgotówkowe. Korzystanie z karty wyposażonej w funkcję zbliżeniową wymaga wbudowanej anteny do przesyłu danych zapisanych w mikroprocesorze. Karty wyposażone w tę funkcjonalność zazwyczaj posiadają jeden mikroprocesor, który jest widoczny gołym okiem. Dzięki takiej karcie, bez względu na wybraną metodę płatności (EMV lub zbliżeniowo), dane karty są przechowywane na tym samym nośniku (ang. dual interface smart card). Możliwe jest także rozdzielenie nośnika informacji na dwa oddzielne mikroprocesory, gdzie jeden z nich odpowiada wyłącznie za transakcje realizowane z wykorzystaniem funkcji zbliżeniowej. Procesor ten jest wtopiony w warstwy karty płatniczej i tym samym w niej ukryty (ang. hybryd smar card).
EMVCo LLC stworzyła standard płatność bezgotówkowych, na którym organizacje płatnicze rozwijają swoje własne wdrożenia funkcji zbliżeniowej. Dla przykładu, technologia zbliżeniowa opracowana przez Mastercard i zaimplementowana w kartach płatniczych tej organizacji, to PayPass. Natomiast VISA opracowała autorskie rozwiązanie od nazwą Visa Contactless.
Rewers
