Hanife Yıldıztekin
Kartların tüm dünyada kullanılması için ortak standartlar oluşturan (EMV) Europay, Master, Visa, kurumlara kendilerine ait ürün bazında numara tanımlıyor. Bu numaraya açılımı “Bank Identification Number” kısaca “BIN” deniyor.
BIN, aynı zamanda IIN (Issuer Identification Number) olarak da ifade ediliyor. Hatta standardın temeli olan “ISO/IEC 7812–1” belgesi de bu terim ile tarif edilmektedir. ISO standardı genel bir standart olduğundan kısaltmayı “İhraççı tanımlama numarası” olarak tariflerken, bankacılık sektörü bu tarifi özelleştirerek “Banka tanımlama numarası” olarak değiştirmiştir.
1989 öncesinde 4 hane olarak kullanılan BIN’ler günümüzde 6 hane olarak belirleniyordu. Ödeme sistemlerinin gün geçtikçe büyümesi üzerine artık 6 hane de yetmemeye başlayınca, ISO (international organization for standardization) bu aralığı 8 bin olarak güncellenme kararı aldı. Daha önce verilmiş olan BIN’ler için bir değişiklik olmayacak fakat sertifika otoritelerinin elinde kalan BIN’ler bundan böyle 8 hane olarak kurumlara tanımlanacak şekilde düzenleme yapıldı. Böylece ISO havuzda bekleyen BIN sayısını 100 ile çarpmış oldu. Bir anlamda tehlikeyi biraz daha öteledi denilebilir.
Sertifika otoritelerinin bu değişiklik için bildirdikleri son tarih Nisan, 2022 olup, bu tarihten sonra 8 digit bin dağıtımına başlanacaktır. İçinde bulunduğumuz süreçte, kart ihraç eden kurumların (issuerlar) ve bankaların bu değişikliğe adapte olmak için gerekli çalışmaları yapması beklenmektedir. EMVCO 6 digit olarak çalışan firmaların 8 digite uygun hale gelmelerini önermekte fakat zorunlu tutmamaktadır.
Değişiklikler;
- Ödeme Sistemleri 6 digit bin ve 8 digit bin işlemleri kabul etmeye devam edecekler. Mevcut online işlemlerin akışında bir farklılık beklenmiyor.
- Kart numarası 16 hane olarak kullanılmaya devam edecek.
- Kartın üzerine basılan BIN bilgisi aynı şekilde basılmaya devam edecek, kartın üzerine basılma sıralaması herhangi bir değişiklik olmayacak.
- Değişiklikler card present veya card not present durumlarında da geçerli olacak.
- 6 digit BIN ile oluşturulan sertifikalar çalışmaya devam edecek. 8 digit BIN’e geçilmesi eski kartları
- ODA (Offline data authentication) doğrulaması 6 veya 8 BIN’le oluşturulan IPK dan etkilenmeyecek, mevcut akışına devam edecek.
- Değişikliğin terminal fonksiyonlarında bir etkisi olmayacak. Müşteri açısından bir farklılığa sebep olmayacak.
Özetle 8 digit BIN’e geçilmesi ile ilgili mevcut iş akışında herhangi bir değişiklik öngörülmüyor. Kurumlar kendi içlerindeki akışları düzenlemeli, mevcut iş akışlarında 6 digite özel kısımlar varsa bu kısımlar düzenlenmelidir.
Yeni Data Element 9F0C
Mevcutta BIN 42 tag’inde tutulmaktadır. Bu tag’in 8 digit BIN’i tutabilecek şekilde genişletilmesi düşünülürken, firmalardan gelen görüş üzerine 8 digit BIN için yeni bir tag oluşturulmaya karar verildi. Nedeni ise bazı terminallerin 42 tag’inin 6 digit olmasını beklemesi ve aksi durumda datayı geçersiz sayması. Bu karmaşaya neden olmamak amaçlı oluşturulan 9F0C tag’i terminalin her iki bin uzunluğu için de kullanılmaya devam etmesini sağlayacak.
- Issuer Identification Number (’42’)
- Issuer Identification Number Extended (‘9F0C’)
BIN bilgisi yeni oluşturulacak olan 9F0C tag’inde veya 42 tag’inde bulunabilir. Iki tag’in de dolu olarak bulunması zorunlu değildir.
Diğer data elemanlarını ele aldığımızda BIN bilgisi içeren aşağıdaki tagler zaten 8 digit BIN için uygun. Bir çalışma gerektirmiyor.
- Primary Account Number (Tag ‘5A’),
- Track 2 Equivalent Data (Tag ’57’),
- Issuer Public Key Certificate (Tag ’90’),
- ICC Public Key Certificate (Tag ‘9F46’), ve
- ICC PIN Encipherment Public Key Certificate (Tag ‘9F2D’)
8 Digit Bin Değişikliğini PCI DSS açısından değerlendirme
PCI DSS kurallarında pan numarasının ilk 6 hanesi ve son dört hanesi açık olarak kullanıcıya gösterilmekte, kalan kısımlar sadece özel yetki dahilinde gösterilebilmektedir. Kart datasının daha fazla kısmını açık halde görebilmek için bu ihtiyacı belgelemek gerekiyor. Bu durum 8 hane bin için de geçerli. Kısacası 8 BIN’e geçiş kurallar açısından farklılığa neden olmuyor. Var olan kurallar devam ediyor. Saklama yöntemlerinde de bu kural geçerli. BIN ve son dört açık halde, kalan kısım ise encrypted olarak databasede saklanabilir.
