终端风险管理的内容也是比较容易理解的的。
终端风险管理执行条件比较简单,只要AIP当做的标志位支持终端风险管理,则终端就会进行终端风险管理流程。否则,终端风险管理不执行。TVR的第四个字节全部是用了体现终端风险管理的结果。
终端风险管理主要完成三个任务。
第一、最低限额检查(文档原话,也容易理解,不做解释)
最低限额用于控制交易当前交易金额或同一张卡片连续几笔交易累积金额超过某个数值时则要求联机授权。
如果终端不支持交易日志,则终端直接比较授权金额和最低限额。如果交易授权金额大于或等于最低限额,终端将TVR中的“交易超过最低限额”位设为‘1’。即使最低限额为0,终端也进行同样检查,这种情况会导致所有交易的TVR中的“交易超过最低限额”位都设为‘1’。
如果终端支持交易日志,则终端在交易日志中寻找与当前交易的PAN和PAN序列号(如果终端交易日志和卡片中都存在)相同的一个交易记录,将其对应的累计交易金额与当前交易的授权金额相加,如果和大于或等于最低限额,则TVR中的“交易超过最低限额”位设为‘1’。
特别说明:终端风险管理,没有联机能力的终端可以不做后续的内容,直接跳过后面的步骤,进入终端行为分析。简而言之,电子现金交易,这一流程的后续两步可以直接跳过。在AIP不支持终端风险管理的情况下,这个步骤也可以执行。目前的代码是这么处理的,但是有一点我也比较困惑,如果跳过后续两步的话,终端是没有办法判断出该卡为新卡的,新卡是不支持脱机消费的,我想既然程序这么做,有可能是因为后续还有卡片行为分析,卡片会在这个阶段通过判断新卡,并且根据终端的请求情况来拒绝脱机交易。
第二、随机选择交易
控制交易基于当前交易的金额随机决定交易是否联机授权,终端可选支持该功能。如果终端支持随机交易选择,则终端必须具有如下数据:最低限额、偏置随机选择阈值、随机选择目标百分数和偏置随机选择的最大目标百分数。此外,终端还应产生位于1-99之间的一个随机数。
任何交易金额小于偏置随机选择阈值的交易需要进行随机选择,而不管交易的金额具体为多少。终端会产生一个1-99之间的随机数,如果此随机数小于或等于随机选择的目标百分数,该交易就会被选中。
任何交易金额大于偏置随机选择阈值而小于最低限额的交易需要进行偏置随机选择,有倾向性地使高额交易有更高的几率通过联机处理完成。对于这些交易,终端需要把它产生的随机数字与支付系统的交易目标百分数进行比较,如果随机数小于或等于交易目标百分数,交易就被选中。交易目标百分数是支付系统的目标百分数的线性插值(即随机选择的目标百分数与偏置随机选择使用的最大目标百分数的线性插值),其计算方法如下:
插值因子=(授权金额-阈值)/(最低限额-阈值)
交易目标百分比=((最大目标百分比-目标百分比)×插值因子)+目标百分比
如果交易在上述的过程中被选中,则将TVR中的“交易被随机选中进行联机处理”位设为‘1’。
终端风险管理参数示例
参数 值
终端最低限额 100 (AID参数下发)
终端随机数 25 (终端随机生成)
偏置随机选择的阈值 40 (AID参数下发)
随机选择目标百分比 20% (AID参数下发)
偏置随机选择的最大目标百分比 50% (AID参数下发)
情形1:
交易金额是20。因为交易金额小于偏置随机选择阈值,因此执行随机选择。
比较终端随机数与目标百分数。因为随机数(25)大于目标百分数(20),所以交易不被选中作联机处理。
情形2:
交易金额是60。这个金额大于偏置随机选择的阈值,但小于终端最低限额。因此应用偏置随机选择。
交易金额比阈值高20,该差值是终端最低限额与阈值差值(100-40=60)的1/3。因此将最大目标百分数与目标百分数的差值的1/3(50%-20%=30%×1/3=10%)加到目标百分数上,得到交易目标百分数为30%(20%+10%=30%)。
终端随机数为25,小于交易目标百分数(30),所以交易被选中进行联机处理。
情形3:
交易金额为150。因该金额大于终端最低限额,因此交易不进行随机选择。而是进行最低限额检查而联机处理。
第三、频度检查
如果连续脱机交易次数下限LCOL(标签‘9F14’)与连续脱机交易次数上限UCOL(标签‘9F23’)都存在,则执行,否则不执行。
如果执行,终端需要先GET DATA获取9F36和9F13,然后再和UCOL和LCOL比较,判断满足交易频度检查条件。
如果获取到的9F13为0,则将该卡标志位新卡。新卡是不允许脱机交易的,IC卡cos会对这个有要求,主要是安全考虑,因为新卡做脱机交易不可控。
完成上述步骤后,终端风险管理就执行完了。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
