Online / Offline PIN (Kartenzahlung)

von

Bei einer EMV Transaktion kann als Karteninhaber-Authorisierungs-Methode (card verification method – CVM) ein PIN (personal identification number) verlangt werden. Dieser PIN dient hierbei als geheime Information, die nur dem Karteninhaber, der EMV Chip Karte und dem Kartenherausgeber (Issuer) bekannt ist und zur Authorisierung einer Zahlung dient.

Wenn eine Zahlung mit Chip and PIN als CVM durchgeführt wird, erstellt das Terminal im Normalfall ein sogenanntes Cryptogram. Dieses Cryptogram kann nun entweder durch die Karte selbst authentifiziert werden (offline PIN) oder wird an den Issuer (kartenherausgebende Bank) transportiert und dort authentifiziert. Dieser Vergleich führt entweder zu einer Autorisierung der PIN (NICHT der Transaktion) oder zu einer Ablehnung. Als Kompatibilitätsmodus für ältere Terminals gibt es bei der offline PIN Autorisierung auch eine PIN plaintext CVM. Diese wird auf den meisten CVM Listen der Karten jedoch mit niedriger Priorität geführt und ist bei online PIN nicht zulässig, d.h. eine Klartext PIN existiert niemals außerhalb der Kommunikation zwischen Terminal und Karte.