Genel olarak Ödeme sistemi dünyasının büyümesi ve pandeminin hızlandırdığı Kartlı sistemlere olan ilginin ve ihtiyacın her geçen gün artması nedeniyle, 6 basamaklı BIN’ler tükenme noktasına ulaşıyor. Tehlikenin farkına varan ve bir an önce önlem almak isteyen Uluslararası Standardizasyon Örgütü (ISO), 6 basamaklı BIN’lerin tükenmeden 8 haneli BIN’lere dönüştürülmesine karar vermiştir. Bu değişim için hazırladığı hareket planınının son tarihini 2022 Nisan olarak açıklamıştır.
Burada kısa bir not olarak Uluslararası Standardizasyon Örgütü (ISO)dan bahsetmek isterim;
Uluslararası Standardizasyon Örgütü (ISO), Visa/Mastercard terminolojisinde “BIN’ler” olarak bilinen Düzenleyici Kimlik Numaralarını (IIN’ler) tanımlayan standardı denetler. Amerikan Bankacılar Birliği (ABA), ISO adına, kart verenler için mevcut IIN havuzunu küresel olarak yönetir.
ISO tarafından verilen bu karar küçük bir değişiklik olarak görülsede, sadece Visa için Nisan 2022’de, yaklaşık 100.000 altı basamaklı BIN’den oluşan Visa havuzu 10.000.000 sekiz basamaklı BIN’e kadar yükselebilecek. Özetle aslında elde olan üretilmemiş BIN adedi teorik olarak 100 katına çıkmış olacak. Nisan 2022’den sonra 6 basamaklı BIN’ler atanamayacak.
Ayrıca, mevcut 6 basamaklı BIN’ler, 8 basamaklı BIN’ler haline geldikçe desteklenmeye devam edecektir. Bu geçişle Ödeme sistemi döngüsünde yer alan aşağıdaki paydaşlar etkilenmiş olacak.
- Card Issuers
- Acquirers
- Processors
- Merchants
Dönüşümün testleri 2019’da başlayarak ve resmi olarak Nisan 2022’ye kadar devam ediyor olacak. Bu sayede aslında ISO, ödeme sistemi paydaşlarına yeterince zaman tanıdığını düşünmektedir. Ödeme sistemi ağlarından Visa/Amex) işlem mantığının 8 basamaklı BIN’leri işleyecek şekilde güncellemeye devam etmekte veya tamamlamaktadır. Özellikle VisaNet’den yapılan açıklamalara göre değişikliklerin kendi taraflarında küçük olması beklenirken, Visa müşterilerinin(Acquirers, Issuers) daha yüksek etkili değişiklikleri uygulaması gerekebileceğini açıklamıştır.
Neden Böyle Bir Sürece Giriliyor?
Yazının ilk paragraflarında özetlediğim gibi, birkaç yıl önce, 6 haneli BIN’ler, kredi kartı ödemelerinin işlenmesi için yeterliydi. Ödeme işleyicileri ve kartı veren kuruluşlar, 6 haneli BIN’e yönelik kural ve sistemler oluşturmuştu. Teknolojonin hızla büyümeye devam etmesi, kart sahiplerini için bir çok alışveriş ve işlem yapma seçeneğinin ortaya çıkması, bir kart sahibinin dilediği bir bankadan kredi kartı, prepaid kart,ek kart, özel kart, sanal kart vb. bir çok “BIN’e” sahip olması, 6 basamaklı BIN’ler tükenme noktasına getiriyor. Bu nedenle ISO, mevcut sayısını yenileyen 8 basamaklı BIN’lere geçmeye karar verdi. Ödeme sistemi ağına dahil olan tüm paydaş/kuruluşların ödemeleri işlemeye devam edebilmesini sağlamak için çok geç kalmadan başlamalıdırlar.
Ödeme Sistemi Döngüsünde Yer Alan Paydaşlara etkileri?
Ödeme sistemi döngüsünde yer alan ve önemli oyunculardan olan ve doğrudan yada dolaylık olarak ödeme sistemi ağları ile iletişim kuran; Card Issuers,Acquirers ve Processors, daha önce el şıkışarak protokoller ve entegrasyonlarda anlaştığı 6-digit BIN sürecini, 8-digit BIN’e taşıyacak yeni süreç için ileitşim halinde olmalıdır.
Özellikle Card Issuers son teslim tarihine kadar kullanmayacağı BIN’leri iade etmemiş olmaları durumunda, tutulan tüm BIN’ler için ücret ödemeleri gerekebilir. Kullanılmayan 8 basamaklı BIN’ler, kredi birliğinin sağlayıcı havuzuna iade edilmelidir. Doğrudan Sanal POS Acquirers banka sistemlerine ve servis sağlayıcı entegrasyon firmalara entegre olan merchantlar ve third-party hizmet veren hazır paket, payment gateway uygulamları sağlayan third-party ler, doğrudan Visa/Master gibi ağlarla iletişim kuramazlar.
Bu nedenle Ödeme sistemi ağlarıyla iletişim halinde olan tüm kuruluşlar, kendi sistemlerine entegre olan firma veya third-party uygulama sağlayıcılarının bu geçişi test ve control ederek hazırlık yapabileceği ortamları kurmaları gerekir.
8 Haneli BIN’e Geçiş Ezberleri Bozacak!
Dana önceleri bilenen ve bankalar için 6 hane olarak spesifik olarak atanmış BIN listeleri yerine çeşitliliğe bırakıyor.
Örneğin ZiraatBankası için örneklemek gerekirse;
539134 ve 540130 olarak iki adet 6 Haneli BIN’I Mastercard tarafından sağlanmış ve ZiraatBank tarafındna müşterilerinin kullanması için ihraç edilmiştir. Son kontrollerime göre şuan ZiraatBankası’nın buna benzer 60 a yakın BIN numarası bulunuyor.
8 Haneli BIN geçişi ile ZiraatBankası’nın 60 adet BIN’e ihtiyaç duyduğumu düşümürsek; 53913400 ve 53913460 arasındaki aralıkları kullanacağını belirtmesi ve diğer BIN ve aralıkları iade etmesi beklenecektir.
53913400……60 Yani geçişle 53913461 nolu BIN farklı bir kuruluş tarafından üretilen bir BIN olabileceğini anlamış oluyoruz.
Business Ayrımı ve Security
Belirli bir süre 6 hane ve 8 hane BIN ler birlikte çalışmaya devam edecek gibi görünüyor. Bu nedenle özellike merchantlar ve gateway görevi gören uygulamalar iki yapıyı da dikkatli değerlendirmelidir. Sistemlerinde 6 haneli statik tanımlar ile birlikte 8 haneye geçiş için BIN aralıkları verebileceği ve banka atamalarını yapabileceği yapılar kurmalıdır. İlk etapta 6 haneli BIN ile devam edilen ve 8 haeli BIN ile devam edilecek olan parçaları belirleyici flag ler eklenebilir. Eğer BIN’e bağlı bir yönlendirme sistemi söz konusu ise ve BIN bilgileri local DB lerde tutuyorlar burdaki güncel bilgile ve banka range aralıkları banka yada Bkm den istenmelidir. Ayrıca BIN için Visa, Mastercard, BKM gibi kurumların sunmuş olduğu bazı online BIN servisleri incelenerek bilgiler alınabilir. Bugün neredeyse son kullanıcı olarak yaptığımız tüm web siteleri ödemelerinde kartın ilk 6 hanesini veya tamamenını yazdığımız anda şekildelli Visa/Master yada banka logolarını görebiliyoruz. İşte bu yapının arkasında çalışan çok basit bir QueryBIN servisidir. Kimi entegrasyon veya sitelerde basit olarak görülen bu yapının doğru çalışmaması durumunda son kullanıcılar için taksltli işlemimiz peşin, peşin işlemimizde taksitli yönlendirilebilir(Farklı bir yazdıa onus ve not-onus kavramlarından bahsedeceğim). Veya daha kötüsü işlemimize devam bile demeyebiliriz.
Yine bu servisin yanlış yada doğru olmayan bilgilerle entegre edilmiş olması Akbank kartıyla taksitli işlemin Finansbank Sanal POS’una, Finansbank kartıyla peşin işlemin Denizbank Sanal POS’una gitmesi sağlanmış olabilir.(Özellikle peşin işlemler için bu iş akşları bazı durumlarda bilinçli yönlendirilebiliyor, son kullanıcı ile ilgili olmayan firma yada gateway entegrasyon iş akışlarıdır)
Tüm bu süreçlere ek olarak kart datasını işleyen tüm sistemlerin belirli sertifikasyon süreçlerine dahil olduğunu unutmamak lazım. Bu sertifikasyon süreçlerinin en önemlilerinden birisi olan PCI-DSS tarafında 8 haneli BIN süreciyle saklama ve maskeleme süreçlerine herhangi bir etki olup olmayacağını banka, Ödeme kuruluşu, PCI danışmanları ve servis sağlayıcılardan bu yönde gelebilecek duyuruların takip edilmesi önemlidir.
Hatta bir adım daha ileri gitmek gerekirse KVKK/GDPR süreçlerininde gözden geçirilmesinde yarar vardır.
Banka veya Kredi Kartı Numarasının Anatomisi
1.MII (Majority Industry Identifier).
2. IIN veya BIN. Kart veren kurumu belirtir.
3. Hesap Tanımlayıcı Numarası. Müşterinin hesap numarası.
4. Sağlama toplamı. Luhn algoritmasını kullanarak kredi kartı numarasını doğrular.
5. PAN (birincil hesap numarası)
Thank You For Your Vote!
Sorry You have Already Voted!