Anyro

By Adam Nybäck

Kortordlista

Om det är något ord du saknar eller vill definiera annorlunda, tveka inte att kontakta mig.

Fler korttermer hittar ni på följande sidor:

AID

Application Identifier. Identitet på en application i ett chip-kort. Består av 5 byte RID (registered application provider identifier) och upp till 11 byte PIX (proprietary application identifier extension).

Exempel:
A0000000031010 - Visa
A0000000032010 - Visa Electron
A0000000041010 - MasterCard
A0000000043060 - Maestro
A00000002501 - American Express
A0000001211010 - Dankort
D5780000021010 - BankAxept

ASV

Approved Scanning Vendor är benämningen på företag godkända att genomföra nätverksskanning enligt PCI DSS.

ASV godkänns av PCI Security Standards Council genom test och certifiering. En certifiering gäller i ett år.

ATM

Automatic Teller Machine (uttagsautomat)

Auktorisation

Reservation av belopp på ett korts konto eller kredit i samband med betalning. På exempelvis ett bankkort blir beloppet låst, vilket minskar det disponibla beloppet på kontot. Normalt görs auktorisationen elektroniskt, men kan även göras per telefon.

Auktorisationskod

Kod som genereras som identitet på en auktorisation och skickas i svarsmeddelandet för utskrift på kvitto. Koden består av max 6 tecken, vanligtvis siffror, men kan även innehålla bokstäver.

Vid kommunikationsproblem kan kassören behöva ringa inlösaren för att auktorisera och får då en auktorisationskod per telefon att ange manuellt i kassan eller betalterminalen.

Kan ävan kallas kontrollnummer.

Autentisering

Att fastställa äkthet, styrka identitet, t ex att en person är den hon uppger sig att vara. Detta kan göras genom något personen har (kontokort, ID-kort, certifikat), något personen vet (PIN-kod, lösenord, namnteckning) eller något personen “är” (fingeravtryck). För kortbetalning används som bekant kontokort tillsammans med PIN-kod eller namnteckning/ID-kort. Se även meddelandeautentisering.

Automatkort

Kort som tillåter kontantuttag från tillhörande bankkonto, men som inte kan användas för betalning.

AVS

Address Verification System. System som låter säljföretag matcha leveransadress med kortinnehavarens adress vid beställning av varor över internet, telefon eller brev.

BankAxept

Varumärke för norska bankkort. BankAxept-kort har bland annat krav på PIN (vid online-betalning) och tillåter inte retur, pre-auktorisation eller manuell inmatning. 9 av 10 kortbetalningar i Norge görs med BankAxept.

Bankkort

Kort där betalningar och uttag dras automatiskt från tillhörande bankkonto. Engelska debit card (Obs! Det engelska begreppet bank card kan vara bankkort, men även kreditkort utgivna av en bank).

BASE24

Transaktionssystem från ACI Worldwide som används av bland annat Babs och Cekab.

BCA

Babs and Cekab Approval. Samarbete mellan Babs och Cekab för certifiering av EMV-terminaler i Sverige.

Betalkort

Kort där kortinnehavaren handlar på kredit och regelbundet (vanligtvis varje månad) får en faktura på de köp som gjorts. Hela beloppet faktureras och måste betalas. Engelska Charge Card.

Bonuskort

Lojalitetskort som används vid betalning för att ge bonuspoäng, som i sin tur kan användas till olika förmåner som rabatter etc.

CAM

Card Authentication Method. Metoden för att verifiera att ett kort är äkta. Inom EMV används metoderna SDA (Static Data Authentication) och DDA (Dynamic Data Authentication).

Checksiffra

En speciell sista siffra som beräknats fram från föregående siffror. De flesta kortnummer har checksiffra, vilket gör det möjligt att kontrollera att rätt nummer angivits vid manuell registrering. Kontrollen är inte 100-procentig, men tillräcklig för enkla inmatningsfel.

För kortnummer beräknas checksiffran med så kallad Luhn-algoritm, även kallad Luhn-formel, 10-Modul eller Modulo-10. Det är samma formel som används för checksiffran i svenska personnummer.

Chip

Elektronisk krets som kan lagra och/eller behandla data. Kan liknas vid en mycket liten dator eller hårddisk. Används bland annat till EMV-kort och SIM-kort.

Chipkort

Kort med en eller flera integrerade kretsar, t ex EMV-kort, telefonkort och SIM-kort för mobiltelefoner.

CNP

Card Not Present. Transaktion där säljföretaget inte har tillgång till det fysiska kortet, t ex vid postorder, telefonorder, internetbetalning och vissa fall av express-utcheckning på hotell.

CV2, CVV, CVC

3-4 siffror på kortets baksida som anges i samband med köp över internet för att bekräfta att kunden har det fysiska kortet och inte bara har kommit över kortnummer och giltighetstid. Enligt PCI DSS får koden inte lagras någonstans, inte ens krypterad.

CVM

Cardholder Verification Method. Metod för att verifiera att personen som använder ett kort är den rättmätiga kortinnehavaren. De vanligaste metoderna är signatur och PIN-kod.

Dankort

Varumärke för danska bankkort. Se www.dankort.dk.

DCC

Dynamic Currency Conversion - Valutaväxling som ger kortinnehavaren möjlighet att direkt se hur mycket som kommer dras från kontot vid betalning utomlands. Växlingen görs då i landet där man handlar istället för hos kortutgivaren.

Debetkort

Kort där betalningar och uttag dras automatiskt från tillhörande konto. Kontot är vanligtvis hos en bank och kortet kallas då även bankkort. Engelska debit card.

DES

Data Encryption Standard. Mycket vanlig krypteringsalgoritm.

DUKPT

Derived Unique Key Per Transaktion. Metod som automatiskt genererar en unik nyckel för varje transaktion. DUKPT ingår i ANSI X9.24 del 1.

ECR

Electronic Cash Register. Datorbaserat system med kassafunktion, exempelvis butikskassa eller hotellsystem.

EFT

Electronic Funds Transfer. Internationell förkortning för alla typer av elektronisk betalning och överföring av pengar.

Electron

Visas varumärke för debetkort med krav på online-auktorisation. Visa Electron kort får heller inte knappas in manuellt vid betalning.

EMV

EMV är en förkortning av Europay/MasterCard/Visa och är en standard för kortbetalning med chip istället för magnetremsa.

Huvudsyftet med EMV är att minska kortbedrägerier med kopierade kort, så kallad skimming. Magnetremsan på ett kort kan enkelt läsas och skrivas. Ett chip är däremot som en liten dator skyddad från direkt läsning och kopiering. Istället sker en säker dialog mellan betalterminal och chip. Informationen som förs över från chip till terminal och vidare till inlösare och kortutgivare är tillräcklig för att verifiera att kortet är äkta, men inte tillräcklig för att kunna skapa en kopia av kortet.

Giltighetstid

Den sista månad då kortet är giltigt. Vanligtvis präglat på kortet och del av spårinformationen. På kortet och på kvitton skrivs det som MM/ÅÅ, medan det i spåret skrivs som ÅÅMM. Förbetalda kort, exempelvis elektroniska presentkort, har ofta en giltighetstid som skjuts framåt varje gång kortet laddas med mer pengar och därmed är inte giltihetstiden präglad på det fysiska kortet.

Hash-algoritm

Algoritm som beräknar en checksumma (hash) som kan användas för att detektera modifieringar i transporterad data.

HISO

Host ISO - ISO8583-baserat transaktionsprotokoll för host-to-host kommunikation mot Babs och Cekab.

HSM

Host Security Module. Hårdvara för kryptografiska beräkningar och lagring av nycklar. Används bland annat för MAC-beräkningar och omkryptering av PIN-block vid zonväxling.

ICC

Integrated Circuit Card - kort med en eller flera integrerade kretsar, t ex EMV-kort, telefonkort och SIM-kort för mobiltelefoner.

IFSF

International Forecourt Standards Forum - ett europeiskt forum av internationella oljeföretag med syfte att ta fram standarder för interoperabilitet mellan teknisk utrustning som används på bensinstationer.

IK

Initial Key. Första enhetsunika nyckeln i en DUKPT-nyckelsekvens.

IKSN

Initial Key Serial Number. KSN för IK, alltså första nyckelidentiteten för en DUKPT-nyckelsekvens.

Inlösare

Företag som erbjuder inlösenavtal till säljföretag som vill kunna ta betalt med kort. Inlösaren ser till att pengarna från försäljningen hamnar på säljföretagets konto.

Insamlare

Företag som tar emot transaktioner dygnet runt och sammanställer detta till inlösare (eller annan insamlare) en gång per dygn, vanligtvis nattetid.

iPOS

Integrated Point Of Sale. Svensk standard för integrerad EMV-betalning i kassasystem och liknande applikationer.

KCV

Key Check Value. Kontrollvärde för kryptografiska nycklar. Används för att kontrollera att två parter använder samma nyckel utan att avslöja vilken nyckeln är.

Klubbkort

Se lojalitetskort.

Kontokort

Allmän benämning för alla kort som kan användas för betalning. Kontokort indelas i debetkort (bankkort), betalkort och kreditkort.

Kontrollnummer

Se auktorisationskod.

Kortinnehavare

Privatperson eller företag som har kort från en kortutgivare, t ex Handelsbanken eller American Express. Kortinnehavaren har rätt att använda kortet för betalning, kontantuttag med mera, men juridiskt sett ägs kortet av kortutgivaren.

Kortutgivare

Organisation som erbjuder kort till privatkunder och företag. Korten kan vara bankkort, betalkort, kreditkort, presentkort etc.

Kreditkort

Kort för betalning där kortinnehavaren handlar på kredit och betalar tillbaka hela eller en del av skulden regelbundet.

KSN

Key Serial Number. 20-siffrigt serienummer som lagras i PED och räknas upp för varje transaktion. Numret identifierar vilka nycklar som används för PIN-kryptering och MAC. De första 14 siffrorna är unika för varje PED och de första 6 av dessa identifierar vem som är utgivare.

Kundkort

Se lojalitetskort.

Lojalitetskort

Personliga kort som ges ut av säljföretag i syfte att knyta kunderna till sig med hjälp av bonuspoäng, rabatter och specialerbjudanden. Korten kallas bland annat bonuskort, medlemskort, klubbkort och kundkort. Lojalitetskort kan även kombineras med funktioner för betalning och kontantuttag.

MAC

Message Authentication Code. Checksumma som beräknas med hemlig krypteringsnyckel och används för meddelandeautentisering. Kallas även elektroniskt sigill eller elektronisk signatur.

Maestro

MasterCards varumärke för debetkort med krav på online-auktorisation. Maestro-kort får heller inte knappas in manuellt förutom vid viss internetbetalning.

Magnetremsa

Magnetremsan sitter på kortets baksida och innehåller tre spår med information. Spåren innehåller bland annat namn, kortnummer och giltighetstid. I Sverige används spår 2 för betalning medan man i exempelvis Norge använder både spår 2 och 3.

Magnetspår

Se magnetremsa.

Meddelandeautentisering

Kontroll av att ett mottaget meddelande är autentiskt, dvs ej förvanskat på vägen. Detta kan göras med MAC (elektroniskt sigill, elektronisk signatur).

Medlemskort

Se lojalitetskort.

PA-DSS

Payment Application Data Security Standard är baserad på Visas PABP och ger krav för hur man utvecklar säkra betalapplikationer. Kraven gäller applikationer som säljs, distribueras eller licensieras till tredje part.

Standarden förvaltas av PCI Security Standards Council.

PABP

Payment Application Best Practices. Rekommendationer från Visa som hjälper företag att utveckla säkra applikationer i enlighet med PCI DSS. Detta gäller bara applikationer som använder kortinformation för auktorisation eller settlement. PABP gäller bara applikationer som säljs till andra företag, inte de som används internt.

PAN

Primary Account Number (kortnummer) präglat på kortet och del av spårinformationen på magnetremsan.

PCI DSS

PCI DSS (Payment Card Industry Data Security Standard) är en samling krav för säkrare hantering av kortinformation. Standarden förvaltas av PCI Security Standards Council, som grundats av American Express, Discover, JCB, MasterCard och Visa.

Kraven täcker upp många säkerhetsområden såsom brandväggar, antivirus, nätverksarkitektur, hantering av kortinformation, policy, lösenord, systemutveckling med mera.

PED

PIN Entry Device - där kunden anger sin PIN-kod. Även kallad PIN-pad eller kundenhet. Brukar ofta kombineras med kortläsare för att förenkla för kund och kassör.

PED-id

Unikt nummer för identifiering av PED.

PIN

Personal Identification Number. Vanligtvis 4-siffrig kod som anges i samband med köp eller kontantuttag.

PIN-block

PIN-kod krypterad tillsammans med delar av kortnumret. PIN-blocket skickas med vid auktorisation för online verifiering av PIN.

PIN-pad

Den enhet där kunden anger sin PIN-kod. Även kallad PED eller kundenhet. Brukar ofta kombineras med kortläsare för att förenkla för kund och kassör.

PNC SAC

PAN Nordic Card Association Security Advicory Committe. PNC SAC är en säkerhetskommitté som tillsätts av medlemsbankerna i PAN Nordic Card Association. Kommittén dokumenterar krav och rekommendationer för säkerhet i EMV-terminaler, PED, HSM etc. PNC SAC är också den instans som godkänner nya PED i Sverige och vars godkännande är ett krav i certifieringen av svenska EMV-terminaler.

POS

Point Of Sale, dvs där försäljning och betalning sker, exempelvis en butikskassa eller hotellreception.

PPL

“Program and Parameter Load” är en svensk standard för distribution av programvara, parametrar och säkerhetsnycklar till EMV-terminaler.

PSP

Payment Service Provider. Företag som tillhandahåller tjänster för elektroniska betalningar genom kopplingar till olika inlösare och insamlare.

QSA

Qualified Security Assessor är benämningen på företag som är godkända att bedöma om andra företag uppfyller kraven i PCI DSS. En QSA erbjuder vanligtvis även konsulttjänster och annan assistans för att hjälpa företag att nå upp till dessa krav.

För att bli QSA krävs ansökan, utbildning, certifiering och betalning vilket organiseras av PCI Security Standards Council. Certifieringen gäller i ett år och måste därefter förnyas årligen.

Reversering

Transaktion som ångrar en tidigare gjord transaktion.

SA

Security Administrator.

SA-CI

Sales Application Card Interface. Den del av en kassa som interagerar med en iPOS-terminal och eventuellt även förmedlar terminalens transaktioner till insamlare och förmedlar PPL-filer från PPL-server till terminalen.

SEPA

Single European Payments Area. Ett europeiskt projekt för att skapa en enhetlig struktur som förenklar elektroniska betalningar i euro mellan länder.

SEPA drivs av European Payments Council som bildats av nationella och internationella bankföreningar i Europa samt deras medlemsbanker inom EU, EES och Schweiz. Medverkande är även europeiska centralbanken och EU-kommissionen.

Servicekod

Tresiffrig kod i magnetspåren som beskriver vissa av kortets egenskaper, bland annat om kortet har EMV-chip, om kortet kräver PIN-kod, om kontantuttag är tillåtet, om betalning är tillåtet och om auktorisation måste ske online.

SHA

Secure Hash Algorithm. Envägsfunktion som genererar en så kallad digest som kan ses som en avancerad checksumma. SHA finns i flera varianter, bland annat SHA-1 som ger en 160-bitars digest och används vid genereringen av MAC för PPL-filer.

Skimming/skimning

Olaglig kopiering av ett kontokorts magnetremsa.

Smart kort

Kort med chip som förutom minne även har en microprocessor. Minnet kan inte läsas direkt utan allt sker via processorn vilket ger hög säkerhet. Exempel på smarta kort är EMV-kort, SIM-kort och telefonkort.

SPDH

Standard POS Device Handler - Transaktionsprotokoll för direktkopplade terminaler mot BASE24 som används av bland annat Babs och Cekab.

Spärrlista

Lista över spärrade kortnummer

SSL

Secure Sockets Layer. Protokoll för säker, krypterad överföring av information på internet och andra IP-baserade nätverk.

Säljföretag

Kortbranschens benämning på företag som genom teknisk utrustning och inlösenavtal har rätt att ta betalt med kort.

TMS

Terminal Management System. Administrativt system för konfiguration av fristående och integrerade betalterminaler.

TSP

Terminal Service Provider. Företag som administrerar fristående eller integrerade betalterminaler, vilket bland annat innebär löpande konfiguration och uppdatering av parametrar, nycklar och programvara. Ofta är det samma företag som också säljer eller hyr ut betalterminaler.

V PAY

Varumärke från Visa Europe för pan-europeiska debetkort med chip och PIN. Se www.vpay.com.

Zonväxling

Benämning på övergången från en kryptografisk zon till en annan med hjälp av en HSM. Växlingen gäller framför allt omkryptering av PIN-blocket som aldrig får förekomma i klartext utanför HSM. I växlingen förekommer även verifiering/generering av MAC samt dekryptering/kryptering av kortdata. Zonväxlingen gör det möjligt för en terminal att hantera flera inlösare och korttyper. Det ger också säljföretag möjlighet att exempelvis byta inlösare utan att ladda om säkerhetsnycklar i terminalerna.