Číslo platební karty

Číslo platební karty, jinak také číslo primárního účtu (zkratka PAN je z anglického primary account number) je identifikátor karty, který se nachází na platebních kartách, jako jsou kreditní a debetní karty, na předplacených kartách, dárkových a dalších podobných kartách. Číslo karty je primárně identifikátorem karty a nemusí přímo identifikovat číslo bankovního účtu, s kterým je karta vydávající bankou propojena (případně účtu, se kterým jsou propojeny, pokud bylo k jednomu účtu vydáno víc karet).

První číslice karty identifikují vydavatele karty a číslice, které následují, používá vydavatel k identifikaci držitele karty jako zákazníka a ten je pak vydávající entitou spojen s určenými bankovními účty. V případě karet s uloženou hodnotou je spojení s konkrétním zákazníkem provedeno pouze v případě, že je předplacená karta také dobíjecí. Číslo karty je obvykle vyraženo na přední straně platební karty a je zakódováno na magnetickém proužku a čipu, ale může být také vytištěno na zadní straně karty. Čísla karet jsou přidělována v souladu s ISO/IEC 7812.[1]

Struktura čísla

editovat

Čísla platebních karet se skládají z 8 až 19 číslic.[2][1] Nejvíce rozšířené platební karty (MasterCard a Visa) však používají číslic 16. Úvodních šest nebo osm číslic je identifikační číslo vydavatele (viz dále). Zbývající číslice, kromě té poslední je identifikační číslo individuálního účtu (většinou nikoli bankovního účtu). Poslední číslice je Luhnova kontrolní číslice. Číslo vydavatele i číslo karty (IIN a PAN) mají určitou úroveň vnitřní struktury a sdílejí společné schéma číslování stanovené výše uvedenou normou ISO/IEC.

Identifikační číslo vydavatele (IIN, BIN)

editovat

Jak již bylo uvedeno, prvních šest až osm číslic čísla karty (včetně počáteční číslice MII) je známo jako identifikační číslo vydavatele (IIN z anglického Issuer identification number) někdy také označované jako bankovní identifikační číslo (BIN z anglického Bank identification number).[3] IIN identifikuje typ kartového produktu a současně instituci, která kartu vydala. Délka IIN byla v pátém vydání normy ISO/IEC 7812, zveřejněném v roce 2017, prodloužena na 8 číslic a PAN tak bude i nadále mít proměnlivou délku, a to v rozsahu od 10 do 19 číslic.

Online obchodníci mohou používat nalezená IIN čísla k verifikaci finančních transakcí. Pokud například IIN karty uvádí banku v jedné zemi, zatímco fakturační adresa zákazníka je v jiné, může transakce vyžadovat zvláštní kontrolu.

Síť vydavatele Rozsah IIN Aktivní Délka Validace
American Express 34, 37[4] Ano 15[5] Luhnův algoritmus
China UnionPay 62 Ano 16–19[6]
Maestro UK 6759, 676770, 676774[7] Ano 12–19
Maestro 5018, 5020, 5038, 5893, 6304, 6759, 6761, 6762, 6763 Ano 12–19
Mastercard 2221–2720[8] Ano (od 2017)[9] 16
51–55 Ano 16
Visa 4 Ano 13, 16
Visa Electron 4026, 417500, 4508, 4844, 4913, 4917 Ano 16

Bezpečnostní opatření

editovat

Aby se snížilo riziko podvodů kreditními kartami, používají se různé způsoby k utajení čísla karty. Mezi ně patří:

  • Šifrování zachovávající formát, ve kterém je číslo karty nahrazeno silně zašifrovanou verzí, která zachovává formát dat karty včetně necitlivých částí pole, jako je prvních šest a poslední čtyři číslice. To umožňuje ochranu datového pole bez nutnosti změny platebních IT systémů a aplikací. Běžné je použití pro ochranu dat karty od bodu načtení dat v zabezpečené čtečce až k systému pro zpracování plateb end-to-end. Tím se sníží riziko kompromitace dat v systémech, jako je platební terminál (POS). Šifrování při zachování formátu AES-FF1 je definováno ve specifikaci NIST SP800-38G.
  • Zkrácení PAN, při kterém jsou na účtenkách zobrazeny nebo vytištěny pouze některé číslice na kartě. Standard PCI DSS nařizuje, že pouze prvních šest a poslední čtyři číslice čísla PAN mohou být vytištěny na účtence nebo zobrazeny v jiných případech, než když obchodní potřeba vyžaduje úplné číslo PAN. Federální zákon USA (FACTA) umožňuje zobrazit pouze posledních pět číslic. Obvykle jsou poskytnuty poslední čtyři číslice, aby jednotlivec mohl identifikovat použitou kartu a byly současně dodrženy oba požadavky.
  • Tokenizace, při které je vytištěno, uloženo nebo přeneseno umělé číslo karty (token, virtuální karta) místo skutečného čísla karty.

Reference

editovat
  1. a b ISO/IEC 7812-1:2017 [online]. Dostupné online. 
  2. ANSI: Announcing Major Changes to the Issuer Identification Number (IIN) Standard [online]. Dostupné online. 
  3. R. Shirey (August 2007). Internet Security Glossary, Verze 2. Network Working Group RFC 4949, strana 33 (anglicky)
  4. Card Security Features [online]. American Express, January 2001 [cit. 2006-04-05]. Dostupné v archivu pořízeném z originálu dne 5 March 2006. 
  5. American Express Card security features [online]. [cit. 2021-10-25]. Dostupné v archivu pořízeném z originálu dne 2021-10-25. 
  6. February 2017 Compliance Update [online]. [cit. 2017-08-22]. Dostupné v archivu pořízeném z originálu dne 2017-08-22. 
  7. Barclaycard BIN Ranges and Rules - UK [online]. [cit. 2022-08-11]. Dostupné v archivu pořízeném z originálu dne 2019-02-17. 
  8. Mastercard Rules [online]. Mastercard, 21 December 2017. Dostupné v archivu pořízeném z originálu dne 2018-05-14. 
  9. Mastercard 2-Series BIN Implementation for Merchants [online]. Dostupné online. 
  NODES
INTERN 1