Ajan ödemelerinde görev ayrılığı: makbuzu denetlenen yazamaz
Ajan ödeme sistemlerinde imza tek başına yetmez; yetkinin yürütme anında hâlâ geçerli olduğunu, tarafsız bir doğrulayıcıyla kanıtlamak gerekir.
Ajan ödeme standartları hızla bir imza modeline yakınsıyor: ajanın yetkilendirildiğini kanıtla, mandate'i imzala, çağrıya ekle. Ama bu makale, telin (wire) kapsanmasıyla sınırın kanıtlanabilir olmasının aynı şey olmadığını savunuyor. Aradaki fark, ajan ödemelerinin gerçek başarısızlık noktası.
Üç özellik öne çıkıyor. Birincisi, yetkilendirmenin bir saati vardır: T0'da alınan bir mandate, yürütme anında yetki durumu değişmişse (iptal, süresi dolmuş güçlü kimlik doğrulama, düşürülmüş limit) o anı bağlamaz. Doğru kural iptal-öncelikli olmalı; taze görünen bir niyet, iptal edilmiş bir mandate'i asla geçersiz kılmamalı. İkincisi, denetleyici denetlenen taraf olamaz; makbuzu üreten aynı zamanda kanıt zincirini de üretebiliyorsa, bu bir kanıt değil sadece beyandır. PSD2'nin RTS Madde 5 dinamik bağlama kuralı burada örnek alınıyor: bağlama, ödeme başlatıcısının değil, ASPSP'nin imzası altındadır. Üçüncüsü, istenen özellik saf bütünlük değildir; para birimi dönüşümü, komisyon kesintisi gibi meşru değişiklikler olur. Asıl gereken, baytların hiç değişmemesi değil, yalnızca mandate'in önceden izin verdiği alanlarda değişmesidir. Doğrulayıcı bu sınırı korumak için ödemenin anlamını yorumlamamalı, yalnızca mandate zarfına karşı denetlemelidir.
Sonuç olarak yazar, standartlaştırılması gerekenin sadece işlem üst limiti değil, bu bağlama (binding) mekanizmasının kendisi olduğunu savunuyor: yürütmenin hâlâ geçerli bir mandate'e uyduğunu, sahtecilik yapamayacak bir tarafça doğrulanmış ve yalnızca izin verilen alanlarda değiştirilmiş olduğunu garanti eden bir yapı. Bu ayrım, agent tabanlı ödeme sistemleri tasarlayan mühendisler için kritik bir mimari gereksinim olarak sunuluyor.