Tarjetas EMV como DSCF (Dispositivos Seguros de Creación de Firma)


Hace muchos años que propugno la convergencia de EMV y PKI. Para mi es una oportunidad el hecho de que una de las obligaciones que se imponen a las entidades financieras en el marco del desarrollo de SEPA (Single Euro Payment Area), sea la de emitir tarjetas EMV a todos sus titulares a partir del 1 de enero de 2008.

Si todas las entidades financieras adoptan esta idea, emitirán tarjetas mixtas que además de ser EMV (con autenticación dinámica) son DSCF (Dispositivo Seguro de Creación de Firma, en inglés SSCD, Secure Signature Creation Device, denominación de la Directiva y de la Ley de Firma Electrónica) e incluyen un certificado cualificado.

Esto aporta el que todos los titulares de tarjeta de crédito puedan contar con firma cualificada tan pronto como toque renovar la tarjeta. Y con ella, el acceso a todas las aplicaciones on-line o presenciales que se desarrollan tanto en el ámbito privado como en la administración pública para el DNIe y para otros certificados cualificados.

Veo grandes posibilidades de comunicación comercial y nuevos servicios que pueden desarrollar las entidades financieras.

También llevo años proponiendo el desarrollo en banca del sistema ABANCE (Autoridad BANcaria de CErtificación) que ponga en valor las iniciativas de desarrollo de PKI que muchas entidades financieras han llevado a cabo a lo largo de los años, y que entronca directamente con este uso mixto de las tarjetas EMV.

Rescatando las mejores ideas que se intentaron adoptar en el proyecto Iberion y eliminando las causas que acabaron con aquel proyecto, puede desarrollarse una infraestructura de clave pública que permita compartir la root, las políticas de certificación, los perfiles de los certificados y los servicios de gestión de revocación, haciendo que el proyecto sea de bajo coste para las entidades financieras, y con ventajas claras para ellas y para sus clientes.

Y posiblemente ha vuelto a madurar esta idea con todo el potencial que se desarrolla en torno al DNIe, y que algunas entidades financieras como Banesto y SCH están ensayando.

Hoy por hoy, pienso que una de las pocas barreras que existen para lanzar en serio el proyecto es que los criterios de homologación de EMV impiden que una tarjeta pueda presentar simultáneamente esta homologación y la correspondiente al cumplimiento de las normas CWA 14168 y CWA 14169). Por eso, es decisión de la entidad financiera si acepta tarjetas mixtas sin homologación que sepa que vienen de un fabricante que tiene tarjetas homologadas en cada estándar.

En mi opinión debe ser así, pero los responsables no se quieren arriesgar a no ser que un consultor externo se lo diga.

En estos momentos, por mi información, las tarjetas que cumplen las exigencias de DSCF y EMV son las de Microelectrónica (empresa española adquirida por msystems, y que al ser adquirida esta por Sandisk, ha pasado a su órbita) y las de SERMEPA (Advantis Crypto, basada en la TIBC 3.0) que desarrolla con ST Microelectronics. La Advantis Crypto la personalizan la FNMT-RCM, G&D y Oberthur.

Sé que hay otros proveedores que también las tienen, por lo que invito a añadir comentarios señalando más proveedores.

9 comentarios en “Tarjetas EMV como DSCF (Dispositivos Seguros de Creación de Firma)

  1. Carmen

    Hola, si todavía sigue este blog activo, me gustaría saber si del 2007 a este momento 2012, aún se mantiene la restricción que señala en su artículo «….los criterios de homologación de EMV impiden que una tarjeta pueda presentar simultáneamente esta homologación y la correspondiente al cumplimiento de las normas CWA 14168 y CWA 14169. «. Estoy estudiando la posibilidad de que en Costa Rica se pueda implementar la convergencia de PKI + EMV, pues el sector bancario, aquí en Costa Rica, desde hace dos años que tiene funcionando una PKI a nivel nacional avalada por la Ley de Firma Digital, cuya autoridad certificadora es el Banco Central de Costa Rica, la autoridad certificadora raíz es el Ministerio de Ciencia y Tecnología y los Autoridades de Registro son los bancos públicos y privados y otras entidades financieras, que conectados a la autoridad certificadora (Banco Central ) por medio del Sistema de Pagos emiten certificados digitales en tarjetas inteligentes homologadas por el Banco Central (el Banco Central definió un estándar de requisitos para los dispositivos). Y ahora las entidades financiera están en proyecto de migración de sus tarjetas de banda magnética a tarjeta con chip, y es por esto que se está estudiando esta convergencia, que tal como lo expone en su artículo tiene mucho sentido. El estudio que estoy haciendo tiene el aval del Banco Central de Costa Rica por lo que agradezco si pudiera aclararme, si la restricción mencionada aún se mantiene y cuál es la razón de que una tarjeta no pueda estar certificada EMV y CC EAL4+ bajo el PP SSCD Tipo 3 (CWA 14169). Gracias.

    Responder
  2. Pingback: 1.000.000 de visitas « Todo es electrónico

  3. María de Lourdes Limón Muñoz

    hola daniel, estoy haciendo una tesina sobre el tema de firma electrónica, me podrías ayudar con tésis jurídicas al respecto por favor?
    soy mexicana, mi nombre es lulú, aquí en méxico no hay mucha información al respecto, tenemos muchos libros pero son argentinos, espero que aceptes ayudarme, y definitivamente si necesitas algo de méxico, soy tu amiga y si puedo te ayudaré…gracias de ante mano. bye.

    Responder
  4. Pingback: Bricks and Bits » Mi otro blog

  5. Pingback: ABANCE. Autoridad BANcaria de CErtificacion. PKI del sector financiero « Todo es electrónico

  6. julio

    Querido Julian, no puedo estar más de acuerdo con tu planteamiento.
    Os imaginais los servicios que se podrian diseñar con aproximadamente 30 millones de dispositivos seguros de firma.
    Tenemos que abandonar la via de la venta por tecnologia e ir por la senda del negocio y del servicion al cliente ¿verdad?

    Efectivamente la doble certificacion hoy por hoy solo existe en una ‘rara avis’ pero es solo cuestion de que los clientes la solicitemos.

    Responder

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.