Archivo de la categoría: Tarjetas Chip

Magnetic Secure Transmission (MST)


La Transmisión Magnética Segura (en inglés Magnetic Secure Transmission, MST) es una tecnología adoptada en ciertos teléfonos móviles como algunos SAMSUNG que emite una señal magnética que imita la que generaría una banda magnética de una tarjeta de pago tradicional al deslizarse sobre el cabezal lector del TPV.

Cuando se usan medios de pago configurados en teléfonos móviles con tecnología MST, el teléfono envía una señal magnética al lector de tarjetas del terminal de pago lo que simula el deslizamiento de la banda magnética de una tarjeta en el cabezal de lectura.

De esta forma se pueden usar Terminales Punto de Venta (en inglés, Point Of Sale, POS) antiguos y modernos (ya que todos los TPV soportan la tecnología de banda magnética aunque puedan dar soporte a otras, como las tarjetas chip o NFC) y no hace falta actualizar el hardware o el software del terminal con tecnologías específicas.

La tecnología MST es válida para casi todos los terminales de pago del munco equipados con  lector de tarjetas, si bien algunos terminales de pago pueden requerir actualizaciones de software, para dar soporte a la funcionalidad más avanzada de la tecnología.

Para usarlo, hay que seleccionar la tarjeta a emular en la aplicación de pagos del teléfono móvil y acercar el móvil a unos 2 centímetros del punto en el que el TPV equipa el cabezal de lectura (hacia la mitad del recorrido de la ranura por la que se desliza habitualmente la tarjeta de crédito).

La información de la transacción y los datos de identificación del pago se mantienen en secreto, securizados con el uso de tokenización.

El uso de la tecnología MST es más seguro que el de una tarjeta de pago tradicional y de un nivel de seguridad equivalente a la de una operación de pago con tecnología de comunicaciones de campo cercano (en inglés, Near Field Communication, NFC).

Hablando de pagos móviles en ElevenPaths Talks


11paths-julianinzaQuiero agradecer a Jorge Rivera y Pablo San Emeterio su invitación a participar en esta charla de ElevenPaths Talks sobre medios de pago móviles “PinPay y seguridad en micro pagos

¿Qué son los micro pagos? ¿Cómo afecta a la seguridad del proceso de pago? Nuestros CSAs Jorge Rivera y Pablo San Emeterio junto a un invitado especial resuelven tus dudas. ¡Aprende con nuestros expertos!

Recordando viejos tiempos en Mobipay, hablando de perfeccionamiento de contratos, identificación, EIDAS, Confianza Digital, PSD2.

Reflexionando sobre nuevos medios de pago basados en móvil, NFC, tarjetas, TPV,
protocolo MST de Samsung Pay para simular banda magnética con móviles concretos que soporten la tecnología. Consenso, Bizum,

Este es el video:

Sistema 4B liquida la empresa “Common Electronic Purse Specifications Company Española AIE”


logo_cepsLa empresa Common Electronic Purse Specifications Company Española AIE se constituyó el 06/11/1999 en Madrid para dar cobertura al desarrollo conjunto de especificaciones del monedero electrónico en tarjeta de forma conjunta entre Sistema 4B y Sermepa, en el marco del Consorcio CEPSCO, constituido a nivel internacional con este propósito en 1999.

En el consorcio participaban representantes de más de 30 países, lo que implicaba un mercado de más del 90% en potencial de emisión de tarjetas prepago. Más de 200 entidades habían adoptado la licencia y recibido las especificaciones CEPS – Common Electronic Purse Specifications

El 19 de abril  del 2016 se publica en el BORME el anuncio de extinción en la empresa COMMON ELECTRONIC PURSE SPECIFICATIONS COMPANY ESPAÑOLA AIE, inscrito en el Registro Mercantil el día 12 de Abril del 2016 con los datos de inscripción T 14533, F 199, S 8, H M 240614, I/A 7. Por tanto, el 12 de abril de 2016 tras la extinción de la sociedad, deja de ser sujeto de derechos y obligaciones.

A mediados de la década de 1990, muchos sistemas de monedero electrónico basados en tarjetas inteligentes se desarrollaron de forma independiente el uno del otro en muchos países europeos. Algunos ejemplos típicos son “Quick” en Austria, “Geldkarte” en Alemania, “Moneo” en Francia, y “Proton” en Bélgica y los Países Bajos.

Todos estos sistemas de monedero electrónico prepago tenían una funcionalidad similar, pero eran incompatibles entre sí. La necesidad de que los sistemas monedero fueran compatibles entre sí pasó a ser acuciante, en parte debido a la introducción de una moneda común europea en 2002.

Dado que todas las tarjetas monedero electrónico eran por lo general válidas para un período de tres años, parecía posible hacer modificaciones graduales para los sistemas monedero a lo largo de varios años utilizando una ruta de migración que no se llegó a concretar.

El requisito fundamental para lograr la compatibilidad mutua entre varios sistemas de monedero electrónico fue un documento que especificaba las características que los sistemas debían tener para favorecer la compatibilidad. Este documento lleva el nombre de “Especificaciones del monedero electrónico común ‘(CEPS), y la primera versión fue publicada en 1999 por CEPSCO.

En una etapa de especificación anterior, el foco de CEPS estaba en un sistema de monedero electrónico interoperable internacionalmente, en lugar de uno limitado a los intereses europeos.

CEPS incluye las funciones estándar para sistemas de monedero electrónico modernos, como el pago fuera de línea, carga en línea y conversión de divisas en línea.

En octubre de 1999, se constituyó oficialmente  CEPSCO, LLC  Sus accionistas originales fueron CEPSCO Española A.I.E., EURO Kartensysteme, Europay International y Visa International.

En julio de 2000, Groupement des Cartes Bancaires “CB” y Proton World se unieron CEPSCO, LLC. también participaban STMicroelectronics y Visa Internacional.

Los objetivos de CEPSCO, eran:

  • Continuar el desarrollo y apoyar el mantenimiento y la aplicación de CEPS;
  • Ampliar, promover y gestionar CEPS y la tecnología relacionada para facilitar su adopción por parte de esquemas de operadores de monedero electrónico, proveedores y otros;
  • Actuar como un foro de sugerencias y preocupaciones acerca de CEPS, recogidas de la industria;
  • Definir un proceso único ‘aprobación de la certificación’ para todos los esquemas que se basen en su cumplimiento;
  • Evaluar las evoluciones del mercado en términos de servicio y tecnología para la mejora de la especificación CEPS.

Se basa en el estándar europeo para los monederos electrónicos, ES 1546,10 pero contiene varias extensiones y modificaciones con respecto a esta norma.

Por ejemplo, en contraste con la norma EN 1546, se utilizan certificados electrónicos basados en RSQ  para la autenticación de terminales y tarjetas inteligentes. Se recomienda Triple DES  como algoritmo criptográfico.

CEPS, al igual que muchos sistemas de monedero electrónico, está optimizado para microcontroladores de tarjetas inteligentes simples. Una aplicación típica de CEPS en ensamblador o C requiere 8 kB de ROM, 4 KB de EEPROM, 1 KB de RAM y un coprocesador numérico para el algoritmo criptográfico asimétrico.

Un ilustre antecesor de CEPS es Protón. Protón es un sistema de monedero electrónico utilizado a nivel internacional, desarrollado casi exclusivamente por Bull, desde 1995. Tiene su origen en Bélgica y los Países Bajos (donde fue  conocido bajo el nombre de ‘Chipknip‘).

Además del sistema de monedero, las especificaciones implementables en tarjeta chip definen un sistema operativo para tarjetas inteligentes multiaplicación que incluye capacidades de débito y de crédito de conformidad con la especificación EMV, 12, así como una aplicación de firma digital y la funcionalidad Java.

También hubo un versión de tarjeta Proton sin contacto, que se destinó principalmente para ser utilizado en el sector del transporte público local.

Muchos de los comandos de tarjetas inteligentes utilizadas en el sistema se basan en o son compatible scon las normas ISO / IEC 7816-4 y EN 1546.

La función de monedero está relacionada con los procedimientos estándar EN 1546-13 en muchos aspectos.

 

El Corte Inglés incorpora el contact less NFC de Visa en todos sus centros


Ya se han instalado 5.200 nuevos terminales específicos para pagar sin contacto, lo que supone el 25% de los terminales.

La cadena de grandes almacenes El Corte Inglés ha recibido la certificación de Visa Europe para la implantación de los pagos sin contacto NFC en toda su red comercial, de forma que a partir de ahora los clientes pueden pagar con las tarjetas o pegatinas contact less o a través de los móviles smartphone que tengan equipado NFC.

Para ello, El Corte Inglés ha instalado más de 5.200 nuevos terminales que incorporan esta tecnología en todos sus centros, lo que representa el 25% del total de los terminales y se espera que a finales de este año 2014, se alcance más de un 60%.

Para la compañía de medios de pago la previsión es que se vaya incrementando progresivamente el número de terminales a medida que se generalice su uso.

La tecnología contactless (“sin contactos”) permite realizar pagos rápidos y seguros, con sólo aproximar la tarjeta de crédito (que incluya esta tecnología) o el móvil NFC (que se haya configurado adecuadamente, registrando los números de tarjeta a través de las que se desea canalizar las operaciones de pago) a pocos centímetros, entre 3 y 5, del terminal y sin necesidad de teclear el PIN en transacciones de bajo importe. Solo si el importe de la transacción es superior a 20 euros, el cliente deberá introducir su PIN en el terminal.

Luis-Visa-El-Corte-Ingles
Visa Europe ha dado los últimos datos sobre estos pagos indicando que durante el pasado mes de noviembre de 2013 en España se contabilizaron 2,1 millones de transacciones sin contacto con tarjetas Visa (+397% sobre el mismo periodo del año anterior), que generaron un gasto en comercios de 67,2 millones de euros, un 369% más que en noviembre de 2012.

En estas fechas existen en España más de 347.000 terminales punto de venta adaptados a esta tecnología de pago y se espera que a finales de 2014 se alcance más del 50% de penetración en comercios y grandes superficies. En cuanto a tarjetas Visa contactless, se superó la cifra de 5 millones de unidades, lo que supone un incremento del 234% sobre el mismo mes del año anterior. Se estima que para finales del 2014 Visa alcance los 10 millones de tarjetas sin contacto en España.

Para El Corte Inglés esta iniciativa se enmarca en su orientación comercial siempre a la vanguardia de la tecnología dando respuesta a las nuevas necesidades y demandas de la sociedad y de sus clientes.

“Visa Europe ha apostado desde hace años por la tecnología NFC. A día de hoy, no sólo Visa, sino las operadoras de telefonía y la mayoría de los fabricantes de móviles están apostando también fuertemente por esta tecnología. Es muy importante que grandes grupos del sector de la distribución como El Corte Inglés apuesten también por la innovación en las tecnologías de pago, de forma que sus clientes puedan beneficiarse de la comodidad, rapidez y seguridad que les van a aportar los pagos sin contacto”, ha comentado Luis García Cristóbal, director general de Visa Europe para España y Portugal.

 

Migración a EMV y Windows 7 en cajeros automáticos de los Estados Unidos


El sector financiero norteamericano afrontará los próximos años varios cambios en la regulación y en los requisitos de seguridad que afectarán a la operativa de los cajeros automáticos. Además la retirada del soporte de Microsoft al Windows XP, instalado en muchos cajeros, implicará la necesidad de renovar los sistemas operativos de los cajeros automáticos.

El 19 de abril de 2013, ha marcado el hito del desplazamiento de responsabilidad en relación con el cumplimiento de la normativa técnica y operativa de EMV (Europay, Mastercard, Visa) con un impacto significativo en las actividades de de los operadores independientes de cajeros (ATM Independent deployers) y, en general, de los procesadores que gestionan cajeros automáticos y operaciones con tarjetas de débito Maestro®. Desde esa fecha, en el marco de las transacciones internacionales, el impacto económico de las operaciones fraudulentas dejará de ser asumido por el emisor de la tarjeta  y será imputado a la entidad que gestiona el dispositivo de captura de transacciones (cajero o terminal punto de venta) si no está adaptada a la gestión de tarjetas en modalidad EMV (con chip en vez de banda magnética). Esta operativa ya está implantada en Europa, no solo por decisión de las marcas de tarjetas de pago, sino también como consecuencia de la implantación de SEPA (Single Euro Payment Area). El plazo se amplía hasta abril del 2015 para incluir a las tarjetas de crédito VISA y Mastercard en terminales punto de venta y diferentes plazos para cajeros automáticos: octubre de 2016 para Mastercard y octubre de 2017 para Visa. American Express aplicará el desplazamiento de responsabilidad en terminales punto de venta en octubre de 2015.

Este es el  primer cambio significativo en una serie de importantes adaptaciones que las entidades financieras norteamericanas deberán asumir  para adoptar las especificaciones EMV. Estos cambios tendrán un impacto en todos los aspectos de la transacción – desde los cajeros automáticos a las redes –  implicando cambios en el hardware y en el software de los equipos, así como en la gestión de los procesos de autorización y liquidación, y en los procesos operativos, incluyendo los relacionados con la gestión de las retrocesiones.

Por otro lado, el 8 de abril de 2014 marca el fin del soporte de Microsoft a Windows XP®, por lo que un elevado número de cajeros automáticos deberán ser actualizados a Windows 7, comprobando la correcta funcionalidad de hardware y software. Considerando que en Estados Unidos de América existen más de 400.000 cajeros automáticos, este cambio tendrá un impacto significativo en el sector financiero. Al no contar con parches y actualizaciones de seguridad para el sistema operativo se incrementará el riesgo de descubrimiento de vulnerabilidades por parte de los especialistas en seguridad y hackers malignos, que no contarán con soluciones del fabricante del sistema operativo.

Aunque el sector ve estas fechas como una espada de Damocles que afectará a los costes operativos, es innegable que tendrá también efectos positivos. En efecto, el fraude por copiado de banda magnética (skimming)  supone  unas pérdidas para el sector de mil millones de dólares al año (según Bankrate.com). Según la experiencia europea, tras la adopción generalizada de EMV entre 2008 y 2010 se ha detectado un incremento de incidentes relacionados con el copiado de banda magnética del 3% en 2012, pero se han reducido las pérdidas por fraude asociadas en un 14%  (fuente: EAST: European ATM Security Team), gracias al uso de Chip y PIN impuestos por la normativa EMV.

Información relacionada

Medios de pago móviles en México


En México existen diferentes sistemas de pago por móvil y por email que nos hacen recordar los que estuvieron en marcha en España hasta 2009, como Mobipay.

El omnipresente Paypal es lider en los ámbitos de comercio electrónico no solo en México, y cuenta con interfaces de autenticación basados en usuario/password por web y confirmaciones por email. Está bien posicionado para tener un papel relevante en el contexto de los teléfonos móviles, y está empezando a tomar posiciones en el mercado de aceptación de transacciones de tarjetas de crédito y débito en móviles dotados de una “mochila” semejante a la de Foursqure, SumUp o iZettle.

Algunos esquemas de pago por móvil disponibles en México son los siguientes:

  • DineroMail
  • Pademobile
  • MercadoPago
  • Dinero Movil Bancomer
  • Transfer de Banamex

Quisiera destacar especialmente Pademobile.

Lo he conocido de forma muy directa en mi último viaje a México. He visto como se añade saldo al celular en una tienda de conveniencia (Seven Eleven), y se paga con el celular en una de estas tiendas. También he visto como se usa en los pagos de compras en tiendas virtuales (por ejemplo en Gandi, una de las principales librerías por internet). He visto las aplicaciones móviles que han preparado, para pagar facturas desde el celular o aceptar pagos EMV, de forma muy similar a la que oferta iZettle.

Pero me ha parecido extremadamente interesante su posicionamiento en entornos de baja bancarización. Una entidad productora de alimentos de Baja california (Agrícola y Ganadera San Ignacio de Loyola, S.A. de C.V. – AGILSA) paga la nómina a sus trabajadores del campo a través de pademobile. Y estos pueden retirar el efectivo en un cajero instalado en el Valle de Trinidad, a 100 km de Ensenada, que carece de oficinas bancarias, gracias a su celular.

En México no es una sorpresa que muchos trabajadores del campo, desconfiados respecto a las entidades bancarias, aceptan de buen grado el uso del celular para gestiones de cobros y pagos. Y la empresa reduce el riesgo de robos y asaltos que ya se produjeron hace unos años cuando trasladaba los fondos previstos para el pago de nóminas al cierre de cada semana.

Por ese motivo las autoridades apoyan sistemas de este tipo, que alientan la inclusión financiera en entornos vulnerables, e impulsan la adopción de tecnologías en todos los estratos sociales.

Periodo de vigencia del CSV (Código Seguro de Verificación)


En relación con la implementación de la Ley 11/2007 por parte de las administraciones públicas surgen preguntas como ¿Durante cuanto tiempo se pueden ver en la sede electrónica los documentos electrónicos a través del Código Seguro de Verificación?

La normativa desarrollada no contempla todas las opciones y los organismos tienen que tomar decisiones. Para fijar criterio a la hora de trabajar en las implantaciones de la administración electrónica conviene tener en cuenta los conceptos de la diplomática digital.

En relación con la pregunta indicada, hay que decir que el CSV debe conservarse para siempre. El acceso al documento se limita por la política de gestión documental de la entidad, y debe poder hacerse siempre, bien en la sede electrónica original, bien en el organismo a cargo del archivo.

Hay que hacerse a la idea de que el CSV equivale al número de protocolo de los notarios.

En el ámbito notarial, se puede solicitar copia simple o auténtica de un documento a partir de su matriz en el propio notario que lo protocolizó (cuya identidad equivale a la de la sede electrónica del organsmo) o bien en su sucesor en el protocolo, o bien en el sistema de archivo a largo plazo de protocolos.

En el caso de las administraciones públicas, siempre debe quedar definido en la política de gestión documental el órgano ante el que se puede solicitar el documento una vez superada la fase administrativa en la que el procedimiento esta “vivo” o dentro de los plazos de prescripción.

Y para el “handout” de documentos electrónicos auténticos, cuando deban hacerse cargo de ello los archivos a largo plazo, debe firmarse entre el organismo cedente y el cesionario un documento que refleje las técnicas de preservación documental electrónica previas y futuras y los controles de integridad (hashes y timestampings) de los documentos (o colecciones) transferidos.

Atenea Interactiva organiza cursos de Diplomática Digital. Se puede contactar con el 902 365 612 o el 917160555 para solicitar un curso in-company o para inscribirse en el próximo seminario abierto sobre este tema.