Archivo de la categoría: Tarjetas Chip

Más pasos hacia el reconocimiento mutuo de los esquemas de identificación electrónica en Europa


En los últimos meses se observa un progreso notable hacia el reconocimiento mutuo de los esquemas de identificación electrónica en toda la Unión Europea. Cuatro países han realizado la notificación previa de sus esquemas de identificación electrónica: España, Luxemburgo, Estonia y Croacia, tras la la notificación previa de Italia en noviembre de 2017.

La notificación previa es el primero de tres pasos introducidos por el Reglamento (UE) n.º 910/2014 (EIDAS) sobre identificación electrónica y servicios de confianza para transacciones electrónicas en el mercado interno con el objetivo de generar confianza entre los Estados miembros y garantizar la interoperabilidad y la seguridad de los esquemas de identificación electrónica notificados.

Seis meses antes de la fecha en la que se pretende realizar la  notificación, los Estados miembros comparten información relacionada con sus esquemas de identificación electrónica, que incluyen: una descripción de la solución, información sobre el proveedor de identidad y el nivel estimado de aseguramiento de identidad, explicación sobre el régimen de responsabilidad atribuible a las autoridades en los potenciales incidentes, descripción del procedimiento para obtener y revocar una identificación electrónica y una descripción del proceso de autenticación en línea.

La información compartida por los Estados miembros contribuirá al proceso de revisión inter pares, permitiendo que el esquema de identificación electrónica se evalúe según los requisitos de calidad y seguridad establecidos por el Reglamento eIDAS.

El 20 de febrero de 2018, España realizó la notificación previa de su tarjeta de identificación electrónica para ciudadanos (DNI Electrónico) que presenta, en su última versión (3.0), un nuevo sistema operativo y un chip de doble interfaz. Esto permite que se realice la firma electrónica con dispositivo seguro de creación de firma (el chip) tanto usando un lector de tarjeta chip (mediante los contactos del chip) como mediante lectores NFC (por ejemplo los incluidos en los teléfonos móviles) en modo sin contacto. El DNIe es obligatorio para todos los ciudadanos españoles mayores de 14 años que residan en el país. La aceptación del e-DNI como medio de identificación es obligatoria para todos los servicios públicos electrónicos en España, ya sean nacionales, regionales y autonómicos o locales y también se puede utilizar para acceder a servicios privados en línea tales como operadores bancarios, de telecomunicaciones, etc.

eId1-anverso_DNI-e

El 26 de febrero de 2018, Luxemburgo realizó la notificación previa de su tarjeta de identificación electrónica para ciudadanos de Luxemburgo, que consiste en una tarjeta inteligente sin contacto. La tarjeta de identificación de Luxemburgo es obligatoria para todos los ciudadanos luxemburgueses mayores de 15 años que residan en el país. La activación de los certificados en la tarjeta de identificación nacional debe solicitarse específicamente cuando se obtenga. Los ciudadanos pueden usar este medio de identificación como una forma de acceder a los servicios en línea públicos y privados en Luxemburgo.

eId2-CNI_reference

El 27 de febrero de 2018, Estonia realizó la notificación previa de seis tipos de identificación electrónica estonia: la tarjeta de identificación, la tarjeta RP, la tarjeta de identidad diplomática, Digi-ID, e-Residency Digi-ID y Mobiil-ID. Los primeros tres medios son tanto documentos de identificación física como identidades digitales, mientras que los tres últimos son solo para identificación en línea. La tarjeta de identificación nacional es obligatoria para estonios mayores de 15 años. La identificación móvil es voluntaria, pero solo puede ser activada por los propietarios de una tarjeta nacional de dentificación electrónica. La solución móvil ha sido muy bien recibida por los ciudadanos, con una tasa de 12,2% de votantes que usan Mobile-ID.

eId3-Estonian_identity_card,_2007

El 28 de febrero de 2018, Croacia realizó la notificación previa de de su esquema de identificación electrónica, el Sistema Nacional de Identificación y Autenticación (NIAS,  National Identification and Authentication System) utilizando como identificación el documento de identidad personal croata (eOI). Los datos de identificación personal se imprimen en la tarjeta y se almacenan electrónicamente en el chip. El NIAS es parte del sistema de información del estado llamado e-Citizens que incluye el sistema del Portal del Gobierno Central (Gov.hr) que reúne todos los servicios públicos disponibles y el sistema de Carpeta de Usuario Personal (OKP).

eid4-Osobna_iskaznica_2015_-_prednja_strana

Por tanto, cinco países (si se incluye Italia) han iniciado recientemente un proceso de revisión por pares de tres meses, realizado de forma voluntaria por los Estados miembros que participan en la Red de Cooperación, al que seguirá la notificación formal. Se espera que en total seis esquemas de identificación electrónica (contando con la notificación de Alemania en septiembre de 2017) quedarán notificados en el marco del reglamento eIDAS antes del 29 de septiembre de 2018.

A partir de esta fecha,  todos los Estados miembros de la UE deberán reconocer los Sistemas de Identificación Electrónica (eID) notificados de otros Estados miembros para permitir el acceso al público de servicios en línea gubernamentales (administración electrónica) que ya admitan mecanismos de  identificación electrónica desplegados por el propio país.

Este artículo está basado en el publicado por la Unión Europea: Progress made towards mutual recognition of eID schemes in Europe

 

Magnetic Secure Transmission (MST)


La Transmisión Magnética Segura (en inglés Magnetic Secure Transmission, MST) es una tecnología adoptada en ciertos teléfonos móviles como algunos SAMSUNG que emite una señal magnética que imita la que generaría una banda magnética de una tarjeta de pago tradicional al deslizarse sobre el cabezal lector del TPV.

Cuando se usan medios de pago configurados en teléfonos móviles con tecnología MST, el teléfono envía una señal magnética al lector de tarjetas del terminal de pago lo que simula el deslizamiento de la banda magnética de una tarjeta en el cabezal de lectura.

De esta forma se pueden usar Terminales Punto de Venta (en inglés, Point Of Sale, POS) antiguos y modernos (ya que todos los TPV soportan la tecnología de banda magnética aunque puedan dar soporte a otras, como las tarjetas chip o NFC) y no hace falta actualizar el hardware o el software del terminal con tecnologías específicas.

La tecnología MST es válida para casi todos los terminales de pago del munco equipados con  lector de tarjetas, si bien algunos terminales de pago pueden requerir actualizaciones de software, para dar soporte a la funcionalidad más avanzada de la tecnología.

Para usarlo, hay que seleccionar la tarjeta a emular en la aplicación de pagos del teléfono móvil y acercar el móvil a unos 2 centímetros del punto en el que el TPV equipa el cabezal de lectura (hacia la mitad del recorrido de la ranura por la que se desliza habitualmente la tarjeta de crédito).

La información de la transacción y los datos de identificación del pago se mantienen en secreto, securizados con el uso de tokenización.

El uso de la tecnología MST es más seguro que el de una tarjeta de pago tradicional y de un nivel de seguridad equivalente a la de una operación de pago con tecnología de comunicaciones de campo cercano (en inglés, Near Field Communication, NFC).

Hablando de pagos móviles en ElevenPaths Talks


11paths-julianinzaQuiero agradecer a Jorge Rivera y Pablo San Emeterio su invitación a participar en esta charla de ElevenPaths Talks sobre medios de pago móviles “PinPay y seguridad en micro pagos

¿Qué son los micro pagos? ¿Cómo afecta a la seguridad del proceso de pago? Nuestros CSAs Jorge Rivera y Pablo San Emeterio junto a un invitado especial resuelven tus dudas. ¡Aprende con nuestros expertos!

Recordando viejos tiempos en Mobipay, hablando de perfeccionamiento de contratos, identificación, EIDAS, Confianza Digital, PSD2.

Reflexionando sobre nuevos medios de pago basados en móvil, NFC, tarjetas, TPV,
protocolo MST de Samsung Pay para simular banda magnética con móviles concretos que soporten la tecnología. Consenso, Bizum,

Este es el video:

Qualcomm adquiere NXP por 43.000 millones de euros


El fabricante estadounidense de equipos de telecomunicaciones Qualcomm, uno de los principales fabricantes de chips para dispositivos móviles, ha anunciado  que ha alcanzado un acuerdo para adquirir el fabricante de semiconductores holandés NXP por 47.000 millones de dólares (43.000 millones de euros) en efectivo.

La operación, cuyo cierre está previsto para finales de 2017, contempla el pago de 110 dólares en efectivo por acción de NXP, lo que supone una prima del 11,5% respecto a su precio de cierre de mercado el pasado miércoles. No obstante, el precio que pagará Qualcomm representa una prima del 34% respecto al precio de las acciones de NXP cuando surgieron los primeros rumores de compra.

Qualcomm ha subrayado que NXP es uno de los principales fabricantes de chips para la industria del automóvil, ya que ocupa posiciones de liderazgo en sistemas de información y entretenimiento, redes y sistemas de seguridad.

De forma conjunta, la nueva compañía espera reportar unos ingresos anuales de más de 30.000 millones de dólares (27.478 millones de euros) y ocupar posiciones de liderazgo tanto en la automoción, como en Internet de las Cosas, seguridad, redes y dispositivos móviles.

“La adquisición de NXP acelera la estrategia de ampliar nuestro liderazgo en tecnología móvil hacia nuevas oportunidades sólidas”, comentó al respecto el consejero delegado de Qualcomm, Steve Mollenkopf.

Qualcomm, que financiará la transacción con el efectivo disponible y con la emisión de deuda, ha informado que la operación, asesorada por Goldman Sachs y Evercore, no tendrá repercusión sobre el dividendo.

Sistema 4B liquida la empresa “Common Electronic Purse Specifications Company Española AIE”


logo_cepsLa empresa Common Electronic Purse Specifications Company Española AIE se constituyó el 06/11/1999 en Madrid para dar cobertura al desarrollo conjunto de especificaciones del monedero electrónico en tarjeta de forma conjunta entre Sistema 4B y Sermepa, en el marco del Consorcio CEPSCO, constituido a nivel internacional con este propósito en 1999.

En el consorcio participaban representantes de más de 30 países, lo que implicaba un mercado de más del 90% en potencial de emisión de tarjetas prepago. Más de 200 entidades habían adoptado la licencia y recibido las especificaciones CEPS – Common Electronic Purse Specifications

El 19 de abril  del 2016 se publica en el BORME el anuncio de extinción en la empresa COMMON ELECTRONIC PURSE SPECIFICATIONS COMPANY ESPAÑOLA AIE, inscrito en el Registro Mercantil el día 12 de Abril del 2016 con los datos de inscripción T 14533, F 199, S 8, H M 240614, I/A 7. Por tanto, el 12 de abril de 2016 tras la extinción de la sociedad, deja de ser sujeto de derechos y obligaciones.

A mediados de la década de 1990, muchos sistemas de monedero electrónico basados en tarjetas inteligentes se desarrollaron de forma independiente el uno del otro en muchos países europeos. Algunos ejemplos típicos son “Quick” en Austria, “Geldkarte” en Alemania, “Moneo” en Francia, y “Proton” en Bélgica y los Países Bajos.

Todos estos sistemas de monedero electrónico prepago tenían una funcionalidad similar, pero eran incompatibles entre sí. La necesidad de que los sistemas monedero fueran compatibles entre sí pasó a ser acuciante, en parte debido a la introducción de una moneda común europea en 2002.

Dado que todas las tarjetas monedero electrónico eran por lo general válidas para un período de tres años, parecía posible hacer modificaciones graduales para los sistemas monedero a lo largo de varios años utilizando una ruta de migración que no se llegó a concretar.

El requisito fundamental para lograr la compatibilidad mutua entre varios sistemas de monedero electrónico fue un documento que especificaba las características que los sistemas debían tener para favorecer la compatibilidad. Este documento lleva el nombre de “Especificaciones del monedero electrónico común ‘(CEPS), y la primera versión fue publicada en 1999 por CEPSCO.

En una etapa de especificación anterior, el foco de CEPS estaba en un sistema de monedero electrónico interoperable internacionalmente, en lugar de uno limitado a los intereses europeos.

CEPS incluye las funciones estándar para sistemas de monedero electrónico modernos, como el pago fuera de línea, carga en línea y conversión de divisas en línea.

En octubre de 1999, se constituyó oficialmente  CEPSCO, LLC  Sus accionistas originales fueron CEPSCO Española A.I.E., EURO Kartensysteme, Europay International y Visa International.

En julio de 2000, Groupement des Cartes Bancaires “CB” y Proton World se unieron CEPSCO, LLC. también participaban STMicroelectronics y Visa Internacional.

Los objetivos de CEPSCO, eran:

  • Continuar el desarrollo y apoyar el mantenimiento y la aplicación de CEPS;
  • Ampliar, promover y gestionar CEPS y la tecnología relacionada para facilitar su adopción por parte de esquemas de operadores de monedero electrónico, proveedores y otros;
  • Actuar como un foro de sugerencias y preocupaciones acerca de CEPS, recogidas de la industria;
  • Definir un proceso único ‘aprobación de la certificación’ para todos los esquemas que se basen en su cumplimiento;
  • Evaluar las evoluciones del mercado en términos de servicio y tecnología para la mejora de la especificación CEPS.

Se basa en el estándar europeo para los monederos electrónicos, ES 1546,10 pero contiene varias extensiones y modificaciones con respecto a esta norma.

Por ejemplo, en contraste con la norma EN 1546, se utilizan certificados electrónicos basados en RSQ  para la autenticación de terminales y tarjetas inteligentes. Se recomienda Triple DES  como algoritmo criptográfico.

CEPS, al igual que muchos sistemas de monedero electrónico, está optimizado para microcontroladores de tarjetas inteligentes simples. Una aplicación típica de CEPS en ensamblador o C requiere 8 kB de ROM, 4 KB de EEPROM, 1 KB de RAM y un coprocesador numérico para el algoritmo criptográfico asimétrico.

Un ilustre antecesor de CEPS es Protón. Protón es un sistema de monedero electrónico utilizado a nivel internacional, desarrollado casi exclusivamente por Bull, desde 1995. Tiene su origen en Bélgica y los Países Bajos (donde fue  conocido bajo el nombre de ‘Chipknip‘).

Además del sistema de monedero, las especificaciones implementables en tarjeta chip definen un sistema operativo para tarjetas inteligentes multiaplicación que incluye capacidades de débito y de crédito de conformidad con la especificación EMV, 12, así como una aplicación de firma digital y la funcionalidad Java.

También hubo un versión de tarjeta Proton sin contacto, que se destinó principalmente para ser utilizado en el sector del transporte público local.

Muchos de los comandos de tarjetas inteligentes utilizadas en el sistema se basan en o son compatible scon las normas ISO / IEC 7816-4 y EN 1546.

La función de monedero está relacionada con los procedimientos estándar EN 1546-13 en muchos aspectos.

 

El Corte Inglés incorpora el contact less NFC de Visa en todos sus centros


Ya se han instalado 5.200 nuevos terminales específicos para pagar sin contacto, lo que supone el 25% de los terminales.

La cadena de grandes almacenes El Corte Inglés ha recibido la certificación de Visa Europe para la implantación de los pagos sin contacto NFC en toda su red comercial, de forma que a partir de ahora los clientes pueden pagar con las tarjetas o pegatinas contact less o a través de los móviles smartphone que tengan equipado NFC.

Para ello, El Corte Inglés ha instalado más de 5.200 nuevos terminales que incorporan esta tecnología en todos sus centros, lo que representa el 25% del total de los terminales y se espera que a finales de este año 2014, se alcance más de un 60%.

Para la compañía de medios de pago la previsión es que se vaya incrementando progresivamente el número de terminales a medida que se generalice su uso.

La tecnología contactless (“sin contactos”) permite realizar pagos rápidos y seguros, con sólo aproximar la tarjeta de crédito (que incluya esta tecnología) o el móvil NFC (que se haya configurado adecuadamente, registrando los números de tarjeta a través de las que se desea canalizar las operaciones de pago) a pocos centímetros, entre 3 y 5, del terminal y sin necesidad de teclear el PIN en transacciones de bajo importe. Solo si el importe de la transacción es superior a 20 euros, el cliente deberá introducir su PIN en el terminal.

Luis-Visa-El-Corte-Ingles
Visa Europe ha dado los últimos datos sobre estos pagos indicando que durante el pasado mes de noviembre de 2013 en España se contabilizaron 2,1 millones de transacciones sin contacto con tarjetas Visa (+397% sobre el mismo periodo del año anterior), que generaron un gasto en comercios de 67,2 millones de euros, un 369% más que en noviembre de 2012.

En estas fechas existen en España más de 347.000 terminales punto de venta adaptados a esta tecnología de pago y se espera que a finales de 2014 se alcance más del 50% de penetración en comercios y grandes superficies. En cuanto a tarjetas Visa contactless, se superó la cifra de 5 millones de unidades, lo que supone un incremento del 234% sobre el mismo mes del año anterior. Se estima que para finales del 2014 Visa alcance los 10 millones de tarjetas sin contacto en España.

Para El Corte Inglés esta iniciativa se enmarca en su orientación comercial siempre a la vanguardia de la tecnología dando respuesta a las nuevas necesidades y demandas de la sociedad y de sus clientes.

“Visa Europe ha apostado desde hace años por la tecnología NFC. A día de hoy, no sólo Visa, sino las operadoras de telefonía y la mayoría de los fabricantes de móviles están apostando también fuertemente por esta tecnología. Es muy importante que grandes grupos del sector de la distribución como El Corte Inglés apuesten también por la innovación en las tecnologías de pago, de forma que sus clientes puedan beneficiarse de la comodidad, rapidez y seguridad que les van a aportar los pagos sin contacto”, ha comentado Luis García Cristóbal, director general de Visa Europe para España y Portugal.

 

Migración a EMV y Windows 7 en cajeros automáticos de los Estados Unidos


El sector financiero norteamericano afrontará los próximos años varios cambios en la regulación y en los requisitos de seguridad que afectarán a la operativa de los cajeros automáticos. Además la retirada del soporte de Microsoft al Windows XP, instalado en muchos cajeros, implicará la necesidad de renovar los sistemas operativos de los cajeros automáticos.

El 19 de abril de 2013, ha marcado el hito del desplazamiento de responsabilidad en relación con el cumplimiento de la normativa técnica y operativa de EMV (Europay, Mastercard, Visa) con un impacto significativo en las actividades de de los operadores independientes de cajeros (ATM Independent deployers) y, en general, de los procesadores que gestionan cajeros automáticos y operaciones con tarjetas de débito Maestro®. Desde esa fecha, en el marco de las transacciones internacionales, el impacto económico de las operaciones fraudulentas dejará de ser asumido por el emisor de la tarjeta  y será imputado a la entidad que gestiona el dispositivo de captura de transacciones (cajero o terminal punto de venta) si no está adaptada a la gestión de tarjetas en modalidad EMV (con chip en vez de banda magnética). Esta operativa ya está implantada en Europa, no solo por decisión de las marcas de tarjetas de pago, sino también como consecuencia de la implantación de SEPA (Single Euro Payment Area). El plazo se amplía hasta abril del 2015 para incluir a las tarjetas de crédito VISA y Mastercard en terminales punto de venta y diferentes plazos para cajeros automáticos: octubre de 2016 para Mastercard y octubre de 2017 para Visa. American Express aplicará el desplazamiento de responsabilidad en terminales punto de venta en octubre de 2015.

Este es el  primer cambio significativo en una serie de importantes adaptaciones que las entidades financieras norteamericanas deberán asumir  para adoptar las especificaciones EMV. Estos cambios tendrán un impacto en todos los aspectos de la transacción – desde los cajeros automáticos a las redes –  implicando cambios en el hardware y en el software de los equipos, así como en la gestión de los procesos de autorización y liquidación, y en los procesos operativos, incluyendo los relacionados con la gestión de las retrocesiones.

Por otro lado, el 8 de abril de 2014 marca el fin del soporte de Microsoft a Windows XP®, por lo que un elevado número de cajeros automáticos deberán ser actualizados a Windows 7, comprobando la correcta funcionalidad de hardware y software. Considerando que en Estados Unidos de América existen más de 400.000 cajeros automáticos, este cambio tendrá un impacto significativo en el sector financiero. Al no contar con parches y actualizaciones de seguridad para el sistema operativo se incrementará el riesgo de descubrimiento de vulnerabilidades por parte de los especialistas en seguridad y hackers malignos, que no contarán con soluciones del fabricante del sistema operativo.

Aunque el sector ve estas fechas como una espada de Damocles que afectará a los costes operativos, es innegable que tendrá también efectos positivos. En efecto, el fraude por copiado de banda magnética (skimming)  supone  unas pérdidas para el sector de mil millones de dólares al año (según Bankrate.com). Según la experiencia europea, tras la adopción generalizada de EMV entre 2008 y 2010 se ha detectado un incremento de incidentes relacionados con el copiado de banda magnética del 3% en 2012, pero se han reducido las pérdidas por fraude asociadas en un 14%  (fuente: EAST: European ATM Security Team), gracias al uso de Chip y PIN impuestos por la normativa EMV.

Información relacionada