Ruta hacia los pagos con Tarjeta Inteligente en América Latina y el Caribe: ¿Cómo impacta EMV a la Infraestructura de Pagos? Un documento de SCALA – Smart Card Alliance Latino América Fecha de Publicación: Junio de 2012 Número de Publicación: FPC-11001 SCALA – Smart Card Alliance Latino América Edificio 237 Local B -Primer Piso Ciudad del Saber Ciudad de Panamá, República de Panamá http://latinamerica.smartcardalliance.org/ Smart Card Alliance 191 Clarksville Rd. Princeton Junction, NJ 08550 www.smartcardalliance.org Smart Card Alliance Latino América – SCALA © 2012 1 Acerca de SCALA – Smart Card Alliance Latino América SCALA – Smart Card Alliance Latino América es un capítulo del Smart Card Alliance, una asociación sin fines de lucro, imparcial, multi-industria que trabaja para estimular el entendimiento, adopción, uso y amplia utilización de la tecnología de tarjetas inteligentes. Mediante proyectos específicos como programas de educación, investigación de Mercado, foros abiertos y relaciones de industria, la alianza mantiene a sus miembros conectados a los líderes de la industria y a pensamientos innovadores. La alianza es una voz única de la industria para los temas relacionados a las tarjetas inteligentes, liderando las discusiones de la industria sobre el impacto y el valor de las tarjetas inteligentes en los Estados Unidos y en América Latina. Para mayor información por favor visite las páginas web: http://latinamerica.smartcardalliance.org/ o http://www.smartcardalliance.org. ¡Mediante la educación SCALA ayuda a reducir los riesgos de la implementación de las tarjetas inteligentes en América Latina y el Caribe! Derechos de Copia © 2012 Smart Card Alliance, Inc. Todos los derechos reservados, la reproducción o distribución de esta publicación, en cualquier forma están prohibidos sin la previa autorización del Smart Card Alliance. El Smart Card Alliance ha realizado su mejor esfuerzo para conseguir, pero no puede garantizar, que la información descrita en este reporte es exacta a la fecha de publicación. El Smart Card Alliance no garantiza que la información de este reporte sea exacta, que se encuentre completa o que sea adecuada. Smart Card Alliance Latino América – SCALA © 2012 2 TABLA DE CONTENIDO 1 INTRODUCCIÓN ................................................................................................................................. 5 1.1 1.2 2 OBJETIVO ...........................................................................................................................................5 FRAUDE BASADO EN TARJETA ............................................................................................................5 REPASO GENERAL ............................................................................................................................ 7 2.1 EMV Y LA SEGURIDAD EN LA TARJETA..............................................................................................7 2.1.1 Métodos de Autenticación de la Tarjeta .............................................................................8 2.1.2 Métodos de Verificación del Cliente ...................................................................................9 2.1.3 Autorización de la Transacción ........................................................................................10 2.2 CAMBIOS DE EMV EN LA INFRAESTRUCTURA PARA LA MENSAJERÍA ...............................................10 2.3 EMV, CONTACTLESS Y NFC............................................................................................................12 2.3.1 EMV Sin Contacto (Contactless) ......................................................................................12 2.3.2 Contactless en los Estados Unidos ...................................................................................13 2.3.3 EMV y los Pagos Móviles con NFC ..................................................................................14 2.4 CERTIFICACIONES EMV ...................................................................................................................14 3 OPCIONES .......................................................................................................................................... 16 3.1 CONSIDERACIONES...........................................................................................................................16 3.1.1 Opciones de Interface de la Tarjeta ..................................................................................18 3.1.2 Autenticación de la Tarjeta y Opciones de Autorización de la Transacción ....................19 3.1.3 Verificación Del Cliente ....................................................................................................19 3.1.4 Opciones Híbridas ............................................................................................................20 3.2 IMPLICACIONES PARA VIAJEROS INTERNACIONALES ........................................................................20 3.3 INCENTIVOS Y MOTIVADORES DE LA IMPLEMENTACIÓN EMV ........................................................20 4 CONSIDERACIONES PARA LA EMISIÓN DE TARJETAS ...................................................... 26 4.1 4.2 4.3 4.4 4.5 4.6 5 CONSIDERACIONES DE PAGO PARA LOS ADQUIRENTES Y PROCESADORES ............ 31 5.1 5.2 5.3 6 PAGOS SIN CONTACTO EMV (CONTACTLESS EMV) ........................................................................31 TRANSACCIONES DE CONTACTO EMV CON FIRMA O CON PIN ........................................................32 RESUMEN .........................................................................................................................................32 CONSIDERACIONES DEL SISTEMA DE TERMINALES POS Y DEL SISTEMA DE POS DEL COMERCIO ........................................................................................................................................ 34 6.1 6.2 6.3 6.4 6.5 6.6 7 INTERFAZ DE LA TARJETA ................................................................................................................26 PIN FUERA DE LÍNEA (OFFLINE) VS. PIN EN LÍNEA (ONLINE) ..........................................................26 SISTEMA DE PERSONALIZACIÓN .......................................................................................................27 SISTEMA CENTRAL - HOST (EARLY O PARTIAL GRADE) ..................................................................27 PROCESO DE AUTORIZACIÓN DE LA TRANSACCIÓN ..........................................................................28 RESUMEN .........................................................................................................................................29 SOPORTE DE HARDWARE .................................................................................................................34 SOPORTE DE SOFTWARE ...................................................................................................................34 EMV Y LA CERTIFICACIÓN DE LAS MARCAS....................................................................................35 SOPORTE DE LA MENSAJERÍA DE LA TRANSACCIÓN .........................................................................36 CAPACIDAD DE ACTUALIZACIÓN DE LOS TERMINALES .....................................................................36 RESUMEN .........................................................................................................................................37 CONSIDERACIONES PARA CAJEROS AUTOMÁTICOS (ATMS) .......................................... 40 7.1 7.2 7.3 7.4 HARDWARE DEL CAJERO AUTOMÁTICO (ATM)...............................................................................40 SOFTWARE DEL CAJERO AUTOMÁTICO (ATM) ................................................................................40 CERTIFICACIONES ............................................................................................................................41 CAPACIDAD DE ACTUALIZACIÓN DEL TERMINAL Y PLANES ..............................................................41 Smart Card Alliance América Latina y el Caribe © 2011 3 7.5 RESUMEN .........................................................................................................................................42 8 CONCLUSIONES ............................................................................................................................... 44 9 RECONOCIMIENTOS POR LA ELABORACIÓN DE ESTA PUBLICACIÓN ........................ 46 10 GLOSARIO ......................................................................................................................................... 48 Smart Card Alliance América Latina y el Caribe © 2011 4 1 Introducción 1 La especificación EMV define los requerimientos técnicos para las tarjetas bancarias con microcircuitos integrados y para la infraestructura de terminales punto de venta (POS) que las acompañan. Con algunas pocas excepciones, instituciones financieras alrededor del mundo emiten tarjetas bancarias EMV para empresas y consumidores. Aproximadamente mil millones de tarjetas EMV han sido emitidas 2 globalmente y 15.4 millones de terminales POS ya aceptan tarjetas EMV Los propósitos primarios de incluir un chip en una tarjeta bancaria son almacenar de manera segura la información de los clientes, proteger los datos almacenados en el chip contra modificación no autorizada y reducir el número de transacciones fraudulentas que son resultado de falsificación, pérdida y robo de las tarjetas. 1.1 Objetivo El objetivo de este documento es educar a los participantes de la cadena de valor acerca de los aspectos más críticos al implementar una solución EMV en sus ambientes de negocio. Los participantes primarios son los emisores, los comercios, los procesadores, los proveedores de hardware, los proveedores de software y los proveedores de servicios de soporte. A pesar de que se mencionan algunos de los principales motivadores que pueden aplicarse para la construcción de un caso de negocio, el objetivo de este documento no intenta desarrollar un caso de negocio completo que es necesario para tomar una decisión de inversión. La especificación de EMV puede resolver temas fundamentales que son de interés de las instituciones 3 financieras. La mayoría del trabajo de EMV fue realizado en los 90’s. A lo largo de los años EMVCo ha mantenido y revisado la especificación para mantener el nivel más alto de seguridad. EMVCo también desarrolla y mantiene nueva funcionalidad requerida por el mercado. Los participantes en la industria de pagos en América Latina reconocen que existe una necesidad de educarse a sí mismos sobre EMV para aprovechar las lecciones aprendidas en otros países alrededor del mundo. 1.2 Fraude basado en tarjeta A un nivel global, el reporte Nilson estimó que las pérdidas por fraude de tarjetas alcanzaron los $6.89 4 mil millones en $14.6 billones de compras de bienes y servicios y disposiciones de efectivo en 2009. De acuerdo al reporte Nilson, mientras que la tendencia de fraude global se ha mantenido constante, las cantidades perdidas por fraude están aumentando y con las tasas actuales de crecimiento se estima 5 llegar a los $10 mil millones de dólares para 2015. Mercator Advisory Group reporta que las pérdidas por fraude se encuentre probablemente dramáticamente reportadas por debajo de la cantidad real y que podrían ser en realidad tan altas como $16 mil millones de dólares, especialmente cuando se consideran todos los costos asociados como las investigaciones forenses para los compromisos de información, 6 demandas, fraude no detectado y pérdidas mal clasificadas por los emisores. 1 2 3 4 5 6 Los fundadores originales de la organización que cuida de los estándares EMV fueron Europay, MasterCard, y Visa — es debido a esto que se utiliza el acrónimo “EMV.” Mayor información sobre las especificaciones puede ser encontrada en la página web http://www.emvco.com. "Más de mil millones de tarjetas EMV se encuentran activas actualmente" EMVCo, EMVCo es la organización creada en Febrero de 1999 por Europay International, MasterCard International, y Visa International para administrar, mantener, y mejorar las especificaciones para sistemas de pago con tarjetas con circuito integrado EMV (EMV Integrated Circuit Card Specifications for Payment Systems). Con la adquisición de Europay por parte de MasterCard en el 2002 y con la adición de JCB y American Express que se unieron a la organización en 2004 y 2009, respectivamente, EMVCo es ahora operada por American Express, JCB International, MasterCard Worldwide, y Visa, Inc. El Nilson Report, Volumen 951, Junio 2010 Ibid. Fraude a mi izquierda, Riesgo a mi derecha (“Fraud to the Left of Me, Risk to the Right”) Mercator Advisory Group, Octubre 2008 Smart Card Alliance América Latina y el Caribe © 2011 5 El valor real del fraude, sin embargo, excede la cantidad actual de pérdidas en dólares. Las compañías de servicios financieros incurren en daños a su reputación, mayores costos de operación por la necesidad de mantenerse vigilantes (incluyendo el monitoreo de transacciones), reducción en la productividad, y mayores gastos de personal; también corren con los costos de la reemisión de tarjetas después de que se produce un incidente de fraude. Un costo que con frecuencia no se observa y no se entiende bien es el impacto que el fraude tiene en el uso de tarjetas y pérdidas de ingresos, con emisores observando menores tasas de activación en las tarjetas re-emitidas y disminución en los 7 volúmenes de transacciones. Los comercios y los procesadores y adquirentes también incurren en daño a su reputación y tienen que correr con el costo del cumplimiento de los estándares PCI DSS (Payment Card Industry Data Security Standard). Como un ejemplo del impacto de EMV, la Asociación de Tarjetas del Reino Unido (UK Cards Association) reporta una reducción dramática en el fraude desde la introducción de las tarjetas EMV. El fraude de tarjetas robadas y extraviadas se encuentra en el punto más bajo de las últimas dos décadas, y el fraude por falsificación de tarjetas también se ha reducido significativamente y se encuentra en el punto más bajo desde 1999. La pérdidas en comercios del Reino Unido se han reducido 67 por ciento desde el 2004, el fraude por tarjetas robadas o extraviadas se ha reducido en 58 por ciento entre 2004 y 8 2009; y el fraude por tarjetas no recibidas por correo se ha reducido en 91 por ciento desde el 2004." Las experiencias del Reino Unido así como las de otros países que han adoptado tarjetas con microcircuito han demostrado una reducción del fraude doméstico para transacciones con tarjeta presente. Pero sus experiencias también han mostrado una migración a otros tipos de fraude como por ejemplo en el caso de transacciones de tarjeta no presente (card-not-present - CNP) y fraude de falsificación para transacciones internacionales (cross-border) particularmente fraude en cajeros automáticos (ATMs). La migración del fraude reduce algunos de los ahorros que se obtienen con la reducción del fraude doméstico para transacciones con tarjeta presente. Esta realidad refuerza la necesidad de implementar en enfoque de múltiples capas de seguridad, aún con la adopción de tarjetas EMV. Esto permite mitigar la migración del fraude y atender otras vulnerabilidades en la seguridad. Los criminales son conocidos por explotar siempre el punto más débil de la cadena, moviéndose de lugares donde se presentan mecanismos más fuertes de autenticación y trasladándose a aquellos lugares donde no los hay, o cambiándose de las instituciones financieras y comercios que cuentan con mecanismos más sofisticados de detección del fraude hacia aquellos que cuentan con mecanismos menos sofisticados. Con más de mil millones de tarjetas EMV emitidas globalmente y proyecciones que indican un crecimiento constante en la emisión de tarjetas EMV, es muy probable que los criminales migren sus actividades de falsificación de tarjetas de banda magnética a regiones que todavía no han implementado EMV, lo que conlleva a un incremento de fraude internacional (cross-border) adquirido en esos países. Individualmente, la industria de pagos de cada uno de los países de la región de América Latina deberá determinar si se encuentra preparada para el potencial incremento significativo del fraude con tarjetas, si el fraude migra de países que ya se encuentran habilitados para EMV a mercados que aún no lo están en la región. 7 8 El verdadero costo del Fraude (“The True Cost of Fraud,”) First Data Corporation white paper, Marzo 2009 Nuevos números de fraude en tarjetas y bancos ("New Card and Banking Fraud Figures," )The UK Cards Association, Marzo 10, 2010, http://www.theukcardsassociation.org.uk/media_centre/press_releases_new//page/922/ Smart Card Alliance América Latina y el Caribe © 2011 6 2 Repaso General La tecnología de tarjetas inteligentes toma un microprocesador de circuito integrado seguro y lo incorpora dentro de una forma de pago (form factor). La forma de pago utilizada más comúnmente es la tarjeta; sin embargo llaveros, tarjetas microSD, adhesivos (stickers) y más recientemente los teléfonos con capacidad de NFC pueden acomodar la misma tecnología. Para su uso, el microcircuito generalmente se alimenta de la energía del dispositivo lector por lo que requiere del mismo para poder funcionar. La interface con el lector puede ser una interface de contacto o sin contacto. Las tarjetas de interface doble (Dual-interface cards) incorporan las dos interfaces y dependiendo de las opciones disponibles en el punto de aceptación, se pueden comunicar ya sea utilizando la interface de contacto o sin contacto. Las tarjetas de contacto se comunican con el lector mediante una placa de contactos. La placa debe entrar en contacto con el terminal, generalmente mediante un lector de inserción donde se introduce la tarjeta. Los cajeros automáticos (ATMs) generalmente utilizan lectores motorizados que llevan la tarjeta dentro del ATM para prevenir su retiro mientras se ejecuta la transacción. Las tarjetas sin contacto (contactless) contienen una antena y se comunican con el lector mediante radio frecuencia (RF). Las tarjetas de interface doble (dual-interface cards) combinan ambas tecnologías. El Gráfico 1 muestra una tarjeta típica de contacto o de interface doble: la placa de contacto es la placa dorada que se observa en la parte izquierda de la tarjeta. La antena generalmente no es visible en la mayoría de las tarjetas, sin embargo muchas tarjetas sin contacto (contactless) muestran un símbolo gráfico que indica que cuentan con capacidad de pago sin contacto. Gráfico 1: Tarjeta inteligente EMV de Interface doble 2.1 EMV y la seguridad en la Tarjeta EMV es un grupo de especificaciones de estándar abierto para tarjetas inteligentes de pago y dispositivos de aceptación. EMVCo, controlado por American Express, JCB, MasterCard, y Visa, administra, mantiene y mejora las especificaciones de EMV para garantizar la interoperabilidad global de las tarjetas de pago basadas en microcircuito y de los dispositivos de aceptación, incluyendo puntos de 9 venta y cajeros automáticos (ATMs). Las especificaciones atienden la interoperabilidad en dos niveles. El Nivel 1 define las características electromagnéticas y físicas de las tarjetas y los lectores, mientras que el Nivel 2 se encarga de definir los elementos de datos y los protocolos. El propósito primario de EMV es asegurar que los estándares para las tarjetas inteligentes de pago sean interoperables globalmente. Estos estándares se encontraban inicialmente limitados a las tarjetas de contacto, sin embargo ahora ya se incluyen algunos estándares para tarjetas sin contacto (contactless). En adición al almacenamiento de información de pago de manera segura dentro de un microcircuito en lugar de en la banda magnética, la utilización de EMV mejora la seguridad de las transacciones de pago 10 al agregar funcionalidad en tres áreas: 1. Autenticación de la Tarjeta, protegiendo contra tarjetas falsificadas. 2. Verificación del cliente, autenticando al portador de la tarjeta protegiendo contra tarjetas robadas y extraviadas 9 http://www.emvco.com/about_emvco.aspx En adición a las características de seguridad de la aplicación de pago, una tarjeta EMV incluye un microcircuito seguro que resiste intentos de alteración y que incluye una amplia variedad de capacidades de hardware y software que detectan y reaccionan inmediatamente ante intentos de alteración, contrarrestando posibles ataques. 10 Smart Card Alliance América Latina y el Caribe © 2011 7 3. Autorización de la transacción, utilizando reglas definidas por el emisor para autorizar transacciones 2.1.1 Métodos de Autenticación de la Tarjeta La Autenticación de la Tarjeta protege al sistema de pago contra el uso de tarjetas falsificadas. Los métodos de autenticación de la tarjeta se encuentran definidos en las especificaciones EMV y en las especificaciones de pago de las principales marcas de compañías de pago con tarjeta. La autenticación de la tarjeta puede efectuarse ya sea en línea (online), fuera de línea (offline), o de ambas maneras. 2.1.1.1 Autenticación en Línea de la Tarjeta La Autenticación en Línea de la Tarjeta (Online Card Authentication) requiere que la transacción sea enviada en línea para que el Emisor la autentique, de la misma manera que las transacciones de banda magnética son enviadas en la actualidad en los Estados Unidos y en América Latina. La diferencia importante es que las tarjetas con microcircuito utilizan criptografía de llaves simétricas para generar un criptograma mediante la utilización de una clave secreta compartida. Dicho criptograma se conoce como el Criptograma de Solicitud de Autorización (Authorization Request Cryptogram - ARQC), y es validado por el Emisor durante la solicitud de la autorización en línea. El ARQC es el dato dinámico que garantiza que una transacción EMV sea única al mismo tiempo que proporciona protección contra el fraude por falsificación en transacciones con tarjeta presente. El microcircuito genera este criptograma al aplicar un algoritmo a los datos de la tarjeta, del terminal y de la transacción y cifra la información con una clave de algoritmo de encripción triple (Triple Data Encryption 11 Algorithm - TDEA) conocida como clave única de derivación (Unique Derivation Key - UDK), que se encuentra almacenada en un área segura del microcircuito. Debido a que algunos de los datos utilizados para la generación del criptograma son diferentes para cada transacción, el criptograma resultante es único para cada transacción. 2.1.1.2 Autenticación Fuera de Línea de la Tarjeta La Autenticación Fuera de Línea de la Tarjeta involucra tanto a la tarjeta EMV como al terminal EMV. Existen tres métodos de Autenticación Fuera de Línea de la Tarjeta definidos por EMVCo, ofreciendo diferentes métodos incrementando la protección contra la falsificación de tarjetas: Autenticación de Datos Estáticos (Static data authentication - SDA) (Sección 2.1.1.2.1) Autenticación de Datos Dinámicos (Dynamic data authentication - DDA) (Sección 2.1.1.2.2) DDA Combinado con la generación del Criptograma de Aplicación (Combined DDA with application cryptogram (AC) generation - CDA) (Sección 2.1.1.2.3) 2.1.1.2.1 Autenticación de Datos Estáticos En 2009 la mayoría de las tarjetas emitidas globalmente soportan SDA. SDA calcula un criptograma utilizando un certificado estático de llave pública y elementos de datos estáticos. SDA se apoya en una infraestructura de llave pública (public key infrastructure - PKI) en la que las marcas de pago actúan como las entidades con autoridad de certificación (certificate authorities - CAs) y proporcionan certificados a los emisores participantes. Durante la personalización de la tarjeta el emisor utiliza la llave privada del emisor para firmar un grupo de datos específicos de la tarjeta y almacena los datos firmados en la misma tarjeta junto con el certificado que contiene la llave pública del emisor. Para autenticar a la tarjeta, el terminal carga la llave pública raíz de las banderas de pago. El terminal utiliza la clave raíz para validar los datos del certificado de llave pública del emisor. El terminal entonces extrae la llave pública del emisor del certificado recién validado. El terminal utiliza la llave pública extraída para validar los datos estáticos de la tarjeta (que habían sido firmados por el emisor). 11 También conocido como Estándar Triple de Encripción de Datos (Triple Data Encryption Standard - TDES). Smart Card Alliance América Latina y el Caribe © 2011 8 Este proceso se conoce como autenticación de datos estáticos porque los datos utilizados son estáticos – es decir, los mismos datos son utilizados al inicio de cada transacción. SDA es el método más simple de autenticación de una tarjeta con microcircuito y proporciona el nivel más bajo de protección contra la falsificación de tarjetas. Aunque el nivel actual de fraude por falsificación de tarjetas chip es bajo, puede aumentar a medida que los mercados con tarjetas inteligentes se vuelven más maduros y otras oportunidades de cometer fraude son eliminadas. 2.1.1.2.2 Autenticación de Datos Dinámicos El DDA es similar al SDA pero va un paso más allá. DDA calcula un criptograma que es único para cada tarjeta y cada transacción. El emisor entonces crea un certificado de llave pública mediante la firma de la llave pública de la tarjeta. Todos los datos son cargados en la tarjeta durante la personalización. Para autenticar a la tarjeta, el terminal sigue básicamente el mismo proceso utilizado para SDA, excepto que en este caso un número aleatorio es también enviado a la tarjeta para ser firmado por la llave privada de la tarjeta. El terminal entonces valida la firma utilizando la llave pública. El DDA protege contra la clonación de la tarjeta (skimming) y contra la falsificación (counterfeiting). 2.1.1.2.3 DDA Combinado con el Criptograma de Aplicación El CDA combina la funcionalidad del DDA con un criptograma adicional de la aplicación al final de la transacción. Este criptograma final es utilizado para asegurar que los datos utilizados en la transacción mantienen su integridad aún después de haberse completado la transacción. En otras palabras, el uso de un criptograma final previene el tipo de fraude en el que los datos son manipulados después de que ocurre la autenticación en el sistema central (host). 2.1.2 Métodos de Verificación del Cliente La verificación del cliente autentica al portador de la tarjeta. El uso de un número de identificación personal (personal identification number - PIN) es un método común de verificación del cliente (cardholder verification method - CVM) que autentica al cliente y evita el uso de una tarjeta robada o extraviada. EMV soporta cuatro tipos de CVM: PIN fuera de línea (Offline PIN) PIN en línea (Online PIN) Verificación de firma No CVM Dependiendo de las reglas de la bandera de pago y de la preferencia del emisor, las tarjetas con microcircuito pueden ser personalizadas con uno o más CVMs con el objetivo de poder ser aceptadas en la mayor variedad de puntos de aceptación posibles. Diferentes tipos de terminal soportan diferentes tipos de CVM. Por ejemplo terminales POS atendidos, en adición a soportar la solicitud de la firma pueden también soportar PIN en línea, PIN fuera de línea o ambos, mientras que otros terminales no atendidos activados por la tarjeta pueden no requerir ningún CVM (no CVM). El PIN fuera de línea (Offline PIN) es el único método de verificación del cliente soportado por EMV que no está disponible para las tarjetas de banda magnética. El PIN fuera de línea es almacenado de manera segura en la tarjeta. Cuando el cliente introduce su PIN durante una transacción, el terminal POS envía el PIN a la tarjeta EMV para su verificación. La tarjeta compara el PIN introducido con el PIN almacenado dentro del microcircuito y envía el resultado de la comparación de vuelta al terminal POS, que puede entonces aprobar la transacción de manera fuera de línea o enviar la transacción y el resultado de la verificación del PIN al sistema central (host) del emisor para su autorización. El PIN fuera de línea (offline PIN) nunca es enviado al sistema central del emisor – solo se envía el resultado de que la comparación se realizó exitosamente. El PIN en línea (Online PIN) no es almacenado en la tarjeta porque el PIN es enviado en línea para que sea validado por el emisor. El PIN en línea es soportado actualmente por las tarjetas de banda Smart Card Alliance América Latina y el Caribe © 2011 9 magnética y ampliamente soportado en terminales POS y cajeros automáticos (ATMs) en América Latina. El cliente introduce el PIN en el terminal POS; el PIN es encriptado por el PIN pad y es enviado en línea al sistema central (host) del emisor para su validación. La seguridad del PIN en línea se encuentra basada en los estándares de triple encripción de datos (Triple Data Encryption Standard TDES) y está estandarizada alrededor del mundo. Para las transacciones de cajero automático (ATM) se requiere el uso del PIN en línea ya que éste es el único método de verificación (CVM) válido para este tipo de transacciones. Resultado de esto, cualquier implementación que utilice PIN fuera de línea todavía requerirá el uso del PIN en línea para conseguir acceso a los cajeros automáticos. Si una tarjeta soporta CVMs tanto para PIN en línea como para PIN fuera de línea, el emisor debe asegurar de que los dos PINs se mantengan sincronizados. La sincronización del PIN es importante porque cuando se les solicita a los clientes que introduzcan su PIN, ellos no saben si se les está solicitando el PIN fuera de línea o el PIN en línea. La verificación de la firma requiere que se proceda a firmar en papel en el POS, tal como sucede actualmente para las transacciones con tarjetas de banda magnética. La validación se realice cuando la firma en el recibo es comparada y coincide con la firma que se encuentra en la parte trasera de la tarjeta. EMV también soporta transacciones que no requieren de ningún CVM (no CVM). La opción de “No CVM” es utilizada típicamente para transacciones de bajo valor o para transacciones realizadas en lugares con terminales POS no atendidos. En general, las opciones de CVM de PIN en línea y PIN fuera de línea protegen directamente contra el fraude resultante de tarjetas robadas, extraviadas o que nunca fueron recibidas por el correo. 2.1.3 Autorización de la Transacción Las transacciones EMV pueden ser autorizadas ya sea en línea o fuera de línea. Para las transacciones en línea, cada transacción procede tal como ocurre hoy en día en América Latina para las tarjetas de banda magnética. La información de la transacción es enviada al emisor junto con un criptograma específico para esa transacción (ARQC) y el emisor puede entonces aprobar o declinar la transacción. En una transacción EMV fuera de línea, la tarjeta y el terminal se comunican y utilizan una serie de parámetros de riesgo definidos por el emisor que se encuentran almacenados en la tarjeta para determinar si la transacción puede ser aprobada. Las transacciones fuera de línea son utilizadas cuando los terminales no tienen conectividad en línea (por ejemplo en un quiosco para venta de boletos), en países donde los costos de las telecomunicaciones son altos, o durante horarios pico para incrementar la velocidad de las transacciones. Las tarjetas pueden configurarse para permitir tanto autorizaciones en línea como autorizaciones fuera de línea, dependiendo de las circunstancias. Es también importante mencionar que el uso del CVM con PIN fuera de línea no está restringido exclusivamente a transacciones autorizadas fuera de línea. En la mayoría de las situaciones el PIN fuera de línea puede utilizarse como el CVM y la transacción puede ir en línea para autorizarse. 2.2 Cambios de EMV en la infraestructura para la mensajería La industria de pagos se está moviendo hacia la interoperabilidad global con una tecnología de microcircuito que proporciona flexibilidad en la forma de pago (form factor) con servicios de valor agregado y mayor seguridad. La infraestructura de pagos EMV incluye un nuevo campo que contiene toda la nueva información del microcircuito para ser enviado en la mensajería. En América Latina este campo es comúnmente conocido como el campo 55 (Field 55) definido por el estándar ISO/IEC 8583 (el estándar que define la infraestructura para el contenido y mensajería para las transacciones financieras). En otros países puede en ocasiones ser transportado en un formato de bitmap conocido como el tercer bitmap (third bitmap). El campo 55 es un repositorio genérico, flexible, de longitud variable que cumple con la codificación del formato “etiqueta – longitud – valor” (“tag – length – value” TLV). Cada elemento de datos que es Smart Card Alliance América Latina y el Caribe © 2011 10 transportado en este campo contiene una etiqueta (tag), seguido de la longitud (length) de los datos y posteriormente seguido de los propios datos (value). Cada etiqueta es definida por EMV o especificada en las especificaciones relevantes de cada bandera de pago. El criptograma de solicitud de autorización, el número impredecible del terminal, el valor de la transacción y el indicador de forma de pago (form factor indicator) son algunos ejemplos típicos del tipo de datos que se transportan en este campo. El campo 23 contiene el número de secuencia de la tarjeta (card sequence number). Cuando dos o más tarjetas se encuentran asociadas al mismo número de cuenta, este campo contiene el número asignado a cada tarjeta específica. Por ejemplo, existen situaciones (como en el caso de familias) donde un mismo número de cuenta primario (primary account number - PAN) es utilizado por diferentes personas. Para estas tarjetas, el número de secuencia de la tarjeta (card sequence number) identifica la tarjeta individual que está enviando los datos de chip en el mensaje de autorización. Emisores, adquirentes, y comercios necesitarán modificar su infraestructura para soportar al campo 55 y 12 el campo 23 en la solicitud de autorización y en el mensaje de respuesta. Tabla 1. Etiquetas más comunes del Campo 55 Etiqueta Descripción Funcionalidad Detalles 9F26 Criptograma de la Aplicación (Application cryptogram) Autenticación de la Tarjeta Contiene el criptograma utilizado para autenticar la transacción. 9F36 Contador Secuencial de Transacciones (Application transaction sequence counter) Autenticación de la Tarjeta Contiene el valor del contador secuencial de transacciones. Se mantiene un contador secuencial de transacciones que se incrementa cada vez que una transacción es iniciada. 9F07 Control de Uso de la Aplicación (Application usage control) Autenticación de la Tarjeta Especifica las restricciones del emisor con respecto al uso geográfico y a los servicios permitidos para la aplicación.* 9F27 Datos de Información del Criptograma (Cryptogram information data) Autenticación de la Tarjeta Indica el tipo de criptograma y las acciones a ser ejecutadas por el terminal. 9F34 Resultados del CVM (CVM results) Verificación del Cliente Identifica como se verificó al cliente en el POS: Mediante firma, PIN o no se requirió verificación. 9F0D Códigos de Acción del Emisor – Default (Issuer action code—default) Autorización de la Transacción Especifica las condiciones del emisor bajo las cuáles una transacción puede ser rechazada aunque la transacción pudiera haber sido aprobada en línea pero el terminal es incapaz de procesar la transacción en línea.* 9F0E Códigos de Acción del Emisor – Declinación (Issuer action code— denial) Autorización de la Transacción Especifica las condiciones del emisor bajo las cuáles una transacción puede ser rechazada sin intentar ir en línea.* 12 Los requerimientos específicos de mensajería deben ser discutidos con las banderas de pago para asegurar que todos los cambios en la mensajería sean considerados durante la implementación. Smart Card Alliance América Latina y el Caribe © 2011 11 Etiqueta Descripción Funcionalidad Detalles 9F0F Códigos de Acción del Emisor – En línea (Issuer action code—online) Autorización de la Transacción Especifica las condiciones del emisor bajo las cuáles una transacción debe ser transmitida en línea.* 9F10 Datos de Aplicación del Autenticación de la Tarjeta Emisor (Issuer application data) Contiene datos de aplicación del emisor transmitidos desde el chip hasta el emisor. Es actualizado por el emisor en el mensaje de respuesta. 9F37 Número impredecible (Unpredictable number) Contiene el valor del número impredecible del terminal POS. Es un número generado por el terminal que puede ser utilizado en el algoritmo del criptograma de aplicación. Autenticación de la Tarjeta * http://www.emvlab.org/emvtags/all Tabla 2. Campo 23, Número de Secuencia del Terminal Etiqueta Descripción Funcionalidad Detalles 23 Autenticación de la Tarjeta Contiene el número de secuencia de la tarjeta EMV, que indica al emisor cuál tarjeta fue utilizada en el POS cuando se tienen múltiples tarjetas asociadas al mismo número de cuenta primario. Número de Secuencia del Terminal (Card sequence number) 2.3 EMV, Contactless y NFC Tarjetas de crédito y débito sin contacto (contactless) con marca de alguna de las banderas de pago están siendo emitidas globalmente. Mientras que todas las implementaciones están basadas en el protocolo de comunicación sin contacto ISO/IEC 14443, la implementación de la aplicación de pago y el enfoque de seguridad en los Estados Unidos difiere con respecto a las implementaciones EMV en otros mercados. 2.3.1 EMV Sin Contacto (Contactless) Las especificaciones EMV proporcionan la base para los pagos sin contacto EMV, pero no especifican toda la funcionalidad de la aplicación de pago. Las banderas de pago pueden implementar los pagos sin contacto EMV para funcionar tanto en ambientes en línea como fuera de línea y aprovechando la función de seguridad del criptograma EMV para validar la autenticidad de una tarjeta y de la transacción. Esto previene la clonación de tarjetas y los ataques de repetición (replay fraud). El soporte del criptograma EMV requiere cambios en la red para transportar los datos adicionales que son requeridos para la autenticación en línea, igual que con las transacciones de contacto EMV. Considerando que uno de los objetivos primarios de los pagos sin contacto (contactless) EMV es el de capturar las transacciones de micro pagos, típicamente se requiere tarjetas con DDA o CDA, particularmente para transacciones que son autorizadas fuera de línea y que requieren CDA o DDA por la bandera de pago; sin embargo es importante resaltar que no todas las transacciones sin contacto son aprobadas fuera de línea. Las aplicaciones sin contacto EMV también pueden aprovechar los contadores de velocidad de EMV para limitar el número de transacciones consecutivas o el valor monetario a ser autorizado fuera de línea. Smart Card Alliance América Latina y el Caribe © 2011 12 El flujo de las transacciones sin contacto EMV para cada una de las banderas de pago varía de acuerdo al grado de funciones de administración de riesgo y al tipo de criptograma de autenticación que es implementado en la aplicación de pago sin contacto. Los múltiples enfoques independientes hacia los pagos sin contacto EMV, ha requerido que los terminales POS seas aprobados por cada una de las banderas de pago. EMVCo ha reconocido la necesidad de estandarización y ha desarrollado una hoja de ruta común para terminales sin contacto. En la fase 1, EMVCo está creando un grupo combinado de especificaciones del terminal para las cuatro especificaciones de las banderas de pago y administrará las pruebas y aprobaciones de los kernels sin contacto de acuerdo a estas especificaciones. 2.3.2 Sin Contacto (Contactless) en los Estados Unidos En los Estados Unidos, las banderas de pago implementaron transacciones de pago sin contacto que aprovechan la infraestructura existente para pagos con tarjeta de banda magnética, minimizando el impacto en los comercios y en la red adquirente que transporta los mensajes. Este enfoque conocido como contactless MSD (por las siglas en ingles de magnetic stripe data), facilitó la implementación sencilla por parte de los emisores, comercios y procesadores de pagos, así como la rápida adopción por parte de los consumidores y la aceptación en comercios. Con los pagos sin contacto MSD, el formato de mensaje para la pista 1 (Track 1) y la Pista 2 (Track 2) de la banda magnética permanecen intactos, con una diferencia notable. El chip en la tarjeta permite el cálculo de un valor dinámico de verificación de la tarjeta basado en una llave única de la tarjeta y un sencillo contador de transacciones. El dato dinámico de verificación es pasado en el mensaje en el mismo lugar que estaba originalmente designado para el valor de verificación original de la tarjeta. El contador de transacciones de la tarjeta (application transaction counter - ATC) es pasado en el área reservada para los datos discrecionales del emisor (issuer discretionary data) dentro del formato de la pista (track). Los pagos sin contacto MSD no soportan autenticación fuera de línea ni soportan autorizaciones fuera de línea. El valor de verificación dinámico de la tarjeta (dynamic card verification value) mejoró significativamente la seguridad de las transacciones en comparación con el valor de verificación o código estático o identificador de tarjeta (CVV / CVC / CID) utilizado en las transacciones de banda magnética. El uso de datos dinámicos en la transacción previene ataques de repetición (replay attacks) donde ninguna transacción puede realizarse dos veces, contra clonación de la tarjeta (skimming) ya que la clave de la tarjeta nunca sale del área segura de memoria de la tarjeta inteligente. Una nueva generación de tarjetas sin contacto se acerca más al estándar EMV. Estas tarjetas soportan un criptograma completamente soportado por EMV que es validado por el emisor en el mensaje de autorización. Las nuevas tarjetas sin contacto requieren cambios en la red que maneja los mensajes. Se requieren nuevos campos en el mensaje de autorización para transportar el criptograma de 8 bytes y todos los datos relacionados. El requerimiento de cambiar la infraestructura que transporta los mensajes para las nuevas tarjetas sin contacto proporciona el puente que permite soportar futuros productos, sin contacto, con contacto y teléfonos móviles NFC basados en chip EMV. A pesar de que se requieren lectores con diferentes interfaces para soportar transacciones de contacto y sin contacto, el protocolo y la infraestructura de la red que soporta la mensajería es idéntica. Los comercios y los adquirentes y procesadores que actualicen su red para soportar la nueva generación de tarjetas sin contacto, estarán preparándose también para soportar la mensajería requerida para soportar las tarjetas con chip de contacto. Las banderas de pago recomiendan que los países de América Latina interesados en emitir o ya se encuentran emitiendo tarjetas MSD, que migren su infraestructura de pago a EMV. Smart Card Alliance América Latina y el Caribe © 2011 13 2.3.3 EMV y Pagos Móviles con NFC Un área donde se espera crecimiento en el futuro cercano es el uso de la Comunicación de Corto Alcance o Near Field Communication (NFC) en teléfonos móviles habilitados para pagos sin contacto y 13 otras aplicaciones móviles como cupones y lealtad. La tecnología NFC es un estándar de comunicación wireless que permite el intercambio de datos entre 14 dispositivos que se encuentran a unos pocos centímetros de distancia uno del otro. Los teléfonos móviles habilitados para NFC incorpora un microcircuito o chip (conocido como elemento seguro) que le permite a los teléfonos almacenar una aplicación de pago e información de la cuenta del cliente para utilizar dicha información como una tarjeta virtual de pago. Las transacciones NFC entre un teléfono móvil y un terminal POS utilizan el estándar de protocolo de comunicación ISO/IEC 14443 que ya es utilizado actualmente para las tarjetas de crédito y débito EMV. Los teléfonos habilitados para NFC podrán contener una o más aplicaciones de pago y cuentas de diferentes emisores. La especificación NFRC no define o especifica la aplicación de pago. Las aplicaciones de pago deberán basarse en las especificaciones de la marca o bandera de pago para la 15 región del mundo donde dicha tarjeta virtual sea utilizada. Por ejemplo, en, México y Brasil, se deberá utilizar una aplicación de pago sin contacto que soporte transacciones EMV. Esto les permite a los clientes utilizar sus teléfonos habilitados para NFC para pagos en la red de terminales sin contacto de crédito y débito EMV existente. EMVCo ha estado muy activo en la definición de la arquitectura, especificaciones, requerimientos y procesos de aprobación para soportar los pagos sin contacto en móviles. Esto ha sido crítico para soportar el lanzamiento de los pagos móviles sin contacto en Europa, que utiliza una infraestructura 16 basada en pagos EMV. EMVCo se encuentra trabajando con otros grupos de la industria: Desarrollar las especificaciones necesarias que son específicas de los pagos sin contacto móviles, y que son comunes a todas las marcas de pago. Comunicar los requisitos y proporcionar directrices sobre cómo elementos y perfiles de la arquitectura definida por otras organizaciones pueden utilizarse en el contexto de pagos móviles sin contacto para promover la interoperabilidad. Desarrollar procesos para determinar el nivel de conformidad de las implementaciones especificaciones, perfiles y requisitos definidos por EMVCo. 2.4 Certificaciones EMV La certificación y los esquemas de evaluación EMV utilizan un enfoque de estandarizado de la industria y un enfoque de capas es aplicado de forma escalonada a los circuitos integrados y luego a los sistemas operativos y a la aplicación. Cada pieza de la cadena de valor puede reutilizar la certificación del paso previo para alcanzar su propia verificación. EMVCo evalúa todas las tarjetas inteligentes basadas en chips EMV y las implementaciones de la solicitud de pago comunes de EMVCo (Common Payment Application) para garantizar que se ajusten a las directrices de seguridad de EMVCo, incluyendo rutinas de firmware y software necesarias para acceder a las funciones de seguridad del chip. Las marcas de 13 Para mayor información vea el documento de Smart Card Alliance llamado "Chip-Enabled Mobile Marketing," de septiembre 2010, http://www.smartcardalliance.org/pages/publications-chip-enabled-mobile-marketing. 14 Para mayor información sobre NFC, vea la página web del NFC Forum en http://www.nfc-forum.org. El NFC Forum define las especificaciones para la comunicación de etiquetas NFC y de los lectores, pero no define especificaciones para aplicaciones de pago. 15 Dos ejemplos de programas con EMV NFC son: Kuwait, con National Bank of Kuwait, Visa, Zain, y ViVOtech, http://www.vivotech.com/newsroom/press_releases/NBK_Visa_Zain_Middle%20East.asp; Prueba en el 2010 Mobile World Congress que incluyó a GSMA, Telefónica, Visa, Samsung, Giesecke & Devrient, Ingenico, ITN International y La Caixa, http://www.nearfieldcommunicationsworld.com/2010/02/15/32738/nfc-trial-begins-atmobile-world-congress/ 16 "Contactless Mobile Payment Architecture Overview," Versión 1.0, EMVCo, Junio 2010, http://www.emvco.com/best_practices.aspx?id=162 Smart Card Alliance América Latina y el Caribe © 2011 14 pago individual: American Express, Discover, JCB, MasterCard y Visa – evalúan la seguridad de sus aplicaciones de pago. Estas evaluaciones, que son realizadas por reconocidos laboratorios externos de seguridad, proporcionan un alto nivel de garantía de que las funciones de seguridad pueden manejar los métodos de ataque conocidos y resulta en un Certificado de Cumplimiento de EMVCO datado especificando la trazabilidad desde el fabricante al emisor. Tabla 2 ilustra la arquitectura de software de EMV y las evaluaciones y certificaciones que son utilizadas en cada capa. Las certificaciones de POS y ATMs son discutidas en las secciones 6.3 y 7.3 respectivamente. Tabla 2. Certificaciones del software de chip EMV Arquitectura con Chip EMV Evaluaciones y Certificaciones Nivel de datos Datos de Personalización Parámetros de Administración de Riesgo Información del cliente Certificados y llaves criptográficas Nivel de Aplicación EMV American Express AEIPS, ExpressPay Discover D-PAS JCB J Smart MasterCard Mchip, PayPass Mchip / Magstripe Visa VSDC, payWave qVSDC / MSD Nivel de Plataforma y Sistema Operativo Advantis Tarjetas Java GlobalPlatform MULTOS Otros sistemas operativos nativos Las marcas de pago validan la personalización de la tarjeta, previo a la emisión en producción. Las marcas de pago certifican las aplicaciones. EMVCo certifica los sistemas operativos abiertos de chip. Las marcas de pago certifican implementaciones de sistema operativo EMV nativo. MULTOS sus propios sistemas operativos. Chip Hardware EEPROM ROM Motor criptográfico (DES, PKI) Lógica de protección de Memoria Fuente: Datacard Group, Smart Card Alliance Antes de realizar la selección del sistema operativo o plataforma, es importante entender qué tipo de beneficios, qué estándares y qué soporte recibe cada uno. Las plataformas se describen en la Tabla 3 a continuación. Tabla 3 . Descripción de Plataformas EMV Plataforma Descripción Beneficio Advantis Especificación de Personalización Fácil implementación y personalización GlobalPlatform Estándar abierto para administración de aplicaciones Facilidad para agregar aplicaciones (ej. lealtad, PKI) MULTOS Especificación Técnica Simple especificación técnica Nativa No es estándar, propietaria Sistema operativo cerrado, difícil Fuente: Smart Card Alliance Latino América-SCALA Smart Card Alliance América Latina y el Caribe © 2011 15 3 Opciones Durante el año pasado, Smart Card Alliance ha venido proporcionando materiales educativos sobre las consideraciones para migrar a EMV. Durante la década pasada, los beneficios de la migración se han incrementado mientras que los costos de implementación y las dificultades han disminuido. Muchos de los proveedores de terminales y algunos adquirentes y procesadores ya han implementado 17 infraestructura para soportar a clientes en más de 18 países de América Latina. Los beneficios de la migración a EMV incluyen: Mejorar la seguridad de infraestructura de transacciones de pago en América Latina, eliminando América Latina como un destino para los criminales que se dedican al fraude global con tarjetas de banda magnética. Aumentar la satisfacción de los clientes, especialmente cuando se encuentren viajando internacionalmente en regiones que ya migraron a EMV. Incrementar la satisfacción de clientes internacionales cuando utilizan sus tarjetas EMV en comercios y cajeros automáticos (ATMs) en América Latina. Mantener la interoperabilidad con el resto del mundo a medida que se migra a EMV. Aprovechar soluciones y productos compatibles con EMV que ya están disponibles comercialmente, para obtener un menor riesgo al utilizar un enfoque probado para la reducción del fraude. Posicionar a la industria para otras formas de pago, principalmente pagos sin contacto con móviles NFC. 3.1 Consideraciones Muchos factores y desarrollos interconectados deben ser considerados para construir un plano de migración a EMV para Latino América, incluyendo el uso de contacto EMV, la selección de opciones del estándar EMV ajustado a las necesidades del ambiente de Latino América, convergencia con pagos sin contacto con móviles NFC, y la selección del método de verificación del cliente (cardholder verification method - CVM). Planear para la implementación de EMV requiere tomar decisiones en cuatro áreas: 1. Interface de Tarjeta 2. Método de Autenticación de la Tarjeta 3. Autorización de la Transacción 4. Método de Verificación del Cliente Aunque cada decisión debe tomarse de manera independiente, algunas de ellas se encuentran interconectadas, y algunas selecciones pueden cambiar de manera dinámica dependiendo de las circunstancias. En otras palabras, hay múltiples posibilidades. 17 Es importante resaltar que el soporte para adquirente / procesador puede ser específico a alguna(s) plataformas y puede no estar disponible en la región. Los comercios y los emisores deben contactar a sus adquirentes / procesadores para determinar si soportan EMV. Smart Card Alliance América Latina y el Caribe © 2011 16 Figura 4 Resalta la potencial complejidad de la selección de las opciones de implementación. 1. Card Authentication Online Offline 4. Contact, Contactless, or Dual Chip Interface No CVM Offline PIN Online PIN Signature Online Offline 2. Transaction Authorization Figura 4. Opciones de Implementación para EMV La distinción entre autenticación y autorización es un punto que es importante entender. La autenticación verifica la autenticidad de la tarjeta específicamente. Por otra parte, la autorización valida la aprobación del banco para la transacción, considerando la situación de la cuenta del cliente (por ejemplo el saldo disponible y el resultado de diferentes verificaciones para prevenir el fraude. Como se muestra en Figura 5, si la tarjeta es autenticada fuera de línea (A), la transacción también puede ser autorizada fuera de línea, en base a ciertos límites predeterminados (como un valor máximo de compra); sin embargo, si la tarjeta es autenticada fuera de línea (B) pero la transacción debe ser autorizada en línea, entonces la tarjeta será autenticada una segunda vez. Card Authentication Online Offline No CVM Offline PIN Online PIN Signature B1 B2 A Not used Online Offline Transaction Authorization Figura 5. Autorización vs. Autenticación en línea y fuera de línea Para simplificar el análisis, las secciones restantes organizan y discuten las diferentes opciones mostradas en la Tabla 3 para cada grupo de participantes. Smart Card Alliance América Latina y el Caribe © 2011 17 Tabla 3. Opciones de implementación Opción 1. Interface de Tarjeta 2. Autenticación de Tarjeta 3. Transacción Autorizada Descripción a) Contacto Estándar para tarjetas con chip EMV. Requiere un lector de contacto. b) Sin contacto (Contactless) Tarjeta de RF, NFC en un teléfono móvil, u otras formas de pago (form factors), incluyendo adhesivos (stickers). Requiere un lector sin contacto. c) Interface dual La tarjeta contiene las dos interfaces, contacto y sin contacto. Trabaja tanto con lectores de contacto como sin contacto. a) En línea (Online) Utiliza el criptograma de 8 bytes Triple DES. No requiere SDA, DDA, o un cripto procesador PKI.* b) Fuera de Línea (Offline) Utiliza SDA, DDA y / o CDA y PKI. Requiere un co-procesador criptográfico para PKI (para DDA y CDA solamente). a) En línea (Online) Mensaje de autorización enviado al emisor similar a la implementación actual para transacciones de banda magnética. b) Fuera de línea (Offline) La autorización se determina por el análisis de riesgo de EMV y por la comunicación entre tarjeta y terminal Se puede forzar ir en línea dependiendo de los límites y otros factores. 4. Verificación del cliente a) Firma No hay requerimientos especiales para el POS. b) PIN en línea El POS requiere PIN PAD. c) PIN fuera de § línea El POS requiere PIN PAD. Requiere un coprocesador criptográfico para PKI (para DDA y CDA solamente). d) No CVM No hay requerimientos especiales para el POS. Reservado normalmente para transacciones de bajo valor. * Todas las tarjetas con chip utilizadas con EMV incluyen un motor de criptografía DES. La criptografía DES es utilizada como la parte central de la seguridad del chip y es utilizada en el proceso de personalización y en el uso de scripts post-emisión del emisor utilizados para cambiar la configuración de la tarjeta EMV. § El PIN fuera de línea puede ser utilizado cifrado (enciphered) o en claro (plain text). 3.1.1 Opciones de Interface de la Tarjeta Cada una de las tres interfaces de tarjeta, contacto, sin contacto e interface dual tienen ventajas y desventajas para los participantes de la industria en una migración a EMV. La interface de contacto requiere la emisión de tarjetas con chip de contacto y la instalación de terminales con lectores de contacto en los comercios y cajeros automáticos (ATMs). Las características de seguridad de las tarjetas EMV no pueden utilizarse con los lectores para tarjetas sin contacto. Smart Card Alliance América Latina y el Caribe © 2011 18 Contacto La interfaz sin contacto proporciona un puente a la aplicación de pagos sin contacto móviles habilitados en NFC. La desventaja de elegir sólo una interfaz sin contacto es el despliegue limitado de lectores sin contacto. Tarjetas de doble interfaz llevan interfaces EMV sin contacto y con contacto. La selección de una tarjeta de doble interfaz permite que la misma tarjeta pueda utilizarse tanto POS con lectores de contacto dentro de América Latina como en lectores sin contacto fuera de América Latina. Esta interfaz sería ideal para tarjetahabientes que viajan internacionalmente. La industria de pagos de América Latina se está moviendo a EMV, en el esquema de tarjetas con contacto, manteniendo el uso de tarjetas "sin contacto" como una opción que el emisor puede optar por apoyar. Otros países en América Latina y de otras partes del mundo están implementando EMV con contacto y en algunos casos ambos, es decir tanto con contacto como sin contacto EMV. Para el futuro y por algún tiempo, todas las tarjetas EMV en América Latina y del Caribe seguirán llevando una banda magnética para garantizar la aceptación en los mercados sin EMV. Cabe destacar, que esto mantiene la vulnerabilidad de las tarjetas al ser utilizadas en dichos mercados. 3.1.2 Autenticación de la Tarjeta y Opciones de Autorización de la Transacción Es importante diferenciar entre autenticación fuera de línea y autorización de transacciones fuera de línea. EMV está diseñado de forma que la autenticación en línea y fuera de línea pueda aprovecharse en una sola transacción. Todas las transacciones en línea o fuera de línea en América Latina apoyan SDA para garantizar que los datos de la tarjeta no hayan sido modificados como parte de la transacción EMV. Realizar la autenticación fuera de línea no requiere ni implica que la transacción se realice completamente fuera de línea. La capacidad para fuera de línea está diseñada en EMV para entornos donde una comunicación confiable en línea no está disponible o es cara. Con EMV, una tarjeta puede requerir realizar transacciones fuera de línea, incluso cuando opere en terminales en línea hasta una cierta cantidad monetaria o si alcanza un cierto número de transacciones consecutivas, momento en que la transacción va en línea; se utilizan los mismos parámetros fuera de línea para terminales que están completamente fuera de línea. La autenticación en línea de la tarjeta y la autorización de transacciones en línea cuando se mencionan juntas son conocidas como "EMV en línea", una aplicación optimizada con autenticación en línea 100% compatible con implementaciones de EMV en todas partes del mundo. EMV en línea puede ser apropiado para países con una infraestructura de telecomunicaciones rápida y confiable, como en la mayoría de los países de América Latina. Para la autenticación en línea, el estándar EMV especifica que la tarjeta genere un criptograma de 8 bytes utilizando claves simétricas Triple DES (Triple Data Encryption Standard - TDES), en lugar de utilizar la infraestructura de clave pública RSA más compleja. La implementación de EMV en línea no necesita utilizar SDA, DDA o PIN fuera de línea. Esta aplicación evita los costos adicionales de tarjetas por el uso de coprocesadores criptográficos para soportar DDA o CDA, las autoridades de certificación, y el soporte de PKI en terminales POS. Estos ahorros de costos deben ser un factor cuando se compara el costo de la implementación de EMV en línea con el costo de implementación de EMV fuera de línea. Otra opción es implementar EMV con capacidad fuera de línea pero requiriendo que la mayoría de las transacciones vayan en línea. Por ejemplo, en Canadá, sólo unos pocos adquirentes están habilitados para fuera de línea. Los otros operan prefiriendo el uso de transacciones en línea y establecen límites de piso en cero, obligando que todas las transacciones sean enviadas en línea. Sin embargo, los terminales POS instalados en comercios de Canadá apoyan todo el complemento de SDA, DDA y CDA. 3.1.3 Verificación Del Cliente La elección de los métodos de verificación del titular de la tarjeta – PIN en línea, PIN fuera de línea, firma o no CVM – es más sencilla. (Consulte la sección 2.1.2 para detalles adicionales sobre la verificación de los métodos de EMV para la verificación del cliente.) La selección de la verificación de la firma evita la Smart Card Alliance América Latina y el Caribe © 2011 19 necesidad de instalar PIN Pads y elimina ciertos cambios de comportamiento de los titulares de tarjetas y requerimientos de capacitación. Si selecciona la opción de PIN puede requerir la instalación de PIN Pads en los comercios (si realiza PIN en línea o PIN cifrado fuera de línea). La selección de PIN también afecta el proceso de autorización de EMV para emisores y adquirentes / procesadores (que se tratan en las secciones 4 y 5). 3.1.4 Opciones Híbridas Es probable que la implementación de EMV en América Latina y el Caribe combine diferentes opciones, dependiendo del tipo de lugar y transacciones y variando según el país. Dependiendo de qué producto se está ofreciendo, emisores individuales pueden optar por implementar múltiples enfoques, la infraestructura de la empresa adquirente apoyará todas ellas y los comercios elegirán qué características de EMV quieren apoyar. Esta es la situación en la mayoría de los otros mercados de hoy, así como en el entorno actual de América Latina con banda magnética para la verificación de los titulares de tarjetas. Una solución híbrida podría incorporar los beneficios disponibles con todas las opciones y asegurar la compatibilidad con las tarjetas del resto del mundo. Aunque a primera vista, esta solución puede parecer complicada, la flexibilidad que ofrece podría facilitar la transición a EMV por acomodar objetivos únicos de comercio, del mercado específico y del emisor. 3.2 Implicaciones para viajeros internacionales 18 Aite Group ha estimado que en U.S. 9,7 millones de tarjetahabientes experimentaron problemas de aceptación de tarjeta de banda magnética cuando viajaron internacionalmente en 2008, costando a los bancos 447 millones de dólares en ingresos perdidos. Un pequeño porcentaje de terminales POS europeos sólo fuera de línea, principalmente ubicados en gasolineras nocturnas y desatendidas y kioscos de tickets de tren en España, Francia y el Reino Unido, no aceptará tarjetas EMV sólo en línea. Mientras que esos lugares son una minoría, tienden a generar consecuencias bastante importantes si no están disponibles para ser utilizados por las tarjetas de pago de los tarjetahabientes. Esta situación exige una decisión crítica para los emisores. ¿Deben ellos emitir tarjetas EMV sólo en línea y aceptar el riesgo de que sus tarjetas no funcionen en lugares fuera de línea? ¿Debe configuran sus tarjetas para ir en línea siempre que sea posible y sólo permiten transacciones sin conexión cuando la terminal indica que no puede ir en línea? Dado que la mayoría de los mercados han implementado EMV de contacto, los comercios tendrían que instalar lectores para aceptar las tarjetas de contacto EMV de sus clientes. 3.3 Incentivos y Motivadores de la Implementación EMV La implementación de EMV en América Latina ha sido impulsada por muchos factores, entre ellos; las tasas más altas de fraude, regulaciones gubernamentales, innovación y mandatos de marcas de pagos financieros. Esto a su vez ha promovido la migración de tarjetas y terminales para EMV desde los principales emisores y adquirientes de América Latina. A fin de acelerar el proceso, el mercado ha desarrollado algunos incentivos para la migración EMV que ayudan a los emisores y adquirientes a desarrollan un caso de negocios para migrar gradualmente (basada en el ciclo de vida de la tarjeta y terminal) sus carteras de riesgo mayor y finalmente todas sus cuentas. El incentivo de mercado más conocido para la migración EMV es el mandato de cambio de responsabilidad. Bajo este esquema, la responsabilidad financiera para una transacción en disputa se encuentra con un emisor bajo condiciones originales, pero se transfiere al adquirente (o viceversa) cuando el primero cumple con ciertos requisitos y el segundo no lo hace. Debido a los niveles de adopción de los 18 "The Broken Promise of Pay Anywhere, Anytime: The Experience of the U.S. Cardholder Abroad," Aite Group report, October, 2009, http://www.getfluentc.com/pdf/Aite_GroupBroken_Promise_of_Anytime_Anywhere_Report.pdf Smart Card Alliance América Latina y el Caribe © 2011 20 diferentes países de América Latina y el Caribe, Visa Inc. y MasterCard Worldwide han definido distintas etapas para el inicio de la participación en el mandato de cambio de responsabilidad de EMV. Estas etapas se incluyen en la Tabla 4 abajo, junto con otras iniciativas regionales. Tabla 4. Mandatos de Migración EMV Fecha de Efectividad Tipo Región Marcas Mandatos de MasterCard Worldwide Enero 1, 2005 Política de Cambio de Responsabilidad Regional: El Cambio de Responsabilidad entra en efecto dentro de la región. América Latina / Caribe MasterCard Worldwide Enero 1, 2005 Incentivo en el Intercambio: Nuevo incentivo de 10 puntos en la tasa de intercambio se otorga a la parte que cumple con el chip. América Latina / Caribe MasterCard Worldwide & Visa Inc. Enero 1, 2006 Todos los adquirentes de chip en América Latina deben operar en “Full Grade" EMV. Esto significa que los Adquirentes deben enviar en la transacción la información del chip al emisor. Adquirentes de chip "Partial Grade" no son permitidos a partir de esta fecha. América Latina / Caribe MasterCard Worldwide Abril 15, 2011 Brasil, Colombia & Venezuela: Todos los Emisores y Adquirentes participan en programas de cambio de responsabilidad a nivel interregional para transacciones de POS. América Latina / Caribe y otras regiones (excepto USA) MasterCard Worldwide Agosto 1, 2011 México: Todos los Emisores y Adquirentes participan en los programas de cambio de responsabilidad a nivel interregional para todos los productos para transacciones de POS. América Latina / Caribe y otras regiones (excepto USA) MasterCard Worldwide Octubre 12, 2012 Todos los demás países: Emisores y Adquirentes participarán en los programas de cambio de responsabilidad a nivel interregional para todos los productos para transacciones de POS y ATM (excepto México). América Latina / Caribe y otras regiones (excepto USA) MasterCard Worldwide Septiembre 1, 2014 México Emisores y Adquirentes participarán en los programas de cambio de responsabilidad a nivel interregional para transacciones de ATM. América Latina / Caribe y otras regiones (excepto USA) MasterCard Worldwide América Latina / Caribe Visa Inc. Mandatos de Visa Inc. Enero 1, 2004 Emisores: Tarjetas emitidas en la región de América Latina y el Caribe deben cumplir al menos con el nivel de seguridad conocido como SDA + CAM, que consta de los siguientes dos elementos: Autenticación de datos estáticos o SDA. SDA es un mecanismo que se basa en el cifrado Smart Card Alliance América Latina y el Caribe © 2011 21 Fecha de Efectividad Tipo Región Marcas de clave pública y que protege la información de chip contra la falsificación en el momento de la transacción, sin necesidad de la transacción en línea viajar al host del emisor. Método de autenticación de tarjeta o CAM (Card Authentication Method). CAM es un método que se basa en el cifrado simétrico (Triple DES) y que protege contra skimming, por lo que la información contenida en un chip no se copia en otro chip. CAM es verificado en línea por el sistema de la marca de pago o internamente en el host del emisor. Enero 1, 2004 Emisores: Todos los procesadores deben tener la capacidad de procesar transacciones en modo "Early EMV" en sus sistemas centrales (host). La etapa Early EMV corresponde a la primera fase de migración hacia la tecnología de chip en la que con cambio mínimos en sus sistemas los emisores pueden tener la capacidad de procesar tarjetas chip identificando los nuevos valores que muestran que la transacción se realizó con chip en un terminal que soporta tecnología de chip. Como resultado de esto, los emisores tienen la capacidad de beneficiarse de transacciones más seguras una vez que deciden comenzar a emitir tarjetas con chip. América Latina / Caribe Visa Inc. Enero 1, 2004 Adquirentes: Todos los nuevos terminales comprados (con excepción de los terminales de captura electrónica con autorización de voz) deben soportar todas las siguientes funcionalidades: América Latina / Caribe Visa Inc. América Latina / Caribe Visa Inc. Enero 1, 2004 Chip (con terminales de lectura de chip aprobados para EMV nivel 1) Pin fuera de línea (Offline PIN) para las tarjetas con chip Autenticación de datos dinámicos (Dynamic Data Authentication - DDA). DDA es un mecanismo que está basado en encripción con llaves públicas y que protege la información del chip contra clonación (skimming) en el punto de transacción. Cuando se soporta DDA, el terminal también debe soportar la Autenticación de Datos Estáticos (Static Data Authentication - SDA). Números de cuenta de longitud variable hasta 19 dígitos. Adquirentes: Un adquirente debe soportar la opción Early EMV para transacciones en su Smart Card Alliance América Latina y el Caribe © 2011 22 Fecha de Efectividad Tipo Región Marcas América Latina / Caribe Visa Inc. sistema central (host). La opción Early EMV corresponde a la primera fase de la migración a tecnología de chip en la que, por medio de cambios mínimos en los sistemas los adquirentes tienen la capacidad de procesar transacciones con chip y enviar al emisor la nueva información que muestra que la transacción fue realizada con una tarjeta con chip en un terminal que soporta tecnología de chip. Enero 1, 2004 Adquirentes: Todos los nuevos cajeros automáticos (ATMs) deben contener un dispositivo para la lectura de chip que se encuentre aprobado para EMV nivel 1. Enero 1, 2005 Cualquier comercio de la categoría de viajes y entretenimiento (Travel and entertainment - T&E) con terminales independientes (stand-alone) es decir una terminal (utilizada en el punto de venta que no está conectada a una caja registradora) y que ya cuente con un dispositivo para lectura de chip, debe tener la aplicación EMV funcionando y contar con las respectivas aprobaciones para EMV nivel 1 y 2. Abril 1, 2011 Brasil y México establecieron un cambio de responsabilidad para transacciones con chip EMV (liability shift) intrarregional entre los dos países solamente, y al nivel interregional para las transacciones de POS. Brasil / México Visa Inc. Octubre 1, 2012 Brasil y México establecerán un cambio de responsabilidad para transacciones con chip EMV (liability shift) intrarregional entre los dos países solamente, y al nivel interregional para las transacciones en cajeros automáticos (ATMs) con tarjetas clonadas, falsificadas o manipuladas. Brasil / México Visa Inc. Octubre 1, 2012 El resto de los países de América Latina y el Caribe se unirán al cambio de responsabilidad a nivel interregional e intraregional para las transacciones conducidas utilizando tarjetas fraudulentas, excluyendo cajeros automáticos. Visa Inc. Octubre 1, 2014 El resto de los países de América Latina y el Caribe se unirán al cambio de responsabilidad a nivel interregional e intrarregional para las transacciones conducidas utilizando tarjetas robadas, extraviadas o no recibidas (por ejemplo tarjetas robadas de buzones de correo), incluyendo transacciones realizadas en ATMs con tarjetas fraudulentas. Visa Inc. Otros Incentivos Regionales Smart Card Alliance América Latina y el Caribe © 2011 23 Visa Inc. Fecha de Efectividad Tipo Región Marcas "Circular 052 de Colombia," emitida por el regulador bancario local (la Superintendencia Bancaria), obliga a todas las instituciones financieras envueltas en la emisión y adquirencia de tarjetas, a migrar a pagos con tarjetas EMV. Esta regulación gubernamental aunque controversial, ayudo a aumentar el uso de las tarjetas EMV para pagos, reduciendo el fraude, y mejorando los servicios financieros en el país. Colombia Superinten dencia Bancaria de Colombia México Comisión Nacional Bancaria y de Valores Venezuela Superinten dencia Bancaria de Venezuela La migración a EMV en México también ha sido impulsada por regulaciones gubernamentales para mejorar la seguridad de las transacciones financieras. Estas regulaciones han hecho que tanto emisores como adquirentes realicen su migración hacia tarjetas EMV. La migración a EMV en Venezuela también ha sido impulsada por regulaciones gubernamentales para mejorar la seguridad de las transacciones financieras. Estas regulaciones han hecho que tanto emisores como adquirentes realicen su migración hacia tarjetas EMV. Nota: El cambio de responsabilidad (Liability shift) significa que en caso de un fraude ocurrido envolviendo a una tarjeta o a un terminal con chip, la responsabilidad de dicho fraude será transferida a la parte (emisor o adquirente) que no haya actualizado su dispositivo (ya sea tarjeta o terminal) con la tecnología de chip. Smart Card Alliance América Latina y el Caribe © 2011 24 La Tabla 5 muestra las fechas del cambio de responsabilidad (liability shift) para las diferentes regiones. Tabla 5. Fechas de Cambio de Responsabilidad de Visa 3.4 3.5 Chip Transacción con Tarjeta Falsificada POS ATM Chip & PIN Tarjetas perdidas, robadas o no entregadas Actualmente AP – Asia Pacifico 1 2 2 Canada 2 Canadá ECMOA – Europa Central, Medio Oriente y África (CEMEA por sus siglas en inglés) Canada ECMOA ECMOA Europa Europa Europa ------ Brasil / México Efectivo en Abril 2011 Brasil / México Efectivo en Octubre 1, 2012 LAC – Latino América y el 3 Caribe Brasil / México ------ Efectivo en Abril 1, 2013 ------ Australia ------ Nueva Zelanda Efectivo en Octubre 1, 2014 3 3 -----LAC LAC Todas las transacciones excluyendo transacciones domésticas en China y Japón 2 Excluyendo transacciones domésticas en Canadá hasta Marzo 30, 2011. 3 Excluyendo transacciones domésticas fuera de Brasil y México 1 Smart Card Alliance América Latina y el Caribe © 2011 25 4 Consideraciones para la Emisión de Tarjetas EMV proporciona una variedad de opciones que permiten flexibilidad en la implementación; un emisor puede implementar solamente las opciones que mejor acomoden sus necesidades y las del mercado específico. Esta sección discute las implicaciones para el emisor, de seleccionar opciones particulares de implementación en cinco áreas principales: La interfaz de la tarjeta con chip, el método de verificación del cliente, el sistema de personalización, el sistema central (host) y el proceso de autorización de la transacción. 4.1 Interfaz de la Tarjeta Una de las primeras decisiones que un emisor debe realizar para una implementación de EMV es decidir cuál será la interfaz de tarjeta que utilizará: contacto, sin contacto y doble interfaz. Esta decisión deberá basarse en los objetivos individuales y el plan de negocio del emisor. La decisión de la interfaz a utilizar también ayudará a determinar la aplicación asociada de la bandera de pago que deberá personalizarse en la tarjeta para soportar tarjetas de contacto, sin contacto y de interfaz doble. Algunas consideraciones fundamentales en esta decisión son los clientes a los que se planea entregar las tarjetas y con qué productos. Las tarjetas y los lectores de contacto están ampliamente difundidos en los mercados de América Latina y en la mayoría de los mercados globales. Para habilitar a los clientes a utilizar sus tarjetas, el uso de una tarjeta EMV proporcionará aceptación global. Para pagos sin contacto (contactless), los emisores implementando EMV deberán soportar pagos sin contacto EMV. Las tarjetas de interfaz doble soportan tanto la interfaz de contacto como la sin contacto (contactless) permitiendo una aceptación todavía mayor, pero se incurre en un costo adicional al soportar las dos interfaces. 4.2 PIN fuera de línea (Offline) vs. PIN en línea (Online) Como se discutió en la sección anterior, el PIN fuera de línea (offline PIN) es distinto e independiente del PIN en línea (online PIN) y es utilizado en el POS. El PIN fuera de línea puede ser implementado de dos maneras: PIN fuera de línea en claro (Plain text offline PIN). El lector de chip envía el PIN al chip de la tarjeta en claro. PIN cifrado fuera de línea (Enciphered offline PIN). Ya sea el componente seguro en el dispositivo POS (por ejemplo el lector de chip) o el propio PIN pad cifra el PIN, utilizando una llave pública de encripción autenticada que pertenece al chip. El PIN cifrado es enviado al chip donde el PIN es descifrado utilizando la llave privada del chip. El PIN cifrado fuera de línea (Enciphered offline PIN) requiere soporte de llaves públicas (PKI) y que la tarjeta cuente con un procesador criptográfico. Estos elementos pueden agregar costo a la tarjeta y requerir un esquema de soporte adicional. Adicionalmente, el emisor necesita ser capaz de administrar el PIN fuera de línea (offline PIN) proporcionando servicios básicos como re-inicialización (reset) y desbloqueo del PIN. Este tipo de servicios requiere que el emisor cuente con la habilidad de soportar scripts EMV del emisor. Un emisor debe evaluar cómo estos scripts pueden ser entregados a la tarjeta, como por ejemplo mediante una visita a la infraestructura de soporte en persona en las sucursales o mediante la red de ATMs. Para conveniencia y facilidad de los clientes, se requiere que siempre se mantengan sincronizados el PIN fuera de línea (offline PIN) y el PIN en línea (online PIN) lo que puede requerir recursos y consideraciones adicionales. Smart Card Alliance América Latina y el Caribe © 2011 26 4.3 Sistema de Personalización En preparación para la emisión de tarjetas EMV, los emisores necesitan considerar las implicaciones de hardware, software y del proceso de emisión. La emisión de tarjetas EMV requiere software adicional y un modulo de seguridad por hardware (hardware security module - HSM) para la preparación de datos EMV y para la administración de las llaves en el centro de computo y hardware y software adicional debe ser agregado al equipo de personalización del centro de emisión. Las aplicaciones de preparación de datos y de administración de llaves EMV proporcionan la habilidad de configurar las etiquetas (tags) EMV y preparar tanto las etiquetas como las llaves EMV para cargarlas en el chip. Las etiquetas EMV son los parámetros de configuración de EMV que representan las decisiones de implementación del emisor y que son colocadas en el chip. Las llaves criptográficas son parte integral del proceso de seguridad y autenticación EMV, así como para asegurar las actualizaciones de scripts EMV una vez que la tarjeta ha sido emitida y se encuentra en las manos del cliente. Tanto la preparación de datos como la administración de llaves requiere de un módulo de seguridad por hardware (hardware security module - HSM) para generar, almacenar y procesar las llaves criptográficas durante el proceso de preparación de datos. Las aplicaciones pueden compartir el mismo HSM o utilizar HSMs separados. Las aplicaciones de preparación de datos y de administración de llaves EMV pueden instalarse en el centro de cómputo seguro del emisor, o los emisores pueden contratar a un buró de personalización para realizar esta función que ya las tenga instaladas y que haya sido auditado por las diferentes banderas de pago que soporta. El equipo central de personalización también debe incorporar el soporte para la personalización del chip. Si el emisor o el buró de personalización no han agregado todavía el soporte para la personalización del chip, necesitarán comprar una actualización con un módulo de chip para su equipo existente de personalización o puede ser necesaria la compra de un nuevo equipo de personalización central con capacidad de chip. El modulo de personalización de chip puede comprarse con soporte tanto para contacto y para sin contacto (contactless), y en algunos casos el mismo módulo puede soportar la personalización de chips de contacto y sin contacto. El proveedor del equipo de personalización puede recomendar el mejor modulo de personalización de chip basado en los objetivos del emisor. También se requiere un HSM y un software especial de personalización EMV que se comunique con el equipo de personalización para soportar la personalización del chip. Los HSMs se utilizan para almacenar las llaves criptográficas, derivar las llaves durante la personalización, y asegurar las líneas de comunicación durante la personalización. 4.4 Sistema Central - Host (Early o Partial Grade) Para que los emisores (o procesadores) soporten con tarjetas chip, pueden procesar los datos completos de chip o utilizar el servicio de procesamiento de datos desde una marca de pago. El servicio se llama comúnmente "early chip data option." Este servicio está disponible para el procesamiento de datos sin contacto y con contacto. La opción "early chip data option" proporciona a un emisor la flexibilidad necesaria para procesar tarjetas chip inicialmente al hacer los cambios necesarios para apoyar campo 55 y campo 23 para migración de datos completos de chip. Durante el procesamiento se verifica el criptograma de solicitud de autorización y, si es necesario, genera un criptograma de respuesta de autorización para enviar de vuelta al chip. Para validar el criptograma, el emisor o procesador debe tener la clave simétrica utilizada por la tarjeta. Los datos del chip, a continuación, se utilizan para calcular el valor de criptograma y compararlo con el valor calculado por la tarjeta. Este proceso, conocido como validación del método de autenticación de tarjeta (CAM), es un poderoso disuasivo para la creación de tarjetas falsas. La opción "early chip data option" requiere que el emisor o procesador haga pocos o ningún cambio en el sistema de host, para así reducir los gastos de implementación inicial y potencialmente acelerar la implementación. Los inconvenientes de esta opción son que el emisor tiene una visibilidad reducida en el momento de la transacción (por ejemplo, el emisor no obtendrá los datos completos del chip en el Smart Card Alliance América Latina y el Caribe © 2011 27 campo 55; sin embargo, se proporcionan los resultados de validación del criptograma) y limitada flexibilidad para realizar cambios en el chip como desbloquear y cambiar un PIN fuera de línea a través de scripts de comandos de emisor. La opción de datos completos de chip (full chip data option) requiere cambios en el sistema de host para procesar datos de transacciones de chip. Los beneficios de este enfoque incluyen una mayor visibilidad del emisor en el momento de la transacción y flexibilidad inmediata al ser capaz de bloquear las aplicaciones. Sin embargo, este enfoque implica que el emisor incurrirá en el costo asociado con cambios en el sistema host. Es importante decir que la aplicación early o partial grade es opcional sólo para los emisores; todos los adquirientes deben ser capaces de enviar todos los datos EMV (Full EMV). 4.5 Proceso de Autorización de la Transacción En un entorno de tarjeta de banda magnética, el proceso de autorización de transacciones se basa en datos estáticos para autenticar las transacciones y las redes en línea para autorizar transacciones basadas en parámetros de riesgo. Hoy día, un cliente desliza la tarjeta de banda magnética en un terminal en un comercio, se capturan los datos de la pista 1 o 2 y la transacción se envía a un adquirente, siendo ruteada a la red o marca del pago correspondiente y finalmente se envía a un emisor para autenticación y autorización. El emisor valida los datos de la pista y determina la autenticidad de la tarjeta basada en el elemento de datos CVV / CVC / CID estático dentro de la pista. Una vez que se autentica la tarjeta, el emisor aplica sus parámetros de riesgo y utiliza redes neurales de fraude y el resultado del PIN en línea (si procede) para determinar la respuesta a la solicitud de autorización. Este proceso es facilitado de una manera efectiva y poco costosa a través de la infraestructura de telecomunicaciones, que permite el envío de casi todas las transacciones de los comerciantes a los emisores en línea. Durante mucho tiempo, los emisores de América Latina han sido capaces de aprovechar este modelo de procesamiento de transacciones para administrar efectivamente el fraude. Pero el entorno dinámico de fraude y la escala de los recientes compromisos de datos hacen que la migración a EMV sea una solución atractiva a largo plazo. El proceso de autorización de transacciones EMV se basa en datos dinámicos para autenticar las transacciones, y ciertos parámetros de riesgo pueden ser gestionados por el emisor de la tarjeta. En un escenario EMV, un portador de la tarjeta inserta una tarjeta EMV en el lector y el terminal POS del comercio identifica qué aplicación de marca de pago está en la tarjeta para que el terminal utilice los protocolos de aplicación de la marca de pago correspondiente. Una vez que la aplicación ha sido seleccionada, la tarjeta y el terminal entran en un diálogo para identificar el proceso de gestión de riesgo y determinar si la transacción debe realizarse en línea o fuera de línea. Un emisor puede utilizar el perfil de tarjeta para definir si y cuándo debe ir una transacción en línea o fuera de línea. Si el procesamiento de transacciones fuera de línea es implementado por un emisor, una variedad de características fuera de línea, deben considerarse, tales como controles de autorización de datos fuera de línea y autenticación de datos fuera de línea, CVMs en línea o fuera de línea. Si el procesamiento de transacciones en línea es implementado por un emisor, la tarjeta admite la autenticación en línea de tarjetas y el uso de métodos de verificación del titular de la tarjeta en línea o fuera de línea. Para la autenticación de la tarjeta en línea, el chip genera el criptograma EMV llamado el criptograma de solicitud de autorización (ARQC). Los datos equivalentes de la pista 2, el ARQC y potencialmente el CVM de PIN cifrado en línea o los resultados de la comparación del PIN fuera de línea son enviados en el mensaje de autorización. El emisor verifica la validez del mensaje de autorización y la autenticidad de la tarjeta en base al ARQC. El emisor también puede utilizar los resultados de la gestión de riesgo en línea y fuera de línea para determinar la respuesta de autorización. Smart Card Alliance América Latina y el Caribe © 2011 28 4.6 Resumen La Tabla 6 resume las consideraciones para los Emisores. Tabla 6. Consideraciones del Emisor Opción 1. Interfaz de la tarjeta Consideración a) Contacto Las tarjetas y lectores de contacto se encuentran ampliamente difundidos en América Latina b) Sin contacto (Contactless) Lectores y tarjetas sin contacto no son implementados a nivel mundial, pero algunos emisores de Estados Unidos y Canadá han adoptado la tecnología y la emisión Europea se espera que aumente. Los emisores tendrán que apoyar EMV sin contacto. En este momento, no se aceptarán las tarjetas sin contacto MSD en los mercados EMV sin contacto. 2. Autenticación de la tarjeta c) Interfaz dual El soporte de las dos interfaces genera costos adicionales a) En línea (Online) Los Emisores deben elegir si desean validar los datos de la tarjeta por cuenta propia o permitir que marcas de tarjeta la validen en su nombre. b) Fuera de línea (offline) Los emisores deben elegir si desean permitir que la tarjeta autentique los datos de chip. SDA o DDA puede ser utilizado por el emisor. El soporte de la infraestructura de clave pública incurre en gastos adicionales. 3. Autorización de la transacción a) En línea (Online) Los emisores deben elegir si desean recibir “full chip data” o “early chip data”. b) Fuera de línea (offline) Los emisores pueden aplicar diversos parámetros de riesgo para permitir que el chip EMV autorice transacciones fuera de línea en su nombre. Los parámetros de riesgo pueden incluir la comprobación de límites de cantidad de transacciones y el número de transacciones fuera de línea consecutivas antes de requerir realizar una autorización en línea. La autorización fuera de línea también afecta a las transacciones menores. Los emisores tendrán que modificar su compensación y liquidación para recibir los datos adicionales de chip (generalmente en el mismo formato del campo 55 en la solicitud de autorización). Los sistemas de compensación y liquidación deben modificarse para permitir la fácil identificación de las transacciones fuera de línea así como de las transacciones en línea. 4. Verificación del cliente a) Firma La firma se incluye en la lista de CVM del chip a menos que las marcas de pago lo indiquen de otra manera. b) PIN en línea Los emisores pueden incluir PIN en línea en la lista de CVM. La infraestructura de PIN en línea tendrá que ser soportada por el emisor. Los cajeros automáticos sólo admiten PIN en línea. Smart Card Alliance América Latina y el Caribe © 2011 29 Contacto Opción Consideración c) PIN fuera de línea d) No CVM Smart Card Alliance América Latina y el Caribe © 2011 30 Los emisores pueden incluir PIN fuera de línea en la lista de CVM. La infraestructura de PIN fuera de línea deberá ser apoyada por el emisor para la gestión del PIN. Los emisores deben ser conscientes de que el PIN sin conexión puede ser diferente del PIN en línea; por lo tanto, la administración de PIN es fundamental para evitar la confusión de los titulares de tarjetas. Es necesario que el PIN fuera de línea y el PIN en línea se mantengan sincronizados para evitar la confusión de los titulares de tarjetas. Los emisores tendrán que soportar el campo 55 para el procesamiento de “Full EMV” de chip para realizar los scripts necesarios para desbloquear y cambiar el PIN fuera de línea del emisor. El apoyo a la infraestructura fuera de línea de PIN incurre en gastos adicionales. Se incluye la opción de “No CVM” en la lista de CVM a menos que sea especificado de otra forma por las banderas de pago. 5 Consideraciones de Pago para los Adquirentes y Procesadores Las plataformas actuales de banda magnética operan tanto en ambientes de doble mensaje como en ambientes de mensaje único (single message). Un POS en un comercio o un sistema de transacciones de tarjeta no presente del comercio transmite los mensajes de transacciones para la autorización o aprobación para el procesador adquirente o, en algunos casos, directamente a la red de la marca de pago. Estos mensajes incluyen, pero no se limitan a, información de la pista de la banda magnética de los titulares de tarjetas, el PIN para transacciones de débito con PIN cuando se desliza la tarjeta en el terminal, el número de cuenta (primary account number - PAN) y la fecha de caducidad si la información de la tarjeta es digitada manualmente (las transacciones de débito con PIN sólo pueden ser deslizadas en el terminal). Datos adicionales se pueden presentar con el mensaje de transacción para las transacciones de tarjeta no presente para ayudar a los comerciantes en la prevención del fraude (por ejemplo, CVV2 / CVC2 o el servicio AVS con los datos de verificación de la dirección (address verification service - AVS). Los mensajes se basan en sistemas de mensaje propietario y la norma ISO/IEC 8583. Los datos de la banda magnética no deben almacenarse después de la autorización. En el proceso de doble mensaje, sólo el PAN y la fecha de vencimiento son retenidos por el procesador del comercio para crear el registro de liquidación. Los datos de respuesta de la autorización indican la presencia de datos de banda magnética en el POS. El PIN no se mantiene nunca y siempre debe estar cifrado usando cifrado Triple DES. Las siguientes secciones describen los cambios en esta infraestructura de adquirencia y procesamiento que se requieren para admitir MSD sin contacto, sin contacto EMV y transacciones de contacto EMV. Para una transacción sin contacto de MSD, el mensaje enviado del sistema de host o del dispositivo POS del comercio a la red de la bandera de pago es similar al mensaje enviado cuando se inicia la transacción al pasar la tarjeta. Las diferencias son: Los valores enviados en el campo de modo de entrada del POS (POS Entry Mode) y en el campo de capacidad del Terminal (Terminal Capability). Estos campos contienen valores que identifican el método de entrada en el POS utilizado para capturar los datos de los titulares de tarjetas y si la terminal es capaz de leer un chip o no. El valor / código dinámico de verificación de la tarjeta (dCVV / CVC3), que se transmite en el mensaje en el mismo campo que fue utilizado para el valor de verificación de la tarjeta original y el contador de transacción de aplicación (application transaction counter - ATC), que se pasa en el área reservada en la pista de la banda magnética para los datos discrecionales del emisor. El chip sin contacto proporciona los datos equivalentes de banda magnética a la terminal POS a través de la interfaz de RF. Los proveedores de software y los proveedores de terminales deberán certificar que trasmiten los campos correspondientes para procesar las transacciones sin contacto. Los procesadores deben certificar que trasmiten los campos correspondientes a las redes de las marcas de pago. 5.1 Pagos sin contacto EMV (Contactless EMV) En una transacción sin contacto de EMV, presentando la tarjeta sin contacto con el dispositivo POS se envían los datos de chip de la tarjeta en el dispositivo POS. El procesador debe ser capaz de recibir todos los tipos posibles de datos de chip desde el dispositivo POS y colocar los datos en las etiquetas del campo 55 apropiadas y en las etiquetas específicas utilizadas por cada una de las marcas de pago. Además, los procesadores necesitarán soportar los nuevos campos y valores para identificar el método de entrada de POS (POS entry method) y el número de secuencia de la tarjeta (campo 23) cuando sea obtenido del chip. Los proveedores de software y los proveedores de terminales deberán certificar que Smart Card Alliance América Latina y el Caribe © 2011 31 trasmiten los campos adecuados para transacciones de EMV sin contacto para los procesadores. Los procesadores deben certificar que trasmiten los campos correspondientes a las redes de las marcas de pago. Los procesadores deben actualizar sus sistemas para almacenar los datos correspondientes del campo 55. Los sistemas de liquidación deben ser actualizados para apoyar los datos necesarios de los campos 55 y 23 en los registros de compensación para su presentación a las redes de las marcas de pago, para garantizar la calificación del intercambio adecuado y apoyar nuevas categorías de intercambio. 5.2 Transacciones de Contacto EMV con Firma o con PIN Los cambios requeridos por las transacciones de EMV sin contacto son también requeridos por las transacciones de contacto EMV, con la excepción de que sólo se recuperan los datos del chip por el lector de chip insertando la tarjeta. Cuando la transacción requiere un PIN, el PIN es validado utilizando ya sea el PIN fuera de línea en claro (offline plain text PIN) enviando el PIN sin cifrar a la tarjeta, el PIN fuera de línea cifrado (online enciphered PIN) cifrando el PIN introducido antes de enviarlo a la tarjeta, o utilizando el PIN en línea cifrado (online enciphered PIN) cifrando el PIN introducido antes de enviarlo en línea para el emisor de la tarjeta. Para el uso del PIN cifrado en línea, el procesador debe ser capaz de recibir el PIN encriptado y pasar este PIN cifrado a la red de las marcas de pago. 5.3 Resumen Para todo el procesamiento de EMV, los procesadores deben poder recibir los datos del criptograma de respuesta de la aplicación (application response cryptogram) y los datos de los scripts EMV en los mensajes de respuesta de las redes de la marca de pago y pasar estos datos al dispositivo POS del comercio. Todos los dispositivos y software deben estar certificados por EMVCo y las marcas de pago antes de que se puedan utilizar para procesar las transacciones EMV. Los adquirientes de pago deben decidir qué lectores, dispositivos y aplicaciones de software certificar e implementar, en base a las necesidades de sus comercios. Los procesadores deberán determinar las capacidades de soporte de sistema operativo y certificar con las marcas de pago. Los procesadores con múltiples plataformas tendrán que determinar las capacidades de cada sistema; el apoyo podrá limitarse a una sola plataforma. Es importante señalar que muchos adquirentes y procesadores ya han puesto en marcha la infraestructura EMV para ayudar a sus clientes de otros países. La Tabla 7 resume las consideraciones de pago para los adquirentes y procesadores. Tabla 7. Consideraciones de pago para los adquirentes y procesadores Opción 1. Interfaz de la tarjeta 2. Autenticación de la tarjeta Consideración a) Contacto No soporta pagos sin contacto con móviles NFC. Puede requerir un PIN pad. b) Sin contacto (Contactless) Limitado número de implementaciones sin contacto en los mercados de América Latina. c) Interfaz dual Limitado número de implementaciones sin contacto en los mercados de América Latina. a) En línea (Online) Se deben soportar los campos opcionales si se reciben del emisor. b) Fuera de Cualquier indicador de datos en el campo 55 que proporciona Smart Card Alliance América Latina y el Caribe © 2011 32 Opción Consideración información acerca de la autenticación contribuirá al éxito de la autenticación. línea (offline) 3. Autorización de la transacción a) En línea (Online) La infraestructura puede necesitar soportar campo 55. b) Fuera de línea (offline) La mayoría de los tipos de transacción requiere que la autorización sea obtenida en línea. Las autorizaciones fuera de línea afectan las transacciones (calificación de intercambio y reglas operativas). 4. Verificación del cliente a) Firma Las transacciones en o por debajo de un importe determinado según el tipo de comercio no requieren que el comercio obtenga y valide la firma en el POS. b) PIN en línea Si se requiere el uso del PIN en línea para las transacciones, entonces se deben realizar los cambios necesarios en el procesamiento para soportar el PIN en línea. Se requiere el uso de un PIN pad. c) PIN fuera de línea d) No CVM Smart Card Alliance América Latina y el Caribe © 2011 33 Los procesadores deben soportar el campo 55 para identificar el resultado de la validación del PIN fuera de línea. Puede requerir un PIN pad para soportar el PIN encriptado fuera de línea. El PIN en claro fuera de línea puede soportarse desde el teclado del terminal. Los terminales deben configurarse para no solicitar un PIN o firma si el chip no requiere la verificación del cliente. 6 Consideraciones del sistema de Terminales POS y del Sistema de POS del Comercio Las capacidades de los terminales POS desempeñan un papel fundamental en el éxito de las innovaciones de cualquier pago. Los emisores pueden distribuir tarjetas y otros dispositivos de pago con nuevas funciones (como una sofisticada herramienta de prevención del fraude, para brindar comodidad al cliente, o para usar con funciones de mercadeo), pero las tarjetas están condenadas al fracaso si los terminales POS de los comercios no pueden apoyar dichas innovaciones. Incluso la adopción de la tecnología de banda magnética tomó años, principalmente debido a la cantidad de tiempo que tomaba para que los terminales POS apropiados fueran implementados. En la época actual de innovación tecnológica rápida, las capacidades de los terminales tienen mayor influencia sobre el éxito de las innovaciones de pago. La propia industria de terminales está atravesando una revolución que exige una mayor flexibilidad y la capacidad de adaptarse rápidamente a un conjunto amplio de posibilidades. Así, al igual que los comercios necesitan un plan para planificar y desarrollar los requerimientos de los POS para sus tiendas, los proveedores de terminales necesitan también un plan de desarrollo de productos para continuar siendo relevantes y competitivos. En el pasado, los terminales POS en América Latina se dedicaron a apoyar la tecnología de banda magnética y, en los últimos años, al chip de contacto EMV. Sin embargo, en un futuro cercano en América Latina, los terminales también comenzarán a soportar EMV sin contacto, EMV con contacto y aplicaciones NFC. Teniendo en cuenta todas estas posibilidades, es importante considerar los siguientes parámetros: Soporte de Hardware Soporte de Software Certificación de EMV y de las banderas de pago Soporte de la mensajería transaccional Capacidad de actualización del software del terminal y planes 6.1 Soporte de Hardware Para soportar las tarjetas EMV, un terminal necesita un dispositivo de interfaz (card interface device CID) para leer la tarjeta de contacto EMV y un lector sin contacto que soporta el estándar ISO/IEC 14443. Todos los pagos sin contacto MSD, sin contacto EMV y móviles NFC utilizan ISO/IEC 14443. Sin embargo, todos los terminales con un lector sin contacto que es compatible con ISO/IEC 14443 no necesariamente pueden aceptar todos estos tipos de pagos. Los terminales también deben incluir software o firmware que sea compatible con las aplicaciones sin contacto, utilizadas por una marca en particular o un dispositivo de NFC. Esta es una consideración importante al evaluar terminales y requiere una comprensión de los requisitos de software y de certificación de los terminales. 6.2 Soporte de Software El software de terminal POS es más complejo que el hardware, porque varía entre marcas de pago. La Tabla 6 ofrece una vista simplificada de los componentes de software de un terminal POS . Lógica de contacto EMV de la marca Lógica sin contacto EMV de la marca Kernel EMV Lógica sin contacto MSD de la marca Lógica de banda magnética Tabla 6. Vista simplificada de los componentes de software de un terminal POS Smart Card Alliance América Latina y el Caribe © 2011 34 El kernel EMV proporciona la lógica básica de la terminal de pago EMV. La lógica EMV de contacto de la marca y La lógica EMV sin contacto de la marca aprovechan el kernel EMV, y también incorporan opciones de procesamiento de EMV específicos de la marca. EMV proporciona múltiples opciones de implementación para las marcas de pago como American Express, Discover, JCB, MasterCard y Visa. Cada marca de pago ha implementado estándares EMV diferentes y un terminal requiere lógica de software específico para cada aplicación. Porque EMV admite flexibilidad de aplicación, los proveedores de aplicaciones de POS deben tener sus aplicaciones certificadas por cada marca de pago antes de que las aplicaciones sean aprobadas para su uso en el mercado. En consecuencia, es importante comprender qué aprobaciones de certificación de marca de pago han recibido las aplicaciones de terminales. La certificación de aplicaciones de terminal puede ser un proceso largo. Muchos proveedores de terminales ofrecen terminales que han sido certificados como mínimo por MasterCard y Visa. La lógica MSD sin contacto no es una implementación de EMV pero fue diseñada para aprovechar la infraestructura actual y mensajería de la banda magnética. Por eso los lectores sin contacto pueden adjuntarse a un terminal de banda magnética POS sin necesidad de lógica EMV o certificaciones; el procesador adquirente aún debe hacer una autoevaluación, ejecutando siempre scripts de prueba de la marca de pago para validar la aplicación. La Tabla 7 ilustra las relaciones entre la lógica de las aplicaciones y cada tipo de chip de pago. Contactless EMV Visa EMV MC EMV Discover EMV Amex EMV Contacto EMV Visa EMV MC EMV Discover EMV Amex EMV Kernel EMV U.S. Contactless Visa MasterCard Discover Amex Lógica de banda magnética Tabla 7. Vista detallada de los componentes de software de Terminal POS El terminal POS no requiere de una lógica específica para pagos sin contacto con teléfonos móviles NFC mientras que la aplicación de pago NFC en el móvil emule EMV sin contacto para alguna de las marcas de pago o una transacción de MSD. Para evitar la imposición de nuevos requisitos de terminales estrictamente para NFC, las aplicaciones NFC están aprovechando la infraestructura sin contacto definida para EMV sin contacto o sin contacto MSD. 6.3 EMV y la Certificación de las Marcas Los terminales de contacto EMV y los terminales sin contacto EMV requieren varias certificaciones. La primera certificación es la certificación EMV. Para lograr esta certificación, los terminales deben presentarse para pruebas de laboratorio para comprobar que todas las funciones del kernel EMV funcionan correctamente. La certificación EMV significa que el terminal cumple con los requisitos de la especificación básica EMV. Después de recibir la Certificación EMV, un terminal debe ser verificado para asegurar que cumple con los requisitos de marca. Los adquirentes suelen hacen una autoevaluación, ejecutar scripts de prueba que son proporcionados por Visa Inc. y MasterCard Worldwide. Los dispositivos sin contacto tienen que ser certificado por EMVCo nivel 1 y 2. El terminal debe pasar un conjunto específico y único de las pruebas definidas por la red de la marca de pago. Al considerar el despliegue de terminales compatibles con EMV, es importante estar seguro que los terminales están certificados por cada una de las marcas. Existen requisitos de certificación del terminal que se aplican a contacto y sin contacto EMV. Es fundamental que los adquirentes se aseguren de que las terminales adquiridas cuentan con certificaciones actuales para todas las capacidades que necesitan ser apoyadas y que soporten a cada una de las marcas de pago que aceptan. Smart Card Alliance América Latina y el Caribe © 2011 35 Configuración del POS No todos los terminales de una determinada marca tienen el mismo soporte de software y certificaciones EMV y de las marcas de pago; son posibles múltiples configuraciones de terminales Los terminales independientes (standalone) no están conectados a cualquier otro sistema de caja registradora. Una terminal independiente puede soportar EMV mientras el adquirente o la organización de venta independiente (independent sales organization - ISO) soporten la mensajería EMV. Los propios vendedores de terminales pueden escribir la aplicación para el terminal EMV que soporte una marca de pago en particular. Sistemas de POS integrados Los grandes minoristas a menudo tienen sus propios sistemas de software específicos para las cajas registradoras con toda o partes de la lógica de procesamiento de tarjetas de crédito y débito. Para soportar EMV de contacto, EMV sin contacto MSD o móviles NFC sin contacto, estos sistemas tendrán que incorporar la lógica adicional para aprovechar la lógica en un terminal de marca certificada que le acompañe. Terminales de proveedores de servicios de valor añadido Estos terminales están provistos de software específico desarrollado como parte de una oferta de servicios de terminal del ISO, del adquirente o del distribuidor. 6.4 Soporte de la Mensajería de la Transacción La Figura 8 muestra el recorrido de la comunicación entre el terminal POS y el sistema host del emisor. El formato de mensaje estándar EMV para la comunicación entre el sistema del host de procesamiento emisor y el adquirente es definido por el campo 55 (ver sección 2.2) y el estándar ISO/IEC 8583. La comunicación entre el terminal y el adquirente no está estandarizada. Figura 8. Comunicación entre el Host, el Adquirente y el Terminal Para apoyar la especificación de la mensajería Full EMV, lo que significa apoyar todos los elementos de datos EMV del campo 55 y el campo 23, ambos segmentos a y b tendrían que ser modificados. Cambiar la mensajería en el segmento b requiere cambios en la lógica de la aplicación del terminal y el sistema de host adquirente. La encripción de punto a punto (End-to-end encryption) y el estándar Payment Card Industry Data Security Standard (PCI DSS) son dos otras iniciativas que están implementando los comerciantes, que también afectan a los procesos y a la infraestructura de la transacción de pago. La aplicación de cada iniciativa de manera aislada sugiere desarrollo separado y los esfuerzos de implementación de la aplicación en el terminal POS. Se recomienda a las entidades que están iniciando el desarrollo en estas áreas que implementen los cambios de mensajes para soportar Full EMV, a pesar de que los campos no puedan utilizarse inmediatamente. 6.5 Capacidad de actualización de los terminales Los comercios deberían asegurarse de que sus terminales y adquirentes soporten la administración remota de terminales así como la actualización de la aplicación. El estado de las implementaciones de chip de contacto y sin contacto en América Latina se encuentra todavía en proceso. Por esta razón, un número creciente de adquirentes están ofreciendo y los minoristas están instalando, terminales que incluyen el hardware para procesar EMV de contacto o sin Smart Card Alliance América Latina y el Caribe © 2011 36 contacto pero no incluyen las aplicaciones de EMV. Estos terminales están diseñados para facilitar las actualizaciones y descargas de aplicaciones remotas y han recibido certificaciones de las marcas para aplicaciones de EMV que pueden ser descargadas en el futuro. Si el adquirente planea comprar una actualización que sea compatible con EMV, el adquirente debe asegurar al comercio que la actualización ha sido certificada por las marcas de pago para el modelo de terminal específico del comerciante. Al evaluar opciones de implementación de terminales POS, las actualizaciones de terminales proporcionan un enfoque potencialmente rentable para administrar las incertidumbres del mercado. Sin embargo, al evaluar este enfoque, es importante considerar los costos de actualización de software y estrategias de implementación del adquirente. 6.6 Resumen La hoja de ruta de las terminales se complementa con estrategias de apoyo comercial para cada comprador e ISO en el mercado. Adquirientes e ISOs evalúan la demanda de características y funciones exigidas por sus clientes y que se requieren para implementar la lógica de la aplicación de EMV junto con los cambios a la mensajería descritos para apoyar EMV. Además, estas organizaciones son responsables de la venta de terminales que pueden satisfacer las necesidades de los comercios para los próximos 3 a 5 años. Una gran parte de su inversión se encuentra en la certificación y en el desarrollo de aplicaciones EMV a nivel de las marcas. Sin embargo, son terminales disponibles que tienen las certificaciones necesarias, y algunos compradores líderes en América Latina están instalando terminales con el hardware para soportar chip de contacto y sin contacto para transacciones EMV. En algunos casos, estos compradores están activando el soporte para chip de contacto EMV y sin contacto EMV; en otros casos, están dispuestos a descargar las actualizaciones EMV según sea necesario. La Tabla 8 resume las consideraciones para los terminales POS y los sistemas adquirentes. Tabla 8. Consideraciones para los terminales POS y los sistemas. Opción 1. Interfaz de la tarjeta Consideraciones a) Contacto b) Sin contacto (Contactless) c) Interfaz dual Smart Card Alliance América Latina y el Caribe © 2011 37 El terminal debe tener un lector de chip de contacto y ser cargado con software de aplicación que admite transacciones EMV para cada una de las marcas de pago. El terminal debe ser certificado por EMVCo y cumplir con todos los requisitos de las marcas de pago para las que se aceptarán tarjetas EMV; la empresa adquirente normalmente asume la responsabilidad de obtener las certificaciones. El terminal debe tener un lector sin contacto y cargarse con una aplicación que puede soportar transacciones sin contacto MSD, transacciones sin contacto EMV o ambos. El terminal debe ser certificado por EMVCo y por cada marca de pago para las que se aceptarán tarjetas EMV; la empresa adquirente normalmente asume la responsabilidad de obtener las certificaciones. El terminal debe tener un lector de chip de contacto y ser cargado con software de aplicación que admite transacciones EMV para cada una de las marcas de pago. El terminal debe ser certificado por EMVCo y por cada marca de pago para las que se aceptarán tarjetas EMV; la empresa adquirente normalmente asume la responsabilidad de obtener las certificaciones. El terminal debe tener un lector sin contacto y cargarse con una aplicación que puede soportar transacciones sin contacto MSD, transacciones sin contacto EMV o ambos. Opción 2. Autenticación de la tarjeta Consideraciones a) En línea (Online) b) Fuera de línea (offline) 3. Autorización de la transacción a) En línea (Online) b) Fuera de línea (offline) Smart Card Alliance América Latina y el Caribe © 2011 38 La aplicación del terminal debe estar certificada por EMVCo y por cada marca de pago para asegurar que sigue el proceso de transacción específica definido por cada esquema de pago; la empresa adquirente normalmente asume la responsabilidad de obtener las certificaciones. La certificación de las marcas de pago podrá realizarse ejecutando scripts de prueba. Un proceso de certificación cubre tanto transacciones en línea como fuera de línea. La empresa adquirente normalmente también debe obtener una certificación de los mensajes que viajan por las redes de las marcas de pago. Los terminales deberían estar listos para soportar SDA, DDA, CDA y criptograma de autenticación en línea. La aplicación del terminal debe estar certificada por EMVCo y por cada marca de pago para asegurar que sigue el proceso de transacción específica definido por cada esquema de pago; la empresa adquirente normalmente asume la responsabilidad de obtener las certificaciones. La certificación de las marcas de pago podrá realizarse ejecutando scripts de prueba. Un proceso de certificación cubre tanto transacciones en línea como fuera de línea. La empresa adquirente normalmente también debe obtener una certificación de los mensajes que viajan por las redes de las marcas de pago. Los terminales deberían estar listos para soportar SDA, DDA, CDA y criptograma de autenticación en línea. Los sistemas y terminales POS deben soportar el uso del campo 55 para autorización y compensación. La aplicación del terminal debe estar certificada por EMVCo y por cada marca de pago para asegurar que sigue el proceso de transacción específica definido por cada marca de pago; la empresa adquirente normalmente asume la responsabilidad de obtener las certificaciones. La certificación de las marcas de pago podrá realizarse ejecutando scripts de prueba. Un proceso de certificación cubre tanto transacciones en línea como fuera de línea. La empresa adquirente normalmente también debe obtener una certificación de los mensajes que viajan por las redes de las marcas de pago. Los sistemas y terminales POS deben soportar el uso del campo 55 para autorización y compensación. La aplicación del terminal debe estar certificada por EMVCo y por cada marca de pago para asegurar que sigue el proceso de transacción específica definido por cada marca de pago; la empresa adquirente normalmente asume la responsabilidad de obtener las certificaciones. La certificación de las marcas de pago podrá realizarse ejecutando scripts de prueba. Un proceso de certificación cubre tanto transacciones en línea como fuera de línea. La empresa adquirente normalmente también debe obtener una certificación de los mensajes que viajan por las redes de las marcas de pago. Opción 4. Verificación del cliente Consideraciones a) Firma No se requieren cambios. b) PIN en línea El terminal debe soportar la introducción del PIN o debe tener conectado un PIN pad. c) PIN fuera de línea El terminal debe soportar la introducción del PIN o debe tener conectado un PIN pad con un lector de chip. d) No CVM No se requieren cambios. El terminal debe de ser capaz der soportar la opción de "no CVM" de acuerdo con las reglas de las marcas de pago. Smart Card Alliance América Latina y el Caribe © 2011 39 7 Consideraciones para Cajeros Automáticos (ATMs) Los cajeros automáticos (ATMs) han sido sinónimos de rápido y cómodo acceso al dinero en efectivo. La simplicidad y la ubicuidad de estos dispositivos también los hace un objetivo primordial para los defraudadores. Porque una de las características clave de la tarjeta EMV es la inclusión de un chip de seguridad, el soporte de las tarjetas EMV en cajeros automáticos requeriría de un cambio generalizado. Sin embargo, hay razones convincentes para que la industria de servicios financieros adopte el uso de tarjetas EMV en cajeros automáticos. Como resultado del esfuerzo en los países que implementaron EMV, el fraude en cajeros automáticos (tales como el fraude por clonación en cajero automático - ATM skimming) está migrando desde países que ya implementaron EMV hacia aquellas áreas que aún no han activado la funcionalidad de EMV. El uso de tarjetas con PIN y chip EMV ayudaron a reducir el fraude en cajeros automáticos en un 36 por ciento en Europa en 2009 en comparación con 2008, de acuerdo con 19 el Consejo Europeo de Pagos (European Payment Council) . Los propietarios de cajeros automáticos (ATMs), los bancos y los ISOs, junto con sus proveedores, querrán revisar cuidadosamente los equipos que tienen implementados. Porque los cajeros automáticos típicamente son actualizados o remplazados en ciclos de 7, por lo que una parte significativa de la base instalada tendrá que ser visitada durante una transición a EMV. Debido a que la verificación del PIN es obligatoria para los cajeros automáticos, la aplicación tendrá menos variaciones. Mientras el soporte para tarjetas insertadas completamente ha sido el enfoque típico de conversión inicial de ATMs EMV, nuevas opciones sin contacto están disponibles. Por tanto al momento de examinar los cajeros automáticos, deberán examinarse las siguientes capacidades: Capacidades de Hardware Capacidades de Software EMV Certificaciones de las marcas Capacidad de actualización del software del Terminal y planes 7.1 Hardware del Cajero Automático (ATM) El hardware requerido en el ATM incluye varios componentes. Un cajero automático necesita un CID de contacto EMV para leer las tarjetas de contacto EMV. Un lector de chip aprobado es esencial. Algunos cajeros automáticos pueden haber sido vendidos como EMV listos; Sin embargo, es esencial asegurarse que el dispositivo instalado ha sido certificado y que la última versión de la especificación está instalada o puede actualizarse. Además, un cajero automático deberá equiparse con un PIN pad de encripción aprobado. Este requerimiento ya se incluía desde la actualización obligatoria de Triple DES que tuvo lugar en América Latina hace unos años. 7.2 Software del Cajero Automático (ATM) El software del ATM incluye el software necesario para activar todas las funciones de hardware necesarias. Además, se necesita del firmware o software específico para habilitar las aplicaciones específicas sin contacto apoyadas por las tarjetas o dispositivos NFC usados en el cajero automático. Esta es una consideración importante al evaluar los terminales, y es útil para comprender los requisitos de software y de certificación de los terminales. Los cajeros automáticos deben tener un kernel EMV aprobado y certificado y deben apoyar todas las extensiones requeridas para el protocolo de mensajería. 19 Reporte del Consejo Europeo de Pagos (European Payments Council Report), Abril 2010, http://www.europeanpaymentscouncil.eu/article.cfm?articles_uuid=3EBDA5B6-CB2E-179D-211BE1EBB4A0CE0C Smart Card Alliance América Latina y el Caribe © 2011 40 7.3 Certificaciones Las terminales de contacto y sin contacto EMV requieren de múltiples certificaciones (Figura 9. ): EMVCo Nivel 1: Certificación de la funcionalidad de la interfaz entre tarjeta y lector EMVCo Nivel 2: Certificación de la funcionalidad de la aplicación de software del terminal Certificación de las marcas de pago Figura 9. Requerimientos de Certificación de Cajeros Automáticos (ATMs) Para lograr las certificaciones de nivel 1 y 2, los terminales deberán someterse a pruebas de laboratorio para verificar el cumplimiento de las características electromecánicas, interfaz lógica y requisitos del Protocolo de transmisión (nivel 1) y los requerimientos de aplicaciones de débito y crédito (nivel 2) definidos en las especificaciones EMV. La certificación EMV garantiza que el terminal cumple con los requisitos de la especificación básica EMV. EMVCo proporciona sólo certificaciones de nivel 1 y 2. Porque EMV admite tantas opciones de implementación, se pueden necesitar varias implementaciones de EMV en un mismo terminal. Cada marca de pago puede aplicar las normas de EMV en una forma ligeramente diferente, y cada marca requiere de programación específica en el terminal para la aplicación de esa marca. Los terminales de ATM, por tanto, deben pasar un conjunto de pruebas definidas por cada marca de pago para recibir la certificación a nivel de marca. También hay requisitos de certificación para terminales de contacto EMV. En consecuencia, es importante entender cuáles certificaciones ha recibido un cajero automático y de qué marca de pago. La certificación de las aplicaciones del terminal puede ser un proceso largo para el proveedor de la aplicación del terminal. Mientras que muchos de los proveedores de terminales ya tienen terminales que han sido certificados por las marcas de pago principales, la certificación es transferible sólo si la aplicación se mantiene sin cambios a través de implementaciones. Si hay cambios para una aplicación específica, un nuevo proceso de aprobación será requerido para la aplicación. Cuando se adquiere un terminal ATM, asegúrese de que tiene un kernel de software aprobado y que se han implementado las extensiones necesarias para el Protocolo de mensajería. 7.4 Capacidad de actualización del terminal y planes Los cajeros automáticos instalados en América Latina soportan en la actualidad chip de contacto EMV y tarjetas de banda magnética. Todos los proveedores de ATMs informan haber ofrecido cajeros EMV durante los últimos 5 años. Los cajeros automáticos más nuevos están equipados para aceptar tarjetas Smart Card Alliance América Latina y el Caribe © 2011 41 EMV y la mayoría de las implementaciones en América Latina ya cuentan con lectores chip habilitados. El costo de un lector de chip es casi lo mismo que el costo de un lector no chip, porque los proveedores de ATMs atienden países donde los lectores chip ya son el estándar. Los cajeros automáticos han evolucionado en los últimos 10 años de sistemas propietarios cerrados a los equipos que ejecutan los sistemas operativos estándar. El software de los cajeros automáticos modernos puede actualizarse fácilmente. Para proteger contra la incertidumbre de qué tipo de instrumento de pago se debe apoyar, los propietarios de los ATMs están aprovechando esta capacidad de ampliación futura para instalar terminales con el hardware que soporta transacciones EMV de contacto o sin contacto, pero sin las aplicaciones de EMV instaladas o activadas. Estos terminales están diseñados para facilitar las actualizaciones y descargas de aplicaciones remotas y han recibido certificaciones de nivel marca con aplicaciones de EMV que pueden ser descargadas en el futuro. La conversión a EMV en diversos, especialmente en el Reino Unido y Canadá, ha demostrado que también es posible actualizar el software de ATMs para funcionalidad EMV; Sin embargo el hardware previamente instalado requiere la verificación de que todo el hardware cumple con la especificación más reciente y que el hardware instalado anteriormente y que ha estado inactivo durante años no se ha oxidado. A continuación se presentan algunas consideraciones que pueden ayudar a los propietarios de cajeros automáticos (ATMs) con la preparación de una evaluación en preparación para EMV. 1. ¿Qué es el inventario de la red de cajeros automáticos? ¿Se pueden actualizar los cajeros automáticos, o necesitan ser remplazados? ¿Porque las actualizaciones son normalmente menos costosas que la instalación de nuevos cajeros automáticos? ¿Cuáles cajeros automáticos pueden actualizarse? 2. Si hay una decisión pendiente de actualización de ATM, considerar los modelos de cajeros automáticos donde el hardware es compatible con las especificaciones EMV y que sólo requerirá una actualización de software para habilitar las funciones. Todos los proveedores principales de ATM tienen modelos EMV. 3. Una consideración importante es si el proveedor de ATM ha recibido la certificación de nivel 1 y nivel 2 de EMVCo para los dispositivos necesarios. Asegúrese de que estas rutas de actualización ya han sido probadas en el campo. 4. Incluso con la base correcta de hardware y software, el software del ATM todavía debe ser certificado con las diversas marcas de pago. Asegúrese de que se han obtenido estas certificaciones para la configuración de software adquirida. 5. Para cajeros automáticos procesados por un procesador tercero, el procesador también tendrá que obtener la certificación con las marcas de pago individual a fin de garantizar que todas las partes del sistema son totalmente compatibles y están en cumplimiento. 7.5 Resumen La Tabla 9 resume las consideraciones para los cajeros automáticos. Tabla 9. Consideraciones para los Cajeros Automáticos (ATMs) Opción 1. Interfaz de la tarjeta Consideración a) Contacto Smart Card Alliance América Latina y el Caribe © 2011 42 El terminal debe tener un lector de chip de contacto y ser cargado con software de aplicación que admite transacciones EMV para cada una de las marcas de pago. El terminal debe ser certificado por EMVCo y cumplir con todos los requisitos de las marcas de pago para las que se aceptarán tarjetas EMV; el propietario del ATM normalmente asume la responsabilidad de obtener las certificaciones y de Opción Consideración completar las certificaciones de extremo a extremo (end-toend network certifications). 2. Autenticación de la tarjeta a) En línea (Online) La aplicación del terminal debe estar certificada por EMVCo y por cada marca de pago para asegurar que sigue el proceso de transacción específica definido por cada esquema de pago; el propietario del ATM normalmente asume la responsabilidad de obtener las certificaciones El propietario del ATM normalmente también debe obtener una certificación de los mensajes que viajan por las redes de las marcas de pago. Los terminales deben estar listos para soportar SDA, DDA, CDA y criptograma de autenticación en línea. 3. Autorización de la transacción b) Fuera de línea (offline) No aplica para ATMs a) En línea (Online) Los sistemas y terminales ATMs deben soportar el uso del campo 55 para autorización. La aplicación del terminal debe estar certificada por EMVCo y por cada marca de pago para asegurar que sigue el proceso de transacción específica definido por cada marca de pago; el propietario del ATM normalmente asume la responsabilidad de obtener las certificaciones. El propietario del ATM normalmente también debe obtener una certificación de los mensajes que viajan por las redes de las marcas de pago. 4. Verificación del cliente b) Fuera de línea (offline) No aplica para ATMs a) Firma No aplica para ATMs b) PIN en línea El ATM debe soportar la introducción del PIN en un PIN pad que cifre la información. c) PIN fuera de línea No aplica para ATMs d) No CVM No aplica para ATMs Smart Card Alliance América Latina y el Caribe © 2011 43 8 Conclusiones Para reducir el fraude de tarjetas falsificadas, robadas y extraviadas y para proteger los datos del titular, casi todos los países del mundo están implementando ampliamente EMV. EMV es un estándar abierto que mejora la seguridad de la autenticación de la tarjeta contra la falsificación, verificación de titular contra pérdida o robo de tarjetas y la autorización de transacción contra la interceptación y reproducción. Hay movimiento en todo el mundo para adoptar EMV, un estándar común que garantiza la interoperabilidad y aceptación mundial, para nuevos factores de pago más allá de tarjetas, incluyendo llaveros, tarjetas microSD, etiquetas adhesivas, teléfonos NFC. La autenticación de la tarjeta puede realizarse igualmente de manera segura utilizando técnicas en línea y fuera de línea. Asimismo, la verificación de los titulares de tarjetas puede lograrse mediante PIN en línea o fuera de línea, además de la firma o en algunos casos, sin ningún tipo de verificación. Por último, incluso la autorización puede tener lugar fuera de línea entre la tarjeta y el terminal POS, a pesar de que las transacciones están obligadas a autorizar en línea en países de América Latina. La industria debería sopesar cuidadosamente los costos contra los beneficios de apoyar la autorización fuera de línea para las transacciones. EMV requiere un campo adicional en el mensaje de la red, a menudo se denomina "Campo 55." El estándar EMV también incluye las transacciones de pago sin contacto; las implementaciones tradicionales de MSD sin contacto están evolucionando para apoyar los pagos sin contacto móviles NFC y ser compatible con el estándar EMV globalmente interoperable. La Alianza de tarjetas inteligentes (Smart Card Alliance) investigó el tema de un plan de toda la industria a EMV para educar a los interesados de la industria de pagos, incluidos emisores de banco, comerciantes, compradores o transformadores y proveedores de la industria, sobre las acciones de que cada actor debe considerar emitir, aceptar y procesar las transacciones EMV. La planificación del roadmap de EMV requiere la elección de interfaz de la tarjeta (contacto, sin contacto o dual), definición del método de autenticación de tarjeta, del método de verificación de los titulares de tarjetas y un enfoque de autorización de transacción. El mercado latinoamericano puede evolucionar a una combinación híbrida de opciones para brindar el mejor apoyo, el tipo de transacción y compatibilidad con el resto del mundo. Emisores y comerciantes pueden optar por implementar sólo las opciones que necesitan. EMV impactará la interfaz de la tarjeta y el procesamiento de autorización de transacciones y host. Los emisores podrán optar por emitir tarjetas de interfaz de contacto, sin contacto o dual. Los sistemas de host emisor deben procesar datos completos de chip, o como una opción, aprovechar las ventajas del servicio en nombre del emisor (on-behalf-of service) que ofrecen las marcas de pago, que requiere cambios mínimos en el sistema host. Los emisores también deben seleccionar si las tarjetas siempre serán autorizadas en línea o si también se admite la autorización fuera de línea. Estas opciones también deben reflejarse en los métodos de verificación de los titulares de tarjetas que se soporten. Los adquirentes y los procesadores tendrán que modificar sus sistemas para recibir todos los tipos posibles de datos del chip y colocar los datos en las etiquetas apropiadas del campo 55. También se requerirá certificar para asegurar que están transmitiendo los campos correspondientes a las redes de pago. Muchos nuevos terminales POS en el mercado hoy en día se construyen con un lector de chip de tarjeta inteligente y otros componentes de hardware para apoyar EMV. Estos terminales POS de chip que ya están en uso simplemente requerirán una actualización de software o firmware para soportar plenamente el chip EMV. Además, los lectores sin contacto actualmente desplegados pueden requerir actualización de software o firmware para soportar EMV sin contacto. El software POS requiere un kernel EMV que es certificado con un laboratorio para demostrar el cumplimiento de los requisitos de básicos de EMV y es certificado con las diversas marcas de pago, ya que cada una de ellas tiene unas necesidades diferentes. Terminales POS independiente pueden ser apoyados por ISOs y mensajes de adquirente EMV, pero los sistemas POS integrados que son administrados por los comercios más grandes tendrán modificaciones de software para soportar los cambios de mensajes EMV. En algunos casos, los Smart Card Alliance América Latina y el Caribe © 2011 44 comercios están instalando hardware con capacidad de EMV pero sin estar habilitado. Idealmente estos terminales podrán actualizarse de forma remota. Los cajeros automáticos ofrecen un caso convincente para EMV ya que son objeto de ataques para retiros de dinero fraudulento. Todos los principales proveedores de ATM ofrecen cajeros con capacidad EMV, y en algunos casos, los cajeros automáticos existentes pueden ser actualizados en lugar de remplazados. Los propietarios de los ATM necesitan revisar el hardware de su equipo, el software, las certificaciones y las capacidades de actualización. Los ATMs deben tener un lector de chip de contacto EMV certificado para EMVCo niveles 1 y 2, además de contar con las certificaciones específicas de las marcas. El PIN en línea es el único método de verificación del titular apoyado por los cajeros automáticos y requiere PIN pads aprobados como ya es requerido por el mandato de actualización de Triple DES. El software debe contener un kernel EMV certificado y apoyar chip sin contacto. El coste real del fraude está aumentando y amenaza con dañar la reputación de la industria. Este daño podría acelerarse a medida que los criminales migran hacia los eslabones más débiles de la cadena en regiones que no han implementado EMV. El costo de implementación de EMV probablemente ha disminuido desde las estimaciones originales debido a la maduración de la tecnología. El plan descrito en este documento demuestra que varias opciones están disponibles para migrar a EMV. Debido a la madurez y la amplia disponibilidad de productos y tecnología EMV, la migración será mucho menos complicada de lo que hubiera sido hace una década. Smart Card Alliance América Latina y el Caribe © 2011 45 9 Reconocimientos por la elaboración de esta publicación Este documento fue desarrollado por el Consejo de Pagos Financieros del Smart Card Alliance América Latina – SCALA para educar a los interesados de toda la cadena de valor de pagos, sobre los aspectos críticos de la implementación de una solución EMV en sus entornos de negocio en América Latina. La publicación de este documento por el Smart Card Alliance América Latina – SCALA no implica el respaldo de cualquiera de las organizaciones miembros de la Alianza. Los participantes involucrados en la modificación y adaptación de este white paper para América Latina incluye a: Gemalto, Global Enterprise Technologies Corp., MasterCard Worldwide, SCALA, Safran Morpho y Visa Inc. En una forma especial se reconoce la participación, el apoyo, y el patrocinio de Visa Inc. en la traducción de este documento a español y portugués. Un agradecimiento a los siguientes miembros de Consejo de pagos financieros de SCALA y a los colaboradores que ayudaron en el desarrollo de este white paper: Marcelo de Oliveira, Visa Inc. Dimas Gomez, Gemalto Vincent Tenaglia,GET Group Kim Hangoc, MasterCard Worldwide Willian Lemes, Morpho Edgar Betts, SCALA Reconocimiento de otras organizaciones miembros de Consejo de Pago Financieros de SCALA: Banred S.A., Banrisul, Evertec Latino América S.A., First Data CAC, Giesecke & Devrient, IntelCav, Inteligensa, Magicard – Ultra Electronics Card Systems, Oberthur Technologies, Redeban Multicolor S.A.,Smartrac Technology Group, Telered S.A., y Verifone Inc. Smart Card Alliance América Latina (SCALA), desea agradecer al Consejo de pagos de tarjeta inteligente del Smart Card Alliance de Estados Unidos por sus contribuciones. Los participantes del Consejo de Pagos involucrados en el desarrollo de este documento incluyen a: Accenture LLP; American Express; Apriva; Booz Allen Hamilton; Capgemini; Capital One; Chase Card Services; CPI Card Group; Datacard Group; Discover Financial Services; epay North America; First Data Corporation; Fiserv; Gemalto; Giesecke & Devrient; Heartland Payment Systems; HID Global; IBM; JPMorgan Chase; LTK Engineering Services; MasterCard Worldwide; Nagra ID Security; Oberthur Technologies; Smartcard Marketing Solutions; Thales e-Security; Visa Inc.; ViVOtech; Watchdata. Especial agradecimiento a los siguientes miembros del Consejo de Pagos de Smart Card Alliance que contribuyeron al desarrollo del documento de mejores practicas para EE.UU., cual fue fundamental para la creación de este reporte. Deborah Baxley, Capgemini Kevin Krest, Smartcard Marketing Solutions Troy Bernard, Discover Financial Services Michelle Lehouck, CPI Card Group Guy Berg, Datacard Group James Lock, JPMorgan Chase Louis Bianchin, Watchdata Oliver Manahan, MasterCard Worldwide Donna Colella, First Data Corporation Don Malloy, Nagra ID Security Deana Cook, Chase Card Services Joshua Martiesian, LTK Engineering Services Jo Ann Davaris, American Express John McNulty, Fiserv Joe DeFilippo, Capital One Cathy Medich, Smart Card Alliance Jason Dell, First Data Corporation Jean-Louis Meyer, Datacard Group Willy Dommen, Booz Allen Hamilton Barry Mosteller, Oberthur Technologies James Ellis, HID Global Melissa O'Brien, Apriva Michael English, Heartland Payment Systems Mira Olson, First Data Corporation Jacob Greene, Discover Financial Services Ron Pinkus, Giesecke & Devrient Sabrina Hapberg, First Data Corporation JC Raynon, ViVOtech Ian Hermon, Thales e-Security Gregory Riche, IBM Smart Card Alliance América Latina y el Caribe © 2011 46 Bengt Horsma, First Data Corporation Simon Hurry, Visa Inc. Hap Huynh, Visa Inc. Ryan Julian, Discover Financial Services Mohammad Khan, ViVOtech John Shaw, epay North America Dori Skelding, Chase Card Services Brian Stein, Accenture Jeffrey Stroud, Gemalto Tom Zalewski, ViVOtech Acerca del Consejo de Pagos Financieros El Consejo de pagos financieros de Alianza de tarjetas inteligentes América Latina (Smart Card Alliance Latin America Financial Payments Council) se centra en facilitar la adopción de los pagos habilitados con chip y aplicaciones de pago en América Latina a través de programas de educación para los consumidores, comerciantes, emisores, adquirentes o procesadores, reguladores del Gobierno, proveedores de telecomunicaciones móviles y los proveedores de servicios de pagos. El grupo reúne a los actores de la industria de pagos, incluyendo líderes de la industria de pagos, los comercios y proveedores, y está trabajando en proyectos relacionados con la implementación EMV, pagos sin contacto, pagos habilitados en NFC y aplicaciones de pagos móviles y e-commerce habilitado con chip. El principal objetivo del Consejo es informar y educar a los mercados acerca del valor de los pagos chip habilitando y mejorando la seguridad de la infraestructura de pagos y aumentar el valor de los pagos y aplicaciones relacionadas con las aplicaciones de pago de los participantes de la industria. La participación en el consejo está abierta a cualquier miembro de la Alianza de tarjeta inteligente que desee contribuir a los proyectos del consejo. Acerca de SCALA – Smart Card Alliance Latino América SCALA (Smart Card Alliance Latino América) – Alianza de tarjetas inteligentes Latinoamérica es un capítulo del Smart Card Alliance, una asociación sin fines de lucro, imparcial, que trabaja para estimular el entendimiento, adopción, uso y aplicación generalizada de la tecnología de tarjeta inteligente. A través de proyectos específicos tales como programas de educación, investigación de mercado, promoción, relaciones de la industria y foros abiertos, la Alianza mantiene a sus miembros conectados a líderes de la industria y el pensamiento innovador. La Alianza es la voz única de la industria de tarjetas inteligentes, liderando la discusión de la industria sobre el impacto y el valor de las tarjetas inteligentes en los Estados Unidos y América Latina. Para obtener más información, visite ¡SCALA ayuda a reducir el riesgo en la implementación de la tecnología de tarjetas inteligentes a través de la educación en América Latina y el Caribe! Smart Card Alliance América Latina y el Caribe © 2011 47 10 Glosario Método de Autenticación de la Tarjeta (Card authentication method) En el contexto de una transacción de pago, corresponde al método utilizado por el sistema para determinar que la tarjeta utilizada para realizar el pago no es falsa. Código de Seguridad de la Tarjeta (Card security code) Código contenido en la banda magnética o impreso en la tarjeta de pago y que son utilizados por las banderas de pago en las transacciones de débito y crédito para proteger contra el fraude con tarjeta. Código de Verificación de la Tarjeta (Card verification code - CVC) / Valor de Verificación de la Tarjeta (card verification value - CVV) Términos utilizados por MasterCard y por Visa para identificar los códigos de seguridad de la tarjeta que son utilizados en las transacciones de débito y crédito para proteger contra el fraude con tarjeta. Método de Verificación del Cliente (Cardholder verification method - CVM) En el contexto de una transacción de pago, corresponde al método utilizado para autenticar que la persona que está presentando la tarjeta es un cliente válido. EMV soporta cuatro tipos de CVM: PIN fuera de línea, PIN en línea, verificación de la firma y no CVM. Tarjeta Chip (Chip card) Un dispositivo que incluye un circuito integrado seguro que puede ser un micro controlador seguro o dispositivo equivalente con memoria interna, o un chip de memoria segura. La tarjeta se conecta al lector mediante un contacto físico directo o remotamente mediante una interfaz sin contacto utilizando una frecuencia de radio. Con un micro controlador, las tarjetas con chip tienen una habilidad única de almacenar de manera segura grandes cantidades de información, realizar funciones propias de la tarjeta (por ejemplo encripción y autenticación mutua) e interactúa de manera inteligente con el lector de la tarjeta. La tecnología de las tarjetas con chip cumple con los estándares internacionales (ISO/IEC 7816 and ISO/IEC 14443) y está disponible en una variedad de formatos (form factors), incluyendo tarjetas plásticas, llaveros, módulos de identificación del subscriptor (subscriber identity modules - SIMs) utilizados en teléfonos móviles GSM, y tokens basados en USB. DDA Combinado con Criptograma de Aplicación (Combined DDA with application cryptogram CDA) Una técnica de autenticación utilizada en transacciones EMV que combina la funcionalidad de DDA con un criptograma de aplicación adicional al final de la transacción. Este criptograma de aplicación final es utilizado para asegurar que la información de la transacción mantenga su integridad aún después de que la transacción ha sido completada. Tarjeta con chip de contacto (Contact chip card) Una tarjeta con chip que se comunica con el lector a través de una placa de contactos. Esta placa debe entrar en contacto con un terminal, usualmente mediante la inserción de la tarjeta en un lector de chip. Datos de banda magnética para transacciones sin contacto (Contactless magnetic stripe data MSD) Enfoque de los Estados Unidos en la implementación de los pagos sin contacto. Con los datos de banda magnética para transacciones sin contacto (MSD), el formato del mensaje para la pista 1 y la pista 2 de la banda magnética se mantiene intacto, con una diferencia notable. El chip de la tarjeta permite el cálculo de un dato dinámico de verificación de la tarjeta basado en una llave única por tarjeta y un sencillo contador de transacciones de la aplicación (application transaction counter). El valor dinámico de verificación de la tarjeta es pasado en el mensaje en el mismo campo que es utilizado para el dato original de verificación de la tarjeta. El contador de transacciones de la aplicación (application transaction counter - ATC) es pasado en el área reservada para los datos discrecionales del emisor (issuer discretionary data) de la pista de la banda magnética. Pagos sin contacto (Contactless payments) Transacciones de pago que no requieren contacto físico entre el dispositivo de pago del consumidor y el terminal físico punto de venta (point-of-sale - POS). En una transacción de pago sin contacto, el Smart Card Alliance América Latina y el Caribe © 2011 48 consumidor aproxima la tarjeta sin contacto (contactless) o dispositivo móvil cerca (a menos de 2 - 4 pulgadas) del terminal POS del comercio y la información de pago se comunica sin contacto o de manera Wireless mediante una señal de radio frecuencia (RF). Tarjeta chip sin contacto (Contactless chip card) Una tarjeta chip que se comunica con un lector mediante una interfaz que utilice una señal de radio frecuencia. CVC Ver código de verificación de la tarjeta. CVV Ver valor de verificación de la tarjeta. Tarjeta chip de interfaz dual (Dual-interface chip card) Una tarjeta con chip que tiene ambas opciones de interfaz, contacto y sin contacto. Código dinámico de seguridad de la tarjeta (Dynamic card security code) Un código de seguridad que cambia para cada transacción, remplazando el código estático de seguridad de la tarjeta de banda magnética. Datos dinámicos de autenticación (Dynamic authentication data) Información que es utilizada durante una transacción para verificar a la tarjeta o al cliente participando en una transacción y que cambia de transacción a transacción. Datos dinámicos de autenticación (Dynamic data authentication - DDA) Una técnica de autenticación utilizada en transacciones EMV y que calcula un criptograma para cada transacción y que es único para la tarjeta específica y transacción. El DDA protege contra clonación (skimming) y contra falsificación (counterfeiting). EMV Especificaciones desarrolladas por Europay, MasterCard y Visa que define los requerimientos para asegurar la interoperabilidad entre las tarjetas de pago con chip y los terminales. Etiquetas EMV (EMV tags) Configuración de parámetros EMV que representan las opciones de implementación EMV seleccionadas por el emisor para la aplicación EMV del chip. EMVCo La organización formada en Febrero de 1999 por Europay Internacional, MasterCard Internacional, y Visa Internacional para administrar, mantener, y mejorar las especificaciones de Tarjetas de Circuitos Integrados EMV para Sistemas de Pago. En la actualidad EMVCo es propiedad de American Express, JCB, MasterCard Worldwide, y Visa, Inc. Tarjeta de Banda Magnética Una tarjeta plástica que utiliza una banda de material magnético para almacenar información. La información es almacenada al alterar el magnetismo de las partículas magnéticas del material magnético y es leída posteriormente deslizando (swiping) la banda magnética en un lector de bandas magnéticas. Comunicación de corto alcance (Near Field Communication - NFC) Un estándar basado en tecnología de comunicación wireless que permite el intercambio de información entre dispositivos que se encuentran a solo unos centímetros de distancia. Los teléfonos móviles habilitados para NFC incorporan chips inteligentes (conocidos como elemento seguro) que permiten a los teléfonos almacenar de manera segura la aplicación de pago y la información de la cuenta del cliente para utilizar esa información como una “tarjeta virtual de pago”. Las transacciones de pago NFC entre un teléfono móvil y un terminal POS utilizan el protocolo de comunicación estándar ISO/IEC 14443 utilizado actualmente por las tarjetas de crédito y débito sin contacto EMV. Smart Card Alliance América Latina y el Caribe © 2011 49 Autorización fuera de línea (Offline authorization) Autorizar o declinar una transacción de pago solamente mediante la comunicación entre la tarjeta y el terminal, utilizando parámetros de riesgo definidos por el emisor que son configurados en la tarjeta para determinar si la transacción puede ser autorizada sin necesidad de tener que ir en línea al sistema host del emisor. Pin fuera de línea (Offline PIN) En una transacción EMV, es el proceso de comparar el PIN digitado por el cliente con el PIN almacenado dentro de la tarjeta de pago EMV, sin necesidad de ir al host del emisor para realizar dicha comparación. Solamente el resultado de la comparación es enviada al sistema host del emisor. Autorización en línea (Online authorization) Autorizar o declinar una transacción de pago enviando la información de la transacción al emisor y solicitando una respuesta. PIN en línea (Online PIN) En una transacción EMV, es el proceso de comparar el PIN digitado por el cliente con el PIN almacenado en el sistema host del emisor. El PIN es encriptado por el PIN pad del terminal POS antes de ser enviado al sistema host del emisor. Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (Payment Card Industry Data Security Standard - PCI DSS) Un marco desarrollado por el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (Payment Card Industry Security Standards Council) para definir un proceso robusto se seguridad de datos para pagos con tarjetas – incluyendo prevención, detección y reacción apropiada ante los incidentes de seguridad. Número de Identificación Personal (Personal identification number - PIN) Un secreto que es memorizado por un individuo y que utilice para autenticar su identidad. PIN Ver número de identificación personal. Infraestructura de Llave Pública (Public key infrastructure - PKI) La arquitectura, organización, técnicas, prácticas, y procedimientos que de manera conjunta soportan la implementación y operación de un sistema de certificados basados en el uso de criptografía de llaves públicas. Tarjeta Inteligente (Smart card) Ver Tarjeta chip. Autenticación de datos estáticos (Static data authentication - SDA) Una técnica de autenticación utilizada en transacciones EMV que utilice un criptograma que utiliza un certificado de llave pública estático y elementos de datos estáticos. Con SDA, los datos utilizados para la autenticación son estáticos, es decir los mismos datos son utilizados siempre al inicio de cada transacción. Tecnología de Llaves Simétricas (Symmetric key technology) Llaves que son utilizadas para criptografía de llaves (secretas) simétricas. En un sistema de criptografía simétrica, la misma llave secreta es utilizada para realizar tanto la operación criptográfica como su inverso (por ejemplo para cifrar y descifrar, o para crear un código de autenticación de un mensaje y para verificar dicho código). Smart Card Alliance América Latina y el Caribe © 2011 50