Download Estándar EMV

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
Document related concepts
no text concepts found
Transcript 
Observatorio de Pagos con
Tarjeta Electrónica
Reunión Implantación EMV
5 de julio de 2007
AGENDA
9Implantación EMV: Marco SEPA
¾Antecedentes
¾Situación de despliegue
9Implantación EMV: Implicaciones Tecnológicas
¾
¾Consideraciones
Consideraciones sobre
sobre implantaci
implantacióónn
¾
¾Soluciones
Soluciones de
de integraci
integracióónn
¾
¾Certificaci
Certificacióónn
9Estándar de Seguridad de Datos: Programa PCI-DSS
¾
¾Descripci
Descripcióónn del
del programa
programa
¾
Nacional de
de Cifrado
Cifrado de
de Pistas
Pistas
¾Soluci
Solucióónn Nacional
5-julio-2007
Reunión Implantación EMV
2
ANTECEDENTES
9¿QUÉ ES EMV?
¾Estándar de pago con tarjeta creado por las marcas internacionales
(Europay -hoy integrada en MasterCard-, MasterCard y Visa) basado en
TECNOLOGÍA CHIP, en lugar de en la banda magnética tradicional.
9¿QUÉ APORTA EL CHIP-EMV?
¾Capacidad de proceso en la tarjeta (elemento “inteligente”).
¾El diálogo tarjeta-terminal es más elaborado y gana capacidad de
decisión sobre el resultado de la operación.
¾SEGURIDAD en la operativa.
Banda
Magnética
FIRMA AUTORIZADA / AUTHORIZED SIGNATURE
TPV
Host
Adquirente
CHIP
5-julio-2007
Host
Emisor
Red MP
Reunión Implantación EMV
3
MARCO SEPA
COMMISSION OF THE EUROPEAN COMMUNITIES
9SEPA (“Single European Payment Area”):
¾Proyecto ligado al Euro, impulsado por la Comisión Europea y el Banco Central
Europeo, con el objetivo de crear un área (EU) en la que se podrán realizar y
recibir pagos en las MISMAS CONDICIONES (sin diferencias nacionales).
Afecta a transferencias, débitos directos (domiciliaciones) y tarjetas.
9EPC (European Payments Council”):
¾Órgano encargado de la toma de decisiones y la coordinación de las Entidades
Financieras Europeas en materia de pagos, con el propósito (fundacional) de
apoyar y promover SEPA. En el caso de tarjetas, ha elaborado el “SEPA Cards
Framework” (SCF v.2 de marzo/06).
¾Para más información: http://www.europeanpaymentscouncil.eu
9Declaración Conjunta CE y BCE (4 de mayo de 2006):
¾“La Comisión y el Banco Central apoyan los esquemas definidos por el EPC
para las trasferencias y los débitos directos así como el marco de tarjetas SEPA
como los pilares de los productos SEPA que deberán ser introducidos en 2008”.
5-julio-2007
Reunión Implantación EMV
4
SEPA Cards Framework (SCF)
9Requerimientos asociados a EMV:
¾EMV es el estándar tecnológico y de seguridad de las tarjetas SEPA.
¾Respecto al PIN, debe ser soportado obligatoriamente por los
terminales, quedando a criterio del emisor cuándo será requerido por la
tarjeta.
¾Los esquemas de pago deben introducir una regla de “cambio de
responsabilidad” (al menos) y otras posibles medidas para incentivar la
migración a EMV desde el 1 de enero de 2008.
¾A partir del 1 de enero de 2008, las entidades financieras deben poder
ofrecer tarjetas EMV (“SCF Compliant”).
¾El 31 de diciembre del 2010, todo el parque de tarjetas en circulación
debe estar migrado a EMV (“SCF Compliant”).
¾El 31 de diciembre del 2010, el parque de terminales dependiente de
entidades financieras tiene que estar migrado a EMV.
5-julio-2007
Reunión Implantación EMV
5
SEPA Cards Framework (SCF): aplicación
1.
Las entidades financieras realizarán la migración progresiva de sus
tarjetas a EMV según su propio calendario y objetivos, dentro del
marco establecido por el EPC para SEPA (2008-2010).
2.
Respecto a la autenticación del titular, cada entidad decidirá según
su propia política y criterios el método preferente (PIN o firma) que
requerirán sus tarjetas en los comercios, conforme al marco
establecido para SEPA.
¾ Para ello, todos los terminales EMV soportarán necesariamente la
introducción del PIN (salvo en los sectores que se identifiquen, como
“autopistas”, en los que haya “dificultad técnica”).
¾ Los adquirentes promoverán activamente que las condiciones de acceso a los
terminales en los comercios faciliten la introducción del PIN.
3.
A partir del 1 de enero de 2008, se aplicará una “regla de cambio de
responsabilidad” a nivel nacional.
5-julio-2007
Reunión Implantación EMV
6
Despliegue EMV: EUROPA
¾En España, aprox. el 70% de las operaciones realizadas por titulares europeos se
hacen ya con tarjetas EMV (mayo/07).
5-julio-2007
Reunión Implantación EMV
7
Despliegue EMV: ESPAÑA (datos may./07)
Unidades
Totales
TPVs
% Migrado a
EMV
1.228.644
56,9%
Cajeros
58.894
78,5%
Tarjetas
70.065.600
1,7%
9ADQUIRENCIA:
¾Migración muy avanzada (tanto en cajeros como en TPVs financieros).
¾Ratio de compras con tarjetas EMV europeas procesadas por los TPVs
españoles EMV: 90% en número de operaciones, 92% en importe.
¾Ratio de reintegros de efectivo con tarjetas EMV europeas procesados por los
cajeros españoles EMV: 95% en número de operaciones, 95% en importe.
¾Experiencias consolidada de certificación de comercios.
9EMISIÓN:
¾Preparación “técnica” e inicio de emisión por parte de entidades en el marco
establecido para SEPA.
5-julio-2007
Reunión Implantación EMV
8
AGENDA
9Implantación EMV: Marco SEPA
¾
¾Antecedentes
Antecedentes
¾
¾Situaci
Situacióónn de
de despliegue
despliegue
9Implantación EMV: Implicaciones Tecnológicas
¾Consideraciones sobre implantación
¾Soluciones de integración
¾Certificación
9Estándar de Seguridad de Datos: Programa PCI-DSS
¾
¾Descripci
Descripcióónn del
del programa
programa
¾
Nacional de
de Cifrado
Cifrado de
de Pistas
Pistas
¾Soluci
Solucióónn Nacional
5-julio-2007
Reunión Implantación EMV
9
EMV: Consideraciones Implantación (I)
Generalidades
9Siempre que la tarjeta disponga de chip se iniciara la “Transacción
chip EMV”
9Todas las operaciones actualmente iniciadas con Banda pueden
realizarse con chip (ej: Devolución)
9La tarjeta deberá permanecer insertada en el lector hasta fin de
transacción.
9En el recibo del comerciante se indicara el modo como se autentica al
cliente (firma o texto indicativo que la operación fue con PIN)
9El PINpad debe ubicarse de forma que no sea observable por terceros
5-julio-2007
Reunión Implantación EMV
10
EMV: Consideraciones Implantación (II)
Flujo comparativo de la transacción de pago
Transacción Banda Magnética
Transacción Chip EMV
CHIP
5036 9825 1425 6935
MANUEL GONZÁLEZ PÉREZ
Lectura de Banda Magnética
Lectura de Chip
Autenticación de Tarjeta
Autenticación Titular (PIN)
Solicitud de Autorización
Solicitud de Autorización
Expulsión tarjeta Chip
Impresión de Recibo y Fin de
Transacción
Impresión de Recibo y Fin de
Transacción
Autenticación (Firma)
5-julio-2007
Alternativos
Autenticación (Firma)
Reunión Implantación EMV
11
EMV: Soluciones de integración
Modos Integración
5036 9825 1425 6935
MANUEL GONZÁLEZ PÉREZ
PINpad +
Lector EMV
Punto Servicio
Centro
Procesador
- Lector Banda/Chip
-Separado/Híbrido
- Lector/PINpad
PS
PINpad+
Lector EMV
PS
-Integrado/Separado
PS
Flexibilidad
- PINpad
PINpad+
- Pantalla
tactil/teclado
Lector EMV
PS
5-julio-2007
Reunión Implantación EMV
12
EMV: Soluciones de integración
Estandarización (I)
Estándar EMV
5036 9825 1425 6935
MANUEL GONZÁLEZ PÉREZ
PINpad+
Lector EMV
Punto Servicio
Centro
Procesador
FLEXIBILIDAD
SELECCIÓN
FABRICANTE
(Recomendado)
FACILITAR OPERATIVA
TITULAR
(Recomendado)
5-julio-2007
PROTOCOLO COMUN:
INDEPENDIENTE ADQUIRIENTE
Reunión Implantación EMV
13
EMV: Soluciones de integración
Estandarización (II)
Estándar EMV
5036 9825 1425 6935
MANUEL GONZÁLEZ PÉREZ
PINpad+
Lector EMV
Punto Servicio
Protocolo seguro conexión
PINpad/Terminal
de Pago-PUP
(Recomendado)
Interfase con usuario
(Recomendación)
5-julio-2007
Centro
Procesador
Protocolo conexión
Punto Servicio/Centro Procesador (PUC-EMV)
Reunión Implantación EMV
14
EMV: Certificación (I)
Procedimiento General
Disponibles en mercado múltiples soluciones/fabricantes de equipamiento EMV
5036 9825 1425 6935
MANUEL GONZÁLEZ PÉREZ
Centro Emisor
PINpad+
Lector EMV
Punto Servicio
Certificación
Centro
Procesador
Centro Emisor
CERTIFICACION:
-Validación configuración de la conexión
- Validación configuración y conformidad PINpad/Lector con EMV (Req.EMV)
- Revisión seguridad de la información
- Certificación protocolo conexión del Punto de Servicio a Centro Procesador
- Pruebas conexión “end to end” para tarjetas VISA y MCI (Req. EMV)
5-julio-2007
Reunión Implantación EMV
15
EMV: Certificación (II)
Terminales no financieros: Nivel adaptación a EMV
Numero de Establecimientos con Conexiones PUC
Certificados
En proceso
certificación
Planificados
Iniciado Proceso
(documentación)
4
5
2
14
5-julio-2007
Reunión Implantación EMV
16
AGENDA
9Implantación EMV: Marco SEPA
¾
¾Antecedentes
Antecedentes
¾
¾Situaci
Situacióónn de
de despliegue
despliegue
9Implantación EMV: Implicaciones Tecnológicas
¾
¾Consideraciones
Consideraciones sobre
sobre implantaci
implantacióónn
¾
¾Soluciones
Soluciones de
de integraci
integracióónn
¾
¾Certificaci
Certificacióónn
9Estándar de Seguridad de Datos: Programa PCI-DSS
¾Descripción del programa
¾Solución Nacional de Cifrado de Pistas
5-julio-2007
Reunión Implantación EMV
17
DESCRIPCIÓN DEL PROGRAMA PCI-DSS (I)
9PCI-DSS es el acrónimo de “Payment Card Industry-Data Security
Standards”, un programa desarrollado inicialmente por Visa y MasterCard a
nivel global y adoptado después por Amex, Diners, Discover y JCB.
9Se ha creado una organización independiente “PCI Security Standards
Council” con el objetivo de gestionar los estándares y promover su adopción
(más información en https://www.pcisecuritystandards.org/).
9PCI-DSS es el programa que define los requisitos de seguridad de cuentas y
tarjetas que tienen que cumplir las organizaciones que procesan, transmiten y
almacenan datos de las mismas. Se trata de un estándar (actualmente en
versión 1.1) que incluye un conjunto de requerimientos asociados a los
siguientes principios:
¾ Construir y mantener una red segura.
¾ Proteger la información sobre el titular.
¾ Implementar y mantener un programa de gestión de vulnerabilidades.
¾ Controlar y evaluar las redes regularmente.
¾ Desarrollar y mantener una política de seguridad de la información.
5-julio-2007
Reunión Implantación EMV
18
DESCRIPCIÓN DEL PROGRAMA PCI-DSS (II)
9Recientemente se ha elegido un consejo de asesores (“board
of advisors”) en el que participan las siguientes compañías,
de diferentes ámbitos, incluyendo grandes establecimientos:
APACS, the U.K. Payments Association
Bank of America
British Airways
Chase Paymentech
First Data Corporation
JP Morgan Chase and Co.
Microsoft
Moneris Solutions Corporation
PayPal
Royal Bank of Scotland
Tesco Stores Ltd.
TSYS Acquiring Solutions
VeriFone Inc
Wal-Mart Stores Inc.
5-julio-2007
Citibank N.A., Global Consumer Group
Commonwealth Bank of Australia
European Payment Council (EPC)
Exxon Mobil Corporation
McDonalds Corporation
Interac Association
Servicios Electronicos Globales S.A. de C.V.
Reunión Implantación EMV
19
DESCRIPCIÓN DEL PROGRAMA PCI-DSS (III)
9El programa ha sido interpretado por las distintas Marcas
Internacionales y cada una define sus requisitos particulares:
¾Visa lo denomina AIS (“Account Information Security”),
http://www.visaeurope.com/aboutvisa/security/ais/main.jsp
¾MasterCard lo denomina SDP (“Site Data Protection”),
https://sdp.mastercardintl.com/
ver
ver
9Cada una de las Marcas anteriores divide a los comercios en niveles en
función de diferentes criterios (número de operaciones anuales y
canales utilizados) y asocia a cada uno de los niveles requerimientos
diferentes como son:
¾Cuestionario de autorevisión.
¾Chequeo de red trimestral y/o anual.
¾Auditoría de seguridad.
9Los requerimientos más importantes se refieren a comercios que
gestionan más de 6 millones de operaciones anuales con cualquiera de
las Marcas.
5-julio-2007
Reunión Implantación EMV
20
SOLUCIÓN NACIONAL DE CIFRADO DE PISTAS
(SNCP) (I)
9La Solución Nacional de Cifrado de Pistas (SNCP) es un estándar
OPCIONAL diseñado conjuntamente por los esquemas de medios de
pago españoles, que ha sido aprobado por las marcas (Visa y
MasterCard) y que facilita al comercio el cumplimiento de PCI-DSS
eliminando los requerimientos formales del programa (como las
auditorías o los chequeos de red).
9Esta propuesta conjunta se ha diseñado con el objetivo de aprovechar
la migración a EMV, que requiere la instalación de PINPads para
procesar las transacciones a partir del chip de la tarjeta. Se ha definido
un estándar que incluye la conexión de estos PINPads a la caja
registradora y el tratamiento especial de la información de la tarjeta
leída, que se cifra desde el origen con claves que permiten el transporte
seguro de la información hasta el procesador.
9La SNCP ofrece tres posibles categorías, siendo una de ellas no usar la
solución. En función de a cuál de ellas se adhiera el comercio, éste
deberá llevar a cabo una serie de acciones para cumplir con PCI-DSS.
5-julio-2007
Reunión Implantación EMV
21
SOLUCIÓN NACIONAL DE CIFRADO DE PISTAS
(SNCP) (II)
Categoría
Implicaciones
Categoría 1: El comercio cifra toda la información de la banda Cuestionario PCI-DSS reducido
magnética/chip desde el PINpad empleando claves del (1 pregunta), sólo una vez.
procesador. Implica cifrar toda la pista 2, incluyendo el número
de tarjeta o PAN (sólo el BIN permanecerá en claro por razones
de direccionamiento).
Categoría 2: El comercio cifra toda la información de la banda - El comercio debe almacenar el
magnética/chip desde el PINpad con claves del procesador, PAN truncado o cifrado mediante
claves sólo conocidas por él.
excepto número de tarjeta o PAN.
- Cuestionario PCI-DSS reducido
(10 preguntas), sólo una vez.
Categoría 3: El comercio accede a toda la información de - Auditoria de seguridad anual
tarjeta en claro (NO UTILIZA SNCP).
- Chequeo de red trimestral
5-julio-2007
Reunión Implantación EMV
22
Observatorio de Pagos con
Tarjeta Electrónica
FIN
5 de julio de 2007
Related documents
EMV Market Analysis Webinar Spanish 120809
EMV Market Analysis Webinar Spanish 120809
PCI DSS del 1.2 al 2.0
PCI DSS del 1.2 al 2.0
Aplicabilidad de la norma de seguridad de datos de la industria de
Aplicabilidad de la norma de seguridad de datos de la industria de
Acerca de SCALA – Smart Card Alliance Latino América
Acerca de SCALA – Smart Card Alliance Latino América
Personalización y autorización de tarjeta de crédito: adaptación a
Personalización y autorización de tarjeta de crédito: adaptación a
Programa de Seguridad del PIN de Visa
Programa de Seguridad del PIN de Visa
Glosario de términos sobre pagos y seguridad de la información
Glosario de términos sobre pagos y seguridad de la información
MANUAL DE OPERACIÓN mPOS CRÉDITO Y DÉBITO
MANUAL DE OPERACIÓN mPOS CRÉDITO Y DÉBITO
FOR IMMEDIATE RELEASE
FOR IMMEDIATE RELEASE
UX 300 - Verifone
UX 300 - Verifone
aviso - Banco Central de la República Dominicana
aviso - Banco Central de la República Dominicana
TARJETA CIUDADANA - Una visión de las tarjetas inteligentes y su
TARJETA CIUDADANA - Una visión de las tarjetas inteligentes y su
Preguntas Frecuentes
Preguntas Frecuentes
Preguntas Frecuentes
Preguntas Frecuentes
Política Operativa de Seguridad Informática (Data Security
Política Operativa de Seguridad Informática (Data Security
Los Ataques de Skimming en Cajeros Automáticos y Cómo
Los Ataques de Skimming en Cajeros Automáticos y Cómo
INNOVACIÓN eXCepCIONAl. VAlOr eXCepCIONAl.
INNOVACIÓN eXCepCIONAl. VAlOr eXCepCIONAl.
PAYWARE MOBILE e335 MAXIMICE LA MOVILIDAD
PAYWARE MOBILE e335 MAXIMICE LA MOVILIDAD
e255 PAYW ARE M OBILE
e255 PAYW ARE M OBILE
Adendum - PacifiCard
Adendum - PacifiCard
robusto, fiable y versátil
robusto, fiable y versátil
Plataforma de Pago Seguro Wayne iX Pay™
Plataforma de Pago Seguro Wayne iX Pay™