Download Estándar EMV
Document related concepts
no text concepts found
Transcript
Observatorio de Pagos con Tarjeta Electrónica Reunión Implantación EMV 5 de julio de 2007 AGENDA 9Implantación EMV: Marco SEPA ¾Antecedentes ¾Situación de despliegue 9Implantación EMV: Implicaciones Tecnológicas ¾ ¾Consideraciones Consideraciones sobre sobre implantaci implantacióónn ¾ ¾Soluciones Soluciones de de integraci integracióónn ¾ ¾Certificaci Certificacióónn 9Estándar de Seguridad de Datos: Programa PCI-DSS ¾ ¾Descripci Descripcióónn del del programa programa ¾ Nacional de de Cifrado Cifrado de de Pistas Pistas ¾Soluci Solucióónn Nacional 5-julio-2007 Reunión Implantación EMV 2 ANTECEDENTES 9¿QUÉ ES EMV? ¾Estándar de pago con tarjeta creado por las marcas internacionales (Europay -hoy integrada en MasterCard-, MasterCard y Visa) basado en TECNOLOGÍA CHIP, en lugar de en la banda magnética tradicional. 9¿QUÉ APORTA EL CHIP-EMV? ¾Capacidad de proceso en la tarjeta (elemento “inteligente”). ¾El diálogo tarjeta-terminal es más elaborado y gana capacidad de decisión sobre el resultado de la operación. ¾SEGURIDAD en la operativa. Banda Magnética FIRMA AUTORIZADA / AUTHORIZED SIGNATURE TPV Host Adquirente CHIP 5-julio-2007 Host Emisor Red MP Reunión Implantación EMV 3 MARCO SEPA COMMISSION OF THE EUROPEAN COMMUNITIES 9SEPA (“Single European Payment Area”): ¾Proyecto ligado al Euro, impulsado por la Comisión Europea y el Banco Central Europeo, con el objetivo de crear un área (EU) en la que se podrán realizar y recibir pagos en las MISMAS CONDICIONES (sin diferencias nacionales). Afecta a transferencias, débitos directos (domiciliaciones) y tarjetas. 9EPC (European Payments Council”): ¾Órgano encargado de la toma de decisiones y la coordinación de las Entidades Financieras Europeas en materia de pagos, con el propósito (fundacional) de apoyar y promover SEPA. En el caso de tarjetas, ha elaborado el “SEPA Cards Framework” (SCF v.2 de marzo/06). ¾Para más información: http://www.europeanpaymentscouncil.eu 9Declaración Conjunta CE y BCE (4 de mayo de 2006): ¾“La Comisión y el Banco Central apoyan los esquemas definidos por el EPC para las trasferencias y los débitos directos así como el marco de tarjetas SEPA como los pilares de los productos SEPA que deberán ser introducidos en 2008”. 5-julio-2007 Reunión Implantación EMV 4 SEPA Cards Framework (SCF) 9Requerimientos asociados a EMV: ¾EMV es el estándar tecnológico y de seguridad de las tarjetas SEPA. ¾Respecto al PIN, debe ser soportado obligatoriamente por los terminales, quedando a criterio del emisor cuándo será requerido por la tarjeta. ¾Los esquemas de pago deben introducir una regla de “cambio de responsabilidad” (al menos) y otras posibles medidas para incentivar la migración a EMV desde el 1 de enero de 2008. ¾A partir del 1 de enero de 2008, las entidades financieras deben poder ofrecer tarjetas EMV (“SCF Compliant”). ¾El 31 de diciembre del 2010, todo el parque de tarjetas en circulación debe estar migrado a EMV (“SCF Compliant”). ¾El 31 de diciembre del 2010, el parque de terminales dependiente de entidades financieras tiene que estar migrado a EMV. 5-julio-2007 Reunión Implantación EMV 5 SEPA Cards Framework (SCF): aplicación 1. Las entidades financieras realizarán la migración progresiva de sus tarjetas a EMV según su propio calendario y objetivos, dentro del marco establecido por el EPC para SEPA (2008-2010). 2. Respecto a la autenticación del titular, cada entidad decidirá según su propia política y criterios el método preferente (PIN o firma) que requerirán sus tarjetas en los comercios, conforme al marco establecido para SEPA. ¾ Para ello, todos los terminales EMV soportarán necesariamente la introducción del PIN (salvo en los sectores que se identifiquen, como “autopistas”, en los que haya “dificultad técnica”). ¾ Los adquirentes promoverán activamente que las condiciones de acceso a los terminales en los comercios faciliten la introducción del PIN. 3. A partir del 1 de enero de 2008, se aplicará una “regla de cambio de responsabilidad” a nivel nacional. 5-julio-2007 Reunión Implantación EMV 6 Despliegue EMV: EUROPA ¾En España, aprox. el 70% de las operaciones realizadas por titulares europeos se hacen ya con tarjetas EMV (mayo/07). 5-julio-2007 Reunión Implantación EMV 7 Despliegue EMV: ESPAÑA (datos may./07) Unidades Totales TPVs % Migrado a EMV 1.228.644 56,9% Cajeros 58.894 78,5% Tarjetas 70.065.600 1,7% 9ADQUIRENCIA: ¾Migración muy avanzada (tanto en cajeros como en TPVs financieros). ¾Ratio de compras con tarjetas EMV europeas procesadas por los TPVs españoles EMV: 90% en número de operaciones, 92% en importe. ¾Ratio de reintegros de efectivo con tarjetas EMV europeas procesados por los cajeros españoles EMV: 95% en número de operaciones, 95% en importe. ¾Experiencias consolidada de certificación de comercios. 9EMISIÓN: ¾Preparación “técnica” e inicio de emisión por parte de entidades en el marco establecido para SEPA. 5-julio-2007 Reunión Implantación EMV 8 AGENDA 9Implantación EMV: Marco SEPA ¾ ¾Antecedentes Antecedentes ¾ ¾Situaci Situacióónn de de despliegue despliegue 9Implantación EMV: Implicaciones Tecnológicas ¾Consideraciones sobre implantación ¾Soluciones de integración ¾Certificación 9Estándar de Seguridad de Datos: Programa PCI-DSS ¾ ¾Descripci Descripcióónn del del programa programa ¾ Nacional de de Cifrado Cifrado de de Pistas Pistas ¾Soluci Solucióónn Nacional 5-julio-2007 Reunión Implantación EMV 9 EMV: Consideraciones Implantación (I) Generalidades 9Siempre que la tarjeta disponga de chip se iniciara la “Transacción chip EMV” 9Todas las operaciones actualmente iniciadas con Banda pueden realizarse con chip (ej: Devolución) 9La tarjeta deberá permanecer insertada en el lector hasta fin de transacción. 9En el recibo del comerciante se indicara el modo como se autentica al cliente (firma o texto indicativo que la operación fue con PIN) 9El PINpad debe ubicarse de forma que no sea observable por terceros 5-julio-2007 Reunión Implantación EMV 10 EMV: Consideraciones Implantación (II) Flujo comparativo de la transacción de pago Transacción Banda Magnética Transacción Chip EMV CHIP 5036 9825 1425 6935 MANUEL GONZÁLEZ PÉREZ Lectura de Banda Magnética Lectura de Chip Autenticación de Tarjeta Autenticación Titular (PIN) Solicitud de Autorización Solicitud de Autorización Expulsión tarjeta Chip Impresión de Recibo y Fin de Transacción Impresión de Recibo y Fin de Transacción Autenticación (Firma) 5-julio-2007 Alternativos Autenticación (Firma) Reunión Implantación EMV 11 EMV: Soluciones de integración Modos Integración 5036 9825 1425 6935 MANUEL GONZÁLEZ PÉREZ PINpad + Lector EMV Punto Servicio Centro Procesador - Lector Banda/Chip -Separado/Híbrido - Lector/PINpad PS PINpad+ Lector EMV PS -Integrado/Separado PS Flexibilidad - PINpad PINpad+ - Pantalla tactil/teclado Lector EMV PS 5-julio-2007 Reunión Implantación EMV 12 EMV: Soluciones de integración Estandarización (I) Estándar EMV 5036 9825 1425 6935 MANUEL GONZÁLEZ PÉREZ PINpad+ Lector EMV Punto Servicio Centro Procesador FLEXIBILIDAD SELECCIÓN FABRICANTE (Recomendado) FACILITAR OPERATIVA TITULAR (Recomendado) 5-julio-2007 PROTOCOLO COMUN: INDEPENDIENTE ADQUIRIENTE Reunión Implantación EMV 13 EMV: Soluciones de integración Estandarización (II) Estándar EMV 5036 9825 1425 6935 MANUEL GONZÁLEZ PÉREZ PINpad+ Lector EMV Punto Servicio Protocolo seguro conexión PINpad/Terminal de Pago-PUP (Recomendado) Interfase con usuario (Recomendación) 5-julio-2007 Centro Procesador Protocolo conexión Punto Servicio/Centro Procesador (PUC-EMV) Reunión Implantación EMV 14 EMV: Certificación (I) Procedimiento General Disponibles en mercado múltiples soluciones/fabricantes de equipamiento EMV 5036 9825 1425 6935 MANUEL GONZÁLEZ PÉREZ Centro Emisor PINpad+ Lector EMV Punto Servicio Certificación Centro Procesador Centro Emisor CERTIFICACION: -Validación configuración de la conexión - Validación configuración y conformidad PINpad/Lector con EMV (Req.EMV) - Revisión seguridad de la información - Certificación protocolo conexión del Punto de Servicio a Centro Procesador - Pruebas conexión “end to end” para tarjetas VISA y MCI (Req. EMV) 5-julio-2007 Reunión Implantación EMV 15 EMV: Certificación (II) Terminales no financieros: Nivel adaptación a EMV Numero de Establecimientos con Conexiones PUC Certificados En proceso certificación Planificados Iniciado Proceso (documentación) 4 5 2 14 5-julio-2007 Reunión Implantación EMV 16 AGENDA 9Implantación EMV: Marco SEPA ¾ ¾Antecedentes Antecedentes ¾ ¾Situaci Situacióónn de de despliegue despliegue 9Implantación EMV: Implicaciones Tecnológicas ¾ ¾Consideraciones Consideraciones sobre sobre implantaci implantacióónn ¾ ¾Soluciones Soluciones de de integraci integracióónn ¾ ¾Certificaci Certificacióónn 9Estándar de Seguridad de Datos: Programa PCI-DSS ¾Descripción del programa ¾Solución Nacional de Cifrado de Pistas 5-julio-2007 Reunión Implantación EMV 17 DESCRIPCIÓN DEL PROGRAMA PCI-DSS (I) 9PCI-DSS es el acrónimo de “Payment Card Industry-Data Security Standards”, un programa desarrollado inicialmente por Visa y MasterCard a nivel global y adoptado después por Amex, Diners, Discover y JCB. 9Se ha creado una organización independiente “PCI Security Standards Council” con el objetivo de gestionar los estándares y promover su adopción (más información en https://www.pcisecuritystandards.org/). 9PCI-DSS es el programa que define los requisitos de seguridad de cuentas y tarjetas que tienen que cumplir las organizaciones que procesan, transmiten y almacenan datos de las mismas. Se trata de un estándar (actualmente en versión 1.1) que incluye un conjunto de requerimientos asociados a los siguientes principios: ¾ Construir y mantener una red segura. ¾ Proteger la información sobre el titular. ¾ Implementar y mantener un programa de gestión de vulnerabilidades. ¾ Controlar y evaluar las redes regularmente. ¾ Desarrollar y mantener una política de seguridad de la información. 5-julio-2007 Reunión Implantación EMV 18 DESCRIPCIÓN DEL PROGRAMA PCI-DSS (II) 9Recientemente se ha elegido un consejo de asesores (“board of advisors”) en el que participan las siguientes compañías, de diferentes ámbitos, incluyendo grandes establecimientos: APACS, the U.K. Payments Association Bank of America British Airways Chase Paymentech First Data Corporation JP Morgan Chase and Co. Microsoft Moneris Solutions Corporation PayPal Royal Bank of Scotland Tesco Stores Ltd. TSYS Acquiring Solutions VeriFone Inc Wal-Mart Stores Inc. 5-julio-2007 Citibank N.A., Global Consumer Group Commonwealth Bank of Australia European Payment Council (EPC) Exxon Mobil Corporation McDonalds Corporation Interac Association Servicios Electronicos Globales S.A. de C.V. Reunión Implantación EMV 19 DESCRIPCIÓN DEL PROGRAMA PCI-DSS (III) 9El programa ha sido interpretado por las distintas Marcas Internacionales y cada una define sus requisitos particulares: ¾Visa lo denomina AIS (“Account Information Security”), http://www.visaeurope.com/aboutvisa/security/ais/main.jsp ¾MasterCard lo denomina SDP (“Site Data Protection”), https://sdp.mastercardintl.com/ ver ver 9Cada una de las Marcas anteriores divide a los comercios en niveles en función de diferentes criterios (número de operaciones anuales y canales utilizados) y asocia a cada uno de los niveles requerimientos diferentes como son: ¾Cuestionario de autorevisión. ¾Chequeo de red trimestral y/o anual. ¾Auditoría de seguridad. 9Los requerimientos más importantes se refieren a comercios que gestionan más de 6 millones de operaciones anuales con cualquiera de las Marcas. 5-julio-2007 Reunión Implantación EMV 20 SOLUCIÓN NACIONAL DE CIFRADO DE PISTAS (SNCP) (I) 9La Solución Nacional de Cifrado de Pistas (SNCP) es un estándar OPCIONAL diseñado conjuntamente por los esquemas de medios de pago españoles, que ha sido aprobado por las marcas (Visa y MasterCard) y que facilita al comercio el cumplimiento de PCI-DSS eliminando los requerimientos formales del programa (como las auditorías o los chequeos de red). 9Esta propuesta conjunta se ha diseñado con el objetivo de aprovechar la migración a EMV, que requiere la instalación de PINPads para procesar las transacciones a partir del chip de la tarjeta. Se ha definido un estándar que incluye la conexión de estos PINPads a la caja registradora y el tratamiento especial de la información de la tarjeta leída, que se cifra desde el origen con claves que permiten el transporte seguro de la información hasta el procesador. 9La SNCP ofrece tres posibles categorías, siendo una de ellas no usar la solución. En función de a cuál de ellas se adhiera el comercio, éste deberá llevar a cabo una serie de acciones para cumplir con PCI-DSS. 5-julio-2007 Reunión Implantación EMV 21 SOLUCIÓN NACIONAL DE CIFRADO DE PISTAS (SNCP) (II) Categoría Implicaciones Categoría 1: El comercio cifra toda la información de la banda Cuestionario PCI-DSS reducido magnética/chip desde el PINpad empleando claves del (1 pregunta), sólo una vez. procesador. Implica cifrar toda la pista 2, incluyendo el número de tarjeta o PAN (sólo el BIN permanecerá en claro por razones de direccionamiento). Categoría 2: El comercio cifra toda la información de la banda - El comercio debe almacenar el magnética/chip desde el PINpad con claves del procesador, PAN truncado o cifrado mediante claves sólo conocidas por él. excepto número de tarjeta o PAN. - Cuestionario PCI-DSS reducido (10 preguntas), sólo una vez. Categoría 3: El comercio accede a toda la información de - Auditoria de seguridad anual tarjeta en claro (NO UTILIZA SNCP). - Chequeo de red trimestral 5-julio-2007 Reunión Implantación EMV 22 Observatorio de Pagos con Tarjeta Electrónica FIN 5 de julio de 2007