Download Capítulo I
Document related concepts
no text concepts found
Transcript
Cualquier lectora procesa chip? Qué es la certificación de nivel 1? Qué es la certificación de nivel 2? Quién entrega las certificaciones del dispositivo? 7. Mi proveedor me dice que está certificado, cómo puedo validarlo? 8. Si cambio una funcionalidad pierdo la certificación? 9. Cómo puede Banred ayudarme en el proceso? Guía EMV - BANRED 3. 4. 5. 6. Capítulo V: Switch transaccional Índice 3 Capítulo I: Introducción 4 4 4 4 4 4 5 Capítulo II: Definiciones y generalidades 7 1. Qué significa EMV? 2. Qué es EMVco? 3. Qué implica la norma JB-2012-2148? 7 7 8 Capítulo III: Tarjetas CHIP 9 1. Cómo funciona una tarjeta con chip? 2. Qué es método de autenticación de datos (SDA/DDA)? 3. Sistemas operativos de la tarjeta 4. Tamaño de memoria de la tarjeta 5. Tengo que afiliarme a una franquicia para emitir tarjetas con chip? 6. Qué es una tarjeta CPA ó de Marca Propia? 7. Quiénes pueden emitir tarjetas? 8. Debo cambiar mi BIN para un tarjeta CHIP? 9. Necesito un certificado en la tarjeta? 10. Qué es un Service Code? 11. Porqué debo definir una plantilla para mi tarjeta 12. Quién me valida la información de la tarjeta? 13. Puede la banda y el chip coexistir? 14. Cómo puede Banred apoyarme en el proceso? Capítulo IV: Dispositivos 1. Qué implicaciones existen para mi red actual? 2. Qué tipos de cambios debo efectuar en el dispositivo? Todos los derechos reservados – Confidencial Capítulo VI: Proceso de autorización Confidencialidad Propósito de este Documento Quien debe utilizar este Documento Descripción Alcance Objetivos Definiciones © Copyright BANRED S.A. 1. Qué funciones realiza el switch transaccional en EMV? 2. Qué información se debe intercambiar? 3. Qué es Banred Chip Services (BCS)? 4. Cuál es el proceso de certificación Banred? 5.Cómo puede Banred ayudarme en el proceso? 9 9 10 11 11 12 12 12 12 12 12 13 13 13 14 14 14 1. 2. 3. 4. 5. Qué es full grade? Qué es partial grade? Qué es ARQC? Qué es ARPC? Qué cambios debo efectuar en mis cajas de seguridad (HSM)? 6. Mi procesamiento es por banda, debo cambiar todo a chip? 7. Qué es Fallback? 8. Qué es scripting? 9. Cómo puede Banred apoyarme en el proceso? Capítulo VII: Franquicias 1. Que rol juegan las franquicias internacionales? 2. Debo certificar mi proceso con las franquicias? 3. Cuáles son los primeros pasos para certificarme? 4. Cuánto demora el proceso de certificación? 5. La certificación es permanente o debo renovarla? 6. Cómo puede Banred apoyarme en el proceso? Capítulo VIII: Interoperabilidad 1. Qué es la interoperabilidad? 2. Quién es responsable de la interoperabilidad? 3. Por qué es importante conocer el ecosistema EMV ? 4. Tengo mi propia tarjeta, porqué debo cuidar la interoperabilidad? 5. Como puede Banred apoyarme en el proceso? Capítulo IX: Acuerdos Banred 1. Convivencia banda chip? 2. Ingreso de tarjeta y retención? 3. Secuencia de entrega tarjeta - dinero? 4. Adquiriencia full grade? 5. Emisión full/partial grade? 6. Tarjeta privada (CPA)? 7. Estándar ISO-8583 Banred? 8. Versión unificada Diebold? Anexos 14 14 14 14 14 14 15 16 16 16 16 17 17 18 18 18 18 18 18 19 19 19 20 21 21 21 21 22 22 22 23 23 23 23 23 24 25 25 25 25 26 26 26 26 26 26 © Copyright BANRED S.A. Todos los derechos reservados – Confidencial Guía EMV - BANRED Confidencialidad Capítulo I: Este documento se ha diseñado para los usuarios de Banred S.A. que requieran tener un conocimiento básico sobre las principales interrogantes que implica la adopción de la tecnología EMV. El documento no debe ser entregado a personas externas y/o no autorizadas. El objetivo del presente documento es proporcionar una guía general sobre el proceso de adopción de la tecnología EMV en el procesamiento de las transacciones financieras. Cualquier documento adoptado por la empresa en sus procesos operacionales y administrativos debe ser clasificado como confidencial. Este manual estará disponible para todas aquellas instituciones autorizadas a utilizarlo y que son miembros de Banred S.A. INTRODUCCIÓN PROPÓSITO DE ESTE DOCUMENTO ALCANCE El propósito de este documento es facilitar una guía que ayude a responder las principales interrogantes con las que se encuentran las instituciones financieras al momento de emprender los procesos de migración a la tecnología EMV. El alcance de este documento comprende los siguientes aspectos: Proporcionar respuestas e información general sobre las principales interrogantes con las que se encuentran las instituciones al momento de emprender un proyecto de migración a la tecnología EMV. QUIEN DEBE UTILIZAR ESTE DOCUMENTO Este documento debe ser utilizado por: Bancos e instituciones miembros de Banred S.A. Las personas que tengan permiso y puedan acceder a la Intranet de Banred S.A. en donde reposará este documento. OBJETIVOS Dar respuesta a las principales inquietudes e interrogantes sobre el proceso de adopción de la tecnología EMV. DESCRIPCIÓN Este documento contiene las respuestas a las principales interrogantes de las instituciones emisoras y adquirientes interesadas en el proceso de migración a EMV. 3 © Copyright BANRED S.A. Todos los derechos reservados – Confidencial © Copyright BANRED S.A. Todos los derechos reservados – Confidencial 4 Guía EMV - BANRED DEFINICIONES Término Descripción ARPC Criptograma usado para la autenticación del emisor. Es un dato dinámico que garantiza que la transacción es autorizada por su verdadero emisor. Authorisation ResPonse Cryptogram. Authorization Request Cryptogram. ARQC Back-End Criptograma generado por la tarjeta para la autorización online de las transacciones. Es un dato dinámico que garantiza que una transacción EMV sea única y protege a las tarjetas contra el fraude o falsificación. BITnn © Copyright BANRED S.A. Card Authentication Method. Campo-nn Se refiere al número de bit nn utilizado en la mensajería ISO8583. CVM Forma utilizada para autenticar que la persona que este presentando la tarjeta es el verdadero dueño de la misma. Cardholder Verification Method. Card Verification Result. Campo que contiene los resultados de la verificación de la tarjeta EMV. Se refiere a la llave maestra del emisor utilizada para l generación y validación del ARQC en Mastercard. ISO8583 Europay, Mastercard, Visa Issuer Master Key for Cryptogram. Formato de mensajería estándar usado para la comunicación de mensajes transaccionales entre los bancos, redes y otras entidades financieras ó comerciales. Master Derivation Keys. MDK Se refiere a la llave maestra del emisor utilizada para la generación y validación del ARQC en Visa. OBS Servicio que prestan las redes de medios de pago a los emisores de tarjetas EMV que no están preparados para procesar transacciones EMV. TVR Campo que contiene los resultados de verificación de la terminal en una transacción EMV TAG Término utilizado para referirse a los datos ó parámetros almacenados en el chip. Tarjeta Híbrida Es una tarjeta que dispone de la tecnología de banda magnética y chip. Terminal Híbrido Es un terminal que está preparado para leer tarjetas de banda magnética y chip. On Behalf-of Service. Terminal Verification Result. Especificaciones técnicas utilizadas para garantizar la interoperabilidad de las transacciones con tecnología chip. FALLBACK Cuando una tarjeta con chip es procesada usando los datos de la banda magnética debido a que por alguna razón no pueden ser leídos los datos del chip. Front-End Modalidad en que un ATM es conectado a la Red, bajo esta modalidad el Cajero se conecta directamente al SWITCH de Banred. Todos los derechos reservados – Confidencial IMKac Se refiere al número de campo nn utilizado en la mensajería ISO8583. Método utilizado por el sistema para validar que una tarjeta no sea falsa. EMV 5 Servicios que presta Banred S.A. a los emisores que no se encuentran preparados con sus sistemas autorizadores para la adopción de la tecnología EMV. CAM CVR Descripción Modalidad en que un ATM es conectado a la Red, mediante la cual el Cajero se conecta al host principal de su Institución y luego éste se conecta al SWITCH de Banred. Banred Chip Services. BCS Término © Copyright BANRED S.A. Todos los derechos reservados – Confidencial 6 Guía EMV - BANRED Capítulo II: DEFINICIONES Y GENERALIDADES 3. Qué implica la norma JB-2012-2148? La superintendencia de bancos mediante la regulación JB-2012-2148 del 26 de Abril del 2012 especifica que las instituciones del sistema financiero deben migrar su parque de tarjetas y terminales de la tecnología de banda magnética a la tecnología de tarjetas inteligentes. Asimismo dicha regulación establece las siguientes fases, actividades y plazos para el proceso de migración a tarjetas inteligentes en el sistema financiero ecuatoriano. 1. Qué significa EMV? EMV es un estándar de interoperabilidad para tarjetas inteligentes, cajeros automáticos, puntos de venta y demás terminales que soporten el uso de tarjetas con chip, fue diseñado con la finalidad de garantizar la seguridad de las transacciones con tarjetas de débito y crédito. Fase Descripción Tiempos en meses 0 Diagnóstico Inicial de la entidad para implementar tarjetas inteligentes 6 1 Implementar adecuaciones para operar con tarjetas inteligentes en: Cajeros Automáticos Adquiriencias Tarjetas de Débito Tarjetas de Crédito 12 2 Entrega de tarjetas inteligentes 36 El nombre EMV es un acrónimo de Europay Mastercard Visa, las tres compañías que inicialmente colaboraron en la elaboración de esta norma. 2. Qué es EMVco? EMVco es la organización que se encarga de gestionar, mantener y mejorar las especificaciones EMV para tarjetas basadas en chip y dispositivos de aceptación, especialmente en los cajeros automáticos (ATMs) y puntos de venta (POS). EMVCo también establece y administra los procesos de prueba y homologación para evaluar el cumplimiento de las especificaciones EMV. EMVCo es actualmente propiedad de American Express, JCB, MasterCard y Visa. 7 © Copyright BANRED S.A. Todos los derechos reservados – Confidencial © Copyright BANRED S.A. Todos los derechos reservados – Confidencial 8 Guía EMV - BANRED Capítulo III: TARJETAS CHIP 1. Cómo funciona una tarjeta con chip? Las tarjetas con chip se caracterizan por tener insertado en el plástico un microcircuito fuertemente protegido por sistemas de encriptación lo cual garantiza un mayor nivel de seguridad para los usuarios. DDA.Este método es el más sofisticado y seguro de realizar la autenticación de la tarjeta y requiere que las tarjetas con chip posean un procesador criptográfico y por lo tanto el costo de las mismas es más alto, de igual forma que la modalidad SDA este método procede a validar los datos contenidos en la tarjeta pero con la característica de que pueden detectar si los datos de la tarjeta han sido copiados o falsificados dado que se genera un criptograma por cada transacción. Las tarjetas con chip se insertan en un terminal y permanecen allí durante toda la transacción, el chip tiene almacenadas las reglas del emisor y la forma en que debe comportarse al momento de autorizador una transacción. 2. Qué es método de autenticación de datos (SDA/DDA)? Una de las principales ventajas del estándar EMV es la posibilidad de autenticar la tarjeta ya sea por parte del terminal ó por parte del sistema autorizador, estas verificaciones garantizan que todos los elementos que intervienen en una transacción EMV son legítimos. Los métodos de autenticación de datos más comúnmente usados por las tarjetas con chip al momento de procesar una transacción son: Static Data Authentication (SDA) y Dynamic Data Authentication (DDA). SDA.Este método es el más simple y más barato, el proceso de autenticación es realizado por el terminal haciendo uso de un esquema de firma digital basado en la técnica de claves públicas para confirmar la legitimidad de los datos críticos residentes en a tarjeta y que previamente fueron introducidos en la misma durante el proceso de personalización. La palabra estática es usada para indicar que siempre se usará la misma firma digital para todas las transacciones que se realicen con la tarjeta, por lo tanto para que el chip realice esto no se requiere de un procesador criptográfico. 9 © Copyright BANRED S.A. Todos los derechos reservados – Confidencial 3. Sistemas operativos de la tarjeta La búsqueda de sistema operativo con el que trabajará la tarjeta cae en dos categorías, elegir un sistema operativo propietario ó un sistema operativo abierto. Los sistemas operativos propietarios corresponden a desarrollos realizados por cierto tipo de empresas en particular en base a prácticas ó definiciones propias que solo son conocidos por ellos, una de las ventaja es su costo, las desventajas son que aquellas tarjetas no permiten cambiar su funcionalidad ó soportar otro tipo de aplicaciones a menos que sean desarrollados por el mismo proveedor, lo cual se traduce en tiempo y costos elevados y además al ser sistemas propietarios para un tipo de fabricante, al momento de cambiar de proveedor esto impacta el proceso de personalización de la tarjetas. aplicaciones de manera estándar sobre las tarjetas con chip de muchos proveedores lo cual implica a futuro evitar complicaciones y preocupaciones relacionadas con la interoperabilidad y escalabilidad. Es importante anotar que existen proveedores que ya incluyen las aplicaciones pre-cargadas de acuerdo a las especificaciones EMV adoptadas por las principales franquicias tales como Visa (VSDC) ó Mastercard (M/ chip). La selección de una plataforma abierta ofrece una mayor cantidad de proveedores y aplicaciones para la tarjeta, estos sistemas permiten cargar y ejecutar © Copyright BANRED S.A. Todos los derechos reservados – Confidencial 10 Guía EMV - BANRED 8.Debo cambiar mi BIN para un tarjeta CHIP? No es necesario. 9.Necesito un certificado en la tarjeta? Depende del uso y de las características que le den tanto los emisores como los adquirientes, se pueden dar casos de tarjetas tipo CPA en que no es necesario el uso de certificados, sin embargo para las tarjetas cuyo método de autenticación es SDA ó DDA si es necesario. 10. Qué es un Service Code? 4.Tamaño de memoria de la tarjeta El tamaño de la memoria de una tarjeta con chip, también conocida con el nombre de EEPROM (Electrically Erasable Programmable Read Only Memory) determina la complejidad y el número de aplicaciones que pueden ser usadas en una misma tarjeta. En general entre más complejo es el set de aplicaciones a poner en la tarjeta, mayor cantidad de memoria se requiere, también dependiendo de cuan avanzado y complejo sea el método de autenticación de la tarjeta el consumo de memoria es mayor. Se podría decir que una tarjeta con chip que reúna al menos las mínimas características requiere como mínimo 4K de memoria EEPROM para poder trabajar con una sola aplicación de pagos, aunque la flexibilidad y escalabilidad a futuro se verá severamente restringida. 5. Tengo que afiliarme a una franquicia para emitir tarjetas con chip ? No necesariamente. Aunque las principales marcas de tarjetas en el mundo han desarrollado sus propias especificaciones EMV para sus diferentes tipos de tarjetas. En el caso de los miembros de Mastercard, las especificaciones EMV con las que los emisores deben cumplir se llaman M/Chip. En el caso de Visa las especificaciones son llamadas Visa Smart Debit Credit (VSDC), así mismo American Express y JCB también han definido sus propias especificaciones EMV. 6. Qué es una tarjeta CPA ó de Marca Propia? CPA (Common payment Application) Se trata de las especificaciones que deben cumplir los emisores que desean emitir sus propias tarjetas con chip bajo la tecnología y estándar EMV sin tener que estar afiliados a una franquicia. Este tipo de tarjetas generalmente son emitidas para ser usados en ámbitos privados, domésticos ó nacionales y por lo tanto para garantizar la interoperabilidad de las mismas debe existir una fuerte coordinación entre los emisores y las redes e instituciones adquirientes. 7. Quiénes pueden emitir tarjetas? Código de servicio (Service Code) es un campo de tres dígitos que los emisores codifican en la banda magnética de una tarjeta. Estos códigos se utilizan para transmitir instrucciones a los terminales de cómo una tarjeta debe ser procesada. 11. Porqué debo definir una plantilla para mi tarjeta? En la preparación para la emisión de tarjetas EMV, los emisores necesitan considerar las implicaciones de hardware, software y del proceso de emisión. Con la finalidad de mantener el orden y control sobre las definiciones de negocio y parámetros de riesgo que luego son trasladados a la tarjeta mediante el proceso de personalización y especialmente cuando se tienen varios productos es importante mantener una plantilla sobre las características de cada de cada una de las tarjetas. Todas las instituciones debidamente autorizadas y que actualmente están trabajando con tarjetas de banda magnética pueden emitir tarjetas con chip EMV. El estándar EMV y sus especificaciones permiten que los emisores puedan manejar sus propias tarjetas Marca Propia y por lo tanto no se requiere estar afiliado a una franquicia, esto se conoce como tarjetas CPA y se indica a continuación. 11 © Copyright BANRED S.A. Todos los derechos reservados – Confidencial © Copyright BANRED S.A. Todos los derechos reservados – Confidencial 12 Guía EMV - BANRED 12. Quién me valida la información de la tarjeta ? Los emisores que emiten tarjetas con chip bajo la tecnología EMV deben certificar sus tarjetas ya sea a través de las franquicias ó por medio de una empresa certificadora. Para el caso de las franquicias ellas le indican al emisor las opciones de empresas certificadoras que dan este tipo de servicio. 13. Puede la banda y el chip coexistir ? Capítulo IV: Definitivamente la banda y el chip deben coexistir, especialmente la banda magnética se mantendrá por una determinada cantidad de tiempo hasta que finalmente todas las tarjetas y terminales sean reemplazadas para trabajar solo con chip. DISPOSITIVOS 14. Cómo puede Banred apoyarme en el proceso? La migración a tecnología EMV representa un gran desafío para las instituciones financieras, no solamente las tarjetas y los terminales cambian drásticamente, sino que también son afectados todos los otros componentes que son parte integral del proceso. Esto incluye el proceso de emisión y personalización de las tarjetas, los sistemas de criptografía, los sistemas autorizadores, hardware y software de los terminales, del sistema de administración de terminales, el manejo de los parámetros de riesgo, procesos de certificación, educación y entrenamiento a clientes y usuarios de esta nueva tecnología. Todos estos cambios deben ser cuidadosamente identificados, planeados y correctamente manejados. Para ayudar a las instituciones financieras a lograr un proceso de migración exitoso Banred ofrece los siguientes servicios ya sea en forma de consultoría y/o acompañamiento: Capacitación EMV tanto para las áreas técnicas como de negocio. Gerencia y acompañamiento en los proyectos de migración. Análisis del impacto operacional. Gap análisis emisor. Gap análisis adquiriente. Elaboración de planes de migración. Pruebas y certificaciones funcionales. 1. Qué implicaciones existen para mi red actual? La implementación de la tecnología de tarjetas inteligentes implica que todo el parque de dispositivos en donde se aceptan las tarjetas ya sean cajeros automáticos ó puntos de ventas, el switch y los sistemas autorizadores deben actualizarse ó remplazarse para que sean compatibles con la tecnología chip. 2. Qué tipos de cambios debo efectuar en el dispositivo? Los terminales en donde se aceptarán las tarjetas con chip (ATMs, POS) deben ser actualizados tanto en su hardware como software debidamente certificado para que sean capaces de procesar transacciones con tecnología chip. 3. Cualquier lectora procesa chip? No, las lectoras para procesar tarjetas con chip requieren estar preparadas y certificadas para procesar las transacciones de acuerdo a las especificaciones establecidas por EMVco. 4. Qué es la certificación de nivel 1? Es la verificación de que los dispositivos cumplen con los requerimientos para procesar tarjetas con chip. Este nivel se refiere a los aspectos eléctricos y mecánicos que deben tener estos dispositivos para garantizar la correcta interacción entre el terminal y la tarjeta. El estándar y las certificaciones son administrados por la entidad EMVco. 13 © Copyright BANRED S.A. Todos los derechos reservados – Confidencial 5. Qué es la certificación de nivel 2 ? Es la verificación de que las funciones de la aplicación de software del terminal cumplen con los requerimientos de acuerdo al estándar y por lo tanto garantizan el procesamiento y seguridad de las transacciones. El estándar y las certificaciones son administrados por la entidad EMVco. 6. Quién entrega las certificaciones del dispositivo? El consorcio EMVco, el cual a nivel mundial tiene por objetivo garantizar la seguridad, funcionalidad e interoperabilidad de todas las transacciones realizadas con tarjetas inteligentes. 7. Mi proveedor me dice que está certificado, cómo puedo validarlo? EMVco dispone de una página web en donde se pueden verificar las aprobaciones y certificaciones L1 y L2 de los diferentes proveedores (Level 1 Contact Approved Interface Modules / Level 2 Contact Approved Application Kernels). En la página www.emvco.com en la sección “Approvals & Certification” se puede verificar la lista de los proveedores certificados. 8. Si cambio una funcionalidad pierdo la certificación? La certificación se mantiene mientras no se hayan efectuado cambios tanto a nivel de la tarjeta como de los dispositivos en donde se usan, en caso de existir cambios en la personalización de la tarjeta así como © Copyright BANRED S.A. Todos los derechos reservados – Confidencial 14 Guía EMV - BANRED en los componentes de hardware y software de los dispositivos y aplicativos es necesario realizar una re-certificación. 9. Cómo puede Banred ayudarme en el proceso ? La migración a tecnología EMV representa un gran desafío para las instituciones financieras, no solamente las tarjetas y los terminales cambian drásticamente sino que también son afectados todos los otros componentes que son parte integral del proceso. Esto incluye el proceso de emisión y personalización de las tarjetas, los sistemas de criptografía, los sistemas autorizadores, hardware y software de los terminales, del sistema de administración de terminales, el manejo de los parámetros de riesgo, procesos de certificación, educación y entrenamiento a clientes y usuarios de esta nueva tecnología. Todos estos cambios deben ser cuidadosamente identificados, planeados y correctamente manejados. Para ayudar a las instituciones financieras a lograr un proceso de migración exitoso Banred ofrece los siguientes servicios ya sea en forma de consultoría y/o acompañamiento: Capítulo V: SWITCH TRANSACCIONAL 1. Qué funciones realiza el switch transaccional en EMV ? El switch transaccional es el encargado de garantizar el estándar de interoperabilidad bajo el cual la red procesará las transacciones realizadas con tarjetas inteligentes. Por lo tanto el switch es el encargado de enviar hacia el emisor los datos del chip que fueron leídos en el terminal para su correspondiente aprobación por parte del emisor, así el emisor puede enviar información de respuesta hacia la tarjetas a través del switch transaccional. Capacitación EMV tanto para las áreas técnicas como de negocio. Gerencia y acompañamiento en los proyectos de migración. Análisis del impacto operacional. Gap análisis emisor. Gap análisis adquiriente. Elaboración de planes de migración. Pruebas y certificaciones funcionales. 3. Qué es Banred Chip Services (BCS)? Con la finalidad de ayudar a los emisores en la migración a chip EMV, Banred pone a disposición los siguientes servicios OBS (On Behalf Services). Conversión de Chip a Banda magnética.Este servicio consiste en quitar todos los datos del chip de aquellas transacciones que fueron adquiridas en terminales EMV, de tal manera que el mensaje de autorización sea enviado al emisor como si fuera banda magnética. Con este servicio el emisor puede emitir tarjetas con chip sin tener que realizar cambios a su host autorizador. Este proceso será ejecutado por cada transacción EMV que pasa a través de la red. Pre-validación del Criptograma.Por cada transacción EMV que pasa por la red, este servicio de encarga de la validación del ARQC en base a la llaves proporcionadas por el emisor. Si la transacción es válida el flujo de la misma continua hacia el sistema autorizador del emisor, al regresar el mensaje desde del autorizador, el sistema de pre-validación se encarga de añadir el ARPC que es enviado a la tarjeta. Esto permite a los emisores empezar a usar sus tarjetas con chip sin tener que implementar el manejo de esta criptografía en su sistema host autorizador. 2. Qué información se debe intercambiar? La información a intercambiar entre la tarjeta y el emisor (y viceversa) a través del swicth transaccional corresponde a los datos del chip (EMV data) para la autorización y a su vez el emisor puede enviar comandos hacia la tarjeta como respuesta a una transacción lo cual es conocido como scripting. 15 © Copyright BANRED S.A. Todos los derechos reservados – Confidencial © Copyright BANRED S.A. Todos los derechos reservados – Confidencial 16 Guía EMV - BANRED 4. Cuál es el proceso de certificación Banred? Con la finalidad de garantizar la interoperabilidad de las transacciones con chip efectuadas por todos los miembros de la red. Banred se encargará de ejecutar pruebas y certificaciones de todas las transacciones procesadas en la red, ya sea en la modalidad Front-End ó Back-End. 5. Cómo puede Banred ayudarme en el proceso ? La migración a tecnología EMV representa un gran desafío para las instituciones financieras, no solamente las tarjetas y los terminales cambian drásticamente sino que también son afectados todos los otros componentes que son parte integral del proceso. Esto incluye el proceso de emisión y personalización de las tarjetas, los sistemas de criptografía, los sistemas autorizadores, hardware y software de los terminales, del sistema de administración de terminales, el manejo de los parámetros de riesgo, procesos de certificación, educación y entrenamiento a clientes y usuarios de esta nueva tecnología. Todos estos cambios deben ser cuidadosamente identificados, planeados y correctamente manejados. Para ayudar a las instituciones financieras a lograr un proceso de migración exitoso Banred ofrece los siguientes servicios ya sea en forma de consultoría y/o acompañamiento: Capacitación EMV tanto para las áreas técnicas como de negocio. Gerencia y acompañamiento en los proyectos de migración. Análisis del impacto operacional. Gap análisis emisor. Gap análisis adquiriente. Elaboración de planes de migración. Pruebas y certificaciones funcionales. 17 © Copyright BANRED S.A. Todos los derechos reservados – Confidencial Capítulo VI: PROCESO DE AUTORIZACIÓN 1. Qué es full grade? Este término es usado para describir a un emisor que tiene actualizado su sistema autorizador para verificar el ARQC que viene en el campo-55 del mensaje de autorización y de igual forma puede enviar datos de respuesta hacia la tarjeta en el mismo campo-55 (ARPC, scripts, etc.). Lógicamente para esto el emisor debe estar en capacidad de manejar la criptografía requerida por el chip a través de sus cajas de seguridad (HSM). 2. Qué es partial grade? 4. Qué es ARPC? Es término es usado para describir a aquellos emisores que no tienen actualizado su sistema autorizador para soportar la criptografía requerida por el chip y por lo tanto no pueden validar el ARQC ni tampoco devolver datos de la autenticación o enviar scripts hacia la tarjeta, en otras palabras la mensajería y proceso de autorización es manejado como si se tratará de banda magnética. El emisor genera un criptograma conocido como ARPC con ciertos datos de la transacción y lo incluye en el mensaje de respuesta al adquiriente. Este criptograma es enviado al terminal en donde se originó la transacción y a su vez el terminal pasa este dato a la tarjeta para que la tarjeta proceda a validar al emisor. 3. Qué es ARQC? El ARQC es un criptograma generado por la tarjeta con los datos de la transacción haciendo uso de la clave del Emisor almacenada en ésta y conocida por el sistema de autorización del Emisor. El Emisor utiliza este criptograma para autenticar el ARQC y con ello autenticar la tarjeta. Este proceso es conocido como la autenticación en línea de de la tarjeta. 5. Qué cambios debo efectuar en mis cajas de seguridad (HSM)? Las cajas de seguridad ó HSM requieren ser cambiadas o actualizadas con la finalidad de que cumplan con las especificaciones EMV para la validación de la criptografía utilizada en las transacciones. © Copyright BANRED S.A. Todos los derechos reservados – Confidencial 18 Guía EMV - BANRED 9. Cómo puede Banred ayudarme en el proceso ? La migración a tecnología EMV representa un gran desafío para las instituciones financieras, no solamente las tarjetas y los terminales cambian drásticamente sino que también son afectados todos los otros componentes que son parte integral del proceso. Esto incluye el proceso de emisión y personalización de las tarjetas, los sistemas de criptografía, los sistemas autorizadores, hardware y software de los terminales, del sistema de administración de terminales, el manejo de los parámetros de riesgo, procesos de certificación, educación y entrenamiento a clientes y usuarios de esta nueva tecnología. 6. Mi procesamiento es por banda, debo cambiar todo a chip? El proceso de migración a chip realmente es a criterio del emisor, sin embargo dadas las condiciones del alto índice de fraude y la facilidad con que se pueden clonar las tarjetas con banda magnética es recomendable migrar a chip. Para el caso de aquellos emisores que no estén listos en sus sistemas autorizadores para procesar transacciones con chip, Banred tiene disponible las facilidades de Banred Chip Services (BCS). 7. Qué es Fallback? Todos estos cambios deben ser cuidadosamente identificados, planeados y correctamente manejados. Para ayudar a las instituciones financieras a lograr un proceso de migración exitoso Banred ofrece los siguientes servicios ya sea en forma de consultoría y/o acompañamiento: Capacitación EMV tanto para las áreas técnicas como de negocio. Gerencia y acompañamiento en los proyectos de migración. Análisis del impacto operacional. Gap análisis emisor. Gap análisis adquiriente. Elaboración de planes de migración. Pruebas y certificaciones funcionales. También conocido como “technical fallback” se produce cuando una tarjeta híbrida es utilizada en un terminal híbrido, en la cual el chip debería ser usado como primera opción, pero debido a una falla ya sea del chip ó del terminal la transacción no se puede realizar usando el chip y entonces dicha transacción se procesa usando la banda magnética. Cuando se presentan este tipo de transacciones el emisor es el responsable de autorizar ó no la transacción. 8. Qué es scripting? Son comandos que los emisores pueden generar para ser entregados a la tarjeta a través del terminal en donde se originó la transacción, con el objeto de realizar funciones que no necesariamente son relevantes a la transacción vigente pero que son importantes para mantener actualizados los parámetros de la tarjeta. 19 © Copyright BANRED S.A. Todos los derechos reservados – Confidencial © Copyright BANRED S.A. Todos los derechos reservados – Confidencial 20 Guía EMV - BANRED Capítulo VII: 6. Cómo puede Banred apoyarme en el proceso? FRANQUICIAS La migración a tecnología EMV representa un gran desafío para las instituciones financieras, no solamente las tarjetas y los terminales cambian drásticamente sino que también son afectados todos los otros componentes que son parte integral del proceso. 1. Que rol juegan las franquicias internacionales? Las franquicias internacionales son las encargadas de garantizar que tanto los emisores como adquirientes miembros cumplan con las especificaciones de interoperabilidad requerido por EMVco y por la marca, con la finalidad de que todas las tarjetas sean aceptadas, garantizando su funcionalidad y seguridad de las transacciones. Esto incluye el proceso de emisión y personalización de las tarjetas, los sistemas de criptografía, los sistemas autorizadores, hardware y software de los terminales, del sistema de administración de terminales, el manejo de los parámetros de riesgo, procesos de certificación, educación y entrenamiento a clientes y usuarios de esta nueva tecnología. 2. Debo certificar mi proceso con las franquicias? Todos los emisores ó adquirientes miembros de una franquicia deben certificar sus tarjetas y dispositivos de acuerdo a las normas y regulaciones de EMVco y de la franquicia. 3. Cuáles son los primeros pasos para certificarme? 4. Cuánto demora el proceso de certificación? Dependiendo de tipo de certificación a realizar, ya sea como emisor ó como adquiriente uno de los primeros pasos consiste en inscribir el proyecto ante la franquicia luego de lo cual la franquicia se encarga de dar el soporte y las guías de los siguientes pasos a seguir. El tiempo de certificación es variable y en gran parte depende de la modalidad en que se va a certificar, la misma que puede ser como emisor ó como adquiriente. Para esto las franquicias tienen un conjunto de tareas y tiempo estimados que sirven de base para los procesos de certificación. El proceso termina cuando el conjunto de pruebas, procesos y transacciones han sido ejecutadas satisfactoriamente y los resultados revisados y aprobados por la autoridad certificadora. Todos estos cambios deben ser cuidadosamente identificados, planeados y correctamente manejados. Para ayudar a las instituciones financieras a lograr un proceso de migración exitoso Banred ofrece los siguientes servicios ya sea en forma de consultoría y/o acompañamiento: Capacitación EMV tanto para las áreas técnicas como de negocio. Gerencia y acompañamiento en los proyectos de migración. Análisis del impacto operacional. Gap análisis emisor. Gap análisis adquiriente. Elaboración de planes de migración. Pruebas y certificaciones funcionales. 5. La certificación es permanente o debo renovarla? La certificación se mantiene mientras no se hayan efectuado cambios tanto a nivel de la tarjeta como de los dispositivos en donde se usan, en caso de existir cambios en la personalización de la tarjeta así como en los componentes de hardware y software de los dispositivos y aplicativos es necesario realizar una recertificación. 21 © Copyright BANRED S.A. Todos los derechos reservados – Confidencial © Copyright BANRED S.A. Todos los derechos reservados – Confidencial 22 Guía EMV - BANRED 5. Cómo puede Banred apoyarme en el proceso? Capítulo VIII: INTEROPERABILIDAD 1.Qué es la interoperabilidad? Consiste en garantizar que cada uno de los componentes de la cadena (tarjeta, adquiriente, switch, autorizador) que intervienen en el proceso transaccional manejen apropiadamente las transacciones realizadas con tarjetas con chip EMV. 2. Quién es responsable de la interoperabilidad? Los emisores y las redes ó switches nacionales o internacionales que emiten tarjetas y/o adquieren transacciones con la tecnología chip. 3. Por qué es importante conocer el ecosistema EMV? Si bien inicialmente la migración a EMV tiene como base principal combatir el fraude, es importante tener en cuenta que la tecnología chip abre muchas oportunidades para innovar y generar nuevas aplicaciones en diferentes áreas que en mediano plazo podrá ser explotado y para lo cual es necesario tener una infra-estructura desarrollada y preparada. La migración a tecnología EMV representa un gran desafío para las instituciones financieras, no solamente las tarjetas y los terminales cambian drásticamente sino que también son afectados todos los otros componentes que son parte integral del proceso. Esto incluye el proceso de emisión y personalización de las tarjetas, los sistemas de criptografía, los sistemas autorizadores, hardware y software de los terminales, del sistema de administración de terminales, el manejo de los parámetros de riesgo, procesos de certificación, educación y entrenamiento a clientes y usuarios de esta nueva tecnología. Todos estos cambios deben ser cuidadosamente identificados, planeados y correctamente manejados. Para ayudar a las instituciones financieras lograr a un proceso de migración exitoso Banred ofrece los siguientes servicios ya sea en forma de consultoría y/o acompañamiento: Capacitación EMV tanto para las áreas técnicas como de negocio. Gerencia y acompañamiento en los proyectos de migración. Análisis del impacto operacional. Gap análisis emisor. Gap análisis adquiriente. Elaboración de planes de migración. Pruebas y certificaciones funcionales. 4. Tengo mi propia tarjeta, porqué debo cuidar la interoperabilidad? Se debe cuidar la interoperabilidad con la finalidad de garantizar que la tarjeta pueda ser utilizada sin problemas en cualquier dispositivo. 23 © Copyright BANRED S.A. Todos los derechos reservados – Confidencial © Copyright BANRED S.A. Todos los derechos reservados – Confidencial 24 Guía EMV - BANRED Capítulo IX: 6. Tarjeta privada (CPA)? El switch de Banred estará preparado para soportar las transacciones de las tarjetas marca propia (CPA) siempre y cuando estas se encuentren certificadas en el cumplimiento de las normas y especificaciones dadas por EMVco. ACUERDOS 1. Convivencia banda/chip? Debido a que durante el tiempo que lleve el proceso de migración a EMV existirán en el mercado tarjetas de banda magnética y tarjetas híbridas (banda y chip) de igual forma sucederá con los terminales, se deben tener las siguientes consideraciones. Las tarjetas con banda magnética coexistirán por algún tiempo. Las tarjetas hibridas soportan banda magnética y chip. Las terminales de solo banda magnética, deberían ser preparados para soportar datos de banda magnética con los nuevos códigos de servicio usados en las tarjetas con chip (2XX ó 6XX). Las terminales híbridas soportan banda magnética y chip. Para las transacciones en donde la tarjeta y el terminal estén preparados para EMV, la tecnología chip debe ser seleccionada primero. 2. Ingreso de tarjeta y retención? 4. Adquiriencia full grade? 7. Estándar ISO-8583 Banred? La forma de operar una transacción realizada con una tarjeta de banda magnética es diferente a una transacción realizada con una tarjeta con chip. Para el caso de las tarjetas con chip al momento de ingresar la tarjeta esta permanecerá retenida hasta que finalice la transacción. Todos los adquirentes de chip deben operar en full grade EMV. Esto significa que los Adquirentes deben enviar en la transacción la información del chip al emisor e igualmente estar en capacidad de pasar los datos del chip que envía el emisor hacia la tarjeta. Banred usará el formato de mensajería ISO8583 (87) para comunicarse con cada una de sus instituciones miembros y soportará las operaciones con datos del chip (data EMV) mediante la utilización del Campo-55 y Campo-23. 5. Emisión full/partial grade? 8. Versión unificada Diebold? El switch de Banred como tal estará preparado para soportar las transacciones de los emisores en las dos modalidades (full/partial), adicionalmente pone a disposición de sus miembros los servicios Banred Chip Services (BCS) para aquellas instituciones que lo requieran. Banred con la finalidad de ayudar a cada uno de sus bancos miembros está apoyando y promoviendo la utilización de una única versión EMV del aplicativo a ser instalado en los cajeros Diebold a nivel nacional (Agilis versión 3.0). 3. Secuencia de entrega tarjeta - dinero? Una de la prácticas más comunes en las transacciones realizadas con tarjetas con chip en los cajeros automáticos y con la finalidad de que el cliente no se olvide de retirar la tarjeta al término de la transacción, consiste en programar a los cajeros automáticos para que en las transacciones de retiro la secuencia de pasos conduzca al usuario para que primero retire la tarjeta y luego retire el dinero. 25 © Copyright BANRED S.A. Todos los derechos reservados – Confidencial © Copyright BANRED S.A. Todos los derechos reservados – Confidencial 26 facebook.com/BANREDSA y @banred contáctenos a: [email protected] Este documento contiene información de propiedad exclusiva. La misma que se mantendrá de forma confidencial y reservada, no pudiendo ser divulgada a personal interno o externo que no sean empleados o funcionarios autorizados de esta compañía, por la naturaleza de sus obligaciones para recibir dicha información, o individuos u organizaciones autorizadas por Banred S.A. en concordancia con las políticas mantenidas dentro de la Empresa.