Índice - BANREDbanred.fin.ec/imagesFTP/7757.EMV_BANRED.pdf · Europay, Mastercard, Visa ... (DDA)....

© Copyright BANRED S.A. Todos los derechos reservados – Confidencial

© Copyright BANRED S.A. Todos los derechos reservados – Confidencial

Guí

a EM

V -

BA

NR

ED

ÍndiceConfidencialidad

Capítulo I: Introducción Propósito de este DocumentoQuien debe utilizar este Documento Descripción Alcance Objetivos Definiciones

Capítulo II: Definiciones y generalidades 1. Qué significa EMV?2. Qué es EMVco? 3. Qué implica la norma JB-2012-2148?

Capítulo III: Tarjetas CHIP1. Cómo funciona una tarjeta con chip? 2. Qué es método de autenticación de datos (SDA/DDA)?3. Sistemas operativos de la tarjeta4. Tamaño de memoria de la tarjeta 5. Tengo que afiliarme a una franquicia para emitir tarjetas con chip?6. Qué es una tarjeta CPA ó de Marca Propia?7. Quiénes pueden emitir tarjetas?8. Debo cambiar mi BIN para un tarjeta CHIP?9. Necesito un certificado en la tarjeta?10. Qué es un Service Code?11. Porqué debo definir una plantilla para mi tarjeta12. Quién me valida la información de la tarjeta?13. Puede la banda y el chip coexistir?14. Cómo puede Banred apoyarme en el proceso?

Capítulo IV: Dispositivos1. Qué implicaciones existen para mi red actual?2. Qué tipos de cambios debo efectuar en el dispositivo?

3

4

16

26

21

23

25

18

7

14

9

444445

1616161717

212121222222

232323

23

24

2525252626262626

1818181818

19

191920

778

1414

99

101111

121212121212

131313

14141414

14

1415

3. Cualquier lectora procesa chip?4. Qué es la certificación de nivel 1? 5. Qué es la certificación de nivel 2? 6. Quién entrega las certificaciones del dispositivo?7. Mi proveedor me dice que está certificado, cómo puedo validarlo?8. Si cambio una funcionalidad pierdo la certificación?9. Cómo puede Banred ayudarme en el proceso?

Capítulo V: Switch transaccional1. Qué funciones realiza el switch transaccional en EMV?2. Qué información se debe intercambiar?3. Qué es Banred Chip Services (BCS)?4. Cuál es el proceso de certificación Banred?5.Cómo puede Banred ayudarme en el proceso?

Capítulo VI: Proceso de autorización 1. Qué es full grade?2. Qué es partial grade?3. Qué es ARQC?4. Qué es ARPC?5. Qué cambios debo efectuar en mis cajas de seguridad (HSM)?6. Mi procesamiento es por banda, debo cambiar todo a chip?7. Qué es Fallback?8. Qué es scripting?9. Cómo puede Banred apoyarme en el proceso?

Capítulo VII: Franquicias1. Que rol juegan las franquicias internacionales?2. Debo certificar mi proceso con las franquicias?3. Cuáles son los primeros pasos para certificarme?4. Cuánto demora el proceso de certificación?5. La certificación es permanente o debo renovarla?6. Cómo puede Banred apoyarme en el proceso?

Capítulo VIII: Interoperabilidad1. Qué es la interoperabilidad?2. Quién es responsable de la interoperabilidad?3. Por qué es importante conocer el ecosistema EMV ?4. Tengo mi propia tarjeta, porqué debo cuidar la interoperabilidad? 5. Como puede Banred apoyarme en el proceso?

Capítulo IX: Acuerdos Banred1. Convivencia banda chip?2. Ingreso de tarjeta y retención?3. Secuencia de entrega tarjeta - dinero?4. Adquiriencia full grade?5. Emisión full/partial grade?6. Tarjeta privada (CPA)?7. Estándar ISO-8583 Banred?8. Versión unificada Diebold?

Anexos

3 © Copyright BANRED S.A. Todos los derechos reservados – Confidencial

Guí

a EM

V -

BA

NR

ED

4© Copyright BANRED S.A. Todos los derechos reservados – Confidencial

ConfidencialidadEste documento se ha diseñado para los usuarios de Banred S.A. que re-quieran tener un conocimiento básico sobre las principales interrogantes que implica la adopción de la tecnología EMV. El documento no debe ser entregado a personas externas y/o no autorizadas.

Cualquier documento adoptado por la empresa en sus procesos operaciona-les y administrativos debe ser clasificado como confidencial.

Capítulo I: El objetivo del presente documento es proporcionar una guía general sobre el proceso de adopción de la tecnología EMV en el procesamiento de las transacciones financieras. Este manual estará disponible para todas aquellas instituciones autorizadas a utilizarlo y que son miembros de Banred S.A.

El propósito de este documento es facilitar una guía que ayude a responder las principales interrogantes con las que se encuentran las instituciones financieras al momento de emprender los procesos de migración a la tecnología EMV.

Este documento contiene las respuestas a las principales interrogantes de las instituciones emisoras y adquirientes interesadas en el proceso de migración a EMV.

El alcance de este documento comprende los siguien-tes aspectos:

Dar respuesta a las principales inquietudes e in-terrogantes sobre el proceso de adopción de la tecnología EMV.

Este documento debe ser utilizado por:

INTRODUCCIÓN

PROPÓSITO DE ESTE DOCUMENTO

DESCRIPCIÓN

ALCANCE

OBJETIVOS

QUIEN DEBE UTILIZAR ESTEDOCUMENTO

Bancos e instituciones miembros de Banred S.A.Las personas que tengan permiso y puedan ac-ceder a la Intranet de Banred S.A. en donde re-posará este documento.

Proporcionar respuestas e información general sobre las principales interrogantes con las que se encuentran las instituciones al momento de emprender un proyecto de migración a la tec-nología EMV.


Guí

a EM

V -

BA

NR

ED


DEFINICIONES

ARPC

Término Descripción

Authorisation ResPonse Cryptogram.Criptograma usado para la autenticación del emisor.

Es un dato dinámico que garantiza que la transacción esautorizada por su verdadero emisor.

ARQC

Back-End

Authorization Request Cryptogram.Criptograma generado por la tarjeta para la autorización

online de las transacciones. Es un dato dinámico que garantiza que una transacción EMV sea única y protege a las

tarjetas contra el fraude o falsificación.

Modalidad en que un ATM es conectado a la Red, mediantela cual el Cajero se conecta al host principal de su Institución y

luego éste se conecta al SWITCH de Banred.

BCS

BITnn

CAM

CVM

CVR

EMV

Campo-nn

Banred Chip Services.

Card Authentication Method.

Cardholder Verification Method.

Card Verification Result.

Europay, Mastercard, Visa

Servicios que presta Banred S.A. a los emisores que no se encuentran preparados con sus sistemas autorizadores para la

adopción de la tecnología EMV.

Método utilizado por el sistema para validar que una tarjetano sea falsa.

Forma utilizada para autenticar que la persona que estepresentando la tarjeta es el verdadero dueño de la misma.

Campo que contiene los resultados de la verificaciónde la tarjeta EMV.

Especificaciones técnicas utilizadas para garantizar lainteroperabilidad de las transacciones con tecnología chip.

Se refiere al número de bit nn utilizado enla mensajería ISO8583.

Se refiere al número de campo nn utilizado en la mensajería ISO8583.

FALLBACK

Front-End

Cuando una tarjeta con chip es procesada usando los datosde la banda magnética debido a que por alguna razón no

pueden ser leídos los datos del chip.

Modalidad en que un ATM es conectado a la Red, bajoesta modalidad el Cajero se conecta directamente al

SWITCH de Banred.

IMKac

ISO8583

MDK

Issuer Master Key for Cryptogram.Se refiere a la llave maestra del emisor utilizada para l

generación y validación del ARQC en Mastercard.

Formato de mensajería estándar usado para la comunicación de mensajes transaccionales entre los bancos, redes y otras

entidades financieras ó comerciales.

OBSOn Behalf-of Service.

Master Derivation Keys.

Servicio que prestan las redes de medios de pago a los emisores de tarjetas EMV que no están preparados para

procesar transacciones EMV.

Se refiere a la llave maestra del emisor utilizada para lageneración y validación del ARQC en Visa.

TVR

TAG

TarjetaHíbrida

TerminalHíbrido

Terminal Verification Result.Campo que contiene los resultados de verificación de la terminal

en una transacción EMV

Término utilizado para referirse a los datos ó parámetrosalmacenados en el chip.

Es una tarjeta que dispone de la tecnología de bandamagnética y chip.

Es un terminal que está preparado para leer tarjetasde banda magnética y chip.

Término Descripción



Guí

a EM

V -

BA

NR

ED

EMV es un estándar de interoperabilidad para tarjetas inteligentes, cajeros automáticos, puntos de venta y demás terminales que soporten el uso de tarjetas con chip, fue diseñado con la finalidad de garantizar la se-guridad de las transacciones con tarjetas de débito y crédito.

El nombre EMV es un acrónimo de Europay Mastercard Visa, las tres compañías que inicialmente colaboraron en la elaboración de esta norma.

EMVco es la organización que se encarga de gestionar, mantener y mejorar las especificaciones EMV para tarje-tas basadas en chip y dispositivos de aceptación, espe-cialmente en los cajeros automáticos (ATMs) y puntos de venta (POS).

EMVCo también establece y administra los procesos de prueba y homologación para evaluar el cumplimiento de las especificaciones EMV.

EMVCo es actualmente propiedad de American Express, JCB, MasterCard y Visa.

Capítulo II: DEFINICIONES Y GENERALIDADES

1. Qué significa EMV?

2. Qué es EMVco?

La superintendencia de bancos mediante la regulación JB-2012-2148 del 26 de Abril del 2012 especifica que las instituciones del sistema financiero deben migrar su parque de tarjetas y terminales de la tecnología de banda magnética a la tecnología de tarjetas inteligentes.

Asimismo dicha regulación establece las siguientes fases, actividades y plazos para el proceso de migración a tarjetas inteligentes en el sistema financiero ecuatoriano.

3. Qué implica la norma JB-2012-2148?

Fase Descripción Tiempos en meses

0

1

6

12

Diagnóstico Inicial de la entidad para implementar tarjetas inteligentes

2 36Entrega de tarjetas inteligentes

Implementar adecuaciones paraoperar con tarjetas inteligentes en:

Cajeros AutomáticosAdquiriencias

Tarjetas de DébitoTarjetas de Crédito



Guí

a EM

V -

BA

NR

ED

Capítulo III: TARJETAS CHIP

Las tarjetas con chip se caracterizan por tener inserta-do en el plástico un microcircuito fuertemente prote-gido por sistemas de encriptación lo cual garantiza un mayor nivel de seguridad para los usuarios.

Las tarjetas con chip se insertan en un terminal y per-manecen allí durante toda la transacción, el chip tiene almacenadas las reglas del emisor y la forma en que debe comportarse al momento de autorizador una transacción.

La búsqueda de sistema operativo con el que traba-jará la tarjeta cae en dos categorías, elegir un sistema operativo propietario ó un sistema operativo abierto.

Los sistemas operativos propietarios corresponden a desarrollos realizados por cierto tipo de empresas en particular en base a prácticas ó definiciones propias que solo son conocidos por ellos, una de las ventaja es su costo, las desventajas son que aquellas tarjetas no permiten cambiar su funcionalidad ó soportar otro tipo de aplicaciones a menos que sean desarrollados por el mismo proveedor, lo cual se traduce en tiempo y costos elevados y además al ser sistemas propietarios para un tipo de fabricante, al momento de cambiar de proveedor esto impacta el proceso de personalización de la tarjetas.

La selección de una plataforma abierta ofrece una mayor cantidad de proveedores y aplicaciones para la tarjeta, estos sistemas permiten cargar y ejecutar

aplicaciones de manera estándar sobre las tarjetas con chip de muchos proveedores lo cual implica a futuro evitar complicaciones y preocupaciones relacionadas con la interoperabilidad y escalabilidad.

Es importante anotar que existen proveedores que ya incluyen las aplicaciones pre-cargadas de acuerdo a las especificaciones EMV adoptadas por las principales franquicias tales como Visa (VSDC) ó Mastercard (M/chip).

Una de las principales ventajas del estándar EMV es la posibilidad de autenticar la tarjeta ya sea por parte del terminal ó por parte del sistema autorizador, estas verificaciones garantizan que todos los elementos que intervienen en una transacción EMV son legítimos.

Los métodos de autenticación de datos más común-mente usados por las tarjetas con chip al momento de procesar una transacción son: Static Data Authentica-tion (SDA) y Dynamic Data Authentication (DDA).

SDA.- Este método es el más simple y más barato, el proceso de autenticación es realizado por el terminal haciendo uso de un esquema de firma digital basado en la téc-nica de claves públicas para confirmar la legitimidad de los datos críticos residentes en a tarjeta y que pre-viamente fueron introducidos en la misma durante el proceso de personalización.

La palabra estática es usada para indicar que siempre se usará la misma firma digital para todas las transac-ciones que se realicen con la tarjeta, por lo tanto para que el chip realice esto no se requiere de un procesa-dor criptográfico.

DDA.- Este método es el más sofisticado y seguro de realizar la autenticación de la tarjeta y requiere que las tarje-tas con chip posean un procesador criptográfico y por lo tanto el costo de las mismas es más alto, de igual forma que la modalidad SDA este método procede a validar los datos contenidos en la tarjeta pero con la característica de que pueden detectar si los datos de la tarjeta han sido copiados o falsificados dado que se genera un criptograma por cada transacción.

1. Cómo funciona una tarjeta con chip?

3. Sistemas operativos de la tarjeta

2. Qué es método de autenticación de datos (SDA/DDA)?



Guí

a EM

V -

BA

NR

ED

El tamaño de la memoria de una tarjeta con chip, también conocida con el nombre de EEPROM (Electrically Erasable Programmable Read Only Mem-ory) determina la complejidad y el número de aplicaciones que pueden ser usadas en una misma tarjeta. En general entre más complejo es el set de aplicaciones a poner en la tarjeta, mayor cantidad de memoria se requi-ere, también dependiendo de cuan avanzado y complejo sea el método de autenticación de la tarjeta el consumo de memoria es mayor.

Se podría decir que una tarjeta con chip que reúna al menos las mínimas características requiere como mínimo 4K de memoria EEPROM para poder trabajar con una sola aplicación de pagos, aunque la flexibilidad y escalabi-lidad a futuro se verá severamente restringida.

No necesariamente. Aunque las principales marcas de tarjetas en el mundo han desarrollado sus pro-pias especificaciones EMV para sus diferentes tipos de tarjetas. En el caso de los miembros de Mastercard, las especificaciones EMV con las que los emisores de-ben cumplir se llaman M/Chip. En el caso de Visa las especificaciones son llamadas Visa Smart Debit Credit (VSDC), así mismo American Express y JCB también han definido sus propias especificaciones EMV.

El estándar EMV y sus especificaciones permiten que los emisores puedan manejar sus propias tarjetas Marca Propia y por lo tanto no se requiere estar afiliado a una franquicia, esto se conoce como tarjetas CPA y se indica a continuación.

CPA (Common payment Application)Se trata de las especificaciones que deben cumplir los emisores que desean emitir sus propias tarjetas con chip bajo la tecnología y estándar EMV sin tener que estar afiliados a una franquicia. Este tipo de tarjetas generalmente son emitidas para ser usados en ámbitos privados, domésticos ó nacionales y por lo tanto para garantizar la interoperabilidad de las mismas debe ex-istir una fuerte coordinación entre los emisores y las redes e instituciones adquirientes.

Todas las instituciones debidamente autorizadas y que actualmente están trabajando con tarjetas de banda magnética pueden emitir tarjetas con chip EMV.

No es necesario.

Depende del uso y de las características que le den tanto los emisores como los adquirientes, se pueden dar casos de tarjetas tipo CPA en que no es necesario el uso de certificados, sin embargo para las tarjetas cuyo método de autenticación es SDA ó DDA si es necesario.

Código de servicio (Service Code) es un campo de tres dígitos que los emisores codifican en la banda mag-nética de una tarjeta. Estos códigos se utilizan para transmitir instrucciones a los terminales de cómo una tarjeta debe ser procesada.

En la preparación para la emisión de tarjetas EMV, los emisores necesitan considerar las implicaciones de hardware, software y del proceso de emisión. Con la finalidad de mantener el orden y control sobre las definiciones de negocio y parámetros de riesgo que luego son trasladados a la tarjeta mediante el proceso de personalización y especialmente cuando se tienen varios productos es importante mantener una plantilla sobre las características de cada de cada una de las tarjetas.

4.Tamaño de memoria de la tarjeta

5. Tengo que afiliarme a una franquicia para emitir tarjetas con chip ?

6. Qué es una tarjeta CPA ó de Marca Propia?

7. Quiénes pueden emitir tarjetas?

8.Debo cambiar mi BIN para un tarjeta CHIP?

9.Necesito un certificado en la tarjeta?

10. Qué es un Service Code?

11. Porqué debo definir una plantilla para mi tarjeta?



Guí

a EM

V -

BA

NR

ED

Los emisores que emiten tarjetas con chip bajo la tecnología EMV deben certificar sus tarjetas ya sea a través de las franquicias ó por medio de una empresa certificadora. Para el caso de las franquicias ellas le indican al emisor las opciones de empresas certificado-ras que dan este tipo de servicio.

La implementación de la tecnología de tarjetas in-teligentes implica que todo el parque de dispositivos en donde se aceptan las tarjetas ya sean cajeros au-tomáticos ó puntos de ventas, el switch y los sistemas autorizadores deben actualizarse ó remplazarse para que sean compatibles con la tecnología chip.

Los terminales en donde se aceptarán las tarjetas con chip (ATMs, POS) deben ser actualizados tanto en su hardware como software debidamente certificado para que sean capaces de procesar transacciones con tec-nología chip.

El consorcio EMVco, el cual a nivel mundial tiene por objetivo garantizar la seguridad, funcionalidad e in-teroperabilidad de todas las transacciones realizadas con tarjetas inteligentes.

EMVco dispone de una página web en donde se pueden verificar las aprobaciones y certificaciones L1 y L2 de los diferentes proveedores (Level 1 Contact Approved In-terface Modules / Level 2 Contact Approved Application Kernels). En la página www.emvco.com en la sección “Approvals & Certification” se puede verificar la lista de los proveedores certificados.

La certificación se mantiene mientras no se hayan efectuado cambios tanto a nivel de la tarjeta como de los dispositivos en donde se usan, en caso de existir cambios en la personalización de la tarjeta así como

No, las lectoras para procesar tarjetas con chip requieren estar preparadas y certificadas para procesar las transacciones de acuerdo a las especifi-caciones establecidas por EMVco.

Es la verificación de que los dispositivos cumplen con los requerimientos para procesar tarjetas con chip. Este nivel se refiere a los aspectos eléctricos y mecánicos que deben tener estos dispositivos para garantizar la correcta interacción entre el terminal y la tarjeta.

Es la verificación de que las funciones de la aplicación de software del terminal cumplen con los requerimien-tos de acuerdo al estándar y por lo tanto garantizan el procesamiento y seguridad de las transacciones.

El estándar y las certificaciones son administrados por la entidad EMVco.

El estándar y las certificaciones son administrados por la entidad EMVco.

Definitivamente la banda y el chip deben coexistir, es-pecialmente la banda magnética se mantendrá por una determinada cantidad de tiempo hasta que finalmente todas las tarjetas y terminales sean reemplazadas para trabajar solo con chip.

La migración a tecnología EMV representa un gran de-safío para las instituciones financieras, no solamente las tarjetas y los terminales cambian drásticamente, sino que también son afectados todos los otros compo-nentes que son parte integral del proceso.

Esto incluye el proceso de emisión y personalización de las tarjetas, los sistemas de criptografía, los sistemas autorizadores, hardware y software de los terminales, del sistema de administración de terminales, el manejo de los parámetros de riesgo, procesos de certificación, educación y entrenamiento a clientes y usuarios de esta nueva tecnología.

Todos estos cambios deben ser cuidadosamente identificados, planeados y correctamente manejados. Para ayudar a las instituciones financieras a lograr un proceso de migración exitoso Banred ofrece los siguientes servicios ya sea en forma de consultoría y/o acompañamiento:

12. Quién me valida la información de la tarjeta ?

1. Qué implicaciones existen para mi red actual?

2. Qué tipos de cambios debo efectuar en el dispositivo?

6. Quién entrega las certificaciones del dispositivo?

7. Mi proveedor me dice que está certi-ficado, cómo puedo validarlo?

8. Si cambio una funcionalidad pierdo la certificación?

3. Cualquier lectora procesa chip?

4. Qué es la certificación de nivel 1?

5. Qué es la certificación de nivel 2 ?

13. Puede la banda y el chip coexistir ?

14. Cómo puede Banred apoyarme en el proceso?

Capacitación EMV tanto para las áreas técnicas como de negocio.Gerencia y acompañamiento en los proyectos de migración.Análisis del impacto operacional.Gap análisis emisor.Gap análisis adquiriente.Elaboración de planes de migración.Pruebas y certificaciones funcionales.

Capítulo IV: DISPOSITIVOS



Guí

a EM

V -

BA

NR

ED en los componentes de hardware y software de los dispositivos y aplicativos es necesario realizar una re-certificación.

La migración a tecnología EMV representa un gran de-safío para las instituciones financieras, no solamente las tarjetas y los terminales cambian drásticamente sino que también son afectados todos los otros com-ponentes que son parte integral del proceso.


Todos estos cambios deben ser cuidadosamente iden-tificados, planeados y correctamente manejados. Para ayudar a las instituciones financieras a lograr un pro-ceso de migración exitoso Banred ofrece los siguientes servicios ya sea en forma de consultoría y/o acompa-ñamiento:

El switch transaccional es el encargado de garantizar el estándar de interoperabilidad bajo el cual la red procesará las transacciones realizadas con tarjetas inteligentes. Por lo tanto el switch es el encarga-do de enviar hacia el emisor los datos del chip que fueron leídos en el terminal para su correspondiente aprobación por parte del emisor, así el emisor puede enviar información de respuesta hacia la tarjetas a través del switch transaccional.

La información a intercambiar entre la tarjeta y el emisor (y viceversa) a través del swicth transaccio-nal corresponde a los datos del chip (EMV data) para la autorización y a su vez el emisor puede enviar co-mandos hacia la tarjeta como respuesta a una trans-acción lo cual es conocido como scripting.

Con la finalidad de ayudar a los emisores en la mi-gración a chip EMV, Banred pone a disposición los siguientes servicios OBS (On Behalf Services).

Conversión de Chip a Banda magnética.-Este servicio consiste en quitar todos los datos del chip de aquellas transacciones que fueron adquiridas en terminales EMV, de tal manera que el mensaje de autorización sea enviado al emisor como si fuera banda magnética. Con este servicio el emisor puede emitir tarjetas con chip sin tener que realizar cam-bios a su host autorizador. Este proceso será eje-cutado por cada transacción EMV que pasa a través de la red. Pre-validación del Criptograma.-Por cada transacción EMV que pasa por la red, este servicio de encarga de la validación del ARQC en base a la llaves proporcionadas por el emisor. Si la transacción es válida el flujo de la misma conti-nua hacia el sistema autorizador del emisor, al re-gresar el mensaje desde del autorizador, el sistema de pre-validación se encarga de añadir el ARPC que es enviado a la tarjeta. Esto permite a los emisores empezar a usar sus tarjetas con chip sin tener que implementar el manejo de esta criptografía en su sistema host autorizador.

9. Cómo puede Banred ayudarme en el proceso ?

1. Qué funciones realiza el switch transaccional en EMV ?

2. Qué información se debeintercambiar?

3. Qué es Banred Chip Services (BCS)?


Capítulo V: SWITCH TRANSACCIONAL



Guí

a EM

V -

BA

NR

ED

Con la finalidad de garantizar la interoperabilidad de las transacciones con chip efectuadas por to-dos los miembros de la red. Banred se encargará de ejecutar pruebas y certificaciones de todas las transacciones procesadas en la red, ya sea en la modalidad Front-End ó Back-End.

4. Cuál es el proceso de certificación Banred?






Capítulo VI: PROCESO DE AUTORIZACIÓN

Este término es usado para describir a un emisor que tiene actualizado su sistema autorizador para verifi-car el ARQC que viene en el campo-55 del mensaje de autorización y de igual forma puede enviar datos de respuesta hacia la tarjeta en el mismo campo-55 (ARPC, scripts, etc.). Lógicamente para esto el emi-sor debe estar en capacidad de manejar la cripto-grafía requerida por el chip a través de sus cajas de seguridad (HSM).

Es término es usado para describir a aquellos emi-sores que no tienen actualizado su sistema autor-izador para soportar la criptografía requerida por el chip y por lo tanto no pueden validar el ARQC ni tampoco devolver datos de la autenticación o enviar scripts hacia la tarjeta, en otras palabras la men-sajería y proceso de autorización es manejado como si se tratará de banda magnética.

El ARQC es un criptograma generado por la tarjeta con los datos de la transacción haciendo uso de la clave del Emisor almacenada en ésta y conocida por el sistema de autorización del Emisor. El Emisor uti-liza este criptograma para autenticar el ARQC y con ello autenticar la tarjeta. Este proceso es conocido como la autenticación en línea de de la tarjeta.

El emisor genera un criptograma conocido como ARPC con ciertos datos de la transacción y lo incluye en el mensaje de respuesta al adquiriente. Este crip-tograma es enviado al terminal en donde se originó la transacción y a su vez el terminal pasa este dato a la tarjeta para que la tarjeta proceda a validar al emisor.

Las cajas de seguridad ó HSM requieren ser cambia-das o actualizadas con la finalidad de que cumplan con las especificaciones EMV para la validación de la criptografía utilizada en las transacciones.

1. Qué es full grade?

2. Qué es partial grade?

3. Qué es ARQC?

4. Qué es ARPC?

5. Qué cambios debo efectuar en mis cajas de seguridad (HSM)?



Guí

a EM

V -

BA

NR

ED

El proceso de migración a chip realmente es a cri-terio del emisor, sin embargo dadas las condiciones del alto índice de fraude y la facilidad con que se pu-eden clonar las tarjetas con banda magnética es re-comendable migrar a chip. Para el caso de aquellos emisores que no estén listos en sus sistemas au-torizadores para procesar transacciones con chip, Banred tiene disponible las facilidades de Banred Chip Services (BCS).

6. Mi procesamiento es por banda, debo cambiar todo a chip?

También conocido como “technical fallback” se pro-duce cuando una tarjeta híbrida es utilizada en un terminal híbrido, en la cual el chip debería ser usado como primera opción, pero debido a una falla ya sea del chip ó del terminal la transacción no se puede realizar usando el chip y entonces dicha transacción se procesa usando la banda magnética. Cuando se presentan este tipo de transacciones el emisor es el responsable de autorizar ó no la transacción.

Son comandos que los emisores pueden generar para ser entregados a la tarjeta a través del terminal en donde se originó la transacción, con el objeto de realizar funciones que no necesariamente son rele-vantes a la transacción vigente pero que son impor-tantes para mantener actualizados los parámetros de la tarjeta.

7. Qué es Fallback?

8. Qué es scripting?








Guí

a EM

V -

BA

NR

ED

Capítulo VII: FRANQUICIAS

Las franquicias internacionales son las encargadas de garantizar que tanto los emisores como adquiri-entes miembros cumplan con las especificaciones de interoperabilidad requerido por EMVco y por la mar-ca, con la finalidad de que todas las tarjetas sean aceptadas, garantizando su funcionalidad y seguri-dad de las transacciones.

El tiempo de certificación es variable y en gran parte de-pende de la modalidad en que se va a certificar, la misma que puede ser como emisor ó como adquiriente.

Para esto las franquicias tienen un conjunto de tareas y tiempo estimados que sirven de base para los procesos de certificación.El proceso termina cuando el conjunto de pruebas, pro-cesos y transacciones han sido ejecutadas satisfacto-riamente y los resultados revisados y aprobados por la autoridad certificadora.

La certificación se mantiene mientras no se hayan efectuado cambios tanto a nivel de la tarjeta como de los dispositivos en donde se usan, en caso de existir cambios en la personalización de la tarjeta así como en los componentes de hardware y software de los dispositivos y aplicativos es necesario realizar una re-certificación.

Todos los emisores ó adquirientes miembros de una franquicia deben certificar sus tarjetas y dispositivos de acuerdo a las normas y regulaciones de EMVco y de la franquicia.

Dependiendo de tipo de certificación a realizar, ya sea como emisor ó como adquiriente uno de los primeros pasos consiste en inscribir el proyecto ante la franquicia luego de lo cual la franquicia se encarga de dar el soporte y las guías de los siguientes pasos a seguir.

1. Que rol juegan las franquicias internacionales?

4. Cuánto demora el proceso de certificación?

5. La certificación es permanente o debo renovarla?

2. Debo certificar mi proceso con las franquicias?

3. Cuáles son los primeros pasos para certificarme?

La migración a tecnología EMV representa un gran desafío para las instituciones financieras, no sola-mente las tarjetas y los terminales cambian drásti-camente sino que también son afectados todos los otros componentes que son parte integral del pro-ceso.

Esto incluye el proceso de emisión y personalización de las tarjetas, los sistemas de criptografía, los siste-mas autorizadores, hardware y software de los ter-minales, del sistema de administración de termina-les, el manejo de los parámetros de riesgo, procesos de certificación, educación y entrenamiento a clien-tes y usuarios de esta nueva tecnología.

Todos estos cambios deben ser cuidadosamente identificados, planeados y correctamente maneja-dos. Para ayudar a las instituciones financieras a lograr un proceso de migración exitoso Banred of-rece los siguientes servicios ya sea en forma de con-sultoría y/o acompañamiento:




Guí

a EM

V -

BA

NR

ED


Capítulo VIII: INTEROPERABILIDAD

Consiste en garantizar que cada uno de los componentes de la cadena (tarjeta, adquiriente, switch, autorizador) que intervienen en el proceso transaccional manejen apropiadamente las transacciones realizadas con tarjetas con chip EMV.

1.Qué es la interoperabilidad?

Se debe cuidar la interoperabilidad con la finalidad de garantizar que la tarjeta pueda ser utilizada sin problemas en cualquier dispositivo.

4. Tengo mi propia tarjeta, porqué debo cuidar la interoperabilidad?

Los emisores y las redes ó switches nacionales o interna-cionales que emiten tarjetas y/o adquieren transacciones con la tecnología chip.

Si bien inicialmente la migración a EMV tiene como base principal combatir el fraude, es importante tener en cuen-ta que la tecnología chip abre muchas oportunidades para innovar y generar nuevas aplicaciones en diferentes áreas que en mediano plazo podrá ser explotado y para lo cual es necesario tener una infra-estructura desarrol-lada y preparada.

2. Quién es responsable de la interoperabilidad?

3. Por qué es importante conocer el ecosistema EMV?

La migración a tecnología EMV representa un gran desafío para las instituciones financieras, no sola-mente las tarjetas y los terminales cambian drásti-camente sino que también son afectados todos los otros componentes que son parte integral del pro-ceso.

Esto incluye el proceso de emisión y personalización de las tarjetas, los sistemas de criptografía, los siste-mas autorizadores, hardware y software de los ter-minales, del sistema de administración de termina-les, el manejo de los parámetros de riesgo, procesos de certificación, educación y entrenamiento a clien-tes y usuarios de esta nueva tecnología.

Todos estos cambios deben ser cuidadosamente identificados, planeados y correctamente maneja-dos. Para ayudar a las instituciones financieras lograr a un proceso de migración exitoso Banred ofrece los siguientes servicios ya sea en forma de consultoría y/o acompañamiento:





Guí

a EM

V -

BA

NR

ED

Capítulo IX: ACUERDOS

Debido a que durante el tiempo que lleve el proceso de migración a EMV existirán en el mercado tarje-tas de banda magnética y tarjetas híbridas (banda y chip) de igual forma sucederá con los terminales, se deben tener las siguientes consideraciones.

1. Convivencia banda/chip?

Las tarjetas con banda magnética coexistirán por algún tiempo.Las tarjetas hibridas soportan banda magnética y chip.Las terminales de solo banda magnética, deberían ser preparados para soportar datos de banda magnética con los nuevos códigos de servicio usados en las tarjetas con chip (2XX ó 6XX).Las terminales híbridas soportan banda magné-tica y chip.Para las transacciones en donde la tarjeta y el terminal estén preparados para EMV, la tec-nología chip debe ser seleccionada primero.

Todos los adquirentes de chip deben operar en full grade EMV. Esto significa que los Adquirentes deben enviar en la transacción la información del chip al emisor e igualmente estar en capacidad de pasar los datos del chip que envía el emisor hacia la tarjeta.

El switch de Banred como tal estará preparado para soportar las transacciones de los emisores en las dos modalidades (full/partial), adicionalmente pone a disposición de sus miembros los servicios Banred Chip Services (BCS) para aquellas instituciones que lo requieran.

El switch de Banred estará preparado para soportar las transacciones de las tarjetas marca propia (CPA) siempre y cuando estas se encuentren certificadas en el cumplimiento de las normas y especificaciones dadas por EMVco.

Banred usará el formato de mensajería ISO8583 (87) para comunicarse con cada una de sus insti-tuciones miembros y soportará las operaciones con datos del chip (data EMV) mediante la utilización del Campo-55 y Campo-23.

4. Adquiriencia full grade?

5. Emisión full/partial grade?

6. Tarjeta privada (CPA)?

7. Estándar ISO-8583 Banred?La forma de operar una transacción realizada con una tarjeta de ban-da magnética es diferente a una transacción realizada con una tarjeta con chip. Para el caso de las tarjetas con chip al momento de ingresar la tarjeta esta permanecerá retenida hasta que finalice la transacción.

Una de la prácticas más comunes en las transacciones realizadas con tarjetas con chip en los cajeros automáticos y con la finalidad de que el cliente no se olvide de retirar la tarjeta al término de la transacción, consiste en programar a los cajeros automáticos para que en las trans-acciones de retiro la secuencia de pasos conduzca al usuario para que primero retire la tarjeta y luego retire el dinero.

2. Ingreso de tarjeta y retención?

3. Secuencia de entrega tarjeta - dinero?

Banred con la finalidad de ayudar a cada uno de sus bancos miembros está apoyando y promoviendo la utilización de una única versión EMV del aplicativo a ser instalado en los cajeros Diebold a nivel nacional (Agilis versión 3.0).

8. Versión unificada Diebold?

facebook.com/BANREDSA y @banred

contáctenos a: [email protected]

Este documento contiene información de propiedad exclusiva. La misma que se mantendrá de forma confidencial y reservada, no pudiendo ser divulgada a personal interno o externo que no sean empleados o funcionarios autorizados de esta compañía, por la naturaleza de sus obligaciones para recibir dicha información, o individuos u organizaciones autorizadas

por Banred S.A. en concordancia con las políticas mantenidas dentro de la Empresa.

Índice - BANREDbanred.fin.ec/imagesFTP/7757.EMV_BANRED.pdf · Europay, Mastercard, Visa ... (DDA)....

Documents

Transcript of Índice - BANREDbanred.fin.ec/imagesFTP/7757.EMV_BANRED.pdf · Europay, Mastercard, Visa ... (DDA)....