domingo, 29 de agosto de 2010

Tarjeta de Débito EMV Bancaribe



jueves, 26 de agosto de 2010

Consideraciones para emprender un proyecto de migración a EMV

Debido a la considerable inversión económica que deben realizar los bancos para lanzarse a un proyecto tan complejo, como es el de la migración a EMV, los bancos caen en la duda sobre el costo beneficio del proyecto (Business Case), algunos se preguntan, es correcto que esto se base solo en la disminución del fraude?.

Justamente es aquí en donde interviene la gran pregunta sobre qué valor agregado se puede incluir a los productos y servicios dado por esta nueva tecnología, probablemente la emisión de tarjetas inteligentes multi-aplicación nos provea ese tipo de beneficios.

La decisión para migrar a EMV es el inicio de un largo y complejo proyecto que seguramente luego estará lleno de otras decisiones adicionales que se deben tomar, para empezar, la selección de la tecnología correcta es algo que nos facilitará considerablemente el desarrollo del proyecto.

A pesar de que en post anteriores ya hablé sobre algunos puntos indicados aquí, sin embargo la idea es reforzar y mencionar ciertos tips que son muy importantes tenerlos en cuenta.

Static or Dynamic Data Authentication (SDA ó DDA).- La decisión aquí básicamente depende del nivel de seguridad deseado contra el costo de la tarjeta. Con SDA el costo de la tarjeta es el más bajo sin embargo el riesgo es mayor para las transacciones fuera de línea.

El uso de la tarjeta SDA es la alternativa más común para aquellos bancos que recién están entrando a la tecnología EMV y quieren cumplir con los mandatos mínimos que les imponen las marcas, otros escogen DDA debido a que las regulaciones nacionales o locales así lo estipulan y hay otros que se van por DDA debido a que esperan tener beneficios extras que justifican este costo adicional.

Single Application versus Multi-Application ?.- Dependiendo de lo que los bancos piensen o quieren tener a corto ó mediano plazo, esto puede convertirse en una de las razones de negocio que apoyen el proyecto de migración a EMV. Puede que para algunos casos tener una aplicación por tarjeta (single application card) sea lo correcto para la salida inicial, sin embargo existe la posibilidad de que las tarjetas puedan ser usadas para otros propósitos adicionales a los de un sistema de pago básico, entonces es ahí cuando una tarjeta multi-aplicación (multi-application card) es necesaria, a menudo implementar este tipo de valor agregado depende de las relaciones comerciales que un banco pueda establecer con otros socios comerciales.

The importance of Compatibility.- Esto es algo muy importante que se debe tener muy en cuenta al momento de escoger un proveedor de tarjetas inteligentes, como cualquier otra tecnología aquí sucede lo mismo, cuando llega el momento de verdad no todo sucede como lo pintaron inicialmente, es vital escoger una plataforma que nos ofrezca una total interoperabilidad con múltiples proveedores de los servicios adicionales que implica la emisión de una tarjeta EMV, de tal manera que al cambiar los proveedores del chip, los sistemas de emisión o de personalización, etc., no nos afecte las aplicaciones, las certificaciones o los sistemas in-house que tenga cada institución.

jueves, 19 de agosto de 2010

Emitir tarjetas EMV sin tener la infraestructura lista

Debido a que cada vez se hace más necesario y obligatorio la migración de las tarjetas de banda magnética a la tecnología EMV, algunos bancos, con la finalidad de ganar una mejor imagen en el mercado e incluso también con la finalidad de salvar su responsabilidad, buscan desesperadamente llamar la atención emitiendo tarjetas con chip (EMV) sin que se encuentre listo el ecosistema en donde se usarán dichas tarjetas, incluso sin tener lista su propia infraestructura ya sea de puntos de venta ó de cajeros automáticos.

A mi manera de ver, esto es como tener abuelita pero muerta, realmente de que sirve tener en el mercado tarjetas inteligentes si los establecimientos, las redes interbancarias ó redes de medios de pago, cajeros automáticos, NO están listos para aceptar y trabajar con el chip y por lo tanto las transacciones seguirán pasando con banda magnética.

En base a lo anterior y desde mi punto de vista considero más bien contraproducente la entrega de este tipo de tarjetas a los usuarios sin tener al menos las infraestructura propia lista para operar, esto debido a que el hecho de tener que seguir usando la banda deja intacto las posibilidades de fraude y lo que considero aún más grave, es que esto puede contribuir a generar desconfianza de los tarjeta habientes con respecto al uso de esta nueva tecnología.

lunes, 16 de agosto de 2010

Qué pasa con EMV en los EE.UU?

El tema de la migración a EMV sigue siendo un tema muy controvertido para los medios de pago en los Estados Unidos.

Últimamente a habido mucha discusión en los EE.UU sobre si deben adoptar EMV, después de todo EE.UU es la economía más grande que no ha hecho un movimiento decidido hacia la adopción de EMV, aparentemente en estados EE.UU no les interesa mucho EMV y más bien están apuntando hacia los pagos con tarjeta del tipo contactless, mientras que tratan de mitigar el fraude desde otros puntos de vista que indico a continuación.

Casi todos los países de Europa ya han implementado o están terminando de implementar esta tecnología, mientras que Canadá, América Latina y Asia ya se encuentran en este proceso ó por lo menos ya están pensando en adoptar la tecnología de tarjetas inteligentes.

La visión de EMV es crear una tarjeta de crédito ó debito sin fronteras que impida el fraude en los puntos de venta ó en los autoservicios. En los EE.UU la relación entre las diferentes instituciones involucradas con los sistemas de pago, ya sean emisores, adquirientes, redes, suiches, establecimientos es muy diferente y en algunos casos mucho más compleja que en el resto del mundo.

En muchos países, los principales bancos suelen competir en el mercado tanto como emisores y como adquirientes a la vez. Por el contrario, en los EE.UU. los grandes bancos sólo se dedican a una de las dos cosas, principalmente como emisores. De tal manera que hay una clara división en el ecosistema de pagos entre los emisores y los adquirientes. Ambos lados se verán afectados por EMV, y por lo tanto ambas partes tienen que hacer inversiones coordinadas y es aquí justamente en la que ninguna de las partes ha apoyado decididamente la adopción masiva de esta tecnología.

Básicamente tenemos que las siguientes son las principales razones por lo que la tecnología EMV no ha sido adoptada en los EE.UU.

  • El mercado y el sistema de pagos es notablemente diferentes al del resto de mundo en su infraestructura, regulaciones, prácticas comerciales e incluso en las preferencias de pagos de los consumidores.
  • Las instituciones financieras, la redes y los procesadores no han encontrado aún un valor económico para justifique el movimiento a EMV.

Por qué entonces el resto del mundo está adoptando EMV ?. Sabemos que la mitigación del fraude es la principal respuesta, dado que EMV ha contribuido notablemente a la reducción del fraude con tarjetas en los mercados en donde la han adoptado.

El fraude en los EE.UU. es tan significativo como en otros países. Sin embargo, el fraude tiene muchas caras. En los EE.UU., gran parte de la atención se ha dado a la protección contra las violaciones de datos y seguridad, principalmente desde el lado adquirente, el cumplimiento de las normas PCI es una de las principales preocupaciones y los bancos y los procesadores están invirtiendo fuertemente en proteger al consumidor y los datos frente a los ataques.

Sin embargo una de las principales preocupaciones con respecto a la adopción de esta tecnología es lo que pueda pasar en los EE.UU ya que mientras EMV no sea adoptado globalmente siempre van a quedar puertas abiertas para que se sigan cometiendo fraudes y como sabemos los países que no tenga EMV se convertirán en los principales focos para este tipo de delito.

domingo, 21 de marzo de 2010

Porqué dejaron de funcionar las tarjetas EMV en Alemania en Enero del 2010 ?

Seguramente para unos pasó desapercibido pero para otros no, fue una noticia de alcance mundial. Resulta que con el cambio de año del 2009 al 2010 en Alemania, repentinamente dejaron de funcionar aproximadamente 30 millones de tarjetas tanto de crédito como de débito. Justamente estas tarjetas usaban la tecnología EMV que es la tendencia actual hacia la cual nos estamos moviendo, el problema básicamente fue de tipo técnico y la forma de cómo se interpretan los datos y es lo que voy a explicar a continuación.

Sin duda, para la gente de Gemalto, proveedores de este tipo de tarjeta, el inicio de año no fue tan alegre como se esperaba, sobre ellos recaía la responsabilidad de solucionar esta novedad, pues si no se encontraba la forma de seguir usando las mismas tarjetas que ya estaban en poder de los clientes, cambiarlas a todos tendría un costo millonario, teniendo en cuenta el costo mismo de la tarjeta como tal, mas toda la logística de distribución, y las implicaciones e incomodidades que sufrirían los clientes por el servicio, esto incluso causo una caída del valor de la acciones de esta empresa, pero bueno felizmente lograron solucionarlo sin tener que cambiarla.

Resulta que actualmente estoy trabajando en un proyecto para la migración hacia este nuevo estándar y por lo tanto he tenido que penetrar a las propias “tripas” de esta tecnología, ante lo cual me quedaba la duda y la inquietud sobre lo que realmente pasó en Alemania, para así poder tener en cuenta este tipo de novedades así como también poder derivar e imaginar en otras situaciones que se podrían presentar.

A continuación trataré de explicar qué es lo que pasó, realmente, es un problema de tipo técnico, un poquito complejo de entender para quienes no están familiarizados con la forma en que se almacenan los unos y ceros en los componentes de los aparatos digitales, sin embargo trataré de explicarlo de la forma más didáctica posible.

La tecnología EMV por sí misma es bastante complicada de entenderla, las especificaciones incluso son vagas e insuficientes, a pesar de que las primeras versiones públicas datan desde 1996, los diferentes campos que almacenan la información se conocen como TAGs, y a vez cada TAG almacenada los datos es un formato llamado TLV (tag-long-value).

Ahora, con estos antecedentes vamos al problema propiamente dicho, resulta que dentro de los campos que maneja la tarjeta, se almacena la fecha actual (current date) en 3 bytes con formato YYMMDD en binary-code-decimal (BCD). Por ejemplo 1 de Enero del 2010 se almacenaría así “100101” sin embargo esto fue interpretado como si estuviera en hexadecimal y por lo tanto la tarjeta pensaba de que se trataba del año 2016 y por lo tanto las tarjetas se trataban como tarjetas expiradas, para almacenar en hexadecimal 1 de Enero del 2010 correctamente es “0A0101”. Como sabemos mientras los números vayan del 0-9 tanto en BCD como hexadecimal es lo mismo pero si hay problema justamente a partir del 2010.

Al analizar esta novedad, podemos ver que incluso se puede tratar de una novedad que justamente no fue bien manejada en le migración hacia Y2K, y claro por supuesto también hay responsabilidad con quienes programaron, pero sobre todo parece que a nadie en las pruebas y/o controles de calidad se les ocurrió probar con fechas futuras justamente para generar el escenario de tarjetas expiradas.

sábado, 13 de marzo de 2010

Típica forma de clonar tarjetas