Seguretat

Protegir les dades personals s'ha convertit en un factor crític i completament necessari avui dia. Per això, hem d'assegurar als nostres clients que en cap moment es posarà en risc les dades de les targetes que processen.

La solució ClearONE utilitza el PUP (Protocol Unificat de Pinpads) amb SNCP (Sistema Nacional de Xifrat de Pistes).

El PUP es utilitzat per a la comunicació entre els Pin-Pads i el TPV responsable d'executar les sol·licituds de pagament. El protocol PRICE per IP certificat s'utilitza per a la comunicació amb el centre autoritzatiu.

Per tant, totes aquelles comunicacions que estableixen els dispositius i les dades que transporten són encriptades en cada cas pels protocols de seguretat establerts.



SNCP (Sistema Nacional de Xifrat de Pistes)

El xifrat SNCP utilitza criptografia simètrica i la seva seguretat està basada en l'adequada protecció de les claus utilitzades.

La dada és encriptada des del datàfon fins al centre autoritzatiu. Aquest model es denomina "E2EE" (End-to-End Encription / xifrat d'extrem a extrem), en el qual la dada s'encripta des del moment de la captura fins al punt final. Així qualsevol entitat intermèdia no tindrà accés a les dades en clar. La gestió de les claus recau en els dos punts de la comunicació.

esquema cifrado

Es té també una solució P2PE (Peer-to-Peer Encription / Xifrat de punt a punt) el qual desencripta i reencripta la dada en cada punt de la comunicació (del comerç al processador, del processador al centre autoritzador). A més, l'únic que pot llegir les claus és el processador, ja que és el que té l'accés a la clau per a desencriptar-les.

esquema cifrado

El gran avantatge d'aquest sistema és que la gestió de les claus és responsabilitat del processador i del fabricant, quedant així, tant els nostres clients com nosaltres mateixos, fora del procés que passaran les claus.

Els terminals han de complir amb HSM (Mòduls de Seguretat de Hardware) amb certificació FIPS 140-2 de nivell III i certificacions PCI-PTS. La implementació d'aquestes certificacions garanteix la seguretat que porten en ells.


EMV - Europay, MasterCard, Visa

Visa MasterCard

Fa alguns anys el pagament per targeta funcionava amb la banda magnètica i una firma manual; un sistema amb un nivell de seguretat limitat. La informació gravada en la banda magnètica era relativament fàcil d'extraure i encara que les mides de seguretat s'anessin afegint, els fraus seguien en augment.

L'estàndard EMV es va crear per a solucionar aquests problemes de seguretat i va anant evolucionant fins a arribar a la versió 4.0 publicat a finals de l'any 2000 i es podria considerar el punt de partida de les noves targetes utilitzades actualment.

Es defineix l'operativa d'una targeta que codifica les dades d'un xip intel·ligent i que utilitza com a principal mètode de validació un PIN (Número d'Identificació Personal) que només el titular de la targeta pot conèixer.

Aquest estàndard també dóna la possibilitat de controlar de manera més detallada l'aprovació de transaccions sense connexió.

El pas de la firma al PIN i de l'ús d'un xip dota al sistema al nivell de seguretat que els mitjans de pagament requereixen avui en dia.

S'utilitzen algoritmes de xifrat DES, Triple DES, RSA i SHA per a la provisió d'autentificació per part de la targeta al terminal que la processa i al centre que s'encarrega de la transacció.

Encara que el procés d'un pagament sigui una mica més lent, a causa dels càlculs criptogràfics necessaris en l'intercanvi de missatges entre la targeta i el terminal, la seguretat que tot aquest complex procés ens proporciona és a compensar pels temps d'espera.

Aquesta millora ha permès als bancs i a les entitats emissores de targetes de crèdit/dèbit iniciar una 'inversió de responsabilitats' segons la qual són ara els comerciants els responsables de tot aquell frau resultant d'una operació realitzada sense EMV en els seus sistemes (des d'1 de gener del 2005).