Observatorio de Pagos con

Tarjeta Electrnica
Reunin Implantacin EMV

5 de julio de 2007
 AGENDA
9Implantacin EMV: Marco SEPA
Antecedentes
Situacin de despliegue

9Implantacin EMV: Implicaciones Tecnolgicas

Consideraciones
Consideraciones sobre
sobre implantaci
implantacinn

Soluciones
Soluciones dede integraci
integracinn

Certificaci
Certificacinn

9Estndar de Seguridad de Datos: Programa PCI-DSS

Descripci
Descripcinn del
del programa
programa

Soluci
Solucinn Nacional
Nacional de
de Cifrado
Cifrado de
de Pistas
Pistas

5-julio-2007 Reunin Implantacin EMV 2

 ANTECEDENTES
9QU ES EMV?
Estndar de pago con tarjeta creado por las marcas internacionales
(Europay -hoy integrada en MasterCard-, MasterCard y Visa) basado en
TECNOLOGA CHIP, en lugar de en la banda magntica tradicional.
9QU APORTA EL CHIP-EMV?
Capacidad de proceso en la tarjeta (elemento inteligente).
El dilogo tarjeta-terminal es ms elaborado y gana capacidad de
decisin sobre el resultado de la operacin.
SEGURIDAD en la operativa.
Banda
Magntica FIRMA AUTORIZADA / AUTHORIZED SIGNATURE

Host Host
TPV Adquirente Emisor
CHIP Red MP

5-julio-2007 Reunin Implantacin EMV 3

 MARCO SEPA
COMMISSION OF THE EUROPEAN COMMUNITIES

9SEPA (Single European Payment Area):

Proyecto ligado al Euro, impulsado por la Comisin Europea y el Banco Central
Europeo, con el objetivo de crear un rea (EU) en la que se podrn realizar y
recibir pagos en las MISMAS CONDICIONES (sin diferencias nacionales).
Afecta a transferencias, dbitos directos (domiciliaciones) y tarjetas.
9EPC (European Payments Council):
rgano encargado de la toma de decisiones y la coordinacin de las Entidades
Financieras Europeas en materia de pagos, con el propsito (fundacional) de
apoyar y promover SEPA. En el caso de tarjetas, ha elaborado el SEPA Cards
Framework (SCF v.2 de marzo/06).
Para ms informacin: http://www.europeanpaymentscouncil.eu
9Declaracin Conjunta CE y BCE (4 de mayo de 2006):
La Comisin y el Banco Central apoyan los esquemas definidos por el EPC
para las trasferencias y los dbitos directos as como el marco de tarjetas SEPA
como los pilares de los productos SEPA que debern ser introducidos en 2008.

5-julio-2007 Reunin Implantacin EMV 4

 SEPA Cards Framework (SCF)
9Requerimientos asociados a EMV:
EMV es el estndar tecnolgico y de seguridad de las tarjetas SEPA.
Respecto al PIN, debe ser soportado obligatoriamente por los
terminales, quedando a criterio del emisor cundo ser requerido por la
tarjeta.
Los esquemas de pago deben introducir una regla de cambio de
responsabilidad (al menos) y otras posibles medidas para incentivar la
migracin a EMV desde el 1 de enero de 2008.
A partir del 1 de enero de 2008, las entidades financieras deben poder
ofrecer tarjetas EMV (SCF Compliant).
El 31 de diciembre del 2010, todo el parque de tarjetas en circulacin
debe estar migrado a EMV (SCF Compliant).
El 31 de diciembre del 2010, el parque de terminales dependiente de
entidades financieras tiene que estar migrado a EMV.

5-julio-2007 Reunin Implantacin EMV 5

 SEPA Cards Framework (SCF): aplicacin
1. Las entidades financieras realizarn la migracin progresiva de sus
tarjetas a EMV segn su propio calendario y objetivos, dentro del
marco establecido por el EPC para SEPA (2008-2010).

2. Respecto a la autenticacin del titular, cada entidad decidir segn

su propia poltica y criterios el mtodo preferente (PIN o firma) que
requerirn sus tarjetas en los comercios, conforme al marco
establecido para SEPA.
Para ello, todos los terminales EMV soportarn necesariamente la
introduccin del PIN (salvo en los sectores que se identifiquen, como
autopistas, en los que haya dificultad tcnica).
Los adquirentes promovern activamente que las condiciones de acceso a los
terminales en los comercios faciliten la introduccin del PIN.

3. A partir del 1 de enero de 2008, se aplicar una regla de cambio de

responsabilidad a nivel nacional.

5-julio-2007 Reunin Implantacin EMV 6

 Despliegue EMV: EUROPA

En Espaa, aprox. el 70% de las operaciones realizadas por titulares europeos se

hacen ya con tarjetas EMV (mayo/07).
5-julio-2007 Reunin Implantacin EMV 7
 Despliegue EMV: ESPAA (datos may./07)
Unidades % Migrado a
Totales EMV
TPVs 1.228.644 56,9%
Cajeros 58.894 78,5%
Tarjetas 70.065.600 1,7%

9ADQUIRENCIA:
Migracin muy avanzada (tanto en cajeros como en TPVs financieros).
Ratio de compras con tarjetas EMV europeas procesadas por los TPVs
espaoles EMV: 90% en nmero de operaciones, 92% en importe.
Ratio de reintegros de efectivo con tarjetas EMV europeas procesados por los
cajeros espaoles EMV: 95% en nmero de operaciones, 95% en importe.
Experiencias consolidada de certificacin de comercios.
9EMISIN:
Preparacin tcnica e inicio de emisin por parte de entidades en el marco
establecido para SEPA.
5-julio-2007 Reunin Implantacin EMV 8
 AGENDA
9Implantacin EMV: Marco SEPA

Antecedentes
Antecedentes

Situaci
Situacinn de
de despliegue
despliegue

9Implantacin EMV: Implicaciones Tecnolgicas

Consideraciones sobre implantacin
Soluciones de integracin
Certificacin

9Estndar de Seguridad de Datos: Programa PCI-DSS

Descripci
Descripcinn del
del programa
programa

Soluci
Solucinn Nacional
Nacional de
de Cifrado
Cifrado de
de Pistas
Pistas

5-julio-2007 Reunin Implantacin EMV 9

 EMV: Consideraciones Implantacin (I)
Generalidades

9Siempre que la tarjeta disponga de chip se iniciara la Transaccin

chip EMV

9Todas las operaciones actualmente iniciadas con Banda pueden

realizarse con chip (ej: Devolucin)

9La tarjeta deber permanecer insertada en el lector hasta fin de

transaccin.

9En el recibo del comerciante se indicara el modo como se autentica al

cliente (firma o texto indicativo que la operacin fue con PIN)

9El PINpad debe ubicarse de forma que no sea observable por terceros

5-julio-2007 Reunin Implantacin EMV 10

 EMV: Consideraciones Implantacin (II)
Flujo comparativo de la transaccin de pago

Transaccin Banda Magntica Transaccin Chip EMV

CHIP
5036 9825 1425 6935
MANUEL GONZLEZ PREZ

Lectura de Banda Magntica Lectura de Chip

Autenticacin de Tarjeta
Autenticacin Titular (PIN)
Solicitud de Autorizacin Solicitud de Autorizacin
Alternativos
Expulsin tarjeta Chip
Impresin de Recibo y Fin de
Transaccin Impresin de Recibo y Fin de
Transaccin

Autenticacin (Firma) Autenticacin (Firma)

5-julio-2007 Reunin Implantacin EMV 11
 EMV: Soluciones de integracin
Modos Integracin

5036 9825 1425 6935

MANUEL GONZLEZ PREZ

PINpad +
Lector EMV Punto Servicio
Centro
Procesador

- Lector Banda/Chip
PS
-Separado/Hbrido PINpad+
Lector EMV
- Lector/PINpad
PS PS
Flexibilidad
-Integrado/Separado
- PINpad
PINpad+
- Pantalla
Lector EMV
tactil/teclado
PS

5-julio-2007 Reunin Implantacin EMV 12

 EMV: Soluciones de integracin
Estandarizacin (I)

Estndar EMV

5036 9825 1425 6935

MANUEL GONZLEZ PREZ

PINpad+ Punto Servicio

Lector EMV Centro
FLEXIBILIDAD Procesador
SELECCIN
FABRICANTE
(Recomendado)
FACILITAR OPERATIVA
TITULAR PROTOCOLO COMUN:
(Recomendado) INDEPENDIENTE ADQUIRIENTE

5-julio-2007 Reunin Implantacin EMV 13

 EMV: Soluciones de integracin
Estandarizacin (II)

Estndar EMV

5036 9825 1425 6935

MANUEL GONZLEZ PREZ

PINpad+ Punto Servicio

Lector EMV Centro
Protocolo seguro conexin Procesador
PINpad/Terminal
de Pago-PUP
(Recomendado)
Interfase con usuario
(Recomendacin) Protocolo conexin
Punto Servicio/Centro Procesador (PUC-EMV)

5-julio-2007 Reunin Implantacin EMV 14

 EMV: Certificacin (I)
Procedimiento General
Disponibles en mercado mltiples soluciones/fabricantes de equipamiento EMV

5036 9825 1425 6935

MANUEL GONZLEZ PREZ
Centro Emisor

PINpad+ Punto Servicio Centro

Lector EMV Procesador
Certificacin Centro Emisor

CERTIFICACION:
-Validacin configuracin de la conexin
- Validacin configuracin y conformidad PINpad/Lector con EMV (Req.EMV)
- Revisin seguridad de la informacin
- Certificacin protocolo conexin del Punto de Servicio a Centro Procesador
- Pruebas conexin end to end para tarjetas VISA y MCI (Req. EMV)

5-julio-2007 Reunin Implantacin EMV 15

 EMV: Certificacin (II)
Terminales no financieros: Nivel adaptacin a EMV

Numero de Establecimientos con Conexiones PUC

Certificados En proceso Planificados Iniciado Proceso
certificacin (documentacin)
4 5 2 14

5-julio-2007 Reunin Implantacin EMV 16

 AGENDA
9Implantacin EMV: Marco SEPA

Antecedentes
Antecedentes

Situaci
Situacinn de
de despliegue
despliegue

9Implantacin EMV: Implicaciones Tecnolgicas

Consideraciones
Consideraciones sobre
sobre implantaci
implantacinn

Soluciones
Soluciones dede integraci
integracinn

Certificaci
Certificacinn

9Estndar de Seguridad de Datos: Programa PCI-DSS

Descripcin del programa
Solucin Nacional de Cifrado de Pistas

5-julio-2007 Reunin Implantacin EMV 17

 DESCRIPCIN DEL PROGRAMA PCI-DSS (I)
9PCI-DSS es el acrnimo de Payment Card Industry-Data Security
Standards, un programa desarrollado inicialmente por Visa y MasterCard a
nivel global y adoptado despus por Amex, Diners, Discover y JCB.

9Se ha creado una organizacin independiente PCI Security Standards

Council con el objetivo de gestionar los estndares y promover su adopcin
(ms informacin en https://www.pcisecuritystandards.org/).

9PCI-DSS es el programa que define los requisitos de seguridad de cuentas y

tarjetas que tienen que cumplir las organizaciones que procesan, transmiten y
almacenan datos de las mismas. Se trata de un estndar (actualmente en
versin 1.1) que incluye un conjunto de requerimientos asociados a los
siguientes principios:
Construir y mantener una red segura.
Proteger la informacin sobre el titular.
Implementar y mantener un programa de gestin de vulnerabilidades.
Controlar y evaluar las redes regularmente.
Desarrollar y mantener una poltica de seguridad de la informacin.

5-julio-2007 Reunin Implantacin EMV 18

 DESCRIPCIN DEL PROGRAMA PCI-DSS (II)
9Recientemente se ha elegido un consejo de asesores (board
of advisors) en el que participan las siguientes compaas,
de diferentes mbitos, incluyendo grandes establecimientos:
APACS, the U.K. Payments Association Citibank N.A., Global Consumer Group
Bank of America Commonwealth Bank of Australia
British Airways European Payment Council (EPC)
Chase Paymentech Exxon Mobil Corporation
First Data Corporation McDonalds Corporation
JP Morgan Chase and Co. Interac Association
Microsoft Servicios Electronicos Globales S.A. de C.V.
Moneris Solutions Corporation
PayPal
Royal Bank of Scotland
Tesco Stores Ltd.
TSYS Acquiring Solutions
VeriFone Inc
Wal-Mart Stores Inc.
5-julio-2007 Reunin Implantacin EMV 19
 DESCRIPCIN DEL PROGRAMA PCI-DSS (III)
9El programa ha sido interpretado por las distintas Marcas
Internacionales y cada una define sus requisitos particulares:
Visa lo denomina AIS (Account Information Security), ver
http://www.visaeurope.com/aboutvisa/security/ais/main.jsp
MasterCard lo denomina SDP (Site Data Protection), ver
https://sdp.mastercardintl.com/

9Cada una de las Marcas anteriores divide a los comercios en niveles en

funcin de diferentes criterios (nmero de operaciones anuales y
canales utilizados) y asocia a cada uno de los niveles requerimientos
diferentes como son:
Cuestionario de autorevisin.
Chequeo de red trimestral y/o anual.
Auditora de seguridad.

9Los requerimientos ms importantes se refieren a comercios que

gestionan ms de 6 millones de operaciones anuales con cualquiera de
las Marcas.

5-julio-2007 Reunin Implantacin EMV 20

 SOLUCIN NACIONAL DE CIFRADO DE PISTAS
(SNCP) (I)
9La Solucin Nacional de Cifrado de Pistas (SNCP) es un estndar
OPCIONAL diseado conjuntamente por los esquemas de medios de
pago espaoles, que ha sido aprobado por las marcas (Visa y
MasterCard) y que facilita al comercio el cumplimiento de PCI-DSS
eliminando los requerimientos formales del programa (como las
auditoras o los chequeos de red).

9Esta propuesta conjunta se ha diseado con el objetivo de aprovechar

la migracin a EMV, que requiere la instalacin de PINPads para
procesar las transacciones a partir del chip de la tarjeta. Se ha definido
un estndar que incluye la conexin de estos PINPads a la caja
registradora y el tratamiento especial de la informacin de la tarjeta
leda, que se cifra desde el origen con claves que permiten el transporte
seguro de la informacin hasta el procesador.

9La SNCP ofrece tres posibles categoras, siendo una de ellas no usar la
solucin. En funcin de a cul de ellas se adhiera el comercio, ste
deber llevar a cabo una serie de acciones para cumplir con PCI-DSS.
5-julio-2007 Reunin Implantacin EMV 21
 SOLUCIN NACIONAL DE CIFRADO DE PISTAS
(SNCP) (II)
Categora Implicaciones
Categora 1: El comercio cifra toda la informacin de la banda Cuestionario PCI-DSS reducido
magntica/chip desde el PINpad empleando claves del (1 pregunta), slo una vez.
procesador. Implica cifrar toda la pista 2, incluyendo el nmero
de tarjeta o PAN (slo el BIN permanecer en claro por razones
de direccionamiento).

Categora 2: El comercio cifra toda la informacin de la banda - El comercio debe almacenar el

magntica/chip desde el PINpad con claves del procesador, PAN truncado o cifrado mediante
excepto nmero de tarjeta o PAN. claves slo conocidas por l.
- Cuestionario PCI-DSS reducido
(10 preguntas), slo una vez.
Categora 3: El comercio accede a toda la informacin de - Auditoria de seguridad anual
tarjeta en claro (NO UTILIZA SNCP).
- Chequeo de red trimestral

5-julio-2007 Reunin Implantacin EMV 22

Observatorio de Pagos con
Tarjeta Electrnica
FIN

5 de julio de 2007