emv® especificaciones globales de pagos forum pagos sin contacto globalplatform plataforma segura...
TRANSCRIPT
EMV® ESPECIFICACIONES GLOBALES DE PAGOS DEFINIENDO EL FUTURO DE LOS PAGOS ELECTRONICOS
Fernando Mendez - Grupo de Trabajo de Tokenización de EMVCo
12 June 2014
Derechos de Copia Reservados © 2014 EMVCo
Agenda
2
Introducción a EMVCo
Evolución de los Pagos - Tokenización
Participación en EMVCo
Derechos de Copia Reservados © 2014 EMVCo 4
Misión de EMVCo
Facilitar la aceptación e interoperabilidad global de transacciones seguras de pago mediante la administración y evolución de las especificaciones
EMV y los procesos de prueba relacionados
Derechos de Copia Reservados © 2014 EMVCo
El alcance y participación de EMVCo continúa evolucionando en el tiempo en respuesta a las tecnologías y pagos emergentes y a las necesidades de la
industria
5
Alcance y Participación
Se une
JCB
Se une
American
Express
Expansión de la
participación de
la industria
Junta de
Asesores Europay,
Mastercard,
Visa
Especificación
de Contacto
Administración
de
Interoperabilidad
Proceso de
Aprobación
de Terminales
Especificación
CCD/CPA
Alcance
Participación
Próxima
Generación
Se unen
UnionPay y
Discover
Tokenización
Grupos de Trabajo:
Terminales mPOS,
Seguridad e
Integración Evaluación
de Seguridad
y Aprobación
de Tarjetas
Móvil y Sin
contacto
Derechos de Copia Reservados © 2014 EMVCo 6
Roles de EMVCo y de los Sistemas de Pago
EMVCo
Administrar y evolucionar las especificaciones EMV
Ejecutar pruebas y certificación de productos
Mejorar la seguridad de los pagos
Soportar las Tecnologías Emergentes de Pagos
Foco en proveedores
Sistemas de Pago Global, Regional y Doméstico
Desarrollo de Productos
Mandatos de EMV
Incentivos Comerciales
Políticas de Cambio de Responsabilidad
Foco en Emisores y Adquirentes
Derechos de Copia Reservados © 2014 EMVCo 7
EMVCo – Base para los Pagos Seguros
Productos
- Implementación de Prácticas de Administración de Riesgo
-Opciones de mercado para las instituciones financieras
Infraestructura
- Definición de políticas y guías -Proporcionar servicios de administración
de riesgo - Desarrollo de Productos
- Pruebas Integrales
Especificaciones
-Desarrollo de Especificaciones
- Pruebas Nivel 1 / 2
- Requerimientos de Interoperabilidad
-Definir Mecanismos de Seguridad
Emisores y Adquirentes
Sistemas de Pago
EMVCo
Roles Principales
------------------------
--------------
----
Derechos de Copia Reservados © 2014 EMVCo 8
Beneficios Principales de la Tecnología EMV
• Verifica que el dispositivo de pago del consumidor sea genuino, protegiendo contra el fraude por falsificación tanto para transacciones autorizadas en línea como para las autorizadas fuera de línea
Autenticación Fuerte
• Permite que los Emisores controlen y adecúen el uso del dispositivo de pago del consumidor
• Obliga el envío de transacciones en línea para autenticar bajo ciertas condiciones
Parámetros de Administración de Riesgo
• Permite Firmar de manera digital los datos de pago para proteger la integridad de las transacciones
Integridad de las Transacciones
• Ofrece protección contra robo y extravío para las transacciones EMV
Verificación Robusta
Derechos de Copia Reservados © 2014 EMVCo
Adopción Global de chip EMV de Contacto
9
* Números reportados al Q4 2013 con las últimas estadísticas de American Express, Discover, JCB, MasterCard, UnionPay, y Visa, según lo reportado por sus instituciones financieras
globalmente. No se incluyen datos de Estados Unidos. Cifras reportadas por región y no implican estadísticas por país.
Adopción Global EMV
Derechos de Copia Reservados © 2014 EMVCo
Implementación de Chip EMV
10
2.3 Mil Millones de Tarjetas EMV
36.9 Millones de Terminales EMV
Números reportados al Q4 2013 con las últimas estadísticas de American Express, Discover, JCB, MasterCard, UnionPay, y Visa, según lo
reportado por sus instituciones financieras globalmente. No se incluyen datos de Estados Unidos. Cifras reportadas por región y no implican
estadísticas por país.
Derechos de Copia Reservados © 2014 EMVCo 11
PCI SSC Seguridad de
Datos
GSMA Aplicaciones
Móviles
NFC Forum Pagos sin contacto
GlobalPlatform Plataforma Segura para
Multi-Aplicación
EMVCo Pagos
Interoperables Seguros
Trabajo con Organizaciones Globales
Derechos de Copia Reservados © 2014 EMVCo 13
¿Qué es un Token para Pagos?
Los Tokens de Pago ofrecen una manera adicional de mejorar la seguridad de los pagos digitales y simplificar la experiencia de compra desde un teléfono móvil, una tableta, computadora personal o
cualquier otro dispositivo inteligente Esto se consigue:
Reemplazando el número de cuenta tradicional por un token
único para pagos
Restringiendo el uso del dispositivo de pago por
dispositivo, comercio, tipo de transacción o canal
El proceso de tokenización de los pagos es invisible al consumidor
La actividad fraudulenta se reduce porque:
La aceptación del token para pagos está
limitada a un dominio específico
El token para pagos se puede desligar del número de cuenta
siempre que se requiera
Los números de cuenta están menos expuestos
a compromisos de información
Derechos de Copia Reservados © 2014 EMVCo 14
¿Qué son los tokens que no son de pago?
La tokenización tradicional que existe en la industria gira alrededor de token que no son de pago y que son utilizado principalmente para proteger los números de cuenta de las tarjetas cuando son utilizadas
en operaciones no relacionadas a pagos de los comercios.
Reemplaza el número de cuenta de una tarjeta tradicional por un token único que no es de pago, típicamente después de que el
pago ya ha sido aplicado
Es una medida de protección de los datos que puede ser una capa efectiva de seguridad, sin embargo, no se encuentra diseñado para reemplazar el número
de cuenta de la tarjeta
Los números de cuenta de las tarjetas están menos expuestos a
compromisos de información
El proceso de tokenización no relacionado a pagos es invisible al consumidor
Derechos de Copia Reservados © 2014 EMVCo
Cuenta en el Archivo del Comercio Billetera Digital
Códigos de Barra y QR
El comercio utiliza tokens en lugar de PANs en la base de datos de cuentas en archivo
Una billetera digital permite pagar con la billetera utilizando una cuenta en archivo
Un proveedor con código de barra o QR usa el código utilizando una cuenta en archivo
NFC y Chip
Número de cuenta en NFC o en el chip
15
Card #4
Card #3
Card #2
Card #1
Ejemplos de Actividad con Tokens de Pagos
La amplia proliferación de modelos (tanto para pagos remotos como de proximidad) ha acelerado el uso de los tokens:
Derechos de Copia Reservados © 2014 EMVCo 16
Ejemplo del Proceso de Tokenización en Pagos
Mobile/
Digital Wallet
Interaction
Cardholder
Authorisation
Request:
• Token
• Token Exp. Date
Merchant Acquirer
Authorisation
Response:
• Token
Issuer
Authorisation
Request:
• Token
• Token Exp. Date
Authorisation
Response:
• Token
Authorisation
Request:
• PAN
• PAN Exp. Date
• Token + Token
Exp. Date
Token Vault
Payment Network
De-Tokenise
Token Service Provider
Tarjetahabiente Comercio Adquirente
Interacción
Billetera
Digital / Móvil
Solicitud de
Autorización:
• Token
• Expiración Token
Solicitud de
Autorización:
• Token
• Expiración Token
Solicitud de
Autorización:
• Número de Cuenta
• Expiración
• Token
• Expiración Token
Emisor
Respuesta a la
Autorización:
• Token
Respuesta a la
Autorización:
• Token
Proveedor Servicio Token
Derechos de Copia Reservados © 2014 EMVCo 17
¿Porqué un estándar de tokenización, y porqué EMVCo?
• Los sistemas de tokenización para pagos no son consistentes ni interoperables globalmente
Hoy
• Organismos nacionales reconocieron la necesidad de actuar
Requerimientos domésticos • Compatibilidad con la
infraestructura de pagos existentes para lograr consistencia entre todos los ambientes de pago
Marco global para pagos
• Facilitar los pagos globales de una manera segura e interoperable
•Alcance estratégico, conocimiento de la industria y detalle técnico
Misión de EMVCo
Derechos de Copia Reservados © 2014 EMVCo 18
El Rol de EMVCo en la Tokenización de los Pagos
Lo que NO hace EMVCO
• Proporcionar guía y cambios a las especificaciones EMV de manera aislada
• Desarrollar servicios de token en línea con la especificación EMV
• Implementar soluciones de token para reducir fraude o innovar el comercio
• Mantener el ecosistema implementado y los requerimientos regulatorios
Que hace EMVCo
• Desarrolla especificaciones que soportan transacciones seguras interoperables globalmente
• Mejora las especificaciones en base a la retroalimentación de la industria
• Mantiene relaciones con los proveedores de servicios
• Colabora con otros organismos de la industria
Derechos de Copia Reservados © 2014 EMVCo
Tecnología de Pagos que se complementa
EMV permite la autenticación segura de las aplicaciones de pago
La tokenización en pagos, junto con EMV mejora la experiencia de compra en los diferentes canales
La tokenización en pagos protege contra el uso indebido en otros dominios / canales y
puede utilizarse con tarjetas EMV y dispositivos NFC
19
Derechos de Copia Reservados © 2014 EMVCo 20
Definir
Revisar e identificar componentes clave: • Definir el
ecosistema de tokens
• Definir los nuevos jugadores
• Establecer nuevas definiciones y datos interoperables
Definir alcance del grupo, comunicado de prensa
Afinar
Refinar áreas clave: • Datos de certeza
(Assurance data) • Campos ISO
requeridos • Casos de uso
para tarjeta presente y no presente
Enero: • Definición del
alcance de la especificación v1.0
Publicar
Febrero : • El grupo de
trabajo refina y finaliza la especificación v1.0
• Marzo: • Se publica la
especificación v1.0 en la página de EMVCo y se comunica a la industria
Octubre 2013 – Enero 2014 Enero 2014 – Marzo 2014
Actividades del Grupo de Trabajo de Tokenización de EMVCo
Derechos de Copia Reservados © 2014 EMVCo 21
La nueva especificación incluye los siguientes elementos clave:
Nuevos campos para proporcionar información más completa sobre la
transacción
Un enfoque consistente para identificar y verificar a un consumidor antes de
generar el token
La especificación EMV permitirá:
Asegurar amplia aceptación de un token como reemplazo de un número
de cuenta de una tarjeta
Permitir que los participantes en el ecosistema existente envíen y
autentiquen un token de pagos
Mejora la seguridad de las tarjetas de pago con tokens cuyo uso se encuentra
limitado a ambientes específicos
Foco de la Actividad de Tokenización de EMVCo
Requerimientos para las restricciones basadas en dominios específico prevengan el mal uso del token
Derechos de Copia Reservados © 2014 EMVCo
Estructura EMVCo – 2014
23
Enfoque Estratégico
Comité de Asesores
Asociados de Negocio
Suscriptores
Asociados Técnicos
Comité Ejecutivo
Secretarias Director de Operaciones
Comité de Administración
Grupos de Trabajo
Nivel 1
Aprobación de Terminales
Seguridad
Aprobación de Tarjetas
Evaluación de Seguridad
Inter- operabilidad
Pagos Móviles
Nivel 2 Grupos de Tarea
Enfoque Técnico y de Operaciones