Archivo de la categoría: Banca Electrónica

Seminarios de Medios de Pago y Archivo Digital

Deja un comentario

Próximamente impartiré en IIR varios seminarios relacionados con los medios de pago.

Pongo la lista por si alguien se anima:

Además también participo en el de Archivo Digital los próximos 2 y 3 de junio de 2008, semejante al de Desarrollo, protección y gestión del Archivo digitalizado que tuvo lugar el 29 y 30 de enero de 2008.

Campaña “Queremos ordenadores con chipetera“

3 respuestas

He creado una página fija para la Campaña «Ordenadores con chipetera». Por favor difundidla entre vuestras amistades y comunicadme las páginas que hagan referencia a la campaña, para que pueda incluir la reseña.

Igualmente, si conoceis modelos de ordenador que tengan lector de tarjeta chip (especialmente portátiles, porque los de sobremesa lo resuelven fácilmente con un teclado que lo incluya) hacédmelo saber para que los incluya en la lista.

Responsabilidad de las entidades financieras por usar medios de autenticación inseguros

3 respuestas

Desde hace unos cuantos años vengo defendiendo que el mensaje que dan las entidades financieras en los casos de phishing no son correctos. No se trata de que «le hayan engañado al cliente por no ser cuidadoso con las claves» sino que «han engañado al cliente porque el sistema de autenticación que ofrece el banco favorece el engaño«.

Efectivamente, la «ingeniería social» diseña engaños que en ocasiones tienen bien poco de tecnologicos, pero que son muy creibles por la escasa interiorización de los usuarios sobre las materias de seguridad en entornos internet. Pero es que los usuarios no tienen por qué ser especialistas, y las entidades financieras deberían definir «experiencias de usuario» comunes con herramientas básicas de seguridad que permitieran a los usuarios detectar cuando están siendo engañados.

El actual enfoque de la banca frente a las redes de phishing se parece al de las gacelas que se plantean escapar del león. No se trata de correr más que el león, se trata de correr más que la gacela más lenta, que es la que sucumbirá en la carrera. Es decir, cada entidad no se plantea resolver el problema, sino dificultar el fraude solo un poco más que la entidad vecina, contando con que los delincuentes se cebarán primero sobre las entidades más expuestas.

Al final perdemos todos. Los clientes por las molestias causadas, y las entidades financieras por la pérdida de credibilidad, que es lo mismo que la pérdida de confianza. El principal activo de las entidades financieras.

Yo llevo muchos años clamando en el desierto por lo que me parece un enfoque reprobable del tratamiento de la seguridad por las entidades financieras (salvo honrosas excepciones como la de Caixa Galicia), y mi principal crítica es que las entidades no hayan sido capaces de consensuar el modelo común de gestión de la seguridad de sus usarios de banca electrónica, pese a las advertencias de los especialistas y los informes emitidos en el marco del CCI (Centro de Cooperación Interbancaria).

Por otro lado, en cierto modo no me extraña. Si cada vez que las entidades se reunen para cualquer tema la Comisión Nacional de la Competencia ve fantasmas de concertación anticompetitiva, se te quitan las ganas de buscar el bien común.

(Otro dia hablaré de mi percepción sobre la «incompetencia» de la Comisión Nacional de la Competencia).

Así que el artículo aparecido hace unos días en El País, tiene, en mi opinión, un carácter agitador imprescindible. En el Banco de España «ya no cuela» el tema de la responsabilidad del usuario, y es preciso ponerse serios con el problema de la seguridad.

(También estoy tentado de escribir un artículo con mis «recetas»)

El artículo, de Piedad Oregui, apareció en la sección salmón de El País el domingo 13 de abril de 2008.

Tirón de orejas para la banca

El Banco de España critica a las entidades financieras por lavarse las manos ante los casos de fraudes electrónicos

El Banco de España lo tiene claro: las entidades financieras no pueden lavarse las manos en lo relativo al fraude electrónico. Su servicio de reclamaciones -las primeras quejas por este motivo comenzaron a recibirse a finales de 2005 y, desde entonces, se han ido acelerando- es contundente. «No parece equitativo ni proporcionado que las entidades eludan sin más su responsabilidad, dirigiendo a sus clientes a los tribunales de justicia y haciendo recaer en los mismos la totalidad de los importes defraudados. No se estima ajustado a las buenas prácticas bancarias que las entidades, al amparo de las cláusulas contractuales que les exoneran de toda responsabilidad, se desentiendan de los problemas de sus clientes sin realizar actividad probatoria alguna que permita determinar lo realmente sucedido; debiendo, en definitiva, demostrar un cierto grado de diligencia en la gestión de estas reclamaciones de sus clientes. Éstos -no debe olvidarse- han depositado en aquéllas no sólo sus fondos, sino también su confianza».

Clientes indefensos

«Las entidades», prosigue el banco emisor, «al hacer recaer en sus clientes toda la responsabilidad, así como la carga de la prueba de haber actuado correctamente, les colocan en una situación de inferioridad e indefensión, cuando son las propias entidades las que les han ofrecido el sistema y han elegido el mecanismo de seguridad que han estimado más conveniente, resultando, por tanto, que cualquier fraude operado pondría en evidencia la debilidad del sistema de autenticación utilizado».

Son varias las razones que el Banco de España aduce para justificar este tirón de orejas a la banca, y ello pese a que, desde su punto de vista, «con carácter general, las entidades de crédito cuentan con medidas de seguridad internas muy eficaces y acertadas a efectos de prevenir y minimizar el fraude electrónico». Para la máxima autoridad monetaria, en primer lugar, «estas medidas, muy importantes en su fin, no son suficientes para eludir los riesgos, pues las actuales sofisticaciones de los fraudes electrónicos superan las posibilidades del cliente medio que, en general, no es un experto en seguridad informática».

En segundo lugar, por razones técnicas: «Es de sobra conocido que los sistemas de autenticación ofrecidos a los clientes de banca electrónica por la mayoría de las entidades de crédito son sistemas débiles o de un solo factor (una clave fija o aleatoria), a pesar de que la mayoría de los expertos en seguridad informática coinciden al señalar que las medidas de autenticación son más eficaces si incorporan dos factores: algo que el cliente conoce (una clave) y algo que el cliente tiene (un token, un teléfono móvil, etcétera). Estos sistemas de doble factor podrían evitar la captura indebida de la firma electrónica y, por consiguiente, el fraude».

En tercer lugar, por una cuestión de información: «Si bien en los contratos se informa al cliente de las condiciones para operar y de las consecuencias que le depararía un uso indebido de sus claves, no se le suele advertir del riesgo de que éstas puedan ser capturadas por los ciberdelincuentes para su posterior uso con fines delictivos ni de que, en este caso, deberá soportar los quebrantos ocasionados». Por último, la reprimenda tiene también un componente de «falta de responsabilidad». «Tampoco podemos olvidar que el usuario de banca electrónica puede acceder a este servicio no sólo desde su equipo en su domicilio sino también desde lugares públicos como bibliotecas, hoteles o cibercafés y, en muchos casos, sin necesidad de un puesto fijo gracias a las redes inalámbricas».

«Algunas entidades dan publicidad a esta facilidad en su página web», prosigue el razonamiento del Banco de España, «destacando que la banca electrónica permite realizar todo tipo de operaciones bancarias a través de Internet desde cualquier lugar en el que se encuentre y a cualquier hora. Dicho esto, puede resultar un tanto incongruente que si la entidad no ha limitado expresamente las vías de acceso a este canal, pretenda que su cliente sea el único responsable de la falta de seguridad del equipo a través del cual se efectuó la operación fraudulenta».

Responsabilidad de la banca

Por último, desde el Banco de España se recuerda que la recientemente publicada Directiva 2007/64/CE del Parlamento Europeo y del Consejo de 13 de noviembre de 2007 sobre servicios de pago en el mercado interior establece: «Cuando un usuario de servicios de pago niegue haber realizado una operación ya ejecutada (o alegue que ésta se realizó de manera incorrecta), corresponderá a su proveedor demostrar que la operación fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico o cualquier otra deficiencia, teniendo en cuenta que la utilización del instrumento de pago registrada por el proveedor no bastará necesariamente para demostrar que la operación fue autorizada por el ordenante, ni que éste actuó de manera fraudulenta o incumplió deliberadamente o por negligencia grave una o varias de sus obligaciones».

Cuadro: Los fraudes más habituales

  • Fraudes derivados de la utilización con fines fraudulentos de las claves operacionales de clientes de banca electrónica, que tienen como resultado la realización de transferencias de fondos de las cuentas de los clientes a las de terceras personas (que se utilizan como intermediarios, comúnmente conocidos como «muleros»), desde las que a su vez se dispone de los fondos, normalmente en efectivo o mediante envío a través de un establecimiento de cambio o de envío de dinero como Western Union, perdiéndose la pista de la operación, lo que dificulta enormemente la localización de los autores de la estafa.
  • Fraudes o timos tradicionales a través de páginas web (ofertas falsas de venta de productos o servicios difundidos a través de una determinada página web).
  • Casos de suplantación de identidad en los que mediante la utilización de documentación robada -DNI, NIE o pasaporte- se abren cuentas o se contratan operaciones a nombre de la persona que ha sido objeto del robo o sustracción.

Los fraudes derivados del uso de claves de acceso y operación en la mayoría de los casos se originan por la captura de dichas claves a través de alguno de los siguientes sistemas:

  • Phishing: a través de un correo electrónico, generalmente enviado de forma masiva, el usuario recibe un aviso de una entidad de crédito que le indica la necesidad de visitar el sitio web de dicha entidad e introducir sus datos de acceso. La dirección desde la que se envía este correo es generalmente manipulada para confundir al usuario aparentando proceder de una cuenta de correo legítima de la entidad. Este correo incluye un link a la URL que el usuario ha de visitar y que le dirige a un sitio web que no se corresponde con el de la entidad afectada, aunque suele presentar un aspecto y funcionalidades similares. Todos los datos introducidos en la página fraudulenta son convenientemente registrados por los responsables del fraude siendo en algunos casos almacenados en algún fichero de la propia web o enviados a una cuenta de correo electrónico.
  • Pharming: de forma similar al phishing, el fraude se produce por la redirección del usuario hacia una página que suplanta la imagen de la entidad de crédito correspondiente y que recoge los datos de acceso a los servicios online introducidos por el usuario. En este caso, la redirección del usuario hacia páginas distintas de la legítima de la entidad no se realiza con técnicas de ingeniería social sino que se debe a una modificación previa del DNS. Los primeros incidentes de este tipo se debían a una modificación en el fichero host del equipo del usuario, pero nuevas variantes apuntan a la utilización de servidores DNS externos comprometidos o a modificaciones en la configuración del router que proporciona al usuario un acceso a Internet por banda ancha. Este tipo de fraude electrónico se aloja por tanto bajo el dominio legítimo de la entidad cuya resolución DNS proporciona una dirección IP distinta de la legítima.
  • Malware bancario (troyanos, keyloggers, etcétera): bajo este epígrafe se enmarcan todos aquellos casos de fraude a través de cualquier tipo de malware. Un ejemplo de mecanismos de este tipo son los keyloggers, que registran las pulsaciones del teclado y las envían para su posterior utilización sin el conocimiento del usuario. Los capturadores de pantalla presentan un funcionamiento y prestaciones similares. Otros códigos maliciosos detectan cuando el usuario accede al sitio web de una entidad de crédito y, de manera local, inyectan el código correspondiente para capturar las claves de acceso que el usuario introduce.
  • Estafa piramidal / hoax / cartas nigerianas y otros timos tradicionales distribuidos por correo electrónico: en todos los casos se trata de intentos de fraude en los que, bajo diferentes estrategias de ingeniería social, el timador pretende convencer al usuario de que le adelante una determinada cantidad de dinero (que, por supuesto, no volverá a recuperar) o sus datos bancarios o personales (que serán posteriormente utilizados por el timador). Suelen distribuirse a través de correos electrónicos enviados de forma masiva.

Fuente: Servicio de Reclamaciones del Banco de España.

 

Nuevas técnicas de phishing

6 respuestas

Santi Casas me pasa este intento de phishing, que tiene algunas características interesantes:

La dirección utilizada como remitente es del dominio del Banco Popular, «avisos@bancopopular.es», con lo que todas las direcciones que respondan con error al no poder entregarse, serán rebotadas a esta dirección del Banco Popular y, por lo tanto, es posible que se enteren directamente del intento de phishing.

La url a la que se accede mediante el enlace también es del banco popular:

«http://www.bancopopular.es/correo/envio2.asp?_MailTo=a@a.a&_SuccessDocument=http://www.oficinamulticanal.com/AppBPE/servlet/servinp_pf=cp_id=espp_pm=bop_et=pa/»

Se aprovechan de la existencia de un código ASP estándar para mandar correos y donde se pasa como parámetro la URL de retorno, que es la del phishing. Esto es un agujero de seguridad de la web del banco, aunque seguramente los «logs» también les permitirá detectar cosas «anómalas».

Finalmente el dominio que utilizan los atacantes «www.oficinamulticanal.com» (marca que utiliza el Banco Popular), está registrado en un registrador americano (www.domainsite.com), con lo que a la policía no le será excesivamente complicado seguirles la pista .

Asunto:

Aviso de Seguridad
De:

Grupo Banco Popular <avisos@bancopopular.es>
Fecha:

Mon, 07 Apr 2008 21:56:12 +0200
Para:

santi@casas.name

logo

Estimado Cliente:

Según nuestros registros informáticos, hemos detectado que los accesos a su cuenta a través de banca electrónica han sido realizados desde diferentes direcciones IP.

Esto seguramente se debe a que la dirección IP de su ordenador es dinámica y varía constantemente, o debido a que usted ha utilizado más de un ordenador para acceder a su cuenta.

Debido a este suceso y en cumplimiento con la legislación vigente, y para brindar una mayor seguridad a nuestros clientes, le invitamos a acceder al servicio de Banca Multicanal y reactivar su Firma Electrónica.

Para ingresar a su cuenta a través de Banca Multicanal y verificar la actividad de la misma, debe utilizar el siguiente enlace:

https://www2.bancopopular.es/AppBPE/servlet/servinp_pf=c&p_id=esp&p_pm=bo&p_et=pa

Gracias por su ayuda y compresión.

Caixa Galicia acepta contratos electrónicos con el DNI electrónico

3 respuestas

Ayer tuve la ocasión de colaborar con Caixa Galicia en el lanzanmiento una nueva forma de contratación electrónica, pienera entre las entidades financieras y que fue presentada en rueda de prensa en La Coruña.

Rueda de Prensa - Caixa Galicia - José Valiño, Marcelino Fernández, Antonio Vázquez de Parga

En virtud de este desarrollo, las personas que deseen abrir una cuenta Caixa-Galicia-On podrán utilizar su DNI electrónico (DNIe) y otros certificados reconocidos para firmar el contrato por Internet. Todo desde la comodidad de su casa y sin tener que desplazarse a las oficinas de la caja de ahorros o al buzón de correos.  

El nuevo DNIe incluye un chip que contiene dos certificados, uno de autenticación y otro de firma. Algunos bancos y cajas, entre los que se encuentra Caixa Galicia ya han utilizado el certificado de autenticación para identificar a sus clientes cuando acceden a su página web. Caixa Galicia es la primera entidad que habilita el uso del certificado de firma electrónica y posibilita así la contratación de servicios financieros 100% online.  

Este anuncio se produce en el marco de los procesos de innovación que Caixa Galicia ha impulsado desde hace unos años. 

En Mayo de 2002, Caixa Galicia lanza su Oficina por Internet, On Caixa Galicia, con el fin de satisfacer la creciente demanda por parte de los clientes del uso de nuevos canales para la contratación de productos y servicios financieros.
 
Con esta iniciativa, Caixa Galicia marcaba distancias respecto al sector de cajas de ahorro por su mayor y más avanzado uso de las nuevas tecnologías y canales en su actividad comercial.

En ese momento, el proceso de contratación online era doble: por un lado, estaban los clientes de Banca Electrónica de la Caja gallega, que podía contratar productos financieros de manera online, utilizando sus claves como firma de los contratos; y por otro lado, los nuevos clientes, que por motivos de seguridad, debían identificarse a través de un sistema de correspondencia convencional.

Desde el año 2002, el avance tecnológico ha sido constante, y Caixa Galicia ha liderado diferentes iniciativas relacionadas con las mejoras de la autenticación de clientes en los servicios web, con el uso de la telefonía móvil o la funcionalidad disponible en los cajeros automáticos. De hecho, el DNI Electrónico ya se utiliza en Caixa Galicia como sistema de autenticación para acceder a su servicio de Banca Electrónica, Caixa Activa, a través de la página web de la entidad. 

El servicio que hoy se anuncia, reconoce el derecho de los ciudadanos a utilizar el DNI electrónico en sus transacciones telemáticas, y por ello se enmarca en un conjunto de iniciativas legislativas que se han producido durante el año 2007, que afectan a las entidades financieras y a otros sectores, y que se han tenido en cuenta de forma pionera al desarrollar el proyecto:

  • Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.
  • Ley 22/2007, de 11 de julio, sobre comercialización a distancia de servicios financieros destinados a los consumidores.
  • Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información.

El gobierno ha invertido más de 315 millones de euros en el despliegue del DNI electrónico. Próximamente se completará el despliegue de equipamiento en las comisarias de expedición del DNI y ya no será posible conseguir el antiguo DNI al ir a renovar.

En Marzo de 2008 se superará la barrera de los 3 millones de DNIe emitidos y a un ritmo de 20.000 unidades expedidas cada dia,  se estima que 2008 finalizará con más de 6 millones de documentos.

El DNIe va a ser un instrumento de capital importancia en la modernización de las relaciones entre ciudadanos, empresas y administraciones públicas. Muy pronto será habitual utilizarlo para la contratación de todo tipo de servicios por Internet, desde abrir una cuenta bancaria a contratar una hipoteca, pasando por la contratación del seguro del coche o el ADSL.

A la vista de esta tendencia,Caixa Galicia estima para que este año 2008, el 5% de los nuevos contratos de las modalidades de cuenta on-line se perfeccionarán mediante firma electrónica, y que en el año 2009 este sistema se extenderá al 20% de los contratos.

Antonio Vázquez de Parga

Según Antonio Vázquez de Parga, Director de Estrategia Digital de Caixa Galicia: «El DNI electrónico puede suponer una auténtica revolución para el sector bancario. Posibilita nuevos servicios y vías de comunicación. La adaptación de cajeros al nuevo DNIe y la firma electrónica de contratos forman parte de  una ambiciosa estrategia de modernización de Caixa Galicia enfocada a ofrecer servicios más cómodos, ágiles y seguros a nuestros clientes.»

Firma electrónica con el DNI electrónico

Para la prestación de este servicio Caixa Galicia ha llegado a un acuerdo con «Tractis«, una plataforma de contratación electrónica integrada con autoridades de certificación a nivel internacional y que permite la generación, almacenamiento y preservación de evidencias electrónicas con plena validez legal. Para mi es una doble satisfacción como consultor, por un lado por los matices técnicos y legales tenidos en cuenta por Caixa Galicia en el proyecto, y por otro por los considerados en la plataforma Tractis.

En la actualidad, la Oficina Virtual de la entidad gallega cuenta con más de 36.000 clientes y ya supera los 800 millones de euros de volumen de negocio, por lo que se consolida como una entidad de referencia en el sector online.

Tiempo de tertulia: Firma electrónica y Factura electrónica

3 respuestas

Como he dicho, ayer fue un día intenso.

Algo después de las 12:00 participé en una interesante tertulia que se emitirá dentro de algunos días dentro del programa Tiempo de Tertulia.

El tema, uno de mis favoritos. La Firma Electrónica y la Factura Electrónica, salpicado con referencias al DNI electrónico, las barreras sociales a la adopción de la firma electrónica, y las cosas que se podrán hacer con ella, especialmente tras toda la reciente legislación que la estimula.

Y los compañeros de tertulia, insignes especialistas:

  • Juan Crespo de la Dirección General de la Policía
  • Julio Cesar Fernández de CECA
  • Adrián Moure de Safelayer
  • Oski Goldfryd  de FinancialTech Magazine
  • Salvador Soriano del Ministerio de Industria, Turismo y Comercio

y un servidor, Julián Inza de Albalia Interactiva.

Según he leído, Tiempo de Tertulia difundido por ATEI se considera uno de los mejores programas de divulgación.

Una multiencuesta, «Preferencias de los estudiantes universitarios en España e Iberoamérica», realizada con la colaboración de varias Federaciones Universitarias, Asociaciones y Universidades en España y 19 países iberoamericanos, ha recogido por primera vez, con la máxima cualificación, un programa español, «Tiempo de tertulia».

El sondeo considera a este espacio como el «mejor programa de divulgación y contenido cultural en español de TV». En el apartado de «documentales educativos», ha sido elegido National Geographic; como «canal cultural», Canal Historia; y Planeta como la «editorial más completa».

Redes y Procesos, nueva filial de Sistema 4B

2 respuestas

Logo Sistema 4BSegún publica Cinco Dias, Sistema 4B planea crear una sociedad llamada Redes y Procesos en la que delegará las labores de procesamiento de pagos. Así, la propia 4B se dedicará exclusivamente a ejercer como interlocutor en los foros de medios de pago de los ocho bancos que integran la red.

La plataforma Sistema 4B ha propuesto a los ocho bancos que componen su accionariado (Santander, Popular, Banesto, Pastor, Guizpuzcoano, Valencia, Gallego y Banca March) crear una entidad llamada Redes y Procesos para hacerse cargo de todas las cuestiones técnicas derivadas de las transacciones con tarjetas. Los partícipes deberán pronunciarse sobre el proyecto el próximo 26 de febrero.

El proyecto trata de seguir las recomendaciones de la Comisión Europea en el marco de la implantación de SEPA (Single Euro Payment Area) de separar las tareas propias de un esquema (ser interlocutor de los bancos en los foros de medios de pago) de las labores de procesamiento (el trabajo estrictamente técnico de gestión de cobro y pago de operaciones).

Uno de los objetivos de SEPA es fomentar la competencia entre los procesadores de pagos y, para lograrlo, es necesario erradicar la verticalidad vigente hoy día en los mercados nacionales porque impide la irrupción de nuevos actores. En el futuro, un banco o caja debe elegir con qué red europea opera en función de sus tarifas y calidad de servicio y no en base a vinculaciones corporativas.

En España existen tres redes: 4B, Euro 6000 y Servired. En las dos últimas ya están repartidas las tareas de esquema y procesador, por lo menos a nivel nominal. Así, Euro 6000 y Servired ejercen de interlocutores institucionales, mientras CECA y Sermepa son los procesadores. En 4B, ambas tareas recaían sobre la misma sociedad.

La operación se viene desarrollando desde la segunda mitad del 2007 y se ha concretado en la convocatoria de Junta General Extraordinaria de Accionistas aprobada por el Consejo de Administración de la sociedad celebrado el 22 de enero de 2008.

Redes y Procesos nacerá, según la convocatoria a partir de ‘la escisión de la sociedad 4B mediante la segregación de una parte de su patrimonio que, constituyendo una unidad económica, se traspasará en bloque a una la nueva sociedad Redes y Procesos (…) todo ello sin extinción de la primera 4B’. 

Los accionistas recibirán una acción de Redes y Procesos por cada una que tenían en Sistema 4B. De esta forma se mantiene el equilibrio existente. El Grupo Santander (es decir, Banco Santander y Banesto) será el mayor partícipe con un 66,8% del capital. Le sigue Popular, con un 23,5%. Los demás socios (Pastor, Guipuzcoano, Gallego, Valencia y Banca March) contarán con paquetes menores que oscilan entre el 3,55% y el 0,43%.

El proyecto de escisión está estructurado de la siguiente manera. Por un lado, se encuentra 4B como sociedad parcialmente escindida, con un capital social de 2,23 millones de euros dividido en 371.727 acciones con un valor de 6,01 euros cada una.

Y por otro aparece Redes y Procesos como sociedad beneficiaria constituida con un capital social de 828.951 euros repartidos entre 371.727 títulos de 2,23 euros cada uno. La forma jurídica de la nueva compañía será sociedad anónima europea.

En la operación se traspasará parte del patrimonio de 4B a Redes y Procesos. A 31 de agosto de 2007, fecha en que se realizó un análisis del balance de cara a la escisión de la compañía, la plataforma contaba con activos por valor de 11,90 millones.

En la misma linea de adaptaciones forzadas por la implantación de SEPA, hace un año, Servired dejaba de ser una sociedad civil y se convertía en sociedad anónima. Así se preparaba la plataforma de BBVA, La Caixa y Caja Madrid al baile de fusiones y alianzas paneuropeas de esquemas y procesadores que se espera conforme avance el despliegue de SEPA y se dibuje el  panorama de entidades gestoras de los medios de pago de cobertura europea.

En estos movimintos  están tomando posiciones grandes procesadores americanos, como First Data (adquirido por KKR – Kohlberg Kravis Roberts en 2007, tras las adquisiones de Austrian Payment Systems Services y la alemana GZS en 2005), y europeos como Atos Origin (que adquiró los belgas Banksys and Bank Card Company en 2006).

EMV e ISO/IEC 14443 (Paypass)

1 respuesta

EMV - Co SmartCard SpecEsta semana acaba el período de comentarios de EMV Contactless Specifications for Payment Systems.

«EMV» es un acrónimo que hace referencia a las especificaciones emitidas por EMVCo, LLC para definir el funcionamiento de las tarjetas de pago basadas en tarjeta inteligente. Los proveedores señalizan como  «EMV Approved» a sus productos que han superado las pruebas de homologación en base al cumplimiento de estas especificaciones.

Europay International, MasterCard International y Visa International crearon EMVCo, LLC ( «EMVCo») en febrero de 1999 para gestionar, mantener y mejorar las especificaciones EMV para los sistemas de pago conforme los avances tecnológicos y la implantación de de programas de tarjetas chip adquirían protagonismo. Estas especificaciones se habían desarrollado previamente a partir del esfuerzo de las entidades promotoras, dando lugar a las especificaciones EMV’96.

El objetivo de EMVCo es garantizar que un único proceso de homologación de los terminales y de las tarjetas permita la interoperabilidad cruzada. Los Fundadores, Europay, MasterCard y Visa, poseían cada una un tercio de  EMVCo, LLC. Dado que MasterCard se fusionó con Europay pasó a poseer dos tercios  de EMVCo LLC. Con la incorporación de JCB en 2005 se reequilibraron las participaciones.

EMVCo se rije por una Junta de Directores con la igualdad de representación de cada una de las asociaciones de pago. Todas su decisiones relativas a  actividades y acciones requieren el voto unánime de los miembros, es decir, el consenso total.

EMVCo ha desarrollado durante más de diez años las especificaciones que definen los  requisitos para garantizar la interoperabilidad entre las tarjetas con chip y los terminales que las manejan a nivel mundial, independientemente del fabricante, la institución financiera, o el lugar en el que se utiliza la tarjeta.

La última versión de Las especificaciones, EMV 2000 versión 4.1, se publicó en junio de 2004 e incluye las Common CORE Definitions

Y desde octubre de 2007  se desarrolla el proceso de publicación de las normas destinadas a la gestión de la interfaz sin contactos de las tarjetas con chip EMV, con las normas de entrada, y de marco de referencia (EMV Contactless Specifications for Payment Systems – Entry Point Specification – V1.0
 y EMV Contactless Specifications for Payment Systems – Framework for Contactless Evolution – V1.0). Y con las normas de PayPass: EMV Contactless Communication Protocol Specification v2.0 y PayPass – ISO/IEC 14443 Implementation Specification – V1.1 (Proximity Integrated Circuit Cards – PICCs y Proximity Coupling Devices PCDs)

Las Especificaciones EMV se basan en la actual serie ISO 7816 de normas para tarjetas de circuito integrado con contactos.

Las normas ISO 7816 fueron desarrolladas por un grupo interinstitucional de la industria y, por lo tanto contienen opciones aplicables solamente a determinados sectores 

Entre las actividades de EMVCo están las de apoyo a actividades de normalización contribuyendo activamente al proceso de redacción de las normas ISO, a fin de garantizar la plena compatibilidad entre las normas ISO y de los derivados de las especificaciones EMV

Las Especificaciones contienen las opciones  de las normas ISO 7816 relevantes para el sector financiero.

CIT estrena Blog

Deja un comentario

El CIT (Congreso Internacional de Tarjetas) ha superado las 10 ediciones y llega este año redefiniendo su vocación «El evento ibérico de Smart Cards, Identificación y Medios de Pago«. Se celebra desde el 1 al 3 de Abril de 2008 en el Palacio Municipal de Congresos (Campo de las Naciones, Avda. Capital de España Madrid, s/n. 28042 Madrid)

La XI edición, CIT’2008, se consolida como punto de encuentro del sector bancario en los aspectos más tecnológicos, y con la incorporación de otros sectores, como el del transporte, en los que se usan también las diferentes clases de tarjetas de plástico.

Y ahora con una nueva iniciativa: el Blog del CIT 2.0 .  Un espacio abierto a la información y el debate en un nueva dimensión abierta a la interactividad. CIT 2.0. pretende recoger los comentarios acerca de las novedades del sector así como la opiniones y/o sugerencias en torno al propio evento.

A ver si nos vemos por allí. Yo estaré presidiendo la jornada del dia 3, en el track de Identidad Digital y dando algunas ideas para el despliegue del DNI electrónico en las entidades financieras.

Y el dia 2 estaré en la Zona Expo CIT con un Workshop sobre PCI-DSS que espero que os parezca interesante.

Caja Navarra y Telefónica firman un acuerdo estratégico para potenciar la banca móvil

1 respuesta

Enrique Goñi, director general de Caja Navarra, y César Alierta, presidente de Telefónica, firmaron el 21 de enero de 2008  un acuerdo para potenciar el uso de la banca móvil. El acuerdo se ha suscrito en Distrito C, las nuevas instalaciones de Telefónica en Madrid.

De esta forma, Caja Navarra y Telefónica se convierten en socios estratégicos para desarrollar el negocio de la banca móvil. Ambos, tienen como objetivo desarrollar sus servicios para que los usuarios de la banca móvil aprovechen la inmediatez de este tipo de terminales y puedan utilizar los servicios financieros a cualquier hora y desde cualquier lugar. Se pretende, además, desarrollar herramientas de valor añadido combinando los servicios financieros de Can y los de comunicaciones móviles de Telefónica.

Esta orientación hacia la vanguardia tecnológica y la movilidad en los servicios viene recogida en el plan estratégico de Caja Navarra 2007-2010. En él se fija como objetivo que el 75% de sus clientes estén dados de alta en servicios de banca a través de teléfono móvil y un 35% de ellos como usuarios frecuentes.

El nuevo concepto bancario acuñado por Can como la Banca Cívica, es un modelo de relación que se basa en los derechos del cliente y las obligaciones de la entidad financiera.

En este sentido, una de las obligaciones de Can con sus clientes es proveer los servicios de vanguardia que liberen tiempo y faciliten la gestión financiera. En resumen, ocuparse de sus clientes.

Primer proyecto piloto

Un primer fruto del acuerdo entre Caja Navarra y Telefónica consiste en un proyecto piloto por el que se han facilitado a empleados de Can una cantidad limitada de terminales de última generación. Estos teléfonos permiten la navegación por las aplicaciones de banca móvil de Can y ofrecen la posibilidad de realizar todo tipo de transacciones.

La prueba se ha desarrollado inicialmente mediante la entrega de los terminales con el compromiso de un uso garantizado mensual de los servicios de la banca móvil. De esta forma, se consigue un número suficiente de usuarios recurrentes que sirven de plataforma de pruebas para ir mejorando los servicios progresivamente. Además de las operaciones financieras habituales (traspasos, consultas de saldo, transferencias, etc.) se han añadido herramientas innovadoras en cuyo desarrollo ha participado también Telefónica, como el broker online. De esa forma, se ha desarrollado una aplicación que proporciona toda la información de Bolsa, valores y gráficos, y permite operar en tiempo real. También se ha lanzado recientemente la venta de entradas de cine, como una de las aplicaciones de Caja Navarra en el móvil.