Archivo de la categoría: Medios de Pago

Caja Madrid implanta el DNI electrónico en los cajeros automáticos adquiridos a Diebold

Deja un comentario

Diebold ha desarrollado junto con Caja Madrid lectores capaces de operar con los nuevos DNI electrónicos. A final de año, la entidad financiera dispondrá de entre 200 y 250 cajeros con este novedoso sistema que el Gobierno y la Dirección General de la Policía quiere implantar en toda España.

El usuario podrá emplear su DNIe en la red de cajeros de la entidad para realizar desde los terminales tanto las transacciones habituales como toda una nueva gama de operaciones y servicios, incluyendo los relacionados con la Administración.

El nuevo DNIe incorpora un pequeño chip electrónico en el que se almacenan algunos datos personales del titular y se dispone de la posibilidad de autenticarlo electrónicamente  o de realizar la firma electrónica. Con este documento digital el ciudadano podrá realizar múltiples gestiones de forma segura a través de medios telemáticos y asegurando la identidad del participante en la operación. La tranquilidad a la hora de realizar cualquier transacción económica se refuerza con los sistemas de seguridad que la entidad incorpora en sus cajeros.

“El usuario podrá emplear su DNI electrónico en la red de cajeros de la entidad para, además de sacar dinero, acceder a cualquier servicio. Desde  solicitar un préstamo personal, hasta tener acceso a todas las cuentas de las que sea titular, independientemente de a qué tarjeta esté asociado. Por otro lado, este novedoso servicio facilita la realización de gestiones con las Administraciones Públicas, ya que ofrece la posibilidad de hacer de forma rápida y segura gran número de trámites de tipo administrativo”, explica Emilio Bolea, director de autoservicio del área de servicio de canales de Caja Madrid, que confirma además, que la entidad financiera dispondrá a finales de este año de entre 200 y 250 cajeros con este novedoso sistema.

Diebold, por su parte, ve en nuestro país un mercado financiero muy interesante y con un potencial de crecimiento amplio. “El concepto que solemos tener de cajero automático abarca sólo una de las posibles aplicaciones de estos equipos: la tarea de dispensar dinero. Sin embargo, existen otras opciones que serán una realidad en los próximos años como petición de información de productos financieros, transferencias electrónicas de fondos, pagos de recibos, tasas municipales o impuestos, concesión de préstamos, hipotecas, transacciones de bolsa de valores….y un largo etcétera que permitirá la descongestión de las agencias financieras y sucursales bancarias, liberándolas de todas estas tareas automatizables y orientándolas a la atención personalizada al cliente”, explica el director general comercial de esta compañía, José G. Moreno

Diebold, que gestiona actualmente 55.000 cajeros automáticos en los países de la zona euro, cuenta con más de 4.000 cajeros automáticos instalados en España y alrededor de 100 empleados al servicio de las entidades financieras. Además, algunas alianzas con entidades financieras han facilitado que ocupe la primera posición en el mercado latinoamericano de autoservicio financiero, con un 60% de cuota de mercado. México, Argentina o Brasil son algunos de los países en los que esta multinacional americana esta presente mediante bancos españoles.

———
Diebold Incorporated es el líder global en suministro de sistemas y servicios integrados de autoservicio para entidades financieras. Fundada en 1859 cuenta con representación en 90 países en todo el mundo y sus oficinas principales están ubicadas en Canton, Ohio, USA. La compañía confirmó que durante el año 2006, obtuvo unos ingresos de 29.5 millones de dólares, frente a los 26 millones en el mismo periodo del año anterior y sus acciones se negocian públicamente en la bolsa de Nueva York bajo el símbolo de ‘DBD.’En España Diebold opera a través de su filial Diebold España. Más información disponible a través de Internet en www.diebold.com

ABANCE. Autoridad BANcaria de CErtificacion. PKI del sector financiero

Deja un comentario

Desde el año 2004 estoy presentando ABANCE en diferentes entornos.

Por ejemplo, en el CIT, el Congreso Internacional de Tarjetas que organiza IIR. A lo largo de esta última década, el evento ha sido testigo de la evolución y transformación del sector de las tarjetas y los medios de pago. Desde hace varios años. ABANCE se ha presentado o comentado en estos eventos:

Además, lo he mencionado en algunos eventos:

Y en algunos artículos:

  • Red Seguridad (noviembre 2006)
  • PC PYMES (ver)
  • VNU NET (ver)
  • Tribuna PC PYMES (ver)
  • Financial Tech Magazine (ver)

Y, por supuesto, en este Blog:

También he incluido información en la Presentación de Albalia Interactiva  (este PPT convertido a PDF incluye información sobre ABANCE)

El objetivo del proyecto es contribuir a la creación de una infraestructura de certificación común para la banca, que permita poner en valor inversiones anteriores y aprovechar las ventajas creadas por los desarrollos legislativos y la madurez de la tecnología.

Parte de los logros de iniciativas como Consorcio Iberion, GTA (Global Trust Authority) e Identrus, intentando aprovechar sus mejores aportaciones y soslayar los problemas por los que dichos proyectos no fueron un éxito.

Contribuye a ello el marco de desarrollo de servicios de firma electrónica, especialmente con el DNI electrónico que está siendo una realidad en España, y el despliegue de tarjetas EMV a partir de 2008 como compromiso de SEPA

Despliegue de DNI electrónico en Banca

5 respuestas

Aunque estos dias se están publicando algunas noticias sobre que tal o cual entidad está aceptando el DNI electrónico en determinados entornos, lo cierto es que son entornos «demo» sin una verdadera implementación real.

En cajeros automáticos o kioskos de autoservicio, el driver «oficial» del DNI electrónico no sirve, y es preciso desarrollar funciones especiales, que establezcan el canal seguro con el dispositivo y accedan a los certificados, dando la opción de firmar o autenticar. Y me consta que hay pocas implementaciones reales (como la de Albalia Interactiva) y muchas «ñapas» para presentar una demo con la información disponible en el entorno público del dispositivo (que es muy poca).

En el diseño de los terminales de oficina, también es necesario el empleo de drivers especiales, para captar las firmas electrónicas de los usuarios y pocas entidades han previsto el despliegue de la nueva infraestructura de oficina.

Los servicios centrales deben revisar su arquitectura y resolver la forma en que el DNI electrónico se incardina en toda una nueva suerte de procesos, en los que han de convivir los documentos en papel con los electrónico. Y esto tampoco está hecho en las instituciones.

Y, por supuesto, hay que saber lidiar con firmas completas en entornos escalables y establecer su archivo y custodia, implementando mecanismos probatorios, y aplicando sistemas de validación OCSP y Timestamping.

Sin restar mérito a permitir el uso del DNI electrónico en el establecimiento del canal SSL con autenticación del cliente (que es lo que han mostrado algunas entidades indicando la posibilidad de usar el DNI electrónico al acceder a la banca electrónica via web), eso solo es una parte de lo que hay que hacer, aunque bastante efectivo en un entorno de demostración. Por cierto, semejante a los que los Prestadores de Servicios de Certificación muestran desde hace 5 años, con tecnología muy madura con la que cuenta el Internet Explorer.

O firmar ficheros PDF con Acrobat. El software lo hace todo, y la pizca de complicación surge cuando queremos que la indicación de tiempo (timestamping) y validación sean fiables.

El Despliegue del DNI electrónico es algo más.

Preguntas y respuestas sobre la adopción de 3D Secure y EMV en España

4 respuestas

Recientemente he participado en una encuesta sobre medios de pago, centrada en 3D secure y EMV, algunas de cuyas preguntas (y respuestas) pueden ser de interés para quienes trabajan en el mundo de los medios de pago. No dejan de ser opiniones personales circunscritas la mercado español, por lo que agradeceré vuestras opiniones tanto si coincidís con las mías como si disentís.

¿Su institución (en su carácter de emisora de tarjetas de crédito y débito) utiliza alguna solución 3D Secure? ¿Desde qué año?

Albalia Interactiva no emite tarjetas, pero yo he estado vinculado con el 3D secure desde el año 2000, y desde antes con el sistema SET.

¿Porqué cree que pese a estar España relegada en el nivel de Comercio Electrónico con sus vecinos europeos ha sido el primero y más amplio en implementar 3D?

Porque previamente se intentó implementar SET de forma amplia con ciertas dificultades por incompatibilidad de soluciones y complejidad añadida al pago desde el punto de vista de usuario. Y no es cierto que el nivel de Comercio Electrónico en España sea inferior al de otros paises europeos. Le recuerdo que la mayor parte del comercio 3D del MUNDO se lleva a cabo en España.

¿Cómo considera -7 años después- el estadio del 3D Secure? ¿Ha triunfado o fracasado? ¿Porqué?

Ha fracasado. Porque la adopción fuera de España es muy baja y no tiene apoyo de las marcas VISA y MasterCard, especialmente en Estados Unidos.

Respecto a España es un éxito clamoroso por su adopción, pero la percepción de ser una isla digital implica que no hay excesivas barreras para adoptar mecanismos alternativos como Mobipay, en el que también España es pionera.

¿Los TPV Virtuales utilizados por las tiendas virtuales, son propios o pertenecientes a la procesadora de pagos?

En algunos casos son de las procesadoras, y en otros de entidades financieras. En España se usa el modelo triangular, por lo que es fácil migrar a cualquier plataforma de autenticacion de transacciones. No se da el caso de TPV virtual propio, salvo en grandes entidades que también disponen de lineas dedicadas para las transacciones presenciales.

¿La utilización es exclusivamente a través de su red de pagos o está implementada internamente?

El modelo triangular implica que la fase de pago (dentro del proceso de carrito de la compra) se lleva a cabo en la entidad financiera adquirente o en su procesador asociado.

Prácticamente hablando, ¿La implementación del 3D Secure es exclusivamente un tema a cargo de su procesadora de pagos? ¿Qué recae a cuenta de la institución?

La institución define el mecanismo de autenticación del titular. Frecuentemente delega este tema tambén en la procesadora.

¿Qué relación existe entre los sistemas de seguridad de la Banca Electrónica y del Comerció Electrónico?

En ocasiones coinciden, pero no de forma generalizada. Ahora se está debatiendo la posibilidad de utilizar calculadoras OTP comunes para toda la banca a partir de tarjetas EMV con autenticación dinámica. Esto unificaría la visión de seguridad de banca electrónica y comercio electrónico.

¿Considera la seguridad en el Comercio Electrónico un elemento de diferenciación competitiva en el mercado financiero?

Solo algunas entidades dan importancia a ese tema. Además en los últimos tiempos, las entidades financieras son refractarias a aceptar más tiendas virtuales, por ciertos errores de gestión de clasificación del pasado.

¿Existe alguna interfase que permite aprovechar los medios de identificación del cliente tanto para la Banca Electrónica como para el Comercio Electrónico?

Si. Uno de ellos ya lo he mencionado, pero no es el único. En particular existen grandes expectativas sobre la próxima universalidad del DNI electrónico.

¿Cuál es el porcentaje de tiendas virtuales que están utilizando 3D Secure?

Prácticamente el 100%. Todas aquellas que usan la pasarela de pago de su entidad financiera.

Unas pocas usan SSL para captar datos de tarjeta y despues utilizan un TPV convencional para volver a introducir los datos de tarjeta con la modalidad «reentry», lo que requiere un permiso especial de la entidad adquirente.

¿Cuál es la situación de las grandes tiendas (virtuales) como las compañías aéreas, agencias de turismo y de pasajes, grandes tiendas o cadenas?

Usan accesos especiales derivado de la norma ISO 8583, que en España tienen denominaciones como PUC, PUCE, o PRICE y antiguamente «Protocolo Hipermercado». Recientemente han tenido que incluir las modificaciones derivadas de la introducción de EMV que será obligatoria desde inicios de 2008, por la entrada en vigor de los compromisos SEPA.

¿Cómo entiende ha sido la evolución en la aceptación de esta tecnología?

Las propias entidades han evolucionado en su uso como tiendas físicas a tiendas virtuales, unificando la plataforma para ambos usos.

¿Cuál es el porcentaje de inscripción en el 3D Secure por parte de los portadores de tarjetas?

Prácticamente el 100% de las entidades dan la opción, si bien, por problemas de adopción, permiten llevar a cabo algunas transacciones iniciales de forma no autenticada. Los titulares esporádicos no suelen enrolarse.

Por otro lado Mobipay permite llevar a cabo transacciones 3D de forma más sencilla y más segura y se incluye como opción en las pasarelas de adquirente.

¿Cuál es el proceso de registración de éstos (personalmente en las oficinas, al momento de adqquirir, están obligados o es una opción por su conveniencia?

El proceso es on-line, vinculandolo a algún dato común que el usuario debe conocer, por ejemplo datos de acceso a la banca on-line. EN las primeras transacciones se avisa al usuario del proceso completo de enrolamiento pero se le suele dar la opción de autorizar la transacción sin autenticación.

¿Los clientes han aceptado positivamente la iniciativa al ver mejorada su seguridad o se molestan por la registración y posterior necesidad de recordad su clave?

Creo que ambas situaciones se dan, pero el modelo de aceptar las primeras operaciones sin autenticación minimiza el impacto de las molestias y produce una beneficiosa sensación de seguridad al usuario. Creo que la relación debe estar en torno al 80-20.

¿El «liability shift» (revierte la carga del fraude de la tienda o su banco al banco emisor de la tarjeta) afectará las medidas de seguridad en el Comercio Electrónico?

Si, aunque las entidades no parecen aplicar conscientemente esta situación.

¿Los proyectos SEPA y EMV afectarán también la seguridad en el Comercio Electrónico?

Si. Se intenta llegar a modelos unificados. Ya he comentado el tema de las calculadoras OTP:

¿En un futuro las tarjetas EMV serán también utilizadas para el Comercio Electrónico? ¿Colaborará o dificultará la ejecución de operaciones electrónicas?

En mi opinión sí, si se generalizan las calculadoras OTP. Sin embargo, es más probable que en España se adopte Mobipay como un mecanismo mejor y más barato para la autenticación.

¿Los clientes estarían a cargo de la compra de la unidad lectora de EMV?

El despliegue del DNI electrónico tendrá como efecto la inclusión generalizada de lectores de tarjeta chip por los particulares. Los fabricantes e importadores han anunciado que desde 2008 los ordenadores llevaran teclados con lector de tarjeta chip compatible PC/SC o bien otras variantes de lector. Este sistema podría ser utilizado para aceptar tarjetas EMV.

Firma electrónica en banca

3 respuestas

El sector bancario ha sido, junto con el académico, el que más tempranamente acogió los conceptos de criptografía de clave pública y certificación digital como componentes de seguridad de soluciones por desplegar. Lo cierto es que también el sector financiero ha sido promotor de la criptografía de clave simétrica desde mucho antes, adoptando el DES (Data Encryption Standard) como  base de sus sistemas de cifrado en todos los dispositivos relacionados con los medios de pago, como TPVs y Cajeros automáticos.

Sin embargo, iniciativas tan prometedoras como “Negocios Cibernéticos”, ACE, Iberion, GTA o Identrus han quedado por el camino como testimonios de “failure case” : soluciones para problemas que no existían. Y como corolario la sentencia “Las PKI no funcionan en banca”.

 

En banca, ha sido frecuente justificar la escasa adopción de técnicas seguras de identificación con argumentos como “el usuario no lo demanda”, “añade complejidad al sistema”, “no hay casos de fraude”, “es complejo de gestionar” o “es caro”.

Todos esos argumentos, que en realidad son falaces, no han sido óbice para que la banca impulsara en el pasado el despliegue de canales, productos y servicios de gran aceptación por los usuarios, lo que se ha demostrado años después de que se “impusieran” a los clientes sin que existiera demanda, sin que importara la complejidad añadida, o el coste de despliegue. En particular el rentable (hasta hace unos meses) mundo de la tarjeta de crédito  se ha desarrollado con un nivel razonable de seguridad en el mundo físico (muy basado en los servicios de autorización en tiempo real) hasta el punto que, en España,  hacían poco necesaria la adopción de medidas adicionales.

En cambio, en el despliegue  del canal Internet, el relajamiento excesivo en la adopción de medidas de seguridad, tras el argumento de que “otras entidades están peor”, “se frena el crecimiento de usuarios” , “genera llamadas al call center”, ha retrasado el consenso en la adopción de estándares comunes hasta que se ha producido una avalancha de incidentes asociados a téminos como “phishing”, “pharming” “keyloggers” y “troyanos” que están creando una verdadera alarma social y ponen en peligro no solo la credibilidad del nuevo canal, sino incluso el buen nombre de la banca en su conjunto, con quiebra de conceptos como el de “confianza” que son la base del negocio bancario.

Todos estos incidentes eran previsibles, y de hecho algunas voces llevan años advirtiéndolo. Sin embargo, ahora son una realidad y hay que tomar medidas. Y las medidas las está tomando cada entidad a su manera, unas con mensajes a móviles, otras con tarjetas de coordenadas, algunas con teclados en pantalla (afortunadamente, las menos), otras con dispositivos de clave fungible (OTP, One Time Password) y las más sofisticadas con Certificados Electrónicos.

 

La primera crítica a todas estas soluciones proviene de que los usuarios son clientes de varias entidades y diferentes “experiencias de usuario” son caldo de cultivo para que puedan producirse intentos de fraude basados en “ingeniería social” engañando a los usuarios, como de hecho sucede en técnicas como el Phishing. De modo que una recomendación sería consensuar aspectos comunes en la operativa de las distintas entidades para que las excepciones a la operativa (lo que suponen las técnicas de ingeniería social) al menos sea “sospechoso” para los usuarios.

Oath logoCalculadora OTP EMVSi se llega a consensuar la operativa, se estará muy cerca de disponer de infraestructuras comunes de autenticación. Aquí se puede limitar el coste de iniciativas que, desarrolladas individualmente por cada entidad, podrían ser muy caras. Por ejemplo, cabe pensar en disponer de servidores comunes de autenticación OATH de forma que los tokens OTP desplegados por todas las entidades sean compatibles, y no exijan que los usuarios carguen con varios dispositivos anillados a su llavero. O que las “calculadoras” generadoras de claves OTP  a partir de tarjetas EMV (Europay Mastercard, VISA, tarjetas con chip) sean compatibles, de forma que se pueda aprovechar el despliegue de tarjetas EMV impuesto por las condiciones de gestión SEPA (Single Euro Payment Area) en el sentido de que la operatividad y el coste de uso de las tarjetas sea equivalente a operaciones domésticas (las que llevan a cabo las entidades en su propio país).

El consenso tendría efectos beneficiosos, por ejemplo, en el despliegue de la firma electrónica a partir del DNI y otros certificados cualificados. En efecto, uno de los retos que supone aceptar firmas electrónicas respaldadas por sus correspondientes certificados electrónicos es que, según la Ley 59/2003 y la Directiva 93/1999, cualquier firma electrónica cualificada (la que se expide cumpliendo ciertos requisitos entre los que destaca la verificación presencial de la identidad del solicitante del certificado asociado) tiene equivalencia funcional con  la firma manuscrita, y por tanto impone la obligación de verificar su validez al tercero que confía en los certificados. En la práctica cualquier prestador de servicios de certificación europeo puede cumplir los requisitos y esto implica que las entidades financieras deben ser capaces de acceder a los servicios de información de validez de los certificados (a través de diferentes modalidades como OCSP – Online Certificate Status Protocol, CRL – Certificate Revocation List , o SCVP – Server-based Certificate Validation Protocol )  de CUALQUIER prestador de servicios de certificación. De modo que la gran oportunidad que representa el DNI electrónico (cuyo despliegue, que supone un gran esfuerzo, ha sido asumido por la Administración) se amplía y se complica por la necesidad de aceptar cualquier certificado emitido por cualquier PSC (Prestador de Servicios de Certificación)  español o europeo.  Esta tarea puede ser compleja para una sola entidad pero puede ser resuelta fácilmente desde  un organismo común que permita compartir sus costes. En el fondo no es muy distinto de lo que supone el sistema de validación “SARA” (Sistema de Aplicaciones y Redes para las Administraciones) desplegado por el Ministerio de Administraciones Públicas  para cualquier organismo de la administración.

Otra ventaja del consenso: la unificación en la estrategia de despliegue de EMV. Es obligatorio el despliegue completo de tarjetas EMV por parte de las entidades emisoras de tarjetas VISA y MasterCard (entre otras) antes de fin del año 2010 como consecuencia de los requisitos impuestos por la iniciativa SEPA. Dentro de las especificaciones EMV hay dos modalidades principales de funcionamiento que determinan la tecnología de la tarjeta chip: autenticación estática y autenticación dinámica. Sin tomar en cuenta algunos puntos débiles de los sistemas de autenticación estática, preferidos por los delincuentes, los de autenticación dinámica incluyen por un coste adicional poco significativo la posibilidad de gestionar claves privadas en la tarjeta, dentro de un infraestructura de clave asimétrica (PKI, Public Key Infrastructure). Hay algunas tarjetas que permiten su uso de forma simultánea como tarjeta EMV y como Dispositivo Seguro de Creación de Firma  (DSCF, SSCD, Secure Signature Creation Device), y son aptas, por tanto para que las propias entidades financieras puedan desplegar sus propios certificados cualificados. Entre estas tarjetas, cabe citar, por ejemplo la Advantis Crypto de SERMEPA y la M.MAR de Microelectrónica, aunque todos los fabricantes están desarrollando tecnologías convergentes.

El hecho de unificar la estrategia de despliegue de la tarjeta (incluso sin unificar su tecnología), permite compartir estrategias en la distribución del driver CSP o PKCS#11, que pueden facilitarse desde un organismo de comunicación común. Aquí convendría hacer algunos esfuerzos adicionales: la unificación del perfil de los certificados adoptando OID comunes y consensuando el significado de estos allí donde no hay un estándar, la colaboración en la gestión de una autoridad de certificación raíz común para los certificados de todas las entidades, que facilite el establecimiento de la cadena de confianza, el desarrollo común del Web Service de la AEAT para facilitar la generalización del uso en el ámbito tributario…

Con un coste marginal, respecto al que tiene el despliegue de tarjetas EMV convencionales, se puede conseguir la completa disponibilidad de certificados cualificados para los titulares de tarjetas, a un ritmo más rápido que el que puede lograr el DNI electrónico. De esta forma las entidades podrían establecer estrategias de comunicación que enfatizaran la disponibilidad de múltiples servicios (los mismos que se vayan desarrollando para el DNI) por el solo hecho de tener una tarjeta de crédito de la entidad.

La estrategia de colaboración en certificación ha recibido el nombre de “ABANCE” (Autoridad BANcaria de CErtificación) durante los  últimos años, pero en la actualidad es solo una de las múltiples áreas de colaboración de  bancos y cajas más allá de la interconexión de redes de medios de pago. Efectivamente, la posibilidad de colaboración en sistemas de claves de un solo uso (OTP) compartiendo el servidor de autenticación bajo el modelo OATH (Initiative for Open Authentication), amplía el alcance de ABANCE.

 

PKI ABANCE

Pero hay más. Las entidades están preocupadas ahora por el phishing, el pharming, los keyloggers o los troyanos, porque son amenazas muy claras que ya se han hecho presentes en nuestros días y se contabilizan en las estadísticas. Pero saben que cada nuevo paso que se da en la securización de las transacciones lleva aparejado una nueva modalidad de ataque o de fraude, la posibilidad de explotar una nueva vulnerabilidad  o de idear un nuevo tipo de engaño. Y es necesario un grupo de especialistas que permita reaccionar ante cada nueva situación. Sin restar mérito a las ofertas de empresas privadas que resuelven algunos de los retos o aportan soluciones parciales, sigue haciendo falta una acción integradora que sea un recurso de las entidades financieras. Es necesario un CERT (Computer Emergency Response Team) o, por usar un término más actual, un CSIRT (Computer Security Incident Response Team), es decir, un Equipo de Respuesta ante Incidentes de Seguridad Informática Bancario.  

Desde hace algunos meses esta es una idea que he intentado promover, y finalmente parece que ya existe un grupo de entidades que están dispuestas a acometer su creación. Este órgano se está estructurando como una de las líneas de actuación de una nueva Fundación que tiene objetivos adicionales. En efecto, otra las líneas de actividad identificada como esencial ha sido la que lleve a término la determinación de luchar contra la impunidad en la red. Ha llegado el momento de pasar de una situación defensiva, en la que la máxima aspiración de una entidad es minimizar el quebranto y posicionarse en seguridad sólo un poco mejor que los competidores (la gacela no pretende correr más que el león, sólo más que la víctima, otra gacela) a otra ofensiva en la que sea posible localizar al delincuente y que este pague por el delito, restituyendo la confianza al medio.

La iniciativa, aunque novedosa, tiene un antecedente notable en la BSA (Business Software Alliance). Esta institución de carácter multinacional, con presencia en 80 países,  propugna el uso legal del software y promueve diferentes iniciativas adaptadas a la situación del país en el que actúa. De forma similar, la Fundación para la Confianza Digital promueve un uso seguro de la red actuando contra los delincuentes en cualquier lugar del mundo, apoyándose en abogados e investigadores que actúen en los países en los que esté presente. Permitiendo una reacción ágil ante ataques internacionales, apoyándose en la legislación y los medios del país desde el que actúa, colaborando con la policía y la justicia hasta lograr la condena y el cumplimiento de la pena de los atacantes. Proporcionando medios y formación a la policía y a los miembros de las diferentes instancias jurídicas, de todos los países. Reforzando la seguridad de las redes, la idemnidad de los usuarios y la confianza en el medio y en las instituciones. Las entidades Fundadoras están en estos momentos revisando los estatutos y estructurando su participación con la idea de constituirla a lo largo de 2007. Si se cumplen las previsiones, se habrá dado forma al adagio “La mejor defensa, el ataque”.

Pilar Aurrecoechea directora general de Consultoría de Visa Europe

Deja un comentario

Visa Europe ha nombrado recientemente a Pilar Aurrecoechea directora general del equipo de Consultoría de Visa para Europa (a excepción de los países nórdicos y Reino Unido).

Visa Consulting colabora de forma activa con las entidades financieras con el objetivo de hacer crecer su negocio en el área de medios de pago. Se trata de una unidad especializada que asesora sobre los distintos aspectos del negocio, desde la emisión hasta la adquirencia. Sus funciones abarcan tanto diagnósticos completos sobre el rendimiento del negocio como sobre el desarrollo de nuevos productos, análisis de segmentación, estrategias para la gestión de una cartera de clientes, adquisición de nuevos clientes, gestión del riesgo o informes sobre nivel de preparación para SEPA.

Aurrecoechea se ha incorporado a la oficina de Visa en España, con sede en Madrid.

Desde 1998 trabajaba para Caja Madrid, en su último cargo como Directora de Área de Medios de Pago donde era responsable de todas las actividades relacionadas con emisión: marca privada, débito, crédito, crédito “revolving”, prepago y tarjetas de empresa y de marca compartida.  Aurrecoechea también ha sido miembro del consejo de Servired/Sermepa y de Iberia Cards.

Antes de Caja Madrid, Aurrecoechea trabajó durante diez años para American Express en España como responsable de adquisición y fidelización, además de adquirencia para las tarjetas de empresa Verde, Oro y Platinum, donde se especializó en programas de ventas y marketing directo. También fue responsable del programa Membership Rewards en España y del lanzamiento de la primera tarjeta Platinum del mercado.

Pilar Aurrecoechea tiene un MBA y es licenciada en matemáticas por UCSD University of California en san Diego. También es una asidua conferenciante y ponente en congresos.

Jeremy Nicholds, Vicepresidente Ejecutivo del Grupo de Desarrollo Comercial de Visa Europe ha señalado: “Pilar supone un nombramiento de mucha importancia y aporta una enorme experiencia. Se trata de una profesional muy respetada en la comunidad bancaria española y su presencia dentro del grupo de Visa Consulting va a servir para reforzar nuestra oferta tanto en España como en el resto de países donde estará trabajando”.

Ver Nota de Prensa de Visa Europe

Información sobre SEPA (Single Euro Payment Area)

9 respuestas

En el sitio web de Iberpay, existe un interesante repositorio de información sobre SEPA.

Making SEPA a reality v1.4
El documento describe información esencial sobre SEPA dirigida a la Comunidad Bancaria desde diferentes perspectivas. Proporciona el material para que los bancos puedan crear sus propios procedimientos de comunicaciones a la medida.
16 Abril 2007
SEPA Direct Debits Scheme Rulebook v2.2
Reglamento del Esquema de Adeudos Directos SEPA. Versión 2.2. Este documento es la versión final aprobada por el plenario del EPC y que sirve como base para la industria de pagos dentro del Área Única de Pagos para que desarrolle y ponga en funcionamiento productos y servicios que permitan a sus clientes efectuar adeudos directos SEPA a partir de enero de 2008.
13 Diciembre 2006
SEPA Direct Debits Scheme Implementation Guidelines v2.2
Guía de implantación del Esquema de Adeudos Directos SEPA. Versión 2.2. Este documento es la versión final aprobada por el plenario del EPC y dispone las reglas de SEPA para poner en práctica los adeudos directos bajo la norma UNIFI (ISO 20022) XML..
13 Diciembre 2006
SEPA Electronic Credit Transfers Scheme Rulebook v2.2
Reglamento del Esquema de Tranferencias Electrónicas SEPA. Versión 2.2 Este documento es la versión final aprobada por el plenario del EPC y que sirve como base para la industria de pagos dentro del Área Única de Pagos para que desarrolle y ponga en funcionamiento productos y servicios que permitan a sus clientes efectuar transferencias SEPA a partir de enero de 2008
13 Diciembre 2006
SEPA Credit Transfers Scheme Implementation Guidelines v2.2
Guía de implantación del Esquema de Transferencias SEPA. Versión 2.2. Este documento es la versión final aprobada por el plenario del EPC y dispone las reglas de SEPA para poner en práctica las transferencias de crédito bajo la norma UNIFI (ISO 20022) XML.
13 Diciembre 2006
SEPA Data Model v2.2
Modelo de datos SEPA. Versión 2.2. El documento es la versión final aprobada por el plenario del EPC y describe el modelo de datos aplicable a los productos SEPA, identificando tres niveles de procesamiento (físico, lógico y de negocio) tal y como se identifican en los reglamentos de los esquemas de adeudos y transferencias. El conocimiento de los reglamentos es requisito indispensable para entender este documento.
13 Diciembre 2006
A basic introduction to the Single Euro Payments Area (SEPA)
Breve descripción de algunas de las características básicas, objetivos y alcance de la SEPA. Asimismo, se detallan alguno de los beneficios y que puede tener para los ciudadanos la existencia de una zona única de pagos en euros.
26 Octubre 2006
SEPA Credit Transfer Scheme guidelines v 2.1
Este documento dispone las reglas de SEPA para poner en práctica las transferencias de crédito bajo la norma UNIFI (ISO 20022) XML.
2 Octubre 2006
SEPA Direct Debit Scheme guidelines v 2.1
Este documento dispone las reglas de SEPA para poner en práctica los adeudos directos bajo la norma UNIFI (ISO 20022) XML.
2 Octubre 2006
SEPA Direct Debit Scheme Rulebook v 2.1
Este documento sirve como base para la industria de pagos dentro del Área Única de Pagos para que desarrolle y ponga en funcionamiento productos y servicios que permitan a sus clientes efectuar adeudos directos en la zona SEPA de manera tan sencilla como lo hacen hoy dentro de su mercado local.
27 Septiembre 2006
SEPA Credit Transfer Scheme Rulebook v 2.1
Este documento sirve como base para la industria de pagos dentro del Área Única de Pagos para que desarrolle y ponga en funcionamiento productos y servicios que permitirán a sus clientes efectuar transferencias de crédito en la zona SEPA de manera tan sencilla como lo hacen hoy dentro de su mercado local.
27 Septiembre 2006
SEPA Data Model which is referred to in the SEPA Credit Transfer and Direct Debit Rulebooks v 2.1
El documento describe el modelo de tratamiento de las órdenes de pago identificando tres niveles de procesamiento (físico, lógico y de negocio) tal y como se identifican en las instrucciones de adeudos y transferencias. El conocimiento de las instrucciones de adeudos directos y transferencias de crédito es requisito indispensable para entender este documento.
30 Agosto 2006
SEPA Credit Transfer Scheme Rulebook v2.0 (Versión castellano)
Versión traducida al castellano de las instrucciones de Transferencias de crédito
8 Marzo 2006
SEPA Credit Transfer figures
Cuadro en el que se detalla el proceso temporal para el proceso de las transferencias de crédito, incluidas las posibles devoluciones de las órdenes de pago.
8 Marzo 2006
PE-ACH/CSM Framework v1.0
El documento establece los principios sobre los cuales los mecanismos de compensación y liquidación deben apoyar los esquemas de adeudos directos y transferencias de crédito sobre la base de la separación entre esquema e infraestructura.
8 Marzo 2006
SEPA Direct Debit Scheme Rulebook v2.0 (Versión castellano)
Versión traducida al castellano de las instrucciones de Adeudos directos
8 Marzo 2006
Framework for the evolution of the clearing and settlement in SEPA v1.0
Marco para la evolución de la compensación y liquidación en SEPA. Versión 1.0
8 Marzo 2006
SEPA Credit Transfer Scheme Rulebook v2.0 (Versión inglés – castellano)
Versión en castellano e inglés de las instrucciones de Transferencias de crédito.
22 Febrero 2006
SEPA Direct Debit Scheme Rulebook v2.0 (Versión inglés – castellano)
Versión en castellano e inglés de las instrucciones de Adeudos directos
22 Febrero 2006
SEPA Direct Debit figures
Cuadros en los que se describe el proceso temporal de los adeudos directos, el procedimiento para el cobro de los fondos y los detalles para la emisión del mandato, su revisión o cancelación.
1 Febrero 2006
EPC Roadmap 2004-2010
Plan del EPC para la puesta en funcionamiento de SEPA desde el año 2004 hasta el 2010.
1 Diciembre 2004

Migración a la Zona Única de Pagos en Euros

1 respuesta

Uno de los grandes retos con los que se enfrentan las entidades financieras al iniciar 2008 es el de universalizar el despliegue de las tarjetas EMV para todos sus clientes.

Afortunadamente en otras exigencias de la convergencia SEPA, las entidades españolas llevan cierto adelanto.

Sorprende la extraordinaria adaptabilidad de las instituciones españolas que aceptan esta exigencia en el momento más duro del entorno comercial de los que han vivido al reducirse severamente los ingresos por comisiones como consecuencia de un planteamiento premeditamente ingenuo de los diferentes agentes del mercado, y de fuera del mercado, como la del Ministerio de Industria, Comercio y Turismo, que ha actuado de «primo de zumosol» en una actuación que probablemente es tan ajena a las reglas de la libre competencia como la que se ha imputado (en mi opinión, por ignorancia) a las sociedades de medios de pago.

De todas formas, como en todo entorno dinámico los ajustes se irán produciendo de forma que alguien al final pagará la factura. Y ya sabemos a quién le va a tocar.

Invito a leer el artículo homónimo que Fernando Zunzunegui ha incluido en su blog.

CIT 2007. Congreso Internacional de Tarjetas

1 respuesta

Los dias 13, 14 y 15 de marzo tuvieron lugar las jornadas CIT 2007 con resultados positivos de asistencia: 400 profesionales asistieron a las distintas ponencias del Congreso y más de 1500 visitantes acudieron a ExpoCIT, el área de exposición del evento, con 40 empresas representadas procedentes de diversas áreas de negocio.

VISA y MasterCardLas jornadas de CIT 2007 se iniciaron con las intervenciones  de Luis García, director de Visa Europe, y José Sirvent, director de Mastercard Europe, que trataron temas como el del nuevo escenario económico en Europa con el proyecto SEPA para establecer una zona única de pagos en euros, o el acuerdo alcanzado entre banca y comercios para reducir las tasas de intercambio que se aplican las entidades financieras entre sí.

En mi opinión el de estos años es el peor escenario para plantearse la reducción de ingresos de las entidades emisoras de tarjetas puesto que es imprescindible acometer grandes inversiones para cumplir los requisitos SEPA, y, en particular, la emisión masiva de tarjetas EMV que se tiene que producir obligatoriamnete desde incicios de 2008.

El área de exposición, ExpoCIT, mostró un nutrido muestrario de soluciones  en el ámbito de los medios de pago, la identificación, la fidelización, el transporte, la seguridad, los controles de acceso y la biometría.

Los premios Golden Card, que la feria otorga a los proyectos empresariales más destacados en el área de las tarjetas de pago, recayeron en esta 10ª edición en manos de Barceló Viajes, la Fábrica Nacional de Moneda y Timbre junto al Cuerpo Nacional de Policía (por el DNI electrónico) y la Caja de Ingenieros.

CIT, el Congreso y Exposición de Tarjetas y Medios de Pago celebraba su décimo aniversario, en el momento en el que la entidad que lo organiza,  IIR España, celebra su vigésimo aniversario en España.

IIR España (Institute for International Research) es una compañía del Grupo Informa plc, el mayor especialista mundial en contenidos académicos, científicos, profesionales y comerciales. Cotizado en la Bolsa de Londres, Informa plc cuenta con 7.400 empleados y está presente en 43 países a través de 150 unidades operativas, desarrolla anualmente más de 10.000 eventos y su catálogo editorial suma 40.000 libros y más de 2.000 productos de suscripción .

PCI DSS empieza a interesar

1 respuesta

Tanto la revista «Red Seguridad» como «eSecurity» se hacen eco este mes de este estándard de seguridad.

Es una buena noticia porque trae al primer plano de la actualidad este asunto en el que fuimos pioneros en Albalia Interactiva (ojo, presentación en PDF, 5M).

Recordad que fue en este blog en el que leisteis las primeras informaciones en español sobre PCI DSS (Payment Card Industry Data Security Standard) en este post, o en este otro.

Además ya disponemos de sistemas que pemiten salvaguardar, los logs y las evidencias, de la forma exigida en el estándard, por lo que la adecuación es más sencilla y verificable.