Seguridad

Proteger los datos personales se ha convertido en un factor crítico i completamente necesario hoy en día. Por eso, tenemos que asegurar a nuestros clientes que en ningún momento se les pondrá en riesgo los datos de las tarjetas que procesan.

La solución ClearOne utiliza el PUP (Protoclo unificado de Pinpads) con SNCP (Sistema Nacional de Cifrado de Pistas).

El PUP se utiliza para la comunicación entre los Pin-Pads y el TPV responsable de ejecutar las solicitudes de pago. El protocolo PRICE por IP certificado se utiliza para la comunicación con el centro autorizativo.

Por lo tanto, todas aquellas comunicaciones establecidas por los dispositivos y los datos que estas transportan, son encriptadas en cada caso por los protocolos de seguridad establecidos.



SNCP (Sistema Nacional de Cifrado de Pistes)

El cifrado SNCP utiliza criptografía simétrica y su seguridad está basada en la adecuada protección de las llaves utilizadas.

El dato es encriptado desde el datáfono hasta el centro autorizador. Este modelo se denomina "E2EE" (End-to-End Encription / Cifrado de extremo a extremo), en el cual el dato se encripta desde el momento de la captura hasta el punto final. Así cualquier entidad intermedia no tendrá acceso a los datos en claro (sin encriptar). La gestión de las claves recaen en los dos puntos de la comunciación.

esquema cifrado

Se tiene también una solución "P2PE" (Peer-to-Peer Encription / Cifrado de punto a punto) el cual desencripta y re-encripta el dato en cada punto de la comunciación (del comercio al procesador, del procesador al centro autorizador). Además, el único que puede leer las claves es el procesador, ya que es él mismo quien tiene acceso a la clave para desencriptarla.

esquema cifrado

la gran ventaja de este sistema es que la gestión de las llaves es responsabilidad del procesador y del fabricante, haciendo finalmente que, tanto nuestros clientes, como nosotros mismos, quedemos fuera del proceso que pasarán las claves.

Los terminales deben cumplir con HSM (Módulos de Seguridad de Hardware) con certificación FIPS 140-2 de nivel III y certificaciones PCI-PTS. La implementación de estas certificaciones garantizan la seguridad que llevan en ellos.


EMV - Europay, MasterCard, Visa

Visa MasterCard

Hace algunos años los pagos por tarjeta funcionaban con una banda magnética y una firma manual; un sistema con un nivel de seguridad limitado. La información grabada en la banda magnética era relativamente fácil de extraer y aunque las medidas de seguridad se fueran añadiendo, los fraudes iban en aumento.

El estándar EMV se creó para solucionar esos problemas de seguridad y fueron evolucionando hasta llegar a la versión 4.0 publicada a finales de el año 2000 y se podría considerar el punto de partida de las nuevas tarjetas utilizadas actualmente.

Se define la operativa de una tarjeta que codifica los datos de un chip inteligente y que utiliza como principal método de validación un PIN (Personal Identification Number / Número de identificación personal) que solo el titular de la tarjeta puede conocer.

Este estándar también da la posibilidad de controlar de manera más detallada la aprovación de transacciones sin conexión.

El paso de la firma al PIN y el uso de un chip otorga al sistema al nivel de seguridad que los medios de pago requieren hoy en día.

Se utilizan algoritmos de cifrado DES, Triple DES, RSA y SHA para la provisión de la autentificación por parte de la tarjeta al terminal que la procesa y al centro que se encarga de la transacción.

Aunque el proceso de pago sea algo más lento, a causa de los cálculos criptográficos necesarios en el intercambio de mensajes entre la tarjeta y el terminal , la seguridad que todo este complejo proceso nos proporciona se compensa por los tiempos de espera.

Esta mejora ha permitido a los bancos y a las entidades emisoras de tarjetas de crédito/débito iniciar una 'inversión de responsabilidades' según la cual son ahora los comerciantes los responsables de todo aquel fraude resultante de una operación realizada por EMV en sus sistemas (des de el 1 de enero del 2005).