Como ya comente en mi último post, desde la definición hace más de una década de las tarjetas chip EMV por parte de las empresas franquiciadoras de Medios de Pago, numerosos países, principalmente de Europa, han avanzado en el proceso de migración de sus tarjetas de banda magnética a las nuevas tarjetas chip EMV. Proceso que en Europa ya podemos afirmar que se ha completado.
Razones de obligatoriedad sumadas a una mayor seguridad orientada a minimizar el riesgo de fraude vienen imponiendo esta nueva tecnología en los Medios de Pago frente a las tarjetas de banda magnética.
El chip ofrece la posibilidad de personalizar los datos contenidos de las tarjetas y las claves de uso personal como instrumento para prevenir ataques de usurpación y suplantación de la identidad en las transacciones.
Para abordar el proceso de migración hacia las nuevas tarjetas EMV, es necesario que las entidades financieras dispongan de un sistema de “Data Collection” donde se puedan integrar los datos y las claves de los titulares en una única cadena que posteriormente sea grabada en el chip.
Es importante resaltar que este nuevo entorno tecnológico, habitualmente denominado de “Data Collection” o “Data Preparation”, involucra y compromete a la Entidad Financiera Emisora mediante la Firma Digital de los datos contenidos en cada tarjeta así como mediante la generación de claves personales obtenidas a partir de unas claves maestras exclusivas del emisor. Por ésta razón, es conveniente y aconsejable que dicho proceso de Data Preparationesté totalmente controlado por el Banco Emisor de la tarjeta con el fin de evitar los riesgos inherentes a la cesión de la identidad de la Entidad a un tercero “outsourzer”.
Así mismo, este tipo de aplicaciones de “Data Preparation” deben de interactuar, como requerimiento imprescindible, con un HSM ( Hardware Security Module ) que permita la carga y custodia del certificado del emisor y de las claves maestras de la Entidad , así como la generación de las claves derivadas a ser incluidas en el fichero de pre-personalización.
A la hora de seleccionar un sistema de “Data Preparation” para tarjetas chip EMV, deberíamos tener en cuenta que la capacidad del chip de las tarjetas cada vez cuenta con mayor capacidad, lo que facilita que cualquier entidad pueda aprovechar el proceso de generación para generar tarjetas chip EMV de crédito y/o débito de otra modalidad, como es el caso de las tarjetas multiaplicación ( tarjetas de acceso de empresa , tarjetas universitaria, tarjetas de transporte etc.) siempre y cuando podemos generar certificados x.509 que nos permitan el manejo de aplicaciones no financieras.
Otro punto muy importante a tener en cuenta a la hora de migrar a EMV, es seleccionar una aplicación de Data Preparation que sea de fácil manejo y que, si es posible, disponga de un interfaz amigable, tanto para la generación de los datos como para la realización de los cálculos, un proceso imprescindible y farragoso en el entorno de pre-personalización.
Si además la solución de “Data Collection” seleccionada para migrar a EMV dispone de un sistema de generación de informes detallado de los resultados de las tareas realizadas, y a su vez, genera logs de auditoría y está avalada , internacionalmente, por una certificación reconocida de seguridad, no existe ninguna razón ni justificación para que nuestro éxito en el proceso de migración a EMV no esté garantizado.