Comprendiendo el entorno de pagos con tarjeta y el uso de claves simétricas

El estándar ANSI X9.24-1-2017 parte 1 se redactó para proporcionar requisitos mínimos de administración de claves simétricas y pautas para la industria financiera minorista y los actores involucrados en el procesamiento de pagos con tarjeta.

Aquí exploramos las diferentes entidades que forman el entorno de pago con tarjeta, tal como se describe en la norma ANSI X9.24-1-2017. También explicamos por qué la gestión segura de las claves simétricas utilizadas en dicho contexto es una forma importante de proteger las transacciones y, en general, de proteger todo el entorno de pago con tarjeta.

Criptografía simétrica y el entorno de pago con tarjeta
La criptografía simétrica se relaciona con algoritmos criptográficos en los que la clave que cifra los datos es la misma que la clave que descifra los datos. Así, la clave simétrica es un secreto compartido entre las dos partes (cifrado/descifrado) involucradas en un intercambio criptográfico de datos.

Por qué la criptografía simétrica para pagos con tarjeta
La industria minorista financiera se basa en gran medida en la criptografía simétrica para asegurar las transacciones. Durante décadas, los bancos y los procesadores financieros han estado utilizando criptografía simétrica para cifrar PIN o datos de transacciones. Históricamente, los cifrados simétricos como el algoritmo estándar de cifrado de datos (DES/DEA) fueron pioneros en la criptografía utilizada por esta industria. Luego, el DES fue reemplazado por triple-DES y AES. La industria de pagos con tarjeta utiliza en gran medida la criptografía simétrica, ya que es mucho más rápida que la criptografía asimétrica y es más adecuada para el cifrado de datos en movimiento.

El papel de ANSI X9.24-1-2017 parte 1
La seguridad de las transacciones, su integridad y su autenticación se basa en la criptografía simétrica. El estándar ANSI X9.24-1-2017 parte 1 describe cómo administrar las claves correspondientes, su generación, transporte, carga, archivo, etc. de tal manera que todo se mantenga seguro en todos los niveles del entorno de pago.

Introducción al entorno de pago con tarjeta
Aceptador de tarjetas
Un aceptador de tarjetas es un comerciante o un cajero automático que acepta tarjetas de pago y envía los datos de la transacción a un adquirente.

El aceptador de tarjetas se denomina así porque “acepta” tarjetas y, por lo tanto, puede acceder a la cuenta del titular de la tarjeta como una forma de recibir pagos por bienes o servicios proporcionados al titular de la tarjeta. En los sistemas POS (punto de venta), el aceptador de la tarjeta puede ser un minorista, una empresa de servicios de pago o una institución financiera (eventualmente, un banco). En los sistemas de cajero automático, el aceptador de la tarjeta puede ser la misma entidad que el adquirente.

Banco adquirente
Nueva llamada a la acción
Un banco adquirente (también conocido simplemente como adquirente) es un banco o una institución financiera que permite a un comerciante aceptar y procesar pagos con tarjeta de crédito o débito.

Un adquirente de Visa o Mastercard y, en general, un comerciante adquirente, es un procesador de una empresa de servicios de terceros que tiene derecho a trabajar con comerciantes que procesan y liquidan transacciones. El adquirente proporciona a los comerciantes las herramientas y la tecnología (incluidos el hardware y el software) necesarias para procesar las transacciones.

Las empresas de la red de pago con tarjeta, como Visa o Mastercard, que marcan las tarjetas, no son adquirentes. En cambio, operan y administran una red de pago y se encuentran en medio de una transacción con ciertos derechos para rechazar transacciones o realizar procesamiento adicional.

Emisor
Un banco emisor (o simplemente “emisor”) es una institución financiera que proporciona tarjetas de pago (débito, crédito o prepago) en nombre de una red de pago con tarjeta específica. Ejemplos de tales redes de pago con tarjeta incluyen Visa, Mastercard, Europay, JCB, American Express y Discover.

El banco emisor proporciona sus tarjetas de débito, crédito o prepago de marca directamente a sus consumidores. Como tal, el nombre “emisor” proviene de la práctica de “emitir” tarjetas a los consumidores finales.

El banco emisor no es más que el banco del titular de la tarjeta y, como tal, es responsable de pagar al banco del comerciante, también conocido como el banco adquirente (o el banco que opera el cajero automático en el caso de una transacción de cajero automático) por los bienes o servicios que el consumidor (o tarjetahabiente) ha comprado, o por el dinero retirado en el cajero automático.

Cuando un consumidor usa una tarjeta de crédito, el banco emisor extiende una línea de crédito a ese consumidor. La responsabilidad por la falta de pago es compartida por el banco emisor y el banco adquirente de acuerdo con las reglas dictadas por la red de pago con tarjeta correspondiente (por ejemplo, Visa, Mastercard, etc.).

Switch de pago
Los conmutadores de pago son sistemas de procesamiento de transacciones que actúan como puertas de enlace al recibir solicitudes de transacciones de diferentes subsistemas (por ejemplo, un cajero automático, un punto de venta o una puerta de enlace de pago). Estos sistemas enrutan mensajes y autorizaciones de transacciones a los destinatarios correctos.

Panorama mundial del entorno de pagos
En resumen, el entorno de pago en el contexto de ANSI X9.24-1-2017 consta aproximadamente de los siguientes actores y acciones:

  • El Consumidor, que es el titular de la tarjeta, y compra bienes o servicios del comerciante;
  • El Emisor, el banco del consumidor que transfiere dinero al adquirente;
  • El adquirente, que es el banco del comerciante que acepta dinero del consumidor.
  • El Comerciante acepta tarjetas de crédito, débito o prepago y proporciona una cantidad adecuada de bienes o servicios a cambio de un pago.

El papel fundamental de la criptografía simétrica en el entorno de pago con tarjeta
La criptografía simétrica es la columna vertebral de la seguridad de las transacciones financieras. La protección y gestión segura de las claves criptográficas correspondientes, especialmente cuando se generan, transportan y cargan en dispositivos criptográficos seguros (típicamente HSM), es una tarea fundamental para aquellas organizaciones que se encargan de mantener las operaciones diarias de procesamiento de transacciones.

Todas las entidades que hemos descrito anteriormente necesitan lograr la confidencialidad de los datos que se comunican entre sí. Por ejemplo, los cajeros automáticos necesitan comunicarse con un banco emisor y, por lo tanto, cifrarán, por ejemplo, los PIN entre las diferentes zonas y conmutadores, que están involucrados en el enlace entre el cajero automático y el banco emisor. Estos cifrados se realizan con criptografía simétrica porque el PIN debe permanecer confidencial en todos los pasos de una transacción financiera. Las claves que encriptan los PIN deben generarse, transportarse, cargarse, etc. de forma segura. Esto requiere una gestión cuidadosa de dichas claves durante su ciclo de vida, “desde la cuna de la clave hasta la tumba de la clave”, que es donde ANSI X9.24-1-2017 parte 1 proporciona información importante. requisitos y lineamientos para la industria financiera minorista y los actores involucrados en el procesamiento de pagos con tarjeta.

La criptografía asimétrica también se usa en el entorno de pago con tarjeta, pero principalmente para firmar transacciones y en el contexto de PKI con certificados, etc. Esto se describe en la parte 2 del estándar ANSI X9.24-1-2017.

 Fuente:

https://www.cryptomathic.com/

 

 

 

¿Desea optimizar o implementar un sistema de pago? Uno de nuestros expertos lo asesorará

Colombia: Hub digital

Colombia se está convirtiendo en ‘hub’ de talento digital para las multinacionalesHay un título que los colombianos quieren llevar con orgullo: el...

Perfiles tecnológicos más demandados

Incremento de la demanda de profesionales vinculados a las nuevas tecnologías Las empresas latinoamericanas están pisando el acelerador de la...

El Centro de Competencias de FirmWare y sus capacidades para el desarrollo de software

El Centro de Competencias de FirmWare y sus capacidades para el desarrollo de software Un gran trabajo en equipo requiere algo más que grandes...

8 + 4 =

es_CO
× Contact us