Esta preparado para tomar parte en el proceso del pago pasando el mismo la
tarjeta por el lector e incluso introduciendo el PIN (self-service).
Quiere poder hacer compras por un importe superior al límite de su cuenta
(crédito, pago aplazado, etc.).
El cliente que es cuidadoso respecto a las operaciones que realiza:
Quiere poder acceder en cualquier momento a los movimientos de su cuenta.
Quiere recibir un recibo o ticket de su compra legible y comprensible de su
compra.
El cliente que pide flexibilidad en las operaciones:
Quiere elegir su propia modalidad de pago (debito, crédito, pago aplazado, etc.)
Quiere poder ocasionalmente anular la operación y poder cambiar la modalidad
de pago.
El cliente que quiere sacar el mayor provecho posible a sus operaciones financieras:
Sabe que las transferencias de crédito mantienen su dinero en su cuenta
bancaria más tiempo y puede tener mayores ventajas.
Quiere beneficiarse de comprar con tarjeta de crédito sin pagar ningún cargo
extra.
El comercio y las entidades autorizadoras frente al TEF.
La estrategia del comercio a la hora de realizar el pago con tarjeta mediante el sistema de
TEF a través del TPV es en la mayoría de los casos la de aprovechar el momento en el que
se esta imprimiendo el ticket con los totales para realizar la lectura de la tarjeta, que en
algunos casos esta puede ser incluso realizada por el mismo cliente (en algunos países es
habitual esta practica), en cuyo caso el lector de tarjetas (y el Pin-Pad si es necesario) es
colocado al alcance del cliente.
Por su parte las entidades autorizadoras deben realizar la validación de la operación y más
tarde realizar las operaciones financieras correspondientes a la transacción.
El proceso seria el siguiente:
El comerciante:
Guía el proceso de pago.
Introduce los detalles del pago.
Saca el ticket (o boleta) del pago con tarjeta.
Facilita el ticket al cliente.
La entidad autorizadora.
Verifica la validez de la tarjeta.
Verifica la identidad del Terminal.
Verifica el PIN.
Valida la cuenta y el saldo del cliente.
Cobra al cliente.
Paga al comercio.
Proporciona informes periódicos de movimientos de su cuenta al cliente.
Proceso de validación de la transacción.
Las operaciones de verificación necesarias son:
Validación de la tarjeta que se realizan en el TPV y/o en el servidor de TEF, o bien ya
en la entidad autorizadora.
Que el número de tarjeta cumpla el algoritmo de Luhn (algoritmo matemático que
deben cumplir todos los números de tarjeta).
Fecha de caducidad. La tarjeta puede incluso no ser valida por ser su emisión muy
reciente y no ser todavía valida para su uso (en cuyo caso no será aceptada por la
entidad).
Comprobación de no pertenencia a Listas negras (las listas negras únicamente
almacenan los números de tarjetas de tarjetas extraviadas, robadas o invalidas por
algún otro motivo y permiten denegar la operación antes incluso de enviar la petición a
la entidad autorizadora. Dichas listas negras se actualizan con cierta periodicidad (por
ejemplo una vez al día).
Comprobación de que el PIN es correcto para esa tarjeta. Si el PIN es necesario solo
se permitirá un número limitado de errores en su introducción, normalmente dos y al
tercer error la tarjeta no se aceptara.
verificación de la cuenta asociada a la tarjeta: que es correcta y que dispone de los
fondos necesarios para realizar la operación. Hay que tener en cuenta que la relación
entre las tarjetas y las cuentas no es de 1 a 1 pero lo habitual es que si sea así.
Normalmente la entidad autorizadora solicita a los comerciantes retener la tarjeta del cliente
en el caso de que esta no sea aceptada por múltiples introducciones de PIN incorrecto, por
pertenecer a listas negras o por indicación especifica de la entidad en la transacción (en la
mayoría de los casos el comercio no le retira la tarjeta al cliente y simplemente le declina la
posibilidad de pagar con dicha tarjeta).
Además hay que guardar constancia de todas las operaciones para que en caso de no
conciliación con la entidad bancaria se tengan pruebas de cada una de las operaciones que
se realizó. En el caso de producirse un cierre de día con descuadre en las operaciones de
pago con tarjeta será necesario realizar una conciliación entre el comercio y la entidad
autorizadora correspondiente de las operaciones de dicho día. En dicho caso el comercio
tendrá enviará a la entidad para que esta los chequee unos ficheros conocidos como ficheros
de descuadre (o cintas de descuadre), los cuales guardan en un formato específico todas y
cada una de las operaciones (ventas, devoluciones y anulaciones) realizadas durante el día.
Dicho envío se suele realizar utilizando medios seguros como un software de intercambio
electrónico de documentos (EDI).
Protocolos utilizados.
Se distinguen dos tipos de protocolos de intercambio de mensajes: los utilizados para el
intercambio de información entre el TPV y el servidor de TEF, y los utilizados entre el
servidor de TEF y las entidades autorizadoras.
Respecto a la comunicación entre el TPV y los servidores de TEF, esta se realiza mediante
un protocolo fijado por el proveedor de la solución TEF, por lo que actualmente no existe
ningún protocolo estándar de comunicación entre los TPVs y los servidores de TEF, aunque
Wincor-Nixdorf a empezado a trabajar en una solución llamada "Open Payment Initiative"
(O.P.I.) para intentar unificar las peculiaridades las diferentes aplicaciones y de cada país en
la comunicación entre los TPV y los servidores de TEF.
Para realizar la comunicación (intercambio de mensajes de las transacciones: ventas,
devoluciones, anulaciones, totales, etc.) entre los servidores de TEF y las entidades
autorizadoras a lo largo de los años se han utilizado varios protocolos, de todos ellos más
difundido actualmente es el PRICE (Protocolo de Intercambio y Compensación Español).
El PRICE esta basado en las en el estándar ISO 8583 del Organismo Internacional de
Estandarización (I.S.O.). El Host de la entidad autorizadora que recibe la petición del sistema
TEF hace de intermediario entre las Entidades Financieras que intervienen en la transacción
y centraliza el intercambio de información entre las dos partes. El protocolo PRICE permite la
conexión de comercios con un gran volumen de operaciones, existen dos tipos el PRICE
Establecimientos y el PRICE Multicomercios. La primera transacción PRICE en España se
realizó en 1991, y en 1992 4B y SERMEPA acordaron el uso de un protocolo PRICE único
(Protocolo Unificado de Comercio, PUC).
Seguridad en las transacciones.
La manera mas habitual de asegurar la transacción es identificando al propietario de la
tarjeta en pidiendo junto con la tarjeta el Documento Nacional de Identidad y comprobando
su firma, otro método muy poco utilizado actualmente es pidiéndole al cliente que introduzca
el código PIN de la tarjeta, el cual solo es conocido por el propietario de la tarjeta. Debido a la
profileración de delitos relacionados con la copia y uso de la tarjeta de clientes por todo el
mundo se ha intentado aumentar la seguridad del elemento clave en una transferencia
electrónica de fondos: la tarjeta. Europay, Mastercard y Visa han creado un modelo estándar
de tarjeta que incorpora un chip en el cual se puede introducir muchísima mas información
que en una banda magnética (la cual no se suprime), dicho chip es mucho mas difícil de
duplicar (la copia de la banda magnética es relativamente fácil), a este chip se le conoce
como EMV, de las tarjetas EMV hablaremos con más detalle en el próximo apartado.
Durante los periodos en los que el sistema no permite autorizaciones on-line (por ejemplo por
caída de la línea con las entidades autorizadoras) en algunos casos se acepta el pago con
tarjeta mediante comprobante en papel de la transacción. También existe la posibilidad de
aceptar durante los periodos de no disponibilidad del servicio la transacción sin intervención
de la entidad si no se tiene conexión con la misma y autorizar "off-line" operaciones que no
superen un importe fijado para esos casos, en estos casos se corre el riesgo de aceptar
operaciones que deberían ser denegadas, pero serian mayores las perdidas en el caso de no
aceptar ninguna operación con tarjeta por no poder aceptarlas temporalmente "on-line", y
además las posibilidades de aceptar en ese periodo una operación son muy bajas y sobre
todo se debe primar el interés del consumidor. Dichas operaciones serán enviadas en el
momento en el que se restaure la conexión con la entidad autorizadora.
Como hemos visto anteriormente para evitar el fraude del pago con tarjeta, sobre todo
cuando la operación se tiene que realizar “off-line”, también se utilizan las llamadas “listas
negras” las cuales son ficheros donde se recogen números de tarjetas que no deben ser
autorizados para realizar una transacción, bien por que han sido robadas o por que el cliente
la ha extraviado. Dichos ficheros se deben actualizar regularmente para que sean útiles y así
poder evitar que se acepte una tarjeta no válida en una operación “off-line”.
Para asegurar la privacidad de la información del cliente, es recomendable que durante la
transacción no se muestre ningún detalle sobre la misma que no sea esencial para completar
la misma, por lo que no se deberían mostrar datos personales en el TPV y no se debería
imprimir la totalidad del numero de tarjeta y fecha de caducidad para evitar el uso del mismo
por otras personas (por lo que se suelen eliminar los últimos dígitos de la tarjeta al imprimir el
ticket). Tampoco se deben almacenar en el sistema ningún dato que no sea esencial para
poder hacer en el futuro una auditoria de los mismos, ni hacer uso comercial ni publicitario de
los mismos sin el consentimiento del cliente. En algunos países algunos comercios incluso
han instalado terminales a la salida del establecimiento para que el cliente pueda comprobar
los últimos movimientos de su cuenta bancaria y poder ver al momento la operación de
transferencia electrónica de fondos realizada anteriormente.
Desde el punto de vista de la disponibilidad del servicio, el servidor de TEF suele disponer de
sistemas de alimentación ininterrumpida (SAI) o en ingles Uninterruptible Power Supply
(UPS) que permite que ninguna transferencia quede sin completarse en su totalidad.
11. Tarjetas EMV.
En 1994 Europay, Mastercard y Visa decidieron unir sus esfuerzos para combatir el fraude en
el pago con tarjeta y mejorar sus prestaciones, y así publicaron en 1996, una serie de
estándares de seguridad e interoperatividad para las tarjetas llamado EMV (acrónimo de
Europay, Mastercard y Visa). EMV por tanto se trata de una especificación para sistemas de
pago. El objetivo de EMV es especificar los requerimientos para la interoperatividad entre
tarjetas de crédito/débito y entre los terminales que soportan dichas tarjetas.
La razón principal para migrar las tarjetas a EMV es la de combatir el fraude, ya que las
actuales tarjetas de banda magnética son relativamente fáciles de copiar, y el fraude con
tarjetas de crédito va en aumento año tras año. La segunda razón es permitir las operaciones
“off-line” seguras ya que para realizar la transacción el cliente tendrá que introducir siempre
el PIN para validar la tarjeta, pudiéndose hacer dicha verificación sólo con la tarjeta sin
necesidad de conexión con el banco.
Las tarjetas con chip EMV tienen muchas ventajas frente a las tarjetas convencionales con
banda magnética:
Validación del PIN con o sin conexión con el banco.
Marca de la operación en la tarjeta.
Sin posibilidad de copia directa de la tarjeta.
Capacidad de soportar una variedad de servicios en una única tarjeta, y de almacenar
mucha más información incluidas las claves criptográficas requeridas para las
transacciones seguras, utilizando Public Key Infrastructure (PKI).
Servicio más rápido al poder validar si es necesario la operación “off-line”, sólo con la
tarjeta, sin necesidad de conexión a una entidad autorizadora, ahorrando costes de
conexión al comercio y a las entidades.
La organización EMVCo se ocupa de distribuir las especificaciones y de actuar como
autoridad certificadora de compatibilidad. La seguridad es un aspecto muy importante de las
especificaciones, evitando la posibilidad de fraude, y la tarjeta pasa de ser un soporte pasivo
a un soporte activo, realizando operaciones durante la transacción. El estándar EMV se
aplica a tarjetas chip, por lo que las actuales tarjetas de banda magnética deberán ser
sustituidas por los bancos los cuales proporcionarán a sus clientes las nuevas tarjetas EMV
Mister Wong
Portal para Investigadores y Profesionales
